RSA并入EMC已有两年多的时间,作为EMC安全事业部,在去年经济危机的形势下,RSA仍完成了全年的业务目标,并创造了RSA销售业绩最佳的一年,收购整合为RSA安全业务带来的积极正面的影响可见一斑。
为更好地了解中国客户的需求,EMC信息安全事业部RSA全球产品管理与策略副总裁Sam Curry日前来到中国访问。3月2日,借此次中国之行的机会,Sam Curry在拜访客户的间隙接受了CNET科技资讯网/ZDNET的专访。
EMC信息安全事业部RSA全球产品管理与策略副总裁Sam Curry
Sam Curry就经济危机、下一代身份认证技术、安全运营中心的建立、在线交易安全、数据流失以及中国即将实施的C-SOX法案等问题与记者进行了沟通。
Sam Curry强调,RSA与EMC的整合非常成功,未来RSA业务重点围绕“3个I”核心进行,在产品研发、投资收购两方面都会继续部署。从整个战略地位来讲,中国市场是RSA非常重要的市场,Sam Curry对于RSA在中国市场的成功很有信心。
CNET/ZDNET:RSA总裁曾指出,EMC会持续投资并确保RSA的业务额达到10亿美元,您对此怎么看,这个目标是否能够达到?
Sam Curry:确实10亿美元仍然是我们业务规模的目标。而且EMC高层要求我们做好一个规划,告诉他们RSA如何实现这个目标。我们现在在做RSA系统,就是用户使用环境加上互操作性,加强用户与RSA的互动性,让用户可以更好地执行他们的安全策略来监控自己的IT系统。
我们相信绝对能够达到10亿美元这样一个业务目标,而RSA所带来的业务上的影响其实远远超过10亿美元本身这样一个业务目标,而且我们会进一步提升EMC的核心业务。
CNET/ZDNET:在当前的经济形式下,企业全面削减IT及安全方面的预算开支,RSA业务是否受到经济危机及客户节支的影响?
Sam Curry:事实上在经济危机的形势下,RSA仍完成了去年的业务目标。一开始我们非常担心,因为有很多主要客户都来自于金融行业,当时有很多客户一开始说有可能在这方面不能增加预算了,但到了9、10月份的时候,正是在金融方面遇到麻烦的一些企业反而愿意找到RSA。
这此企业以前完全不需要任何这方面的消费,现在转变了观点,如果只是花一部分的钱来购买这样一些使用许可,又不需要在基础设施方面投入新的费用,并且能降低总成本,这些企业一方面业务目标变了,另外一方面,服务型软件这种技术成熟度已经到了相应的水平,所以他们来找到RSA。当然在这样的经济环境下,并不是所有的IT基础设施供应商都有这样的幸运,当然RSA是相当幸运的。
CNET/ZDNET:您刚才提到,在去年下半年经济危机爆发的情况下,RSA仍完成了去年的销售、业绩目标,目前来看,经济危机的影响还在蔓延,对于今年的业务目标是否会面临更大的挑战或压力?
Sam Curry:因为我们是一家上市公司,所以有关今年业绩方面不能做太前瞻性的声明与预测。但可以说的是,每年根据上市公司的一些信息披露规则,我们都会制定一些收入目标和盈利目标,这些目标确实是非常符合当年的实际情况,并在我们可以完成的力量范围之内。
但是不同的业务情况不一样,有的业务可能是持平的现象,有的业务可能遇到一些困难,出现下滑,而有些业务会有非常快速的增长。我认为达到今年的业绩目标,RSA还是应该能够做到的。
CNET/ZDNET:中国市场目前在RSA全球市场中占有一个怎样的地位?未来RSA对中国市场会不会有更大的期许或愿景?
Sam Curry:中国经济目前发展到这样一个水平,已经能够和美国的经济实力相匹配了。而且在过去几年,中国经济增长速度是非常迅速的。RSA与EMC的业务以及整个行业的发展,在中国都是非常迅速的。
中国经济无论是从绝对量来讲,还是从过去几年的增长速度来讲,我们展望可预计的未来,排在世界第二、第三的位置是没有问题的。从战略地位角度来说,中国市场是RSA重要的市场,EMC及RSA为了未来的成功,毫无疑问要与中国市场建立必要的业务关系。对于中国市场我们非常有信心,RSA也相信我们在中国市场是能够致胜获得成功的。
CNET/ZDNET:RSA并入EMC已经有两年多的时间了,RSA安全产品与EMC存储系统的在技术上融合的情况怎样?RSA信息安全战略与EMC存储战略之间有何关联性?
Sam Curry:可以说EMC对RSA的收购,以及两个公司的融合是非常成功的。RSA作为EMC的安全部门,去年创造了销售业绩最佳的一年。可以说整个收购为我们安全业务带来非常积极正面的影响。
RSA的安全技术不仅涉及身份认证、身份安全方面,还有IT基础设施的安全以及信息的安全,都有相对应的产品线包括SecurID、enVision、消费者安全防护套件等。通过RSA这样一个统一安全平台,将我们安全技术的DNA提取出来,把它放在EMC的存储系统上。
可以说,RSA的安全技术高度集成到EMC的存储产品之上,而且成为EMC产品销售的一个宣传亮点。在这个层次上我们已经做得很成功了,我们已经有了这方面的经验,知道如何把这个技术的DNA提炼出来,还想将其应用于其他产品,希望把安全技术作为通用的技术,也能够应用到其他企业的产品上。
CNET/ZDNET:RSA在新产品的研发与收购上的态度是怎样的?能否透露一下未来新产品线的规划,以及即将或者准备收购的一些情况?
Sam Curry:并非所有的安全技术都是RSA独立开发的,有关新产品的研发及收购的问题,两方面都是我们要做的一件必要的工作,一定要满足不同客户的需求。这次我来中国主要是询问客户的需求,以及他们对RSA提供的产品是否满意。RSA会有大概两到三个产品的新版本推出,到底哪些领域的产品是自己开发的,哪些产品是我们要收购的,现在不能透露这方面的情况。
我可以透露一些RSA战略方面的方向,这些也都是我们要面临的选择。EMC是个投资型的公司,在目前的状况下,考虑到金融危机及困难的经济形势,我们所要面临的决策是,投资是肯定要投资的,同时也应该为了未来的成功进行与身份、信息、基础架构相关的自身产品的开发。未来RSA在产品研发、投资收购两方面都会继续。
CNET/ZDNET:RSA一直在强调业务和安全的联动关系,在金融危机的影响下,您认为企业的业务下滑与安全之间有没有相互的影响?
Sam Curry:以前的安全是了解什么人做了什么工作,如果他们做的这个事情出现了错误,我们应该如何弥补。我想要强调的是,安全应该是业务的一个使能因素,而不是阻碍业务进行的障碍性的、抑制性的因素。企业为什么要安全呢?也是希望安全能够推动更多的交易、赚取更多的利润。
其实安全并不是说让企业购买更多的基础设施,他们希望能够有安全的服务推广,能够降低风险、掌控风险,这就是我们所说的在安全中产生的变化。安全从了解人们做了什么事情,到了安全推动新的服务,推动人们能够做新的业务。
CNET/ZDNET:目前RSA所关注的业务重点有哪些?
Sam Curry:RSA核心重点关注在三个方面,我总结为“3个I”。第一个I是身份(Identity),要降低身份风险;第二个I是信息(Information),要降低信息风险;第三个I是IT基础设施(Infrastructure)。客户购买了大量的IT基础设施,希望更好地利用到这些信息,RSA要做的就是要降低与3个I相关的风险。
CNET/ZDNET:在RSA以信息为核心的业务架构下,安全运营管理以及安全服务占有怎样的位置?在三个重点关注的战略之下(三个I),具体的业务增长点在哪里?
Sam Curry:如果完全从产品或者技术的角度来说,这3个I实际上是互相交织的,并不是完全分开的。但是如果从业务的角度来说,信息方面的业务规模是中等的,但历史是最长的;身份管理,从年头上来说是排名第二的,但从业务规模来说,身份管理是我们做得最大的,大家可能对RSA的令牌、自适应性等身份认证技术都非常熟悉;基础设施方面是RSA最新的、也是增长最快的业务。
谈到安全服务,把安全作为一种服务来提供,事实上我们可以说是在安全行业做得最大的一家厂商,去年在这方面的收入是6000万美元。另外一种,就是软件作为一种服务来提供,比如Web服务这种方式。例如EMC提出的云计算,针对在线信息存储服务,我们也提供保障安全的安全服务。
CNET/ZDNET:您如何看待下一代身份认证技术?能否介绍一下RSA推出的Security Operations 2.0概念?
Sam Curry:身份认证2.0,也就是身份管理,谈到身份2.0,或者称为身份认证2.0的时候,其实一个重要的方向是让终端用户更多地掌控自己的身份。也就是说,我们把这样一种身份掌控的力量分散化了。要做这样一项工作的话,信任是非常重要的。
整个身份认证2.0就是使身份认证权利的分散化,不是说把身份认证给某一个终端用户,而是让终端用户自己来拿,要做到这一点,必须要扫除安全方面的障碍,如果没有足够的安全性,用户是不能采用一种安全方式的,如何能够扫除安全隐患是很关键的前提。
Security Operations 2.0其中包含两个层面。第一个层面是下一代的安全技术,第二个层面是下一代安全运营中心的演进和发展 ,对于企业而言,在安全运营方面如何建立合适层次的监控、审计及法规遵从。
CNET/ZDNET:从RSA的角度来讲,怎么建立安全运营中心?身份认证2.0对于企业特别是中国企业而言,能提供什么样的帮助?
Sam Curry:身份认证实际上是与消费者相关的一方面,也就是消费者使用互联网这方面。而安全运营中心是涉及到企业级的业务服务。以前当我们谈到安全运营中心的时候,想到的是在一个大玻璃的机房里,有很多的显示监控器,通过它监控整个IT基础设施的运营状况。但是现在整个情况发生了演进,安全运营中心作为一种业务服务,必须有几点必备的要素。
第一点,必须具备汇报的功能,第二点,必须设立适当的配套工作流程。最终能使整个IT基础设施的运营具备透明性。也就是说,能够让人们掌握一些统一的方式和手段去监督,并且非常方便地获取企业IT服务。
当我们谈安全运营价值的时候,最主要是看网络的价值对于用户有多大。在中国,我们可以看到网络价值对中国而言是相当之大的,比如像Web 2.0。在世界各地,从法规监管的角度来说,人们已经深受法规监管不力之苦。我相信在监管、审计和法规分层方面,如果中国的企业能够尽快地采用世界上的一些最佳实践的话,他们的能力会有飞速的提高。
CNET/ZDNET:网上交易近年来逐渐成为黑客活动的目标,从技术角度来看,您认为在线交易的安全性需要符合哪些条件?RSA在这方面有哪些工作要做?
Sam Curry:不同地区对于安全交易必要因素的要求是不一样的,有些企业做在线交易的时候,可能和终端用户有很少甚至不发生所谓的互动现象。但非常有必要的一点是一定要对终端用户进行一定的使用教义,需要培训终端用户,如果他们跟企业有在线交易的行为发生,应该有很好的使用或控制自己的终端机这样一种行为的建立。
第二点是要搭建、建立一个风险模型,通过风险模型可以监控交易中可能出现的反常现象。通过风险评估,如果发现风险级别较高的在线交易,就需要对它执行更加强大、更加严格的身份认证策略。而且通过监控,也可以做一些用户背景搜索等更多调查工作。其实要使用的技术是多种多样的,不同的地区的情况也会不一样。
RSA拥有全套的安装在本机的软件,或者将软件作为一种服务提供的方式来帮助人们满足以上所有安全在线交易的技术需求。我们也会不断监控黑客攻击者的生态环境,了解他们的攻击的式发生了怎样的变化,然后适当地调整我们的监控技术。
CNET/ZDNET:对近几年比较严重的数据流失问题RSA有何看法?在技术手段上,似乎攻击者始终走在前面,在这方面,我们的安全产品能否能够针对一些攻击手段提前预防,尽可能阻止黑客对于数据的盗取?
Sam Curry:对于攻击者而言,总会寻找到防护网络中最薄弱的地方发起进攻。而现在的这些恶意攻击者在窃取信息的时候有金融方面的动机,他们是要赚取利润的,这就使得我们要采取预测的方式进行监控。
这种情况下,我们防范攻击者的态度,是采取建立社区、主动攻击的方法。恶意攻击者主要以盈利为目的,所以不能单打独斗,肯定需要交流,需要建立一个社区,这时候我们就主动把这些信息提供给我们的客户。
安全厂商与恶意攻击者实际上在做“武器”上的较量,你的“武器”改良了,我的“武器”也改良,双方都在交替上升。作为RSA的优势,数据丢失保护技术是整个信息安全防护中非常关键和重要的一部分,此外,还需要很好地进行业界或者社区的协调,共同防御打击一些散兵游勇的攻击者,要有一些协作的工具,对攻击者采取进攻的态度。整个安全业界要进行这种非常智能的合作。
CNET/ZDNET:中国颁布的《企业内部控制基本规范》,又称C-SOX法案,今年7月1日将开始实施,对于中国市场来说,内控是刚起步的状态,RSA能否提供一些意见?这个法规对于IT厂商是一个机遇,RSA今后是否会针对这方面做一些相应的调整或战略部署?
Sam Curry:我认为到了那个时候,企业必须准备好,做好内控的基本规范。从全球角度来说也是一样,企业必须建立这样一种IT基础设施,这个基础设施能为其创建策略,以一种透明的、有效的方式帮助企业实现规范要求。其实这样一种方式如果奏效的话,可以让企业不断地完善其运营效力。谈到中国的内控法,与美国的萨班斯法案是非常相似的,目标是一样的。
RSA的做法是提取一些共通的DNA,让企业通过这样一些流程技术来符合一些法规条例,也就是企业的遵从性。RSA提供的产品像enVision可以帮助企业更好地做内审、外审工作。
在这方面,RSA有很多的经验。只要找到通用的基本原则,就可以帮助企业减少一些做工作的复杂性、痛苦性。当C-SOX实施的时候,RSA也会在第一时间帮助中国企业,让他们打造好一些必要的流程,组织好人员的安排,做好自己的工作。
CNET/ZDNET:您能否介绍一下最近惠普、IBM、EMC共同推进的密钥管理标准?
Sam Curry:有关密钥管理标准方面,是这三家公司联合建立的一个标准联合体。这个标准联合体所做的一些联合和标准化的工作,主要是企业IT孤岛及IT互操作性。我们希望能够把企业IT信息孤岛搭桥起来,通过标准来做到这一点,同时也希望能够为客户开发出一些非常实际的解决方案。有关具体的标准化进程的成果,我们会在今年的RSA大会上给大家做一个报告。
CNET/ZDNET:RSA日前与微软刚达成一个合作协议,是不是在经济危机蔓延这种市场情况下,RSA会更多地与其它IT技术厂商合作?
Sam Curry:关于RSA与微软的合作,我所负责的这部分工作,就是负责把RSA的技术与客户的业务连接起来。不仅是微软,还有其他的厂商,重要的不是RSA和EMC公司本身,而是客户想找到能够解决自身问题最佳的方式,他们不可能从一家公司购买到所有的解决方案。
微软是这样一家IT基础设施厂商,它的IT技术几乎已经融入到IT各个方面。我们与微软的合作,其实也是随着他们深入到客户的IT架构层面,帮助客户解决IT层面最基本的问题。只采用一家公司建构的IT基础设施是不健康的,需要在IT方面的多元化。
所以RSA与微软的合作确实是帮助我们的技术融入到客户的IT基础设施中,我们也在与其他IT技术供应商洽谈,未来会建立更多的类似于与微软的合作关系。
Sam Curry简介
Sam Curry现任RSA, EMC信息安全事业部全球产品管理与策略副总裁。Curry在安全产品管理、营销、产品开发、质量保证、支持、销售与营销等领域拥有超过16年的从业经验。同时也是解密员、研究员和著述者。在RSA,Curry领导并制定RSA解决方案涉及产品管理各个方面的战略性方针。
在加入RSA前,Curry曾就职于CA,担任全线信息安全产品线的产品管理和市场营销副总裁。此前,Curry还在McAfee历任首席安全架构师、产品营销和产品管理负责人等多个管理职务。在加入McAfee 工作前,Curry是另外两家成功的科技公司的创始人。
Curry拥有马萨诸塞大学(University of Massachusetts)英语文学学士学位和蒙特埃里森大学(Mount Allison University)物理学学士学位。