亚瑟.科维洛：企业需平衡安全预算投入

　　在RSA2012信息安全大会期间，RSA执行主席亚瑟•科维洛在接受媒体采访时谈到：“安全是一个永远不可能成熟的技术领域，因为它的成熟并不取决于客户或是企业的要求，而是取决于那些网络罪犯他们的一些做法。因此，我们需要政府对安全技术的发展过程要施加积极的影响力，否则的话因为技术的进步带来的经济发展，生产力的提高都会处于极大的攻击之下。”

　　企业需要重新平衡安全预算

　　亚瑟.科维洛认为在安全方面，目前企业的投入成本不少，却没有用在点子上。因此企业需要重新平衡安全预算，但并不是说要增加安全的预算。从技术角度出发，企业重新建构自己的商业模式从而提高自己的运营效率、生产力，扩大消费的范围，实现成本的最大效益化。事实上当企业在这样做的时候，同时也把企业的安全的基础设施也同步做更新，如果这样做的话，实际上企业能得到的回报确实是事半功倍的，能获得更多的效益。亚瑟.科维洛很形象的用汽车的刹车系统做比喻，“刹车系统除了能刹车停住机动车之外，另外它还给了司机更大的信心能够把车开得更快。”

　　亚瑟.科维洛谈到：“事实上每一个组织可能都稍有不同，在我们谈打造一个基于智能的安全系统的时候，前提是我们要有一个非常透彻的完整的了解和评估。不管是什么样的情况，我们认为安全的预算是在一个不断的再平衡调整的过程中的，你整个安全系统中的不同的安全控制点都必须要经常的被审核、评估去看它的有效性。不管作为一家企业怎么样分配这方面的预算，你所布置的控制点的这些类型一定要是最现代化的、最先进的。”

　　企业安全需要更专业的人来做

　　不管是中小企业还是消费者，他们只能是依靠外部的专业人员的安全服务来保障自己的设备安全。但是随着时间的推移，对于中小型的企业如果他们要最大限度的用到技术的话，他们就必须要用到托管的服务，正如我们打一个比方，你作为个人作为中小企业不可能安装自己的安全监控交换机，所以计算也是一样，计算是这样的，安全也是这样一个趋势。

　　亚瑟.科维洛谈到，“你要知道自己采取什么样的安全体制，先要知道自己暴露在什么样的安全风险下。其实在目前市场上有各种各样的一些安全服务就是针对一些具体的安全问题的。”

　　亚瑟.科维洛举例到，比如企业购买了身份管理服务，假设企业购买了八到九个安全服务，平均一般的企业要购买安全服务会购买十五到二十个，这是一个平均的数据。那么这个公司又要买基础设施级的服务，再把问题复杂化我有不同的业务部门，不同的业务部门都有数据中心，我要把所有的不同业务部门的数据中心整合一下，比如说我有一部分的RSA，比如说我购买的RSA的服务它是一个私有云，你想想一下在做事情的时候我需要整合多少个动态目录，有些动态目录是属于么一个部门的，还有一些动态目录是跨部门，多个部门共享的。

　　你可以想象一下这个问题有多么的麻烦，所有不同动态目录的用户，他们要做资源的配置，把不同的安全服务和应用配置给所有的动态目录上的用户，在这种情况之下，如果我有一个原数据辅助我做这件工作，如果现在有的人给你提供这个服务地这些动态目录的资源配置工作你不用做，我来帮你做，客户考虑就说，我还可以从安全的角度来说把这些服务，这些配置的资源再从用户手里再收回，如果专门有人给你提供这样的服务的话，那就非常好了。同时我们希望一种非常理想的状态，我作为一个用户我登陆了，这个时候根据我所被分配的安全的应约或者是服务给他相对的权利，而不是每次用户登陆都必须要获取所有的权限，如果你的企业它只有一个动态目录，只是购买了一个，就是定了一个软件技术的应约的话，其实问题就很简单了。

　　第一点我们做数据中心的整合节约了多少钱，第二点就是说我原来自己购买的应用维护应用，提供应用这方面的做法和我在这方面把应用作为一个服务去订购，带来的灵活度和成本的节约做一个比较。第三点你要做的计算就是说我允许员工把他们个性化的设备带到工作环境里边来，我节省了多少硬件采购的钱，我提高了多少员工的工作效率。当我把这三点给我节约的钱，节约的钱和提高生产力的话，我就非常愿意，我愿意花更多的钱花在安全上。所以这个不是单把安全服务作为一个成本里看的，它是一些正在发生的IT的事情它的好处会推动你来使用和购买这个应用。

　　假如说有一个黑客在攻击你，他们攻击的不是本身消费者，而是提供云服务的供应商，所以作为企业来说首先你所选用的云服务供应商一定是要保证它有合适的安全服务，另外作为企业好的安全的机制和云服务要配套，所以我介绍的这些东西还要等待一段时间才会真正的落地去发生。所以我在主旨发言谈到的这些都不是描述现状的，其实它是更具有前瞻性的。我们现在所谈的大数据，分析新的工具现在只是推出的第一个版本，还有很多事情要做。最让我感觉担心的一点并不在于及时的提供那些可以采取行动的这样一些信息，而提供的这些信息给系统之后，系统无法以自动化的方式来进行响应，影响现在这方面的技术还没有就绪，所以还需要人工干预的方法去修复那些被攻击，被渗透的地方。但是我认为去思考这样一些技术性复杂的问题，对于我来说是趣味无穷的，而这也是不断鼓励我去工作的一个方面。