2009 年，35 歲的劉永波決定結(jié)束 10 多年的華為生涯，他租了間 20 平米的辦公室，只招了1個人，開始創(chuàng)業(yè)。

當(dāng)時，原先在華為的老朋友去看他，然后神色凝重的離開。多年之后，那位朋友才告訴他，當(dāng)年覺得他特別凄慘，搞不明白為何他要這樣“虐”自己，以他的情況去創(chuàng)業(yè)，好歹應(yīng)該租個差不多的辦公室，招一波精英程序員才對，這起點也太低了。

其實，在離開華為之前，劉永波的職位已經(jīng)是華賽（華為和賽門鐵克）安全產(chǎn)品線的研發(fā) VP，曾管理著2000 多人的研發(fā)團隊，在華為做出過銷量超 100 億的產(chǎn)品，早已實現(xiàn)財務(wù)自由的他，本不應(yīng)該如此“寒酸”。

更讓周圍人搞不明白的，是他要去做市場前景還不那么明朗的數(shù)據(jù)安全，在10年之前，數(shù)據(jù)安全遠沒有今天這么受重視，安全市場的主流還是防火墻、入侵檢測和防病毒的安全產(chǎn)品，專門做數(shù)據(jù)安全的公司非常少。

實際上，劉永波自己內(nèi)心也在打鼓，他雖然能感覺到客戶對數(shù)據(jù)安全的需求越來越多，但這個市場到底有多大？他們迫切需要解決的問題是什么？究竟需要什么樣的數(shù)據(jù)安全產(chǎn)品？

在這些“謎題”沒解開之前，他沒有馬上把攤子鋪開，而是選擇了一條“曲線救國”的道路。

“離開華為后，我先去干了代理銷售”

在華為干了多年技術(shù)的劉永波，創(chuàng)業(yè)之初反而想去掉一些華為化的東西，把自己迅速變成一個既懂技術(shù)又懂銷售的人，這是破解“謎題”的第一步。

之前在華為，他服務(wù)的都是一些例如“英國電信”等國際大客戶，但對于一家剛剛起步的小公司而言，一上馬就搞定這樣的客戶顯然不現(xiàn)實，所以，他首先把目光放在了深圳各個工業(yè)園區(qū)中的企業(yè)。

“當(dāng)時我和另外一個小伙子以做代理的名義一起跑市場，前前后后跑了幾百家企業(yè)，向他們了解市場對安全產(chǎn)品的需求是什么，比如對于 DLP（數(shù)據(jù)泄漏防護系統(tǒng)）、UTM（安全網(wǎng)關(guān)）包括郵件安全的需求等。”劉永波告訴雷鋒網(wǎng)，雖然很多人喊創(chuàng)業(yè)起步難，但對他來講，這第一年的體驗反而不錯。

沒有原來在華為那么高的強度和壓力，兩個人還通過代理多種產(chǎn)品了解了市場的行情和用戶的需求，挺有成就感，年底一算，沒把賺錢當(dāng)成主要目標(biāo)的他們，還掙了幾十萬。

更加重要的是，通過代理 IBM 、思科還有老東家華賽等廠家的產(chǎn)品，讓他更全面的了解了各類用戶的需求，堅定了之前想做數(shù)據(jù)安全的想法。

我在華為曾經(jīng)做過通信、電信方面的業(yè)務(wù)，后來轉(zhuǎn)到華賽做安全后，我發(fā)現(xiàn)后者更多的時候像是一個輔助的東西。簡單來說，我原來賣設(shè)備是給電信運營商賺錢的，而后來做安全只是為了輔助這些賺錢的設(shè)備，安全本身很難賺錢。

不過，做了一圈市場調(diào)查后，劉永波覺得這種現(xiàn)象在數(shù)據(jù)安全方面可能會有改觀，安全同樣也可以賺錢。

“我那時就發(fā)現(xiàn)越來越多的安全問題，是防火墻或 IDS 等傳統(tǒng)手段解決不了的，必須要數(shù)據(jù)安全來解決。”在調(diào)查這些軟件廠商時，劉永波發(fā)現(xiàn)很多醫(yī)院對于數(shù)據(jù)安全的需求非常大。

以前醫(yī)院考慮的是“小偷”或者“強盜”，采取的方案是為了電腦不要被種下木馬、病毒，門不要被人家攻破，所以用的是防火墻。簡單來說，醫(yī)院原先策略是“御敵于國門之外”：只要把壞人擋到外面了，里面的數(shù)據(jù)就是安全的。

但實際情況是，堡壘很多時候是從內(nèi)部攻破的，壞人可以通過滲透內(nèi)部人非法獲取數(shù)據(jù)。比如，雷鋒網(wǎng)曾在去年9月報道過一起孕婦信息被泄漏的事件（點這里），當(dāng)時，至少有上千名曾在深圳市婦幼保健院做過產(chǎn)檢或分娩的女性，接到過母嬰護理（俗稱月嫂）或嬰兒紀(jì)念品等公司的騷擾電話或是短信。

這些騷擾電話和短信的背后，是每一條泄露的孕婦信息都被明碼標(biāo)價，少則一元，信息越精確，價格越高，甚至有高達百元一條的信息，可以精確到孕婦的具體分娩日期。

事后警方公布的調(diào)查結(jié)果是，曾任婦幼保健院保安的楊某，買通了醫(yī)院的護士，多次出入醫(yī)院下載了這些信息。

這也從另一方面說明了，安全防的已經(jīng)不僅僅是黑客，還有內(nèi)鬼。它需要深入業(yè)務(wù)流程中的具體環(huán)節(jié)，運用技術(shù)手段來制約什么人能使用哪些數(shù)據(jù)，如果發(fā)生泄密，如何最快的定位到那個人？這時安全的角色，已經(jīng)不僅僅只是一個輔助的功能，而是成為整個業(yè)務(wù)流程中的重要角色。

它所起的作用，不僅僅只是一個事后抓壞人的作用，還有像監(jiān)控攝像頭一樣對壞人的“震懾”作用。

為什么要選擇以醫(yī)院為切入口

定好大方向后，就是腳踏實地的往前走。

在昂楷科技的客戶名單中，雷鋒網(wǎng)發(fā)現(xiàn)醫(yī)療行業(yè)的客戶所占的比重非常大，劉永波透露，醫(yī)療行業(yè)的營收在全部營收中占比超過40%。

其實，在各個行業(yè)中，金融和電信行業(yè)是對數(shù)據(jù)庫安全最為重視的兩個行業(yè)，長久以來，他們也是數(shù)據(jù)安全產(chǎn)品的主要使用者，比如幾乎壟斷了銀行 IT 業(yè)務(wù)的 IBM ，就以重金收購了一家名為“gardium”的數(shù)據(jù)安全公司。

但對于像昂楷一樣的創(chuàng)業(yè)公司而言，要想拿到金融和電信行業(yè)的客戶，幾乎不可能。在考察完市場后，劉永波決定暫時放棄服務(wù)這兩類“金主爸爸”。

電信和金融行業(yè)對于安全公司的資質(zhì)有非常高的要求，比如你成立的時間、是否具有各種資質(zhì)，而且這些用戶的數(shù)量其實并不多，比如金融行業(yè)真正能采購數(shù)據(jù)安全類產(chǎn)品的，可能只有200家，但我發(fā)現(xiàn)，在醫(yī)療行業(yè)卻有20000多家，而且醫(yī)療用戶對于數(shù)據(jù)安全產(chǎn)品的需求更加迫切。

劉永波所說的“迫切”其實很大程度上來源于近些年來大家都非常痛恨的“非法統(tǒng)方”，換句話說，就是醫(yī)生為了利益給患者開某種能讓自己獲得回扣的藥。

在醫(yī)院中，“統(tǒng)方”是醫(yī)院對醫(yī)生用藥單據(jù)的統(tǒng)計，屬于醫(yī)院的正常業(yè)務(wù)操作范疇，但如果這個單據(jù)落到了醫(yī)藥代表手中，他們就能按圖索驥，找到行賄對象。

統(tǒng)方本來就是醫(yī)院一個正常的流程，作為一家醫(yī)院，總得知道哪位醫(yī)生對哪位患者用了哪些藥，而且這些信息在龐大的數(shù)據(jù)系統(tǒng)中，可能經(jīng)過多人之手，在傳統(tǒng)的數(shù)據(jù)系統(tǒng)中，即使最后統(tǒng)方信息被醫(yī)藥代表拿到了，也很難追溯出到底是哪個環(huán)節(jié)上的哪個人出現(xiàn)了問題。

比如，以下的這幾類人，都有“作案”的可能。

醫(yī)院工作者：利用工作便利，可直接在 HIS （Hospital InformaTIon System）系統(tǒng)上進行“統(tǒng)方”行為。

開發(fā)或維護人員：當(dāng)他們對HIS系統(tǒng)進行開發(fā)調(diào)試、維護測試工作時，往往擁有 HIS 系統(tǒng)的最高權(quán)限，“統(tǒng)方”易如反掌。

數(shù)據(jù)庫管理員：數(shù)據(jù)庫管理員擁有數(shù)據(jù)庫最高權(quán)限，可以對整個數(shù)據(jù)庫進行備份與恢復(fù)操作，他們才是對“統(tǒng)方”有最大權(quán)利的人。

黑客：通過利用醫(yī)院數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)系統(tǒng)漏洞，利用黑客攻擊技術(shù)從醫(yī)院網(wǎng)絡(luò)外部進行統(tǒng)方，其技術(shù)難度、“統(tǒng)方”成本均最高。

劉永波告訴雷鋒網(wǎng)，由于近年來醫(yī)院對治理非法“統(tǒng)方”的迫切需求，讓醫(yī)院對于數(shù)據(jù)安全產(chǎn)品的采購沒金融和電信行業(yè)那么保守，醫(yī)院在測試、試用之后，覺得好立刻就可以采購，決策鏈非常短，周期很快，所以更適合創(chuàng)業(yè)公司做，加之各種軟件的要求很復(fù)雜，正好可以錘煉產(chǎn)品。

從醫(yī)療到公檢法、政府等行業(yè)，其實有相通之處

其實，對于非法“統(tǒng)方”的治理由來已久，一些傳統(tǒng)的數(shù)據(jù)庫審計技術(shù)在行業(yè)內(nèi)的應(yīng)用并不少見。

傳統(tǒng)數(shù)據(jù)庫審計技術(shù)主要是通過旁路鏡像技術(shù)，將訪問數(shù)據(jù)庫的信息通過交換機鏡像一份到數(shù)據(jù)庫審計系統(tǒng)，再將這些信息進行深度解析，比如通過詞法、語法等手段把這些信息解析成可識別的數(shù)據(jù)庫結(jié)構(gòu)化查詢語言（SQL），再與“統(tǒng)方”規(guī)則進行匹配，抓出“嫌疑人”。比如某些非授權(quán)用戶訪問了用藥信息；某些用戶在一個時間周期內(nèi)對用藥信息持續(xù)查詢；開發(fā)維護人員批量下載用藥信息等。

其優(yōu)點在于：

1.作為獨立的審計平臺，更具公正性。

2.通過底層信息進行全面的解析，不放過一個壞人。

3.因為是旁路部署，所以對數(shù)據(jù)庫和業(yè)務(wù)“零”影響。

但這也決定了，這些主流的防“統(tǒng)方”技術(shù)，在實現(xiàn)過程中面臨兩個難點：

1.對醫(yī)院業(yè)務(wù)流程必須深入了解，才能制定符合醫(yī)院自身特點的防“統(tǒng)方”策略。

2.必須擁有針對不同醫(yī)院不同類型 HIS 系統(tǒng)豐富的知識庫，規(guī)則庫，才能智能判斷是否是“統(tǒng)方”行為，否則結(jié)果會是大量的誤報，大大增加審計人員“統(tǒng)方”行為數(shù)據(jù)分析工作量。

由于醫(yī)院業(yè)務(wù)的復(fù)雜性，傳統(tǒng)的數(shù)據(jù)安全產(chǎn)品往往會遭遇“性能”問題和“誤殺”問題，比如因為要適配多個端口而造成的性能問題，比如由于復(fù)雜的軟件架構(gòu)而遭遇的“誤殺問題”，當(dāng)發(fā)現(xiàn)數(shù)據(jù)竊密的時候，有可能是從程序發(fā)起的，有可能是從終端發(fā)起的，這個時候所有訪問的方式都要精準(zhǔn)地識別出來，不能漏過，但也不能冤枉好人。

要解決這個問題，沒有別的捷徑可走，就是要把醫(yī)療系統(tǒng)所使用的幾千家軟件廠商的數(shù)據(jù)庫架構(gòu)“吃透”。

雖然數(shù)量有幾千家，但可以對這些軟件應(yīng)用的 API 來進行分類，分下來也就是幾十種，而在這幾十種之間，有的可能是天差地別，而有的差別只有10% 。

這就如同兩個人都圍繞某個主題看了100篇論文，有人只是簡單的積累，而有的人能從中總結(jié)出相通和不同的地方，把這些論文“變薄”，內(nèi)化為自己的理解。

劉永波把這稱之為“行業(yè)知識庫”，即把復(fù)雜的事情積累起來后，你自己進行了分析整理，從而讓用戶使用起來更加方便，比如對于不同產(chǎn)品的相同 API 進行匹配，想用哪類軟件時，很多默認的規(guī)則就啟動，從而能平衡“性能”和“誤殺”的問題。

在啃完醫(yī)療系統(tǒng)的“骨頭”后，他們在調(diào)查市場后發(fā)現(xiàn)，很多公檢法的軟件架構(gòu)與醫(yī)療系統(tǒng)非常像，當(dāng)年在醫(yī)療行業(yè)啃下的“硬骨頭”，驀然回首，發(fā)現(xiàn)在別的行業(yè)也能很快的派上用場。

雷鋒網(wǎng)發(fā)現(xiàn)，目前，除了醫(yī)療行業(yè)的客戶，其在公檢法、工控、教育行業(yè)也有相應(yīng)的客戶。

而隨著這些行業(yè)的業(yè)務(wù)逐漸遷移上云，他們也多了很多像阿里云、騰訊云等云服務(wù)商的客戶。

雖然客戶領(lǐng)域不同，但在劉永波看來，對于數(shù)據(jù)庫審計和監(jiān)控，有兩點測試方法萬變不離其宗：

第一，既然談到監(jiān)控，那就是要精細化，就是要嚴(yán)格做到不漏審、不誤審，看得準(zhǔn)，測試方法也很簡單，在業(yè)務(wù)最繁忙時，將所有應(yīng)用系統(tǒng)的流量全部鏡像過來，然后在任何一個終端上進行正常操作，最后看數(shù)據(jù)庫監(jiān)控產(chǎn)品能不能準(zhǔn)確的識別該操作。

第二，綜合性能測試，當(dāng)監(jiān)控告警記錄已經(jīng)達到幾億條到數(shù)十億條時，再來進行檢索操作，觀察分析結(jié)果準(zhǔn)確性和出報表速度，以及是否跟其它安全設(shè)備進行了快速聯(lián)動。

明年，就是劉永波離開華為的第10個年頭，在他身上，依然能看出當(dāng)年的“華為基因”。他屢次強調(diào)，只要能做出優(yōu)質(zhì)、符合客戶需求的產(chǎn)品，公司就一定能成。

從創(chuàng)業(yè)初期起，寫代碼出身的他就堅定不做“關(guān)系型”產(chǎn)品，他要讓技術(shù)人員看到自己的代碼是怎樣跑起來的，他要讓市場給這些代碼進行真實的反饋，而不是再像若干年前一樣，一家安全公司僅僅靠著銷售維護關(guān)系來生存。他堅信，隨著云計算和大數(shù)據(jù)的爆發(fā)，數(shù)據(jù)安全市場的春天才剛剛開始。