EMC信息安全事業(yè)部RSA全球產品管理與策略副總裁Sam Curry

Sam Curry就經濟危機、下一代身份認證技術、安全運營中心的建立、在線交易安全、數據流失以及中國即將實施的C-SOX法案等問題與記者進行了溝通。

Sam Curry強調，RSA與EMC的整合非常成功，未來RSA業(yè)務重點圍繞“3個I”核心進行，在產品研發(fā)、投資收購兩方面都會繼續(xù)部署。從整個戰(zhàn)略地位來講，中國市場是RSA非常重要的市場，Sam Curry對于RSA在中國市場的成功很有信心。

CNET/ZDNET：RSA總裁曾指出，EMC會持續(xù)投資并確保RSA的業(yè)務額達到10億美元，您對此怎么看，這個目標是否能夠達到？

Sam Curry：確實10億美元仍然是我們業(yè)務規(guī)模的目標。而且EMC高層要求我們做好一個規(guī)劃，告訴他們RSA如何實現這個目標。我們現在在做RSA系統，就是用戶使用環(huán)境加上互操作性，加強用戶與RSA的互動性，讓用戶可以更好地執(zhí)行他們的安全策略來監(jiān)控自己的IT系統。

我們相信絕對能夠達到10億美元這樣一個業(yè)務目標，而RSA所帶來的業(yè)務上的影響其實遠遠超過10億美元本身這樣一個業(yè)務目標，而且我們會進一步提升EMC的核心業(yè)務。

CNET/ZDNET：在當前的經濟形式下，企業(yè)全面削減IT及安全方面的預算開支，RSA業(yè)務是否受到經濟危機及客戶節(jié)支的影響？

Sam Curry：事實上在經濟危機的形勢下，RSA仍完成了去年的業(yè)務目標。一開始我們非常擔心，因為有很多主要客戶都來自于金融行業(yè)，當時有很多客戶一開始說有可能在這方面不能增加預算了，但到了9、10月份的時候，正是在金融方面遇到麻煩的一些企業(yè)反而愿意找到RSA。

這此企業(yè)以前完全不需要任何這方面的消費，現在轉變了觀點，如果只是花一部分的錢來購買這樣一些使用許可，又不需要在基礎設施方面投入新的費用，并且能降低總成本，這些企業(yè)一方面業(yè)務目標變了，另外一方面，服務型軟件這種技術成熟度已經到了相應的水平，所以他們來找到RSA。當然在這樣的經濟環(huán)境下，并不是所有的IT基礎設施供應商都有這樣的幸運，當然RSA是相當幸運的。

CNET/ZDNET：您剛才提到，在去年下半年經濟危機爆發(fā)的情況下，RSA仍完成了去年的銷售、業(yè)績目標，目前來看，經濟危機的影響還在蔓延，對于今年的業(yè)務目標是否會面臨更大的挑戰(zhàn)或壓力？

Sam Curry：因為我們是一家上市公司，所以有關今年業(yè)績方面不能做太前瞻性的聲明與預測。但可以說的是，每年根據上市公司的一些信息披露規(guī)則，我們都會制定一些收入目標和盈利目標，這些目標確實是非常符合當年的實際情況，并在我們可以完成的力量范圍之內。

但是不同的業(yè)務情況不一樣，有的業(yè)務可能是持平的現象，有的業(yè)務可能遇到一些困難，出現下滑，而有些業(yè)務會有非?？焖俚脑鲩L。我認為達到今年的業(yè)績目標，RSA還是應該能夠做到的。

CNET/ZDNET：中國市場目前在RSA全球市場中占有一個怎樣的地位？未來RSA對中國市場會不會有更大的期許或愿景？

Sam Curry：中國經濟目前發(fā)展到這樣一個水平，已經能夠和美國的經濟實力相匹配了。而且在過去幾年，中國經濟增長速度是非常迅速的。RSA與EMC的業(yè)務以及整個行業(yè)的發(fā)展，在中國都是非常迅速的。

中國經濟無論是從絕對量來講，還是從過去幾年的增長速度來講，我們展望可預計的未來，排在世界第二、第三的位置是沒有問題的。從戰(zhàn)略地位角度來說，中國市場是RSA重要的市場，EMC及RSA為了未來的成功，毫無疑問要與中國市場建立必要的業(yè)務關系。對于中國市場我們非常有信心，RSA也相信我們在中國市場是能夠致勝獲得成功的。

CNET/ZDNET：RSA并入EMC已經有兩年多的時間了，RSA安全產品與EMC存儲系統的在技術上融合的情況怎樣？RSA信息安全戰(zhàn)略與EMC存儲戰(zhàn)略之間有何關聯性？

Sam  Curry：可以說EMC對RSA的收購，以及兩個公司的融合是非常成功的。RSA作為EMC的安全部門，去年創(chuàng)造了銷售業(yè)績最佳的一年?？梢哉f整個收購為我們安全業(yè)務帶來非常積極正面的影響。

RSA的安全技術不僅涉及身份認證、身份安全方面，還有IT基礎設施的安全以及信息的安全，都有相對應的產品線包括SecurID、enVision、消費者安全防護套件等。通過RSA這樣一個統一安全平臺，將我們安全技術的DNA提取出來，把它放在EMC的存儲系統上。

可以說，RSA的安全技術高度集成到EMC的存儲產品之上，而且成為EMC產品銷售的一個宣傳亮點。在這個層次上我們已經做得很成功了，我們已經有了這方面的經驗，知道如何把這個技術的DNA提煉出來，還想將其應用于其他產品，希望把安全技術作為通用的技術，也能夠應用到其他企業(yè)的產品上。

CNET/ZDNET：RSA在新產品的研發(fā)與收購上的態(tài)度是怎樣的？能否透露一下未來新產品線的規(guī)劃，以及即將或者準備收購的一些情況？

Sam Curry：并非所有的安全技術都是RSA獨立開發(fā)的，有關新產品的研發(fā)及收購的問題，兩方面都是我們要做的一件必要的工作，一定要滿足不同客戶的需求。這次我來中國主要是詢問客戶的需求，以及他們對RSA提供的產品是否滿意。RSA會有大概兩到三個產品的新版本推出，到底哪些領域的產品是自己開發(fā)的，哪些產品是我們要收購的，現在不能透露這方面的情況。

我可以透露一些RSA戰(zhàn)略方面的方向，這些也都是我們要面臨的選擇。EMC是個投資型的公司，在目前的狀況下，考慮到金融危機及困難的經濟形勢，我們所要面臨的決策是，投資是肯定要投資的，同時也應該為了未來的成功進行與身份、信息、基礎架構相關的自身產品的開發(fā)。未來RSA在產品研發(fā)、投資收購兩方面都會繼續(xù)。

CNET/ZDNET：RSA一直在強調業(yè)務和安全的聯動關系，在金融危機的影響下，您認為企業(yè)的業(yè)務下滑與安全之間有沒有相互的影響？

Sam Curry：以前的安全是了解什么人做了什么工作，如果他們做的這個事情出現了錯誤，我們應該如何彌補。我想要強調的是，安全應該是業(yè)務的一個使能因素，而不是阻礙業(yè)務進行的障礙性的、抑制性的因素。企業(yè)為什么要安全呢？也是希望安全能夠推動更多的交易、賺取更多的利潤。

其實安全并不是說讓企業(yè)購買更多的基礎設施，他們希望能夠有安全的服務推廣，能夠降低風險、掌控風險，這就是我們所說的在安全中產生的變化。安全從了解人們做了什么事情，到了安全推動新的服務，推動人們能夠做新的業(yè)務。

CNET/ZDNET：目前RSA所關注的業(yè)務重點有哪些？

Sam Curry：RSA核心重點關注在三個方面，我總結為“3個I”。第一個I是身份（Identity），要降低身份風險；第二個I是信息（Information），要降低信息風險；第三個I是IT基礎設施（Infrastructure）?？蛻糍徺I了大量的IT基礎設施，希望更好地利用到這些信息，RSA要做的就是要降低與3個I相關的風險。

CNET/ZDNET：在RSA以信息為核心的業(yè)務架構下，安全運營管理以及安全服務占有怎樣的位置？在三個重點關注的戰(zhàn)略之下（三個I），具體的業(yè)務增長點在哪里？

Sam Curry：如果完全從產品或者技術的角度來說，這3個I實際上是互相交織的，并不是完全分開的。但是如果從業(yè)務的角度來說，信息方面的業(yè)務規(guī)模是中等的，但歷史是最長的；身份管理，從年頭上來說是排名第二的，但從業(yè)務規(guī)模來說，身份管理是我們做得最大的，大家可能對RSA的令牌、自適應性等身份認證技術都非常熟悉；基礎設施方面是RSA最新的、也是增長最快的業(yè)務。

談到安全服務，把安全作為一種服務來提供，事實上我們可以說是在安全行業(yè)做得最大的一家廠商，去年在這方面的收入是6000萬美元。另外一種，就是軟件作為一種服務來提供，比如Web服務這種方式。例如EMC提出的云計算，針對在線信息存儲服務，我們也提供保障安全的安全服務。

CNET/ZDNET：您如何看待下一代身份認證技術？能否介紹一下RSA推出的Security Operations 2.0概念？

Sam Curry：身份認證2.0，也就是身份管理，談到身份2.0，或者稱為身份認證2.0的時候，其實一個重要的方向是讓終端用戶更多地掌控自己的身份。也就是說，我們把這樣一種身份掌控的力量分散化了。要做這樣一項工作的話，信任是非常重要的。

整個身份認證2.0就是使身份認證權利的分散化，不是說把身份認證給某一個終端用戶，而是讓終端用戶自己來拿，要做到這一點，必須要掃除安全方面的障礙，如果沒有足夠的安全性，用戶是不能采用一種安全方式的，如何能夠掃除安全隱患是很關鍵的前提。

Security Operations 2.0其中包含兩個層面。第一個層面是下一代的安全技術，第二個層面是下一代安全運營中心的演進和發(fā)展 ，對于企業(yè)而言，在安全運營方面如何建立合適層次的監(jiān)控、審計及法規(guī)遵從。

CNET/ZDNET：從RSA的角度來講，怎么建立安全運營中心？身份認證2.0對于企業(yè)特別是中國企業(yè)而言，能提供什么樣的幫助？

Sam  Curry：身份認證實際上是與消費者相關的一方面，也就是消費者使用互聯網這方面。而安全運營中心是涉及到企業(yè)級的業(yè)務服務。以前當我們談到安全運營中心的時候，想到的是在一個大玻璃的機房里，有很多的顯示監(jiān)控器，通過它監(jiān)控整個IT基礎設施的運營狀況。但是現在整個情況發(fā)生了演進，安全運營中心作為一種業(yè)務服務，必須有幾點必備的要素。

第一點，必須具備匯報的功能，第二點，必須設立適當的配套工作流程。最終能使整個IT基礎設施的運營具備透明性。也就是說，能夠讓人們掌握一些統一的方式和手段去監(jiān)督，并且非常方便地獲取企業(yè)IT服務。

當我們談安全運營價值的時候，最主要是看網絡的價值對于用戶有多大。在中國，我們可以看到網絡價值對中國而言是相當之大的，比如像Web 2.0。在世界各地，從法規(guī)監(jiān)管的角度來說，人們已經深受法規(guī)監(jiān)管不力之苦。我相信在監(jiān)管、審計和法規(guī)分層方面，如果中國的企業(yè)能夠盡快地采用世界上的一些最佳實踐的話，他們的能力會有飛速的提高。

CNET/ZDNET：網上交易近年來逐漸成為黑客活動的目標，從技術角度來看，您認為在線交易的安全性需要符合哪些條件？RSA在這方面有哪些工作要做？

Sam Curry：不同地區(qū)對于安全交易必要因素的要求是不一樣的，有些企業(yè)做在線交易的時候，可能和終端用戶有很少甚至不發(fā)生所謂的互動現象。但非常有必要的一點是一定要對終端用戶進行一定的使用教義，需要培訓終端用戶，如果他們跟企業(yè)有在線交易的行為發(fā)生，應該有很好的使用或控制自己的終端機這樣一種行為的建立。

第二點是要搭建、建立一個風險模型，通過風險模型可以監(jiān)控交易中可能出現的反?，F象。通過風險評估，如果發(fā)現風險級別較高的在線交易，就需要對它執(zhí)行更加強大、更加嚴格的身份認證策略。而且通過監(jiān)控，也可以做一些用戶背景搜索等更多調查工作。其實要使用的技術是多種多樣的，不同的地區(qū)的情況也會不一樣。

RSA擁有全套的安裝在本機的軟件，或者將軟件作為一種服務提供的方式來幫助人們滿足以上所有安全在線交易的技術需求。我們也會不斷監(jiān)控黑客攻擊者的生態(tài)環(huán)境，了解他們的攻擊的式發(fā)生了怎樣的變化，然后適當地調整我們的監(jiān)控技術。

CNET/ZDNET：對近幾年比較嚴重的數據流失問題RSA有何看法？在技術手段上，似乎攻擊者始終走在前面，在這方面，我們的安全產品能否能夠針對一些攻擊手段提前預防，盡可能阻止黑客對于數據的盜??？

Sam Curry：對于攻擊者而言，總會尋找到防護網絡中最薄弱的地方發(fā)起進攻。而現在的這些惡意攻擊者在竊取信息的時候有金融方面的動機，他們是要賺取利潤的，這就使得我們要采取預測的方式進行監(jiān)控。

這種情況下，我們防范攻擊者的態(tài)度，是采取建立社區(qū)、主動攻擊的方法。惡意攻擊者主要以盈利為目的，所以不能單打獨斗，肯定需要交流，需要建立一個社區(qū)，這時候我們就主動把這些信息提供給我們的客戶。

安全廠商與惡意攻擊者實際上在做“武器”上的較量，你的“武器”改良了，我的“武器”也改良，雙方都在交替上升。作為RSA的優(yōu)勢，數據丟失保護技術是整個信息安全防護中非常關鍵和重要的一部分，此外，還需要很好地進行業(yè)界或者社區(qū)的協調，共同防御打擊一些散兵游勇的攻擊者，要有一些協作的工具，對攻擊者采取進攻的態(tài)度。整個安全業(yè)界要進行這種非常智能的合作。

CNET/ZDNET：中國頒布的《企業(yè)內部控制基本規(guī)范》，又稱C-SOX法案，今年7月1日將開始實施，對于中國市場來說，內控是剛起步的狀態(tài)，RSA能否提供一些意見？這個法規(guī)對于IT廠商是一個機遇，RSA今后是否會針對這方面做一些相應的調整或戰(zhàn)略部署？

Sam Curry：我認為到了那個時候，企業(yè)必須準備好，做好內控的基本規(guī)范。從全球角度來說也是一樣，企業(yè)必須建立這樣一種IT基礎設施，這個基礎設施能為其創(chuàng)建策略，以一種透明的、有效的方式幫助企業(yè)實現規(guī)范要求。其實這樣一種方式如果奏效的話，可以讓企業(yè)不斷地完善其運營效力。談到中國的內控法，與美國的薩班斯法案是非常相似的，目標是一樣的。

RSA的做法是提取一些共通的DNA，讓企業(yè)通過這樣一些流程技術來符合一些法規(guī)條例，也就是企業(yè)的遵從性。RSA提供的產品像enVision可以幫助企業(yè)更好地做內審、外審工作。

在這方面，RSA有很多的經驗。只要找到通用的基本原則，就可以幫助企業(yè)減少一些做工作的復雜性、痛苦性。當C-SOX實施的時候，RSA也會在第一時間幫助中國企業(yè)，讓他們打造好一些必要的流程，組織好人員的安排，做好自己的工作。

CNET/ZDNET：您能否介紹一下最近惠普、IBM、EMC共同推進的密鑰管理標準？

Sam Curry：有關密鑰管理標準方面，是這三家公司聯合建立的一個標準聯合體。這個標準聯合體所做的一些聯合和標準化的工作，主要是企業(yè)IT孤島及IT互操作性。我們希望能夠把企業(yè)IT信息孤島搭橋起來，通過標準來做到這一點，同時也希望能夠為客戶開發(fā)出一些非常實際的解決方案。有關具體的標準化進程的成果，我們會在今年的RSA大會上給大家做一個報告。

CNET/ZDNET：RSA日前與微軟剛達成一個合作協議，是不是在經濟危機蔓延這種市場情況下，RSA會更多地與其它IT技術廠商合作？

Sam Curry：關于RSA與微軟的合作，我所負責的這部分工作，就是負責把RSA的技術與客戶的業(yè)務連接起來。不僅是微軟，還有其他的廠商，重要的不是RSA和EMC公司本身，而是客戶想找到能夠解決自身問題最佳的方式，他們不可能從一家公司購買到所有的解決方案。

微軟是這樣一家IT基礎設施廠商，它的IT技術幾乎已經融入到IT各個方面。我們與微軟的合作，其實也是隨著他們深入到客戶的IT架構層面，幫助客戶解決IT層面最基本的問題。只采用一家公司建構的IT基礎設施是不健康的，需要在IT方面的多元化。

所以RSA與微軟的合作確實是幫助我們的技術融入到客戶的IT基礎設施中，我們也在與其他IT技術供應商洽談，未來會建立更多的類似于與微軟的合作關系。

Sam Curry簡介

Sam Curry現任RSA, EMC信息安全事業(yè)部全球產品管理與策略副總裁。Curry在安全產品管理、營銷、產品開發(fā)、質量保證、支持、銷售與營銷等領域擁有超過16年的從業(yè)經驗。同時也是解密員、研究員和著述者。在RSA，Curry領導并制定RSA解決方案涉及產品管理各個方面的戰(zhàn)略性方針。
 
在加入RSA前，Curry曾就職于CA，擔任全線信息安全產品線的產品管理和市場營銷副總裁。此前，Curry還在McAfee歷任首席安全架構師、產品營銷和產品管理負責人等多個管理職務。在加入McAfee 工作前，Curry是另外兩家成功的科技公司的創(chuàng)始人。

Curry擁有馬薩諸塞大學（University of Massachusetts）英語文學學士學位和蒙特埃里森大學（Mount Allison University）物理學學士學位。

yajing