信息安全需講求收支平衡

技術(shù)的發(fā)展和變革在給商業(yè)帶來活力的同時，也使得企業(yè)面臨的業(yè)務(wù)風險越來越大。商業(yè)環(huán)境變幻莫測，企業(yè)進行信息風險管理的方式能否跟得上業(yè)務(wù)變化的速度？隨著科技不斷創(chuàng)新，企業(yè)如何有效保護信息安全？就這些熱點問題，近日，本報總編輯孫定與EMC公司執(zhí)行副總裁、EMC信息安全事業(yè)部RSA全球總裁亞瑟#8226;科維洛（Arthur W. Coviello）進行了深入探討。

信息安全支出

不能亡羊補牢

高昂的信息安全支出總是亡羊補牢，因為他們不是整體地看待風險。安全支出越來越多，但安全性也越來越差，企業(yè)需要把握安全支出增長和有效安全的平衡。

孫定: 隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，企業(yè)面臨的安全威脅也越來越多。在這樣的背景下，企業(yè)的信息保護是不是一種“道高一尺，魔高一丈”的現(xiàn)狀？

亞瑟#8226;科維洛: 確實，信息威脅是無處不在的。當前，IT環(huán)境越來越開放、互聯(lián)性越來越強、基于服務(wù)的架構(gòu)層出不窮，正是由于開放性和互聯(lián)性的越來越強，企業(yè)的靈活性和生產(chǎn)率得到了極大的提高。

而且就整體而言，企業(yè)對信息安全的支出是不斷增加的。IDC數(shù)據(jù)表明，2001年的企業(yè)整體IT支出中，安全方面的支出占1.5%，達到了150億美元; 2006年這一數(shù)字變成了3%，為350億美元; 2009年預計將達到5%，為550億美元。

但是技術(shù)所帶來的開放性在給我們帶來方便的同時，也為犯罪分子帶來了可乘之機，企業(yè)所受到的安全威脅也越來越大。2001年，安全投入只占IT投入1.5%的時候，當時還沒有什么網(wǎng)上欺詐手段; 2003年和2004年，網(wǎng)上欺詐和釣魚事件越來越多; 2005年～2007年，還出現(xiàn)了很多惡意軟件?，F(xiàn)在，每一天都有極其復雜的木馬病毒被研發(fā)出來，犯罪的技巧越來越復雜，而且是以技術(shù)和欺詐手段相結(jié)合的形式。我認為2009年，木馬病毒可能會更復雜，并以組合形式進行網(wǎng)上欺詐。

所以，有多少商界的領(lǐng)導人認為跟2001年相比，信息是更安全了？答案是零。高昂的信息安全支出總是亡羊補牢，因為他們不是整體地看待風險。安全支出越來越大，但是安全性也越來越差，我們需要把握支出增長和有效安全的平衡。

孫定: 問題確實很復雜?，F(xiàn)在中國用戶普遍存在一個情況，IT投資越來越大，但是IT投資的成效并不能以提高多少生產(chǎn)率、減少多少人工成本計算，項目很難獲得投資回報比的數(shù)據(jù)。由于安全投資效益不是很明顯，因此不容易獲得CEO的重視。RSA有沒有這樣的案例，比如增加安全方面的投資以后，平均能減少百分之多少的損失？投資安全效果怎么評估？

亞瑟#8226;科維洛: 我從兩個方面回答您這個問題。第一，RSA有一個專門的防網(wǎng)絡(luò)欺詐服務(wù); 第二，在網(wǎng)絡(luò)銀行方面，RSA有身份認證套件產(chǎn)品。比如說現(xiàn)在網(wǎng)絡(luò)銀行出現(xiàn)了這么高的欺詐率，但通過部署我們的反釣魚軟件和反木馬技術(shù)（包括身份認證技術(shù)、交易監(jiān)控產(chǎn)品等）以后，用戶就能知道欺詐率下降了多少。

至于防數(shù)據(jù)丟失這一塊，可能計算投資回報或者精確的回報率稍微困難一點。不過我舉一個例子稍微說明一下，假設(shè)你是一個房地產(chǎn)開發(fā)商，建一個特別大的賓館，你建的賓館肯定不能沒有空調(diào)或者通風系統(tǒng)吧？而且你不會計算空調(diào)等系統(tǒng)的投資回報，因為像這樣的投資雖然不能直接算出來投資回報，卻沒法拋棄，它是一個支撐系統(tǒng)。

孫定: 既然如此，企業(yè)在構(gòu)筑自己的安全體系的時候，必須遵循哪些原則來進行？如何才能確保自己的安全措施切實有用？

亞瑟#8226;科維洛: 我覺得對企業(yè)來說，第一步要找到最有價值的信息，然后再來研究更好地保護這些信息。

我很重視平衡?，F(xiàn)在，一方面安全支出越來越多，另一方面企業(yè)受到的安全威脅和損失卻越來越大。必須在這兩者之間取得一個平衡。為什么支出這么多卻沒有達到滿意的效果呢？一個是攻擊越來越復雜，第二是錢沒有花在關(guān)鍵的風險上，也就是沒有花到最關(guān)鍵的需要保護的這些信息上。

因此，IT安全支出一定要緊緊圍繞著最核心的風險，要先定義清楚業(yè)務(wù)風險在哪里，再進行IT安全支出。只有通過這個方式，才能真正全方位地提供安全解決方案，而且才能真正有效地防止損失。

金融危機源于風險管理缺失

金融風暴之所以會發(fā)生，關(guān)鍵在于企業(yè)對金融創(chuàng)新沒有施加適度的風險管理。如果我們有一個適當?shù)臉I(yè)務(wù)風險管理方案，再加上自動化的IT管理策略，兩者相結(jié)合，就有可能給企業(yè)提出預警，幫助企業(yè)控制風險。

孫定: 中國目前有等級保護的政府政策，也試圖幫助用戶識別出關(guān)鍵風險，按照關(guān)鍵數(shù)據(jù)重要性的不同給予不同的保護措施，但是這很難操作，什么樣的數(shù)據(jù)算重要？數(shù)據(jù)丟失了會有什么風險？ RSA是不是有專業(yè)的咨詢服務(wù)來幫助用戶評估風險，確定什么樣的數(shù)據(jù)資產(chǎn)是核心資產(chǎn)？

亞瑟#8226;科維洛: 在美國也有類似的法規(guī)，比如說美國有非常嚴格的薩班斯方案，它規(guī)定財務(wù)信息是必須嚴格保護的重要信息。RSA提供的產(chǎn)品，就能自動化地幫助企業(yè)進行分析，告訴企業(yè)決策者什么是經(jīng)營類財務(wù)信息，如何去滿足政府信息保護政策中對關(guān)鍵信息的定義。中國政府制訂的等級保護的政策，和美國的情況非常類似，我們的產(chǎn)品也能滿足中國企業(yè)用戶的需要。

孫定: 現(xiàn)在全球都陷入了金融危機的泥淖之中，在這個大環(huán)境下，許多企業(yè)都削減了自己的IT預算，甚至部分企業(yè)不得不停止了創(chuàng)新的步伐。在信息風險管理領(lǐng)域，企業(yè)安全投入會不會也出現(xiàn)相應(yīng)削減？

亞瑟#8226;科維洛: 其實，金融風暴之所以會發(fā)生，關(guān)鍵在于企業(yè)對金融創(chuàng)新沒有施加適度的風險管理。這個風險指的是整個業(yè)務(wù)的風險。由于金融衍生產(chǎn)品的創(chuàng)新過于復雜，從而偏離了傳統(tǒng)產(chǎn)品的商業(yè)價值。如果我們有一個適當?shù)臉I(yè)務(wù)風險管理方案，再加上自動化的IT管理策略，兩者相結(jié)合，就有可能給企業(yè)提出預警，幫助企業(yè)控制風險。在過去10年里我們所取得的生產(chǎn)力上的提高，正是由業(yè)務(wù)的創(chuàng)新和承擔適當?shù)娘L險所實現(xiàn)的。我所擔心的是，這場金融危機可能會引發(fā)企業(yè)對業(yè)務(wù)創(chuàng)新采取消極的態(tài)度，使得企業(yè)越來越不愿意創(chuàng)新，這就會使我們面臨的經(jīng)濟問題雪上加霜。

孫定: 那么，目前的金融危機對RSA 2009年的業(yè)務(wù)會不會造成影響。RSA是否下調(diào)了2009年的業(yè)務(wù)預期？

亞瑟#8226;科維洛: EMC是我們的母公司，目前RSA和EMC并沒有對2009年的預期做出什么改變。當然，現(xiàn)在有許多的數(shù)據(jù)表明，2009年的IT支出會整體下降，安全方面的支出當然也會有所下降。但是由于安全支出在IT支出中占著非常重要的位置，所以我覺得我們受的影響比較小。我們所贏得的業(yè)務(wù)主要是創(chuàng)新型的服務(wù)，比如我們能夠幫助各大銀行提升網(wǎng)銀業(yè)務(wù)安全性、降低交易成本，從而幫助銀行增強應(yīng)對金融危機的信心。

此外，RSA有25%～30%的業(yè)務(wù)來自于金融行業(yè)公司客戶。我相信這些金融公司經(jīng)過這場危機后，會更加重視安全的投入，而不再像過去那樣，把大量資金投入到構(gòu)建內(nèi)部的架構(gòu)和流程上。

布局中國市場

監(jiān)管機構(gòu)應(yīng)該更多地關(guān)注實現(xiàn)的目標和成果，而不是提出一個非常詳細的、像處方似的監(jiān)管方式，從而使得工作流程更復雜。

孫定: 在你看來，中國在這場金融危機中受到的沖擊有多大？RSA在中國的業(yè)務(wù)是否也因金融危機有所調(diào)整？

亞瑟#8226;科維洛: 我首先要祝賀中國的監(jiān)管機構(gòu)采取了很好的監(jiān)管措施。不過在我看來，監(jiān)管機構(gòu)應(yīng)該更多地關(guān)注實現(xiàn)的目標和成果，而不是提出一個非常詳細的、像處方似的監(jiān)管方式，使得工作流程更復雜。無論是中國還是其他國家，業(yè)務(wù)管理都應(yīng)該與合理的政府監(jiān)管相結(jié)合，在金融創(chuàng)新過程中受益。我們必須把金融創(chuàng)新和它所實現(xiàn)的價值聯(lián)系在一起，而不能過度偏離。

現(xiàn)在，RSA在中國業(yè)務(wù)發(fā)展得非?？欤覀兡壳耙龅闹饕蔷S持現(xiàn)在的發(fā)展速度。我此次來中國，就是想了解更多的客戶需求，從而為他們提供更好的解決方案。其實，整個亞洲經(jīng)濟發(fā)展得很迅猛，我們未來會增加在亞洲地區(qū)的投入。

孫定: 2008年對中國是很不平凡的一年。中國在經(jīng)歷了四川地震和北京奧運會之后，提出了社會服務(wù)型的信息化建設(shè)目標。那么，RSA的信息安全技術(shù)將如何應(yīng)用于中國社會新形勢下的信息建設(shè)之中？

亞瑟#8226;科維洛: 在美國和歐洲幾個國家，RSA技術(shù)被用來服務(wù)于大眾，也就是保護消費者的信息。我們的產(chǎn)品也幫助這些國家促進大眾與政府之間的網(wǎng)上互動，讓大眾更多地使用網(wǎng)上政務(wù)所提供的各種各樣的服務(wù)。這些經(jīng)驗能給中國一些借鑒。只要我們有一個合適的驗證體系和一系列的信息安全技術(shù)，我們就能幫助中國—無論是當?shù)卣€是中央政府—在提供政務(wù)服務(wù)時都會有一個很強的信息管理系統(tǒng)，我們的數(shù)字保護技術(shù)也可以幫助政府監(jiān)控信息的流動。

孫定: 電信行業(yè)是信息風險管理技術(shù)服務(wù)的一個重要市場。2008年，中國啟動了電信重組，三大運營商形成了全業(yè)務(wù)競爭的格局。RSA的產(chǎn)品對運營商之間的差異化競爭能提供什么樣的幫助？

亞瑟#8226;科維洛: 電信行業(yè)是一個特殊的行業(yè)。一方面，RSA能夠幫助電信行業(yè)構(gòu)建內(nèi)部的信息安全架構(gòu)，比如提供我們的身份認證產(chǎn)品、數(shù)據(jù)存儲的全線管理等。電信行業(yè)公司業(yè)務(wù)交易量非常大，我們的信息安全管理器能夠自動幫助他們分析登錄的信息，這對電信公司是非常有價值的。此外，電信行業(yè)業(yè)務(wù)也在不斷創(chuàng)新，除了提供數(shù)據(jù)、話費的業(yè)務(wù)，也能幫助用戶通過電信的渠道購買機票，或者進行娛樂活動的訂票等。這些都牽扯到信用卡交易，甚至會引發(fā)網(wǎng)上欺詐和盜竊，這就要求電信公司的內(nèi)部信息基礎(chǔ)架構(gòu)能夠滿足這些新型業(yè)務(wù)的要求，RSA的產(chǎn)品就能在身份認證、數(shù)據(jù)丟失保護方面提供很好的管理。

另一方面，電信公司也能成為RSA的合作伙伴。因為現(xiàn)在電話不再是簡單的溝通工具了，而更多地會發(fā)展成為一個掌上電腦，我們也能幫助電話成為身份驗證的工具。我們可以借助電信的基礎(chǔ)架構(gòu)，通過電信的渠道對網(wǎng)銀交易進行身份認證，從而能夠幫助我們實施信息安全管理。

采訪手記

學者型CEO

僅僅在2008年，亞瑟#8226;科維洛就來了兩次中國。第一次是在年初、春節(jié)之前，他來到紫禁城。那時候，他說: 紫禁城作為中國古代皇宮，是安全的象征。高高的宮墻是皇帝和宮廷財產(chǎn)安全的保障，正像信息安全界曾經(jīng)的“邊界安全”; 第二次是在年底，他登上了長城。這一次，他說，長城在中國的古代曾經(jīng)是防御的象征，也是“邊界安全”的真實寫照，傳統(tǒng)的邊界安全已經(jīng)無法實現(xiàn)對流動信息的全方位的、有效的信息防護。

在我看來，這位CEO的思維縝密、高瞻遠矚。他是少有的在接受采訪中，很少談及自己公司業(yè)務(wù)的總裁之一; 他喜歡用大量的比喻和數(shù)據(jù)，讓你心悅誠服地接受他的觀點; 如果你不知道他的身份，只是聽過他的演講，你可能更會把他當成一個任職高校的學者。

不過現(xiàn)實上，亞瑟#8226;科維洛卻又是一個出色的管理者。從1995年加入RSA信息安全公司之后，他將RSA公司的收入從1995年的2500萬美元提升到2007年的5億美元。RSA的優(yōu)秀，使得在2006年，EMC以21億美元的價格將它收入囊中。對RSA公司的收購價格，遠遠超過了以往EMC購買的任何一家安全公司。而他，也成為EMC的執(zhí)行副總裁。

現(xiàn)在，兩家公司的整合已經(jīng)完成，不過在亞瑟#8226;科維洛的眼里，安全的形勢卻越來越嚴峻了。他現(xiàn)在考慮的，是如何使得企業(yè)的安全體系更好地為業(yè)務(wù)創(chuàng)新服務(wù)，如何掌握風險和管理之間的平衡。（文/黃智軍）

總裁 寄語

創(chuàng)新是擺脫金融危機的惟一出路

無論是大規(guī)模的行業(yè)，還是其他各行各業(yè)，都必須學會掌握風險與管理之間的平衡關(guān)系，否則就不得不面臨兩個嚴重的后果:

第一個嚴重的后果就是不能良好地管理風險，從而給企業(yè)的收入和經(jīng)營結(jié)果帶來影響。過去幾個月的金融風暴中，我們已經(jīng)顯而易見地看到了這一點; 第二個嚴重后果是，企業(yè)將會越來越不愿意進行業(yè)務(wù)創(chuàng)新和拓展業(yè)務(wù)發(fā)展，這主要是害怕遭遇失敗、或者是過于嚴厲的監(jiān)管環(huán)境所致。其實，擺脫現(xiàn)有的金融危機的惟一出路就是創(chuàng)新，各國經(jīng)濟學家都認為，新的產(chǎn)品、服務(wù)和開展業(yè)務(wù)的新方式是我們能夠恢復經(jīng)濟繁榮的最佳渠道。而如果創(chuàng)新是未來開展業(yè)務(wù)的最佳渠道，我們就必須要改變對待風險的理念。

具體到如何構(gòu)建安全體系，我認為，安全問題應(yīng)該從整體架構(gòu)角度考慮，要從整體IT投入的回報來計算它的回報。舉一個例子: 假設(shè)你是一個汽車制造廠商，你會不會在汽車還沒有裝載剎車系統(tǒng)時讓它出廠呢？會讓客戶到處撞車再去裝剎車嗎？你當然不會這么做。剎車的目的是什么，是讓車速變慢，甚至讓車停下來，但正是因為有了剎車，你才有信心把車開得很快。這就好比企業(yè)業(yè)務(wù)創(chuàng)新，必須要有良好的IT架構(gòu)，才能更好地創(chuàng)新。正是有了安全方面的投資，企業(yè)才能有更多的信心去承擔一些風險。