安全牛专访 | 国舜股份：安全与业务紧密结合的信安科技创新领跑者

北京国舜科技股份有限公司（简称：国舜股份），是一家面向政府、金融、通信、能源、电力、航空、医疗等关键行业的专业化信息安全产品及信息安全整体解决方案咨询服务商，是新型网络安全厂商代表。近日，安全牛对北京国舜科技股份有限公司董事长兼总裁姜强进行了访谈。

一、从销售型转型研发创新型

姜强：做一家有世界影响力的民族企业是我一直以来的理想。一开始做的是大数据软件，想成为可以替代SAS的自主产权的数据挖掘软件。后来，在信息安全还未正式形成产业时因一个偶然的机会进入了安全领域。

起先，公司主要做网页防篡改产品，2008年奥运会的时候，网页防篡改产品的市场需求爆增。但用户普遍反映说市面上的产品效果不理想，还是无法避免网页被篡改。那时的软件厂商大部分都不是做信息安全出身，很多高级的攻击都无法抵御。本着对核心用户负责任的态度，我们自己做研发并且最终的效果很好，于是凭借这个契机就一直在信息安全领域干了15年，成为信息安全产品和服务提供商。

后来，基于行业客户网站安全防护的需要，国舜股份又陆续开发了Web应用扫描、网站安全监测平台等产品。市场反响不错，在各类测试排名中也都是名列前茅。

再后来，移动等大客户对网页防篡改产品开始集采，当时安全行业竞争对手相对较少，凡是有一定特点的产品或者服务都能大卖，但随着市场环境的变化和产品技术的不断成熟，热度持续一段之后市场趋于平静。

姜强：是的，大概在2012年前后，但是那个时期信息安全市场体量还很小，安全厂商普遍都很艰难。到了2014、2015年的时候，国家对信息安全的需求逐渐变大。我们开始大力开拓市场，着手产品和技术创新。我认为公司最重要的战略是紧跟客户需求，使客户需求和企业的创新研发能力紧密结合起来。

企业最重要的战略在于定位，深入了解市场需求，并根据需求进行技术研发并推出产品。产品或服务首先是要对客户产生价值，还要具有一定的普适性——不止对某一个客户，更是对大批量的客户都具有价值，达到一定的市场规模才行。定位是面向传统厂商解决不了的问题，寻找蓝海。网络安全其实空白市场还很多，因为攻击手段、网络环境变化的很快，防护方法需要不停的迭代更新。比如，互联网金融的热潮，未来则是IoT和5G的流行，变数的增加也意味着机会的增多。

二、从主营产品到业务架构的布局

姜强：分几类来介绍吧，首先是跟业务紧密联系的大数据风控平台、开发安全以及态势感知平台；其次是安全软件产品和服务的结合，整体方案设计需要有产品落地和解决客户实际问题点的场景化解决方案；另外一块大方向是以渗透测试、安全评估、等级保护以及安全合规等为主的安全服务和安全咨询业务。我们现在主营行业之一的金融行业，其中银行机构的需求最大，因为银行业安全水平要求较高，出现问题时损失最为明显。再就是反欺诈、开发安全以及风险评估等都需要和银行业务紧密结合。

姜强：这仅是代码侧安全，国舜股份做的是从需求分析到设计、开发、测试、部署、运维、废弃等全生命周期的开发安全，所以整体解决方案是不一样的。目前开发人员技术水平普遍参差不齐，而且人员流动性也很大，所以确保代码安全是个基础性的工作，也是关键性的工作。因此在代码安全这个层面我们提供了开发标准化安全组件，将安全和开发人员之间从原本对立转变成一个互助关系。对于容易出现安全问题的功能场景，通过直接调用标准安全组件，可以大大降低开发过程中的安全风险，保证开发质量和效率。另外，值得强调的是，我们通过对源代码进行大数据分析，对于常见业务逻辑漏洞进行识别并精准定位，大大降低了代码审计误报率，提高了漏洞检测效率。

姜强：是的，国舜股份是国内提出全生命周期安全开发理念和实现全生命周期安全管理的安全企业。随着敏捷开发的广泛应用，开发的节奏越来越快，版本更新越来越频繁，以往仅仅在后期进行安全管理和保障已经无法适应开发安全的需求。安全工作必须提前做，在开发阶段引入安全管理，确保开发出来系统的安全质量，是安全管理与保障工作的必由之路。

全生命周期的安全开发是指从需求入手，进行设计、编码、测试、部署和运维，形成业务的安全闭环。业务以安全为前提，通过对场景的基础性和业务功能的威胁分析，制作出典型的解决方案，形成完整的安全设计。在安全设计的同时，要主动考虑用户体验度，要尽可能做到在相同安全的情况下体验度和安全性更优。

三、开发安全、反欺诈与客户业务紧密结合

姜强：开发安全重点解决逻辑漏洞问题，比如说深度的业务越权漏洞、遍历漏洞、IP信息泄露等。再就是在开发初始阶段发现一些普通的操作系统或网络层漏洞，比到了应用上线再去查的时候节省了几百倍的成本。另外，开发安全也主要是关心客户的业务系统，比如：电子银行应用、网银、信贷系统等各种支付系统，所有存在的业务安全问题都会直接导致财务损失。

最新的测试结果是单机9000TPS，对银行的交易来说这已经足够了。第一解决了效率问题，第二实现了规则的灵活性。无论是反欺诈还是薅羊毛，本质上最核心的是靠对业务的理解和决策引擎。反欺诈场景包括薅羊毛在内都不是一个易复现的场景，它是一种无法建立完整的无监督学习的小样本事件。因而，仅靠机器学习是无法解决反欺诈问题的，专家的参与也是不可或缺的，还需和机器学习形成双重保障。

姜强：我们强调的还是踏实做事，短板在于宣传造势方面的不足。与竞争对手相比，业务包装上我们弱了一些，但软件开发、平台本身的能力等技术实力方面我们有充分的话语权。举例说明，像互联网金融其实对技术的判断能力和要求并不高，但是银行客户就不同，它需要你具备很雄厚的技术实力和落地能力来帮助它解决面临的难题，这方面我们比较擅长。

我们的反欺诈产品刚开始推出的时候就获得了银监会的科技一等奖，获奖原因我认为在于创新，比如开发引擎、内外部的数据结合等。其实反欺诈最终是一种行为识别，识别访问路径、访问IP、同一个设备指纹访问的频率，我们称之为三引擎同时运行，只要用户注册了不论是否登录都会提前做一个画像，叫画像引擎；登录后系统会自动匹配不同的规则，也就是规则引擎，同时还需要流程引擎运行。在国内三引擎同时运行的只有我们一家，很大程度保证了反欺诈的效率。我们的交易反欺诈产品反馈时间在5毫秒以内，基本上是国内挺快的。

四、公司基因和企业文化管理

姜强：从WEB安全后来延伸出以渗透测试为特色的安全服务，从安全服务发展出与业务紧密结合的反欺诈、开发安全、态势感知等业务。我们一直强调安全和业务相结合，安全的发展趋势可能越来越和业务贴近，仅因娱乐而攻击系统的黑客越来越少，现在很多都是为了获取商业利益或者是谋求其他业务利润。而传统安全厂商在这上面花的功夫非常少，但客户确实又很需要解决这个痛点，金融行业的客户就有好多提到说因机器系统故障或者业务安全引发的盗刷案例。

接下来公司发展重点是企业文化的打造，具有一定挑战性。我们现在正面临企业文化塑造特别关键的时刻，今年的基调是打造核心凝聚力，把企业文化、核心团队建好。所以会控制人员涨幅在30%左右，重点打造核心团队的凝聚力。

姜强：重要的是找出问题所在，战略可以粗分成两类：一类成本领先型，另一类技术领先型。比如国舜股份的安全+业务是标准的技术领先型战略，技术领先型战略代表复杂，如何把复杂的概念介绍给客户？比如说交易反欺诈、UEBA或者信贷反欺诈等等。企业的优势特点以及独特价值在哪里？所以面临的困难是如何将复杂难懂的方案用简洁明了的语句解释，让客户能够快速理解和接受。目前最大的难点有两个，一个是厂商不能想出一个方法在新场景将细分安全产品标准化，这依赖于厂商的集体进步；另一个是市场规模扩大之后带来的挑战在于销售团队规模化。也就是最短时间内将技术问题在同类客户之间产生价值关联，这也正是销售人员培训周期长的原因。

姜强：我们希望三年内在已经选择的行业和产品上做出一定的成绩，比如金融和运营商领域，明确要求力争第一，至少进入行业前三。另外也会对于新行业进行不断探索创新。分析公司发展依靠什么实现增长，就解决了一段时间的发展问题，公司战略方向没有错，剩下来就是怎样将战略落地。例如先让业务安全和开发安全做大做强，相互形成黏着度和支撑力，再完成实际落地。

（来源：安全牛）