以下為現(xiàn)場速記。
紅芯創(chuàng)始人兼CEO 陳本峰
陳本峰:各位老朋友、新朋友,大家下午好!這是我第四次來參加我們的全國CIO大會了,今天其實有看到很多熟悉的面孔,很多CIO都跟我說,今天云適配怎么沒有來參展?其實我們今天來了,只不過我們每天CIO的大會演講,我總會帶點新東西過來,今年第一個是帶來我們新的品牌,原來要云適配,我們今天把它升級為一個新的品牌叫紅芯,第二個一會兒我會跟大家分享一個新的關于網(wǎng)絡安全方面的知識。
大家可能對“紅芯”這個名字會好奇,為什么你要改名字改成叫紅芯?我接下來開始講這個,在講這個之前,首先也跟新朋友自我介紹一下,大家記住我很容易,IE瀏覽器的404頁面是我寫的,大家最不喜歡看到這個頁面,所以大家每次看到這個頁面的時候就可以想到我。我做瀏覽器做了10多年時間,相信在座各位每天工作都到遇到瀏覽器這個產品,但是有一個概念大家可能不知道,就是瀏覽器其實分外殼和內核,什么意思呢?就像一輛汽車一樣,汽車的內核就是發(fā)動機、變速箱,外殼可能是汽車外面的座椅、天窗外面的殼叫外殼。
雖然今天大家用了很多瀏覽器,但是大家可能不知道,很遺憾中國是沒有自己的瀏覽器內核技術的。今天大家用的所有的瀏覽器基本上不外乎是用了國外的幾個內核,這個世界上一共有4個劉德華內核,大家可以看到微軟、谷歌、蘋果幾個瀏覽器各自有一個內核,IE也有一個。
這里存在一個問題,我們中國是沒有自己的芯片的,其實瀏覽器內核我把它叫做互聯(lián)網(wǎng)的軟件芯片。其實大家可以想一想,今天任何一個PC端的應用或者移動端的APP,幾乎離不開使用瀏覽器內核的,用來渲染H5頁面,這個就是用了安卓系統(tǒng)或者蘋果系統(tǒng)原生的瀏覽器內核,總之做任何應用都離不開瀏覽器內核。這里就有一個問題,我說它是互聯(lián)網(wǎng)的軟件芯片,瀏覽器內核是跟你的應用無處不在的。這里面就有一個問題了,瀏覽器有兩個不同的屬性,第一個屬性是所有老百姓上網(wǎng)的工具,大家平時上網(wǎng)、聽歌都是用瀏覽器,但是同時有一個很重要的屬性,它也是每個員工工作的入口。
如果說你不掌握這個瀏覽器內核,這個瀏覽器內核一直在美國人手里,接下來就有一個很嚴峻的問題,你如何保證它的安全,如何保證國家的數(shù)據(jù)安全。剛才那張圖我講了一個信息,瀏覽器內核大概一共有1000多萬行代碼,大家知道瀏覽器內核有多少代碼?也是1000萬行。其實一個瀏覽器內核的代碼行數(shù)和一個操作系統(tǒng)代碼行數(shù)是一樣的,很多人把瀏覽器內核稱作外部的操作系統(tǒng)。既然它達到這么一個復雜度,這里面就有一個問題,1000多行代碼里面,如果里面有安全漏洞、有后門,你的企業(yè)的數(shù)據(jù)安全、你的企業(yè)基本上就會全部被看光光。
這就是我們?yōu)槭裁醋黾t芯的目的,我們紅芯就是想做中國自主的瀏覽器內核,我們的名字叫Red code,code就是內核的意思,Red是紅色,我們要做世界上第五個擁有自主知識產權的內核,也屬于我們中國人自己的瀏覽器內核。在我們自己掌握瀏覽器內核之后,我們就可以在企業(yè)辦公場景里面做很多創(chuàng)新,這里面其實大家知道,To C的瀏覽器大家都很關心娛樂、社交這些東西,但是大家知道這些東西其實是跟我們很多To B的場景是背道而馳的,你不希望員工上班都在娛樂、都在分享東西,你希望在辦公場景下更多看到的是關于安全、是關于企業(yè)的辦公效率。所以如果說我們自己掌握瀏覽器內核,我們才有可能去做很多創(chuàng)新,這就像如果你要對一輛汽車做創(chuàng)新,你用的是別人的發(fā)動機、別人的變速箱,你怎么去做創(chuàng)新?
在我們自主研發(fā)的內核的基礎上,我們就可以在安全和效率方面做很多的創(chuàng)新。當然另外很重要的一點,就是剛才講到的,習主席一直提的,沒有網(wǎng)絡安全就沒有國家安全,而且國家安全一定要掌握自己的核心技術。瀏覽器內核一定是屬于我們的軟件行業(yè)里面非常重要的一個核心技術,所以一定要掌握在我們中國人自己手里。如果說我們全中國人民一直用的是美國人的內核去辦公,你想國家安全怎么保障?
其實我們把我們的品牌升級成紅芯,原來的云適配就是我們的一個事業(yè)部,我們云適配的事業(yè)部主要是針對移動辦公的效率,我們又產生了一個新的事業(yè)部叫紅芯云安全。接下來我跟大家在安全方面分享一些新的行業(yè)動態(tài),首先拋出的第一個問題是企業(yè)網(wǎng)絡安全今天正在經(jīng)歷一個什么樣的變革?這個變革我可以用兩個“離開”來總結,第一個是今天因為有了移動辦公,所以人離開了企業(yè)的內網(wǎng),他到了外面。第二個是由于云計算的出現(xiàn)或者由于大數(shù)據(jù)的出現(xiàn),今天企業(yè)的應用已經(jīng)越來越多暴露在外網(wǎng)上,所以企業(yè)應用也逐漸離開外網(wǎng)。
大家知道,過去整個企業(yè)的安全是怎么做的?基本上是圍繞防火墻來做邊界的安全,但是其實大家可以看到整個行業(yè)發(fā)展的趨勢,人會越來越多的游離在防火墻外面,應用也會越來越多的游離在防火墻外面,因為你的應用要和人發(fā)生連接,剛才前面講到數(shù)字化轉型、大數(shù)據(jù)、人工智能,你的應用是越來越多的,可能是和上下游和供應鏈發(fā)生連接。當人和應用都不在你的內網(wǎng)的情況下,你過去那套基于對防火墻邊界安全的防御體系就變得不那么重要了,因為你的內網(wǎng)會逐漸被掏空。
這是企業(yè)網(wǎng)絡發(fā)生的變化,傳統(tǒng)的安全是固定邊界安全,圍繞防火墻一圈建各種安全體系,但是人和應用都出了外網(wǎng),所以邊界外網(wǎng)已經(jīng)不再適用了。接下來有一個新的問題,在無邊界的情況下如何解決企業(yè)的安全問題?這個是今天我想給大家?guī)淼恼麄€做安全的新的思路,過去大家做安全都是圍繞著第一種思路叫攻防,我們做防火墻其實也就是一種攻防,我的墻要足夠厚,黑客采用不同的手段來攻擊我,包括連殺毒軟件都是攻防,就是黑客來攻我、我來防你。但是其實安全還有另外一種思路,就是隱身。
我拿這兩個圖來做比喻是很形象的,在戰(zhàn)場上大家想想你有兩種做安全的來保護自己的手段,第一種是穿很厚的防彈衣,不管敵人的槍怎么厲害也打不穿你的防彈衣,你就是安全的。還有一種思路是在戰(zhàn)場上穿隱身衣,敵人不知道往哪里開槍,你也是安全的。這兩種思路其實后面一種思路會更加經(jīng)濟和有效,為什么?黑客明天就會發(fā)明更加厲害的攻擊手段,黑客明天會想到一種新的子彈打破你的防彈衣,可能直接用炮直接攻擊你了,冤冤相報何時了,他會想盡辦法攻擊你,這是沒完沒了的。但是另外一種手段是你隱身了,敵人看不見你了,他就惦記不了你,這樣你的安全系數(shù)比穿防彈衣更加安全。當然了,其實防彈衣和隱身衣并不是矛盾的,你可以先穿防彈衣,在外面再穿一身隱身衣,這樣你就毫無保留的安全了。
依照這個思路,接下來想跟大家講一個新的概念,叫做“軟件定義邊界”。這是國際云安全聯(lián)盟CSA提出來的,其實今天美國云的普及度已經(jīng)非常高了,尤其公有云,很多企業(yè)都把應用放到云上。國際云安全聯(lián)盟就在研究,當我的應用都放到公有云上的時候,我怎么來保證安全。所以剛才講的隱身衣就是他們的思路,提出軟件定義邊界工作組的組長是Bob,他是美國CIA中央情報局專門做信息情報的,他在那里工作了31年,是CIA的CTO。根據(jù)他這么多年信息安全的經(jīng)驗來說,他認為這種軟件定義邊界的安全模型其實是好于今天的攻防模型的,所以提出軟件定義邊界。
在云無邊界的時代,通過軟件的方式構建起企業(yè)一個安全的邊界,這個安全的邊界就像防護罩一樣,把企業(yè)的整個終端設備在地球上就徹底隱身了,別人就沒法攻擊你。SDP軟件定義邊界在維基百科上也有,美國很多公司也有做,像Scaler是一家創(chuàng)新公司,今年也在納斯達克上市。Gartner把SDP列為2017年11大信息安全技術之一。RSA是美國頂尖的技術峰會,SDP模型每年都有一個大賽,你破解了就給你多少錢,連續(xù)辦了4年,今天仍然沒有人能破解到SDP安全模型。所以大家可以看到,SDP安全模型在美國得到很多驗證。包括美國有一家中型銀行是100%公有云,這家銀行所有的業(yè)務、所有的信息管理系統(tǒng)、所有東西都在公有云上,都跑在亞馬遜的AWS上,他是基于這套體系構建安全系統(tǒng),今天也被證明還在很安全的運行。所以大家可以看到,SDP在美國已經(jīng)得到很好的應用。
這里面有很多核心優(yōu)勢,剛才講到第一大核心優(yōu)勢是網(wǎng)絡隱身,他做了類似于隱身衣的東西,讓你的應用徹底從互聯(lián)網(wǎng)上消失掉。它已經(jīng)被證明能夠防止很多有效的攻擊,這些大家平時可能很很頭疼的安全隱患,它可以很方便很快的解決掉。它的核心思想是什么呢?首先大家都知道,傳統(tǒng)的瀏覽器的BS的方式都是叫做先連接后驗證,比如說你公司有一個OA,我先通過瀏覽器輸入OA.你的公司.com,輸入員工的賬號名和密碼進去。大家發(fā)現(xiàn)這里面有一個很大的問題,如果黑客也能訪問到這個OA系統(tǒng),他就知道你這是一個什么系統(tǒng),你是OA還是ERP還是什么。如果發(fā)現(xiàn)這個系統(tǒng)和數(shù)據(jù)是有價值的,他一定會想方設法的把你攻破,通過很多方式,不僅是用戶名密碼的方式,有大量的手段。剛才前面的嘉賓也分享了,大概有50種不同的攻擊手段可以黑掉你的系統(tǒng)。
這個就會讓敵人惦記到,他看到你的系統(tǒng)是什么就會惦記你,比如美的這樣的企業(yè),我肯定想方設法,一年收入2000多億,肯定想方設法把你的數(shù)據(jù)偷走。換一句話說,這個世界上真的沒有完全攻不破的系統(tǒng),完全取決于黑客的技能和時間,大家同不同意?其實對于黑客來說,無非就是一個投入產出比的問題,我要花一年時間攻破你的系統(tǒng),如果我能得到1個億,我一定愿意花時間來干這件事情。如果我花10年時間,我只賺到1元,我肯定不愿意干這件事情。但是黑客已經(jīng)看到你的系統(tǒng)是1個億還是1元,他就會有很大的動力干這件事情。
SDP是先驗證后連接,先驗證你是我的合法員工,只有合法員工才能看到這個OA,剩下的人都看不到這個系統(tǒng)。它對非法用戶是隱身的,只有對合法用戶是可見的,這個是整個SDP的基本原理。我想在座各位有很多系統(tǒng)是要開放給供應商的,比如說公司的架構很大,有那么多的分公司,你們也不知道哪個分公司里面哪個網(wǎng)絡被人黑進去,這些黑客就會進入你的企業(yè)內網(wǎng),就會對你的各種系統(tǒng)發(fā)起攻擊,SDP企業(yè)的隱身衣就能很好的防止這一點。這是整個軟件定義邊界的架構圖,最上面有一個控制器,連接客戶端,連接各種應用,前面放一個網(wǎng)關,只有授權過的用戶才能通過客戶端穿過我的網(wǎng)關連到我的應用。它怎么去判斷這個用戶是不是合法的,就通過上面的控制器。所以你看它會做設備的驗證以及用戶的驗證,只有驗證通過了,我才讓你到客戶端連我的網(wǎng)關,如果驗證沒有通過,你根本就不知道我的應用系統(tǒng)在哪里,也不知道我有什么應用系統(tǒng),整個連接都是動態(tài)的。
基于剛才的架構,其實剛才講到,我們的瀏覽器能做什么,我們提出來叫企業(yè)瀏覽器。上午第一個嘉賓一上來就說微信有企業(yè)微信,可能大家平時在辦公的過程中用的頻率最高的是兩個軟件:一個是聊天工具、另外一個是瀏覽器。聊天工具有企業(yè)微信,瀏覽器肯定也有企業(yè)瀏覽器。我們的企業(yè)瀏覽器就是一個SDP客戶端,我們有一個網(wǎng)關,通過中心控制平臺來控制它,來實現(xiàn)安全。其實我們叫紅芯安全,我們擁有安全模型,有訪問安全、身份安全、數(shù)據(jù)安全、行為安全。訪問安全是實現(xiàn)整個應用的隱身,只對于合法的可見。身份安全是要驗證這個客戶是我的合法用戶,我們會通過很多新的除了密碼以外的驗證技術,比如說人臉、指紋等等。還有數(shù)據(jù)安全,我們對所有數(shù)據(jù)都加密。行為安全是防止內鬼偷你的數(shù)據(jù)。這是我們一整套非常完備的安全體系,就是關于軟件定義邊界的安全體系。
這是我們的一個截圖,大家可以看到左上角有一個員工的頭像,這個瀏覽器需要先登錄,需要用戶的驗證。只有驗證的用戶,我會給他推他能看到的對應的一些應用。比如說這個員工只能看到OA,我只能在首頁上顯示OA,不應該看的就顯示不出來,他也完全連不了。這個是我們整個關于訪問安全的架構圖,大家可以看到,我們在企業(yè)的應用前面放了一個網(wǎng)關,這個網(wǎng)關其實它跟我們的企業(yè)瀏覽器之間是緊耦合的,所有普通瀏覽器根本就訪問不到后面的應用,它根本就連不上。而我們自己的瀏覽器跟我們的網(wǎng)關之間有私有的協(xié)議,甚至還有私有的DMZ,大家知道OA.你的公司.com,這個公司沒有必要在公網(wǎng)上,完全可以在我們的瀏覽器里面以DMZ存在。我的端口也一樣,我可以一直在變化,我可能每個小時都變一次,這個就讓黑客完全不知道后面的應用的存在,他不知道這堵墻后面藏了什么東西,只有合法用戶才知道后面藏了什么東西。而且合法的客戶只能見到可見的東西,我們進行了非常嚴格的控制。
另外企業(yè)瀏覽器里面我們還做了很多關于用戶體驗的東西,在座各位都有一個困擾,你們的應用系統(tǒng)非常多,有很多IE瀏覽器兼容的問題,IE6、IE7、IE8都有,我們的瀏覽器模擬各種瀏覽器的內核,把各種應用系統(tǒng)都集中到我們統(tǒng)一的瀏覽器里面來。你的員工只要打開我們的瀏覽器,就能訪問所有的應用系統(tǒng)。我們是單點登錄,登錄瀏覽器之后就不需要再登錄了。我們是跨設備的,安卓、蘋果、windows 等所有的端都有,這樣滿足企業(yè)無論在任何設備上都能夠訪問到你的應用系統(tǒng)。我們有很多客戶,像上海城市建筑院是我們很好的一個客戶案例,他的很多圖紙是交給第三方去看的,設計完這些圖紙非常昂貴,一張圖紙可能要上千萬、上億,這些安全問題他們自然要很好的解決掉,用我們的軟件方式就很好的解決這個問題。
剛才講到我們的瀏覽器在安全方面的一些創(chuàng)新,接下來講一些在效率上的創(chuàng)新。大家知道過去云適配的業(yè)務主要是做企業(yè)移動化的,我們在移動化上面有什么創(chuàng)新呢?大家知道過去云適配一直是我們很獨有的技術,我們把PC應用直接變成H5。今天我們還有一個新的業(yè)務叫企業(yè)小程序,小程序現(xiàn)在微信已經(jīng)推得非常火了,但是企業(yè)也希望在辦公應用也有這樣的能力。我們企業(yè)的小程序有一個很大的特點,它和傳統(tǒng)的H5不一樣的一點,我們能夠把H5的應用代碼通過一個編引擎直接編一層頁面。大家都知道,H5的性能不太好,用戶體驗不是那么流暢,但是大家又很喜歡H5跨平臺和快速開發(fā)的能力,怎么辦呢?企業(yè)小程序就很好的綜合了這兩者的優(yōu)點,我們既有H5快速開發(fā)的能力和方便性,又有很好的原生用戶體驗。
這個就是我們一個簡單的演示視頻,大家可以看一下整個企業(yè)小程序的用戶體驗。這也是我們通過對瀏覽器的渲染引擎的修改,實現(xiàn)對于原生應用的渲染。這種效果其實大家可以看到,以前是很難以H5的方式做出來的,包括后期的效果。但是通過企業(yè)小程序,大家可以看到刷起來非常流暢,這個就是我們整個對于H5代碼的編譯方面做的很多對于瀏覽器內核的改造,讓它擁有這樣的一種能力,這樣以后大家開發(fā)出來移動應用,既可以大量節(jié)省開發(fā)時間和維護成本,又有非常好的體驗。所以我們叫做H5代碼原生體驗,這就是我們的小程序的一個口號。其實相比外圍APP或者混合應用或者原生應用,它都有很明顯的優(yōu)點,性能跟原生應用一樣快,但是我的跨平臺能力、開發(fā)成本又跟H5一樣低,這種就是把兩者的優(yōu)點都全部綜合起來,幫助大家更好的實現(xiàn)企業(yè)移動化的效果。而且大家知道,原生程序是很難實現(xiàn)熱更新的,如果我要更新一個程序還要通過應用商店,通過安裝一個新版的APP進行實現(xiàn)。但是通過企業(yè)小程序可以實現(xiàn)熱更新,而且體驗還非常好,所以它能實現(xiàn)H5熱更新的好處。
最后再回顧一下我們的移動適配的能力,過去我們把企業(yè)PC端的應用通過自動適配的方式,適配到移動端。這是比亞迪的例子,我們幫助他進行適配移動化。大家知道移動化有很多問題,我們也是通過改造瀏覽器內核的方式,我們讓PC端的應用到移動端手機上的渲染頁面的時候,我自動變成手機端的樣式。這個是我們適配出來的效果,大家可以看一下,左邊是PC端的應用,右邊是手機端界面的效果,這個不需要原系統(tǒng)做任何改造,也不需要原系統(tǒng)提供任何API,通過瀏覽器自動化的渲染就能得到這個效果。這個也是大大加快企業(yè)移動化的進程,大家想想這些系統(tǒng)包括彈窗的功能都可以很好的變成整個移動端的體驗。這些系統(tǒng)要開發(fā)API,要改造系統(tǒng),花的代價是非常高的。
這是航空領域的一個案例,很復雜的圖表我們都能變成移動端界面的效果,這是SAP的系統(tǒng),你可以看到這是一家上市的服裝企業(yè),可以看到適配出來的效果其實是非常好看的、非常現(xiàn)代的。我們還有很多的客戶,在座各位也有我們不少的各位,感謝各位對我們的支持。
最后我總結一下,其實企業(yè)建設應用平臺一直都是由點到面的過程,PC時代大家先是開發(fā)軟件,后來大家覺得一個個軟件太麻煩了,維護起來很困難,所以通過瀏覽器+Web的方式來做。到了移動時代,一開始是開發(fā)單系統(tǒng)APP,發(fā)現(xiàn)手機上APP越來越多,就做一個移動門戶以H5的方式來開發(fā)。但是其實大家從更大的維度看,今天PC和移動又變成了一個單點,沒有很好的把PC和移動綜合起來整體來看這個問題。而我們紅芯想做的就是我們把PC+移動+云整個體系看成一個整體去建設這套系統(tǒng),我們幫你建設了一個跨設備應用平臺,我們幫你解決所有的安全問題,這樣其實你只要管你的業(yè)務邏輯就行了,剩下所有其它的跨平臺問題、安全問題我們通通都幫你解決掉。
這是我們未來的整個架構圖,大家可以看到,我們云適配原來一直是做應用開發(fā)的,如何實現(xiàn)快速的應用開發(fā)。我們今年紅芯安全做更多的關于安全方面的東西,未來我們還會加入更多的智能化的東西,我們能讓你的應用橫跨所有設備,因為未來肯定是一個萬物互聯(lián)的時代,所有的設備都支持,包括未來要物聯(lián)網(wǎng)、VR/AR都可以通過H5的方式、瀏覽器渲染的方式來解決。
這個是講為什么我們是自主的瀏覽器內核,大家可以看到瀏覽器內核的架構,一共有4個層級。普通瀏覽器內核就是左邊這個,大家看到右邊我們對瀏覽器內核做了很多改造,唯一中間解析層沒有做任何改造,因為解析層你要遵循W3C的標準,必須要符合標準,所以改造的意義不大,剩下的層級全部做了改造。針對你的安全、針對企業(yè)辦公效率,做了很多創(chuàng)新。
最后我用這張PPT總結一下,我們做一家企業(yè),我回國創(chuàng)業(yè)很大的一個心愿,我不想做Make in China的公司,我希望做真正有自己的技術、真正中國原創(chuàng)的、能走向世界的技術,所以定位是Invented In China。我們需要自主創(chuàng)新的技術掌握在中國人手里,所以也請在座各位CIO支持一下我們的中國夢,謝謝大家!
京公網(wǎng)安備 11010502049343號