访谈 | 壹进制：从系统还原到数据连续性保护

有这样一家企业，其产品曾在网吧、机房的时代成为管理员心目当中的神器，进军到国际市场，风靡海外。凭借系统数据还原的技术积累，这家企业逐渐地深入到数据连续性保护领域。本次访谈，安全牛采访到了数据安全领域的老兵——壹进制创始人张有成老师。

个人简介：

张有成，南京壹进制信息科技有限公司董事长，南京航空航天大学计算机科学与技术学院产业教授，中国电子学会两化融合技术体系工作推进委员会专家，国家科技部创新创业人才。主持过国家863计划信息安全专项、国家发改委高技术产业化专项等课题研发，历年获得省部级科技进步奖一等奖2项、二等奖2项和市级科技进步一等奖1项，主要研究方向为数据安全与业务连续性管理。

一、一键还原神器

安全牛：作为数据安全的老兵，请您简单讲讲企业的技术发展过程吧？

张有成：1996年我在南京航空航天大学主要对数据安全技术研究，做的第一款产品叫“硬盘还原卡”。之后随着PC机市场的快速发展，更多的高校、企业、网吧及个人家庭都拥有了PC机，随之而来PC市场遇到了一个非常头疼的问题， PC厂商要投入大量的成本在售后系统维护维修服务上，使PC厂商的利润稀薄。

在此市场需求下我们基于“硬盘还原卡”研发出了一款轻量级、低成本、低故障率的“一键还原系统”。最初在高校机房和网吧得到了广泛的应用，极大的帮助了高校老师及网吧网管的系统修复工作。从电脑系统还原到“硬盘克隆”分区还原系统，产品一经推出就风靡市场，国内90%以上PC厂商都是我们客户，甚至拓展到了海外市场。从1996到2004年我们在“一键还原软件”这个细分领域占据着领先的地位，在04年获得国家863信息安全专项支持，并于2005年技术验收中获得双A最高分。

安全牛：在那个时代的网吧和机房，最头痛的问题就是系统被改的乱七八糟，重启之后能够自动还原是绝对是网吧管理员共认的神器。

张有成：是的，而且除了一键还原软件之外，我们还自主研发了两枚自主知识产权的芯片，主要解决国外芯片旺季断货供不应求、盗版芯片扰乱市场的问题。

2001年研发的第一枚芯片，是一枚做了通用的PCI接口的安全芯片，并在新加坡流片，项目流片后完全解决了国内芯片市场自主可控和供应能力的问题。随着我国集成电路产业的发展和第一款芯片的市场积累。2002年研发出了第二枚芯片集合和ASCII并在上海工厂流片，这就翻倍的降低了产品成本。

1996年到2002年，是“数据保护”产品推出市场，产品打磨的重要时间。过程中我们坚持“核心技术靠自己”的研发理念，才能在这个细分行业占领了制高点，并取得了行业客户及国家863计划（国家高技术研究发展计划）的认可。

二、从To C 到 To B

安全牛：在IT变化发展如此迅速的时间里，一个团队能在二十多年中一直坚持 “数据保护”这一细分领域的研究及开发确实在国内也是屈指可数的。

张有成：没错，这的确是件不容易的事，但也是件很有意义的事。最初在PC行业中，它帮助计算机个人用户解决了很多系统故障的问题，在计算机市场推动中也起到了微小坚实的推动作用。但是随着PC机行业的衰落，我们发现真正的“数据保护”其实不在PC上，而是在主机服务器上，这才是真正“数据保护”的主战场。也就是在这个时候（2008年）我创立了壹进制。

安全牛：在这之前所说的数据保护还只是局限于系统还原的概念，目的是系统可用性，但企业真正的需求是保护企业业务运行数据完整性、保密性和可用性，即CIA的要求。这两种概念的转变，并将其在商业上实现，可不是一件容易的事。

张有成：从ToC市场转战ToB市场，它的深度和技术难度远远超出了我的想象，从前我们做的是单个还原点的“数据恢复”， 但在企业级市场，数据作为企业的核心资产客户最担心的是“数据的丢失”更关心“数据保护”及“数据安全”。

其实早在2000年我们就研发出了“任意点系统还原“，那时候叫“数据录像技术”也就是后来的（CDP实时备份技术） 。这项技术因运用场景的不同，发挥着出不同价值，那时候我们关注的是PC机市场，而它的主要价值是体现在服务器主机数据保护上。

三、CDP的CIA

安全牛：能否具体谈一些你们CDP的技术细节？

张有成：基于CDP实时备份技术，我们在技术上进行了纵向和横向的全面延伸。纵向主要在“存储块级”做数据保护。随着产品精细化后，我们延伸到了“文件级”数据保护，在文件过滤驱动层捕获数据包及请求包，拦截后根据保护策略对象选择记录或忽略。但是它作为代理监控程序装在主机内核级程序中，不仅会拉低系统性能，一旦出错就会使整个系统崩溃。

为了做到和主机无关，我们主要在存储层做保护：一种是在存储网络自身捕获存储网关设备的IO数据，按照设定策略在底层做持续保护和录像。另一种是渗入到存储内部，主要和存储厂商合作，将数据保护软件直接嵌入到存储设备内部，这样就形成了一个自带数据底层保护和录像功能的装置。这样从存储块级到文件级（卷级）再到与主机无关的存储级，根据不同级别、不同场景进行数据的连续性保护。

根据用户的使用场景和需求不同，我们的技术又做了横向拓展开发，主要是在备份和容灾两方面。这也给我们带来了一大挑战，如何能使“数据备份”兼容和适用于各种应用场景、操作系统、设备主机和数据库等，这就需要我们投入大量的时间和产品研发成本去与之适配。从解决多需求和多IT更新迭代的问题，到应用场景的延伸（从主机到数据中心再到云），我们推出了一套数据保护整体解决方案，把产品云化并采用分布式架构使之可根据用户IT需求和应用场景的变化进行动态弹性的扩充保护。

安全牛：能做到所有这些技术实现，都与你们之前在系统级、磁盘级的技术积累有关。谈到数据安全，数据的完整性应当是数据保护的核心的问题了。您是如何做到数据记录过程中数据未被篡改过，备份的数据就是原始完整数据呢？

张有成：这个问题也是客户最关心的问题。我们将加密、校验技术与可信计算的技术相结合，从备份数据的源端（生产端）到传输再到存储最后到数据恢复，整个过程以可信机制做保障，确保整个数据备份恢复的完整性。同时，我们对数据副本的源端、传输、存储和恢复都加入了多层加密技术确保了数据的保密性。但这仅仅是针对数据的副本，对与原始数据我们又引入了数据库审计、数据库防火墙、数据库脱敏等补充产品去延伸，给客户提供一个整体解决方案。

安全牛：除了完整性和保密性，不知道在数据可用性方面您是如何做的呢，又有什么创新技术呢？

张有成：说到“可用性”就要谈到我们的另一个产品线了，它的核心技术还是利用CDP数据录像技术，采用挂载的方式仅呈现用户所需要的数据，解决了客户因数据恢复过程中数据量大，恢复时间长、恢复过程业务中断等问题。

但是，我们发现数据并不是孤立存在的，数据和业务系统是相关联的，数据在应用系统里面才具有价值，所以我们在数据保护这条主方向上在整个信息系统中做延伸推出了 “信息系统的应急保障”，将CDP的这个录像技术由数据录像延伸到了整个系统应用的录像，实现了从数据到整个应用系统的应急接管能力。这在传统容灾技术上是一个创新及突破。

数据丢失主要分两种：人为和非人为因素。传统容灾的技术核心是数据复制，主要解决的事非人为数据丢失。那么面对人为因素而造成的数据丢失，传统容灾的解决方案是不好解决的，所以我们对整个系统数据进行了录像，录像之后可以回到任意时间，即不会影响业务生产系统连续性的问题，又不会因为原业务系统遭到病毒攻击或人为误操作，而影响数据的备份和使用，在数据遭到破坏时直接挂载使用，等原业务生产系统修复好之后，将应急接管期间的增量数据回迁就可以。系统应急保障，为用户提供了最后一道安全保障，也真正解决了数据可用性的问题。

四、数据安全整体解决方案

安全牛：在云计算时代，用户首当其冲的问题就是数据安全，您如何看待云上的数据安全？

张有成：等保2.0在涉及到网络安全等保的时候专门对云计算安全提出了扩展标准，无论企业是IaaS、PaaS还是SaaS层数据安全的责任全部是在用户而不是云平台商。云平台智能提供给企业物理层的防护问题，而无法解决“人为“的恶意攻击。所以企业上云之后反而更要做安全保护，因为数据集中了一但出问题将会全军覆没。

那么应该怎么做？是用CDP做还是用传统备份去做，实际可根据应用场景的不同来定，主要分为云间备份和云内备份，云间备份主要是不同云平台之间的备份；云内备份主要是是从云内的一个机房备份到另一个机房。目前我们也在一些云厂商合作提供一些增值服务。

我认为在云上数据保护这块，首先用户要提高的是自我保护意识，首先要对自己的数据负责，另外就是清楚数据的责任对象。这就像买保险，企业应当根据数据价值来购买相应“保额”的保险。

安全牛：国内做容灾备份的厂商其实有不少，相比于这些企业，壹进制的技术优势在哪里呢？

张有成：我认为每家公司的定位与企业技术专长都有所不同，也是国内外不同友商的存在，才能更好的去推动并形成市场，有竞争才有促进和提高。在一个市场发展过程中，其实每家厂商都会有自己的细分定位。

对于壹进制来讲，我们的定位是：通用的数据安全整体解决方案提供商。我们针对的对象不仅仅是数据库的，还包括IT系统、虚拟化系统、云、甚至包括一些大数据的应用场景。我认为数据安全它不仅仅是一款产品，而是可以根据多种复杂场景变化，产品的升级迭代适配支撑的数据安全整体解决方案。

五、数据安全的国家队

安全牛：航天科工在2018年将壹进制全资并购，这是否会在技术发展方向及市场规划上给壹进制带来一些影响。

张有成：有影响的话也是积极的影响，首先壹进制的数据保护技术是一个主流方向，航天科工体系内恰巧缺少这一块技术，那么壹进制的加入正好填补了这项业务的空白。其次，在企业并购中航天科工需要向证监会承诺，未来不会在做同领域内做企业投资和扶持，并且科工旗下的所有科研院所及企业就无法在做这一个领域，这对于壹进制来说起到了保护作用，同时也拓宽了我们的业务市场。

安全牛：最后请您谈谈壹进制的主要业务方向及国内数据保护市场的发展。

张有成：目前壹进制90%以上还是在数据保护市场，未来进一步超系统应急保障这样的新业务方向延伸，进一步做到整体的数据安全解决方案。目前主营业务及主要客户还是在，CDP数据录像和容灾备份这两块。

现在壹进制已经是一个标准的国家队了。这对于我们发展有着极有利的推动，首先在国家关键基础型建设方面，我们已经占据了更好的信任基础。其次，国家对自主可控的重视，我们所有的核心技术都是自主研发，自主可控的。产品不仅适用于国外的主流场景，对国内的云和虚拟化环境几乎全面支持。

除此之外壹进制数据保护产品适配大部分国产自主可控产品（操作系统、数据库、CPU等）并且已经有了四年多的技术沉淀和积累。最后，因现在安全产品的复杂和碎片化，用户在使用时无法有效的整合，这也就是我们发展的方向——为客户提供一套数据安全整体解决方案。2017年网络安全法推出后，网信办也将“备份一体机”作为网络安全专用设备记录在了网络安全专用产品名录中，所以未来这将是一个需求较多的市场。