技術(shù)的發(fā)展和變革在給商業(yè)帶來(lái)活力的同時(shí)，也使得企業(yè)面臨的業(yè)務(wù)風(fēng)險(xiǎn)越來(lái)越大。商業(yè)環(huán)境變幻莫測(cè)，企業(yè)進(jìn)行信息風(fēng)險(xiǎn)管理的方式能否跟得上業(yè)務(wù)變化的速度？隨著科技不斷創(chuàng)新，企業(yè)如何有效保護(hù)信息安全？就這些熱點(diǎn)問(wèn)題，近日，本報(bào)總編輯孫定與EMC公司執(zhí)行副總裁、EMC信息安全事業(yè)部RSA全球總裁亞瑟#8226;科維洛（Arthur W. Coviello）進(jìn)行了深入探討。

信息安全支出

不能亡羊補(bǔ)牢

高昂的信息安全支出總是亡羊補(bǔ)牢，因?yàn)樗麄儾皇钦w地看待風(fēng)險(xiǎn)。安全支出越來(lái)越多，但安全性也越來(lái)越差，企業(yè)需要把握安全支出增長(zhǎng)和有效安全的平衡。

孫定: 隨著信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，企業(yè)面臨的安全威脅也越來(lái)越多。在這樣的背景下，企業(yè)的信息保護(hù)是不是一種“道高一尺，魔高一丈”的現(xiàn)狀？

亞瑟#8226;科維洛: 確實(shí)，信息威脅是無(wú)處不在的。當(dāng)前，IT環(huán)境越來(lái)越開(kāi)放、互聯(lián)性越來(lái)越強(qiáng)、基于服務(wù)的架構(gòu)層出不窮，正是由于開(kāi)放性和互聯(lián)性的越來(lái)越強(qiáng)，企業(yè)的靈活性和生產(chǎn)率得到了極大的提高。

而且就整體而言，企業(yè)對(duì)信息安全的支出是不斷增加的。IDC數(shù)據(jù)表明，2001年的企業(yè)整體IT支出中，安全方面的支出占1.5%，達(dá)到了150億美元; 2006年這一數(shù)字變成了3%，為350億美元; 2009年預(yù)計(jì)將達(dá)到5%，為550億美元。

但是技術(shù)所帶來(lái)的開(kāi)放性在給我們帶來(lái)方便的同時(shí)，也為犯罪分子帶來(lái)了可乘之機(jī)，企業(yè)所受到的安全威脅也越來(lái)越大。2001年，安全投入只占IT投入1.5%的時(shí)候，當(dāng)時(shí)還沒(méi)有什么網(wǎng)上欺詐手段; 2003年和2004年，網(wǎng)上欺詐和釣魚(yú)事件越來(lái)越多; 2005年～2007年，還出現(xiàn)了很多惡意軟件?，F(xiàn)在，每一天都有極其復(fù)雜的木馬病毒被研發(fā)出來(lái)，犯罪的技巧越來(lái)越復(fù)雜，而且是以技術(shù)和欺詐手段相結(jié)合的形式。我認(rèn)為2009年，木馬病毒可能會(huì)更復(fù)雜，并以組合形式進(jìn)行網(wǎng)上欺詐。

所以，有多少商界的領(lǐng)導(dǎo)人認(rèn)為跟2001年相比，信息是更安全了？答案是零。高昂的信息安全支出總是亡羊補(bǔ)牢，因?yàn)樗麄儾皇钦w地看待風(fēng)險(xiǎn)。安全支出越來(lái)越大，但是安全性也越來(lái)越差，我們需要把握支出增長(zhǎng)和有效安全的平衡。

孫定: 問(wèn)題確實(shí)很復(fù)雜?，F(xiàn)在中國(guó)用戶普遍存在一個(gè)情況，IT投資越來(lái)越大，但是IT投資的成效并不能以提高多少生產(chǎn)率、減少多少人工成本計(jì)算，項(xiàng)目很難獲得投資回報(bào)比的數(shù)據(jù)。由于安全投資效益不是很明顯，因此不容易獲得CEO的重視。RSA有沒(méi)有這樣的案例，比如增加安全方面的投資以后，平均能減少百分之多少的損失？投資安全效果怎么評(píng)估？

亞瑟#8226;科維洛: 我從兩個(gè)方面回答您這個(gè)問(wèn)題。第一，RSA有一個(gè)專(zhuān)門(mén)的防網(wǎng)絡(luò)欺詐服務(wù); 第二，在網(wǎng)絡(luò)銀行方面，RSA有身份認(rèn)證套件產(chǎn)品。比如說(shuō)現(xiàn)在網(wǎng)絡(luò)銀行出現(xiàn)了這么高的欺詐率，但通過(guò)部署我們的反釣魚(yú)軟件和反木馬技術(shù)（包括身份認(rèn)證技術(shù)、交易監(jiān)控產(chǎn)品等）以后，用戶就能知道欺詐率下降了多少。

至于防數(shù)據(jù)丟失這一塊，可能計(jì)算投資回報(bào)或者精確的回報(bào)率稍微困難一點(diǎn)。不過(guò)我舉一個(gè)例子稍微說(shuō)明一下，假設(shè)你是一個(gè)房地產(chǎn)開(kāi)發(fā)商，建一個(gè)特別大的賓館，你建的賓館肯定不能沒(méi)有空調(diào)或者通風(fēng)系統(tǒng)吧？而且你不會(huì)計(jì)算空調(diào)等系統(tǒng)的投資回報(bào)，因?yàn)橄襁@樣的投資雖然不能直接算出來(lái)投資回報(bào)，卻沒(méi)法拋棄，它是一個(gè)支撐系統(tǒng)。

孫定: 既然如此，企業(yè)在構(gòu)筑自己的安全體系的時(shí)候，必須遵循哪些原則來(lái)進(jìn)行？如何才能確保自己的安全措施切實(shí)有用？

亞瑟#8226;科維洛: 我覺(jué)得對(duì)企業(yè)來(lái)說(shuō)，第一步要找到最有價(jià)值的信息，然后再來(lái)研究更好地保護(hù)這些信息。

我很重視平衡?，F(xiàn)在，一方面安全支出越來(lái)越多，另一方面企業(yè)受到的安全威脅和損失卻越來(lái)越大。必須在這兩者之間取得一個(gè)平衡。為什么支出這么多卻沒(méi)有達(dá)到滿意的效果呢？一個(gè)是攻擊越來(lái)越復(fù)雜，第二是錢(qián)沒(méi)有花在關(guān)鍵的風(fēng)險(xiǎn)上，也就是沒(méi)有花到最關(guān)鍵的需要保護(hù)的這些信息上。

因此，IT安全支出一定要緊緊圍繞著最核心的風(fēng)險(xiǎn)，要先定義清楚業(yè)務(wù)風(fēng)險(xiǎn)在哪里，再進(jìn)行IT安全支出。只有通過(guò)這個(gè)方式，才能真正全方位地提供安全解決方案，而且才能真正有效地防止損失。

金融危機(jī)源于風(fēng)險(xiǎn)管理缺失

金融風(fēng)暴之所以會(huì)發(fā)生，關(guān)鍵在于企業(yè)對(duì)金融創(chuàng)新沒(méi)有施加適度的風(fēng)險(xiǎn)管理。如果我們有一個(gè)適當(dāng)?shù)臉I(yè)務(wù)風(fēng)險(xiǎn)管理方案，再加上自動(dòng)化的IT管理策略，兩者相結(jié)合，就有可能給企業(yè)提出預(yù)警，幫助企業(yè)控制風(fēng)險(xiǎn)。

孫定: 中國(guó)目前有等級(jí)保護(hù)的政府政策，也試圖幫助用戶識(shí)別出關(guān)鍵風(fēng)險(xiǎn)，按照關(guān)鍵數(shù)據(jù)重要性的不同給予不同的保護(hù)措施，但是這很難操作，什么樣的數(shù)據(jù)算重要？數(shù)據(jù)丟失了會(huì)有什么風(fēng)險(xiǎn)？ RSA是不是有專(zhuān)業(yè)的咨詢(xún)服務(wù)來(lái)幫助用戶評(píng)估風(fēng)險(xiǎn)，確定什么樣的數(shù)據(jù)資產(chǎn)是核心資產(chǎn)？

亞瑟#8226;科維洛: 在美國(guó)也有類(lèi)似的法規(guī)，比如說(shuō)美國(guó)有非常嚴(yán)格的薩班斯方案，它規(guī)定財(cái)務(wù)信息是必須嚴(yán)格保護(hù)的重要信息。RSA提供的產(chǎn)品，就能自動(dòng)化地幫助企業(yè)進(jìn)行分析，告訴企業(yè)決策者什么是經(jīng)營(yíng)類(lèi)財(cái)務(wù)信息，如何去滿足政府信息保護(hù)政策中對(duì)關(guān)鍵信息的定義。中國(guó)政府制訂的等級(jí)保護(hù)的政策，和美國(guó)的情況非常類(lèi)似，我們的產(chǎn)品也能滿足中國(guó)企業(yè)用戶的需要。

孫定: 現(xiàn)在全球都陷入了金融危機(jī)的泥淖之中，在這個(gè)大環(huán)境下，許多企業(yè)都削減了自己的IT預(yù)算，甚至部分企業(yè)不得不停止了創(chuàng)新的步伐。在信息風(fēng)險(xiǎn)管理領(lǐng)域，企業(yè)安全投入會(huì)不會(huì)也出現(xiàn)相應(yīng)削減？

亞瑟#8226;科維洛: 其實(shí)，金融風(fēng)暴之所以會(huì)發(fā)生，關(guān)鍵在于企業(yè)對(duì)金融創(chuàng)新沒(méi)有施加適度的風(fēng)險(xiǎn)管理。這個(gè)風(fēng)險(xiǎn)指的是整個(gè)業(yè)務(wù)的風(fēng)險(xiǎn)。由于金融衍生產(chǎn)品的創(chuàng)新過(guò)于復(fù)雜，從而偏離了傳統(tǒng)產(chǎn)品的商業(yè)價(jià)值。如果我們有一個(gè)適當(dāng)?shù)臉I(yè)務(wù)風(fēng)險(xiǎn)管理方案，再加上自動(dòng)化的IT管理策略，兩者相結(jié)合，就有可能給企業(yè)提出預(yù)警，幫助企業(yè)控制風(fēng)險(xiǎn)。在過(guò)去10年里我們所取得的生產(chǎn)力上的提高，正是由業(yè)務(wù)的創(chuàng)新和承擔(dān)適當(dāng)?shù)娘L(fēng)險(xiǎn)所實(shí)現(xiàn)的。我所擔(dān)心的是，這場(chǎng)金融危機(jī)可能會(huì)引發(fā)企業(yè)對(duì)業(yè)務(wù)創(chuàng)新采取消極的態(tài)度，使得企業(yè)越來(lái)越不愿意創(chuàng)新，這就會(huì)使我們面臨的經(jīng)濟(jì)問(wèn)題雪上加霜。

孫定: 那么，目前的金融危機(jī)對(duì)RSA 2009年的業(yè)務(wù)會(huì)不會(huì)造成影響。RSA是否下調(diào)了2009年的業(yè)務(wù)預(yù)期？

亞瑟#8226;科維洛: EMC是我們的母公司，目前RSA和EMC并沒(méi)有對(duì)2009年的預(yù)期做出什么改變。當(dāng)然，現(xiàn)在有許多的數(shù)據(jù)表明，2009年的IT支出會(huì)整體下降，安全方面的支出當(dāng)然也會(huì)有所下降。但是由于安全支出在IT支出中占著非常重要的位置，所以我覺(jué)得我們受的影響比較小。我們所贏得的業(yè)務(wù)主要是創(chuàng)新型的服務(wù)，比如我們能夠幫助各大銀行提升網(wǎng)銀業(yè)務(wù)安全性、降低交易成本，從而幫助銀行增強(qiáng)應(yīng)對(duì)金融危機(jī)的信心。

此外，RSA有25%～30%的業(yè)務(wù)來(lái)自于金融行業(yè)公司客戶。我相信這些金融公司經(jīng)過(guò)這場(chǎng)危機(jī)后，會(huì)更加重視安全的投入，而不再像過(guò)去那樣，把大量資金投入到構(gòu)建內(nèi)部的架構(gòu)和流程上。

布局中國(guó)市場(chǎng)

監(jiān)管機(jī)構(gòu)應(yīng)該更多地關(guān)注實(shí)現(xiàn)的目標(biāo)和成果，而不是提出一個(gè)非常詳細(xì)的、像處方似的監(jiān)管方式，從而使得工作流程更復(fù)雜。

孫定: 在你看來(lái)，中國(guó)在這場(chǎng)金融危機(jī)中受到的沖擊有多大？RSA在中國(guó)的業(yè)務(wù)是否也因金融危機(jī)有所調(diào)整？

亞瑟#8226;科維洛: 我首先要祝賀中國(guó)的監(jiān)管機(jī)構(gòu)采取了很好的監(jiān)管措施。不過(guò)在我看來(lái)，監(jiān)管機(jī)構(gòu)應(yīng)該更多地關(guān)注實(shí)現(xiàn)的目標(biāo)和成果，而不是提出一個(gè)非常詳細(xì)的、像處方似的監(jiān)管方式，使得工作流程更復(fù)雜。無(wú)論是中國(guó)還是其他國(guó)家，業(yè)務(wù)管理都應(yīng)該與合理的政府監(jiān)管相結(jié)合，在金融創(chuàng)新過(guò)程中受益。我們必須把金融創(chuàng)新和它所實(shí)現(xiàn)的價(jià)值聯(lián)系在一起，而不能過(guò)度偏離。

現(xiàn)在，RSA在中國(guó)業(yè)務(wù)發(fā)展得非?？?，我們目前要做的主要是維持現(xiàn)在的發(fā)展速度。我此次來(lái)中國(guó)，就是想了解更多的客戶需求，從而為他們提供更好的解決方案。其實(shí)，整個(gè)亞洲經(jīng)濟(jì)發(fā)展得很迅猛，我們未來(lái)會(huì)增加在亞洲地區(qū)的投入。

孫定: 2008年對(duì)中國(guó)是很不平凡的一年。中國(guó)在經(jīng)歷了四川地震和北京奧運(yùn)會(huì)之后，提出了社會(huì)服務(wù)型的信息化建設(shè)目標(biāo)。那么，RSA的信息安全技術(shù)將如何應(yīng)用于中國(guó)社會(huì)新形勢(shì)下的信息建設(shè)之中？

亞瑟#8226;科維洛: 在美國(guó)和歐洲幾個(gè)國(guó)家，RSA技術(shù)被用來(lái)服務(wù)于大眾，也就是保護(hù)消費(fèi)者的信息。我們的產(chǎn)品也幫助這些國(guó)家促進(jìn)大眾與政府之間的網(wǎng)上互動(dòng)，讓大眾更多地使用網(wǎng)上政務(wù)所提供的各種各樣的服務(wù)。這些經(jīng)驗(yàn)?zāi)芙o中國(guó)一些借鑒。只要我們有一個(gè)合適的驗(yàn)證體系和一系列的信息安全技術(shù)，我們就能幫助中國(guó)—無(wú)論是當(dāng)?shù)卣€是中央政府—在提供政務(wù)服務(wù)時(shí)都會(huì)有一個(gè)很強(qiáng)的信息管理系統(tǒng)，我們的數(shù)字保護(hù)技術(shù)也可以幫助政府監(jiān)控信息的流動(dòng)。

孫定: 電信行業(yè)是信息風(fēng)險(xiǎn)管理技術(shù)服務(wù)的一個(gè)重要市場(chǎng)。2008年，中國(guó)啟動(dòng)了電信重組，三大運(yùn)營(yíng)商形成了全業(yè)務(wù)競(jìng)爭(zhēng)的格局。RSA的產(chǎn)品對(duì)運(yùn)營(yíng)商之間的差異化競(jìng)爭(zhēng)能提供什么樣的幫助？

亞瑟#8226;科維洛: 電信行業(yè)是一個(gè)特殊的行業(yè)。一方面，RSA能夠幫助電信行業(yè)構(gòu)建內(nèi)部的信息安全架構(gòu)，比如提供我們的身份認(rèn)證產(chǎn)品、數(shù)據(jù)存儲(chǔ)的全線管理等。電信行業(yè)公司業(yè)務(wù)交易量非常大，我們的信息安全管理器能夠自動(dòng)幫助他們分析登錄的信息，這對(duì)電信公司是非常有價(jià)值的。此外，電信行業(yè)業(yè)務(wù)也在不斷創(chuàng)新，除了提供數(shù)據(jù)、話費(fèi)的業(yè)務(wù)，也能幫助用戶通過(guò)電信的渠道購(gòu)買(mǎi)機(jī)票，或者進(jìn)行娛樂(lè)活動(dòng)的訂票等。這些都牽扯到信用卡交易，甚至?xí)l(fā)網(wǎng)上欺詐和盜竊，這就要求電信公司的內(nèi)部信息基礎(chǔ)架構(gòu)能夠滿足這些新型業(yè)務(wù)的要求，RSA的產(chǎn)品就能在身份認(rèn)證、數(shù)據(jù)丟失保護(hù)方面提供很好的管理。

另一方面，電信公司也能成為RSA的合作伙伴。因?yàn)楝F(xiàn)在電話不再是簡(jiǎn)單的溝通工具了，而更多地會(huì)發(fā)展成為一個(gè)掌上電腦，我們也能幫助電話成為身份驗(yàn)證的工具。我們可以借助電信的基礎(chǔ)架構(gòu)，通過(guò)電信的渠道對(duì)網(wǎng)銀交易進(jìn)行身份認(rèn)證，從而能夠幫助我們實(shí)施信息安全管理。

采訪手記

學(xué)者型CEO

僅僅在2008年，亞瑟#8226;科維洛就來(lái)了兩次中國(guó)。第一次是在年初、春節(jié)之前，他來(lái)到紫禁城。那時(shí)候，他說(shuō): 紫禁城作為中國(guó)古代皇宮，是安全的象征。高高的宮墻是皇帝和宮廷財(cái)產(chǎn)安全的保障，正像信息安全界曾經(jīng)的“邊界安全”; 第二次是在年底，他登上了長(zhǎng)城。這一次，他說(shuō)，長(zhǎng)城在中國(guó)的古代曾經(jīng)是防御的象征，也是“邊界安全”的真實(shí)寫(xiě)照，傳統(tǒng)的邊界安全已經(jīng)無(wú)法實(shí)現(xiàn)對(duì)流動(dòng)信息的全方位的、有效的信息防護(hù)。

在我看來(lái)，這位CEO的思維縝密、高瞻遠(yuǎn)矚。他是少有的在接受采訪中，很少談及自己公司業(yè)務(wù)的總裁之一; 他喜歡用大量的比喻和數(shù)據(jù)，讓你心悅誠(chéng)服地接受他的觀點(diǎn); 如果你不知道他的身份，只是聽(tīng)過(guò)他的演講，你可能更會(huì)把他當(dāng)成一個(gè)任職高校的學(xué)者。

不過(guò)現(xiàn)實(shí)上，亞瑟#8226;科維洛卻又是一個(gè)出色的管理者。從1995年加入RSA信息安全公司之后，他將RSA公司的收入從1995年的2500萬(wàn)美元提升到2007年的5億美元。RSA的優(yōu)秀，使得在2006年，EMC以21億美元的價(jià)格將它收入囊中。對(duì)RSA公司的收購(gòu)價(jià)格，遠(yuǎn)遠(yuǎn)超過(guò)了以往EMC購(gòu)買(mǎi)的任何一家安全公司。而他，也成為EMC的執(zhí)行副總裁。

現(xiàn)在，兩家公司的整合已經(jīng)完成，不過(guò)在亞瑟#8226;科維洛的眼里，安全的形勢(shì)卻越來(lái)越嚴(yán)峻了。他現(xiàn)在考慮的，是如何使得企業(yè)的安全體系更好地為業(yè)務(wù)創(chuàng)新服務(wù)，如何掌握風(fēng)險(xiǎn)和管理之間的平衡。（文/黃智軍）

總裁 寄語(yǔ)

創(chuàng)新是擺脫金融危機(jī)的惟一出路

無(wú)論是大規(guī)模的行業(yè)，還是其他各行各業(yè)，都必須學(xué)會(huì)掌握風(fēng)險(xiǎn)與管理之間的平衡關(guān)系，否則就不得不面臨兩個(gè)嚴(yán)重的后果:

第一個(gè)嚴(yán)重的后果就是不能良好地管理風(fēng)險(xiǎn)，從而給企業(yè)的收入和經(jīng)營(yíng)結(jié)果帶來(lái)影響。過(guò)去幾個(gè)月的金融風(fēng)暴中，我們已經(jīng)顯而易見(jiàn)地看到了這一點(diǎn); 第二個(gè)嚴(yán)重后果是，企業(yè)將會(huì)越來(lái)越不愿意進(jìn)行業(yè)務(wù)創(chuàng)新和拓展業(yè)務(wù)發(fā)展，這主要是害怕遭遇失敗、或者是過(guò)于嚴(yán)厲的監(jiān)管環(huán)境所致。其實(shí)，擺脫現(xiàn)有的金融危機(jī)的惟一出路就是創(chuàng)新，各國(guó)經(jīng)濟(jì)學(xué)家都認(rèn)為，新的產(chǎn)品、服務(wù)和開(kāi)展業(yè)務(wù)的新方式是我們能夠恢復(fù)經(jīng)濟(jì)繁榮的最佳渠道。而如果創(chuàng)新是未來(lái)開(kāi)展業(yè)務(wù)的最佳渠道，我們就必須要改變對(duì)待風(fēng)險(xiǎn)的理念。

具體到如何構(gòu)建安全體系，我認(rèn)為，安全問(wèn)題應(yīng)該從整體架構(gòu)角度考慮，要從整體IT投入的回報(bào)來(lái)計(jì)算它的回報(bào)。舉一個(gè)例子: 假設(shè)你是一個(gè)汽車(chē)制造廠商，你會(huì)不會(huì)在汽車(chē)還沒(méi)有裝載剎車(chē)系統(tǒng)時(shí)讓它出廠呢？會(huì)讓客戶到處撞車(chē)再去裝剎車(chē)嗎？你當(dāng)然不會(huì)這么做。剎車(chē)的目的是什么，是讓車(chē)速變慢，甚至讓車(chē)停下來(lái)，但正是因?yàn)橛辛藙x車(chē)，你才有信心把車(chē)開(kāi)得很快。這就好比企業(yè)業(yè)務(wù)創(chuàng)新，必須要有良好的IT架構(gòu)，才能更好地創(chuàng)新。正是有了安全方面的投資，企業(yè)才能有更多的信心去承擔(dān)一些風(fēng)險(xiǎn)。