EMC信息安全事業(yè)部RSA全球產(chǎn)品管理與策略副總裁Sam Curry

Sam Curry就經(jīng)濟危機、下一代身份認證技術(shù)、安全運營中心的建立、在線交易安全、數(shù)據(jù)流失以及中國即將實施的C-SOX法案等問題與記者進行了溝通。

Sam Curry強調(diào),RSA與EMC的整合非常成功,未來RSA業(yè)務(wù)重點圍繞“3個I”核心進行,在產(chǎn)品研發(fā)、投資收購兩方面都會繼續(xù)部署。從整個戰(zhàn)略地位來講,中國市場是RSA非常重要的市場,Sam Curry對于RSA在中國市場的成功很有信心。

CNET/ZDNET:RSA總裁曾指出,EMC會持續(xù)投資并確保RSA的業(yè)務(wù)額達到10億美元,您對此怎么看,這個目標是否能夠達到?

Sam Curry:確實10億美元仍然是我們業(yè)務(wù)規(guī)模的目標。而且EMC高層要求我們做好一個規(guī)劃,告訴他們RSA如何實現(xiàn)這個目標。我們現(xiàn)在在做RSA系統(tǒng),就是用戶使用環(huán)境加上互操作性,加強用戶與RSA的互動性,讓用戶可以更好地執(zhí)行他們的安全策略來監(jiān)控自己的IT系統(tǒng)。

我們相信絕對能夠達到10億美元這樣一個業(yè)務(wù)目標,而RSA所帶來的業(yè)務(wù)上的影響其實遠遠超過10億美元本身這樣一個業(yè)務(wù)目標,而且我們會進一步提升EMC的核心業(yè)務(wù)。

CNET/ZDNET:在當(dāng)前的經(jīng)濟形式下,企業(yè)全面削減IT及安全方面的預(yù)算開支,RSA業(yè)務(wù)是否受到經(jīng)濟危機及客戶節(jié)支的影響?

Sam Curry:事實上在經(jīng)濟危機的形勢下,RSA仍完成了去年的業(yè)務(wù)目標。一開始我們非常擔(dān)心,因為有很多主要客戶都來自于金融行業(yè),當(dāng)時有很多客戶一開始說有可能在這方面不能增加預(yù)算了,但到了9、10月份的時候,正是在金融方面遇到麻煩的一些企業(yè)反而愿意找到RSA。

這此企業(yè)以前完全不需要任何這方面的消費,現(xiàn)在轉(zhuǎn)變了觀點,如果只是花一部分的錢來購買這樣一些使用許可,又不需要在基礎(chǔ)設(shè)施方面投入新的費用,并且能降低總成本,這些企業(yè)一方面業(yè)務(wù)目標變了,另外一方面,服務(wù)型軟件這種技術(shù)成熟度已經(jīng)到了相應(yīng)的水平,所以他們來找到RSA。當(dāng)然在這樣的經(jīng)濟環(huán)境下,并不是所有的IT基礎(chǔ)設(shè)施供應(yīng)商都有這樣的幸運,當(dāng)然RSA是相當(dāng)幸運的。

CNET/ZDNET:您剛才提到,在去年下半年經(jīng)濟危機爆發(fā)的情況下,RSA仍完成了去年的銷售、業(yè)績目標,目前來看,經(jīng)濟危機的影響還在蔓延,對于今年的業(yè)務(wù)目標是否會面臨更大的挑戰(zhàn)或壓力?

Sam Curry:因為我們是一家上市公司,所以有關(guān)今年業(yè)績方面不能做太前瞻性的聲明與預(yù)測。但可以說的是,每年根據(jù)上市公司的一些信息披露規(guī)則,我們都會制定一些收入目標和盈利目標,這些目標確實是非常符合當(dāng)年的實際情況,并在我們可以完成的力量范圍之內(nèi)。

但是不同的業(yè)務(wù)情況不一樣,有的業(yè)務(wù)可能是持平的現(xiàn)象,有的業(yè)務(wù)可能遇到一些困難,出現(xiàn)下滑,而有些業(yè)務(wù)會有非??焖俚脑鲩L。我認為達到今年的業(yè)績目標,RSA還是應(yīng)該能夠做到的。

CNET/ZDNET:中國市場目前在RSA全球市場中占有一個怎樣的地位?未來RSA對中國市場會不會有更大的期許或愿景?

Sam Curry:中國經(jīng)濟目前發(fā)展到這樣一個水平,已經(jīng)能夠和美國的經(jīng)濟實力相匹配了。而且在過去幾年,中國經(jīng)濟增長速度是非常迅速的。RSA與EMC的業(yè)務(wù)以及整個行業(yè)的發(fā)展,在中國都是非常迅速的。

中國經(jīng)濟無論是從絕對量來講,還是從過去幾年的增長速度來講,我們展望可預(yù)計的未來,排在世界第二、第三的位置是沒有問題的。從戰(zhàn)略地位角度來說,中國市場是RSA重要的市場,EMC及RSA為了未來的成功,毫無疑問要與中國市場建立必要的業(yè)務(wù)關(guān)系。對于中國市場我們非常有信心,RSA也相信我們在中國市場是能夠致勝獲得成功的。

CNET/ZDNET:RSA并入EMC已經(jīng)有兩年多的時間了,RSA安全產(chǎn)品與EMC存儲系統(tǒng)的在技術(shù)上融合的情況怎樣?RSA信息安全戰(zhàn)略與EMC存儲戰(zhàn)略之間有何關(guān)聯(lián)性?

Sam  Curry:可以說EMC對RSA的收購,以及兩個公司的融合是非常成功的。RSA作為EMC的安全部門,去年創(chuàng)造了銷售業(yè)績最佳的一年??梢哉f整個收購為我們安全業(yè)務(wù)帶來非常積極正面的影響。

RSA的安全技術(shù)不僅涉及身份認證、身份安全方面,還有IT基礎(chǔ)設(shè)施的安全以及信息的安全,都有相對應(yīng)的產(chǎn)品線包括SecurID、enVision、消費者安全防護套件等。通過RSA這樣一個統(tǒng)一安全平臺,將我們安全技術(shù)的DNA提取出來,把它放在EMC的存儲系統(tǒng)上。

可以說,RSA的安全技術(shù)高度集成到EMC的存儲產(chǎn)品之上,而且成為EMC產(chǎn)品銷售的一個宣傳亮點。在這個層次上我們已經(jīng)做得很成功了,我們已經(jīng)有了這方面的經(jīng)驗,知道如何把這個技術(shù)的DNA提煉出來,還想將其應(yīng)用于其他產(chǎn)品,希望把安全技術(shù)作為通用的技術(shù),也能夠應(yīng)用到其他企業(yè)的產(chǎn)品上。

CNET/ZDNET:RSA在新產(chǎn)品的研發(fā)與收購上的態(tài)度是怎樣的?能否透露一下未來新產(chǎn)品線的規(guī)劃,以及即將或者準備收購的一些情況?

Sam Curry:并非所有的安全技術(shù)都是RSA獨立開發(fā)的,有關(guān)新產(chǎn)品的研發(fā)及收購的問題,兩方面都是我們要做的一件必要的工作,一定要滿足不同客戶的需求。這次我來中國主要是詢問客戶的需求,以及他們對RSA提供的產(chǎn)品是否滿意。RSA會有大概兩到三個產(chǎn)品的新版本推出,到底哪些領(lǐng)域的產(chǎn)品是自己開發(fā)的,哪些產(chǎn)品是我們要收購的,現(xiàn)在不能透露這方面的情況。

我可以透露一些RSA戰(zhàn)略方面的方向,這些也都是我們要面臨的選擇。EMC是個投資型的公司,在目前的狀況下,考慮到金融危機及困難的經(jīng)濟形勢,我們所要面臨的決策是,投資是肯定要投資的,同時也應(yīng)該為了未來的成功進行與身份、信息、基礎(chǔ)架構(gòu)相關(guān)的自身產(chǎn)品的開發(fā)。未來RSA在產(chǎn)品研發(fā)、投資收購兩方面都會繼續(xù)。

CNET/ZDNET:RSA一直在強調(diào)業(yè)務(wù)和安全的聯(lián)動關(guān)系,在金融危機的影響下,您認為企業(yè)的業(yè)務(wù)下滑與安全之間有沒有相互的影響?

Sam Curry:以前的安全是了解什么人做了什么工作,如果他們做的這個事情出現(xiàn)了錯誤,我們應(yīng)該如何彌補。我想要強調(diào)的是,安全應(yīng)該是業(yè)務(wù)的一個使能因素,而不是阻礙業(yè)務(wù)進行的障礙性的、抑制性的因素。企業(yè)為什么要安全呢?也是希望安全能夠推動更多的交易、賺取更多的利潤。

其實安全并不是說讓企業(yè)購買更多的基礎(chǔ)設(shè)施,他們希望能夠有安全的服務(wù)推廣,能夠降低風(fēng)險、掌控風(fēng)險,這就是我們所說的在安全中產(chǎn)生的變化。安全從了解人們做了什么事情,到了安全推動新的服務(wù),推動人們能夠做新的業(yè)務(wù)。

CNET/ZDNET:目前RSA所關(guān)注的業(yè)務(wù)重點有哪些?

Sam Curry:RSA核心重點關(guān)注在三個方面,我總結(jié)為“3個I”。第一個I是身份(Identity),要降低身份風(fēng)險;第二個I是信息(Information),要降低信息風(fēng)險;第三個I是IT基礎(chǔ)設(shè)施(Infrastructure)??蛻糍徺I了大量的IT基礎(chǔ)設(shè)施,希望更好地利用到這些信息,RSA要做的就是要降低與3個I相關(guān)的風(fēng)險。

CNET/ZDNET:在RSA以信息為核心的業(yè)務(wù)架構(gòu)下,安全運營管理以及安全服務(wù)占有怎樣的位置?在三個重點關(guān)注的戰(zhàn)略之下(三個I),具體的業(yè)務(wù)增長點在哪里?

Sam Curry:如果完全從產(chǎn)品或者技術(shù)的角度來說,這3個I實際上是互相交織的,并不是完全分開的。但是如果從業(yè)務(wù)的角度來說,信息方面的業(yè)務(wù)規(guī)模是中等的,但歷史是最長的;身份管理,從年頭上來說是排名第二的,但從業(yè)務(wù)規(guī)模來說,身份管理是我們做得最大的,大家可能對RSA的令牌、自適應(yīng)性等身份認證技術(shù)都非常熟悉;基礎(chǔ)設(shè)施方面是RSA最新的、也是增長最快的業(yè)務(wù)。

談到安全服務(wù),把安全作為一種服務(wù)來提供,事實上我們可以說是在安全行業(yè)做得最大的一家廠商,去年在這方面的收入是6000萬美元。另外一種,就是軟件作為一種服務(wù)來提供,比如Web服務(wù)這種方式。例如EMC提出的云計算,針對在線信息存儲服務(wù),我們也提供保障安全的安全服務(wù)。

CNET/ZDNET:您如何看待下一代身份認證技術(shù)?能否介紹一下RSA推出的Security Operations 2.0概念?

Sam Curry:身份認證2.0,也就是身份管理,談到身份2.0,或者稱為身份認證2.0的時候,其實一個重要的方向是讓終端用戶更多地掌控自己的身份。也就是說,我們把這樣一種身份掌控的力量分散化了。要做這樣一項工作的話,信任是非常重要的。

整個身份認證2.0就是使身份認證權(quán)利的分散化,不是說把身份認證給某一個終端用戶,而是讓終端用戶自己來拿,要做到這一點,必須要掃除安全方面的障礙,如果沒有足夠的安全性,用戶是不能采用一種安全方式的,如何能夠掃除安全隱患是很關(guān)鍵的前提。

Security Operations 2.0其中包含兩個層面。第一個層面是下一代的安全技術(shù),第二個層面是下一代安全運營中心的演進和發(fā)展 ,對于企業(yè)而言,在安全運營方面如何建立合適層次的監(jiān)控、審計及法規(guī)遵從。

CNET/ZDNET:從RSA的角度來講,怎么建立安全運營中心?身份認證2.0對于企業(yè)特別是中國企業(yè)而言,能提供什么樣的幫助?

Sam  Curry:身份認證實際上是與消費者相關(guān)的一方面,也就是消費者使用互聯(lián)網(wǎng)這方面。而安全運營中心是涉及到企業(yè)級的業(yè)務(wù)服務(wù)。以前當(dāng)我們談到安全運營中心的時候,想到的是在一個大玻璃的機房里,有很多的顯示監(jiān)控器,通過它監(jiān)控整個IT基礎(chǔ)設(shè)施的運營狀況。但是現(xiàn)在整個情況發(fā)生了演進,安全運營中心作為一種業(yè)務(wù)服務(wù),必須有幾點必備的要素。

第一點,必須具備匯報的功能,第二點,必須設(shè)立適當(dāng)?shù)呐涮坠ぷ髁鞒?。最終能使整個IT基礎(chǔ)設(shè)施的運營具備透明性。也就是說,能夠讓人們掌握一些統(tǒng)一的方式和手段去監(jiān)督,并且非常方便地獲取企業(yè)IT服務(wù)。

當(dāng)我們談安全運營價值的時候,最主要是看網(wǎng)絡(luò)的價值對于用戶有多大。在中國,我們可以看到網(wǎng)絡(luò)價值對中國而言是相當(dāng)之大的,比如像Web 2.0。在世界各地,從法規(guī)監(jiān)管的角度來說,人們已經(jīng)深受法規(guī)監(jiān)管不力之苦。我相信在監(jiān)管、審計和法規(guī)分層方面,如果中國的企業(yè)能夠盡快地采用世界上的一些最佳實踐的話,他們的能力會有飛速的提高。

CNET/ZDNET:網(wǎng)上交易近年來逐漸成為黑客活動的目標,從技術(shù)角度來看,您認為在線交易的安全性需要符合哪些條件?RSA在這方面有哪些工作要做?

Sam Curry:不同地區(qū)對于安全交易必要因素的要求是不一樣的,有些企業(yè)做在線交易的時候,可能和終端用戶有很少甚至不發(fā)生所謂的互動現(xiàn)象。但非常有必要的一點是一定要對終端用戶進行一定的使用教義,需要培訓(xùn)終端用戶,如果他們跟企業(yè)有在線交易的行為發(fā)生,應(yīng)該有很好的使用或控制自己的終端機這樣一種行為的建立。

第二點是要搭建、建立一個風(fēng)險模型,通過風(fēng)險模型可以監(jiān)控交易中可能出現(xiàn)的反常現(xiàn)象。通過風(fēng)險評估,如果發(fā)現(xiàn)風(fēng)險級別較高的在線交易,就需要對它執(zhí)行更加強大、更加嚴格的身份認證策略。而且通過監(jiān)控,也可以做一些用戶背景搜索等更多調(diào)查工作。其實要使用的技術(shù)是多種多樣的,不同的地區(qū)的情況也會不一樣。

RSA擁有全套的安裝在本機的軟件,或者將軟件作為一種服務(wù)提供的方式來幫助人們滿足以上所有安全在線交易的技術(shù)需求。我們也會不斷監(jiān)控黑客攻擊者的生態(tài)環(huán)境,了解他們的攻擊的式發(fā)生了怎樣的變化,然后適當(dāng)?shù)卣{(diào)整我們的監(jiān)控技術(shù)。

CNET/ZDNET:對近幾年比較嚴重的數(shù)據(jù)流失問題RSA有何看法?在技術(shù)手段上,似乎攻擊者始終走在前面,在這方面,我們的安全產(chǎn)品能否能夠針對一些攻擊手段提前預(yù)防,盡可能阻止黑客對于數(shù)據(jù)的盜?。?/strong>

Sam Curry:對于攻擊者而言,總會尋找到防護網(wǎng)絡(luò)中最薄弱的地方發(fā)起進攻。而現(xiàn)在的這些惡意攻擊者在竊取信息的時候有金融方面的動機,他們是要賺取利潤的,這就使得我們要采取預(yù)測的方式進行監(jiān)控。

這種情況下,我們防范攻擊者的態(tài)度,是采取建立社區(qū)、主動攻擊的方法。惡意攻擊者主要以盈利為目的,所以不能單打獨斗,肯定需要交流,需要建立一個社區(qū),這時候我們就主動把這些信息提供給我們的客戶。

安全廠商與惡意攻擊者實際上在做“武器”上的較量,你的“武器”改良了,我的“武器”也改良,雙方都在交替上升。作為RSA的優(yōu)勢,數(shù)據(jù)丟失保護技術(shù)是整個信息安全防護中非常關(guān)鍵和重要的一部分,此外,還需要很好地進行業(yè)界或者社區(qū)的協(xié)調(diào),共同防御打擊一些散兵游勇的攻擊者,要有一些協(xié)作的工具,對攻擊者采取進攻的態(tài)度。整個安全業(yè)界要進行這種非常智能的合作。

CNET/ZDNET:中國頒布的《企業(yè)內(nèi)部控制基本規(guī)范》,又稱C-SOX法案,今年7月1日將開始實施,對于中國市場來說,內(nèi)控是剛起步的狀態(tài),RSA能否提供一些意見?這個法規(guī)對于IT廠商是一個機遇,RSA今后是否會針對這方面做一些相應(yīng)的調(diào)整或戰(zhàn)略部署?

Sam Curry:我認為到了那個時候,企業(yè)必須準備好,做好內(nèi)控的基本規(guī)范。從全球角度來說也是一樣,企業(yè)必須建立這樣一種IT基礎(chǔ)設(shè)施,這個基礎(chǔ)設(shè)施能為其創(chuàng)建策略,以一種透明的、有效的方式幫助企業(yè)實現(xiàn)規(guī)范要求。其實這樣一種方式如果奏效的話,可以讓企業(yè)不斷地完善其運營效力。談到中國的內(nèi)控法,與美國的薩班斯法案是非常相似的,目標是一樣的。

RSA的做法是提取一些共通的DNA,讓企業(yè)通過這樣一些流程技術(shù)來符合一些法規(guī)條例,也就是企業(yè)的遵從性。RSA提供的產(chǎn)品像enVision可以幫助企業(yè)更好地做內(nèi)審、外審工作。

在這方面,RSA有很多的經(jīng)驗。只要找到通用的基本原則,就可以幫助企業(yè)減少一些做工作的復(fù)雜性、痛苦性。當(dāng)C-SOX實施的時候,RSA也會在第一時間幫助中國企業(yè),讓他們打造好一些必要的流程,組織好人員的安排,做好自己的工作。

CNET/ZDNET:您能否介紹一下最近惠普、IBM、EMC共同推進的密鑰管理標準?

Sam Curry:有關(guān)密鑰管理標準方面,是這三家公司聯(lián)合建立的一個標準聯(lián)合體。這個標準聯(lián)合體所做的一些聯(lián)合和標準化的工作,主要是企業(yè)IT孤島及IT互操作性。我們希望能夠把企業(yè)IT信息孤島搭橋起來,通過標準來做到這一點,同時也希望能夠為客戶開發(fā)出一些非常實際的解決方案。有關(guān)具體的標準化進程的成果,我們會在今年的RSA大會上給大家做一個報告。

CNET/ZDNET:RSA日前與微軟剛達成一個合作協(xié)議,是不是在經(jīng)濟危機蔓延這種市場情況下,RSA會更多地與其它IT技術(shù)廠商合作?

Sam Curry:關(guān)于RSA與微軟的合作,我所負責(zé)的這部分工作,就是負責(zé)把RSA的技術(shù)與客戶的業(yè)務(wù)連接起來。不僅是微軟,還有其他的廠商,重要的不是RSA和EMC公司本身,而是客戶想找到能夠解決自身問題最佳的方式,他們不可能從一家公司購買到所有的解決方案。

微軟是這樣一家IT基礎(chǔ)設(shè)施廠商,它的IT技術(shù)幾乎已經(jīng)融入到IT各個方面。我們與微軟的合作,其實也是隨著他們深入到客戶的IT架構(gòu)層面,幫助客戶解決IT層面最基本的問題。只采用一家公司建構(gòu)的IT基礎(chǔ)設(shè)施是不健康的,需要在IT方面的多元化。

所以RSA與微軟的合作確實是幫助我們的技術(shù)融入到客戶的IT基礎(chǔ)設(shè)施中,我們也在與其他IT技術(shù)供應(yīng)商洽談,未來會建立更多的類似于與微軟的合作關(guān)系。

專訪:RSA與EMC成功整合 經(jīng)濟危機下創(chuàng)造最佳業(yè)績

Sam Curry簡介

Sam Curry現(xiàn)任RSA, EMC信息安全事業(yè)部全球產(chǎn)品管理與策略副總裁。Curry在安全產(chǎn)品管理、營銷、產(chǎn)品開發(fā)、質(zhì)量保證、支持、銷售與營銷等領(lǐng)域擁有超過16年的從業(yè)經(jīng)驗。同時也是解密員、研究員和著述者。在RSA,Curry領(lǐng)導(dǎo)并制定RSA解決方案涉及產(chǎn)品管理各個方面的戰(zhàn)略性方針。
 
在加入RSA前,Curry曾就職于CA,擔(dān)任全線信息安全產(chǎn)品線的產(chǎn)品管理和市場營銷副總裁。此前,Curry還在McAfee歷任首席安全架構(gòu)師、產(chǎn)品營銷和產(chǎn)品管理負責(zé)人等多個管理職務(wù)。在加入McAfee 工作前,Curry是另外兩家成功的科技公司的創(chuàng)始人。

Curry擁有馬薩諸塞大學(xué)(University of Massachusetts)英語文學(xué)學(xué)士學(xué)位和蒙特埃里森大學(xué)(Mount Allison University)物理學(xué)學(xué)士學(xué)位。

分享到

yajing

相關(guān)推薦