刘永波，在数据安全上的经历史

2009 年，35 岁的刘永波决定结束 10 多年的华为生涯，他租了间 20 平米的办公室，只招了1个人，开始创业。

当时，原先在华为的老朋友去看他，然后神色凝重的离开。多年之后，那位朋友才告诉他，当年觉得他特别凄惨，搞不明白为何他要这样“虐”自己，以他的情况去创业，好歹应该租个差不多的办公室，招一波精英程序员才对，这起点也太低了。

其实，在离开华为之前，刘永波的职位已经是华赛（华为和赛门铁克）安全产品线的研发 VP，曾管理着2000 多人的研发团队，在华为做出过销量超 100 亿的产品，早已实现财务自由的他，本不应该如此“寒酸”。

更让周围人搞不明白的，是他要去做市场前景还不那么明朗的数据安全，在10年之前，数据安全远没有今天这么受重视，安全市场的主流还是防火墙、入侵检测和防病毒的安全产品，专门做数据安全的公司非常少。

实际上，刘永波自己内心也在打鼓，他虽然能感觉到客户对数据安全的需求越来越多，但这个市场到底有多大？他们迫切需要解决的问题是什么？究竟需要什么样的数据安全产品？

在这些“谜题”没解开之前，他没有马上把摊子铺开，而是选择了一条“曲线救国”的道路。

“离开华为后，我先去干了代理销售”

在华为干了多年技术的刘永波，创业之初反而想去掉一些华为化的东西，把自己迅速变成一个既懂技术又懂销售的人，这是破解“谜题”的第一步。

之前在华为，他服务的都是一些例如“英国电信”等国际大客户，但对于一家刚刚起步的小公司而言，一上马就搞定这样的客户显然不现实，所以，他首先把目光放在了深圳各个工业园区中的企业。

“当时我和另外一个小伙子以做代理的名义一起跑市场，前前后后跑了几百家企业，向他们了解市场对安全产品的需求是什么，比如对于 DLP（数据泄漏防护系统）、UTM（安全网关）包括邮件安全的需求等。”刘永波告诉雷锋网，虽然很多人喊创业起步难，但对他来讲，这第一年的体验反而不错。

没有原来在华为那么高的强度和压力，两个人还通过代理多种产品了解了市场的行情和用户的需求，挺有成就感，年底一算，没把赚钱当成主要目标的他们，还挣了几十万。

更加重要的是，通过代理 IBM 、思科还有老东家华赛等厂家的产品，让他更全面的了解了各类用户的需求，坚定了之前想做数据安全的想法。

我在华为曾经做过通信、电信方面的业务，后来转到华赛做安全后，我发现后者更多的时候像是一个辅助的东西。简单来说，我原来卖设备是给电信运营商赚钱的，而后来做安全只是为了辅助这些赚钱的设备，安全本身很难赚钱。

不过，做了一圈市场调查后，刘永波觉得这种现象在数据安全方面可能会有改观，安全同样也可以赚钱。

“我那时就发现越来越多的安全问题，是防火墙或 IDS 等传统手段解决不了的，必须要数据安全来解决。”在调查这些软件厂商时，刘永波发现很多医院对于数据安全的需求非常大。

以前医院考虑的是“小偷”或者“强盗”，采取的方案是为了电脑不要被种下木马、病毒，门不要被人家攻破，所以用的是防火墙。简单来说，医院原先策略是“御敌于国门之外”：只要把坏人挡到外面了，里面的数据就是安全的。

但实际情况是，堡垒很多时候是从内部攻破的，坏人可以通过渗透内部人非法获取数据。比如，雷锋网曾在去年9月报道过一起孕妇信息被泄漏的事件（点这里），当时，至少有上千名曾在深圳市妇幼保健院做过产检或分娩的女性，接到过母婴护理（俗称月嫂）或婴儿纪念品等公司的骚扰电话或是短信。

这些骚扰电话和短信的背后，是每一条泄露的孕妇信息都被明码标价，少则一元，信息越精确，价格越高，甚至有高达百元一条的信息，可以精确到孕妇的具体分娩日期。

事后警方公布的调查结果是，曾任妇幼保健院保安的杨某，买通了医院的护士，多次出入医院下载了这些信息。

这也从另一方面说明了，安全防的已经不仅仅是黑客，还有内鬼。它需要深入业务流程中的具体环节，运用技术手段来制约什么人能使用哪些数据，如果发生泄密，如何最快的定位到那个人？这时安全的角色，已经不仅仅只是一个辅助的功能，而是成为整个业务流程中的重要角色。

它所起的作用，不仅仅只是一个事后抓坏人的作用，还有像监控摄像头一样对坏人的“震慑”作用。

为什么要选择以医院为切入口

定好大方向后，就是脚踏实地的往前走。

在昂楷科技的客户名单中，雷锋网发现医疗行业的客户所占的比重非常大，刘永波透露，医疗行业的营收在全部营收中占比超过40%。

其实，在各个行业中，金融和电信行业是对数据库安全最为重视的两个行业，长久以来，他们也是数据安全产品的主要使用者，比如几乎垄断了银行 IT 业务的 IBM ，就以重金收购了一家名为“gardium”的数据安全公司。

但对于像昂楷一样的创业公司而言，要想拿到金融和电信行业的客户，几乎不可能。在考察完市场后，刘永波决定暂时放弃服务这两类“金主爸爸”。

电信和金融行业对于安全公司的资质有非常高的要求，比如你成立的时间、是否具有各种资质，而且这些用户的数量其实并不多，比如金融行业真正能采购数据安全类产品的，可能只有200家，但我发现，在医疗行业却有20000多家，而且医疗用户对于数据安全产品的需求更加迫切。

刘永波所说的“迫切”其实很大程度上来源于近些年来大家都非常痛恨的“非法统方”，换句话说，就是医生为了利益给患者开某种能让自己获得回扣的药。

在医院中，“统方”是医院对医生用药单据的统计，属于医院的正常业务操作范畴，但如果这个单据落到了医药代表手中，他们就能按图索骥，找到行贿对象。

统方本来就是医院一个正常的流程，作为一家医院，总得知道哪位医生对哪位患者用了哪些药，而且这些信息在庞大的数据系统中，可能经过多人之手，在传统的数据系统中，即使最后统方信息被医药代表拿到了，也很难追溯出到底是哪个环节上的哪个人出现了问题。

比如，以下的这几类人，都有“作案”的可能。

医院工作者：利用工作便利，可直接在 HIS （Hospital Information System）系统上进行“统方”行为。

开发或维护人员：当他们对HIS系统进行开发调试、维护测试工作时，往往拥有 HIS 系统的最高权限，“统方”易如反掌。

数据库管理员：数据库管理员拥有数据库最高权限，可以对整个数据库进行备份与恢复操作，他们才是对“统方”有最大权利的人。

黑客：通过利用医院数据库系统、业务系统漏洞，利用黑客攻击技术从医院网络外部进行统方，其技术难度、“统方”成本均最高。

刘永波告诉雷锋网，由于近年来医院对治理非法“统方”的迫切需求，让医院对于数据安全产品的采购没金融和电信行业那么保守，医院在测试、试用之后，觉得好立刻就可以采购，决策链非常短，周期很快，所以更适合创业公司做，加之各种软件的要求很复杂，正好可以锤炼产品。

从医疗到公检法、政府等行业，其实有相通之处

其实，对于非法“统方”的治理由来已久，一些传统的数据库审计技术在行业内的应用并不少见。

传统数据库审计技术主要是通过旁路镜像技术，将访问数据库的信息通过交换机镜像一份到数据库审计系统，再将这些信息进行深度解析，比如通过词法、语法等手段把这些信息解析成可识别的数据库结构化查询语言（SQL），再与“统方”规则进行匹配，抓出“嫌疑人”。比如某些非授权用户访问了用药信息；某些用户在一个时间周期内对用药信息持续查询；开发维护人员批量下载用药信息等。

其优点在于：

1.作为独立的审计平台，更具公正性。

2.通过底层信息进行全面的解析，不放过一个坏人。

3.因为是旁路部署，所以对数据库和业务“零”影响。

但这也决定了，这些主流的防“统方”技术，在实现过程中面临两个难点：

1.对医院业务流程必须深入了解，才能制定符合医院自身特点的防“统方”策略。

2.必须拥有针对不同医院不同类型 HIS 系统丰富的知识库，规则库，才能智能判断是否是“统方”行为，否则结果会是大量的误报，大大增加审计人员“统方”行为数据分析工作量。

由于医院业务的复杂性，传统的数据安全产品往往会遭遇“性能”问题和“误杀”问题，比如因为要适配多个端口而造成的性能问题，比如由于复杂的软件架构而遭遇的“误杀问题”，当发现数据窃密的时候，有可能是从程序发起的，有可能是从终端发起的，这个时候所有访问的方式都要精准地识别出来，不能漏过，但也不能冤枉好人。

要解决这个问题，没有别的捷径可走，就是要把医疗系统所使用的几千家软件厂商的数据库架构“吃透”。

虽然数量有几千家，但可以对这些软件应用的 API 来进行分类，分下来也就是几十种，而在这几十种之间，有的可能是天差地别，而有的差别只有10% 。

这就如同两个人都围绕某个主题看了100篇论文，有人只是简单的积累，而有的人能从中总结出相通和不同的地方，把这些论文“变薄”，内化为自己的理解。

刘永波把这称之为“行业知识库”，即把复杂的事情积累起来后，你自己进行了分析整理，从而让用户使用起来更加方便，比如对于不同产品的相同 API 进行匹配，想用哪类软件时，很多默认的规则就启动，从而能平衡“性能”和“误杀”的问题。

在啃完医疗系统的“骨头”后，他们在调查市场后发现，很多公检法的软件架构与医疗系统非常像，当年在医疗行业啃下的“硬骨头”，蓦然回首，发现在别的行业也能很快的派上用场。

雷锋网发现，目前，除了医疗行业的客户，其在公检法、工控、教育行业也有相应的客户。

而随着这些行业的业务逐渐迁移上云，他们也多了很多像阿里云、腾讯云等云服务商的客户。

虽然客户领域不同，但在刘永波看来，对于数据库审计和监控，有两点测试方法万变不离其宗：

第一，既然谈到监控，那就是要精细化，就是要严格做到不漏审、不误审，看得准，测试方法也很简单，在业务最繁忙时，将所有应用系统的流量全部镜像过来，然后在任何一个终端上进行正常操作，最后看数据库监控产品能不能准确的识别该操作。

第二，综合性能测试，当监控告警记录已经达到几亿条到数十亿条时，再来进行检索操作，观察分析结果准确性和出报表速度，以及是否跟其它安全设备进行了快速联动。

明年，就是刘永波离开华为的第10个年头，在他身上，依然能看出当年的“华为基因”。他屡次强调，只要能做出优质、符合客户需求的产品，公司就一定能成。

从创业初期起，写代码出身的他就坚定不做“关系型”产品，他要让技术人员看到自己的代码是怎样跑起来的，他要让市场给这些代码进行真实的反馈，而不是再像若干年前一样，一家安全公司仅仅靠着销售维护关系来生存。他坚信，随着云计算和大数据的爆发，数据安全市场的春天才刚刚开始。