访谈嘉宾：中安星云CTO王锋

分析师：王剑桥

2023年3月1日，《数字中国建设整体布局规划》（以下简称《规划》）印发。这不仅是对过去10多年我们所经历的数字化科技、数字化产业以及数字化经济的全面统筹和升级，同时也是对数字技术创新体系的郑重要求，标志着我国的数字化进程即将进入崭新的发展阶段。

《规划》中指出，要强化数字中国关键能力，其中包括构筑自立自强的数字技术创新体系和筑牢可信可控的数字安全屏障。相应的，在网络安全领域，无论从政策角度还是科技能力和产业发展的角度，我们始终应以网络技术应用的自主可控为使命。因此，随着《规划》的落实与实施，无论是信息系统，还是网络安全产品、数据安全产品，都应相继走上“信创化发展之路”，完成国家在数字中国建设过程中对安全产业的任务和要求。

那么在信创环境加快建设应用的背景下，我国数据安全产业的发展机遇如何？企业数据安全建设又会呈现哪些新的发展特点呢？带着以上问题，安全牛采访到专业数据安全厂商中安星云CTO王锋，共同探讨了信创背景下企业组织对数据安全保护的新要求与新趋势。

王锋

联合创始人/CTO

毕业于北京航空航天大学通信与电子工程硕士专业；历任电子部第六研究所研发工程师，华为技术有限公司以太网交换机产品线总监，杭州华为三康技术有限公司研发副总裁、国际市场部副总裁，北京爱赛立技术有限公司副总经理、联合创始人，目前任中安星云CTO及联合创始人。

01

安全牛

过去信创领域比较活跃的主要是芯片、操作系统等基础软硬件厂商，从数据安全防护的角度看，开展信创化能力建设是否还为时尚早？

王锋

现阶段我们谈信创环境中的数据安全风险和数据安全建设，不仅不早，而且是一个“稍纵即逝”的机会点。

从宏观看信创并不是单一的某个产品或者某条产业链，而是一个生态环境。我们所说的芯片、操作系统是目前较为热门的部分。实际上信创是一个结构性的调整，不仅是硬件或者系统采用国产化替代，上层的数据库、应用也需要做相应的调整和改变。

这个宏观环境下就产生了新的需求。比如，之前我们的用户都是使用的某国外数据库产品，那么数据库安全防护只需要围绕着Oracle数据库进行漏洞挖掘、进行防护建设。而现阶段，用户为了信创建设从国外数据库品牌变成了达梦、金仓、南大通用数据库，并且这一趋势还在不断推进。对于用户已经换成国产的数据库，安全厂商就需要围绕新的信创数据应用环境进行安全防护，一些防护方案要重做，一些防护措施要针对性增强。

另一方面，数据安全厂商也要看到用户的“信创”要求，从自己的产品做起满足信创要求。比如厂商在做自己的产品开发的时候如果引入了第三方组件，在信创之前只需要确认这一组件是不是基本安全的。而现在，厂商需要确认这个组件是否是信创的，对开源的源代码需要进行检查，是否是国产的、原生的。另一方面，厂商还要对已有的产品重新审查，必要时可能需要重构，特别是对一些很古老、很成熟的产品，如何把这些系统重构，其实是一件有些阵痛，但是必须要做的事情。

综上所述，数据安全的信创工作有很多要进行，而现在就是开始信创数据安全建设的最好时机。

02

安全牛

在企业数字化转型加速发展的大背景下，开展信创能力建设会对数据安全防护提出哪些新的要求和挑战？有什么新特点？应该如何应对？

王锋

信创环境下，其中一个特点就是大家选择的产品范围增加了，这方面可能带来新的风险。虽然信创环境带来新的漏洞和风险是很正常的，但因为我们依赖的系统基座本身变成了自主可控，而信创系统基座的安全性通常经过了额外的加强，因此这并不代表风险一定是增加的。

之前，大家都会知道大部分企业都使用的某国外数据库，因此攻击者只需要用针对该数据库的攻击漏洞或者负载去大规模测试就行，多数情况下可能会找到一个受害者因为没有及时打补丁等原因导致的漏洞或缺陷，而成功开展攻击。而现阶段，攻击者需要对许多新的数据库进行漏洞挖掘、poc构造等等，而且还无法确定哪些目标使用了这些数据库。诸如这样的多样化选择，用户信息系统暴露的信息变少了，就像打了一层毛玻璃，其实是增加了攻击者的攻击难度的。

从产业发展上看，厂商也有了一个选择的问题。在信创阶段，用户的选择呈现多样性，安全厂商也需要进行多维度的跟进。我们现在支持国内外30多个品牌100多款数据库，并且在做持续的跟进。厂商在选择跟进时，也会根据自己的优势行业进行选择，一般会选择优先支持主流的信创信息化产品。目前来看，信创产品品类导致的研发投入还是厂商能够接受的。

03

安全牛

您认为，在未来的信创环境下，企业或组织对加强数据安全保护会有什么新的要求？

王锋

信创环境对数据安全产品的要求可以分为三点：信创基座、信创场景和内生信创。

信创基座可以理解为，数据安全产品需要支持信创的硬件设备、系统平台、国产中间件、国产应用等等。这是相对简单的，只需要厂商将国际通用的架构转向国产化产品的架构适配即可，目前企业基本上都会和生态上的上游信创数据库厂商合作。

信创场景是指要针对信创环境的特点进行方案建设。在进行方案建设时，结合主要用户的信创场景特点，形成加固方案。有的用户需要一体化的信创解决方案，解决他的信创系统应用问题。由于信创的安全属性，很多时候这个方案也在由安全厂商设计。

内生信创是指安全产品本身符合信创要求，也就是上文我们提到的对开源组件的审查、上线前的安全检查等。目前已经有一些客户会对交付的产品进行是否符合信创的检查。

04

安全牛

从市场上看，企业在选择信创的数据安全产品时，会关注哪些点？

王锋

客户在选择信创数据安全产品，首先还是关注稳定性，新系统替代了原有的非信创产品了、使用很久的业务系统重构了，担心新的系统或多或少会存在不稳定的可能。那么一旦出现问题了，如何定位问题，应该找谁来解决，解决的程度和速度如何，是用户首先担心的问题，更不希望看到安全产品厂商、基座和硬件厂商、芯片厂商相互推诿。所以说，用户最担心的还是业务能否成功迁移到信创系统的问题。

第二个担心就是信创产品的配套问题。比如我一套业务系统，只有一个点换成了信创的，那别的点怎么办，别的点再进行信创迁移的时候会不会和这个点不兼容，会不会带来额外的运营维护成本。因此要把信创替代做一个整体的统筹规划，按照计划一步一步、一批一批地进行信创替代，同时重点关注前后替代的通用性和兼容性。这一点是我们在同客户交流沟通过程中反复强调的关键之一，只要用户需要，我们也在努力帮用户进行规划设计。同时，解决这个问题是很大程度上需要依赖信创产业生态链的，仅靠一家无法做到全面覆盖，也无法承担这个责任。

第三个就是成本问题，其实这个问题也在慢慢解决。现阶段信创产品多了，供应商多了，产品的价格也有所下降，这也是因为信创生态链成熟度变高了。在之前，我国的信创产品性能距离非信创产品的性能有较大差距，同时价格居高不下，这就让客户难以选择，因为他可能花更多的钱买更低性能的设备。而现在，我们差不多可以做到同价格同性能，比如同样性能的数据库防火墙，信创版在价格上已经非常接近，这就让很多企业更愿意选择信创化的产品。

05

安全牛

信创环境的普及应用，将给我国数据安全产品未来发展带来什么变化和帮助？

王锋

信创环境是一个生态，在属于我国自己的生态上做事情就会简单。比如之前Oracle数据库，相关的协议和技术架构都是不公开的，在做数据安全产品研发的时候就需要去推测，或者去花钱购买一些文档，甚至有些买不到。但现在，和我们合作的是达梦、金仓等国产数据厂商，会在很多方面降低合作难度，从而可以大幅提升数据安全产品的研发效率。

在信创建设全面开展之前，我们通常是沿着国外的信息化道路走，因此在做很多事情时是有借鉴或者有经验的。而信创环境的到来，意味着我们要走一条符合信创实际情况的、自己的道路。不可否认的是，国内外信息化程度和水平还是存在一定的差距的，因此我们在构建产品解决方案时要如何选择技术路线，是一个需要重点考虑的问题点。比如说完全不考虑最新的信息化技术进展来构建解决方案，那么有可能你的解决方案就会前瞻度不足，很快就跟不上市场的需要；反之，照搬最先进的技术方案，又可能受制于信创生态链和用户实际部署需求，最终落不了地。因此我认为，开展信创环境下的数据安全能力建设是一个必须因地制宜、实事求是的过程，这个过程既要抬头看路、又要脚踏实地，要求更高的市场技术判断力、研发技术落地能力。