“2024年是会很艰苦的一年,客户的支出受到了很多的限制,大家对经济恢复的信心还没有找回来。但我依然认为安全是个高价值行业,他做的事情不管从哪一方面来说都是正义的。所以我相信,只要大家坚定信心,就一定会有前途。”杭州领信数科信息技术有限公司创始人张震宇在2023年最后一个工作日对我们说。
2023对于所有网络安全公司来说,都是面临巨大盈利压力的一年,而领信数科却在今年达成了预计120%-150%之间的增长,并保持盈利。
领信数科2018年成立,如今公司约有400名员工,主要营收来源于数据安全、零信任、身份认证、视频安全、边界安全。大白互联和杭州熙羚是领信数科集团旗下的子品牌 ,分别负责集团身份认证和数据安全相关产品的研发。
我们想要了解领信数科是如何做到盈利以及保持增长的?老谭为我们约到了领信数科的创始人兼CEO张震宇,他给出的答案很简单:因为我们是一家真正为客户解决在数字安全方面的一些核心问题、急迫问题的公司。
而在交流中,我们发现领信数科的产品虽都属于网安热门领域,但解决问题角度却不雷同,实现需求的方式独树一帜。似乎看似“简单”的领信数科,并没有那么“简单”。让我们一起走进今天的专访。
谭晓生:震宇总非常荣幸在2023年的最后一个工作日又和您坐在一起聊一聊。今年对于领信数科也是非常重要的一年,记得5月25日领信数科发布了新的品牌,并且宣布了和大白互联、杭州熙羚的合并,您怎么总结领信数科的2023年?
张震宇:2023不论是对于领信数科还是对于我们国家来说都是非常艰苦的一年,整个社会处于一种转型期,我们刚刚渡过了疫情,总体来说整个经济还没有完全恢复,所以这一年我们也感受到了经济的一些压力,很多客户确实预算不足。但是领信数科一直以来的路线是把自己塑造成一个真正去为客户解决在数字安全方面的一些核心问题、急迫问题的公司,所以我们今年总体来说得到了比较好的增长:不管从营收、确收、产值、销售合同和人均利润方面,都有飞速的发展。
张震宇:我们今年大概增长了120%-150%之间,总体来说还是非常好的,证明领信数科团队还是非常努力的。
谭晓生:这是非常了不起的数字了,因为今年很多安全公司能够业绩不降就不错了。那么今年咱们身份认证和数据安全这两大块相关业务发展得怎么样了?
张震宇:我们各个业务之间融合和落地的比较不错。我举个例子说明吧,今年我们做了一个零信任项目,实际上传统的零信任做法一般都是IAM系统结合零信任网关,去调各种各样的第三方认证形成所谓的多因子认证能力。但是由于我们有大白互联,我们就可以在这个项目里面直接使用他的多因子认证能力,解决客户的一个痛点问题。
因为客户的环境里面有他自己的员工,也有很多外包员工、外来人员,但他对这些人的身份是完全无法掌握的,领信数科的网关 IAM系统自带大白互联的认证能力,自然形成了一整套解决方案,对于用户来说非常方便。而且我们跟堡垒机、云桌面都进行了开机互动,所有的人接触他的主机、包括他内部的应用系统之前都通过刷脸实名认证,保证了客户的这个核心的应用和数据的安全。
谭晓生:这个应用场景适用什么类型的客户呢?金融客户吗?
张震宇:今年主要还是公安的客户,他们有很多协警,也有一些外包或驻场人员。当然这个场景在金融行业也是适用的,金融里面包括ID部门也是有大量的外包人员。我觉得只要用户有核心的应用和数据,都是会需要这样高等级的认证服务,我们现在也在探索,不在所有场景都采用实名刷脸认证方式,一些场景用其他认证手段,去降低认证步骤给人员带来的侵入式感受,在实现多因子认证的过程中,更多能让他感觉是无侵入式的。
谭晓生:之前就听过您对零信任有自己非常鲜明的观点,今年中国零信任的声音似乎小了很多,但是你看美国在一年前国防部发布了零信任的战略,零信任在美国的推行似乎还是高举大旗在前进,但中国这边声音恰恰小了,您有什么看法?
首先我们还是非常肯定零信任的思想,我认为从全球的角度上来说大家都会走向以零信任为基础来实现MFA多因子认证、细粒度授权或者动态授权,再结合各种终端、上下文关联来实现对人的准确授权,而且可以细化到每一个人。
可以说零信任基本思想是完全正确的,所以美国继续走这条路。那中国现在稍冷了下来我觉得有一个原因是前期零信任过热,各个公司基于自己的理解包装出了各种各样的零信任:有些终端厂商认为终端安全就是零信任;有些IAM厂商认为只要做完授权能够提供账户管理就算零信任;也有一些做VPN的厂商认为网关就是零信任……其实我认为这都不符合零信任的基本宗旨,零信任总体来说是一个综合性的解决方案,中国目前出现热度下降也是因为用户也开始反思,发现单个这种零信任的解决方案实际上是解决不了问题的,该出的事情还是继续出。因此出现冷静期反而是件好事,让大家能够想清楚到底中国式零信任这条路应该往哪里走?
不过我还是坚持认为,随着经济慢慢变好,各个单位的安全投入增加了之后,零信任这个解决方案还是会大放光彩的。
谭晓生:那您觉得中国的零信任会是一条什么样的路径?
张震宇:我们跟西方国家最大的区别是我们的私有化内网系统非常多且重要,这是短期内不可能改变的。所以从这个角度上来说,中国的零信任也会跟美国有很大的差别,要推出适合私有化场景的零信任,更要考虑用户需求和便捷,因此中国的零信任可能会有很多种不同的版本,无论在银行、公安,或者其他政府部门、企业单位:中国的零信任要更结合中国的实际。
谭晓生:领信数科的另一个重点业务是数据安全,在这方面您的布局是怎样的?
张震宇:领信数科在数据安全业务上走的是“同时并行两条路”方案,一条路是合规,一条路是实用,因此我们今年主要两个数据安全的拳头产品正是对应了这两条核心需求。
一个是“数据安全检查工具箱”,这是一款典型的合规性产品,它可以帮助每个拥有数据的单位对数据资产的分布情况、脆弱性、弱口令、违反基线、API资产漏洞等基础问题做合规性检测。所对标的合规依据主要是《数据安全法》、《个人信息保护法》以及各行业数据安全、分类分级规定和征求意见。
这个工具箱目前检查方和被检查方两边都有销售,今年我们和网信办、CNCERT、政数局、公安等客户都有合作,他们会用我们的工具箱去关基单位、政府部门、通讯企业做扫描;另外被检查方也会主动提出购买这个工具进行自检自测。所以这款工具箱目前是我们公司销售增长比较快的一个产品。
第二个拳头产品是解决数据实用性问题的数据安全管理平台,它是面向整个数据全流程的管控平台。实际上很多用户其实并不了解在什么情况下购买什么产品能真正达到数据安全,所以他们会倾向于购买一个Total Solution的产品,整体管控起来。
张震宇:现在我们还是重点解决几个比较典型的大问题,数据分类分级问题、数据访问权限问题、数据上架等。
而数据安全是大家的事情,不可能哪一个公司能够把所有的功能都做完整,所以我们也集成了很多第三方产品,他们提供了数据库加密、数据脱敏、数据水印和围绕数据的一些计算等功能,最终他们只需要把数据处理的结果作为数据流图导向给我,我们再整理给用户就可以了。
谭晓生:您刚刚提到数据分类分级,据我了解行业目前做分类分级很多项目是依靠机器+人工的手段,而且人工的比例更高,领信数科现在是如何做这部分的?
张震宇:目前确实是您说的这样,但我们采用了一种更好的方法。源数据过来之后,我们会把它变成一个类似像Excel表的东西,直接发给库的所有者或所有单位,让他在这个Excel表上面进行编目或者编级,然后我们进行汇总,通过我们的工具去提高用户的效率。
谭晓生:之前咱们见面您提到过一个策略“拿空间来换安全”, 这个策略现在还在做吗?
张震宇:在做,今年就有个案例,是我们某事的政数局用户,大家知道政数局两个很重要的工作一是要促成本地的政府数据的互相交换和访问,二是探索公共数据的授权运营。这两个工作都需要他把数据库打开放出去给别人访问——这是必然的,数据不让别人访问根本无法做数据运营。
所以我们采用的就是用空间换安全的方法,我们提供给用户一个类似数据沙箱的空间,在数据生产和导入的过程中对它进行脱敏,把个人的标识信息去掉,导入到数据沙箱之后进行加密,这样数据就可以开放出去给别人去使用。
别人可以基于你的数据进行各种编程,比如sql编写、或者进行一些模型的编辑,最终编辑好的结果数据经过审核以后就可以带走,数据在被带走的过程中我们会把它解密,拿到的是明文数据,但是里面没有个人标识,如果需要个人标识的,可以根据这个数据里的ID,通过我们这个单位开放的一个API来回查,我可以把ID换算成个人标识给你。
这个办法的好处是,我把数据去标识化之后放到沙箱里,对外开放沙箱,部分字段又是加密的,只有等到你结果处理完了带走的时候再帮你解密掉。即便有人把整个库全部拿走想要去做非法的事情,也没有用,没有个人标识的数据,他无法去非法售卖或使用。
张震宇:是的,实际上真正跟用户来要数据的单位还是可信的,不可信的单位你也不会真的把数据给他。往往是单位内部聘请的一些人员出于各种目的接触了数据之后想要铤而走险做违规的事情。所以我们在这个过程中我们把整个库都去标识化了,即便他拿去也卖不了钱。
谭晓生:您多次提到沙箱这个词,指的是技术上的一个真正的沙箱?还是您是用沙箱这个词来做一个比喻?
张震宇:不是技术上的沙箱,是一个比喻,代表一个相对隔离开的公共空间。就是数据从原来政府的内网被拿到了这样的一个相对开放的公共空间中,这个公共空间可以允许银行的人、保险公司的人或者其他公司的人过来处理数据,最终让他他拿到他要的数据,而且还可以保证我们数据本身的安全性。
我们其实也发现公共数据授权运营的第一批客户就是金融客户,他们有非常强的动力。我们一直在强调“数据可用不可见”,实际上我认为这个说法有一定的小毛病,原始数据不可见,但结果数据是要可见的,不然数据怎么流通?公共运营还有什么价值?所以我的看法是数据要可用、结果数据也要可见,但原始数据不可见。
谭晓生:所以总的来说,领信数科有一个解决用户合规问题的数据安全检查工具箱,针对用户业务上咱们提供数据安全的管理平台,然后用数据脱敏和加密的沙箱方式解决了数据共享、对外服务和运营的目的。
张震宇:是的,我们认为“数据与共享服务”和“公共数据运营”其实不是一个方向,共享服务是一个对等的概念,基本上都是政府对政府、是企业对企业;但是公共数据运营其实不是个对等的概念,他往往是政府对企业,甚至政府对个人。
谭晓生:刚才聊下来我对领信数科有一个印象,就是咱们的产品其实和别人同质化程度不高,有自己的很明确的理念。
张震宇:这也是领信数科的一个精神,我们一直希望做一个有创意又落地的一家数字安全企业,我们并不想走别人的路,也不想抄袭美国人的路。我们更多还是考虑国内市场跟美国市场的不同?考虑哪些传统的安全技术和方法已经在现阶段的需求中失效了?无法解决问题了?所以我们创新的动力还是解决好实际的问题。
谭晓生:数据安全的产品在2023年占咱们的销售的比重大概能有多少?
张震宇:数据安全产品在1/3左右,身份认证占1/4左右,视频安全类大概占了接近1/4左右,边界安全贡献了1/3以上的销售额。
谭晓生:我记得您是参加了咱们公安的视频安全有关标准的编写。
张震宇:视频安全我们今年做的确实还可以,但其实不仅仅是公安,电力也有很多敏感的摄像头,我们对于视频数据进行前端设备准入控制、加密,然后带到中心端解密。这整套解决方案基本已经是很成熟了。
所以基本上我们这四大块都很均衡,领信数科还是希望能够均衡发展,对前场销售我们也是这么要求的,希望他们都能同时去卖公司的各款产品。
谭晓生:咱们大白互联身份的这块业务目前是走什么路线?2024年的演进路线会是什么样的?
张震宇:大白互联过去主要是做身份认证、多因子认证、刷脸、活体检测这一块业务。但是明年我们把大白互联的产品线都改名叫“数字身份与人工智能产品线”,会有两个比较大的调整。第一个是为了适应规模较小的政企单位的内部认证需求,我们会把以前的认证能力缩小,提供一款可以让用户在不连互联网的前提下进行本地化部署的IAM+认证的平台,对于几百个人的单位来说,是完全够用的。
明年第二个变化是大白互联在往人工智能,就是GPT技术上面切,大白互联的技术负责人本身是华南理工大学人工智能专业研究生毕业,而且广州的算力资源也比较好。
谭晓生:国内今年发布的所有安全GPT类的产品基本是“安全助手”,或者用AI做威胁检测这两个路线,领信数科走的是这两个路线吗?
张震宇:不是,我们完全是不同的路线。我们现在在做一个AI私域大模型,或者叫私域安全机器人。了解中国情况的都知道,我们大量真正有价值的数据都在内网,那些非结构化的数据非常有价值,我们大量的文件、领导的讲话、各种各样的宣传资料图片都是非格式化的,用GPT技术用去挖掘这类数据的价值是我们在做的方向。
我们的私域大模型完全跟互联网隔绝,放在你的单位内部,你拿单位内部的数据进行训练,训练的最终目标是他可以回答你单位内部的各种事物的问题,单位内的所有知识他都知道。
谭晓生:这么看这个产品就完全是安全工具,而是一个助手。
张震宇:是的,他完全可以帮领导去写发言稿,或者帮领导查询自己十年前曾经写过的一句话。我们一直在说我们想要做一个为人服务的高科技公司,我们要研究咱们的市场和形势,还有咱们国家内部的性质,同时找到需要为人服务的点。
张震宇:2024年1月份就会推出给试点用户试用,现在很多客户都在说,他们非常迫切需要这样的东西。
张震宇:400多一点,其中研发占一半,大概220人。
张震宇:我坚持认为网络安全这个领域是非常有机会和有希望的,他毕竟在整个IT领域中是一个知识密集性很高、也很关键的领域。
不过2024年我认为还是很艰苦的一年,目前的情况来看整个支出还是受到很多的限制,大家对于经济恢复的信心还没有明确建立起来,所以今年的日子可能是会比较苦的。
谭晓生:在这个2024年即将到来的时候,如果给安全的同行们说一段话,您想说些什么?
张震宇:觉得大家还是要坚定信心,安全是非常有价值的行业,它做的事情不管从哪一点来说都是正义的。所以我相信只要坚定信心,一定会有前途。
杭州领信数科信息技术有限公司
杭州领信数科信息技术有限公司(原杭州熙羚),数字安全创领者
5篇原创内容
公众号
