RSA全球总裁：云计算或为银行节约大量成本

http://www.dosaas.com  2010-01-29 11:03:18 作者：lcs 来源：saas服务在中国网友评论 0 条

1月26日，EMC公司执行副总裁、EMC信息安全事业部RSA全球总裁亚瑟？W?科维洛接受了媒体群访，在回答和讯的提问时，他表示，银行一直以来他们都是最新技术的拥护者。目前更多的是银行通过把IT架构向云环境、虚拟环境演进，他们希望能够节约以10亿美金为单位的成本。

以下是群访实录：

记者：自从金融危机以来，金融企业对于信息安全的投入变得越来越谨慎了。如何能够以更少的投入保证更高的安全性？从而使企业的信息投入从一个成本中心转化为一个利润中心？

亚瑟？W?科维洛：事实上银行一直以来他们都是最新技术的拥护者。我们看到银行这样一些金融机构，他们其实是一种非常积极的态度去进行技术的集成。因为技术的支撑，所以各种金融票据、工具、交易也变得更加复杂，而且这个交易的速度非常之快。但是我们还应该意识到，其实经济的复苏，技术也会起到非常积极的作用。

我来给大家举一个例子，花旗银行自己雇佣的软件编程人员甚至超过了世界上任何一家软件公司。他们是在软件开发人员方面能雇佣多少就雇佣多少，其实目的也是为了更多的开发基于Web的应用，更快速的推出新的服务。所以这就使得我们可以想像，为了支持这些诸多应用的运行，数据中心所安装的服务器的数量是相当庞大的。我们看到这样的结果有两个方面，一方面数量众多的应用得到了支撑，但是另外一个负面的方面，就是这个基础架构变得越来越复杂，因为要管理、支撑各种各样的应用。其实大家也都非常清楚，造成了巨大IT基础架构维护成本的提升，硬件也需要不断的更新换代，这也是非常大的一部分成本。

我们看到虚拟机和虚拟化技术的出现以及带宽不断的提高就很好的奠定了基础，使得我们可以迎来全新的一种信息架构，也就是云计算。其实你不会听到哪个银行说要把自己的IT部门变成利润中心，而更多的是银行通过把IT架构向云环境、虚拟环境演进，他们希望能够节约以10亿美金为单位的成本。

记者：在企业里面，他们在信息安全方面面临着两难的问题，一个方面就是高投入会给他们带来一些压力，也会带来一些低风险的回报，但是如果低投入的话可能风险就很大，但是现在IT部门在掌握投入方面有一些被动，他们的工作还是有一些压力，我想请教一下您，应该怎么平衡这两方面的关系？

亚瑟？W?科维洛：我们来看一下这个三角（图略，三角形的三个角，最上面是安全，左边是易用性，右边是成本，中间是风险），其实你说的这个两难的境地我们完全同意，这就是三个互相有一点抵触的因素之间的平衡关系，为了确保一定程度最上面的这个是安全的，你需要付出一定程度的成本，但是你要保持非常高水平安全的时候，有的时候会影响到最终用户的易用性。这三个因素之间，也就是这三个关系之间围绕的核心就是风险程度。最上面是安全，左边是易用性，右边是成本，中间是风险，这是三者关系的平衡问题。所以我们如何来平衡解决这个问题呢？我们先从中间点，也就是风险入手，首先我们要去透彻的理解我们企业面临的风险是什么，它的情况是什么，这样的话我们来设定一个正确、适当的要保持和维护的安全档次或者等级。其实我要真正很好的诠释一个所谓在安全方面的投资回报率这个是很少见的，我经常把这个用盖房子来打比方，盖中国大饭店这个楼宇的时候，他们会对照明、供暖以及空调制冷做一个投资回报的计算吗？回答肯定是否定的，这样一个酒店不供暖、不制冷、没有通风设备、不设照明设施怎么可能去运转呢？所以这都是必需的。我们再举一个更加贴切的例子，如果你有一个新的网上业务要铺开，这个网上业务支撑的应用，开发的成本你是要做投入的，还有服务于应用的成本，还有保障应用安全的成本，这些都是必需的部分。

所以当我们在谈如何解释在安全方面的投入回报的时候，我们先要看到底你保障的安全是哪个应用和哪个业务的安全，而不是从安全本身来谈投资回报率。我还是接着用盖房子这个比喻来说下去，首先在新加坡我们知道，对于任何一个楼宇而言，制冷是必需的，但是供暖就绝对不是必需要具备的。所以在新加坡盖房子就能节约成本，因为不需要供暖系统。很简单我们回到这个三角，如果你做的这个业务本身风险不高的话，如果是很小的风险那意味着你的成本就节约了，你需要保障的安全等级是很低的。但是接下来一个问题很自然的就是，如果在新加坡盖楼，我可以在供暖设备上节约钱，但是带来的风险是什么呢？而且我想承认一点，风险的计算评估实际上是一项非常主观的工作。

所以我们一般都会跟客户建议，当你理解自己所面临的风险的时候要从三个方面进行分析。第一如果我们在谈应用或者要保护的业务的时候，它潜在的漏洞在哪里。第二就是这个安全漏洞被利用的概率有多大，当然不完全是依赖于数学公式去计算这样一个概率，其实也要有赖于你个人对于业务掌握的经验和了解，从你的经验来做出个人的判断。第三就是一旦风险发生可能导致的结果。

我们来举一个具体的例子，怎么用这三个方面来分析，可能在你的业务或者应用中存在着几个安全漏洞，但是这些安全漏洞被利用的概率很小，风险一旦发生，导致的结果也不严重，这就意味着你在安全方面，在控制风险方面需要花的成本也可以维持在低的水平。但是如果是另外一种情况，在你的业务中只有一个安全漏洞，但是这个安全漏洞被利用的概率很高，而且一旦这个风险发生的话，给你带来的损失很重大。这个时候你当然在这方面成本的投入是很大的，来保证这个漏洞被利用的概率缩小，控制风险。前两种情况其实我们判断在安全方面投入的成本大小都是很容易的，真正比较棘手的问题就是在我的业务中存在多个安全漏洞，而这些安全漏洞被利用的概率很小，但是一旦被利用，造成的结果非常严重，这个时候怎么办？在这种情况下，尽管安全漏洞被利用的概率很小，但是考虑到它的严重后果，我们仍然需要做大投资来控制风险。

我刚才举的这个例子，还有这三个方面的风险分析因素，可以让你去了解安全和成本之间的一对关系，同样我们也要去进行易用性的评估。我们经常说这个企业要让最终用户使用我们的产品，我们的服务非常容易方便，但是不能以丧失安全、承担风险为代价。其实美国的银行他们把动态令牌还有USB Key（U盾）用于网上银行的例子很少见，并不多见。美国的银行主要用的是基于风险的身份认证，因为美国的这些银行认为，对于他们的客户而言，保证网上银行的易用性是首要的，是非常重要的一件事情。对于这些在美国的银行而言，他们非常幸运，使用我们的风险身份认证，这既是一种有效的安全保障机制，同时又是低成本的。

下面我决定让你们的思考更加艰难一点，我现在要增加一个思考的因素。其实客户对于安全的意识会受到文化的影响，在瑞士银行开展网上银行业务都会给客户发一种类似令牌的物理安全机制的东西。其实从文化角度非常容易去理解，瑞士人都希望给客户一个有形的标识，让大家感觉手里面拿着非常沉甸甸的东西，感觉自己的安全是真正受到保障的，在美国人的文化里面就说，不要担心太多，我们生活在一个非常美丽而安全的国土里。所以大家可以去表示，在美国强调的是易用性，而在瑞士人们是受到了对安全的一种理解的影响。

记者：现在商业银行面对的环境是越来越复杂，不光要面对内在一些内控规范的要求，还要面对一些外部安全的威胁，所以商业银行在面对这种法律法规监管的时候，他们应该怎么去做？应该建立一个什么样的程序？比如说他们是见一个缺陷解决一个缺陷吗？是采取被动信息安全风险管理的机制还是采取某种主动式的风险管理机制？因为现在银行也在进行信息安全的体系建设，我想请教您，商业银行在这一块应该有一个比较前瞻性的采取主动式的信息安全风险管理？还是像我们所说的面对一个威胁或者缺陷就去改造一下？

亚瑟？W?科维洛：事实上我们认为积极主动肯定比被动的方式要好，否则的话，我们打一个比方，马都跑了，你再把马厩的门关上是没有用的。

首先我们来看一下GRC,G是治理，R是风险，C是合规，这三个确实是全球银行当中都非常热门的话题。但是非常不行，很多银行，尤其是美国的银行他们是让车来拉马，而不是马去拉车，什么意思呢？他们把重点放在了最后这个C上，也就是合规。为什么要有一个合规这种要求出现？其实就是为了企业避免风险，你要企业避免风险，企业首先要建立一个适当的企业治理机制，什么叫治理？就是企业做业务的这样一些指导性的条规，风险的评估理解刚才我们用那个三角形已经为大家阐释了。为什么我们说应该让马来拉车，而不要把车放在前面让它来拉马呢？就是如果说你有非常好的企业治理和内部条规管理企业的话，并且你对风险有正确的理解，有降低风险适当的策略，最终带来的结果就是法规遵从。所以我们换一句话来说，如果一个企业有良好的企业治理，有良好的风险控制机制的话，那么其实法律遵从合规就是这两种行为带来的一种非常自然的产物。

这些银行和金融机构之所以在过去一段时间里面临着严重的安全问题，主要是以下三个原因导致的，包括信息量的快速攀升，访问这些信息身份数量的提升以及支持这些信息访问、信息创造旗下基础架构的快速扩张。所以我们说，一个良好的安全架构组成部分就是我们谈到的GRC的策略框架，让它来支持这些身份、信息以及信息基础架构的管理。所以我们在这里谈到的就是能够达到这样的一个效果，正确的人、他能够通过一个可信的架构去访问合适的信息。为了达到这个目的，我们要设计三种控制点，分别是信息控制点、信息基础架构控制点和身份控制点，这些控制点都是由统一的GRC的策略框架管理的。但是你一定要在理解上跟得上，这些控制点都是处在策略框架的大环境之下的，这就是我们经常谈到安全信息事件管理（SIEM），正是这个SIEM,能够让你在整个企业信息基础架构上去收集有关这些控制点的日志信息和事件信息。

我们怎么来理解？我们做了这么多的安全控制点和这么多的策略框架，有SIEM我们才能够做安全审计，SIEM实际上是一个分析型的平台，它对这些日志事件信息进行分析，给我们做的GRC的策略框架提供反馈意见，看我们各个控制点是不是按照既定的这些策略在正常的运转，这就是我们所谈到的企业内部建立的这样一个闭环的安全系统。

记者：我想大概问您一下，2009年中国央行和银监会多次提到了商业银行的信息科技风险问题，2010年中国要实行新的巴塞尔协议，因为这个协议要把信息科技风险作为风险中的重点进行控制，RSA面对这种情况，有怎样的解决方案？

亚瑟？W?科维洛：事实上谈到新巴塞尔协议，其实我们在过去的很多年里已经帮助世界上很多国家的金融机构和银行做了这方面合规的工作，有很多现成的解决方案，也可以为中国的商业银行使用。事实上我想解释一下，中间的这些控制点并不是说所有的产品都是RSA提供，我们提供其中的一些安全控制点，我们拥有的是GRC的这样一个策略框架，而且这个策略框架的好处就是它是一个新的框架，不管是新巴塞尔协定还是中国本土的金融监管条例合规条例都可以进行本土化，用我们这样一个策略框架进行管理。

在今年1月4日我们发布了一个公告，我们正式收购了Archer技术公司，这个公司实际上就是做GRC的策略框架的，同时我们还有RSA本身的产品，是做这方面工作的。在安全市场我们一直以来做得相当成功的业务就是我们的身份识别、身份认证控制节点的产品，也就是SecurityID动态令牌产品，在中国银行（601988,股吧）我们就向他们销售了一千多万这样的产品，我们认为以后在安全市场上，GRC的策略框架将会是我们获得巨大成功的领域。

记者：刚才在谈话当中也谈到了，银行是最新技术的拥护者，很多新的技术银行都会尝试，银行在安全和风险控制方面有非常高的谨慎度，在安全方面要求非常高的用户，对于很新的技术，比如说对于云计算或者虚拟化应该采取什么样的步骤？或者说是不是适合新技术？在国外的情况能不能跟我们分享一下？有没有中国的金融机构可以借鉴的？

亚瑟？W?科维洛：目前在世界上很少看到有银行把他们大部分的架构都搬到云架构上。但是几乎世界上所有的大银行目前都在积极的做准备，在做这样的规划和建设工作，来实现向云计算的过渡。他们这样想的原因也是我刚才谈到的，主要是这样的过渡能够为他们节约大量的资金。对于银行来说，好消息就是通过数据中心的整合和云的建立，他们能够获得比在物理环境下更高级别的虚拟环境的安全。

在这里我想先澄清一点，当我们在谈银行所建立的这些云的时候，我们谈到的这些云架构是私有云而不是公共云。其实这些银行就像是在搭建自己内部的云架构，或者是把这个云外包，让这个系统集成商帮助他们搭建这个云架构，也就是说所有这些都是在银行的控制范围之内的。但是我这里并不是说公共云从内在来讲就具有更大的不安全性，而是说公共云的安全保障机制要比私有云更加的复杂，更难理解。

我们来看一下这种整合的发生，云架构的搭建，尤其是从安全的角度来看。如果大家都认为银行是属于保守型的金融机构，如果他们这么保守的话，为什么这么多的银行非常欢迎并且来积极执行这个云计算和云架构呢？这样的一种看法就像悲观主义者的描述，半杯水在他们的眼里，就说这个杯子有一半是空的。很多人说云架构不安全，所有的东西都在这上面，万一云出了问题就是单点故障，但是我们如果从另外一个乐观的角度来看，我们可以专注于这一个点的安全保障。其实我们认为用一个很好的中文的词"危机"就能够表示这一意思，有危险同时也有机遇。而且这个机会对于我们来说是非常令人兴奋的一个机会，因为我们真正的出现了这种新的计算架构，能够在这个计算架构诞生之初就把安全机制内嵌到这个架构中。事实上我刚才为大家描述的这样一个GRC的安全策略框架，它可以是在企业内部目前的IT架构中去实现，也就是物理架构，也可以在虚拟环境下，就是云架构当中去实现。唯一不同的是，目前我们在这种物理的环境之下，这是为企业搭建的，不管是安全控制点还是策略治理框架，还是SIEM也好，都是附加上去的，就是你的IT架构已经在那里了，我们只是把这些东西后添加上去。原因就是说，我们目前所使用的信息基础架构这些底层组件型的技术都是在复杂的网上攻击形式出现之前就诞生了。

我们还是要回到盖房子的比方上。假设我们盖一个房子，这个房子没有供暖，没有制冷，没有通风设施，突然有一个人一拍脑门说，我们怎么把这些都忘了？这个时候你后加，房子都盖好了，你装上通风管道，再加上供暖的设备还有空调机，其实之前一开始盖房子的时候都内嵌上很容易，但是你再往上添加的时候就很麻烦了。这样的结果是成本高，效率低，而且冷热不均，有的房子这个地方可能会太热，那个地方又会太冷。所以大家可以想像，我们谈虚拟化的技术，如果在这个虚拟化的技术执行诞生的同时，它就已经带了自带的安全策略的管理框架，在虚拟操作系统里面就已经内嵌了，而且里面还内嵌了数据丢失防护的系统，在所有的虚拟机中内嵌了预置信息收集机制的话，效率就会非常高了。另外一个直接的好处，就是在虚拟环境，也就是云环境之下，安全方面的成本低得多。因为安全是内嵌的，所以易用性很高，也就是说它非常容易执行。因为它是内嵌的，不是后来安装的，所以在整个环境之下的这种安全保障是一种非常均匀平衡的结果。其实EMC,也就是我们的母公司，它所拥有的技术和经验确实是在这种云架构的供应方面奠定了一个非常独一无二的基础。因为EMC拥有两家分支子公司，是搭建这样一种安全的云环境不可缺少的技术公司，那就是VMware公司和我们RSA.我们和VMware虚拟机制的这样一种内嵌集成的工作已经开始了，我们现有的技术，也就是这些控制节点的安全技术，还有我们的安全策略执行框架，以及我们的这些SIEM安全信息还有事件管理的技术已经开始和VMware的虚拟化产品进行集成了。

我整个个人的职业生涯都是搞技术的，接触安全是在过去15年，我现在觉得是我事业生涯当中最兴奋的一段时间，因为我们确实面临一个机会，来实现真正正确安全的执行。对于我们客户而言，他们现在仍然没有理解这对他们来说有多重要，但是至少我知道。

记者：中国的安全市场有一个特点，很多黑客包括木马它们是寄生在网游盗号的产业链上，有数据统计95%在中国恶意的攻击是跟网络盗号产业链有关系的，这个情况在国外怎样？是不是也是很普遍的？我想问一下RSA未来在中国主要的发展方向大概是什么样的？

亚瑟？W?科维洛：网络攻击在诞生的初期主要是针对银行这样的金融机构，当时对银行发起攻击很容易立刻让这些黑客们能够到手现金，这是他们非常喜欢的。但是银行现在已经在安保方面非常重视了，而且他们安全防范的机制也越来越复杂，所以黑客觉得对银行发起攻击的成本高了，所以他们就转移目标，对那些更加容易攻击的对象发起攻击，比如说零售企业、政府机构、医院这样一些公立设施，主要是做身份盗窃，通过这些个人身份信息的盗窃，去制造假信用卡，或者是销售这样一些个人身份识别信息去设立假帐户。所以你可以看到，这些黑客或者在线攻击形式也是变得越来越具有创意性，他们甚至是触及到了制造业，比如盗窃一个生产企业新设计的产品原形，或者向制药公司偷取一个新药的配方，就涉及到知识产权盗窃的问题。

对于我们安全公司来说，对消费者进行保护是很困难的，我们其实是要保护那些面向消费者的公司，比如说银行还有网游公司，保护这些企业的信息架构，从而达到保护消费者的目的。所以对于消费者而言，你不能让他们承担更多这方面的责任和义务，而是更多的让他们有这样一些意识的提高。