【信息安全需讲求收支平衡】收支平衡

　　 　　技术的发展和变革在给商业带来活力的同时，也使得企业面临的业务风险越来越大。商业环境变幻莫测，企业进行信息风险管理的方式能否跟得上业务变化的速度？随着科技不断创新，企业如何有效保护信息安全？就这些热点问题，近日，本报总编辑孙定与EMC公司执行副总裁、EMC信息安全事业部RSA全球总裁亚瑟•科维洛（Arthur W. Coviello）进行了深入探讨。
　　
　　信息安全支出
　　不能亡羊补牢
　　
　　高昂的信息安全支出总是亡羊补牢，因为他们不是整体地看待风险。安全支出越来越多，但安全性也越来越差，企业需要把握安全支出增长和有效安全的平衡。
　　孙定: 随着信息技术和互联网技术的发展，企业面临的安全威胁也越来越多。在这样的背景下，企业的信息保护是不是一种“道高一尺，魔高一丈”的现状？
　　亚瑟•科维洛: 确实，信息威胁是无处不在的。当前，IT环境越来越开放、互联性越来越强、基于服务的架构层出不穷，正是由于开放性和互联性的越来越强，企业的灵活性和生产率得到了极大的提高。
　　而且就整体而言，企业对信息安全的支出是不断增加的。IDC数据表明，2001年的企业整体IT支出中，安全方面的支出占1.5%，达到了150亿美元; 2006年这一数字变成了3%，为350亿美元; 2009年预计将达到5%，为550亿美元。
　　但是技术所带来的开放性在给我们带来方便的同时，也为犯罪分子带来了可乘之机，企业所受到的安全威胁也越来越大。2001年，安全投入只占IT投入1.5%的时候，当时还没有什么网上欺诈手段; 2003年和2004年，网上欺诈和钓鱼事件越来越多; 2005年～2007年，还出现了很多恶意软件。现在，每一天都有极其复杂的木马病毒被研发出来，犯罪的技巧越来越复杂，而且是以技术和欺诈手段相结合的形式。我认为2009年，木马病毒可能会更复杂，并以组合形式进行网上欺诈。
　　所以，有多少商界的领导人认为跟2001年相比，信息是更安全了？答案是零。高昂的信息安全支出总是亡羊补牢，因为他们不是整体地看待风险。安全支出越来越大，但是安全性也越来越差，我们需要把握支出增长和有效安全的平衡。
　　孙定: 问题确实很复杂。现在中国用户普遍存在一个情况，IT投资越来越大，但是IT投资的成效并不能以提高多少生产率、减少多少人工成本计算，项目很难获得投资回报比的数据。由于安全投资效益不是很明显，因此不容易获得CEO的重视。RSA有没有这样的案例，比如增加安全方面的投资以后，平均能减少百分之多少的损失？投资安全效果怎么评估？
　　亚瑟•科维洛: 我从两个方面回答您这个问题。第一，RSA有一个专门的防网络欺诈服务; 第二，在网络银行方面，RSA有身份认证套件产品。比如说现在网络银行出现了这么高的欺诈率，但通过部署我们的反钓鱼软件和反木马技术（包括身份认证技术、交易监控产品等）以后，用户就能知道欺诈率下降了多少。
　　至于防数据丢失这一块，可能计算投资回报或者精确的回报率稍微困难一点。不过我举一个例子稍微说明一下，假设你是一个房地产开发商，建一个特别大的宾馆，你建的宾馆肯定不能没有空调或者通风系统吧？而且你不会计算空调等系统的投资回报，因为像这样的投资虽然不能直接算出来投资回报，却没法抛弃，它是一个支撑系统。
　　孙定: 既然如此，企业在构筑自己的安全体系的时候，必须遵循哪些原则来进行？如何才能确保自己的安全措施切实有用？
　　亚瑟•科维洛: 我觉得对企业来说，第一步要找到最有价值的信息，然后再来研究更好地保护这些信息。
　　我很重视平衡。现在，一方面安全支出越来越多，另一方面企业受到的安全威胁和损失却越来越大。必须在这两者之间取得一个平衡。为什么支出这么多却没有达到满意的效果呢？一个是攻击越来越复杂，第二是钱没有花在关键的风险上，也就是没有花到最关键的需要保护的这些信息上。
　　因此，IT安全支出一定要紧紧围绕着最核心的风险，要先定义清楚业务风险在哪里，再进行IT安全支出。只有通过这个方式，才能真正全方位地提供安全解决方案，而且才能真正有效地防止损失。
　　
　　
　　金融危机源于风险管理缺失
　　
　　金融风暴之所以会发生，关键在于企业对金融创新没有施加适度的风险管理。如果我们有一个适当的业务风险管理方案，再加上自动化的IT管理策略，两者相结合，就有可能给企业提出预警，帮助企业控制风险。
　　孙定: 中国目前有等级保护的政府政策，也试图帮助用户识别出关键风险，按照关键数据重要性的不同给予不同的保护措施，但是这很难操作，什么样的数据算重要？数据丢失了会有什么风险？ RSA是不是有专业的咨询服务来帮助用户评估风险，确定什么样的数据资产是核心资产？
　　亚瑟•科维洛: 在美国也有类似的法规，比如说美国有非常严格的萨班斯方案，它规定财务信息是必须严格保护的重要信息。RSA提供的产品，就能自动化地帮助企业进行分析，告诉企业决策者什么是经营类财务信息，如何去满足政府信息保护政策中对关键信息的定义。中国政府制订的等级保护的政策，和美国的情况非常类似，我们的产品也能满足中国企业用户的需要。
　　孙定: 现在全球都陷入了金融危机的泥淖之中，在这个大环境下，许多企业都削减了自己的IT预算，甚至部分企业不得不停止了创新的步伐。在信息风险管理领域，企业安全投入会不会也出现相应削减？
　　亚瑟•科维洛: 其实，金融风暴之所以会发生，关键在于企业对金融创新没有施加适度的风险管理。这个风险指的是整个业务的风险。由于金融衍生产品的创新过于复杂，从而偏离了传统产品的商业价值。如果我们有一个适当的业务风险管理方案，再加上自动化的IT管理策略，两者相结合，就有可能给企业提出预警，帮助企业控制风险。在过去10年里我们所取得的生产力上的提高，正是由业务的创新和承担适当的风险所实现的。我所担心的是，这场金融危机可能会引发企业对业务创新采取消极的态度，使得企业越来越不愿意创新，这就会使我们面临的经济问题雪上加霜。
　　孙定: 那么，目前的金融危机对RSA 2009年的业务会不会造成影响。RSA是否下调了2009年的业务预期？
　　亚瑟•科维洛: EMC是我们的母公司，目前RSA和EMC并没有对2009年的预期做出什么改变。当然，现在有许多的数据表明，2009年的IT支出会整体下降，安全方面的支出当然也会有所下降。但是由于安全支出在IT支出中占着非常重要的位置，所以我觉得我们受的影响比较小。我们所赢得的业务主要是创新型的服务，比如我们能够帮助各大银行提升网银业务安全性、降低交易成本，从而帮助银行增强应对金融危机的信心。
　　此外，RSA有25%～30%的业务来自于金融行业公司客户。我相信这些金融公司经过这场危机后，会更加重视安全的投入，而不再像过去那样，把大量资金投入到构建内部的架构和流程上。
　　
　　布局中国市场
　　
　　监管机构应该更多地关注实现的目标和成果，而不是提出一个非常详细的、像处方似的监管方式，从而使得工作流程更复杂。
　　孙定: 在你看来，中国在这场金融危机中受到的冲击有多大？RSA在中国的业务是否也因金融危机有所调整？
　　亚瑟•科维洛: 我首先要祝贺中国的监管机构采取了很好的监管措施。不过在我看来，监管机构应该更多地关注实现的目标和成果，而不是提出一个非常详细的、像处方似的监管方式，使得工作流程更复杂。无论是中国还是其他国家，业务管理都应该与合理的政府监管相结合，在金融创新过程中受益。我们必须把金融创新和它所实现的价值联系在一起，而不能过度偏离。
　　现在，RSA在中国业务发展得非常快，我们目前要做的主要是维持现在的发展速度。我此次来中国，就是想了解更多的客户需求，从而为他们提供更好的解决方案。其实，整个亚洲经济发展得很迅猛，我们未来会增加在亚洲地区的投入。
　　孙定: 2008年对中国是很不平凡的一年。中国在经历了四川地震和北京奥运会之后，提出了社会服务型的信息化建设目标。那么，RSA的信息安全技术将如何应用于中国社会新形势下的信息建设之中？
　　亚瑟•科维洛: 在美国和欧洲几个国家，RSA技术被用来服务于大众，也就是保护消费者的信息。我们的产品也帮助这些国家促进大众与政府之间的网上互动，让大众更多地使用网上政务所提供的各种各样的服务。这些经验能给中国一些借鉴。只要我们有一个合适的验证体系和一系列的信息安全技术，我们就能帮助中国―无论是当地政府还是中央政府―在提供政务服务时都会有一个很强的信息管理系统，我们的数字保护技术也可以帮助政府监控信息的流动。
　　孙定: 电信行业是信息风险管理技术服务的一个重要市场。2008年，中国启动了电信重组，三大运营商形成了全业务竞争的格局。RSA的产品对运营商之间的差异化竞争能提供什么样的帮助？
　　亚瑟•科维洛: 电信行业是一个特殊的行业。一方面，RSA能够帮助电信行业构建内部的信息安全架构，比如提供我们的身份认证产品、数据存储的全线管理等。电信行业公司业务交易量非常大，我们的信息安全管理器能够自动帮助他们分析登录的信息，这对电信公司是非常有价值的。此外，电信行业业务也在不断创新，除了提供数据、话费的业务，也能帮助用户通过电信的渠道购买机票，或者进行娱乐活动的订票等。这些都牵扯到信用卡交易，甚至会引发网上欺诈和盗窃，这就要求电信公司的内部信息基础架构能够满足这些新型业务的要求，RSA的产品就能在身份认证、数据丢失保护方面提供很好的管理。
　　另一方面，电信公司也能成为RSA的合作伙伴。因为现在电话不再是简单的沟通工具了，而更多地会发展成为一个掌上电脑，我们也能帮助电话成为身份验证的工具。我们可以借助电信的基础架构，通过电信的渠道对网银交易进行身份认证，从而能够帮助我们实施信息安全管理。
　　
　　采访手记
　　学者型CEO
　　仅仅在2008年，亚瑟•科维洛就来了两次中国。第一次是在年初、春节之前，他来到紫禁城。那时候，他说: 紫禁城作为中国古代皇宫，是安全的象征。高高的宫墙是皇帝和宫廷财产安全的保障，正像信息安全界曾经的“边界安全”; 第二次是在年底，他登上了长城。这一次，他说，长城在中国的古代曾经是防御的象征，也是“边界安全”的真实写照，传统的边界安全已经无法实现对流动信息的全方位的、有效的信息防护。
　　在我看来，这位CEO的思维缜密、高瞻远瞩。他是少有的在接受采访中，很少谈及自己公司业务的总裁之一; 他喜欢用大量的比喻和数据，让你心悦诚服地接受他的观点; 如果你不知道他的身份，只是听过他的演讲，你可能更会把他当成一个任职高校的学者。
　　不过现实上，亚瑟•科维洛却又是一个出色的管理者。从1995年加入RSA信息安全公司之后，他将RSA公司的收入从1995年的2500万美元提升到2007年的5亿美元。RSA的优秀，使得在2006年，EMC以21亿美元的价格将它收入囊中。对RSA公司的收购价格，远远超过了以往EMC购买的任何一家安全公司。而他，也成为EMC的执行副总裁。
　　现在，两家公司的整合已经完成，不过在亚瑟•科维洛的眼里，安全的形势却越来越严峻了。他现在考虑的，是如何使得企业的安全体系更好地为业务创新服务，如何掌握风险和管理之间的平衡。（文/黄智军）
　　
　　总裁 寄语
　　创新是摆脱金融危机的惟一出路
　　无论是大规模的行业，还是其他各行各业，都必须学会掌握风险与管理之间的平衡关系，否则就不得不面临两个严重的后果:
　　第一个严重的后果就是不能良好地管理风险，从而给企业的收入和经营结果带来影响。过去几个月的金融风暴中，我们已经显而易见地看到了这一点; 第二个严重后果是，企业将会越来越不愿意进行业务创新和拓展业务发展，这主要是害怕遭遇失败、或者是过于严厉的监管环境所致。其实，摆脱现有的金融危机的惟一出路就是创新，各国经济学家都认为，新的产品、服务和开展业务的新方式是我们能够恢复经济繁荣的最佳渠道。而如果创新是未来开展业务的最佳渠道，我们就必须要改变对待风险的理念。
　　具体到如何构建安全体系，我认为，安全问题应该从整体架构角度考虑，要从整体IT投入的回报来计算它的回报。举一个例子: 假设你是一个汽车制造厂商，你会不会在汽车还没有装载刹车系统时让它出厂呢？会让客户到处撞车再去装刹车吗？你当然不会这么做。刹车的目的是什么，是让车速变慢，甚至让车停下来，但正是因为有了刹车，你才有信心把车开得很快。这就好比企业业务创新，必须要有良好的IT架构，才能更好地创新。正是有了安全方面的投资，企业才能有更多的信心去承担一些风险。