“对于安全来说,新技术的出现不应该成为一种负担”——谢华
很多中国的安全从业者都对谢华的话或多或少有些微词。搞技术吃的是青春饭,似乎已经成为现今IT从业者经常挂在嘴边的感叹!对于“日新月异”的安全技术,恐怕情况更糟糕,无论是新的攻击技术还是新的防御技术,只要蹦出个新字,无疑会使安全从业者们竞相追逐,一方面是怕被同行落下,一方面则关系到自己荷包与饭碗的问题。新技术不是负担,这句话究竟能得到多少中国安全从业者的共鸣呢?
或许你会问,说这句话的谢华是谁啊?你要是这么问了,那你一定不是安全行业的从业者,或者说你没有长期从事网络安全方面的工作。
关注信息安全行业十年以上的人都知道2000年在美国成立了一家网络安全公司,2009年成功在纳斯达克上市,如今这家公司的年复合增长率保持在20%左右,市值接近40亿美元。这家公司就是Fortinet(飞塔),如果你还是没什么印象,那么UTM你一定会知道,没错,这家公司是UTM领导公司,首次提出了统一威胁管理的概念。而谢华就是该公司创始人之一。
上面那句“新技术不应该成为一种负担”来自51CTO.com记者一次对谢华的采访,其实这句话包含的意思太多了,有关乎安全从业者的职业生命,有关乎安全技术的追赶和创新,甚至把我们引向对中国安全产业的深入思考。在那次采访前,记者感觉到中国信息安全产业和从业者的一些浮躁,在那次采访之后,虽然没有得到明确的“治浮良药”,却也对安全有了新的认识。
如今,把它重新整理一下,希望能够给更多的中国信息安全行业从业者带来启发和思考。
飞塔公司创始人、CTO谢华
来自飞塔的启示:给中国安全创业者
中国信息安全产业浮躁症状之一:安全创业的局限性。在国内很多安全从业者都有或多或少的创业梦,但大多数并不能将公司做大做强,眼光也颇为局限。挂靠一层政府关系,旱涝保收的状态成为了成功的标准。没有经历市场的洗礼,难以与国际接轨,在局限的小圈子里,做局限的事情。十多年来,只有一家国内安全企业成功上市,只有一起超亿元的并购案,最大一家国内安全公司市场份额不超过15亿人民币。大多数安全创业者,都在挣扎与放弃中徘徊。
飞塔公司无疑是安全行业中佼佼者:华人创办并控股、UTM概念提出者、许多中国面孔、一家美国上市公司,这些关键词语让人最羡慕的无疑是“美国梦”和“创业”。
谈及安全方面的相关创业,好像在国外更容易做出成绩。比如谢青(谢华的哥哥)将第二次创业时创建的大名鼎鼎的NetScreen卖出了40亿美元,这个收购价创造了中国人创建的被收购公司的最高值。比如谢青与弟弟谢华的第三次创业——飞塔公司,目前市值接近40亿美元。反观中国国内安全市场,近十年来比较成功的创业寥寥无几,能拿出来说一说的也就是有海归背景的启明星辰“掌门人”严望佳,2010年国内上市,次年并购另一家网络安全厂商网御星云。从时间上来说,飞塔经历9年成功上市,启明星辰经历了15年成功上市,飞塔在纳斯达克上市,启明星辰在国内上市。这两家公司从安全领域角度讲,创业都是成功的,却也印证了业界流言,安全在国外更容易获得成功。
对此,谢华认为要将视角放得更宽些,才能发现一些有趣的问题。他说美国VC(风险投资)间总是在谈论这样一个话题:给什么样的人投资回报会更高?
VC之间总是这样流传:不是第一代的美国移民,也不是移民的第二代,给“一代半”投资往往收益会更高。“一代半”是指,至少中学以前受到的教育是在出生国完成的,来到美国后,会更容易成功,原因是:他们到美国后发现了差距,自身会格外努力,更容易融合各种文化,也更容易团结各种文化背景的人才一同创业。第一代移民和第二代美国出生的人往往在文化融合上出现差异,第一代很难融合,第二代基本已经是美国文化了。“一代半”其实就是硅谷IT创业者的一种典型风格。当然这是VC界的流言。
其实,华人在美国有很多成功的创业案例,90年代初,华人开始在IT领域创业,如谢青的NetScreen,如张明正的趋势科技,都是安全行业的佼佼者。但从广义角度讲,那时的创业基本是属于网络基础技术类的创业,飞塔也是这样,如今再去做基础性技术方面的创业,除非有革命性的技术创新,否则很难,因为早些年已经成功的企业几乎将基础性技术研究形成了工业标准,留给个人在基础技术方面的革新机会也越来越少。反观近些年,互联网的发展则催生了一大批成功创业的案例,财富积累的速度也是令人羡慕的。不得不说,现在创业的风向标几乎偏向了新兴的互联网技术。这也是目前硅谷的创业风格体现。
难道说,在国内安全领域就没有创业机会了么,一定要跑到美国去么?在谢华看来,显然不是这样的。国内安全企业在最近两年开始意识到走出国门的重要性,有一些企业大力拓展海外市场,就是一个与国际接轨的机会。飞塔公司偶尔也能够在海外市场看到一些国内厂商的身影,只不过这些国内企业刚开始有走向海外的意识。
归根结底,对于安全从业者(准确的说是安全创业者)来讲,机会是公平的。国内外环境的影响基本可以忽略不计,除去系统基础级别的创业外,目前更容易成功的是应用技术级创业,用更小的投资,满足大范围或特定需求,从而更容易形成自己的商业模式。另外,因为中国的教育质量是非常高的,知识基础非常好,绝对不比其他国家的人才差,只要能够团结好人才,融合好文化,从事安全领域的创业也是容易获得成功的。
不得不说,谢华的潜意识里有很深的VC(风投)影响,飞塔是一家实实在在的美国公司,但其公司文化确实是融合的,有东方的,有西方的,有欧洲的,有美国的。这使得飞塔更具开放性思维,更容易获得技术上的创新与成功。
反观国内情况,或许我们可以得到这样的启示和思考:国内的安全创业者,你们的技术是创新的么?怎样获得VC的投资呢?你们愿意与志同道合的人才共同创业吗?坚持下去是否会柳暗花明呢?#p#
来自飞塔的启示:兴趣和专注哪个更重要
中国信息安全产业浮躁症状之二:价值观与利益。从安全从业者角度讲,中国在这方面的人才储备及技术储备不见得比国外差,也有很多人正在创业,或是已经创业,但他们普遍做得非常辛苦,对于未来他们也不愿提及,因为他们似乎看不到很好的未来,更谈不上长远的规划,这些安全创业者选择的道路大多是安全咨询服务、安全培训业务,而真正掌握一些安全技术的人往往任职于某某安全公司,或者互联网公司的安全团队,在中国,真正的做安全,能叫得上名字的公司不超过5个手指,一些有理想有技术的从业者也大多在这些公司中,不可否认很多中国安全从业者更看重金钱的诱惑和利益,这个是价值观问题。整个行业如此,你能说它不对么?
飞塔中国公司在人才招聘上也遇到了很大的挑战和困难,往往一些有技术功底的人才都去了薪水更高的互联网公司,愿意踏实写代码的中国工程师越来越少。
往往中国工程师到一定年纪后就要走上管理职位,或者干脆改行做其他事情。这是事实,相信这是很多公司也都会遇到类似的问题。
在国内,不得不说搞安全技术研究和写代码的工程师是吃青春饭的,时间一长就面临做管理还是改行的抉择。当你看到同行一个比一个薪水多,面临生存和生活的压力,可以说几乎没人愿意在技术上走得更远,因为你挣不到足够养家的钱,写代码的工程师,做到退休,至少在国内还没看到。为什么会这样呢?
谢华跟记者讲,在美国硅谷会有50-60岁的工程师做到退休,甚至写代码写到退休。飞塔就有这样的员工,博士毕业,目前50多岁,还在写代码,是飞塔公司最资深的工程师。这是与国内最明显的区别,在谢华看来,最根本的原因在于“兴趣”。
谢华在中国接受大学以前的教育,他反复强调,中国老师不强调兴趣,更强调必须性。因为社会有需求,所以不管你喜不喜欢,你必须要掌握,以备社会生存之用。在记者看来,即便是在学校学习了那些“必须”的课程,走出校门能用到的也不是很多。
“反观在国外,如果你没兴趣,不喜欢,那么,你可以选择不学习。对于安全来说,新技术的出现不应该成为一种负担,如果你有兴趣,你甚至能够做一辈子这样的工作。”谢华如是说。
事实上,安全领域的技术变化太快,以至于很多人是跟不上节奏的,有兴趣的人会想到新技术是否能够改善效率,没兴趣的人或许只能被动学习掌握,毫无疑问,前者走的更长久。对于谢华本人而言,他对技术研究的兴趣更大,他风趣的跟记者说:“如果你请我看场最流行的电影,或者打场高尔夫,这对我来说简直太无聊了,我没有兴趣参加这样的活动。但如果你跟我谈讨一些安全技术话题,我将感到非常荣幸和兴奋,因为我有兴趣。”
在记者看来,面对价值观和利益的双重浮躁,除了生存的压力外,根本原因的确在于兴趣,无论从事哪方面的工作,只有兴趣才能使人专注,也只有专注才能使人获得成功。飞塔一直以来非常专注,公司旗下的旗舰产品FortiGate安全设备一直以来在国际市场上的广受好评,也屡获殊荣。
不过飞塔在国内市场中的表现却比较低调,与其在安全技术领域的领导者形象相差甚远。国内用户对飞塔公司的产品与技术理解也较为片面,以UTM为例,飞塔是第一家提出该技术理念并获得IDC认可的公司,但国内企业用户普遍认为UTM是中低端产品,而真正的统一威胁管理技术并不是为中小型企业设计的。在这方面飞塔颇有哑巴吃黄连有苦说不出的感觉。?#p#
妥协的飞塔
其实飞塔的产品路线图非常清晰,就是在自主研发ASIC芯片保障设备性能的基础上,以FortiGate(R)安全平台和FortiOS操作系统为核心,不断将新兴威胁防御技术纳入到里面,形成立体的防护解决方案,从而满足企业用户不同层面的安全防护需求。
认真了解过飞塔产品线和解决方案的人,对上面的路线图是不难理解的,那为什么还会出现UTM“跑偏”的情况呢?
在谢华看来,做UTM很难,需要在芯片以及软硬件架构设计方面非常有能力,才能满足不同级别的用户需求,如电信运营商、金融等大型行业用户需求。他坦言,在国内,一个概念的推出会有非常多的追随者,UTM也不例外,在推出后,有非常多的效仿者,但很多企业都误以为UTM是针对中小企业的设计的,这是因为这些UTM追随者没有强大的芯片、软件、硬件的综合设计与实现能力,才将UTM逐渐简化,变成了上述尴尬的现状。谢华认为,中高级别的UTM不是谁都能做出来的。
这或许是由于飞塔长期专注于技术研究和产品应用,以致忽略了对企业用户和市场教育,导致的尴尬误解。
当飞塔想纠正一些误解时,又出现新问题了!不得不说近两年NGFW(下一代防火墙)很火,关注NGFW的企业用户也非常多。自从NGFW备受关注后,飞塔公司的受关注度就果断下降。这从搜索引擎对这“NGFW”和“UTM”的收录量中可窥见一斑。
对此,IDC和Gartner在概念上曾纠结过一番,两家调研机构各不相让,各有各的说辞。不过作为UTM概念提出者的飞塔公司,这个时候却妥协了,向业界宣布支持NGFW概念。人们不禁怀疑,飞塔变得太快了,有人说UTM和NGFW水火不容,飞塔倒戈NGFW阵营,有人说飞塔UTM业绩受到NGFW影响,不得不妥协……如此纭纭,一时间大有山雨欲来风满楼之势。
事实是这样么?在记者看来,至少那些说UTM和NGFW水火不容的同学是没有真正理解的。其实如果我们认真仔细研究的话,还是会发现,飞塔的UTM和Gartner对NGFW的定义有些相似。
飞塔2012年曾经做过一件事情,他们将一款UTM送到NSSLabs(国际知名评测机构)去测试,其他几家送评产品都是NGFW,测试结果飞塔的UTM在某些方面的表现让人意外,包括IPS,应用识别和检测等功能在内的多项评测指标,飞塔产品均属领先地位。
这在谢华看来是必然的事情。他坦言,从市场宣传的角度,我们一直没有正式采用NGFW概念,但是飞塔产品的设计规范、性能指标,一直以来都是NGFW概念提倡的标准。
“我们不想花精力去争吵概念,实实在在的为企业用户提供防护技术和产品,是我们要花精力去做的”谢华如是说。他向记者强调,其实企业用户容易理解的是中低端产品叫UTM,高端产品叫NGFW。NGFW的叫法也基本被运营商和大型企业认可,飞塔看到这个情况,也逐渐认可了NGFW概念,并逐渐发布了融合APT(高级持续威胁)的产品,只要能够满足用户需求,叫什么样的概念,在谢华看来无所谓,用他的话说:“其实,UTM和NGFW实质并无本质区别,只不过是名字的叫法不同而已,这点事情不用纠结。就像十多年前,我们叫服务生为小姐一样,那时没人觉得这个称呼有问题,但现在我们不能这么叫了,这样叫会被很多人误解,这个道理谁都懂,其实实质并没有变化。”
在很多记者眼中,吹毛求疵是职业天性,经常纠结于是否妥协了,谁妥协谁了这样的问题,其实在51CTO.com记者看来,这些真的不太重要,新闻点要抓,和稀泥的也大有人在,追求真相本质才是真心应该做的!这一点对于安全公司而言也很重要,开放融合的心态才能将更多的精力投入到技术研究和产品应用中,才能避免因一些无趣的争吵导致的精力浪费。
至于飞塔的未来,谢华是这样向记者描述的:“感兴趣是做好一个产品的前提,一个容易让用户理解的产品,让用户喜欢的产品,甚至比竞争对手要好的产品,只要感兴趣,就能够做好,所以我在飞塔再做个十年产品也不是问题,因为我感兴趣。”
飞塔公司无疑是一家在安全领域内成功的企业,它的成功秘诀其实很简单,做自己有兴趣的事,专注它,总有成功的一天。
