當(dāng)來(lái)自互聯(lián)網(wǎng)內(nèi)外的威脅成為眾多國(guó)家最嚴(yán)峻的考驗(yàn)之時(shí)，正在逐步成長(zhǎng)的中國(guó)安全產(chǎn)業(yè)面臨著怎樣的機(jī)會(huì)與挑戰(zhàn); 系列法規(guī)的實(shí)施，是否會(huì)對(duì)現(xiàn)有的產(chǎn)業(yè)格局帶來(lái)強(qiáng)烈的影響; 在有組織網(wǎng)絡(luò)犯罪的沖擊下，我們能否把控安全之門(mén)？7月7日，本報(bào)總編輯孫定與啟明星辰CEO嚴(yán)望佳就這些話(huà)題進(jìn)行了深入的交流。

技術(shù)并非核心競(jìng)爭(zhēng)力

沒(méi)有哪項(xiàng)安全技術(shù)可以和其他的IT技術(shù)截然分開(kāi); 網(wǎng)絡(luò)安全因傳統(tǒng)的網(wǎng)絡(luò)設(shè)備供應(yīng)商與安全企業(yè)攜手，而變得更加完備; 對(duì)于網(wǎng)絡(luò)安全企業(yè)而言，技術(shù)并非核心競(jìng)爭(zhēng)力。

孫定: 最近幾年，全球信息安全產(chǎn)業(yè)出現(xiàn)一些變化: 一方面是安全形勢(shì)尤為嚴(yán)峻; 另一方面，是網(wǎng)絡(luò)巨頭都高舉安全大旗進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域，譬如思科、華為、HP網(wǎng)絡(luò)，你怎么判斷這些變化對(duì)產(chǎn)業(yè)帶來(lái)的影響和變化？

嚴(yán)望佳: 網(wǎng)絡(luò)安全是一個(gè)既獨(dú)立又不獨(dú)立的行業(yè)，網(wǎng)絡(luò)的安全性譬如說(shuō)操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)施安全、終端安全和應(yīng)用系統(tǒng)安全等都是建立在網(wǎng)絡(luò)結(jié)構(gòu)里面各個(gè)元素的安全基礎(chǔ)之上的，沒(méi)有哪一項(xiàng)專(zhuān)門(mén)的安全技術(shù)可以和其他的IT技術(shù)截然分開(kāi)。

思科、華為介入網(wǎng)絡(luò)安全已有很長(zhǎng)的歷史，只不過(guò)當(dāng)時(shí)沒(méi)有足夠大的市場(chǎng)來(lái)支撐網(wǎng)絡(luò)安全獨(dú)立地成為一個(gè)產(chǎn)業(yè)。思科在提供網(wǎng)絡(luò)設(shè)備、進(jìn)行網(wǎng)絡(luò)研究時(shí)就將安全考慮進(jìn)去。作為一家硅谷公司，思科習(xí)慣以并購(gòu)形式獲得好的團(tuán)隊(duì)和技術(shù)積累。

這幾年來(lái)，隨著政府、民眾和企業(yè)用戶(hù)對(duì)網(wǎng)絡(luò)安全的重視，思科、華為加大了在網(wǎng)絡(luò)安全領(lǐng)域的投入。但是，和以前相比，并未出現(xiàn)質(zhì)的飛躍——迄今為止，沒(méi)有誰(shuí)能夠提出較為徹底地解決網(wǎng)絡(luò)安全的技術(shù)架構(gòu)。

華為、思科不可能完全替代專(zhuān)業(yè)性的網(wǎng)絡(luò)安全企業(yè)。相反地，網(wǎng)絡(luò)安全因思科和華為這些傳統(tǒng)的網(wǎng)絡(luò)設(shè)備供應(yīng)商與安全企業(yè)攜手，而變得更加完備。

孫定: 我很贊同你的看法，網(wǎng)絡(luò)設(shè)備商與安全企業(yè)的合作會(huì)讓用戶(hù)受益。那么，作為中國(guó)網(wǎng)絡(luò)安全行業(yè)的領(lǐng)頭企業(yè)和產(chǎn)業(yè)的見(jiàn)證者，你認(rèn)為中國(guó)網(wǎng)絡(luò)安全的技術(shù)水平到底處在一個(gè)什么樣的程度？你認(rèn)為我們的挑戰(zhàn)和機(jī)會(huì)是什么？

嚴(yán)望佳: 我相信包括啟明星辰在內(nèi)的幾家中國(guó)安全企業(yè)的技術(shù)積累已經(jīng)達(dá)到了國(guó)際主流水平。

去年，啟明星辰中了北京奧運(yùn)會(huì)所有獨(dú)立的安保標(biāo)，其中，奧組委管理網(wǎng)專(zhuān)項(xiàng)安全保障項(xiàng)目、奧組委官方網(wǎng)站、奧帆委信息安全服務(wù)項(xiàng)目等均是獨(dú)家中標(biāo)。與此同時(shí)，啟明星辰還同時(shí)參加了國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、第29屆奧運(yùn)會(huì)安保小組、北京市公安局等多個(gè)國(guó)家級(jí)奧運(yùn)應(yīng)急保障工作; 承擔(dān)了政府、金融、電信、電力、燃?xì)狻⒚窈?、海關(guān)等50多個(gè)客戶(hù)在奧運(yùn)期間的信息安全保障和現(xiàn)場(chǎng)值守工作。最終，我們圓滿(mǎn)地完成了安保任務(wù)。

要知道，互聯(lián)網(wǎng)是沒(méi)有國(guó)界的，我們所面臨的是世界級(jí)的黑客和頂級(jí)的網(wǎng)絡(luò)威脅，如果我們的技術(shù)沒(méi)有達(dá)到國(guó)際主流水平的話(huà)，是不可能在網(wǎng)絡(luò)安全領(lǐng)域有所作為的。

但是，我不愿意過(guò)多渲染這種技術(shù)能力。一個(gè)原因是目前網(wǎng)絡(luò)安全變得比較敏感; 第二個(gè)原因是安全技術(shù)本身并不能成為企業(yè)的核心競(jìng)爭(zhēng)力。技術(shù)必須和客戶(hù)的需求相結(jié)合才能產(chǎn)生價(jià)值。所以，我們要沉下心來(lái)研究客戶(hù)的業(yè)務(wù)，研究他們的業(yè)務(wù)特點(diǎn)、所面臨的風(fēng)險(xiǎn)、所遇到的問(wèn)題; 第三個(gè)原因是我們要關(guān)注國(guó)家的政策層面，譬如說(shuō)等級(jí)保護(hù)，我們應(yīng)該怎樣更好地為政策落地做好技術(shù)支撐。

依法設(shè)防是方向

依法設(shè)防很有必要，但對(duì)用戶(hù)而言，并非遵從了法律就萬(wàn)事大吉了; 很難給產(chǎn)品貼上安全等級(jí)的標(biāo)簽，因?yàn)橥瑯拥漠a(chǎn)品，放在不同的環(huán)境中，安全性有所不同。

孫定: 你剛才談到我們要關(guān)注國(guó)家的政策層面。隨著近幾年一些與安全相關(guān)的法規(guī)相繼推出，有一種看法認(rèn)為，依法設(shè)防將是產(chǎn)業(yè)發(fā)展的一個(gè)大方向。你是否也這樣認(rèn)為？

嚴(yán)望佳: 依法設(shè)防很有必要。對(duì)于國(guó)家主管部門(mén)來(lái)講，從事網(wǎng)絡(luò)安全工作，肯定要有一些管理的抓手，有了法律、法規(guī)以后，這個(gè)工作比較容易做好; 對(duì)于用戶(hù)而言，在建設(shè)安全系統(tǒng)時(shí)，不僅有一個(gè)綱要和指南可以去依托，還可以加強(qiáng)大家的網(wǎng)絡(luò)安全意識(shí)。

對(duì)于用戶(hù)而言，并非遵從了法律就萬(wàn)事大吉了。譬如，啟明星辰做了國(guó)家的軟件認(rèn)證、ISO認(rèn)證等很多方面的認(rèn)證，但并非為了做認(rèn)證而認(rèn)證，并不是說(shuō)我們表面上貼一張紙，拿一個(gè)證書(shū)掛在墻壁上好看，而是要達(dá)到我們做認(rèn)證的目標(biāo)。在落實(shí)國(guó)家法律方面也是如此，要吃透本質(zhì)，加強(qiáng)安全能力，否則也就是一張紙。

孫定: 既然依法設(shè)防很有必要，那我們啟明星辰給用戶(hù)提供產(chǎn)品、服務(wù)和解決方案時(shí)，會(huì)不會(huì)給它們貼上這樣的標(biāo)簽——我們符合企業(yè)內(nèi)控標(biāo)準(zhǔn)、我們符合等級(jí)保護(hù)第幾級(jí)防御規(guī)范？

嚴(yán)望佳: 我們還沒(méi)有貼出這樣的產(chǎn)品標(biāo)簽。業(yè)界有企業(yè)這樣做，我不敢評(píng)判其對(duì)錯(cuò)。

啟明星辰現(xiàn)在提供一些協(xié)助企業(yè)遵從法規(guī)的服務(wù)，這些服務(wù)主要是幫助用戶(hù)歸避風(fēng)險(xiǎn)、定位風(fēng)險(xiǎn)、分析怎樣將風(fēng)險(xiǎn)定值，然后幫助用戶(hù)制作符合等級(jí)保護(hù)的安全建設(shè)的方案。最后，由客戶(hù)自己定級(jí)，由國(guó)家主管部門(mén)來(lái)完成評(píng)級(jí)。

我們?yōu)楹尾粚a(chǎn)品貼上等級(jí)的標(biāo)簽?zāi)兀恳驗(yàn)楫a(chǎn)品到達(dá)了某個(gè)級(jí)別的意思是，提供某種功能產(chǎn)品是否放在合適的網(wǎng)絡(luò)環(huán)境中，有沒(méi)有起到專(zhuān)門(mén)的作用。舉一個(gè)例子，譬如我們把一棟大樓做得像城堡一樣堅(jiān)固，采購(gòu)了世界上最堅(jiān)固的門(mén)。你可以說(shuō)，這樣就安全了嗎？其實(shí)不然。

同樣的產(chǎn)品，放在不同的環(huán)境中，安全性有所不同。因此，很難給產(chǎn)品貼標(biāo)簽。

孫定: 有人認(rèn)為，如果往依法設(shè)防這條路上發(fā)展的話(huà)，整個(gè)安全產(chǎn)業(yè)生態(tài)就會(huì)重組。第一層是咨詢(xún)業(yè)，按照法律、法規(guī)的要求來(lái)幫你診斷，你應(yīng)該怎樣調(diào)整、設(shè)防才合規(guī); 第二部分是解決方案供應(yīng)商、產(chǎn)品供應(yīng)商; 第三部分是檢驗(yàn)機(jī)構(gòu)，譬如說(shuō)等級(jí)保護(hù)三級(jí)以上每年檢一次。你是否也這樣認(rèn)為？

嚴(yán)望佳:這是很正常的。一些大客戶(hù)像中石油、中石化等實(shí)施IT時(shí)，先是請(qǐng)咨詢(xún)公司針對(duì)IT建設(shè)，做一個(gè)特別詳細(xì)的規(guī)劃; 然后由產(chǎn)品供應(yīng)商提供產(chǎn)品、系統(tǒng)集成商提供集成方案; 最后由監(jiān)理機(jī)構(gòu)做監(jiān)理。將IT行業(yè)的一個(gè)結(jié)構(gòu)應(yīng)用到安全領(lǐng)域，同樣也成立。

但是，這樣并不能保證網(wǎng)絡(luò)的絕對(duì)安全，網(wǎng)絡(luò)安全的問(wèn)題是動(dòng)態(tài)平衡的狀態(tài)，是風(fēng)險(xiǎn)可控的狀態(tài)。就像我們?nèi)?，不可能生活在一個(gè)絕對(duì)純凈的世界里一樣，要想所有的網(wǎng)絡(luò)里面都沒(méi)有一點(diǎn)病毒、沒(méi)有一個(gè)惡意代碼，完全去消除網(wǎng)絡(luò)犯罪，那是不可能的。

安全之門(mén)可把控

有組織犯罪的確存在，而且還很強(qiáng)大。但目前還處在一個(gè)可控的狀態(tài)下，沒(méi)有影響到日常生活。

孫定: 長(zhǎng)久以來(lái)，用戶(hù)和安全廠商一直在前線(xiàn)和黑客及各種各樣的威脅做斗爭(zhēng)。在依法設(shè)防后，對(duì)CIO而言，是不是只要按照法律、法規(guī)的要求執(zhí)行網(wǎng)絡(luò)信息安全，并且通過(guò)了國(guó)家的審計(jì)，就算盡到責(zé)任了？

嚴(yán)望佳: 你這樣認(rèn)為有點(diǎn)過(guò)激了。從理論上講，你的邏輯沒(méi)有問(wèn)題，但現(xiàn)實(shí)生活中，符合法規(guī)、法律是一個(gè)最根本的東西，在法律下面，還有道德底線(xiàn)。

依法設(shè)防成為一條法律，肯定有主管部門(mén)對(duì)網(wǎng)絡(luò)安全方面的思考和想法，其目的是提高國(guó)家網(wǎng)絡(luò)安全的保護(hù)能力。對(duì)用戶(hù)而言，他投資做網(wǎng)絡(luò)安全系統(tǒng)建設(shè)，需要投資回報(bào)，需要了解除了要符合國(guó)家安全法律、法規(guī)的要求外，其信息安全到底處在一個(gè)怎樣的狀態(tài)，風(fēng)險(xiǎn)如何控制。

從我們做大客戶(hù)的經(jīng)驗(yàn)來(lái)講，并非只要符合法規(guī)，出了事就與CIO無(wú)關(guān)了。如果出了事是要受行政處罰的。

孫定: 你認(rèn)為現(xiàn)在的安全威脅，譬如說(shuō)有組織犯罪是一個(gè)很?chē)?yán)重的問(wèn)題嗎？有人把它說(shuō)得很?chē)?yán)重，說(shuō)一些安全公司都是黑白兩道通吃。我聽(tīng)說(shuō)有家不知名的安全公司，員工在網(wǎng)上買(mǎi)東西從來(lái)自己不花錢(qián)，隨便在網(wǎng)上找信用卡刷。還有一家俄羅斯的電子商務(wù)網(wǎng)站，專(zhuān)賣(mài)各種信用卡、密碼、源代碼、漏洞什么的。

嚴(yán)望佳:在網(wǎng)絡(luò)虛擬空間中，有組織犯罪的確存在，而且，有的力量還很強(qiáng)大。但是，大家沒(méi)有必要太擔(dān)心，因?yàn)樗麄兡壳斑€是在一個(gè)可控狀態(tài)下，還沒(méi)有影響到老百姓的日常生活。

2001年，美國(guó)的一些大網(wǎng)站包括雅虎、e-Bay遭到大的攻擊，全部宕機(jī)，當(dāng)時(shí)美國(guó)正處在信息高速公路快速建設(shè)的軌道上。大家討論，繼續(xù)往前走，如果不可控的話(huà)，以后社會(huì)穩(wěn)定都會(huì)成問(wèn)題。最終大家還是選擇往前走，因?yàn)镮T技術(shù)帶來(lái)的變革太偉大了，只要我們重視安全，這些問(wèn)題還是可控的。

至于你說(shuō)的安全公司員工上網(wǎng)買(mǎi)東西不花自己的錢(qián)，我沒(méi)有見(jiàn)過(guò)這樣的企業(yè)，或者說(shuō)這樣的企業(yè)還沒(méi)有大到我們應(yīng)該知道它。對(duì)于客戶(hù)而言，網(wǎng)絡(luò)安全是個(gè)大事兒，因?yàn)榫W(wǎng)絡(luò)安全技術(shù)既可以保護(hù)它，也可以傷害它。因此任何一個(gè)客戶(hù)選擇網(wǎng)絡(luò)安全供應(yīng)商時(shí)都會(huì)十分慎重。就像你家請(qǐng)保安、請(qǐng)保姆，首先要考慮的是他的品行。

采訪手記

源自精神追求的魅力

我很喜歡嚴(yán)望佳。

對(duì)我而言，她的獨(dú)特魅力并非因?yàn)樗小芭髽I(yè)家”“女強(qiáng)人”“女博士”這樣的稱(chēng)謂，而有所增強(qiáng)或者減弱。她的魅力來(lái)自她內(nèi)心深處那種強(qiáng)烈的精神追求所產(chǎn)生的強(qiáng)烈氣場(chǎng)。

認(rèn)識(shí)嚴(yán)望佳是源自幾年前要做一個(gè)海歸創(chuàng)業(yè)的選題。當(dāng)時(shí)，啟明星辰還在農(nóng)科院一個(gè)不起眼的小樓里辦公。當(dāng)瘦削、清秀的她接受采訪時(shí)，我一直很訝異，這就是傳說(shuō)中的“中國(guó)網(wǎng)絡(luò)安全一姐”，她分明就是一位外表文靜、內(nèi)心充滿(mǎn)報(bào)效祖國(guó)熱情的女學(xué)生。

1996年，沃頓商學(xué)院計(jì)算機(jī)中心系統(tǒng)分析小組的負(fù)責(zé)人、賓西法尼亞計(jì)算機(jī)博士嚴(yán)望佳在回國(guó)時(shí)，驚訝地發(fā)現(xiàn)國(guó)家信息中心采購(gòu)國(guó)際最高端的設(shè)備，但信息安全在中國(guó)卻是一片空白?！爸袊?guó)的信息安全應(yīng)該由中國(guó)人自己來(lái)做”，憑借這一信念，從小到大都在校園里面生活和工作、沒(méi)有任何獨(dú)闖社會(huì)的經(jīng)歷、年僅26歲的嚴(yán)望佳賣(mài)掉了美國(guó)的房子、車(chē)子，回國(guó)開(kāi)始了她那充滿(mǎn)理想主義的創(chuàng)業(yè)之路。

13年過(guò)去了，啟明星辰已走出了一條從國(guó)家科研項(xiàng)目實(shí)施到核心技術(shù)積累，再到推出自主創(chuàng)新產(chǎn)品，直至工程示范、產(chǎn)業(yè)化的高科技企業(yè)發(fā)展成功之路; 而當(dāng)年的那個(gè)女學(xué)生已成長(zhǎng)為一位充滿(mǎn)智慧的優(yōu)雅女性，雖然她的書(shū)生氣、學(xué)生味兒依然存在。

中和、中正、自強(qiáng)、責(zé)任、沉靜、承諾，是嚴(yán)望佳給啟明星辰沉淀下來(lái)的企業(yè)文化基調(diào)，但如果沒(méi)有強(qiáng)烈的、持續(xù)的、內(nèi)在的精神追求，這些企業(yè)文化基因難以沉淀。要知道，在動(dòng)蕩不安的網(wǎng)絡(luò)安全領(lǐng)域，耐得住寂寞、頂?shù)米「≡?、?zhuān)注地創(chuàng)新，并非易事。（文/毛江華）

總裁感悟

網(wǎng)絡(luò)安全公司最重要的是信譽(yù)

嚴(yán)望佳認(rèn)為，網(wǎng)絡(luò)安全公司最重要的是信譽(yù)。其被信賴(lài)程度跟技術(shù)的前沿性同樣重要，因此，多年來(lái)，啟明星辰在其企業(yè)文化建設(shè)中，一直倡導(dǎo)正面的價(jià)值觀——為國(guó)家、為社會(huì)承擔(dān)責(zé)任。

“如果一個(gè)企業(yè)不對(duì)社會(huì)負(fù)責(zé)任，那么員工能對(duì)企業(yè)負(fù)責(zé)任嗎？根本不可能。” 嚴(yán)望佳說(shuō)。當(dāng)然，一種文化的達(dá)成與構(gòu)建，需要同一文化圈子里的人長(zhǎng)期的堅(jiān)守。

一方面，啟明星辰堅(jiān)守對(duì)員工負(fù)責(zé)。2003年非典期間，啟明星辰幾乎沒(méi)了收入來(lái)源，不僅沒(méi)有降低員工的薪水，還照樣發(fā)放了獎(jiǎng)金; 這次金融危機(jī)發(fā)生的時(shí)候，啟明星辰就向員工做出承諾，不裁員、不降薪?！傲硗?，我們內(nèi)部還有一個(gè)愛(ài)心基金，誰(shuí)有困難支持誰(shuí)?！?/p>

另一方面，啟明星辰做了很多公益活動(dòng)，每年都在支持一些貧困大學(xué)生、支持一些教育的公益項(xiàng)目。今年遇到金融危機(jī)，啟明星辰并未減少公益活動(dòng)經(jīng)費(fèi)，“因?yàn)樵诶щy的時(shí)候，他們可能比我們還要困難?！?/p>