2009 年，35 歲的劉永波決定結(jié)束 10 多年的華為生涯，他租了間 20 平米的辦公室，只招了1個(gè)人，開始創(chuàng)業(yè)。

當(dāng)時(shí)，原先在華為的老朋友去看他，然后神色凝重的離開。多年之后，那位朋友才告訴他，當(dāng)年覺得他特別凄慘，搞不明白為何他要這樣“虐”自己，以他的情況去創(chuàng)業(yè)，好歹應(yīng)該租個(gè)差不多的辦公室，招一波精英程序員才對(duì)，這起點(diǎn)也太低了。

其實(shí)，在離開華為之前，劉永波的職位已經(jīng)是華賽（華為和賽門鐵克）安全產(chǎn)品線的研發(fā) VP，曾管理著2000 多人的研發(fā)團(tuán)隊(duì)，在華為做出過銷量超 100 億的產(chǎn)品，早已實(shí)現(xiàn)財(cái)務(wù)自由的他，本不應(yīng)該如此“寒酸”。

更讓周圍人搞不明白的，是他要去做市場(chǎng)前景還不那么明朗的數(shù)據(jù)安全，在10年之前，數(shù)據(jù)安全遠(yuǎn)沒有今天這么受重視，安全市場(chǎng)的主流還是防火墻、入侵檢測(cè)和防病毒的安全產(chǎn)品，專門做數(shù)據(jù)安全的公司非常少。

實(shí)際上，劉永波自己內(nèi)心也在打鼓，他雖然能感覺到客戶對(duì)數(shù)據(jù)安全的需求越來(lái)越多，但這個(gè)市場(chǎng)到底有多大？他們迫切需要解決的問題是什么？究竟需要什么樣的數(shù)據(jù)安全產(chǎn)品？

在這些“謎題”沒解開之前，他沒有馬上把攤子鋪開，而是選擇了一條“曲線救國(guó)”的道路。

“離開華為后，我先去干了代理銷售”

在華為干了多年技術(shù)的劉永波，創(chuàng)業(yè)之初反而想去掉一些華為化的東西，把自己迅速變成一個(gè)既懂技術(shù)又懂銷售的人，這是破解“謎題”的第一步。

之前在華為，他服務(wù)的都是一些例如“英國(guó)電信”等國(guó)際大客戶，但對(duì)于一家剛剛起步的小公司而言，一上馬就搞定這樣的客戶顯然不現(xiàn)實(shí)，所以，他首先把目光放在了深圳各個(gè)工業(yè)園區(qū)中的企業(yè)。

“當(dāng)時(shí)我和另外一個(gè)小伙子以做代理的名義一起跑市場(chǎng)，前前后后跑了幾百家企業(yè)，向他們了解市場(chǎng)對(duì)安全產(chǎn)品的需求是什么，比如對(duì)于 DLP（數(shù)據(jù)泄漏防護(hù)系統(tǒng)）、UTM（安全網(wǎng)關(guān)）包括郵件安全的需求等。”劉永波告訴雷鋒網(wǎng)，雖然很多人喊創(chuàng)業(yè)起步難，但對(duì)他來(lái)講，這第一年的體驗(yàn)反而不錯(cuò)。

沒有原來(lái)在華為那么高的強(qiáng)度和壓力，兩個(gè)人還通過代理多種產(chǎn)品了解了市場(chǎng)的行情和用戶的需求，挺有成就感，年底一算，沒把賺錢當(dāng)成主要目標(biāo)的他們，還掙了幾十萬(wàn)。

更加重要的是，通過代理 IBM 、思科還有老東家華賽等廠家的產(chǎn)品，讓他更全面的了解了各類用戶的需求，堅(jiān)定了之前想做數(shù)據(jù)安全的想法。

我在華為曾經(jīng)做過通信、電信方面的業(yè)務(wù)，后來(lái)轉(zhuǎn)到華賽做安全后，我發(fā)現(xiàn)后者更多的時(shí)候像是一個(gè)輔助的東西。簡(jiǎn)單來(lái)說，我原來(lái)賣設(shè)備是給電信運(yùn)營(yíng)商賺錢的，而后來(lái)做安全只是為了輔助這些賺錢的設(shè)備，安全本身很難賺錢。

不過，做了一圈市場(chǎng)調(diào)查后，劉永波覺得這種現(xiàn)象在數(shù)據(jù)安全方面可能會(huì)有改觀，安全同樣也可以賺錢。

“我那時(shí)就發(fā)現(xiàn)越來(lái)越多的安全問題，是防火墻或 IDS 等傳統(tǒng)手段解決不了的，必須要數(shù)據(jù)安全來(lái)解決。”在調(diào)查這些軟件廠商時(shí)，劉永波發(fā)現(xiàn)很多醫(yī)院對(duì)于數(shù)據(jù)安全的需求非常大。

以前醫(yī)院考慮的是“小偷”或者“強(qiáng)盜”，采取的方案是為了電腦不要被種下木馬、病毒，門不要被人家攻破，所以用的是防火墻。簡(jiǎn)單來(lái)說，醫(yī)院原先策略是“御敵于國(guó)門之外”：只要把壞人擋到外面了，里面的數(shù)據(jù)就是安全的。

但實(shí)際情況是，堡壘很多時(shí)候是從內(nèi)部攻破的，壞人可以通過滲透內(nèi)部人非法獲取數(shù)據(jù)。比如，雷鋒網(wǎng)曾在去年9月報(bào)道過一起孕婦信息被泄漏的事件（點(diǎn)這里），當(dāng)時(shí)，至少有上千名曾在深圳市婦幼保健院做過產(chǎn)檢或分娩的女性，接到過母嬰護(hù)理（俗稱月嫂）或嬰兒紀(jì)念品等公司的騷擾電話或是短信。

這些騷擾電話和短信的背后，是每一條泄露的孕婦信息都被明碼標(biāo)價(jià)，少則一元，信息越精確，價(jià)格越高，甚至有高達(dá)百元一條的信息，可以精確到孕婦的具體分娩日期。

事后警方公布的調(diào)查結(jié)果是，曾任婦幼保健院保安的楊某，買通了醫(yī)院的護(hù)士，多次出入醫(yī)院下載了這些信息。

這也從另一方面說明了，安全防的已經(jīng)不僅僅是黑客，還有內(nèi)鬼。它需要深入業(yè)務(wù)流程中的具體環(huán)節(jié)，運(yùn)用技術(shù)手段來(lái)制約什么人能使用哪些數(shù)據(jù)，如果發(fā)生泄密，如何最快的定位到那個(gè)人？這時(shí)安全的角色，已經(jīng)不僅僅只是一個(gè)輔助的功能，而是成為整個(gè)業(yè)務(wù)流程中的重要角色。

它所起的作用，不僅僅只是一個(gè)事后抓壞人的作用，還有像監(jiān)控?cái)z像頭一樣對(duì)壞人的“震懾”作用。

為什么要選擇以醫(yī)院為切入口

定好大方向后，就是腳踏實(shí)地的往前走。

在昂楷科技的客戶名單中，雷鋒網(wǎng)發(fā)現(xiàn)醫(yī)療行業(yè)的客戶所占的比重非常大，劉永波透露，醫(yī)療行業(yè)的營(yíng)收在全部營(yíng)收中占比超過40%。

其實(shí)，在各個(gè)行業(yè)中，金融和電信行業(yè)是對(duì)數(shù)據(jù)庫(kù)安全最為重視的兩個(gè)行業(yè)，長(zhǎng)久以來(lái)，他們也是數(shù)據(jù)安全產(chǎn)品的主要使用者，比如幾乎壟斷了銀行 IT 業(yè)務(wù)的 IBM ，就以重金收購(gòu)了一家名為“gardium”的數(shù)據(jù)安全公司。

但對(duì)于像昂楷一樣的創(chuàng)業(yè)公司而言，要想拿到金融和電信行業(yè)的客戶，幾乎不可能。在考察完市場(chǎng)后，劉永波決定暫時(shí)放棄服務(wù)這兩類“金主爸爸”。

電信和金融行業(yè)對(duì)于安全公司的資質(zhì)有非常高的要求，比如你成立的時(shí)間、是否具有各種資質(zhì)，而且這些用戶的數(shù)量其實(shí)并不多，比如金融行業(yè)真正能采購(gòu)數(shù)據(jù)安全類產(chǎn)品的，可能只有200家，但我發(fā)現(xiàn)，在醫(yī)療行業(yè)卻有20000多家，而且醫(yī)療用戶對(duì)于數(shù)據(jù)安全產(chǎn)品的需求更加迫切。

劉永波所說的“迫切”其實(shí)很大程度上來(lái)源于近些年來(lái)大家都非常痛恨的“非法統(tǒng)方”，換句話說，就是醫(yī)生為了利益給患者開某種能讓自己獲得回扣的藥。

在醫(yī)院中，“統(tǒng)方”是醫(yī)院對(duì)醫(yī)生用藥單據(jù)的統(tǒng)計(jì)，屬于醫(yī)院的正常業(yè)務(wù)操作范疇，但如果這個(gè)單據(jù)落到了醫(yī)藥代表手中，他們就能按圖索驥，找到行賄對(duì)象。

統(tǒng)方本來(lái)就是醫(yī)院一個(gè)正常的流程，作為一家醫(yī)院，總得知道哪位醫(yī)生對(duì)哪位患者用了哪些藥，而且這些信息在龐大的數(shù)據(jù)系統(tǒng)中，可能經(jīng)過多人之手，在傳統(tǒng)的數(shù)據(jù)系統(tǒng)中，即使最后統(tǒng)方信息被醫(yī)藥代表拿到了，也很難追溯出到底是哪個(gè)環(huán)節(jié)上的哪個(gè)人出現(xiàn)了問題。

比如，以下的這幾類人，都有“作案”的可能。

醫(yī)院工作者：利用工作便利，可直接在 HIS （Hospital InformaTIon System）系統(tǒng)上進(jìn)行“統(tǒng)方”行為。

開發(fā)或維護(hù)人員：當(dāng)他們對(duì)HIS系統(tǒng)進(jìn)行開發(fā)調(diào)試、維護(hù)測(cè)試工作時(shí)，往往擁有 HIS 系統(tǒng)的最高權(quán)限，“統(tǒng)方”易如反掌。

數(shù)據(jù)庫(kù)管理員：數(shù)據(jù)庫(kù)管理員擁有數(shù)據(jù)庫(kù)最高權(quán)限，可以對(duì)整個(gè)數(shù)據(jù)庫(kù)進(jìn)行備份與恢復(fù)操作，他們才是對(duì)“統(tǒng)方”有最大權(quán)利的人。

黑客：通過利用醫(yī)院數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)系統(tǒng)漏洞，利用黑客攻擊技術(shù)從醫(yī)院網(wǎng)絡(luò)外部進(jìn)行統(tǒng)方，其技術(shù)難度、“統(tǒng)方”成本均最高。

劉永波告訴雷鋒網(wǎng)，由于近年來(lái)醫(yī)院對(duì)治理非法“統(tǒng)方”的迫切需求，讓醫(yī)院對(duì)于數(shù)據(jù)安全產(chǎn)品的采購(gòu)沒金融和電信行業(yè)那么保守，醫(yī)院在測(cè)試、試用之后，覺得好立刻就可以采購(gòu)，決策鏈非常短，周期很快，所以更適合創(chuàng)業(yè)公司做，加之各種軟件的要求很復(fù)雜，正好可以錘煉產(chǎn)品。

從醫(yī)療到公檢法、政府等行業(yè)，其實(shí)有相通之處

其實(shí)，對(duì)于非法“統(tǒng)方”的治理由來(lái)已久，一些傳統(tǒng)的數(shù)據(jù)庫(kù)審計(jì)技術(shù)在行業(yè)內(nèi)的應(yīng)用并不少見。

傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)技術(shù)主要是通過旁路鏡像技術(shù)，將訪問數(shù)據(jù)庫(kù)的信息通過交換機(jī)鏡像一份到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，再將這些信息進(jìn)行深度解析，比如通過詞法、語(yǔ)法等手段把這些信息解析成可識(shí)別的數(shù)據(jù)庫(kù)結(jié)構(gòu)化查詢語(yǔ)言（SQL），再與“統(tǒng)方”規(guī)則進(jìn)行匹配，抓出“嫌疑人”。比如某些非授權(quán)用戶訪問了用藥信息；某些用戶在一個(gè)時(shí)間周期內(nèi)對(duì)用藥信息持續(xù)查詢；開發(fā)維護(hù)人員批量下載用藥信息等。

其優(yōu)點(diǎn)在于：

1.作為獨(dú)立的審計(jì)平臺(tái)，更具公正性。

2.通過底層信息進(jìn)行全面的解析，不放過一個(gè)壞人。

3.因?yàn)槭桥月凡渴?，所以?duì)數(shù)據(jù)庫(kù)和業(yè)務(wù)“零”影響。

但這也決定了，這些主流的防“統(tǒng)方”技術(shù)，在實(shí)現(xiàn)過程中面臨兩個(gè)難點(diǎn)：

1.對(duì)醫(yī)院業(yè)務(wù)流程必須深入了解，才能制定符合醫(yī)院自身特點(diǎn)的防“統(tǒng)方”策略。

2.必須擁有針對(duì)不同醫(yī)院不同類型 HIS 系統(tǒng)豐富的知識(shí)庫(kù)，規(guī)則庫(kù)，才能智能判斷是否是“統(tǒng)方”行為，否則結(jié)果會(huì)是大量的誤報(bào)，大大增加審計(jì)人員“統(tǒng)方”行為數(shù)據(jù)分析工作量。

由于醫(yī)院業(yè)務(wù)的復(fù)雜性，傳統(tǒng)的數(shù)據(jù)安全產(chǎn)品往往會(huì)遭遇“性能”問題和“誤殺”問題，比如因?yàn)橐m配多個(gè)端口而造成的性能問題，比如由于復(fù)雜的軟件架構(gòu)而遭遇的“誤殺問題”，當(dāng)發(fā)現(xiàn)數(shù)據(jù)竊密的時(shí)候，有可能是從程序發(fā)起的，有可能是從終端發(fā)起的，這個(gè)時(shí)候所有訪問的方式都要精準(zhǔn)地識(shí)別出來(lái)，不能漏過，但也不能冤枉好人。

要解決這個(gè)問題，沒有別的捷徑可走，就是要把醫(yī)療系統(tǒng)所使用的幾千家軟件廠商的數(shù)據(jù)庫(kù)架構(gòu)“吃透”。

雖然數(shù)量有幾千家，但可以對(duì)這些軟件應(yīng)用的 API 來(lái)進(jìn)行分類，分下來(lái)也就是幾十種，而在這幾十種之間，有的可能是天差地別，而有的差別只有10% 。

這就如同兩個(gè)人都圍繞某個(gè)主題看了100篇論文，有人只是簡(jiǎn)單的積累，而有的人能從中總結(jié)出相通和不同的地方，把這些論文“變薄”，內(nèi)化為自己的理解。

劉永波把這稱之為“行業(yè)知識(shí)庫(kù)”，即把復(fù)雜的事情積累起來(lái)后，你自己進(jìn)行了分析整理，從而讓用戶使用起來(lái)更加方便，比如對(duì)于不同產(chǎn)品的相同 API 進(jìn)行匹配，想用哪類軟件時(shí)，很多默認(rèn)的規(guī)則就啟動(dòng)，從而能平衡“性能”和“誤殺”的問題。

在啃完醫(yī)療系統(tǒng)的“骨頭”后，他們?cè)谡{(diào)查市場(chǎng)后發(fā)現(xiàn)，很多公檢法的軟件架構(gòu)與醫(yī)療系統(tǒng)非常像，當(dāng)年在醫(yī)療行業(yè)啃下的“硬骨頭”，驀然回首，發(fā)現(xiàn)在別的行業(yè)也能很快的派上用場(chǎng)。

雷鋒網(wǎng)發(fā)現(xiàn)，目前，除了醫(yī)療行業(yè)的客戶，其在公檢法、工控、教育行業(yè)也有相應(yīng)的客戶。

而隨著這些行業(yè)的業(yè)務(wù)逐漸遷移上云，他們也多了很多像阿里云、騰訊云等云服務(wù)商的客戶。

雖然客戶領(lǐng)域不同，但在劉永波看來(lái)，對(duì)于數(shù)據(jù)庫(kù)審計(jì)和監(jiān)控，有兩點(diǎn)測(cè)試方法萬(wàn)變不離其宗：

第一，既然談到監(jiān)控，那就是要精細(xì)化，就是要嚴(yán)格做到不漏審、不誤審，看得準(zhǔn)，測(cè)試方法也很簡(jiǎn)單，在業(yè)務(wù)最繁忙時(shí)，將所有應(yīng)用系統(tǒng)的流量全部鏡像過來(lái)，然后在任何一個(gè)終端上進(jìn)行正常操作，最后看數(shù)據(jù)庫(kù)監(jiān)控產(chǎn)品能不能準(zhǔn)確的識(shí)別該操作。

第二，綜合性能測(cè)試，當(dāng)監(jiān)控告警記錄已經(jīng)達(dá)到幾億條到數(shù)十億條時(shí)，再來(lái)進(jìn)行檢索操作，觀察分析結(jié)果準(zhǔn)確性和出報(bào)表速度，以及是否跟其它安全設(shè)備進(jìn)行了快速聯(lián)動(dòng)。

明年，就是劉永波離開華為的第10個(gè)年頭，在他身上，依然能看出當(dāng)年的“華為基因”。他屢次強(qiáng)調(diào)，只要能做出優(yōu)質(zhì)、符合客戶需求的產(chǎn)品，公司就一定能成。

從創(chuàng)業(yè)初期起，寫代碼出身的他就堅(jiān)定不做“關(guān)系型”產(chǎn)品，他要讓技術(shù)人員看到自己的代碼是怎樣跑起來(lái)的，他要讓市場(chǎng)給這些代碼進(jìn)行真實(shí)的反饋，而不是再像若干年前一樣，一家安全公司僅僅靠著銷售維護(hù)關(guān)系來(lái)生存。他堅(jiān)信，隨著云計(jì)算和大數(shù)據(jù)的爆發(fā)，數(shù)據(jù)安全市場(chǎng)的春天才剛剛開始。