|
新浪科技讯 11月7日下午15时,EMC执行副总裁兼EMC信息安全事业部RSA全球总裁亚瑟•科维洛(Arthur W. Coviello)做客新浪《总裁在线》与网友展开了交流。科维洛表示,全球黑客已经形成生态系统。
科维洛解释说,黑客已经不是单个作案了,而是形成一个生态系统联合作案,比方说专门有制造、设计这样的一些攻击软件的黑客组织,他们从提出这个攻击理念到写代码,同时有一些信息搜集者,他们从程序网络黑客那里购买一些信息,然后来分析其中比方说信用卡号码,或者是银行账号信息,盗取他人的身份,然后通过黑市的市场把一些信息又卖给那些犯罪分子,再由犯罪分子实施犯罪,比如说通过银行非法盗取钱财等等。所以说现在已经形成了一个链,一个生态系统。
精彩观点:
当时EMC以21亿美元收购了RSA,听起来这个21亿美元好像很多,但实际上RSA在被EMC并购之后,整个的业务增长,还有收入增长都是非常快的,尤其是像比方说今年,整个收入是达到了6亿美元左右。
我认为信息风险管理相较于传统的安全策略,它能够做到一个更科学、更高效的风险评估,这是非常重要的。因为首先,我们的这个安全,尤其是各种支出,包括人的支出,财力的支出等等,应该要放在你最高价值的这个风险方面,这样才最有效。而且第二个,它能够很好的找到这个企业的薄弱环节,然后从解决薄弱环节的方面做好风险管理,所以它使得风险管理更加高效。
全球黑客已经可以说是犯罪分子形成了他们的一个生态系统,他们不是单个作案了,而是形成一个生态系统联合作案。比方说专门有制造、设计这样的一些攻击软件的黑客组织,他们从提出这个攻击理念到写代码,同时有一些信息搜集者,他们从程序网络黑客那里购买一些信息,然后来分析其中比方说信用卡号码,或者是银行账号信息,盗取他人的身份,然后通过黑市的市场把一些信息又卖给那些犯罪分子,再由犯罪分子实施犯罪,比如说通过银行非法盗取钱财等等。所以说现在已经形成了一个链,一个生态系统。
我觉得中国应该是在一个平均水平往上一点点,中国由于网络的使用者网民非常多,而且在互联网上的业务交易、金钱交易等等,量非常的大,所以我们可以看到中国因为这个市场太大了,所以也出现了许多的黑客、欺诈等等一些情况。
以下为访谈实录:
主持人牛立雄:各位新浪的网友大家下午好,我是新浪科技频道的牛立雄。欢迎大家收看《总裁在线》。今天我们请到了一位非常重要的嘉宾,他就是EMC执行副总裁、EMC信息安全事业部RSA全球总裁亚瑟·科维洛先生,今天我们将就信息安全当前面临的一些问题和未来的发展趋势,和大家做一些探讨。先请科维洛先生跟我们在线的网友打个招呼吧。
科维洛:大家下午好。
主持人:各位网友除了通过电脑参与,您还可以通过手机新浪网关注本次聊天全程,手机新浪网的网址是sina.cn。
我们知道RSA在我们IT行业,特别是信息安全领域是一家很有名的公司,但是对于我们大多数普通网友而言,我们还不是特别了解,所以第一个问题先请科维洛先生给我们介绍一下RSA公司。
科维洛:首先,RSA公司是一家全球领先的安全以及认证的一些方面的一个供应商,为全球各大企业,还有包括一些政府机构提供各种各样的安全解决方案。
主持人:我想请教一下科维洛先生,您是什么时候加入RSA公司的?
科维洛:实际上我觉得我在RSA公司有很长一段时间了,我是在1995年的时候加入RSA的。
主持人:能给我们回忆一下当时RSA公司和我们现在的RSA公司有什么不一样的地方?
科维洛:我在1995年加入RSA公司的时候,当时我们每年的收入是2500万美元,但是一直到2007年已经达到了将近6亿美元。当时的员工只有85名,但是现在我们有超过2000名左右的员工,而且我们在全球拥有超过3万家的客户。在1995年的时候,当时还是一家独立的公司,但是在2006年的时候我们被EMC所收购了,EMC是一家全球领先的IT公司,我们现在是EMC旗下的一个全职子公司,所以我们是负责RSA信息安全的部门。
主持人:能给我们介绍一下在信息安全的这么多厂商里面,RSA提供的产品有什么独特的优势吗?
科维洛:我来介绍一下有什么不同。首先,我们RSA公司是一家非常专业的提供信息安全的厂商,而且我们从一开始就从两个方面,一个是身份认证,还有一个是数据保护方面,做一个更好的安全解决方案。而且我们知道原来的一些所谓的安全保护,可能更多的是从桌面,包括比方说有防火墙,反病毒软件等等出发,但是我们是坚持既从保护个人用户的角度,也从保护数据的角度出发。而且我们知道目前全球IT环境也是越来越开放了,所以我们一定要非常好地保护这些数据,以及谁能够访问到哪些数据,等等。
科维洛谈EMC收购RSA
主持人:我们在刚才也聊到,在2006年的时候我们RSA是加入了EMC公司,我记得当时我们的价格是非常惊人的,是21亿美元的价格。当时是出于什么考虑?现在回头来看,两年过去了,您觉得这个决定是正确的吗?
科维洛:感谢您这个问题。首先我认为,原来我非常惊讶,就是很多的一些安全解决方案并没有把它整合和嵌入到架构当中去,这是原来的做法。但是我们可以看到,实际上现在越来越多的人已经重视到了这一点,也就是要把安全整合和嵌入到整个价格当中去,所以EMC也是看到了这个趋势,尤其是现在各种各样的一些web的应用等等,所以做一个更好的安全解决方案,就应该把信息安全等等与架构结合起来。所以当时以21亿美元收购了EMC,听起来这个21亿美元好像很多,但实际上RSA在被EMC并购之后,整个的业务增长,还有收入增长都是非常快的,尤其是像比方说今年,整个收入是达到了6亿美元左右。
主持人:我们知道EMC原来是一个做存储架构的一个公司,RSA是做安全的,我们收购了之后,RSA公司还是作为一个独立的子公司存在,我们在文化上是如何融入EMC文化的?这里边遇到了哪些积极的方面,有哪些消极的方面,您是如何处理的?
科维洛:实际上我觉得对于任何并购,或者是收购,首先要看文化上有没有这种兼容性,如果文化上不兼容的话,就很难形成一股非常好的合力。所以我们觉得非常幸运的是,我们RSA与EMC文化上非常的兼容,而且我们有非常多的一些文化上的共同点,包括比方说双方都有非常好的技术优势,都有很好的声誉,而且我们不光是技术非常优秀,而且我们也是致力于解决客户的问题,更好地为客户服务。所以说包括像并购之后,在技术上为客户服务,以及在做完了这个销售的售后,各种各样一些对客户的服务,我觉得都是做的非常好,这一点在文化上是非常相融洽的。
信息风险管理更科学更高效
主持人:RSA提出一个概念,叫信息风险管理。这个词在我们这个行业里面还是比较新鲜的。科维洛先生能不能给我们讲一讲什么是信息风险管理?
科维洛:首先,我们来给您深入解释一下什么是信息风险管理。我们原来遇到一个问题,很多人认为安全往往就是一些被动的,比如说出了问题再去解决这些问题,而且它有时候也比较不高效,虽然支出在不断增加,但是不安全感越来越强。而且我们也看到现在各种各样的攻击也是变的越来越复杂了,所以我认为安全首先是要与你的企业整个业务目标,以业务为核心出发;第二,要与风险紧密的相关。所以我们就提出了信息风险管理的概念。
主持人:这种信息风险管理,相对我们比较传统的一些安全策略相比,给企业带来了哪些优势呢?
科维洛:我认为信息风险管理相较于传统的安全策略,它能够做到一个更科学、更高效的风险评估,这是非常重要的。因为首先,我们的这个安全,尤其是各种支出,包括人的支出,财力的支出等等,应该要放在你最高价值的这个风险方面,这样才最有效。而且第二个,它能够很好的找到这个企业的薄弱环节,然后从解决薄弱环节的方面做好风险管理,所以它使得风险管理更加高效。
主持人:我们的信息风险管理和业务的创新之间,它们的矛盾是怎么解决的?
科维洛:好的,非常感谢您这个问题。许多人看来,安全和创新好像是一对矛盾体,实际上在我看来,更好的安全管理能够促进创新,能够使创新做的更好。让我来给您举一个日常生活中的例子,比方说想像一下,有一家汽车厂商他在生产汽车的时候,如果他不安装刹车,那么你想想他在计算他的投资回报的时候能算出来多少投资回报呢?他生产的这些汽车如果没有刹车的话,造成无数的车祸,那他根本就谈不上投资回报和创新了。所以其实信息安全就像刹车一样,我们来比喻一下这个刹车,刹车好像看起来跟这个速度是一对矛盾体,因为刹车是使它的速度降下来的,但是正是由于有了刹车,使得开车的人能够更有信心加速,因为有了刹车在那里能够解决你的安全问题。所以你之所以能够开快,能够把车的速度加起来,就是因为有刹车在那里保护。所以我觉得这个比喻就像是信息安全与创新一样,信息安全实际上它是更能够促进创新的。
网络欺诈日益严重
主持人:随着互联网深入到我们生活的方方面面,网络欺诈、网络犯罪也是一个日益严重的问题。科维洛先生能不能给我们分析一下,您观察到的现在全球的网络欺诈发展到了一个什么样的水平?
科维洛:确实您说得很对,现在随着互联网的深入,网络欺诈和网络犯罪也是比较严重。我可以跟您分享一下我们的一些经验。我们有一个专门的防网络欺诈的中心,在这个中心里我们不但有防卫性的一些软件和工具,能够防卫这些黑客,防止他对公司网络进行攻击或者是对消费者,包括一些消费者个人的一些信息进行盗取攻击。同时我们还有主动出击的一些工作,我们主动出击指的是我们这个防欺诈小组的成员,会主动攻入到黑客的一些聊天室等等,打入到黑客内部了解更多的黑客的情况,然后对他们进行打击。
而且我们在过去的几年当中也是关闭了数十万个“钓鱼”网站,我也可以跟您分享一下现在发展到了一个什么程度,目前在全球黑客已经可以说是犯罪分子形成了他们的一个生态系统,他们不是单个作案了,而是形成一个生态系统联合作案。比方说专门有制造、设计这样的一些攻击软件的黑客组织,他们从提出这个攻击理念到写代码,同时有一些信息搜集者,他们从程序网络黑客那里购买一些信息,然后来分析其中比方说信用卡号码,或者是银行账号信息,盗取他人的身份,然后通过黑市的市场把一些信息又卖给那些犯罪分子,再由犯罪分子实施犯罪,比如说通过银行非法盗取钱财等等。所以说现在已经形成了一个链,一个生态系统。
主持人:我们RSA现在有哪些解决方案可能应对这些网络欺诈?
科维洛:我们RSA可以提供全方位的一些产品和解决方案。其中主要是基于两个方面,一个是人的这种身份认证管理,第二个,就是以保护数据为出发点的。我们一切的安全都是以信息为中心,围绕着以保护信息数据为出发点。我们提供一系列的各种各样的产品,其中主要是从以下几个方面:
第一,我们会提供一些咨询的服务,比方说让我们客户了解到他们真正的风险在哪里,漏洞和薄弱环节在哪里,做到更好的分析;
第二,针对目前的风险状况和薄弱的情况,如何更好地制定防范风险和降低风险的措施和政策;
第三,我们会有各种各样设备让他们更好地监控他们的风险,以及包括数据的流动,等等。
我们还有一个专门的RSA防数据损失的这样一个套件,同时我们也会帮助客户做更多的一些信息分类,让他们深入地了解安全信息,执行他们所制定的这种信息安全的政策。我们也推出了许多高科技的技术性产品,包括双因子的身份认证等等,还有配套的防火墙等等,各种各样的一些产品和服务。我们还有信息的访问权限的管理软件,我们还可以做到非常好的日志的信息管理,而且是跨平台、跨架构的,可以通过日志的平台发现异常的行为,并且可以主动发出报警信号,同时还能进行更好的风险分析报告,可以说是做到一个全方位的,为客户提供信息安全管理方方面面的产品和服务我们都有。
中美网络欺诈异同
主持人:现在我们中国的网民数量也是超过美国了,是全球最多了,并且中国网民很多人都特别年轻。据您观察,我们在中国的网民对网络欺诈方面有什么跟美国不一样的地方?
科维洛:我觉得其实中国的网民跟国外的,包括美国的网民有许多的相似性。首先,大多都是年轻人,而且喜欢用网络来进行社交、交友的活动,而且年轻人有一个共同的特点,就是比较无所畏惧,所以我给他们一个建议,年轻的网民,包括中国的网民,要有更多的保护自己的信息安全和隐私安全的这样一些意识,提高自己的技术。我也建议,包括你的操作系统,或者是你的各种各样安全防护的这些软件,最好要时时更新,跟得上发展的形势。而且我也给自己的孩子一些这样的建议,因为我自己的孩子现在也是成年了,他们也是经常用社交交友的网络,所以我也告诉他们,你们在进聊天室聊天的时候,或者是把自己的这种个人信息告诉给别人的时候,最好要小心谨慎一点。我觉得应该建立这样的一种安全文化意识,安全文化如果能够建立起来,以保护个人隐私为出发点的这种安全文化建立起来,我觉得这是非常好的,而且我觉得现在这一代的年轻网民应该能做到这一点。
主持人:能跟我们分享一下您观察到的我们中国的企业在信息风险管理方面,和美国有哪些差距?
科维洛:我觉得安全其实,首先各个国家都应该差不太多,所以从地域水平面来看,我觉得是差不太多。但是我觉得垂直来看,就是各个不同的行业,各个不同的领域,还是有一些差异。比方说像金融这个行业,这个垂直行业因为有大量的金钱交易、转账,所以很容易出现一些安全的漏洞和问题,还有包括零售业,因为零售有很多个人的信用卡的信息等等,所以它也牵涉到各种各样的网络欺诈。
从各个国家文化上其实也有一定的差异,比方说像瑞士,我来举一个例子,瑞士人就比较注重安全问题,保护自己的隐私,因为可能与他们国家的这种文化有一定关系,因为瑞士的银行系统一直是比较先进发达的,所以他们在对待个人隐私、个人信息等等方面是比较在意的。而中国,我觉得中国应该是在一个平均水平往上一点点,中国由于网络的使用者网民非常多,而且在互联网上的业务交易、金钱交易等等,量非常的大,所以我们可以看到中国因为这个市场太大了,所以也出现了许多的黑客、欺诈等等一些情况。
但是我觉得各个不同的国家和地域之间的差异不太大,主要是垂直这个行业,取决于这个行业的成熟度如何,复杂度如何,安全防护也会有所不同。
建议中国企业将业务风险与信息安全紧密结合
主持人:您对我们中国企业在做信息风险管理方面有什么建议?
科维洛:如果要我给中国企业关于如何建立信息安全管理方面的建议的话,我就建议一开始一定要把业务风险放在你最关注的首位,一开始我们可以从了解这个企业的业务目标是什么,然后把业务风险跟信息安全一定要紧密的结合起来,不要只谈论信息安全,而忘记业务。接下来就是全面了解了业务风险之后,然后我们就能够建立一个非常全面的、围绕业务风险出发的信息安全系统了。这样的话我们才能够真正的做到让信息安全与业务风险结合起来。我觉得原来有很多企业之所以这方面做的不太好,就是他确实没有太多的从业务风险的角度出发,所以如果要我给建议的话,就是这个建议,要把业务风险和你的信息安全紧密结合。
主持人:目前我们大家都在谈金融危机对各行各业的影响,RSA在这方面,你感觉我们这次的金融危机对RSA的客户有什么影响?对我们自己本身业务的发展会带来哪些负面的影响?
科维洛:首先说到这次金融危机,我觉得金融危机确实它影响的是每一个人,不光是某一部分人。其实这倒没什么,我最担心的是如果在这种金融危机的情况下,如果一个企业不能够很好地管理其风险的话,那么他肯定会损失惨重,尤其在过去的几个月我们也是看到了,如果不能够很好的管理风险,受的损失肯定是非常大的。所以在过去的十年我们可以看到,随着技术的发展,业务的灵活性,生产力都大大提高,但是风险的管理却没有相应的也得到长足的发展和提高。所以我觉得我们正是要利用这样的契机更好地发展信息安全。而且我觉得在目前这种状况下,其实信息安全还有IT方面,关于信息安全的支出对很多企业而言都已经排在一个很重要的位置了,重要性都排的很高,所以我觉得对我们的业务影响会比较小。
主持人:因为时间的关系,我们今天跟科维洛先生就先聊到这儿,非常感谢科维洛先生做客我们新浪,也非常感谢各位网友的参与,谢谢大家。
科维洛:也非常感谢各位,非常高兴今天有机会来到新浪做客,与各位网友能够见面,也希望今后我还能够经常回来与大家见面。
主持人:谢谢。
|
热门资讯
