軟安科技CEO 徐剛

徐剛：謝謝主持人，謝謝各位來參會的嘉賓。非常高興今天有機會在這里給大家做一些分享，首先自我介紹一下，我是徐剛，之前我在IBM和微軟做過20年，離開IBM的時候是IBM混合云大中國區(qū)的總經(jīng)理，我離開IBM之后我也在甲方做了三年半，我加入了新奧集團。離開新奧集團的時候，我是新奧集團的高級副總裁，主管數(shù)字化。所以跟在座的各位CIO我覺得還是有些交集，而且也是蠻有體會的。離開新奧，我們現(xiàn)在在做軟安科技。

 

我簡單把軟安科技大概介紹一下。軟安科技我們剛成立不久，今年5月份才成立，6月份的時候我記得在成都CIO大會的時候我跟范總還講，我說有機會的話，我希望能夠在這樣一個會上來分享我們的一些東西，我們差不多經(jīng)過半年多的時間，團隊不斷的努力，我們也快速推出了我們自己的一些安全類產(chǎn)品。軟安科技它的定位，它的投資主要是由新思科技、成都高新政府、社會資本以及我們共同投資成立的一家公司，這個公司的定位就是做安全，為什么做安全?做數(shù)字化我自己在新奧集團做三年半，自己也是深有體會，CIO都是有很多的挑戰(zhàn)。CIO這個工作也不是一個好做的工作，你要上懂戰(zhàn)略，下懂技術(shù)，從左到右，從硬件到軟件，到平臺，到整個業(yè)務(wù)，你要融會貫通，而且要對各方面都很精通，其實是非常困難的。

 

我在新奧做的時候也是有這個體會，我離開新奧前的一年，我已經(jīng)意識到新奧雖然在高速發(fā)展我們的業(yè)務(wù)，但安全這一塊還是有很多隱患，很多漏洞。所以那時候就開始著手建立我自己的安全團隊，新奧的安全團隊從我初始建立有20幾個人的團隊，到今天已經(jīng)有200多人的團隊，就是光在新奧集團里面做安全的，而且當(dāng)時新奧集團的主席也非常重視，也是給了很多資金。我離開新奧，我們做這個公司的時候我們也看到了一點，安全確實是一個蠻大的問題。

 

CIO我們要看這么多東西的時候，被業(yè)務(wù)追的很緊的時候，你的安全有時候會忽略掉，但是安全是非常核心的一個點，如果安全做不好，那你做的數(shù)字化就好像搭的一個海市蜃樓，分分鐘要癱瘓。所以可以看到，我們講數(shù)字經(jīng)濟的發(fā)展2020年的時候我們講數(shù)字經(jīng)濟規(guī)模達到39.2萬億，GDP比重已經(jīng)到了38.6%，這個數(shù)據(jù)我們也覺得是非常意外的，這么大的一個比重，而且我們現(xiàn)在看到對數(shù)字化建設(shè)是持續(xù)投入、持續(xù)增加。但是安全這一塊，我們面臨兩個很大的問題，第一個問題就是安全要面臨的點是非常多的，我們到底怎么去解決我們的安全問題?我們是快速構(gòu)建自己的團隊，形成我們的能力，還是我們用什么樣的方式去做?第二個問題就是安全不斷的投入，還遇到一個很大的問題就是人才，沒有足夠多的人才可以來支撐我們?nèi)プ霭踩覀兊降自趺慈ソ鉀Q這個問題?所以回過頭來講，軟安在定位安全的時候，市面上做安全的公司也非常多，今天上午就有騰訊安全，業(yè)界還有很多，但大部分的安全公司在做網(wǎng)絡(luò)安全為核心，打造整個的產(chǎn)品體系。但是我們也看到了一個蠻大的問題，除了我們講軟件也好、硬件也好，系統(tǒng)上線之后的安全，我們更多也會關(guān)心，所有數(shù)字化好多都是軟件組成的，那我們怎么保證自己的軟件本身的安全呢?這也是我們自己已經(jīng)看到的，就是在軟件到處都在的時候，我們保證軟件的安全已經(jīng)成為了我們的一個很重要的點，這也是軟安剛剛成立的時候我們就往這個點上去切入。

 

還有一個很重要的環(huán)節(jié)是什么呢?國家現(xiàn)在對安全的要求越來越高，這不是說我們要不要做的問題，而是一個法律層面的問題，從《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》，包括定制軟件管理，代碼過程管理，開發(fā)過程管理有了更詳細(xì)的要求，也迫使我們要思考這上面到底怎么往上完善。

 

回過頭來我們講工業(yè)互聯(lián)網(wǎng)，工業(yè)互聯(lián)網(wǎng)的安全跟傳統(tǒng)互聯(lián)網(wǎng)的安全還是有一些本質(zhì)上的不同。傳統(tǒng)互聯(lián)網(wǎng)的安全更多是在于數(shù)據(jù)的安全，就是互聯(lián)網(wǎng)的數(shù)據(jù)，這里有很多價值，我們基本上是說怎么去獲取數(shù)據(jù)，數(shù)據(jù)一旦丟失，會給企業(yè)造成一個蠻大的損失。而在工業(yè)安全里面來講，我們看到的是企業(yè)自有投資的一個實體，我們講的是在工業(yè)互聯(lián)網(wǎng)越來越多的智能設(shè)備使用，越來越多的安全系統(tǒng)智能化的上線，包括我們的互聯(lián)網(wǎng)，讓工業(yè)系統(tǒng)原來是一個封閉系統(tǒng)也逐漸往開放這邊走。所以我們看到，未來工業(yè)上安全的損失可以說對我們的破壞是更大的，它破壞的是一個實體價值，而且對我們實體會造成一個長久的影響。

 

為什么講工業(yè)互聯(lián)網(wǎng)安全里面軟件供應(yīng)鏈變得越來越重要?我們認(rèn)識到很多工業(yè)場景里面，不管是工業(yè)的設(shè)備也好或者是軟件的引入也好，大量軟件的使用使得我們風(fēng)險的暴露度越來越大，怎么樣保證這邊的安全也變得越來越重要。我們可以看到這里有幾個數(shù)據(jù)。在數(shù)字化轉(zhuǎn)型過程中，工控設(shè)備高危漏洞風(fēng)險占比是91%，存在一個極力的風(fēng)險，平均每個智能工廠就有很多的漏洞，包括現(xiàn)在整個黑客也是把供應(yīng)鏈上的安全看成一個很重要的點，我們看到有很多制造商也好、供應(yīng)商也好、集成商也好，他們在給企業(yè)提供方案的時候，比如生產(chǎn)廠商有的時候為了維護自己的設(shè)備，他可能會留一些后門，或者說基礎(chǔ)的軟件商提供服務(wù)的時候，我們前段時間也看到人行這邊也發(fā)出一些警告，因為是一家OA企業(yè)，他提供OA解決方案，本身這個公司被攻克了，被植入了代碼，造成了后面的漏洞，也形成了對整個生產(chǎn)系統(tǒng)的一個泄密。所以我們可以看到，安全的防范性變得越來越重要了。

 

我們回過頭來講，安全我們到底從哪里去看?傳統(tǒng)的網(wǎng)絡(luò)安全還是繼續(xù)去做網(wǎng)絡(luò)安全，但是我們現(xiàn)在提出一個蠻重要的觀點，就是說安全左移的問題。我們怎么樣把安全從源頭就解決這個問題，去保障一個軟件的質(zhì)量。這有兩個原因，從外因來講，一是監(jiān)管要求陸續(xù)出臺，包括傳統(tǒng)的安全它沒有辦法看到一個根本的原因，而且它的修復(fù)成本是非常高的。從內(nèi)因來講，軟件本身的漏洞，Gartner是75%安全攻擊由軟件自身漏洞造成，包括NIST，92%漏洞是應(yīng)用自身弱點，非網(wǎng)絡(luò)原因。所以我們可以看到隨著自主可控，好多開源代碼被廣泛使用，超過八成軟件項目中存在著高危開源軟件已知的漏洞。隨著我們攻擊不斷的左移，對我們軟件供應(yīng)鏈的攻擊，形成整個安全隱患的案例也越來越多。

 

另外一個問題，我們要形成這樣一個安全，我們怎么保證效率和安全的平衡?既然我們用了大量的代碼，用了供應(yīng)鏈上面這么多的安全，我們怎么樣去提高我們自身的效率，現(xiàn)在也變成我們自己的CIO，包括我們自己企業(yè)內(nèi)部要考慮的問題。從工具層面來講，工具鏈本身的安全也好，包括我們用一些測試的工具去做，它的誤報率、漏報情況也會非常多。對于人員來講，我們怎么樣去學(xué)習(xí)這個工具，怎么樣能夠讓我們的團隊快速掌握這樣一種能力，這個成本和效率也是一個很重要的原因。

 

我們現(xiàn)在講的是，目前我們看到整個企業(yè)對業(yè)務(wù)的需求不斷增長的時候，我們對敏捷開發(fā)的要求也提出來。未來在敏捷開發(fā)的過程中，我們怎么樣能夠通過一套穩(wěn)定的、可預(yù)期的、自動化方式跟敏捷開發(fā)做一個整合，這是我們業(yè)界提的比較多的，就是DevSecOps，邊開發(fā)邊保證我們的安全，軟件產(chǎn)生的時候就形成我們自己安全的一個防御。

 

目前我們看到的問題，第一是單一的我們?nèi)ベI一個安全檢測工具是不是可以解決問題?我們講它的全面性還是有問題。第二我們發(fā)覺問題的時候，我們是不是馬上可以去改，而且可以持續(xù)的讓我們軟件質(zhì)量保證是一個閉環(huán)，所以它的有效性，它的閉環(huán)處理是怎么做的。第三就是專業(yè)性，未來安全這一塊，包括軟件安全這一塊的知識、能力能不能持續(xù)的沉淀，形成我們自己行業(yè)的特色，這也是我們在思考的一個點。

 

我們自己看到這些問題之后，我們也在打造我們自己的平臺產(chǎn)品去解決客戶的問題。主要從幾方面：

 

第一，不管是我們的代碼庫還是運行實力來講，我們未來能通過一個多維智能分析引擎，根據(jù)不同時間點，根據(jù)我們的要求去查找我們自己的問題，而且根據(jù)不同的工具，我們能夠形成一個多維的報告來進行一個互相認(rèn)證，能實現(xiàn)我們自己的動態(tài)化監(jiān)管，以及未來通過一個知識庫不斷沉淀我們行業(yè)的知識，行業(yè)的能力，使我們自己的平臺能夠不斷進化，這是我們未來在設(shè)計我們自己的一個大平臺的時候思考的點。

 

第二，從政府架構(gòu)來講，我們整體設(shè)計平臺架構(gòu)考慮的，一個是底層知識庫，從標(biāo)準(zhǔn)漏洞庫也好、掃描庫也好，我們逐漸去把我們未來的行業(yè)規(guī)范和歷史經(jīng)驗進行不斷的沉淀，同時通過我們多工具的整合，我們能夠來實現(xiàn)未來的任務(wù)調(diào)度。這個任務(wù)調(diào)度能夠讓我們在開發(fā)過程中，在正確時間、正確地點選擇正確的工具，得到個正確結(jié)果。未來我們再通過一個分析和監(jiān)管的平臺，讓我們各層管理層也好、開發(fā)人員也好，各個不同的崗位角色能夠拿到自己最合適的報告，并且能進行快速的更改。

 

這就是我們講的一個智能任務(wù)編排系統(tǒng)，它是根據(jù)任務(wù)的策略，根據(jù)我們的項目，同時我們的檢測策略、任務(wù)策略，實現(xiàn)對流水線工作的定義。

 

這是一個知識庫的打造，掃描報告，任何一個工具做的時候也會出現(xiàn)我們自己的局限性，也會出現(xiàn)我們的誤判也好、誤掃也好。這些掃描報告未來通過我們自己打造的數(shù)據(jù)庫去做什么呢?去進行分類聚匯，逐漸形成我們自己的風(fēng)險識別模型，來告訴我們哪些是高風(fēng)險，哪些是低風(fēng)險風(fēng)險級別是什么，我們建議措施是什么。通過我們自己的機器學(xué)習(xí)，未來會讓我們知道有些問題在我們的企業(yè)內(nèi)部是可以被忽略的，有些問題是我們必須重視的，而且會形成我們自己的一個標(biāo)準(zhǔn)，并且告訴我們未來應(yīng)該如何處置。

 

第三，針對于多角色人員就是不同開發(fā)人員也好，測試人員也好，包括我們項目經(jīng)理、產(chǎn)品經(jīng)理以及管理層，我們能夠根據(jù)我們場景拿到不同報告，能夠看到各種指標(biāo)，能夠讓我們對企業(yè)內(nèi)部軟件安全、代碼安全有一個全方位的了解。

 

基于這些思考和想法，我們在打造“金剛”軟件質(zhì)量安全平臺，這個“金剛”我們希望未來能夠把我們軟件的平臺也好、產(chǎn)品也好真正變成企業(yè)IT的一個護法神，真正守護我們自己的安全。所以我們從安全左移開始，我們能夠把它和DevSecOps整合，能夠形成DevSecOps整體方案，為整體安全做一個完整的防護。

 

這是我們軟件安全質(zhì)量平臺核心的一個點，我們提了幾點：一是我們是一個多維的報告中心，它能夠根據(jù)不同工具、不同掃描方式來得到我們軟件安全的綜合分析，包括開源代碼的使用，開源代碼的安全，我們的使用量，我們的漏洞，我們的邏輯錯誤等等;二是我們能夠自適應(yīng)進行安全任務(wù)的編排，能通過安全任務(wù)自動編排，我們能知道在什么時候做什么樣的事情;三是我們能夠兼容各種生態(tài)產(chǎn)品，目前我們是把新思的各類代碼掃描，包括它的開源軟件成分分析等等軟件我們已經(jīng)整合進來，未來也會有一些基于開源的平臺和產(chǎn)品持續(xù)做整合。四是我們有一個智能升級的知識庫，隨著我們內(nèi)部企業(yè)的使用會不斷的提升它的學(xué)習(xí)能力，提升它的知識成分。五是我們可以做SaaS化運營，可以兼容主流云平臺，可以在私有云里面部署。六是我們也提供了API的支持，能夠通過平臺提供安全服務(wù)能力，跟它自身的敏捷開發(fā)平臺做無縫整合。

 

(圖)這是能看到的幾個畫面，門口也有一些演示，大家可以去看。我們整合了不同平臺的工具，我們來進行整體的安全掃描，包括流水線的工作，我們能夠告訴這個項目目前的進展以及項目每個階段需要執(zhí)行什么樣的動作。這里是一個問題的報告，我們對我們自己的項目，包括我們以項目為中心，以任務(wù)為中心，我們都可以來快速展現(xiàn)有問題的項目。

 

這是團隊效率的分析，跟DevSecOps整合，它不僅僅可以知道我們是哪個項目，還可以知道開發(fā)人員的開發(fā)效率怎么樣，出現(xiàn)問題的概率是怎么樣的，哪些是一些嚴(yán)重的問題需要我們來解決的。

 

我們也有一些試點客戶去做一些溝通。實施該項目的方案后，整個安全質(zhì)量的提升是顯著的，而且對于測試人員安全測試的效率提高也好，對整個跟蹤也好，大大降低了未來產(chǎn)生風(fēng)險的成本。這是我們實施前后的報告，從應(yīng)用安全漏洞的管理和開發(fā)團隊的協(xié)作、安全應(yīng)用及生命周期管理里面，整個效率是得到了一個比較大的提升。

 

今天時間關(guān)系，我們初步介紹了一下我們產(chǎn)品的一些雛形和想法，從軟安來講，我們的方向還是有幾個地方可以跟企業(yè)進行深度合作。一是軟件質(zhì)量安全的平臺，這個平臺化我們可以快速跟企業(yè)內(nèi)部做整合;二是數(shù)據(jù)安全這一塊，我們有相應(yīng)的產(chǎn)品隨著《數(shù)據(jù)安全法》的發(fā)布，我們也推出了相應(yīng)的數(shù)據(jù)安全類產(chǎn)品，因為時間關(guān)系，這次會議上我們就沒有做一個比較詳細(xì)的介紹，如果大家感興趣我們也可以做進一步的介紹。我做一個小廣告，我們數(shù)據(jù)安全的角度，因為也是考慮到企業(yè)數(shù)據(jù)服務(wù)、數(shù)據(jù)中臺開始不斷的完善，我們也發(fā)覺未來我們怎么保證數(shù)據(jù)對外進行服務(wù)的時候不會有問題。所以我們能夠通過數(shù)據(jù)網(wǎng)關(guān)和數(shù)據(jù)規(guī)則引擎、平臺去定義什么時間點、什么人能夠看什么樣的數(shù)據(jù)，如果遇到數(shù)據(jù)問題的時候，我們能夠通過什么樣的方式快速阻止或者提醒我們遇到數(shù)據(jù)安全的問題。三是專業(yè)的安全服務(wù)以及我們未來智慧化安全運營的平臺，這是未來軟安能夠提供的。

 

用一個簡短的時間給大家做一個簡單匯報，大家如果感興趣希望跟我們有一個更進一步的溝通，感謝范總在嘉興這樣一個最牛的創(chuàng)業(yè)團隊發(fā)源地，也希望我們項目隨著跟大家進一步的溝通，我們也能夠不斷成長，能夠借這個創(chuàng)意吉祥地，能讓我們自己的業(yè)務(wù)蒸蒸日上。感謝大家!