安全419《9问CEO》系列之：云科安信金飞

做云科安信时就把事情底层逻辑想明白，我本人是有攻防技术基因，“攻”和“防”我都很了解，深知做安全本质需以攻击者视角看目标，反过来再以最大的效率去降低被攻破的风险。云科安信成立之初就持续建设“攻”和“防”的能力，我们的业务模式与很多安全厂商不同，不是将能力封装到产品中，而是把能力放到流量的上一跳，放在大网节点，在客户 IDC 的上一跳部署防御能力，做阻断流量清洗，先保证高可用，再基于此做场景对抗。2018 年创业到 2023 年之前一直默默做技术积累和对抗服务，2023 年年底出来见行业客户，攻击面只是售前工具，之前还做了很多其他业务。

风险管理在数字世界中应该有两个维度的定义：业务风险和技术风险，以及法律风险。业务和技术风险可能会演化成法律风险，例如SQL注入漏洞导致个人隐私数据泄露，最终可能导致法人承担法律责任。但在网络空间的冲突中，法律风险可能不足以全面定义风险，因为网络空间的攻击者可能不受特定国家法律的约束，这使得数字世界成为一个真正的“黑森林”，在这里能力决定了能否保护自己不受攻击。在此场景下，要升维思考，比的是能否感知和应对风险，才能真正做好准备，这就是理解 “做数字世界的风险管理者” 需要考量的要点。

和最早逻辑一样，用客观事实呈现风险，白泽能快速将组织侧风险提升到法律风险维度，检测大生态体系的基准性风险，发现风险后给客户建议，规划整改路径，配合客户逐个上防御功能，形成发现风险、降低风险的闭环服务。通过客观事实呈现风险，并给出整改路径，帮助客户高效降低风险。

最容易打动客户的一点在于，云科安信可以告诉客户其在真正攻击者眼中的样子。因为真正的攻击者往往是超越法律边界的，中国绝大部分安全厂商给客户的建议通常是依据规定、法律来做合规性建设，在法律边界内阐述问题。而云科安信的做法不同，强调突破法律边界，考虑到那些无法用法律手段约束的攻击者情况。并且，云科安信已将白泽产品打造出了极强的武器属性与自动化属性，在交付服务时，只需客户给予一张授权，按下按钮任务就能完成，相当于把从攻击者视角看自身的能力，以极其简便、易用的方式交付到客户手中，让客户能够从攻击者角度审视自己，这是云科安信区别于其他安全厂商、吸引客户合作的独特优势所在。

我们最近有出海的新颖尝试，目前主要涉及香港、澳门地区。在这些地区，对于安全的理解更加国际化，与国内不同的是，不存在合规的概念，合规是中国信息安全市场特有的属性，而在香港、澳门主要比拼的是产品力。国内以合规为基调的安全产品在这样完全拼产品力的市场中较难打动客户，因为香港客户接触过全世界众多安全厂商的产品，对产品很熟悉，所以若没有真正的创新性很难获得他们认可。

想要拓展海外业务不能天真地认为自身先进就可以，必须要有国际化的视野，因为国外对于产品力的要求十分苛刻，不在乎公司品牌、名声，关键在于产品能否切实帮客户解决问题以及产品是否具备创新性，只有产品力过硬才能打动客户。

从区域来看，一是中国，中国是全世界唯一有完整安全产业体系的国家；另外就是欧美，美国绝大部分安全公司底层技术很多来自以色列 8200 部队，这是军用技术转商业化服务的团队。像香港、澳门就是比较典型的例子，之前香港和澳门绝大部分用的是欧美的安全产品，但今年开始欧美不在香港的安全市场投入和续约了，这就使得香港和澳门在安全产品服务领域瞬间形成断崖式空白，国内企业若有能与欧美抗衡的产品力的产品和服务，就有机会接触这个市场，但需要突破体系的合规性束缚，将产品形态从合规快速转型到实战，去接触服务和客户。而且在国外做安全生意观念上和国内不同，不像国内依据等级保护等规定，在国外一上来就要讲产品能解决什么问题，客户会看是否有与之匹配的场景，总之海外市场是存在机会的。

云科安信能走这条路，很大的逻辑是会升维考虑安全问题。多数人觉得安全只是技术、合规问题，但我们会上升到法律层面，像网安法、保法、2023 年 7 月 1 号修订的反间谍法修正案等都是信息安全领域相关法律支撑。到了法律层面会发现，法律行业中的律师团队很需要技术支撑保障，因为当下是充分数字化社会，与数字资产、个人隐私相关的诉讼等活动很多，可律师不懂信息安全相关技术，也不知如何解决网络犯罪攻防等事，他们是需要我们支撑的对象，和他们接触后，他们带来的线索和场景是做信息安全领域的人从未接触过的，而且律师还把我们带到了游戏行业。在游戏行业，像游戏形象、装备服饰侵权等情况，我们的白泽系统能针对目标或大范围快速收集情报，把客户提供素材和收集来的素材用训练出来的侵权行业模型比对，就能给出量化的权重分析。

关键在于知识的积累，我本身专业是金融和法律，信息安全是个人爱好，能把两边知识融合，并且和律师交流得用法律语言，想进入某个行业就得用他们的术语和思维逻辑。所以如果有安全厂商想走这条路，要提前做好知识储备和完善知识结构。总之，未来安全的生意有很大拓展空间，进入全新行业，若对其足够了解，就能挖掘不少安全相关机会，现在安全就像国家强调的，是社会底层能力，是国家的基础设施。

未来，我们有两个重要的战略方向。一是出海，出海有着很重要的价值，在国内市场大多是杀低价，大家比拼的不是技术本身，而是客情以及承受低价的决心，但在香港等海外场景就完全不同，他们会对安全产品本身的价值有更客观的评估与认可，也愿意投入，因为那里面临着真正的高水平挑战，且没有合规性法律来保护。

二是将公司的能力与更多的 SaaS 服务体系相结合，例如前段时间和白山云的合作，白山云是国内最大的做 CDN 资源且业务覆盖全球的企业，我们可以把自身能力从运营商的场景平移到白山云的平台上，这样对白山云而言，能对其客户进行二次销售，而我们也可以借助白山云把大纵深的防御架构从国内运营商的节点向前拓展到全球。如此一来，对于任何一个客户，今后享受的服务不再只是家门口打架的场景，而是能拒敌于千里之外，甚至让对手进不了中国。大纵深意味着能在每个环节做契合的阻拦服务，不必把所有资源都投在一个设备上，避免其轻易崩溃。

“云” 指把防御纵深拉长，像运营商节点和海外节点等云化的部分，“地” 指本地数字资产即数字资产目标，“云地结合” 意味着给客户提供支持全球算力部署，国内运营商节点重点支撑的大纵深防御体系。

“平战结合” 方面，网络对抗是不分平时战时，以往护网有战时和平时区分，但真正攻击者是平战不分的，以后平时就是战时，战时就是平时，战时能力为平时服务，平时也要预备战事对抗能力，界限越来越模糊，而且网络领域军民也分不清，另外，现在有网络武器商业化服务这样的理论，比如白泽系统打造得像一把网络武器，操作很简单，任何公司老板不管懂不懂技术，按下鼠标就能看到结果。同时，从实战情况来看，很多目标都是严防死守的，以合规或法律边界建设的防御架构往往意义不大，因为攻击者会从生态角度寻找攻击路径，突破所谓的法律边界，所以防御工事未来需要扩展得很大，要用攻击者的审视方法和逻辑来检验自己，而不能局限在法律限定的框框里，那样双方是完全不对等的。

我们是在对的时间做对的事情。2018 年 1 月份的时候，我预判到国家之间将要开始一场持久的且国家层面的对抗，基于这样的预判，认为风暴即将来临，而当时我们恰恰又有相关能力，所以就抱着不想留下遗憾的想法创办了云科安信这家公司，然后开启了相应的发展之路。

云科安信