當來自互聯(lián)網(wǎng)內外的威脅成為眾多國家最嚴峻的考驗之時，正在逐步成長的中國安全產(chǎn)業(yè)面臨著怎樣的機會與挑戰(zhàn); 系列法規(guī)的實施，是否會對現(xiàn)有的產(chǎn)業(yè)格局帶來強烈的影響; 在有組織網(wǎng)絡犯罪的沖擊下，我們能否把控安全之門？7月7日，本報總編輯孫定與啟明星辰CEO嚴望佳就這些話題進行了深入的交流。

法規(guī)驅動安全產(chǎn)業(yè)變局

技術并非核心競爭力

沒有哪項安全技術可以和其他的IT技術截然分開; 網(wǎng)絡安全因傳統(tǒng)的網(wǎng)絡設備供應商與安全企業(yè)攜手，而變得更加完備; 對于網(wǎng)絡安全企業(yè)而言，技術并非核心競爭力。

孫定: 最近幾年，全球信息安全產(chǎn)業(yè)出現(xiàn)一些變化: 一方面是安全形勢尤為嚴峻; 另一方面，是網(wǎng)絡巨頭都高舉安全大旗進入網(wǎng)絡安全領域，譬如思科、華為、HP網(wǎng)絡，你怎么判斷這些變化對產(chǎn)業(yè)帶來的影響和變化？

嚴望佳: 網(wǎng)絡安全是一個既獨立又不獨立的行業(yè)，網(wǎng)絡的安全性譬如說操作系統(tǒng)安全、網(wǎng)絡設施安全、終端安全和應用系統(tǒng)安全等都是建立在網(wǎng)絡結構里面各個元素的安全基礎之上的，沒有哪一項專門的安全技術可以和其他的IT技術截然分開。

思科、華為介入網(wǎng)絡安全已有很長的歷史，只不過當時沒有足夠大的市場來支撐網(wǎng)絡安全獨立地成為一個產(chǎn)業(yè)。思科在提供網(wǎng)絡設備、進行網(wǎng)絡研究時就將安全考慮進去。作為一家硅谷公司，思科習慣以并購形式獲得好的團隊和技術積累。

這幾年來，隨著政府、民眾和企業(yè)用戶對網(wǎng)絡安全的重視，思科、華為加大了在網(wǎng)絡安全領域的投入。但是，和以前相比，并未出現(xiàn)質的飛躍——迄今為止，沒有誰能夠提出較為徹底地解決網(wǎng)絡安全的技術架構。

華為、思科不可能完全替代專業(yè)性的網(wǎng)絡安全企業(yè)。相反地，網(wǎng)絡安全因思科和華為這些傳統(tǒng)的網(wǎng)絡設備供應商與安全企業(yè)攜手，而變得更加完備。

孫定: 我很贊同你的看法，網(wǎng)絡設備商與安全企業(yè)的合作會讓用戶受益。那么，作為中國網(wǎng)絡安全行業(yè)的領頭企業(yè)和產(chǎn)業(yè)的見證者，你認為中國網(wǎng)絡安全的技術水平到底處在一個什么樣的程度？你認為我們的挑戰(zhàn)和機會是什么？

嚴望佳: 我相信包括啟明星辰在內的幾家中國安全企業(yè)的技術積累已經(jīng)達到了國際主流水平。

去年，啟明星辰中了北京奧運會所有獨立的安保標，其中，奧組委管理網(wǎng)專項安全保障項目、奧組委官方網(wǎng)站、奧帆委信息安全服務項目等均是獨家中標。與此同時，啟明星辰還同時參加了國家計算機網(wǎng)絡應急技術處理協(xié)調中心、第29屆奧運會安保小組、北京市公安局等多個國家級奧運應急保障工作; 承擔了政府、金融、電信、電力、燃氣、民航、海關等50多個客戶在奧運期間的信息安全保障和現(xiàn)場值守工作。最終，我們圓滿地完成了安保任務。

要知道，互聯(lián)網(wǎng)是沒有國界的，我們所面臨的是世界級的黑客和頂級的網(wǎng)絡威脅，如果我們的技術沒有達到國際主流水平的話，是不可能在網(wǎng)絡安全領域有所作為的。

但是，我不愿意過多渲染這種技術能力。一個原因是目前網(wǎng)絡安全變得比較敏感; 第二個原因是安全技術本身并不能成為企業(yè)的核心競爭力。技術必須和客戶的需求相結合才能產(chǎn)生價值。所以，我們要沉下心來研究客戶的業(yè)務，研究他們的業(yè)務特點、所面臨的風險、所遇到的問題; 第三個原因是我們要關注國家的政策層面，譬如說等級保護，我們應該怎樣更好地為政策落地做好技術支撐。

依法設防是方向

依法設防很有必要，但對用戶而言，并非遵從了法律就萬事大吉了; 很難給產(chǎn)品貼上安全等級的標簽，因為同樣的產(chǎn)品，放在不同的環(huán)境中，安全性有所不同。

孫定: 你剛才談到我們要關注國家的政策層面。隨著近幾年一些與安全相關的法規(guī)相繼推出，有一種看法認為，依法設防將是產(chǎn)業(yè)發(fā)展的一個大方向。你是否也這樣認為？

嚴望佳: 依法設防很有必要。對于國家主管部門來講，從事網(wǎng)絡安全工作，肯定要有一些管理的抓手，有了法律、法規(guī)以后，這個工作比較容易做好; 對于用戶而言，在建設安全系統(tǒng)時，不僅有一個綱要和指南可以去依托，還可以加強大家的網(wǎng)絡安全意識。

對于用戶而言，并非遵從了法律就萬事大吉了。譬如，啟明星辰做了國家的軟件認證、ISO認證等很多方面的認證，但并非為了做認證而認證，并不是說我們表面上貼一張紙，拿一個證書掛在墻壁上好看，而是要達到我們做認證的目標。在落實國家法律方面也是如此，要吃透本質，加強安全能力，否則也就是一張紙。

孫定: 既然依法設防很有必要，那我們啟明星辰給用戶提供產(chǎn)品、服務和解決方案時，會不會給它們貼上這樣的標簽——我們符合企業(yè)內控標準、我們符合等級保護第幾級防御規(guī)范？

嚴望佳: 我們還沒有貼出這樣的產(chǎn)品標簽。業(yè)界有企業(yè)這樣做，我不敢評判其對錯。

啟明星辰現(xiàn)在提供一些協(xié)助企業(yè)遵從法規(guī)的服務，這些服務主要是幫助用戶歸避風險、定位風險、分析怎樣將風險定值，然后幫助用戶制作符合等級保護的安全建設的方案。最后，由客戶自己定級，由國家主管部門來完成評級。

我們?yōu)楹尾粚a(chǎn)品貼上等級的標簽呢？因為產(chǎn)品到達了某個級別的意思是，提供某種功能產(chǎn)品是否放在合適的網(wǎng)絡環(huán)境中，有沒有起到專門的作用。舉一個例子，譬如我們把一棟大樓做得像城堡一樣堅固，采購了世界上最堅固的門。你可以說，這樣就安全了嗎？其實不然。

同樣的產(chǎn)品，放在不同的環(huán)境中，安全性有所不同。因此，很難給產(chǎn)品貼標簽。

孫定: 有人認為，如果往依法設防這條路上發(fā)展的話，整個安全產(chǎn)業(yè)生態(tài)就會重組。第一層是咨詢業(yè)，按照法律、法規(guī)的要求來幫你診斷，你應該怎樣調整、設防才合規(guī); 第二部分是解決方案供應商、產(chǎn)品供應商; 第三部分是檢驗機構，譬如說等級保護三級以上每年檢一次。你是否也這樣認為？

嚴望佳:這是很正常的。一些大客戶像中石油、中石化等實施IT時，先是請咨詢公司針對IT建設，做一個特別詳細的規(guī)劃; 然后由產(chǎn)品供應商提供產(chǎn)品、系統(tǒng)集成商提供集成方案; 最后由監(jiān)理機構做監(jiān)理。將IT行業(yè)的一個結構應用到安全領域，同樣也成立。

但是，這樣并不能保證網(wǎng)絡的絕對安全，網(wǎng)絡安全的問題是動態(tài)平衡的狀態(tài)，是風險可控的狀態(tài)。就像我們人，不可能生活在一個絕對純凈的世界里一樣，要想所有的網(wǎng)絡里面都沒有一點病毒、沒有一個惡意代碼，完全去消除網(wǎng)絡犯罪，那是不可能的。

安全之門可把控

有組織犯罪的確存在，而且還很強大。但目前還處在一個可控的狀態(tài)下，沒有影響到日常生活。

孫定: 長久以來，用戶和安全廠商一直在前線和黑客及各種各樣的威脅做斗爭。在依法設防后，對CIO而言，是不是只要按照法律、法規(guī)的要求執(zhí)行網(wǎng)絡信息安全，并且通過了國家的審計，就算盡到責任了？

嚴望佳: 你這樣認為有點過激了。從理論上講，你的邏輯沒有問題，但現(xiàn)實生活中，符合法規(guī)、法律是一個最根本的東西，在法律下面，還有道德底線。

依法設防成為一條法律，肯定有主管部門對網(wǎng)絡安全方面的思考和想法，其目的是提高國家網(wǎng)絡安全的保護能力。對用戶而言，他投資做網(wǎng)絡安全系統(tǒng)建設，需要投資回報，需要了解除了要符合國家安全法律、法規(guī)的要求外，其信息安全到底處在一個怎樣的狀態(tài)，風險如何控制。

從我們做大客戶的經(jīng)驗來講，并非只要符合法規(guī)，出了事就與CIO無關了。如果出了事是要受行政處罰的。

孫定: 你認為現(xiàn)在的安全威脅，譬如說有組織犯罪是一個很嚴重的問題嗎？有人把它說得很嚴重，說一些安全公司都是黑白兩道通吃。我聽說有家不知名的安全公司，員工在網(wǎng)上買東西從來自己不花錢，隨便在網(wǎng)上找信用卡刷。還有一家俄羅斯的電子商務網(wǎng)站，專賣各種信用卡、密碼、源代碼、漏洞什么的。

嚴望佳:在網(wǎng)絡虛擬空間中，有組織犯罪的確存在，而且，有的力量還很強大。但是，大家沒有必要太擔心，因為他們目前還是在一個可控狀態(tài)下，還沒有影響到老百姓的日常生活。

2001年，美國的一些大網(wǎng)站包括雅虎、e-Bay遭到大的攻擊，全部宕機，當時美國正處在信息高速公路快速建設的軌道上。大家討論，繼續(xù)往前走，如果不可控的話，以后社會穩(wěn)定都會成問題。最終大家還是選擇往前走，因為IT技術帶來的變革太偉大了，只要我們重視安全，這些問題還是可控的。

至于你說的安全公司員工上網(wǎng)買東西不花自己的錢，我沒有見過這樣的企業(yè)，或者說這樣的企業(yè)還沒有大到我們應該知道它。對于客戶而言，網(wǎng)絡安全是個大事兒，因為網(wǎng)絡安全技術既可以保護它，也可以傷害它。因此任何一個客戶選擇網(wǎng)絡安全供應商時都會十分慎重。就像你家請保安、請保姆，首先要考慮的是他的品行。

采訪手記

源自精神追求的魅力

我很喜歡嚴望佳。

對我而言，她的獨特魅力并非因為她有“女企業(yè)家”“女強人”“女博士”這樣的稱謂，而有所增強或者減弱。她的魅力來自她內心深處那種強烈的精神追求所產(chǎn)生的強烈氣場。

認識嚴望佳是源自幾年前要做一個海歸創(chuàng)業(yè)的選題。當時，啟明星辰還在農科院一個不起眼的小樓里辦公。當瘦削、清秀的她接受采訪時，我一直很訝異，這就是傳說中的“中國網(wǎng)絡安全一姐”，她分明就是一位外表文靜、內心充滿報效祖國熱情的女學生。

1996年，沃頓商學院計算機中心系統(tǒng)分析小組的負責人、賓西法尼亞計算機博士嚴望佳在回國時，驚訝地發(fā)現(xiàn)國家信息中心采購國際最高端的設備，但信息安全在中國卻是一片空白?！爸袊男畔踩珣撚芍袊俗约簛碜觥保瑧{借這一信念，從小到大都在校園里面生活和工作、沒有任何獨闖社會的經(jīng)歷、年僅26歲的嚴望佳賣掉了美國的房子、車子，回國開始了她那充滿理想主義的創(chuàng)業(yè)之路。

13年過去了，啟明星辰已走出了一條從國家科研項目實施到核心技術積累，再到推出自主創(chuàng)新產(chǎn)品，直至工程示范、產(chǎn)業(yè)化的高科技企業(yè)發(fā)展成功之路; 而當年的那個女學生已成長為一位充滿智慧的優(yōu)雅女性，雖然她的書生氣、學生味兒依然存在。

中和、中正、自強、責任、沉靜、承諾，是嚴望佳給啟明星辰沉淀下來的企業(yè)文化基調，但如果沒有強烈的、持續(xù)的、內在的精神追求，這些企業(yè)文化基因難以沉淀。要知道，在動蕩不安的網(wǎng)絡安全領域，耐得住寂寞、頂?shù)米「≡?、專注地?chuàng)新，并非易事。（文/毛江華）

總裁感悟

網(wǎng)絡安全公司最重要的是信譽

嚴望佳認為，網(wǎng)絡安全公司最重要的是信譽。其被信賴程度跟技術的前沿性同樣重要，因此，多年來，啟明星辰在其企業(yè)文化建設中，一直倡導正面的價值觀——為國家、為社會承擔責任。

“如果一個企業(yè)不對社會負責任，那么員工能對企業(yè)負責任嗎？根本不可能?！?嚴望佳說。當然，一種文化的達成與構建，需要同一文化圈子里的人長期的堅守。

一方面，啟明星辰堅守對員工負責。2003年非典期間，啟明星辰幾乎沒了收入來源，不僅沒有降低員工的薪水，還照樣發(fā)放了獎金; 這次金融危機發(fā)生的時候，啟明星辰就向員工做出承諾，不裁員、不降薪?！傲硗?，我們內部還有一個愛心基金，誰有困難支持誰?！?/p>

另一方面，啟明星辰做了很多公益活動，每年都在支持一些貧困大學生、支持一些教育的公益項目。今年遇到金融危機，啟明星辰并未減少公益活動經(jīng)費，“因為在困難的時候，他們可能比我們還要困難?！?/p>