随着数字化时代的到来，数据毫无疑问已经成为企业的核心资产。然而对于企业而言，信息技术与关键业务的深度融合，特别是云计算、大数据、移动互联在企业的大规模应用，让数据安全越来越难掌控：一方面，云计算的普及打破了原有安全边界和数据防护模式，让数据成为了脱缰野马；另一方面，企业信息化快速发展带来的系统集成将数据内容拓展到更开放、更复杂的环境中，促使IT管理人员面临数据难以管理、改造成本高昂、安全策略和防御方向不一致等问题。

    正是看到这种趋势，作为国内首家基于CASB模式的企业应用与数据安全产品提供商，炼石网络首创了委托式安全代理技术实现CASB产品—CipherGateway业务应用安全网关，并研发了多项核心独有技术，来帮助企业破除目前应用安全的困境。日前e-works记者采访了炼石网络创始人兼CEO白小勇，就炼石网络的技术特点、核心价值以及未来发展策略进行了交流，为企业提升业务应用安全能力，规避数据安全风险带来了新的思考。

图1 炼石网络创始人兼CEO白小勇

挑战：信息共享打破了原有数据防护模式

    十九大之后，网络安全进一步成为行业热点话题。正所谓没有网络安全就没有国家安全，没有信息化就没有现代化。习近平总书记明确强调：网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。在白小勇看来，随着国内企业信息化升级，企业正打通一个个信息孤岛，使得数据从孤立使用到充分共享，以及多个应用系统之间互相集成，这提高了企业信息化对业务的支持能力，但是也打破了原有安全边界和数据防护模式，进而带来了数据失控问题。因此企业面临一个巨大挑战：既要实施信息化升级以加强信息共享，同时也要掌握数据控制权。。

    “然而遗憾的是，企业面对应用系统缺乏构建安全的能力。”白小勇表示在创立炼石网络前，自己曾十年主导包括ERP在内的很多关键企业应用开发工作，对企业应用架构、使用模式以及业务流程方面有极其深入的理解。“从我经手的众多项目实践看，企业的业务功能和安全实现基本处于分离状态，同时越复杂的应用系统，数据安全管理挑战越大。从安全的角度，企业面临的更大挑战并不是软件漏洞或bug，而是应用系统的业务流程中普遍缺乏数据加密、细粒度访问控制、强身份认证等内生安全能力，所以企业无法细致了解谁正在访问关键应用数据、数据是如何运转的、以及如何确保数据的安全以及完整性。”

    此外，随着云计算的普及，SaaS会成为一种新的应用交付模式。白小勇介绍目前许多企业开始尝试基于云的应用使用模式，比如SaaS，在云端进行存储、处理和访问的数据量急剧增加，范围从简单的数据存储到客户和供应链管理、再到转向基于云的办公工具以加强协作和提高生产力。然而对于SaaS应用系统中大量敏感数据部署在云端，客户失去了自己数据的掌控权，所以企业面临两难：既想要上云，又对云端数据安全缺失信任。

    面对越来越多项目中客户的实际需求，白小勇在实施ERP等应用过程中逐渐将安全能力嵌入到企业应用中，并通过CASB技术帮助企业更方便、更好地规避关键应用的数据安全风险。他表示这也是自己为何会投身安全领域，创立炼石网络的原因。在白小勇看来，随着未来数字化的全面应用，企业数据安全风险也会进一步增加。“目前来看，应用安全是许多企业的短板，通过融合了软件应用技术和安全技术的CASB产品，我们有信心也有能力去弥补企业应用安全缺失这块空白。”白小勇坦言道。

赋能：可以适配进企业应用与业务流程的数据安全

    以保护数据使用为核心思想，白小勇介绍炼石网络基于委托式安全代理技术的CASB实现模式，自主研发出CipherGateway业务应用安全网关，在不改变应用系统的情况下，以适配的方式，将与业务紧密结合的安全机制集成到应用系统中，为应用提供近乎于內建的安全能力，让企业以前所未有的便捷方式丰富应用系统的安全功能。

图2 CipherGateway业务应用安全网关

    例如对于许多企业的PLM系统而言，本身存在着安全能力不足的问题，存在数据明文存储、访问控制颗粒度较粗乃至访问失控、以及缺乏不可篡改的独立审计等。通过在PLM应用服务器之前部署Ciphergateway，数据从产生、传输、使用、存储的每个阶段都始终处于被保护的状态，通过整合身份认证、细粒度权限控制、数据加密、业务日志审计等多种安全技术，对数据在应用中被访问的过程加以监控和保护。同时，CipherGateway将PLM应用中敏感数据进行加密，且使之仅能在组件内解密，以此来有效防御来自于应用外的威胁。

图3 CipherGateway业务应用安全网关把安全嵌入业务流程

    这里，白小勇强调“适配”是企业构建安全能力的关键，这也是炼石网络的核心优势。在他看来，将安全控制措施适配进业务流程实际上是由应用软件开发延伸而来的，因此必须对企业应用以及业务十分了解，而炼石网络对重点行业的业务应用场景，具有10年以上应用系统开发与实施经验，对行业业务十分了解，能够快速完成应用系统的适配工作。通过本地部署、云端部署以及混合部署三种模式，CipherGateway可以支持硬件、云服务、软件、虚拟化四种交付形态，为用户提供数据安全加密和细粒度应用安全管控等能力。由于不涉及应用系统用户端和服务端的改造，白小勇表示CipherGateway对应用原有功能没有任何影响，在增强安全的基础上做到了“无感体验”。

    值得一提的是，加密算法作为数据安全防护的核心手段，也是炼石的技术优势之一。白小勇表示CipherGateway涉及到的核心密码能力，全部支持国产商用密码算法，针对需要保护商业秘密、并要求密码使用合规的企业，可以不进行二次开发改造工作，只需使用CipherGateway即可为原有应用系统增加商用密码算法提供的各项安全防护能力。并且CipherGateway通过了国家密码管理局商用密码检测中心平台的检测，获得了业务数据代理加密网关（SJJ1717）商用密码产品认证，是目前为止国内唯一通过国家密码局检测的此类产品。

合作：携手众多应用集成商打通应用安全最后一公里

    根据Gartner的研究报告指出：“到2020年，85%的大型企业用户将用到CASB产品”。白小勇介绍虽然Gartner数据以欧美地区为基准，但中国的应用云化浪潮也呈快速发展之势，炼石将采取“本地”“云端”安全部署两手抓战略。他介绍如今国内的SaaS及云端应用正处于百花齐放的局面，越来越多的行业应用软件蓬勃发展，而对不同行业丰富的业务场景做贴身安全防护，需要对各行业应用有深刻理解，这也注定了安全防护不能由炼石一家企业来完成，离不开与广大应用集成商的合作。

    对此，白小勇介绍炼石通过打造基于Broker引擎的业务应用安全平台，提供一种低门槛、低成本的方式帮助应用集成商快速使用CipherGateway来服务最终用户。白小勇表示传统集成商在对应用系统进行二次开发提升应用防护能力上，需要至少花费20%~30%以上系统造价。而借助于炼石的Broker平台，安全能力的适配成本可下降到5%以内，由于采用适配而不是二次开发的技术，对系统本身的稳定性也不会造成影响。

    最后，谈及应用安全生态发展，白小勇表示炼石一直将自己定位于“赋能者”的角色，使得各种专业安全能力能够适配进丰富的应用系统及业务流程，成为安全行业和软件应用行业的“桥梁”。未来，炼石一方面将加强与ISV的合作，根据客户需求将解决方案不断向主流ERP、PLM、MES及SaaS等应用系统延伸；另一方面，炼石也将携手应用集成商一起帮助企业进行安全能力的适配工作，打通应用安全防护最后一公里，构筑丰富的应用安全生态，保障企业业务高速发展。