导读
医疗行业的数据安全需求将是所有行业里面最庞大的,医疗行业将是数据安全的主战场。
杭州美创科技有限公司总经理柳遵梁
与杭州美创科技有限公司(以下简称“美创科技”)总经理柳遵梁的第一次访谈,颠覆了此前关于他的所有想象。原本以为这位技术出身的老总话语不多,出人意料的是,柳遵梁对于他所痴迷的数据安全技术理念和市场发展态势侃侃而谈:“从2010年到2015年底,除了防统方之外,这五年间医疗行业的数据安全市场就是个‘冷水池’。我们一直坚守在数据安全的阵线上,终于‘守得云开见月明’。”特别是2015年8月,国务院发布《促进大数据发展行动纲要》以来,医疗数据安全市场迅速升温,冷水开始变温水,美创科技的业务呈现快速发展态势。
柳遵梁最初在一家浙江电信下属的信息化公司工作。当初主要做Oracle数据库技术服务,服务的客户不仅包括浙江电信,还拓展到了江西电信、浙江联通等。2005年,浙江电信要把公司收回,意味着不能再做其他运营商业务了。柳遵梁和团队中的几位同事舍不得放弃辛辛苦苦开拓出来的业务,于是决定独立出来发展,成立了美创科技。成立之初的美创科技还是继续做数据库技术服务,主要客户是运营商和银行。2008年,美创科技转型做产品,把技术和经验承载到产品中去。“第一次开发的产品是容灾,运营商客户对我们的支持力度比较大,在大型用户中应用使得产品能够快速成熟起来。我们当时直接把浙江联通的国外容灾产品给替换掉了。”柳遵梁表示,“用户对我们产品的反响也比较好,容灾产品一推出来就可以自负盈亏了。”
美创科技对于市场的前瞻嗅觉,从根本上是来源于柳遵梁的专业思考和洞察。
给数据库装上“锁”才安全
两年之后的2010年,美创科技又推出第一款数据安全产品。
柳遵梁投身于数据安全的原因很简单:“我们是做数据库的,我本身对数据一直比较关注,相信数据蕴含着较高的价值。虽然那时候也还不太懂安全,但当初就觉得安全不能那么做。我们认为,数据安全是从访问控制开始的。”柳遵梁打比方说,就像对家里的东西进行保护,首先是装锁,而不是装摄像头,装锁是访问控制,装摄像头是审计。
为什么要从访问控制开始做数据安全?
以前,数据库管理员(DBA)的权力是无限的,但用户往往有些重要的数据,不希望被数据库管理员看到,因此就要对管理员做访问控制。相当于在众多数据中,分离出一部分数据作为敏感数据,不让管理员看到。“要在DBA的权限之上,设计一个更高级的权限。这是整个IT架构的变更,难度比较大。”柳遵梁坦言,但是在当时,数据安全这个产品,虽然思路新颖,却是叫好不叫座。
直到2012年,转机出现。数据安全产品在医疗行业找到了用武之地——防统方。2012年,浙江省开始做防统方。“按照当时国家卫生计生委的要求,要做防统方,必须做访问控制。我们的产品得到了宁波市卫生计生委的认可,宁波市卫生计生委的下属医院都上线了我们的产品,而且效果很好。这是我们第一次尝到数据安全的甜头。”柳遵梁回忆道,“不久后,杭州市卫生计生委也来找我们,杭州市卫生计生委的下属医院全都部署了我们的产品。”
柳遵梁认为,医疗行业信息化在本质上是靠安全打底的,但由于医疗机构的信息化投入有限,对锦上添花的安全类产品没有预算。“早在2012年,我们就提出了‘数据是资产’的理念,虽然大家逐渐认识到了数据的价值和数据的重要性,但在真实的客户应用场景中并没有落地。”柳遵梁说,“从2010年到2015年底,除了防统方,这段时间的数据安全市场就像冷水池一样。我每年在公司年会上都说‘数据安全必将守得云开见月明’。”
2015年8月,国务院发布《促进大数据发展行动纲要》。“这是数据安全市场的催化剂,我们很明显地感觉到市场在升温,冷水开始变温水,我们的生意也逐渐好起来。”依靠过硬的技术和产品,美创科技凭借着防统方的契机,陆续把医疗行业的容灾、运维等业务也开展起来了。
脱敏会成为大数据时代的标配
2016年下半年伊始,美创科技开始研发脱敏产品。柳遵梁认为,数据流动才能产生价值,只有数据能够畅流网络,才能发挥其最大价值;而数据一旦流动,原有的安全措施都会失效,流动到边界之外是没有办法控制的。
“脱敏会成为大数据市场的标配,只要谈大数据就必须要脱敏。”柳遵梁敏锐地发现了脱敏的必要性和商机。市场验证了他的判断。“2017年3月,金融行业的脱敏需求像火山一样爆发出来。这源于两个驱动因素,一是银监会加强了对数据利用的监管,二是银行自身也觉得数据越来越重要。”柳遵梁难掩喜悦的心情,“今年,脱敏产品卖得非常好,我们绝对是脱敏领域的第一。”
“目前,脱敏的需求主要在金融行业。但我们也很明显地看到,医疗行业也有脱敏需求,虽然现在尚未落地。我始终认为,医疗行业的数据安全需求将是所有行业里面最庞大的,医疗行业将是数据安全的主战场。”柳遵梁如此判断,因为随着生活财富的增加,人们对隐私的关注会越来越高,而病案是每个人最核心、最高的隐私。
柳遵梁谈道,医疗水平的提高,在很大程度上依赖于病历的流动,数据共享在医疗界的呼声很高,但是行动很艰难,这与国家政策不明了有一定关系。现在医疗行业无论是安全还是数据利用,首先要解决病案归谁所有的问题,真正要把医疗安全做好、把医疗数据利用好,确权这个工作要做好。
柳遵梁将病历数据比作钱:“相当于我把钱存入银行,钱是我的,我授权才能用。”比如欧盟已明确病案归病人所有,我可以授权医院用我的数据,但是医院要做好数据利用的相关工作,比如:互联互通、可以流转、隐私保护等。2018年5月,欧盟通用数据保护条例(GDPR)正式实施,这也是件影响力很大的行业大事。
“知白守黑”防勒索
2016年底,互联网上勒索病毒大爆发,当时柳遵梁断言:勒索病毒会是今后网络攻击最主要的形态。就像淘宝颠覆了零售业,勒索病毒则是颠覆了黑客产业链。淘宝最大的价值是拉近了卖家和买家的距离,勒索病毒则是比电商形态更高级的商业形态,卖家不需要去找买家,就知道买家是谁,被勒索的人就是买家。
据柳遵梁介绍,2017年,勒索病毒占整个网络攻击的39%;2017年勒索病毒在医疗行业还比较少,但2018年勒索病毒在医疗行业很常见,几乎天天都有医院被勒索。现在,勒索病毒的主战场正在从医疗卫生转入金融,最主要的勒索方向是数据库。
针对这一形势,美创科技于2018年初正式发布防勒索解决方案。“这是业内唯一一个能把勒索病毒真正防住的产品,有很多客户在上线。”柳遵梁说。
“我们不关心病毒的特征,勒索病毒没什么特征,就是正常的应用。我们是把在服务器上运行的应用进行特征化,不符合这个特征的就是不正常的。通俗来讲就是‘知白守黑’。”柳遵梁进一步阐述了美创科技的安全理念,比如小区保安,他首先要知道小区的用户都是谁,不是小区的用户做特定的访问控制,最高级的手段就是通过特定的访问控制与用户做确认,这样就没有偏差了。
“我们在数据安全领域已经形成了存储层面的安全和加密。”柳遵梁认为,“上云是必须要加密的,当你的数据存储在非安全环境中时,必须要加密。在云计算环境中,云设备、运维管理人员都不是你的,但核心数据是你的,这天生是不安全的。现在,加密的应用场景越来越多,只要你认为你的网络环境不安全,甚至你认为你的管理员是不可信任的,都需要加密。”
零信任安全体系的四大原则
在安全领域摸爬滚打多年,美创科技已形成自己独特的一套零信任安全体系,主要包括如下几个原则,柳遵梁做了具体阐述。
一是灯下黑。“传统网络安全讲究对抗,但只要你不被发现就不会被攻击。就像隐形战斗机,谈不上多大的防御能力。当你不会被发现时,漏洞满天飞也无所谓。”柳遵梁说。
二是与狼共舞。“世界上没有安全的网络,所谓的安全网络总有漏洞、僵尸;我们不可以信任任何人,网络里总是有坏人,不管是来自内部还是外部,如果连内部的坏蛋都能防牢的话,还用担心外部的坏蛋吗?”
三是不阻断无安全。“原来的传统安全是基于监测做响应,靠人去响应,但响应的成本太高,没法建立起自己的快速反应部队。就算是中国银行、工商银行,都不可能养得起一支快速反应部队。”柳遵梁表示,最安全的做法是在入侵时阻断。
四是知白守黑。“我们不关心坏人长什么样,只关心好人是什么样的,通过行为特征去认证好人,好人和坏人的差异性是非常高的。”柳遵梁谈道,虽然现在网络安全事件高发,但本质上还是小概率事件,而正常的网络访问行为每时每刻都在发生。对这部分海量数据进行特征化分析,就能构建知白守黑的特征体系。
从容灾,到访问控制、脱敏,再到防勒索,美创科技的每一个脚步都踩准了点儿。柳遵梁表示,“公司的发展与行业发展是一脉相承的。2015年发布的《促进大数据发展行动纲要》、2017年施行的《网络安全法》、2018年实施的欧盟通用数据保护条例(GDPR),这三个标志性事件让数据安全市场从冷水池变成温水池,而且温度还在不断升高。”
领取专属 10元无门槛券
私享最新 技术干货