从边界防御走向数据保护

正当全球每天几乎都有重要数据外泄时，Coviello先生洞察到了全世界范围内的一种重大技术变更，而他所在的公司（已被存储业巨头EMC公司收购）也正以身示范着安全产业应该如何进行整合并走向成熟的。

不过Coviello的预言还没有完全实现。他一直希望能够形成Key fob（Key fob是产生一次性密码的便携式信息终端）的大规模市场，并坚信这种密码会成为主流，而不仅仅是一种象征。他在接受CNET News.com采访时说，第16届年度RSA大会一定会展示出该领域的无限生机和活力。

记者：关于今年的RSA大会，您觉得什么最值得期待？
Art Coviello：主要是大会的精神。我们将围绕从静态解决方案到动态解决方案的改变展开大量研讨。你还将看到许许多多有关数据保护的重点讨论。我们再也不能仅仅依赖网络边界的防卫了；而必须重视信息保护本身。你会看到大量有关加密方法的讨论，这种方法非常好，它简直就是RSA的灵魂。

记者：每年您关于这个行业所处状态的演讲都有一个主基调。请问今年会是什么呢？
Art Coviello：现在是这个行业改变自身的时候了。这种改变实际上已经在进行了，主要包括从过去比较静态的边界防卫向保护信息本身的策略转移。当你谈到企业并购时，例如去年ISS和RSA，我认为你就应该看到这种转变——也就是安全性需要整合到产品之中，并且产品在开发源头就要保证安全。

记者：一些分析家说这实际上会使安全业变得令人厌烦，您是否认同？
Art Coviello：我认为这是无稽之谈。这种说法根本没有抓住问题的核心。问题的核心不是令人厌烦而是使人激动，如果能够做到无缝和透明的结合是最理想的。在这种转变中，安全性正在被认作是总体信息架构的重要组成部分。但这并不意味不再需要独立的安全管理程序，只不过它们大多会被嵌入到信息架构的各个方面中。

记者：您在这个行业有没有行动口号？
Art Coviello：我的口号就是集中更多精力在信息本身上，少花功夫在边界防御上，并且信息的本质属性就是传播。我们过去一直专著于防御和保护，而现在我们应该投身的是进攻，这是一种激进的转变。我对这种观点已经不断重复了多年，并且我认为这种转变就要呼之欲出了。人们希望信息的访问更加顺畅无阻。像Web 2.0一类的思想的提出，动机就是为了能够在线进行更多的商务交易，但如果无法保证安全，一切都是痴人说梦。这就是此安全课题的出处。

记者：RSA在2006年由EMC并购。那么作为EMC的一部分之后，为了实现这个行动口号，其业务状况进行了哪些转变？
Art Coviello：首先，RSA在EMC之下生机勃勃，运作良好。我们经历了一个相当广泛的整合过程。我们在并购最初的四个月中就很好的完成了所有工作，一切都进行地顺理成章，没有打错一个节拍。EMC凭借其雄厚的资源，使我们能以更广阔的眼光看待安全性问题。我们也出席了EMC并购网络智能（Network Intelligence）的仪式，网络智能的业务主要是监视意外事件的发生。EMC的这种宏大的容纳力促使我们业务能够更好的发展。

记者：经过并购之后的RSA大会是否已经与以往不同？
Art Coviello：没有，大会的开展一如既往，不同的只有它在不停地成长，来参加展览的供应商数目在不断地增长。现在无论从哪个角度看我们都做得很好。根据对各类展示产品质量的深度评估，今年有接近400个展览商参加大会，预计将有15,000人到场。

记者：RSA尤以其生成一次性密码的Key fob产品最为著名，您也期待该产品的大规模上市。那么现在进展如何？
Art Coviello：我们为了使这个小产品更加易于使用，又开发了一个工具栏版的Key fob。我们最近和两家大银行签订了合同，他们准备让客户在网上使用我们的产品。这两家大型机构打算兼用我们的两款产品，让大牌客户使用物理版，其他互联网用户使用工具栏版。SecureID技术也将在这些程序中得到切实应用。

记者：您是否对进展速度有些失望？
Art Coviello：如果你是一家公司的总裁或CEO，你也会为事情的进展速度而困惑的。但我想我们的方向是对的。此外，我们不会依赖单一的技术进行身份验证。我们还拥有基于风险的审核技术以及图片识别技术，这些技术由PassMark Security公司提供。

美国联邦金融机构研究委员会（Federal Financial Institutions Examination Council，FFIEC）建议对网上交易使用强身份验证，但是你看国内三家最大的互联网银行，每一家都使用了不同类型的RSA技术进行身份验证。

记者：据您预测，一次性密码真会获得更广泛的应用空间吗？
Art Coviello：那是毫无疑问的。这种技术在国外已经得到了广泛的认同和使用。为客户创造优秀替代产品是我们的职责，并且我们可以做到。以日本最大的互联网银行Net Bank为例，从2006年4月到7月中旬，他们大规模购买了1300,000个Key fob。这也说明，我们向广大消费者推广我们的产品的速度已经很快了。

记者：在这个行业发生的事情中，您是否有感到大错特错的，以至于让您想撞墙？
Art Coviello：做错的事情不必多说，探讨怎样做对才更有意义。反病毒就是个很好的例子。反病毒程序的优势是在所有安全预算中占据一份特权空间。可是问题的实质是，据Yankee Group统计，过去一年中共有超过200,000种不同的恶意软件。要让一种静态的，基于特征检测的产品（如反病毒软件）始终能够对付它们，那基本上是不可能的。反病毒程序应该改变运作方式，根据所识别的行为样式对其进行行为阻断，这应该是一种更具动态性的解决方案。这种从静态向动态的更新换代将是未来安全产业最重要的趋势之一。（责任编辑： 刘燕之）