从5月19日上午开始,奇安信网络探针事业部负责人刘洪亮的手机就响个不停。为了不吵到同事,他后来不得不把手机的来电提醒音给关了。
机会留给有准备的人
“我喜欢做点新的东西挑战一下。要是让我一直维护或者搞一个产品的话,可能我就会无聊。而创新BG基本上就是新方向比较多。”
奇安信集团副总工刘前伟对数据安全的方向有自己的敏锐判断:“数据安全是国家战略,是行业的发展趋势,所以我们一直在对这个领域进行研究,规划了数据安全的九大方向,里面有一个是API安全,数据跨境就是它的一个分支。刚好去年又赶上两个法出台,所以我们判断数据跨境这一块肯定要大爆发。在奇安信这种体量的公司,这肯定是不能丢掉的一环,剩下的只是团队人选问题。而跨境这块和刘洪亮过去搞的另外一个产品API安全卫士的底层技术逻辑是一样的,只不过是不同的场景下关注的东西不一样。API关注在攻防侧有没有攻击,跨境关注重要数据、敏感数据有没有出境。”
刘前伟,奇安信集团副总工,战略咨询规划部-系统总体部负责人,擅长大数据安全、零信任、应用安全、云原生安全等领域,负责体系化的技术研究和创新领域技术研究,基于多年的数据安全经验,综合国内外相关数据安全能力,带领团队在业内首发数据安全能力框架以及数据安全运行构想图。
你不是一个人在战斗
有合规驱动,有技术积累,数据跨境产品的问世似乎顺理成章,但事情并没有这么简单。“主要是想不清楚市场,不知道具体的应用场景是怎样的,我们的产品是设计给哪些客户的?他们的具体需求是什么?这些都是问题。” 刘洪亮心存疑虑。
刘前伟很理解刘洪亮的处境。“其实做创新挺不容易的,新产品从研发到发布,至少要半年甚至更长的时间,相当于你得提前透支你的一部分资源。过去的产品还在售卖,服务要做好,产品要优化,还要再匀出来一波人去做新的东西。在这个新领域,你不但要搞定技术,还要想清楚市场。”
相对成熟市场而言,开拓空白市场的难度显而易见。
在数据安全领域做了很久研究的刘前伟是刘洪亮最好的参谋。每隔几天,两个人就要碰一碰,讨论跨境数据产品相关的市场方向,存量的客户在哪,未来的客户在哪。公司解决方案负责人罗海龙也经常参加讨论。补短板方案中的五件套(特权账号管理、堡垒机、数据库审计、API安全卫士和数据安全态势感知)是解决政企数据安全问题的当务之急,数据跨境以及隐私卫士则可从数据合规切入市场 。
“我其实一直和战略规划部的同事在探讨这个事儿。因为我本身是法律专业的,网络安全法、数据安全法和个人信息保护法出来以后,合规很大程度上是由法律口发起的。因为,基于三大法的具体实施条例和管理办法还没有出,所以其实大家并不知道合规怎么做的,审计报告可以找审计师出,但这个领域没有第三方评估公司。在这种情况下,市场迫不得已就选择了请律师来出具合规报告和法律风险提示。所以刘洪亮打电话说想做个数据跨境的工具,又了解到有律师在做跨境数据合规业务,问我能不能帮找几个律师一起聊聊?我说这太没问题了,我平时就聊得很多。”
雷厉风行的马兰在之后一周的时间内,给刘洪亮约了三家律师事务所的数据合规业务合伙人面聊。
这几场跨界交流中,马兰充当了“翻译”的角色。“我挺喜欢这种感觉的,我其实也一直在思考如何体现法务的商业价值和核心竞争力。如果说法务只是固守着原来的那些工作内容,如审公司合同、公司合规情况等,我觉得永远也不可能成为公司的核心。我后来就发现数据合规赛道是完全需要法律和技术相结合的,这正是我们法务和咱们公司所擅长的。所以我就不停的去跟销售、战规、产品线的同事以及律师客户去聊,我希望能用我对法律和市场的了解,去帮助同事开发出新的契合市场需求的产品。”
三轮面聊下来,刘洪亮的信心大增。“因为这几个合规业务合伙人都在讲,数据合规这一块现在刚刚起步,所以大家现在只做高频出现的需求,而跨境数据的合规就属于这种需求。比如说一个中国的企业,我在海外有一些分支机构,那我的数据到底出去了没?还有,比如我过去采购了一些海外的产品和服务,是不是也面临数据跨境的问题。尤其是现在我们的业务系统跑到云上去了,那在后台运行的云端会不会连到美国的服务器、欧洲的服务器?企业于是纷纷找律所来评估自己的数据跨境是否合规 。这个需求很大,只是目前还没传导到安全公司,都集中在律所那个层面去了。”
交流中,刘洪亮了解到当前律所评估企业数据跨境是否合规的通常做法就是调查问卷。这种方式的缺陷显而易见。它的前提是建立在企业自己清晰知道哪一些数据进行了跨境,律师再站在法律法规的视角,去判定这些数据出境的合规性和合理性。
“首先最大的问题是企业并不明确知道自己都有哪些数据进行了跨境;其次填完问卷也还是搞不清楚,律师没有技术手段去看这个东西到底实际情况是怎样的。律师们迫切需要一个工具能帮他们把这事干了,这其实就是我们要做的这个东西。再延伸下来的话,其实数据是流动的,律所给你做的评估只是一个项目,不管是一周也好还是一个月,做完就完事了,但是后续随着你的业务变化,数据也会变化。对企业来说,其实需要一个持续监测的产品能实时帮自己查看现在是否合规。与律师的交流,给了我一个新的视角去看这个产品,原来有很大一块市场,我之前自己都没有看到。”
悉心打磨 全力冲刺
磨刀不误砍柴工,通过和刘前伟、罗海龙的充分沟通,以及和律师们的深度交流,刘洪亮清晰了市场方向,坚定了信心,数据跨境卫士的雏形已经在心里勾勒清楚。
但实际的开发工作并不一帆风顺。
-
“首先是缺人,我们部门今年并行开发6个新产品,跨境数据卫士之前没在规划内,所以根本就没人。” 人的问题必须解决,刘洪亮找到创新BG负责人孔德亮。孔德亮非常支持这项工作,专门调配了一笔费用。刘洪亮迅速组建了一支团队。
-
“第二个就是数据安全的东西太新了,对团队的挑战很大。虽然之前我们做流量探针有一些技术积累,但是两者并不完全一样。所以我们又成立了一支数据运营团队,专门运营各种数据的规则,那段时间把 leader逼的都快崩溃了,都觉得自己不适合干这个。因为我们做数据安全相关的产品全是在碰数据,而每个客户的数据都不一样,且不同客户对重要数据的定义是不一样的,制定规则的人得了解行业,还要自己去找这类数据的样本,然后还得能把它识别出来,这确实很有难度。有些行业数据我们根本就不清楚,比如,一些信贷相关的金融数据,染色体相关的医疗数据,我们没有相关的知识积累,压力确实非常大。” 不过,技术上的困难没有困住刘洪亮和团队。刘洪亮带领大家一起先梳理出若干种技术手段,再找到足够的样本,用这些技术手段把大部分行业的数据覆盖掉。打通技术之后,刘洪亮组织大家做精细化的数据运营,把工作切分得非常细,每一块都安排专人去做,相当于建了一条流水线,这样对每个岗位的人的要求不那么集中了,效率得到了总体提升。
-
第三个问题是进度压力。按照规划,数据跨境卫士在5月份就要投放市场。这也就意味着,集中研发的时间只有一个多月。 “我们感受到市场对跨境数据安全的需求太强烈了。5月份其实是我拍脑袋拍的一个时间点,因为想要产品的需求太多太迫切了。不过,对于从网络流量里提取数据这件事,我们是非常自信的。”
如期发布 始终协同
挑战难度,自己给自己加码,这是刘洪亮的一贯风格。而这次,刘洪亮又挑战成功了。5月18日,奇安信跨境数据卫士如期对外发布。
“把数据跨境卫士放置在企业的互联网出入口,就是与外界建立通信的地方,企业所有对外流出的数据都会在流量当中体现,那么将我们的产品部署在这块,对这些流量进行具体分析,将流量里面所带的个人信息、重要数据、商业数据等进行数据提取,在产品里面形成一个可视化的界面,供企业浏览。可以清晰的在界面上看到,我们企业数据出境都包含了哪些数据,涉及个人信息相关的,涉及的重要数据、商业数据等。这样通过我们的产品,就可以很好地对企业出境数据进行统计分析展现,个人信息出去了多少,重要数据出去了多少,出去了多少量,出去了多少条。因为在个人信息保护法里面有明确规定,当企业的个人信息出境了多少G或多少条时,会触发法律红线,比如,身份证号、姓名、征信报告等一共出去了10万条,那么就会面临着罚款通报,通过我们这款产品可以自动化的将企业的出境数据进行整合,形成一眼可知、一眼可查、一眼可见。”
“法务和技术之间的语言和思维体系有很大的差别,中间得有一个衔接,能把数据合规这个问题从法律的角度和技术的角度,串在一起讲明白。所以这种情况下,我们要大量的去跟律师事务所合作,律师可以充当客户和我们之间的衔接桥梁。而我们的技术单独去和律师沟通还是存在难度,所以他们来找我,我就尽我所能去帮忙。”
协同作战的情况不止存在于数据跨境卫士。
图 数据跨境卫士团队合影
“我觉得数据安全的市场非常大。未来,我希望能在自己的领域里不断地前进。这不光是我,也是所有奇安信人的目标和追求,因为我们的公司文化就是这样。在这里,你不是一个人在战斗,全公司所有人齐心协力,每天都在拼命地往前冲。”
END
相关阅读
