觀數科技李科：用修建集市的方法，造出一所大教堂

“去學計算機？天天坐在電腦前，你以后除了去打印店打打字，還能干啥！？”

在衛生系統工作了大半輩子的老李，理所當然的認為自己的兒子就應該當醫生，即使不從事這行，也萬萬不能去干那打印店的營生。

而當年癡迷于計算機的李科，雖然打心底里不喜歡學醫，但還是拗不過父親，乖乖讀了醫學院，畢業后進了醫院工作，一切看起來順理成章。

那時的李科，絲毫看不出有日后能成為黑客的潛質。

直到2000年，已經工作了半年的他跟父親提出要辭職參加成人高考，學自己一直感興趣的計算機專業。這可把老李氣夠嗆，所以出現了文章開頭的那句話。這并非是老李“思想落后”，而是在20年前，絕大多數中國人未曾接觸過網絡，計算機在那時的主要功能就是打字。

不過，當離開安逸環境的的李科，如愿以償的學了自己夢寐以求的計算機專業時，他發現父親氣頭上的那句話也并非全無道理，學校教的都是一些類似 Word 怎么用，內存 CPU 主機是什么的內容，學這些東西，還真就像是在為打印店培養員工。

多年后，當李科再向我提起這段往事時，他早已成為深諳各種黑客技術的“老司機”，而且還創辦了一家名為“觀數科技”的網絡安全公司，主攻大數據安全。

但當他聊起現在正在做的事情，我依然可以感受到，他還是當年那個不走尋常路的人，倔強的做著非主流的事情。

口述｜李科       文｜郭佳

走這條路，其實很孤獨

我做了 10 多年安全了，有個很大的感觸，就是現在各行各業都在關注大數據的東西，創業公司也很多，我們之前甚至還做過金融征信方面的大數據業務，但我發現國內很少有人提大數據的安全是其發展的保障。

比如眾多公司都會用到的，對大數據進行分布式處理的軟件框架 Hadoop ，它在這個領域應該相當于 Windows 在操作系統中的江湖地位，但國內對它的安全性缺乏關注，為什么？

他們只看到通過大數據分析所能帶來的巨大意義，但是目前還沒有深刻意識到在數據處理過程中的安全同樣重要！我們之前可能聽 BAT 這邊對數據安全強調的多一些，他們會請專門的人做這塊的安全，但對于很多其他的企業，他們同樣需要這樣的服務。

其實我們和BAT這些安全人員的目標一樣，就是讓所有的數據不能輕易被訪問，訪問的時候都要有記錄，只不過我們做的東西是通用的，要給各行各業做服務。

為什么現在電信詐騙特別多，其中一個很重要的環節就是數據泄露。電信行業部門很多，而且各個部門負責的工作不一樣，跨部門的數據調用非常頻繁。比方營銷部門、收費部門、用戶行為分析部門等，都會互相之間調數據，那最后數據到底是誰泄漏的，說不清楚。觀數現在要做的事情就是通過安全防護手段來避免類似事情的發生。

既然數據使用過程中是有合規性的需求的，就需要對整套大數據系統進行 4A 統一安全管理（認證、賬戶、授權、審計）。我們需要在隔離區和公共區建設一個橋梁，相關使用者必須通過身份驗證后才能使用其中的數據進行分析，我們要為有可能使用到數據的每個用戶配置相應的權限，而且要做到數據使用記錄的可溯源。

就像安卓一樣，它做得真有多好嗎？不見得，大家都會吐槽它的安全，但還是離不開它。

雖然目前 Hadoop 的生態建得非常完善，已經積累了大量的應用，作為一個核心的底層框架已經得到大家的認可，但從它設計之初就沒有過多的考慮安全，即使現在有一個新技術比他效率更高，安全性更好，也很難被淘汰。

由于國外的大數據產業發展更完善，所以針對 Hadoop 框架的安全廠商也相繼出現了，像 BlueTalon、Zettaset 等，BlueTalon 也在 06 年的 8 月也拿到了 1600萬美金的A輪融資，這說明我們做的這個模式在國外被證明是有市場的，但在國內基本是空白的。

我們原來做了十多年的主機加固，知道在什么系統里面面臨怎樣的風險，該怎么去保護，這些理念和技術是可以嘗試在數據分布式上落地的。

目前，各個廠商還處于“試鞋”的階段，大家原來都不穿鞋，我現在要把鞋賣給他們，其實挺難的，很多人會問，你為什么要做一個大家都聽不懂的東西？

走這條路，其實挺孤獨。

我們想用修建集市的方法，造出一所大教堂

我當年入安全這個行當，得到過很多人的幫助。

當年我只是一個對計算機很感興趣的醫生，2000 左右開始出現那種網上的聊天室，我一個土生土長的湖南人第一次通過網絡跟北上廣的朋友聊上了天，先開始新鮮，見著人就聊，后來慢慢開始找到了志同道合的網友。

那時候有個叫“黑客技術”的聊天室，它跟現在的QQ群還不一樣，你白天在聊天室聊，晚上大家睡覺就自動解散了，從此這個聊天室就消失了。但黑客技術不一樣，它有固定的名稱，永遠有人在建這個聊天室，而且里面基本上都是同一撥人，里面就討論技術，不明白的地方可以請教。

我系統學安全知識最多的地方還是在網上的論壇、社區，那時候大家學到些什么，都會在論壇上寫文章分享，我那時也寫了好些文章，先開始請教別人，后來也會回答別人的問題，那時候大家真的都特別單純，討論的都是技術，發現漏洞后也會想方設法的聯系廠家。

做安全所需要的東西很雜，要不斷的學習，因為它有太多的應用場景了，憑一己之力遠遠不夠。

做針對 Hadoop 框架的安全開源項目，也是同樣的道理，隨著應用越來越多，單憑自己一家公司是不夠的。

當每一天都有更多的數據、用戶和應用在加入Hadoop 時，這對整個數據驅動的組織來說是有好處的，但對安全人員來說，如何保護用戶的數據訪問安全是個大問題，很多對安全要求比較高的企業就要二選一，要么犧牲掉數據的安全性，要么將數據訪問者拒之門外。

觀數想搞的這個開源項目，就是想對正確的用戶和應用程序提供精確的訪問級別，在保證安全的同時不影響對數據處理方面的應用。

如何實現？我們現在可以提供統一的賬號管理、基于密碼的身份認證、支持RBAC（基于角色的權限）的訪問控制、日志審計可視化、覆蓋大部分大數據組件的 UI 代理和 REST API （滿足約束條件和原則的應用程序設計代理）、支持三權分立、支持 HDFS、Hive、Hbase 等組件，預支持的組件有 ES、Kafka、Storm、Spark。

這些基礎的安全防護功能，足以打消部分企業在籌建 Hadoop 大數據平臺的一些顧慮，也能幫助一些已經建成的 Hadoop 大數據平臺提高安全防護能力。

這也是我們名為“螭吻”的開源項目，觀數就是想用修建集市的方法，造出一所大教堂。

為什么一定要做自主可控的大數據安全平臺

創業之路并不容易，我也會遇到缺錢的情況，而且三天兩頭會有人找來，給錢讓你搞個站，破個郵箱什么的，有人也會經受不住誘惑，但這條路肯定不能走。

即使是做安全，我們也選了一條不那么容易的路。

圈內不少人問過我，國際上已經有開源的大數據安全項目，為什么不拿來修改，而要自己重新做？

我覺得信息安全本就是一個對自主可控要求非常高的領域，就像是我們在花大力氣做自己的芯片和操作系統，大數據安全領域也應該有國產自主可控的產品，特別是黨政軍等保密性要求很高的領域，這樣，至少能讓國人多一個選擇。

國內的大數據方案提供商在搭建基礎架構的時候，針對安全需求多數采取使用國外 Apache 開源項目，如：Sentry、Ranger、Knox、Kerberos等，國內在此領域相對處于空白，這些優秀的項目當中沒有一個來自于中國。從另一方面看，目前開源組件解決的基本是“點”的問題，很難全面的發揮協同作用，這樣其實并不能真正形成有效的方案。

做安全，只是做好自己的產品有時是不夠的，做的再好，也不會用你的，因為軟件不夠，周邊沒有其他的協同效應，生態差。但是當做好一個產業的培育時，周邊就會滋生出很多其他的企業來圍繞這個框架做工作。這，才是我所想要的教堂。

重要的事情說三遍，此為雷鋒網雷鋒網雷鋒網原創文章，未經授權禁止轉載。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。