记者:请周总先谈一下对信息安全的看法。
周军刚:我这次演讲的题目就是关于制造业智力资产的防护问题,我有一个观点:一个企业的智力资产的表现形式究竟是什么,人类社会经过很多文明,农业文明、工业文明,到现在的知识经济阶段,到现在为止,我认为高性能设备已经不是智力资产的代表了,这些机器都很容易被淘汰掉,而且不断的在轮换,在西方国家输入给我们的首钢、宝钢都是别人的换代产品。那么我们现在可能对人非常看重,比如各位都是计算机传媒界的一些精英,过段时间大家可能也会换岗位,所以我认为人也不是智力资产保护的核心,在很多外资企业中,它的企业文化是开放式的,它的目的并不是要把你留住,它的目的就是要流动。我认为企业的智力资产就是它的过程数据和结果数据,要保护必须保护过程数据和结果数据,并且对它进行继承,这样我们所有的人从别地来到那里去就有了一个学习的平台和提高的平台,就有这样一个不断继承的结果,这样对我们全社会是有很大的帮助的。如果我们所有管理高层都能认识到这一点,那公司所有的数据、工作产物,在员工一进公司就能接触到公司比较核心的技术,并且在核心的基础上进行创造。
但是这样就有一个问题了,公司核心的智力资产就这样让员工接触是不是很容易就流传,所有东西都是数字化的,所有东西都是非常容易获得,原来的间谍还得用照相机,还得把别人骗到一边再进行盗窃活动,而现在就不是了,尤其是USB3.0出来了,速度是现在USB2.0的10倍、20倍,数据瞬间就可以被转走,所以我们必须对数据进行防护。在数据防护的策略方面,有两个方面,第一点就是安全不是单方面事情,安全是综合性、技术性的问题,就像外面正在讲的BSI17799或者ISO27001/27002,在这个体系里面才能算是保护,这个防护体系本身也是不断的在进行更新、变化的;第二个观点是信息安全是古已有之,不过是随着社会发着的阶段不同而表达形式不一样,信息安全体现的不一样,特点是技术本质,如果脱离了技术手段,信息安全将是无所作为的,毕竟我们不可能依赖人的自觉性,和管理的强制性达到全部的目的,管理的再好,因为所有东西都是数字化的,所有信息都能特别快的获得,最终是不能保护好的。
我认为这两点是当前信息安全要着重做的事,系统化,就是要做好评估,我们国家现在也在做信息安全等级保护、在建立评估体系,这个方面我们国家做的还是比较正确的,我们国家一向在宏观方面把握的比较准确的,当然执行效果如何还有待观察。第二个就是技术方面我比较看重,要补充一点的就是信息安全不可能有一个单一性的终极解决方案,很难有一个厂商都能涵盖全,需要很多“地方部队”,所以,信息安全需要所有的厂商共同去做,如果有那家希望在信息安全方面通吃,就比较难了,但是我想财务软件通吃的可能性会比较大,如果我们将来发生南收购北,北收购南,我想我们可以等到那一天的。这就是我的三个观点。
记者:您刚才说您觉得信息安全需要所有厂商共同去做,那么山丽是专注于哪个方面?防水墙是一个核心的产品吗?
周军刚:对,我刚才说国家已经在做等级保护制度,现在包括在全球都比较流行UTM,即所谓的all in one,所有的产品往一块集中,这是一个发展趋势,很显然我觉得这应该由国家去掌控,包括信息战争都是有可能,这种事只能要国家下指标让地方去做,这样才能做的好,我认为这样才是正途,所有的企业在这方面都只是参与者,我认为企业就应该发展自己的核心技术,只有企业发展了自己的核心技术,才能有“特种兵”,我们公司的想法就是要建立“特种兵”的概念。防水墙就是山丽公司比较核心的产品,这个我们03年开始做,已经有5年的时间,申请了8项专利,整理出来正在申请的还有9项,碰到的主要竞争对手其实是微软,还有皇家飞利浦。在这一块我们做了这么多年,相当深入,现在我们基本可以做到像电影里那种效果了——一个文档发出去了,给谁看,发给别人看了没法看,这个人能看多少天、看多少次,或者不限制看的次数,但是总数不能超过多长时间,这样可以应用在一些集团公司,它在全国甚至全球都有分公司,文档可以自由流通,但是只有找到它的主人才能打开,一旦超过期限又自动销毁。这样的文档保护,我们讲求的是文档应该是可以自由流通的,但流通是有边界的,这个边界不仅是空间的,比如本公司内部、自己的笔记本,还有时间的边界,比如多长时间,或者你随便看,但是看的次数,例如公司的学习资料,我们估算一个人看多长时间算是看懂了,或者看多少天,不管你什么时候学,而部门资料,我们得到部门的授权,可以随时使用,这是我们比较核心的文档保护策略。这就保证了我们既能共享数据,又能及时的收回来,例如一个员工来公司签的合同是一年,那么在他工作的过程中产生的所有文档都是以一年为界限的,如果他没有和公司续约,他工作过程中产生的所有文档,到那一天他本人就不能阅读了,他散布在家里的电脑上的文件也都不能读了,而如果他和公司续约了,作为管理者只需要简单的打个勾,所有文档就可以继续使用,所以说这是让所有人都可以充分的共享文档,也就是让所有人可以共享这个智力资产,同时又是可管理的。
另外一个方面是关于数据扩散的策略问题。
有一种传播叫做二次流传,比如说我信任你,我就给你了,你又有信任的人你又给他了,而他又有信任的人,他又给他了,实际上到第几层时候,那个人是第一个人根本不会信任的人了,有句广告语不是说么:“一传十十传百,成为众人皆知的秘密”,而不是“不能说的秘密”了。所以现在的问题就是如何使数据可以自由的分发,同时又是可管理的,在这个方面山丽公司走的比较前,我们的技术竞争不仅仅是面向国内的,同时也是面向国际的,6月份美国最大的杀毒软件公司MacAfee两千万美金收购了以色列的一家防数据泄露公司,它收购的仅仅是端口的管理、设备管理,而我们管理是数据,我不去做端口管理的概念,我们体现的是在所有的存储介质中统统都是密文,在所有的静态介质上统统都是密文,只有解放在内存里可以使用,在目前来讲,山丽公司基本在领跑这个技术。还有一点就是“根红苗正”,信息安全厂商基本都是集中在北京的,一些杀毒软件公司也是,在上海我们得到了上海市政府相关部门的大力支持,包括上海信息委方面,前年得到了张江高新园区创新办公室的无偿支持,去年又得到上海市科技创新基金的支持,技术的道路是漫长的,没有进去的时候是不知道的,在房间里面是看不到那么多的,而进去之后打开一扇窗子,才能看到还有那么多的东西,所以这一领域我认为我们还有更多的事情可以做。
