新锐 | 盛华安张颖：左手SIEM右手服装设计的美女博士

头上金爵钗，腰佩翠琅玕。

明珠交玉体，珊瑚间木难。

罗衣何飘飘，轻裾随风远。

顾盼遗光彩，长啸气若兰。

撰稿 | 蓝河

编辑 | 图图

人们常说，对于同样一件事，男人和女人的理解，往往稍有出入。因为多数男人心更大，也更粗，所以尽管看得远，却有时会因为微小的细节，吃点亏。女人则不同，她们大抵心思细腻、思维缜密，看待事物总是能有更深入、精确，甚至有些“较真”的见解。

而恰好，信息安全这件事，由不得一点糊弄，最需要的就是“较真”。

只可惜，就像大多数工科专业，一个班级只有一两颗“掌上明珠”一样，信息安全也承袭了这亘古不变的优良传统。因此，在这个领域里，女性从业者寥寥无几，就算有，大多也负责管理和决策，奋斗在一线技术岗位的，绝对配得上“珍萃宝物”。

这几年，我见过很多大咖、专家、黑客，也书写过他们的荡气回肠的故事、高瞻远瞩的见解以及对信息安全的真知灼见，却总觉得，这些生硬的代码和冰冷的机器，少了些温暖和柔肠。

那是北京的秋天，阳光正好的午后，幸运地，我遇见了张颖。

华美又不失端庄的长裙，时尚别致的首饰，淡妆，素雅却很精致，就像是刚刚参加完高级时装周的设计师一样，任谁也想不到，坐在我面前笑吟吟的她，竟然是数据安全专业的女博士。

她告诉我，这些服装其实都是她自己设计的，可是她这辈子只想也只能做一件事，所以，她当不成设计师。

但是，信息安全这份事业，却因此幸运地多了一位柔情的专家。而我，也有了一次醍醐灌顶的机会。

一辈子只做一件事

1999年，张颖从中科院计算所博士毕业，因为在读期间的研究方向是数据安全，于是她毕业后的第一份工作，是在联想研究院做管理平台（SIEM）的开发。

在那个还没迈入千禧年的时代，互联网在国内还不过只是个刚刚发芽的新物件，而那款管理平台正是国内第一部IP网管。张颖还记得，那部IP网管的管理对象是以色列的网络设备，要知道，以色列的网络技术，说是全球顶尖也不为过，这在当时是多么了不起的一件事情。

在此之后，联想研究院成立特别行动小组，专门负责各种管理支撑平台的开发。包括研究院自身的网络管理平台，联想网御的安全管理平台、服务器平台，以及针对商用台式机的台式机管理平台等，而张颖就是这个特别行动小组的成员，她也始终都没有离开平台开发的岗位。

虽然联想集团不断壮大并收购了IBM PCD，但信息安全实验室却被打包出售给了亚信。正巧早有同事想要自主创业，于是这几个风雨飘摇多年的研究室战友们，就一起成立了创业公司网诺——网神的产品技术部分。

其实张颖在读博士之前，曾有过很大的忧虑——每当她提出自己想要继续深造的想法时，就会有声音说：“女博士半途而废的有很多。”

所幸的是，家人告诉她，即便是多读几年也没关系，把读书这件事当做自己的人生来度过就可以了。于是她记下了这句话，也真的静下了心，卸下了负担，她的想法是：如果一生只来得及做一件事，那把这件事做完也就值得满足了。

所以在成立网诺公司以后，张颖依然负责SIEM平台的方向。一直到2011年初，她和当年研究院的团队一起加入了启明星辰，在启明星辰泰合继续加强SIEM平台的开发工作。

时间快进到2016年，因为某些原因，张颖想要离职创业，但此时，让启明星辰SIEM平台进入Gartner魔力象限的承诺却还没有兑现。于是在那一年，尽管前面有着6家欧洲友商被一纸驳回的惨痛教训，但张颖仍然坚持着在Gartner峰会上给分析师演示了整个系统。

出乎意料的是，分析师非常认真地阅览了启明星辰设计图和架构图，并和张颖进行了反复的讨论。最终，启明星辰的SIEM平台在2017年入选Gartner魔力象限19个厂商中，拿到了11位的名次。

兑现了承诺以后，张颖觉得自己在启明星辰的使命已经完成，于是她正式提出离职。

她说，自己这辈子，最喜欢做的事情，莫过于服装设计，可是既然读了博士，就应该对得起这份履历。她看见了人工智能、深度学习和大数据对于SIEM平台的重要性，她决定要继续这一辈子唯一的事情。

安全永远输给黑客

前文提过，因为某些原因，张颖产生了想要离职创业的想法，这个原因，就是“安全永远输给黑客”。

凯文.多米尼克曾在自传的第一页写过“我们永远是成功的”。在张颖看来，这场安全与黑客之间的博弈，想要达到全面的防御，就必须做到100%的成功。然而，黑客只要实现1%的攻击，安全就沦为了100%的失败。

这样一来，很多用户开始对安全产生悲观的态度，甚至因此否定所有的技术和积累。

自习近平总书记于2016年4月19日的讲话后，整个安全行业掀起了一波抢做态势感知的热潮。但是，态势感知和SIEM平台的技术基础极为相似，尤以数据的处理存储以及人工智能引擎等方面为主，而张颖很清楚，这里面的坑有多深。

所以她创业的初衷，就是想要提供一个基础平台，帮助大家解决最底层的技术问题。

按照张颖的理解，任何一个软件都应当有两个灵魂——技术和应用，这个基础平台所要具备的，只是技术的灵魂，而客户想要赋予它业务上的灵魂，只需要在基础平台上进行二次开发即可。

说的直观点，这个平台可以接入任何合作，而且已经相当于帮助合作伙伴做完了80%的工作，合作伙伴有什么业务上的需求，只需要在这个基础平台上做完最后20%与自己业务需求相关的工作就好，之后便可直接交付用户。

这样一来，他们便可以投入100%的精力，专注在用户特定问题的解决上，为用户处理好最后一公里和信息安全最特殊的那些业务安全问题。

说到这里，张颖笑了，她说，虽然服装设计和信息安全是风马牛不相及的两件事情，但在基础平台的建设上，却有着本质上的异曲同工之妙。

对于一款基础平台来说，技术架构就相当于服饰的材料。就像一款出众的服饰需要有一副好看的外表一样，很多客户对于基础平台的诉求，一开始都只局限于功能模块的数量。

但是，随着不断的宕机和事故，人们逐渐发现，原来这个外表出色的平台，用的却是廉价的料子。

对于“最近接用户，最有价值”这句话，张颖一直都很认同，而用户所关注的，也一直都是使用逻辑和功能模块。但是，再完善的功能模块也需要有优秀的底层技术框架来支撑它的运行性，就像再金玉其表的服饰，也由不得败絮其中。

而一个优质的平台，可以帮助用户省去顾及底层架构的精力，并且直接在平台上进行二次开发，就像做工精美的衣服，不仅穿得舒服，还可以根据自己的喜好，改大改小。

同时，在大数据分析方面，张颖认为，当前有很多物联网安全企业，其实对于大数据的处理，并没有足够的经验。但是，他们同时拥有着大量的传感器，因此产品化、工程化的大数据存储、分布式节点解决方案和大数据分析引擎，就成了眼下最为需要的东西。

目前，她已经把ArcSight最有名的关联引擎改造成了分布式关联引擎，并制定了机器学习的框架。用户只需要通过小程序的方式，把各种算法和大数据方案拖入框架，再进行封装，就可以适用于全行业千家万户了。

在此基础上，张颖要进一步打造社区，提供交流互动和产品下载的服务，客户在社区下载产品后即可本地部署，如果有二次开发的需求，也可以通过社区与她进行对接，获得技术支持。

而这个社区，实现的就是她最终想要给客户提供一揽子交付的平台。

张颖说，她很感谢启明星辰，因为在离职创业这件事情上，启明是拥有一票否决权的，但在她表达完自己的想法以后，领导最终很大度并予以理解。

及至后来，360投资，也颇多机缘巧合。也正是因为这两家巨头的大气，才赋予了这家新公司——盛华安，以生命。

安全管理平台应当承载怎样的能力

一个好的安全管理平台，在张颖看来，至少应当具备解决六类问题的能力。

首先是解决攻防问题的能力，即攻防预警。通常来说，即便无法完全涵盖，也应该起码能够解决事中和事后的问题。

其次，一个好的安全管理平台一定是是一个符合27001、等保在内的合规审计平台。

第三，这个平台还需要提供用户包括考核、管理等一整套信息安全体系的建设。

在软件定义安全的概念里，有一个特别核心的东西叫做控制器。所以，这个平台本身还应该扮演集中式控制器的角色。

作为一个泛安全的概念，需要完全基于控制器来进行流的选型，既是云防火墙，又具备业务级信息安全业务的判断，从而做出阻断和转发。

因此，第四点，一个好的安全管理平台也应该是一个集中式的安全设备和业务逻辑的管理平台。

第五，它还应该是一个SaaS平台，可以提供用户业务菜单，再推送用户服务。

最后，就是盛华安现在核心主打的，二次开发平台。张颖说，在过去和众多安全厂商对接的过程中，很多人都提出过希望她们可以提供二次开发平台的想法，因为这些厂商，都有更大的业务逻辑需要在上层进行展现。从早期分散式数据和各个业务的信息孤岛，到今天承载各项业务的大数据湖感念，安全厂商同时具备了IT基建设施和支撑系统以及业务可视化呈现的需求。

如此一来，二次开发平台则显得尤为重要。

在这个过程中，张颖发现，某些公司专注于检测引擎，客户对于检测引擎的需求，实际是希望引擎的数量可以多到一定的程度，通过大数据分析来把数据实现收集。

她认为，检测引擎作为雾计算和云计算的目击环节，如果只是在某一个区域判断安全事件，那么即便再有效，也不过作用于局部而已。如果想要使检测引擎达到所谓的“足够有效”，就需要基于流去做。

所以，盛华安目前还计划开发基于流的检测引擎，结合威胁情报，软件定义安全。

当然，对于张颖来说，眼下首要的事情还是把基础平台做好。目前已经完成了日志审计功能，同时平台本身也是采集器，容量达到了12个T，对于《网安法》里所要求的的6个月日志审计，可以说是业界良心。

张颖告诉我，其实早在很久之前，就已经有客户希望她能够把底层的开发平台公开共享，现在，她终于可以尽情地挥洒理想，去做自己想做已久的事情了。

而她现在有一个很大的理想，就是希望几年之后，所有安全厂商的SOC，底层使用的都是盛华安的基础平台。她觉得当前国际上研究分布式关联引擎的并不多，而他们成功卡位了这个核心技术点。

疯子、傻子和死脑筋

有人劝过张颖说：“到了这个年纪，应当为改善生活做考虑，创业，显然不是一个正确的决定。”

从1999年博士毕业到今天，已经过去了整整20年，在这20年里，这群陪伴张颖从联想研究院一起成长，到加入启明星辰，再到今天共同创业一直不离不弃的伙伴，让她懂得了什么叫做情怀。

她说，鼓励她坚持理想并促成创业的原因还有几个。

第一是很多合作伙伴，不甘心自己与忠实客户之间的关系，只局限于卖完产品就算，他们想要在这些平台上开发更多属于自己独特的东西，而恰好她对这些，很精通。

第二是很多最终客户，曾经在许多年前就提出希望使用张颖关联引擎的想法，尽管客户的开发人员远比他们要多的多。那时这件事是无法实现的，而现在可以做到了。

第三则是很多产品线比较短的安全公司，如果不提态势感知，便难以生存，而基础平台，就是为了拯救他们而来。

连张颖自己都感叹，一直坚持在平台和引擎这个方向一件事做到底的人，也许就只有疯子和傻子了。如果不是20年实实在在的积累，踩过所有可能掉入的坑，根本无法适配眼下这些各种各样的要求。

张颖说，虽然业界不断倡导“小而美”，但她却坚持要做“加法”。

因为她觉得，既然有这么足够的经验和能力，多适配一些需求，总是更好的。她要让盛华安和基础平台，先长成自己想要的模样，证明自己存在的价值和理由，然后再考虑适当地做一些“减法”。

有人说她这么做实在是太“重”了，但是她就是要拣硬的来，较真和死磕，就像坚持读完博士并且20年一直只做一件事那样的“韧性”。

她笑自己，叫做“死脑筋”。

写在最后

我不禁感叹，作为一个在信息安全行业着实不多见的女性从业者，能成就这样一番事业，实属不易，这很厉害，也很值得敬佩。

张颖却说，厉害的不是她，而是这个团队。

现在盛华安一共有将近40人，除去当初从联想研究院一路同行到今天的战友们不算，剩下的同事当中，硕士占比超过了近乎8成，足以称得上是实打实的硕士团队了。

张颖开玩笑说，要是到办公室里喊一句“北邮的硕士站起来”，齐刷刷地能站起一片，更别说还有一群华中理工、中科院和大连理工的硕士们还坐在底下虎视眈眈。

这很不容易，也很幸运，因为读书到这一步，也都吃过不少苦，信息安全这个方向还那么悲催，能因为志同道合聚到这里，对张颖而言，是莫大的荣幸。

一直到今年上半年，张颖将盛华安业务的重点，还是放在渠道的拓宽和社区的发展上面。现在社区里已经有了很多的内容，她欢迎任何伙伴的对接与合作，也欢迎每个人都可以从社区里获取自己需要的东西。

张颖说，虽然这辈子当不成设计师，但她还是会时不时忙里偷闲一会，去做一些自己喜欢的设计。

我觉得这样很好，因为我从来没有听过哪一款产品的介绍，可以那么的易于理解和有趣。

也许当客户有一天得益于盛华安基础平台的时候，会不禁赞叹：

“这料子真好！”

咳咳，安在君有个小秘密

就是

我们

……

我们

们

……

hai~就是这里有个安在唯一的微信粉丝群，这个群里的个个是人才，福利超多，

群煮贼好，我超喜欢的

。真爱粉们加微信： anzersh(记得备注：粉丝） 。安在君拉你进群一起……