华睿投资 丨 《睿分享》系列
睿智创造价值 服务助推成长
文章来源 | HIT专家网
华睿投资致力于大数据产业的布局,在一系列投资项目中,美创科技是其中最美的一员,渐露锋芒。美创科技聚焦于数据安全和数据价值的发现与挖掘,围绕数据安全、容灾、集成、分析、运维等铸造数据价值的底层提供基础数据技术服务,是敏感数据保护和数据安全的拓荒者和领导者,医疗数据安全第一品牌。
美创科技创始人 柳遵梁
美创科技董事长柳遵梁最初在一家浙江电信下属的信息化公司工作。当时主要做Oracle数据库技术服务,服务的客户不仅包括浙江电信,还拓展到了江西电信、浙江联通等。
2005年,浙江电信要把公司收回,意味着不能再做其他运营商业务了。柳遵梁和团队中的几位同事舍不得放弃辛辛苦苦开拓出来的业务,于是决定独立出来发展,成立了美创科技。成立之初的美创科技还是继续做数据库技术服务,主要客户是运营商和银行。
2008年,美创科技转型做产品,把技术和经验承载到产品中去。“第一次开发的产品是容灾,运营商客户对我们的支持力度比较大,在大型用户中应用使得产品能够快速成熟起来。我们当时直接把浙江联通的国外容灾产品给替换掉了。”柳遵梁表示,“用户对我们产品的反响也比较好,容灾产品一推出来就可以自负盈亏了。”
美创科技对于市场的前瞻嗅觉,从根本上是来源于柳遵梁的专业思考和洞察。
给数据库装上“锁”才安全
两年之后的2010年,美创科技又推出第一款数据安全产品。
柳遵梁投身于数据安全的原因很简单:“我们是做数据库的,我本身对数据一直比较关注,相信数据蕴含着较高的价值。虽然那时候也还不太懂安全,但当初就觉得安全不能那么做。我们认为,数据安全是从访问控制开始的。”柳遵梁打比方说,就像对家里的东西进行保护,首先是装锁,而不是装摄像头,装锁是访问控制,装摄像头是审计。
为什么要从访问控制开始做数据安全?
以前,数据库管理员(DBA)的权力是无限的,但用户往往有些重要的数据,不希望被数据库管理员看到,因此就要对管理员做访问控制。相当于在众多数据中,分离出一部分数据作为敏感数据,不让管理员看到。“要在DBA的权限之上,设计一个更高级的权限。这是整个IT架构的变更,难度比较大。”柳遵梁坦言,但是在当时,数据安全这个产品,虽然思路新颖,却是叫好不叫座。
直到2012年,转机出现。数据安全产品在医疗行业找到了用武之地——防统方。2012年,浙江省开始做防统方。“按照当时国家卫生计生委的要求,要做防统方,必须做访问控制。我们的产品得到了宁波市卫生计生委的认可,宁波市卫生计生委的下属医院都上线了我们的产品,而且效果很好。
这是我们第一次尝到数据安全的甜头。”柳遵梁回忆道,“不久后,杭州市卫生计生委也来找我们,杭州市卫生计生委的下属医院全都部署了我们的产品。”
柳遵梁认为,医疗行业信息化在本质上是靠安全打底的,但由于医疗机构的信息化投入有限,对锦上添花的安全类产品没有预算。
“早在2012年,我们就提出了‘数据是资产’的理念,虽然大家逐渐认识到了数据的价值和数据的重要性,但在真实的客户应用场景中并没有落地。”柳遵梁说,“从2010年到2015年底,除了防统方,这段时间的数据安全市场就像冷水池一样。我每年在公司年会上都说‘数据安全必将守得云开见月明’。”
2015年8月,国务院发布《促进大数据发展行动纲要》。“这是数据安全市场的催化剂,我们很明显地感觉到市场在升温,冷水开始变温水,我们的生意也逐渐好起来。”
依靠过硬的技术和产品,美创科技凭借着防统方的契机,陆续把医疗行业的容灾、运维等业务也开展起来了。
脱敏会成为大数据时代的标配
2016年下半年伊始,美创科技开始研发脱敏产品。柳遵梁认为,数据流动才能产生价值,只有数据能够畅流网络,才能发挥其最大价值;而数据一旦流动,原有的安全措施都会失效,流动到边界之外是没有办法控制的。
“脱敏会成为大数据市场的标配,只要谈大数据就必须要脱敏。”柳遵梁敏锐地发现了脱敏的必要性和商机。市场验证了他的判断。
“2017年3月,金融行业的脱敏需求像火山一样爆发出来。这源于两个驱动因素,一是银监会加强了对数据利用的监管,二是银行自身也觉得数据越来越重要。”柳遵梁难掩喜悦的心情,“今年,脱敏产品卖得非常好,我们绝对是脱敏领域的第一。”
“目前,脱敏的需求主要在金融行业。但我们也很明显地看到,医疗行业也有脱敏需求,虽然现在尚未落地。我始终认为,医疗行业的数据安全需求将是所有行业里面最庞大的,医疗行业将是数据安全的主战场。”柳遵梁如此判断,因为随着生活财富的增加,人们对隐私的关注会越来越高,而病案是每个人最核心、最高的隐私。
柳遵梁谈道,医疗水平的提高,在很大程度上依赖于病历的流动,数据共享在医疗界的呼声很高,但是行动很艰难,这与国家政策不明了有一定关系。
现在医疗行业无论是安全还是数据利用,首先要解决病案归谁所有的问题,真正要把医疗安全做好、把医疗数据利用好,确权这个工作要做好。
柳遵梁将病历数据比作钱:“相当于我把钱存入银行,钱是我的,我授权才能用。”比如欧盟已明确病案归病人所有,我可以授权医院用我的数据,但是医院要做好数据利用的相关工作,比如:互联互通、可以流转、隐私保护等。
2018年5月,欧盟通用数据保护条例(GDPR)正式实施,这也是件影响力很大的行业大事。
“知白守黑”防勒索
2016年底,互联网上勒索病毒大爆发,当时柳遵梁断言:勒索病毒会是今后网络攻击最主要的形态。就像淘宝颠覆了零售业,勒索病毒则是颠覆了黑客产业链。淘宝最大的价值是拉近了卖家和买家的距离,勒索病毒则是比电商形态更高级的商业形态,卖家不需要去找买家,就知道买家是谁,被勒索的人就是买家。
据柳遵梁介绍,2017年,勒索病毒占整个网络攻击的39%;2017年勒索病毒在医疗行业还比较少,但2018年勒索病毒在医疗行业很常见,几乎天天都有医院被勒索。
现在,勒索病毒的主战场正在从医疗卫生转入金融,最主要的勒索方向是数据库。
针对这一形势,美创科技于2018年初正式发布防勒索解决方案。“这是业内唯一一个能把勒索病毒真正防住的产品,有很多客户在上线。”柳遵梁说。“我们不关心病毒的特征,勒索病毒没什么特征,就是正常的应用。我们是把在服务器上运行的应用进行特征化,不符合这个特征的就是不正常的。通俗来讲就是‘知白守黑’。”
柳遵梁进一步阐述了美创科技的安全理念,比如小区保安,他首先要知道小区的用户都是谁,不是小区的用户做特定的访问控制,最高级的手段就是通过特定的访问控制与用户做确认,这样就没有偏差了。“我们在数据安全领域已经形成了存储层面的安全和加密。”柳遵梁认为,“上云是必须要加密的,当你的数据存储在非安全环境中时,必须要加密。在云计算环境中,云设备、运维管理人员都不是你的,但核心数据是你的,这天生是不安全的。现在,加密的应用场景越来越多,只要你认为你的网络环境不安全,甚至你认为你的管理员是不可信任的,都需要加密。”
零信任安全体系的四大原则
在安全领域摸爬滚打多年,美创科技已形成自己独特的一套零信任安全体系,主要包括如下几个原则。
一是灯下黑。“传统网络安全讲究对抗,但只要你不被发现就不会被攻击。就像隐形战斗机,谈不上多大的防御能力。当你不会被发现时,漏洞满天飞也无所谓。”柳遵梁说。
二是与狼共舞。“世界上没有安全的网络,所谓的安全网络总有漏洞、僵尸;我们不可以信任任何人,网络里总是有坏人,不管是来自内部还是外部,如果连内部的坏蛋都能防牢的话,还用担心外部的坏蛋吗?”
三是不阻断无安全。“原来的传统安全是基于监测做响应,靠人去响应,但响应的成本太高,没法建立起自己的快速反应部队。就算是中国银行、工商银行,都不可能养得起一支快速反应部队。”柳遵梁表示,最安全的做法是在入侵时阻断。
四是知白守黑。“我们不关心坏人长什么样,只关心好人是什么样的,通过行为特征去认证好人,好人和坏人的差异性是非常高的。”柳遵梁谈道,虽然现在网络安全事件高发,但本质上还是小概率事件,而正常的网络访问行为每时每刻都在发生。对这部分海量数据进行特征化分析,就能构建知白守黑的特征体系。
从容灾,到访问控制、脱敏,再到防勒索,美创科技的每一个脚步都踩准了点。
柳遵梁表示,“公司的发展与行业发展是一脉相承的。2015年发布的《促进大数据发展行动纲要》、2017年施行的《网络安全法》、2018年实施的欧盟通用数据保护条例(GDPR),这三个标志性事件让数据安全市场从冷水池变成温水池,而且温度还在不断升高。”
2019年大环境很差,但美创科技很幸运,他们的小环境非常好,所谓的小环境最基本的就是,整个社会从上到下都在进行数字化转型。
首先,数据安全不再需要引导的市场,这个市场已独立于网络安全存在和发展。
第二,隐私是全球的热点,是否能够保证隐私安全成为企业运营的“生死牌”,这点可以从网络攻击的日常化得出。整个投资界也比较看好数据安全,全球数据安全投资在2018年增长了20%。
第三,美创科技一直以“聚焦数据安全,释放数据价值”为经营策略。2018年美创“聚焦数据安全”,2019年“释放数据价值”将成为公司最主要的营收之一,美创科技与市场配合度非常高。
第四,产业互联网高举高打,数字化转型成为共识,数据治理成为最亮的星星。可视化成为标准配置,可管、可视成为释放数据价值的两个最基本点。
站在2019年的新起点,摆在美创科技面前的是更广大的市场舞台和空间。十余年沉淀,美创科技服务于3000+家客户,包含民政部、国家卫健委、浙大一院、中国银行、中国银联、国家电网、北京市人社、国家物流信息平台、宁波舟山港、浙江大学等,客户类型覆盖医疗、金融、政府、港口物流、电力能源、教育等多个行业,拥有深厚的客户基础。美创科技将继续把握数据大发展的机遇,专注于打磨产品和服务,保证“安全、灾备、大数据、运维”四架马车齐头并进,助力用户深挖数据价值、提升安全防御能力。同时加强医疗、政府、金融等重点行业拓展,推动行业转型发展,助力网络安全强国建设。