信息安全需講求收支平衡

技術的發展和變革在給商業帶來活力的同時，也使得企業面臨的業務風險越來越大。商業環境變幻莫測，企業進行信息風險管理的方式能否跟得上業務變化的速度？隨著科技不斷創新，企業如何有效保護信息安全？就這些熱點問題，近日，本報總編輯孫定與EMC公司執行副總裁、EMC信息安全事業部RSA全球總裁亞瑟#8226;科維洛（Arthur W. Coviello）進行了深入探討。

信息安全支出

不能亡羊補牢

高昂的信息安全支出總是亡羊補牢，因為他們不是整體地看待風險。安全支出越來越多，但安全性也越來越差，企業需要把握安全支出增長和有效安全的平衡。

孫定: 隨著信息技術和互聯網技術的發展，企業面臨的安全威脅也越來越多。在這樣的背景下，企業的信息保護是不是一種“道高一尺，魔高一丈”的現狀？

亞瑟#8226;科維洛: 確實，信息威脅是無處不在的。當前，IT環境越來越開放、互聯性越來越強、基于服務的架構層出不窮，正是由于開放性和互聯性的越來越強，企業的靈活性和生產率得到了極大的提高。

而且就整體而言，企業對信息安全的支出是不斷增加的。IDC數據表明，2001年的企業整體IT支出中，安全方面的支出占1.5%，達到了150億美元; 2006年這一數字變成了3%，為350億美元; 2009年預計將達到5%，為550億美元。

但是技術所帶來的開放性在給我們帶來方便的同時，也為犯罪分子帶來了可乘之機，企業所受到的安全威脅也越來越大。2001年，安全投入只占IT投入1.5%的時候，當時還沒有什么網上欺詐手段; 2003年和2004年，網上欺詐和釣魚事件越來越多; 2005年～2007年，還出現了很多惡意軟件。現在，每一天都有極其復雜的木馬病毒被研發出來，犯罪的技巧越來越復雜，而且是以技術和欺詐手段相結合的形式。我認為2009年，木馬病毒可能會更復雜，并以組合形式進行網上欺詐。

所以，有多少商界的領導人認為跟2001年相比，信息是更安全了？答案是零。高昂的信息安全支出總是亡羊補牢，因為他們不是整體地看待風險。安全支出越來越大，但是安全性也越來越差，我們需要把握支出增長和有效安全的平衡。

孫定: 問題確實很復雜。現在中國用戶普遍存在一個情況，IT投資越來越大，但是IT投資的成效并不能以提高多少生產率、減少多少人工成本計算，項目很難獲得投資回報比的數據。由于安全投資效益不是很明顯，因此不容易獲得CEO的重視。RSA有沒有這樣的案例，比如增加安全方面的投資以后，平均能減少百分之多少的損失？投資安全效果怎么評估？

亞瑟#8226;科維洛: 我從兩個方面回答您這個問題。第一，RSA有一個專門的防網絡欺詐服務; 第二，在網絡銀行方面，RSA有身份認證套件產品。比如說現在網絡銀行出現了這么高的欺詐率，但通過部署我們的反釣魚軟件和反木馬技術（包括身份認證技術、交易監控產品等）以后，用戶就能知道欺詐率下降了多少。

至于防數據丟失這一塊，可能計算投資回報或者精確的回報率稍微困難一點。不過我舉一個例子稍微說明一下，假設你是一個房地產開發商，建一個特別大的賓館，你建的賓館肯定不能沒有空調或者通風系統吧？而且你不會計算空調等系統的投資回報，因為像這樣的投資雖然不能直接算出來投資回報，卻沒法拋棄，它是一個支撐系統。

孫定: 既然如此，企業在構筑自己的安全體系的時候，必須遵循哪些原則來進行？如何才能確保自己的安全措施切實有用？

亞瑟#8226;科維洛: 我覺得對企業來說，第一步要找到最有價值的信息，然后再來研究更好地保護這些信息。

我很重視平衡。現在，一方面安全支出越來越多，另一方面企業受到的安全威脅和損失卻越來越大。必須在這兩者之間取得一個平衡。為什么支出這么多卻沒有達到滿意的效果呢？一個是攻擊越來越復雜，第二是錢沒有花在關鍵的風險上，也就是沒有花到最關鍵的需要保護的這些信息上。

因此，IT安全支出一定要緊緊圍繞著最核心的風險，要先定義清楚業務風險在哪里，再進行IT安全支出。只有通過這個方式，才能真正全方位地提供安全解決方案，而且才能真正有效地防止損失。

金融危機源于風險管理缺失

金融風暴之所以會發生，關鍵在于企業對金融創新沒有施加適度的風險管理。如果我們有一個適當的業務風險管理方案，再加上自動化的IT管理策略，兩者相結合，就有可能給企業提出預警，幫助企業控制風險。

孫定: 中國目前有等級保護的政府政策，也試圖幫助用戶識別出關鍵風險，按照關鍵數據重要性的不同給予不同的保護措施，但是這很難操作，什么樣的數據算重要？數據丟失了會有什么風險？ RSA是不是有專業的咨詢服務來幫助用戶評估風險，確定什么樣的數據資產是核心資產？

亞瑟#8226;科維洛: 在美國也有類似的法規，比如說美國有非常嚴格的薩班斯方案，它規定財務信息是必須嚴格保護的重要信息。RSA提供的產品，就能自動化地幫助企業進行分析，告訴企業決策者什么是經營類財務信息，如何去滿足政府信息保護政策中對關鍵信息的定義。中國政府制訂的等級保護的政策，和美國的情況非常類似，我們的產品也能滿足中國企業用戶的需要。

孫定: 現在全球都陷入了金融危機的泥淖之中，在這個大環境下，許多企業都削減了自己的IT預算，甚至部分企業不得不停止了創新的步伐。在信息風險管理領域，企業安全投入會不會也出現相應削減？

亞瑟#8226;科維洛: 其實，金融風暴之所以會發生，關鍵在于企業對金融創新沒有施加適度的風險管理。這個風險指的是整個業務的風險。由于金融衍生產品的創新過于復雜，從而偏離了傳統產品的商業價值。如果我們有一個適當的業務風險管理方案，再加上自動化的IT管理策略，兩者相結合，就有可能給企業提出預警，幫助企業控制風險。在過去10年里我們所取得的生產力上的提高，正是由業務的創新和承擔適當的風險所實現的。我所擔心的是，這場金融危機可能會引發企業對業務創新采取消極的態度，使得企業越來越不愿意創新，這就會使我們面臨的經濟問題雪上加霜。

孫定: 那么，目前的金融危機對RSA 2009年的業務會不會造成影響。RSA是否下調了2009年的業務預期？

亞瑟#8226;科維洛: EMC是我們的母公司，目前RSA和EMC并沒有對2009年的預期做出什么改變。當然，現在有許多的數據表明，2009年的IT支出會整體下降，安全方面的支出當然也會有所下降。但是由于安全支出在IT支出中占著非常重要的位置，所以我覺得我們受的影響比較小。我們所贏得的業務主要是創新型的服務，比如我們能夠幫助各大銀行提升網銀業務安全性、降低交易成本，從而幫助銀行增強應對金融危機的信心。

此外，RSA有25%～30%的業務來自于金融行業公司客戶。我相信這些金融公司經過這場危機后，會更加重視安全的投入，而不再像過去那樣，把大量資金投入到構建內部的架構和流程上。

布局中國市場

監管機構應該更多地關注實現的目標和成果，而不是提出一個非常詳細的、像處方似的監管方式，從而使得工作流程更復雜。

孫定: 在你看來，中國在這場金融危機中受到的沖擊有多大？RSA在中國的業務是否也因金融危機有所調整？

亞瑟#8226;科維洛: 我首先要祝賀中國的監管機構采取了很好的監管措施。不過在我看來，監管機構應該更多地關注實現的目標和成果，而不是提出一個非常詳細的、像處方似的監管方式，使得工作流程更復雜。無論是中國還是其他國家，業務管理都應該與合理的政府監管相結合，在金融創新過程中受益。我們必須把金融創新和它所實現的價值聯系在一起，而不能過度偏離。

現在，RSA在中國業務發展得非常快，我們目前要做的主要是維持現在的發展速度。我此次來中國，就是想了解更多的客戶需求，從而為他們提供更好的解決方案。其實，整個亞洲經濟發展得很迅猛，我們未來會增加在亞洲地區的投入。

孫定: 2008年對中國是很不平凡的一年。中國在經歷了四川地震和北京奧運會之后，提出了社會服務型的信息化建設目標。那么，RSA的信息安全技術將如何應用于中國社會新形勢下的信息建設之中？

亞瑟#8226;科維洛: 在美國和歐洲幾個國家，RSA技術被用來服務于大眾，也就是保護消費者的信息。我們的產品也幫助這些國家促進大眾與政府之間的網上互動，讓大眾更多地使用網上政務所提供的各種各樣的服務。這些經驗能給中國一些借鑒。只要我們有一個合適的驗證體系和一系列的信息安全技術，我們就能幫助中國—無論是當地政府還是中央政府—在提供政務服務時都會有一個很強的信息管理系統，我們的數字保護技術也可以幫助政府監控信息的流動。

孫定: 電信行業是信息風險管理技術服務的一個重要市場。2008年，中國啟動了電信重組，三大運營商形成了全業務競爭的格局。RSA的產品對運營商之間的差異化競爭能提供什么樣的幫助？

亞瑟#8226;科維洛: 電信行業是一個特殊的行業。一方面，RSA能夠幫助電信行業構建內部的信息安全架構，比如提供我們的身份認證產品、數據存儲的全線管理等。電信行業公司業務交易量非常大，我們的信息安全管理器能夠自動幫助他們分析登錄的信息，這對電信公司是非常有價值的。此外，電信行業業務也在不斷創新，除了提供數據、話費的業務，也能幫助用戶通過電信的渠道購買機票，或者進行娛樂活動的訂票等。這些都牽扯到信用卡交易，甚至會引發網上欺詐和盜竊，這就要求電信公司的內部信息基礎架構能夠滿足這些新型業務的要求，RSA的產品就能在身份認證、數據丟失保護方面提供很好的管理。

另一方面，電信公司也能成為RSA的合作伙伴。因為現在電話不再是簡單的溝通工具了，而更多地會發展成為一個掌上電腦，我們也能幫助電話成為身份驗證的工具。我們可以借助電信的基礎架構，通過電信的渠道對網銀交易進行身份認證，從而能夠幫助我們實施信息安全管理。

采訪手記

學者型CEO

僅僅在2008年，亞瑟#8226;科維洛就來了兩次中國。第一次是在年初、春節之前，他來到紫禁城。那時候，他說: 紫禁城作為中國古代皇宮，是安全的象征。高高的宮墻是皇帝和宮廷財產安全的保障，正像信息安全界曾經的“邊界安全”; 第二次是在年底，他登上了長城。這一次，他說，長城在中國的古代曾經是防御的象征，也是“邊界安全”的真實寫照，傳統的邊界安全已經無法實現對流動信息的全方位的、有效的信息防護。

在我看來，這位CEO的思維縝密、高瞻遠矚。他是少有的在接受采訪中，很少談及自己公司業務的總裁之一; 他喜歡用大量的比喻和數據，讓你心悅誠服地接受他的觀點; 如果你不知道他的身份，只是聽過他的演講，你可能更會把他當成一個任職高校的學者。

不過現實上，亞瑟#8226;科維洛卻又是一個出色的管理者。從1995年加入RSA信息安全公司之后，他將RSA公司的收入從1995年的2500萬美元提升到2007年的5億美元。RSA的優秀，使得在2006年，EMC以21億美元的價格將它收入囊中。對RSA公司的收購價格，遠遠超過了以往EMC購買的任何一家安全公司。而他，也成為EMC的執行副總裁。

現在，兩家公司的整合已經完成，不過在亞瑟#8226;科維洛的眼里，安全的形勢卻越來越嚴峻了。他現在考慮的，是如何使得企業的安全體系更好地為業務創新服務，如何掌握風險和管理之間的平衡。（文/黃智軍）

總裁 寄語

創新是擺脫金融危機的惟一出路

無論是大規模的行業，還是其他各行各業，都必須學會掌握風險與管理之間的平衡關系，否則就不得不面臨兩個嚴重的后果:

第一個嚴重的后果就是不能良好地管理風險，從而給企業的收入和經營結果帶來影響。過去幾個月的金融風暴中，我們已經顯而易見地看到了這一點; 第二個嚴重后果是，企業將會越來越不愿意進行業務創新和拓展業務發展，這主要是害怕遭遇失敗、或者是過于嚴厲的監管環境所致。其實，擺脫現有的金融危機的惟一出路就是創新，各國經濟學家都認為，新的產品、服務和開展業務的新方式是我們能夠恢復經濟繁榮的最佳渠道。而如果創新是未來開展業務的最佳渠道，我們就必須要改變對待風險的理念。

具體到如何構建安全體系，我認為，安全問題應該從整體架構角度考慮，要從整體IT投入的回報來計算它的回報。舉一個例子: 假設你是一個汽車制造廠商，你會不會在汽車還沒有裝載剎車系統時讓它出廠呢？會讓客戶到處撞車再去裝剎車嗎？你當然不會這么做。剎車的目的是什么，是讓車速變慢，甚至讓車停下來，但正是因為有了剎車，你才有信心把車開得很快。這就好比企業業務創新，必須要有良好的IT架構，才能更好地創新。正是有了安全方面的投資，企業才能有更多的信心去承擔一些風險。