以下为现场速记。

 

红芯创始人兼CEO 陈本峰

 

陈本峰：各位老朋友、新朋友，大家下午好!这是我第四次来参加我们的全国CIO大会了，今天其实有看到很多熟悉的面孔，很多CIO都跟我说，今天云适配怎么没有来参展?其实我们今天来了，只不过我们每天CIO的大会演讲，我总会带点新东西过来，今年第一个是带来我们新的品牌，原来要云适配，我们今天把它升级为一个新的品牌叫红芯，第二个一会儿我会跟大家分享一个新的关于网络安全方面的知识。

 

大家可能对“红芯”这个名字会好奇，为什么你要改名字改成叫红芯?我接下来开始讲这个，在讲这个之前，首先也跟新朋友自我介绍一下，大家记住我很容易，IE浏览器的404页面是我写的，大家最不喜欢看到这个页面，所以大家每次看到这个页面的时候就可以想到我。我做浏览器做了10多年时间，相信在座各位每天工作都到遇到浏览器这个产品，但是有一个概念大家可能不知道，就是浏览器其实分外壳和内核，什么意思呢?就像一辆汽车一样，汽车的内核就是发动机、变速箱，外壳可能是汽车外面的座椅、天窗外面的壳叫外壳。

 

虽然今天大家用了很多浏览器，但是大家可能不知道，很遗憾中国是没有自己的浏览器内核技术的。今天大家用的所有的浏览器基本上不外乎是用了国外的几个内核，这个世界上一共有4个刘德华内核，大家可以看到微软、谷歌、苹果几个浏览器各自有一个内核，IE也有一个。

 

这里存在一个问题，我们中国是没有自己的芯片的，其实浏览器内核我把它叫做互联网的软件芯片。其实大家可以想一想，今天任何一个PC端的应用或者移动端的APP，几乎离不开使用浏览器内核的，用来渲染H5页面，这个就是用了安卓系统或者苹果系统原生的浏览器内核，总之做任何应用都离不开浏览器内核。这里就有一个问题，我说它是互联网的软件芯片，浏览器内核是跟你的应用无处不在的。这里面就有一个问题了，浏览器有两个不同的属性，第一个属性是所有老百姓上网的工具，大家平时上网、听歌都是用浏览器，但是同时有一个很重要的属性，它也是每个员工工作的入口。

 

如果说你不掌握这个浏览器内核，这个浏览器内核一直在美国人手里，接下来就有一个很严峻的问题，你如何保证它的安全，如何保证国家的数据安全。刚才那张图我讲了一个信息，浏览器内核大概一共有1000多万行代码，大家知道浏览器内核有多少代码?也是1000万行。其实一个浏览器内核的代码行数和一个操作系统代码行数是一样的，很多人把浏览器内核称作外部的操作系统。既然它达到这么一个复杂度，这里面就有一个问题，1000多行代码里面，如果里面有安全漏洞、有后门，你的企业的数据安全、你的企业基本上就会全部被看光光。

 

这就是我们为什么做红芯的目的，我们红芯就是想做中国自主的浏览器内核，我们的名字叫Red code，code就是内核的意思，Red是红色，我们要做世界上第五个拥有自主知识产权的内核，也属于我们中国人自己的浏览器内核。在我们自己掌握浏览器内核之后，我们就可以在企业办公场景里面做很多创新，这里面其实大家知道，To C的浏览器大家都很关心娱乐、社交这些东西，但是大家知道这些东西其实是跟我们很多To B的场景是背道而驰的，你不希望员工上班都在娱乐、都在分享东西，你希望在办公场景下更多看到的是关于安全、是关于企业的办公效率。所以如果说我们自己掌握浏览器内核，我们才有可能去做很多创新，这就像如果你要对一辆汽车做创新，你用的是别人的发动机、别人的变速箱，你怎么去做创新?

 

在我们自主研发的内核的基础上，我们就可以在安全和效率方面做很多的创新。当然另外很重要的一点，就是刚才讲到的，习主席一直提的，没有网络安全就没有国家安全，而且国家安全一定要掌握自己的核心技术。浏览器内核一定是属于我们的软件行业里面非常重要的一个核心技术，所以一定要掌握在我们中国人自己手里。如果说我们全中国人民一直用的是美国人的内核去办公，你想国家安全怎么保障?

 

其实我们把我们的品牌升级成红芯，原来的云适配就是我们的一个事业部，我们云适配的事业部主要是针对移动办公的效率，我们又产生了一个新的事业部叫红芯云安全。接下来我跟大家在安全方面分享一些新的行业动态，首先抛出的第一个问题是企业网络安全今天正在经历一个什么样的变革?这个变革我可以用两个“离开”来总结，第一个是今天因为有了移动办公，所以人离开了企业的内网，他到了外面。第二个是由于云计算的出现或者由于大数据的出现，今天企业的应用已经越来越多暴露在外网上，所以企业应用也逐渐离开外网。

 

大家知道，过去整个企业的安全是怎么做的?基本上是围绕防火墙来做边界的安全，但是其实大家可以看到整个行业发展的趋势，人会越来越多的游离在防火墙外面，应用也会越来越多的游离在防火墙外面，因为你的应用要和人发生连接，刚才前面讲到数字化转型、大数据、人工智能，你的应用是越来越多的，可能是和上下游和供应链发生连接。当人和应用都不在你的内网的情况下，你过去那套基于对防火墙边界安全的防御体系就变得不那么重要了，因为你的内网会逐渐被掏空。

 

这是企业网络发生的变化，传统的安全是固定边界安全，围绕防火墙一圈建各种安全体系，但是人和应用都出了外网，所以边界外网已经不再适用了。接下来有一个新的问题，在无边界的情况下如何解决企业的安全问题?这个是今天我想给大家带来的整个做安全的新的思路，过去大家做安全都是围绕着第一种思路叫攻防，我们做防火墙其实也就是一种攻防，我的墙要足够厚，黑客采用不同的手段来攻击我，包括连杀毒软件都是攻防，就是黑客来攻我、我来防你。但是其实安全还有另外一种思路，就是隐身。

 

我拿这两个图来做比喻是很形象的，在战场上大家想想你有两种做安全的来保护自己的手段，第一种是穿很厚的防弹衣，不管敌人的枪怎么厉害也打不穿你的防弹衣，你就是安全的。还有一种思路是在战场上穿隐身衣，敌人不知道往哪里开枪，你也是安全的。这两种思路其实后面一种思路会更加经济和有效，为什么?黑客明天就会发明更加厉害的攻击手段，黑客明天会想到一种新的子弹打破你的防弹衣，可能直接用炮直接攻击你了，冤冤相报何时了，他会想尽办法攻击你，这是没完没了的。但是另外一种手段是你隐身了，敌人看不见你了，他就惦记不了你，这样你的安全系数比穿防弹衣更加安全。当然了，其实防弹衣和隐身衣并不是矛盾的，你可以先穿防弹衣，在外面再穿一身隐身衣，这样你就毫无保留的安全了。

 

依照这个思路，接下来想跟大家讲一个新的概念，叫做“软件定义边界”。这是国际云安全联盟CSA提出来的，其实今天美国云的普及度已经非常高了，尤其公有云，很多企业都把应用放到云上。国际云安全联盟就在研究，当我的应用都放到公有云上的时候，我怎么来保证安全。所以刚才讲的隐身衣就是他们的思路，提出软件定义边界工作组的组长是Bob，他是美国CIA中央情报局专门做信息情报的，他在那里工作了31年，是CIA的CTO。根据他这么多年信息安全的经验来说，他认为这种软件定义边界的安全模型其实是好于今天的攻防模型的，所以提出软件定义边界。

 

在云无边界的时代，通过软件的方式构建起企业一个安全的边界，这个安全的边界就像防护罩一样，把企业的整个终端设备在地球上就彻底隐身了，别人就没法攻击你。SDP软件定义边界在维基百科上也有，美国很多公司也有做，像Scaler是一家创新公司，今年也在纳斯达克上市。Gartner把SDP列为2017年11大信息安全技术之一。RSA是美国顶尖的技术峰会，SDP模型每年都有一个大赛，你破解了就给你多少钱，连续办了4年，今天仍然没有人能破解到SDP安全模型。所以大家可以看到，SDP安全模型在美国得到很多验证。包括美国有一家中型银行是100%公有云，这家银行所有的业务、所有的信息管理系统、所有东西都在公有云上，都跑在亚马逊的AWS上，他是基于这套体系构建安全系统，今天也被证明还在很安全的运行。所以大家可以看到，SDP在美国已经得到很好的应用。

 

这里面有很多核心优势，刚才讲到第一大核心优势是网络隐身，他做了类似于隐身衣的东西，让你的应用彻底从互联网上消失掉。它已经被证明能够防止很多有效的攻击，这些大家平时可能很很头疼的安全隐患，它可以很方便很快的解决掉。它的核心思想是什么呢?首先大家都知道，传统的浏览器的BS的方式都是叫做先连接后验证，比如说你公司有一个OA，我先通过浏览器输入OA.你的公司.com，输入员工的账号名和密码进去。大家发现这里面有一个很大的问题，如果黑客也能访问到这个OA系统，他就知道你这是一个什么系统，你是OA还是ERP还是什么。如果发现这个系统和数据是有价值的，他一定会想方设法的把你攻破，通过很多方式，不仅是用户名密码的方式，有大量的手段。刚才前面的嘉宾也分享了，大概有50种不同的攻击手段可以黑掉你的系统。

 

这个就会让敌人惦记到，他看到你的系统是什么就会惦记你，比如美的这样的企业，我肯定想方设法，一年收入2000多亿，肯定想方设法把你的数据偷走。换一句话说，这个世界上真的没有完全攻不破的系统，完全取决于黑客的技能和时间，大家同不同意?其实对于黑客来说，无非就是一个投入产出比的问题，我要花一年时间攻破你的系统，如果我能得到1个亿，我一定愿意花时间来干这件事情。如果我花10年时间，我只赚到1元，我肯定不愿意干这件事情。但是黑客已经看到你的系统是1个亿还是1元，他就会有很大的动力干这件事情。

 

SDP是先验证后连接，先验证你是我的合法员工，只有合法员工才能看到这个OA，剩下的人都看不到这个系统。它对非法用户是隐身的，只有对合法用户是可见的，这个是整个SDP的基本原理。我想在座各位有很多系统是要开放给供应商的，比如说公司的架构很大，有那么多的分公司，你们也不知道哪个分公司里面哪个网络被人黑进去，这些黑客就会进入你的企业内网，就会对你的各种系统发起攻击，SDP企业的隐身衣就能很好的防止这一点。这是整个软件定义边界的架构图，最上面有一个控制器，连接客户端，连接各种应用，前面放一个网关，只有授权过的用户才能通过客户端穿过我的网关连到我的应用。它怎么去判断这个用户是不是合法的，就通过上面的控制器。所以你看它会做设备的验证以及用户的验证，只有验证通过了，我才让你到客户端连我的网关，如果验证没有通过，你根本就不知道我的应用系统在哪里，也不知道我有什么应用系统，整个连接都是动态的。

 

基于刚才的架构，其实刚才讲到，我们的浏览器能做什么，我们提出来叫企业浏览器。上午第一个嘉宾一上来就说微信有企业微信，可能大家平时在办公的过程中用的频率最高的是两个软件：一个是聊天工具、另外一个是浏览器。聊天工具有企业微信，浏览器肯定也有企业浏览器。我们的企业浏览器就是一个SDP客户端，我们有一个网关，通过中心控制平台来控制它，来实现安全。其实我们叫红芯安全，我们拥有安全模型，有访问安全、身份安全、数据安全、行为安全。访问安全是实现整个应用的隐身，只对于合法的可见。身份安全是要验证这个客户是我的合法用户，我们会通过很多新的除了密码以外的验证技术，比如说人脸、指纹等等。还有数据安全，我们对所有数据都加密。行为安全是防止内鬼偷你的数据。这是我们一整套非常完备的安全体系，就是关于软件定义边界的安全体系。

 

这是我们的一个截图，大家可以看到左上角有一个员工的头像，这个浏览器需要先登录，需要用户的验证。只有验证的用户，我会给他推他能看到的对应的一些应用。比如说这个员工只能看到OA，我只能在首页上显示OA，不应该看的就显示不出来，他也完全连不了。这个是我们整个关于访问安全的架构图，大家可以看到，我们在企业的应用前面放了一个网关，这个网关其实它跟我们的企业浏览器之间是紧耦合的，所有普通浏览器根本就访问不到后面的应用，它根本就连不上。而我们自己的浏览器跟我们的网关之间有私有的协议，甚至还有私有的DMZ，大家知道OA.你的公司.com，这个公司没有必要在公网上，完全可以在我们的浏览器里面以DMZ存在。我的端口也一样，我可以一直在变化，我可能每个小时都变一次，这个就让黑客完全不知道后面的应用的存在，他不知道这堵墙后面藏了什么东西，只有合法用户才知道后面藏了什么东西。而且合法的客户只能见到可见的东西，我们进行了非常严格的控制。

 

另外企业浏览器里面我们还做了很多关于用户体验的东西，在座各位都有一个困扰，你们的应用系统非常多，有很多IE浏览器兼容的问题，IE6、IE7、IE8都有，我们的浏览器模拟各种浏览器的内核，把各种应用系统都集中到我们统一的浏览器里面来。你的员工只要打开我们的浏览器，就能访问所有的应用系统。我们是单点登录，登录浏览器之后就不需要再登录了。我们是跨设备的，安卓、苹果、windows 等所有的端都有，这样满足企业无论在任何设备上都能够访问到你的应用系统。我们有很多客户，像上海城市建筑院是我们很好的一个客户案例，他的很多图纸是交给第三方去看的，设计完这些图纸非常昂贵，一张图纸可能要上千万、上亿，这些安全问题他们自然要很好的解决掉，用我们的软件方式就很好的解决这个问题。

 

刚才讲到我们的浏览器在安全方面的一些创新，接下来讲一些在效率上的创新。大家知道过去云适配的业务主要是做企业移动化的，我们在移动化上面有什么创新呢?大家知道过去云适配一直是我们很独有的技术，我们把PC应用直接变成H5。今天我们还有一个新的业务叫企业小程序，小程序现在微信已经推得非常火了，但是企业也希望在办公应用也有这样的能力。我们企业的小程序有一个很大的特点，它和传统的H5不一样的一点，我们能够把H5的应用代码通过一个编引擎直接编一层页面。大家都知道，H5的性能不太好，用户体验不是那么流畅，但是大家又很喜欢H5跨平台和快速开发的能力，怎么办呢?企业小程序就很好的综合了这两者的优点，我们既有H5快速开发的能力和方便性，又有很好的原生用户体验。

 

这个就是我们一个简单的演示视频，大家可以看一下整个企业小程序的用户体验。这也是我们通过对浏览器的渲染引擎的修改，实现对于原生应用的渲染。这种效果其实大家可以看到，以前是很难以H5的方式做出来的，包括后期的效果。但是通过企业小程序，大家可以看到刷起来非常流畅，这个就是我们整个对于H5代码的编译方面做的很多对于浏览器内核的改造，让它拥有这样的一种能力，这样以后大家开发出来移动应用，既可以大量节省开发时间和维护成本，又有非常好的体验。所以我们叫做H5代码原生体验，这就是我们的小程序的一个口号。其实相比外围APP或者混合应用或者原生应用，它都有很明显的优点，性能跟原生应用一样快，但是我的跨平台能力、开发成本又跟H5一样低，这种就是把两者的优点都全部综合起来，帮助大家更好的实现企业移动化的效果。而且大家知道，原生程序是很难实现热更新的，如果我要更新一个程序还要通过应用商店，通过安装一个新版的APP进行实现。但是通过企业小程序可以实现热更新，而且体验还非常好，所以它能实现H5热更新的好处。

 

最后再回顾一下我们的移动适配的能力，过去我们把企业PC端的应用通过自动适配的方式，适配到移动端。这是比亚迪的例子，我们帮助他进行适配移动化。大家知道移动化有很多问题，我们也是通过改造浏览器内核的方式，我们让PC端的应用到移动端手机上的渲染页面的时候，我自动变成手机端的样式。这个是我们适配出来的效果，大家可以看一下，左边是PC端的应用，右边是手机端界面的效果，这个不需要原系统做任何改造，也不需要原系统提供任何API，通过浏览器自动化的渲染就能得到这个效果。这个也是大大加快企业移动化的进程，大家想想这些系统包括弹窗的功能都可以很好的变成整个移动端的体验。这些系统要开发API，要改造系统，花的代价是非常高的。

 

这是航空领域的一个案例，很复杂的图表我们都能变成移动端界面的效果，这是SAP的系统，你可以看到这是一家上市的服装企业，可以看到适配出来的效果其实是非常好看的、非常现代的。我们还有很多的客户，在座各位也有我们不少的各位，感谢各位对我们的支持。

 

最后我总结一下，其实企业建设应用平台一直都是由点到面的过程，PC时代大家先是开发软件，后来大家觉得一个个软件太麻烦了，维护起来很困难，所以通过浏览器+Web的方式来做。到了移动时代，一开始是开发单系统APP，发现手机上APP越来越多，就做一个移动门户以H5的方式来开发。但是其实大家从更大的维度看，今天PC和移动又变成了一个单点，没有很好的把PC和移动综合起来整体来看这个问题。而我们红芯想做的就是我们把PC+移动+云整个体系看成一个整体去建设这套系统，我们帮你建设了一个跨设备应用平台，我们帮你解决所有的安全问题，这样其实你只要管你的业务逻辑就行了，剩下所有其它的跨平台问题、安全问题我们通通都帮你解决掉。

 

这是我们未来的整个架构图，大家可以看到，我们云适配原来一直是做应用开发的，如何实现快速的应用开发。我们今年红芯安全做更多的关于安全方面的东西，未来我们还会加入更多的智能化的东西，我们能让你的应用横跨所有设备，因为未来肯定是一个万物互联的时代，所有的设备都支持，包括未来要物联网、VR/AR都可以通过H5的方式、浏览器渲染的方式来解决。

 

这个是讲为什么我们是自主的浏览器内核，大家可以看到浏览器内核的架构，一共有4个层级。普通浏览器内核就是左边这个，大家看到右边我们对浏览器内核做了很多改造，唯一中间解析层没有做任何改造，因为解析层你要遵循W3C的标准，必须要符合标准，所以改造的意义不大，剩下的层级全部做了改造。针对你的安全、针对企业办公效率，做了很多创新。

 

最后我用这张PPT总结一下，我们做一家企业，我回国创业很大的一个心愿，我不想做Make in China的公司，我希望做真正有自己的技术、真正中国原创的、能走向世界的技术，所以定位是Invented In China。我们需要自主创新的技术掌握在中国人手里，所以也请在座各位CIO支持一下我们的中国梦，谢谢大家!