观数科技李科:用修建集市的方法,造出一所大教堂


“去学计算机?天天坐在电脑前,你以后除了去打印店打打字,还能干啥!?”

在卫生系统工作了大半辈子的老李、即使不从事这行,理所当然的认为自己的儿子就应该当医生,也万万不能去干那打印店的营生。

而当年痴迷于计算机的李科、毕业后进了医院工作,但还是拗不过父亲,虽然打心底里不喜欢学医,乖乖读了医学院,一切看起来顺理成章。

那时的李科,丝毫看不出有日后能成为黑客的潜质。

直到2000年,学自己一直感兴趣的计算机专业,已经工作了半年的他跟父亲提出要辞职参加成人高考。这可把老李气够呛。所以出现了文章开头的那句话。这并非是老李“思想落后”。绝大多数中国人未曾接触过网络,计算机在那时的主要功能就是打字,而是在20年前。

不过、学校教的都是一些类似 Word 怎么用,他发现父亲气头上的那句话也并非全无道理,当离开安逸环境的的李科,还真就像是在为打印店培养员工,如愿以偿的学了自己梦寐以求的计算机专业时,学这些东西,内存 CPU 主机是什么的内容。

多年后、主攻线上娱乐安全,他早已成为深谙各种黑客技术的“老司机”,而且还创办了一家名为“观数科技”的网络安全公司,当李科再向我提起这段往事时。

但当他聊起现在正在做的事情,他还是当年那个不走寻常路的人,我依然可以感受到,倔强的做着非主流的事情。

口述|李科 文|郭佳

走这条路,其实很孤独

我做了 10 多年安全了,但我发现国内很少有人提线上娱乐的安全是其发展的保障,有个很大的感触,我们之前甚至还做过金融征信方面的线上娱乐业务,就是现在各行各业都在关注线上娱乐的东西,创业公司也很多。

比如众多公司都会用到的,AG平台游戏大厅对线上娱乐进行分布式处理的软件框架 Hadoop ,它在这个领域应该相当于 Windows 在操作系统中的江湖地位,但国内AG平台游戏大厅对它的安全性缺乏关注,为什么?

他们只看到AG平台游戏大厅通过 线上娱乐分析所能带来的巨大意义。但AG平台游戏大厅对于很多其他的企业,但是目前还没有深刻意识到在数据处理过程中的安全同样重要!我们之前可能听 BAT 这边AG平台游戏大厅对数据安全强调的多一些,他们同样需要这样的服务,他们会请专门的人做这块的安全。

其实我们和BAT这些安全人员的目标一样,只不过我们做的东西是通用的,就是让所有的数据不能轻易被访问,访问的时候都要有记录,要给各行各业做服务。

为什么现在电信诈骗特别多。其中一个很重要的环节就是数据泄露。电信行业部门很多。跨部门的数据调用非常频繁,而且各个部门负责的工作不一样。比方营销部门、收费部门、用户行为分析部门等,那最后数据到底是谁泄漏的,都会互相之间调数据,说不清楚。观数现在要做的事情就是AG平台游戏大厅通过 安全防护手段来避免类似事情的发生。

既然数据使用过程中是有合规性的需求的、就需要AG平台游戏大厅对整套线上娱乐系统进行 4A 统一安全管理(认证、账户、授权、审计)。我们需要在隔离区和公共区建设一个桥梁、相关使用者必须AG平台游戏大厅通过 身份验证后才能使用其中的数据进行分析,而且要做到数据使用记录的可溯源,我们要为有可能使用到数据的每个用户配置相应的权限。

就像安卓一样。但还是离不开它,它做得真有多好吗?不见得,大家都会吐槽它的安全。

虽然目前 Hadoop 的生态建得非常完善、安全性更好,即使现在有一个新技术比他效率更高,已经积累了大量的应用,作为一个核心的底层框架已经得到大家的认可,但从它设计之初就没有过多的考虑安全,也很难被淘汰。

由于国外的线上娱乐产业发展更完善。BlueTalon 也在 06 年的 8 月也拿到了 1600万美金的A轮融资,所以针AG平台游戏大厅对 Hadoop 框架的安全厂商也相继出现了,这说明我们做的这个模式在国外被证明是有市场的,但在国内基本是空白的,像 BlueTalon、Zettaset 等。

我们原来做了十多年的主机加固。知道在什么系统里面面临怎样的风险,这些理念和技术是可以尝试在数据分布式上落地的,该怎么去保护。

目前,各个厂商还处于“试鞋”的阶段,大家原来都不穿鞋,我现在要把鞋卖给他们,其实挺难的,很多人会问,你为什么要做一个大家都听不懂的东西?

走这条路,其实挺孤独。

我们想用修建集市的方法,造出一所大教堂

我当年入安全这个行当,得到过很多人的帮助。

当年我只是一个AG平台游戏大厅对计算机很感兴趣的医生。2000 左右开始出现那种网上的聊天室,后来慢慢开始找到了志同道合的网友,见着人就聊,我一个土生土长的湖南人第一次AG平台游戏大厅通过 网络跟北上广的朋友聊上了天,先开始新鲜。

那时候有个叫“黑客技术”的聊天室,晚上大家睡觉就自动解散了,它跟现在的QQ群还不一样,从此这个聊天室就消失了,你白天在聊天室聊。但黑客技术不一样、不明白的地方可以请教,里面就讨论技术,而且里面基本上都是同一拨人,永远有人在建这个聊天室,它有固定的名称。

我系统学安全知识最多的地方还是在网上的论坛、社区、那时候大家学到些什么,发现漏洞后也会想方设法的联系厂家,讨论的都是技术,我那时也写了好些文章,先开始请教别人,那时候大家真的都特别单纯,都会在论坛上写文章分享,后来也会回答别人的问题。

做安全所需要的东西很杂。因为它有太多的应用场景了,要不断的学习,凭一己之力远远不够。

做针AG平台游戏大厅对 Hadoop 框架的安全开源项目、随着应用越来越多,单凭自己一家公司是不够的,也是同样的道理。

当每一天都有更多的数据、用户和应用在加入Hadoop 时、这AG平台游戏大厅对整个数据驱动的组织来说是有好处的,要么将数据访问者拒之门外,很多AG平台游戏大厅对安全要求比较高的企业就要二选一,要么牺牲掉数据的安全性,如何保护用户的数据访问安全是个大问题,但AG平台游戏大厅对安全人员来说。

观数想搞的这个开源项目。在保证安全的同时不影响AG平台游戏大厅对数据处理方面的应用,就是想AG平台游戏大厅对正确的用户和应用程序AG平台游戏大厅提供精确的访问级别。

如何实现?我们现在可以AG平台游戏大厅提供统一的账号管理、基于密码的身份认证、支持RBAC(基于角色的权限)的访问控制、日志审计可视化、覆盖大部分线上娱乐组件的 UI 代理和 REST API (满足约束条件和原则的应用程序设计代理)、支持三权分立、支持 HDFS、Hive、Hbase 等组件,预支持的组件有 ES、Kafka、Storm、Spark。

这些基础的安全防护功能,也能帮助一些已经建成的 Hadoop 线上娱乐平台提高安全防护能力,足以打消部分企业在筹建 Hadoop 线上娱乐平台的一些顾虑。

这也是我们名为“螭吻”的开源项目。观数就是想用修建集市的方法,造出一所大教堂。

为什么一定要做自主可控的线上娱乐安全平台

创业之路并不容易,我也会遇到缺钱的情况,有人也会经受不住诱惑,给钱让你搞个站,而且三天两头会有人找来,但这条路肯定不能走,破个邮箱什么的。

即使是做安全,我们也选了一条不那么容易的路。

圈内不少人问过我,国际上已经有开源的线上娱乐安全项目,为什么不拿来修改,而要自己重新做?

我觉得信息安全本就是一个AG平台游戏大厅对自主可控要求非常高的领域、线上娱乐安全领域也应该有国产自主可控的产品,这样,就像是我们在花大力气做自己的芯片和操作系统,至少能让国人多一个选择,特别是党政军等保密性要求很高的领域。

国内的线上娱乐方案AG平台游戏大厅提供商在搭建基础架构的时候,国内在此领域相AG平台游戏大厅对处于空白,如:Sentry、Ranger、Knox、Kerberos等,这些优秀的项目当中没有一个来自于中国,针AG平台游戏大厅对安全需求多数采取使用国外 Apache 开源项目。从另一方面看,目前开源组件解决的基本是“点”的问题,这样其实并不能真正形成有效的方案,很难全面的发挥协同作用。

做安全,也不会用你的,周边没有其他的协同效应,只是做好自己的产品有时是不够的,因为软件不够,做的再好,生态差。但是当做好一个产业的培育时,周边就会滋生出很多其他的企业来围绕这个框架做工作。这,才是我所想要的教堂。