随着市场竞争日益激烈，如何保障企业内部网络的数据内网数据安全，确保信息不被泄密，成为企业日益关心的问题。为了解该领域的产品和技术发展状况，最近我专访了我国信息安全领域的龙头软件企业 -- 上海山丽信息安全有限公司的总经理周军刚先生。

    黄培：请周总介绍一下山丽网安成立的背景和发展现状。
    周军刚：信息安全对于国家，对于企业都至关重要。出于这样的一个使命感，我们从99年就开始进行技术和人才的储备，2003年研发出产品，并开始进行公司运作。
    我认为，信息安全行业在IT行业里能做得比较大，而且会有长期的、迅速增长的需求，不是眼球经济，而是以核心技术作为竞争的基础。在该领域，即使外资企业进入，我们还是有自己的生存和发展空间。因此，山丽网安专注于信息安全领域。
    山丽网安成立这几年来，最主要的目标是做开发，进行产品积累、技术积累。我认为，在信息安全领域，如果技术或产品不成熟就贸然进行市场拓展，一方面会对客户带来不必要的损失，另一方面我们公司的损失可能更严重。因此，在这过去的四年时间里，我们一直在苦练内功。今年年初，我们的一些产品经过了国家相关部门的检测，包括军方、公安部，也得到样板客户的应用。应该说我们对市场的把脉比较准，客户的反应良好。
    目前，山丽网安有70多名员工，设置了商务中心和研发中心，一边有三十多人，分两处办公。商务中心强调以客户为中心，而研发中心则坚持我们对产品、对技术的追求。商务中心包括营销部门、售后服务部门和工程技术部门，负责了解和挖掘客户需求，为客户提供优质服务。商务中心解决不了的问题，就会反馈给研发中心。我们还设立了一个专门的战略部门，工作重点是探索公司的未来发展方向。

    黄：山丽网安的产品系列从企业级的大型应用软件到杀毒软件，请您介绍一下详细情况。
    周：信息安全有不同的层次和不同的应用模式。因此，我们的产品定位于解决个人、企业和运营商三个层次的信息安全问题。
    首先是个人市场。我们用四年多的时间开发出安铁诺杀毒软件，以解决个人的信息安全问题。今年我们推出了安铁诺2008版，融合了反病毒、反木马、反流氓软件、反盗号等功能。而最重要的是融合了反盗号功能。个人市场一方面可以带来一定的收入，更重要的是可以帮助我们扩大品牌影响力。
    第二是企业市场。我们主推的是以自主开发的"环境指纹技术"为核心的防水墙产品，帮助企业防止自身的知识资产泄漏出去。
    第三是运营商市场。运营商运行着与我们日常生活中息息相关的系统，如电信系统、互联网系统，提供通讯、宽带网、在线支付，以及未来的3G等服务，这些系统的安全对整个社会的信息完全影响非常大。我们要帮助运营商保障从客户端到电信接收端整个链的安全问题，防盗取、防监听、防拦截。这是我们定位的前瞻性的市场。
    对于山丽网安而言，个人市场是解决品牌问题，企业市场是解决现金流问题，而运营商市场是解决未来发展问题。针对这三个市场，我们都尽可能地提供系统性的解决方案。例如，面向个人市场，我们不仅解决反病毒，还融合了反木马、反盗号、反黑客、反沉迷功能；面向企业市场，我们不仅解决防信息泄露问题，还融合了网络系统管理功能；而面向运营商，我们则与运营商一起对其业务发展方向进行探讨，例如对3G业务的支持，帮助他们完善信息安全策略。
    
    黄：请您介绍一下山丽网安的定位，与瑞星、江民等防病毒软件厂商有何不同？
    周：山丽网安的定位是信息安全厂商，而不是杀毒软件厂商。我们做杀毒软件是为了表明我们具备相关技术，能够应对不断变化的病毒问题。实际上微软也在做杀毒软件。微软进入该市场的时候，很多人认为这对国内杀毒软件厂商来说是灾难，也有很多记者打电话过来问我有何看法。我说，这是一个很好的事情，微软的进入有利杀毒软件进一步成熟。但是，肯定有微软解决不了的问题，因此，国内杀毒软件厂商肯定有自己的发展空间。
    
    黄：目前，国际杀毒软件市场的整体状况如何？
    周：目前，国际上杀毒软件排名中前12位没有中国软件。在全球市场上影响最大的是诺顿，卡巴斯基排在第十位。卡巴斯基确实不错，但它的缺陷也很明显，扫描速度比较慢。杀毒软件行业对卡巴斯基公司还是非常推崇的，我们经常说的AVP命名方式都是以卡巴斯基命名的。包括国内很多公司据说都使用卡巴斯基的引擎。而我们的安铁诺产品是百分百自主版权。
    
    黄：企业在考虑信息安全策略时，早期考虑得比较多的是防火墙，是防"外贼"的。而现在企业考虑内网数据安全，开始应用"防水墙"，实际上是防"家贼"的。请您剖析一下这一变化。
    周：这个问题非常好，也是我在信息安全行业研讨会上的一个命题。当时的命题是，安全问题已经由外部安全问题转为内部安全问题；同时，信息安全需要和应用结合。只有结合了应用，信息才能实现长治久安。因此，我的观点是应用安全化，安全应用化。
    我常常在思考，一个企业的核心资产到底是什么？早期强调的是固定资产，后来又强调人才。但人才是流动的，比固定资产还要难以控制。那么，究竟什么是企业的核心资产呢？我想，一个是企业文化，经久不息，源远流长；另一个是企业的知识资产。知识资产一旦形成，可以让公司后来的所有人受益，并在此基础上发展、创新。企业只有把知识资产的安全问题解决好，才能有生命力。
    2005年，信息安全行业曾经对产业发展方向展开过一个大讨论。我当时发表的观点就是，解决企业内部的信息安全问题，尤其是数据安全问题是未来信息安全产业发展的主要方向。不出我所料，2006年企业内网数据安全一下子就热起来了。我们推出了防水墙，还有不少公司推出数据文档加解密软件。
    山丽网安从2003年就开始进行防水墙软件的开发工作。防水墙的基本目标是帮助企业保障知识资产不产生无序的、不受管理的流动，保障企业能够实现可持续的发展和创新。防水墙这个名字很贴切，也很容易理解。我们的防水墙产品已经受到了市场的广泛欢迎。
    信息和资产如果不进行流动，就不能够实现知识共享，就难以实现真正的创新。因此，如果想保护知识资产，就必须让企业内部按照业务流程，例如PDM中的产品研发流程进行流动；另一方面，如果知识资产流出企业，被竞争对手克隆或模仿，企业就有可能丧失竞争优势。因此，要建立一道"防水墙"，让知识资产一旦流动企业的网络环境之外，就是不可阅读的，自动"蒸发"。这样才能保障企业知识资产的安全。因此，我们与很多应用软件厂商，尤其是PDM/PLM厂商进行了深入合作，让我们的防水墙产品能够很好地与这些应用软件融合。
    
    黄：您对企业内网数据安全市场的前景看法如何？有那些主要竞争对手？
    周：企业对内网数据安全的重视程度很高，我们在市场上也获得了良好的反馈。因此，我认为该市场具有巨大的潜力。同时，我国企业内网数据安全领域的厂商还不是很多。除了山丽网安之外，还有其他为数极少的一两家企业，但他们都是基于审计的，彻底掌握对内容进行真正的事前防泄漏并进入应用的目前在全球也就是山丽一家。
    
    黄：请您对防水墙的概念做一个通俗的解释。您认为山丽网安的放水墙技术在国际、国内处于什么层次？
    周：防水墙技术有两个层次，第一个层次叫设备管理，它面向的对象是设备，比如说光驱、比如说U盘。它采用的方法是禁止这些存储设备的使用，或者在使用过程中把过程记录下来，中软的防水墙产品属于这种类型。这种防水墙相当于管理一个个仓库，因为接口多变，所以仓库也会变化，因此这是一个很好的方向，但不是终极的发展方向。山丽网安关注的是数据本身安全的问题，相当于货物本身。我们给货物打上标记，这个标记代表着这个数据只能存在几号仓，它离开几号仓之后就失效了。我们所参考一些特征值，比如说硬盘的序列号、网卡的地址、所使用的软件、正在运行的软件，以及进行这些操作的时间，都被我们定义为环境。然后用这些环境指标形成密钥，对这个文件进行加密。经过加密后，这个文件只能在该机器或网络环境中被使用。我们将其称为环境指纹技术。
    目前，我们的技术已经在美国、韩国，日本、欧洲同时申请专利。在国内，我们也在很早的时间申请了技术专利，随后我们还申请了几个相关专利。这个专利的水平在国际上属于先进水平，目前，我还没有见过类似专利。因此，我认为我们已经掌握了防水墙的核心技术，而且走在了前列。从国内、国际市场反馈来看，我们的方法和理念目前也确实处在前沿。当然，我自己感觉我们还处在探索阶段。但让人感觉欣慰的是，我们在不断接近最前沿，也代表着最前沿。
    
    黄：山丽网安的环境指纹技术采用了哪些底层技术？
    周：我们采用了系统核心驱动层的内核技术。因此，我们的技术能够对所有数据进行过滤，数据被我们的程序处理之后，就带上了我们的标签，被我们的软件保护起来。
    
    黄：山丽网安的加密技术是否通过了相关的认证呢？
    周：我们的产品已经通过军方、公安和国家保密局的检测认证。其中难度最大的是军方的检测认证，其特点就是破解。我们使用的是国家规定的加密算法，是不可逆的，有多层密钥，包括与时间相关的，与空间相关的信息。空间信息可以被复制，但我认为没有人可能复制时间信息，当密钥把时间与空间结合起来之后，密钥的产生真正是随机的，没有规律的，加密上称作"真随机"，和"伪随机"相对。
    
    黄：越来越多的大型企业的机构遍布全国各地，甚至全球各地，公司的内部交流还是需要利用互联网来交换数据。这种情况如何保证数据安全呢？
    周：软件的应用环境既有可能是由三台电脑组成的局域网，也可能是一家公司在一个城市内两个办公地点的网络环境，也可以是一个跨地域的环境。不论环境大小，只要在这个环境之内，资料就可以流通。山丽网安的防水墙软件可以进行域管理，有一般域管理、部门域管理、主域管理等，将各种应用软件的应用环境进行明确定义。
    
    黄：贵公司如何保护知识资产呢？您花很多精力进行研发管理是否出于保护公司知识资产的考虑？
    周：知识资产的保护是一个管理问题。我认为，知识资产的保护分为三个层次。第一种是我们认为不能公开的技术，要作为我们的核心技术进行保密，这在国外称为Know How；第二种是我们认为可以公开的技术，需要申请专利；第三种是不但可以公开，而且是员工应当掌握的，应当让大家学习、掌握、共享，来提高企业创新能力。我认为，总经理应该关注三件事情：三分之一时间管技术、三分之一时间管销售、三分之一时间管人事。实际上我在不同的时间段把精力重点放在不同的方面。
    
    黄：您如何在提高软件开发质量得同时，避免核心人才的流失？
    周：人才流失的可能性是存在的。我们非常重视软件工程，在中国主要从事信息安全业务的软件公司中，山丽网安可能是唯一通过CMM三级评估的企业。国内有些大型软件公司有通过CMM三级或四级评估的，但他们的主业是软件外包。我们投资了90万元通过CMM三级评估。作为一家从事软件产品研发的公司，我们之所以这么做，是希望借用国外成熟的软件企业规范的研发管理模式。我们围绕CMM体系，结合我们企业的实际进行了适当的裁剪。我认为通过实施CMM，对我们公司会带来很大的收益。实施CMM三级评估、完善公司管理制度、关键技术注册专利，以及对核心员工给予更多的人文关怀，加强企业文化建设，是山丽网安员工相对稳定的主要原因。
    实际上，目前我们公司已经开始遵循CMM四级，按照一个大型软件开发组织的流程来组织软件研发了，代码的复用率较高。我们软件产品的编码工作量可以只占整个项目开发的20%到25%的时间了。以往，中国软件企业更重视编码，更重视编程高手。而实际上，更重要的是设计。因此，我们做软件设计得非常细，大大提高了软件质量和开发效率。
    
    黄：从去年开始，不少软件公司开始涉足文档加密软件。您认为他们的技术水平如何？
    周：大多数公司采用的是动态加解密技术，其特点是嵌入在windows操作系统的内核里，对系统的兼容性要求非常高，目前市场上成熟的产品还比较少。只有我们采用了环境指纹技术。
    
    黄：目前，您的防水墙的推广的情况做得怎么样？
    周：我关注e-works比较早，我认为e-works是帮助我们推广防水墙品牌的一个很好的平台。目前，我们的开发风险已经没有了，产品已经出来，而且拿到了国家的认证，因此已经具备了市场推广的条件。因此，未来的工作重点是推广我们的品牌。我认为推广品牌既包括销售，更重要得是验证我们产品的性能。防水墙产品的验证工作从03年就开始了。我认为现在已经到了大力推广阶段。
    
    黄：在信息化领域分两类，一类是比较接近于产品，例如CAD、财务软件偏重于应用。另外一类是接近项目，例如ERP，需要很长的时间实施。那你认为你们的产品解决方案更偏向于哪方面？
    周：我认为更偏向于产品。但是我们的信息安全产品必须与应用结合，所以我们必须与一些应用程序进行一定的融合，比如挂接、互相访问。目前，我们的防水墙是纯软件，在今年底之前我们会出硬件。出硬件一方面是我们希望把系统做得更加稳定；另一方面是让用户使用起来更方便，缩短系统的实施周期。
   
    黄：防水墙软件具体与应用软件如何集成呢？例如PDM？
    周：PDM软件有很多功能需要调用我们的产品。例如PDM有图档浏览功能，而应用了我们的软件之后，数据放在数据库里都是加密存储的，PDM直接调用加密的数据就不能实现预览，因此，PDM就需要调用我们的接口程序。这样，即使数据是密文PDM也可以实现预览，但数据不能导出，可以确保数据安全。
    
    黄：山丽网安在防水墙产品推广方面有何计划？
    周：我们要让防水墙像防病毒产品一样，具有广泛的知名度。因此，2007年我们会在全国举办巡展，并加大市场推广力度，尤其是加大与e-works的合作力度。我们企业的文化是"文以山丽，山以文传"，品牌推广需要靠我们自己的产品质量，但同时也必须靠更专业的品牌推广公司来帮助我们走到前台，正所谓"山以文传"。

周军刚总经理与黄培的合影

    后记：
    认识周总是在2006年11月e-works在京举办的产品创新数字化年会上。当时，周总介绍了企业的信息安全策略，也强调在信息安全领域，技术是核心，给我留下了深刻印象。的确，在信息安全领域，永远是魔高一尺，道高一丈。因此，信息安全软件公司的核心技术就是核心竞争力。
    在此次访谈中，周总用通俗的语言解答了企业信息和数据安全领域的诸多问题，使我茅塞顿开。我认为，通过应用防水墙等技术来保护企业的知识资产，将肯定是2007年制造业信息化领域的一个热门应用。