2018年4月下旬，中美貿易戰終于打到核心區，所有人這才幡然意識到之前的鋼鐵戰和大豆戰都只是演習，美國人終于祭出了真正的底牌，網絡安全與信息化領域才是這場戰役的主戰場。而幾乎同時，中美兩場高端的網絡安全大秀也不約而同在兩地上演，舊金山RSA和北京429首都網絡安全日的展會現場似乎更多了一些火藥味兒。本著“比較研究與自我批判”的態度，筆者通過窺探兩場風格截然不同的展會，淺顯談一談中美網絡安全產品與思維模式的異同，希望對國內同行有所啟發。

計算機發明于美國，互聯網起源于美國，第一家網絡安全公司也誕生于美國。我們當今所從事的幾乎所有網安產品與服務，遠到防火墻、VPN、身份認證，近到APT、威脅情報、態勢感知，無一例外都是西方最先提出并實踐。硅谷的神奇就在于無數個概念被創造、被實現、被顛覆、又被重構，而一代代產品升級迭代的背后是數十年巨大的資本、人才與思想的驚人積累。美國很多偉大的公司脫胎于“實驗室”或者“車庫房”，正是因為那些企業或者產品創始人最初心懷的只是非常樸素的“任務感”，或去解決某個實際問題，或是帶來某種過程便利，或者替代某個老舊裝置，通過這個原點慢慢發展和擴大，最終形成龐大系統。中國網絡安全產業起步較晚，幾乎都是基于美國已經建立好的規范和基礎之上發展而來，或者是拿來主義，或者是本土優化，或者是局部創新，缺乏常年的工程思維積淀。與汽車、飛機、金融、芯片等領域一樣，國人真的不能輕易說領先，更不敢妄談超越，我們就應當老老實實承認自己只是個學習者和追隨者。都說做人要上善若水，謹慎謙虛的態度對產業發展絕對有利無害。反觀國內近幾年火熱的政策導向，在資本追捧之下，網絡安全從業工程師們似乎早已離原點越走越遠。

客戶需要“藥品”還是“保健品”?

某品牌藥酒最近走上了輿論的風口浪尖，給喜歡各種“補腎”和“養生”的國人敲了一記警鐘。往往消費者的心態和知識不夠成熟時，才容易輕信“十全大補”這類方法，而從科學和辯證的角度看一定不會存在普適性的解決方案，最有效的路線一定是準確找到病灶并精準打擊。RSA公司的總裁Rohit Ghai在今年RSA2018開場的主題演講中提到：“面對現今愈演愈烈的安全威脅，越來越多的人已經放棄“銀彈”思維，并不期望什么靈丹妙藥可以解決所有安全問題，而是非常務實地‘每天進步1%’，并不幻想在某一天突然達到完美的狀態。通過擁抱行為分析和網絡安全可視化等新技術，通過安全從業者之間的協同，持續改進和優化我們的安全產品與技術，應對每一個具體的安全威脅。””從RSA現場看，專業安全廠商確實也越來越專注，各家展臺上少了華而不實的概念，多了成熟產品和技術的展示，多了成功案例的介紹。而不得不說，429首都網絡安全日展會的現場則更像一場面向中老年消費者的保健品展銷會，筆者看到一位曾經在大公司低調務實的技術主管，創業后竟然也對著展板歇斯底里的傳銷如何用他的技術讓使用者一勞永逸，與黑客威脅后會無期，讓人領口陣陣冷氣上竄。而同樣在RSA期間，筆者與一位老友相見，老大哥說他們用幾十位實戰經驗豐富的工程師配合全包流量分析技術，只做精做專了特種木馬追蹤這一件事，國內高端行業客戶把這只團隊稱為“殺馬特”，幾乎所有的政府部委都使用了他們的產品與服務，這樣的團隊才值得打從心底佩服。

我們到底為了什么而“技術整合”?

RSA2018上，幾乎所有的大牌安全公司包括CheckPoint、IBM、Fortinet、McAfee，都在談同一個概念---“技術整合”。新一代的安全體系早已不依賴于傳統的防御設備，而是通過整合網絡、終端、服務、數據等多個系統，綜合關聯分析包括日志、流量、行為、配置、事件等多種來源的數據，構建更完整的安全監測、運營、呈現與響應系統。而在中國，這套技術體系則被取上了一個更富有戰爭色彩的名字---“態勢感知”，當然429展會上幾乎所有人都需要無限貼近“態勢感知”這個名詞，知名大廠商自然當仁不讓，而一眾中小企業竟然也趨之若鶩，從而我們看到了“數據庫態勢感知”、“密碼態勢感知”、“身份態勢感知”甚至“機房態勢感知”等新鮮名詞。

筆者今年初曾經拜訪過一位部委信息中心負責人，他用幾乎帶有憤怒的情緒講述，2017年初花2千多萬建了所謂“態勢感知”平臺，所有的設備也都開啟了日志采集，新購的探針都處于運行狀態，一年里系統共產生并存儲了近4億條日志，但沒有觸發一起所謂事前的預警，更別提企業宣稱的未知威脅檢測，所有投標標書和宣傳冊里的功能最終都成了一場空。這個案例，值得我們靜下心來分析。

目前客戶的數據庫中確實已經收集和存儲了大量的安全數據和日志，分布在不同的系統和業務中，形成了難以維護管理的“蜘蛛網”，如果能建立統一的數據管理和訪問平臺，提供“一站式”的數據訪問服務確實大快人心。然而這個過程其實并不簡單，首先將多源數據整合必然存在抽取、清洗、轉換、合并的過程，大批量的數據遷移需要投入的技術與成本相當高。其次要根據用戶的業務和運行流程建立安全模型實際上是非常困難的，需要精通用戶業務、深諳安全分析并掌握大數據算法的跨三界工程師緊密配合，要投入大量人力服務，而不是單純靠機器能夠完成。我想，這正是為什么國外只有大廠家才敢于談“技術整合”，而專業廠家只依靠單純數據來源做單一安全數據分析的原因。國內寥寥數個人的創業公司都敢提這么宏大的概念，想必只是為了“技術整合”而整合吧。

國家需要一輛“概念車”么?

這是一個知識獲取成本最低的時代，從咖啡館到沙縣小吃，到處在談論商業模式與互聯網思維，我60多歲的父親每天飯后跟我探討的都是新零售和共享經濟。自從賈兄開了賣概念手機概念車的先河，網絡安全企業創始人們不管對外宣布融到的資金是實際到賬的幾倍，必須先“受邀”參加數十場冠以“全球”至少“中國”的高端會議，穿上黑色T恤用踱步法娓娓講述一套換了右上角Logo任何公司都適用的充滿國際化設計感圖標的炫酷黑底PPT，始于伊朗核電站的鬼故事結尾于天下無賊的童話故事，云計算大數據區塊鏈人工智能機器學習缺一不可，最后還一定會毫無懸念地“斬獲”評委大獎并受到高度關注。

鴻茅藥酒樂視車，誤人誤己誤國，營銷過度與泛濫某種層面上扭曲了企業家們創業的初衷，而變味的“概念車”終究開不上改革開放的快車道，會蒙蔽甚至阻礙產業的發展，而始作俑者最終也會付出代價。正如煉金時所有的虛假與雜質在烈火之中總會悉數褪去，無論行業多么繁榮、技術如何浮夸、資本怎樣追捧，在赤裸裸的商業與技術戰爭面前一切都會顯出真實本性。中美之間的角力永不會停止且一直在升級，只有堅持核心技術專注度，加大研究與開發投入，聚焦于用戶需求痛點上不拋棄不放棄，才能在這場戰爭中浴火而生。

筆者也很欣喜地看到，在信息安全領域，涌現出了一批優秀的堅持自主創新的企業，比如安博通、青藤云安全、科來、恒揚數據等(后面會做出它們的技術優勢分析)，都在通過不斷的技術創新，持續為國家網絡安全事業的發展貢獻力量。希望這場貿易戰，帶給我們的，不僅是美國封殺中興的血淚教訓，更應成為國人必須在信息安全領域掌握核心技術的決心與行動!

安博通：在今年RSA大會上，安博通全新推出的“攻擊面可視化“解決方案引起了不小的關注。自推出可視化產品以來，安博通以安全策略為切入點，雖然產品一直在不斷疊加流量威脅分析、安全事件分析、主機安全防護等元素，但始終緊緊圍繞安全策略這個核心元素在發展產品。在防御體系視角上，安博通聚焦于縮小攻擊面、延長攻擊時間、及時發現及時告警、提高攻擊的門檻，通過對安全防御系統進行“免疫力提升”的方式增加抗風險能力，這種踏實穩健的思路讓客戶更易接受，也得到眾多業界專家認可。

青藤云安全：在RSA大會上，青藤云安全的主推產品“云工作負載安全態勢感知平臺”英文版首次亮相，包含資產清點、風險發現及入侵檢測三大功能模塊，為云工作負載安全需求提供一套完整的解決方案，在大會上獲得參觀者的廣泛關注。在多云環境下，對跨平臺的云工作負載資產變化及實時威脅動態感知，并對其配置作統一管理，已成為安全管理者的痛點，這也需要廠商們以開放的姿態共同努力(Circle the Wagons)。青藤云安全作為亞洲主機安全的新銳和代表廠商，也正為擁抱這一趨勢而努力。

科來：作為做精做專一件事的代表，科來雖然沒有在RSA大會上參展，卻也派出強大的陣容到會學習。在與科來工程師的交流中，筆者深切地感覺到這家公司專注、踏實、穩健的技術范作風，目前科來正致力于將人工智能的技術應用于流量分析和網絡安全，我們對科來的創新方案拭目以待。

恒揚數據：作為業界領先的基于機器學習的大數據基礎設施及應用解決方案提供商，此次參加RSA2018大會，恒揚主推的產品及解決方案包括FPGA云服務(FaaS)解決方案、固網網絡可視化基礎設施及移動網絡可視化基礎設施解決方案。iNext加速卡是一款基于Xilinx公司FPGA芯片開發的PCIe卡，可以為云計算等應用領域提供高性能的計算能力，其方案中數據采集、數據分析、數據應用的思路清晰而全面。