科维洛说,信息安全需要从目标、策略、手段、技术产业四大方面进行思维的革命。目标上,要集中力量降低最高价值的信息风险,也就是要实现以信息为中心的风险管理;策略上,要制定全局的信息安全策略,要以信息为中心,实施动态的、内置的信息风险保护;手段上,要对信息进行普查、分类,建立持续的信息监测体系、切实可行的信息安全规程,并时刻对信息风险保护的执行情况进行审计;技术产业需要打破不同厂商的壁垒,推动网络犯罪信息的共享,以便技术厂商联合力量共同对付网络犯罪。
当前,信息数量爆炸性增长,根据IDC数据,2006年一年产生的数字信息就达1610亿GB,就是历史上全部图书所含信息的300倍。而且这一数据还在以57%的年复合增长率增加,到2010年,每年产生的数字信息将达到9880亿GB。信息是流动的,它处在不断地被使用、编辑、转换、分享并被再次储存的过程中,大量信息流动到组织外部,例如员工的手提电脑、个人邮箱、合作伙伴网络等,管理者甚至都不清楚自己公司的信息存在什么地方。同时,针对信息的网络犯罪分子受巨大的经济利益驱使,他们跟跨国高技术公司一样,在全球范围有计划、有组织地开展行动,他们的技术手段和市场拓展计划跟技术公司同步。银行、证券、基金、保险等金融服务机构是这种有组织犯罪袭击的首要目标,因为它们的数字信息直接与现实世界的财富相连。针对这样的现实,科维洛正积极地奔走于全球多个国家,推动信息安全的思维革命。
科维洛比喻道:紫禁城作为中国古代皇宫,是安全的象征。高高的宫墙是皇帝和宫廷财产安全的保障,正像信息安全界曾经的“边界安全”。如今,边界已经打开,RSA 更为关注的是如何保障流动中的信息安全,这是一种动态的防护和保障,即“以信息为中心的风险管理”代替传统的“边界安全”。
科维洛于1995年加入RSA信息安全公司。在他的领导下,RSA公司取得迅速发展。在他的管理下,RSA成为全球首屈一指的信息安全解决方案供应商,帮助全球领先的企业面对最为复杂和敏感的信息安全挑战,为企业提供业务加速。其解决方案涵盖身份保护和访问管理、法规遵从、安全信息管理和防欺诈保护领域,为数以百万的用户身份和在线交易以及从中所产生的数据提供了可信识别。RSA是双因素认证方面公认的事实标准,并且在身份管理及访问管理方面成为行业领导者。科维洛先生的专业知识及影响使他成为业界公认的行业专家和企业领袖,并且在多项国家试行的网络安全项目中担当要职。例如,科维洛先生目前是TechNet New England组织的联合主席。该组织的成员代表了信息技术界、生物技术界、电子商务界和金融界超过100万名从业人员。 RSA针对信息量爆炸式增长、信息犯罪日趋专业化等特点,提出了以信息为中心的风险管理这一理念,能够更有效地解决信息安全问题。RSA已经研发出以信息保护为核心的安全解决方案,帮助客户实现以信息为中心的风险管理。RSA以信息保护为核心的安全解决方案包括以下核心产品。
RSA SecurID双因素认证——信息安全行业事实标准
RSA SecurID®系统是世界上最领先的双因素用户认证解决方案,是信息安全行业的事实标准,全球各地的许多组织正利用它来保护宝贵的网络资源。RSA SecurID® 通过两组信息进行身份验证:一个是用户知道的信息(密码或PIN);一个是身份验证器,能够每60秒产生自动更改一次的密码。双因素认证与重复使用的密码相比,可靠性高出很多。RSA SecurID®拥有双因素认证全球市场份额的74.2%,至今未报告过任何一起安全事件。RSA SecurID®可用于以下关键数据和应用程序的身份验证:VPN 和 WLAN、电子邮件、Internet/Intranet、Microsoft Windows台式机、Web 服务器,以及其他网络资源。
RSA enVision 平台——从海量的信息中发现安全隐患
RSA enVision是一个安全日志管理平台,可横跨网络内部,从交换机和路由器到安全设备、应用、服务器以及存储设备,提供所有安全威胁100%可视化的安全信息及事件管理解决方案。enVision可以把看似不相关的安全与网络事件转化为有意义的智能,帮助降低IT人员的压力,提高安全人员的工作效率,并实现持续的法规遵从。
该平台通过LogSmart Internet Protocol Database (IPDB)技术,对来自网络各个部分的所有必要数据进行实时集合和分析。通过使用该平台的基线获知系统,用户可一目了然地看清楚网络上的情况,哪些是正常的,哪些是不寻常的。而且由于信息是由网络的各个部分收集而来,用户可从根本上识别网络中任意地点的安全威胁,甚至包括远程地区。
从1999年以来,美国和欧盟大量出台与信息安全有关的法规,对各个行业的IT管理提出了挑战。随着全球化进程的不断深入,这些法案逐渐带有国际标准的特色。例如,中国有不少企业在海外上市,其IT系统就必须遵从相关的法规。enVision作为一种辅助手段,可以直接提供相应的报表和模板,帮助上市公司方便快捷的出纳报表给相关审计部门,从而为其法规遵从工作带来很大的便利。
RSA消费者安全防护套件——增强用户对在线服务的信心
RSA消费者安全防护套件(Consumer Protection Suite)是世界最完善的强认证和防欺诈解决方案,旨在保护企业及其终端用户免受最新在线威胁,帮助企业防范在线渠道的所有风险。RSA消费者安全防护套件是一个庞大的产品组合。它的范围包括:基于风险的在线和电话认证、防网络钓鱼/防欺诈服务、基于网络的一次性密码认证、交易监控以及交易签名。
许多世界领先企业,包括40家优异美国银行和英国5大银行中的3家,都已经选择了RSA消费者安全防护套件为在线用户提供保护,使全球范围1亿多用户得到安全防护。RSA消费者安全防护套件可以帮助企业提供了端到端的多层式安全防护,帮助企业激发用户对在线服务的信心,提高在线渠道的使用率,减少在线欺诈损失及相关成本,创造新的商机。
RSA消费者安全防护套件包含:RSA风险引擎(RiSK Engine)、RSA策略管理器(Policy Manager)以及RSA防欺诈网络(RSA eFraudNetwork)。具体来说,RSA风险引擎是一种自我学习式技术,可以实时评估每个在线行为,通过追踪上百个指标来检测欺诈行为,并为每个行为分配唯一的、数字为0~1000的风险评估值。一个行为的风险评估值越高,表明它是欺诈行为的可能性就越大。而交易监控功能则可作为追加功能使用,提供登录级别以外的额外认证。
截至2007年9月30日, RSA的风险引擎已经处理了超过70亿笔网络交易。在最近的几个月, 随着新的客户和终端用户的加入, 金融机构为了加强防护将更多的交易活动置于该产品的保护之下, 被处理的交易笔数出现惊人的增长。 RSA预测该数据将很快被刷新到每月超过10亿笔网络交易。
RSA策略管理器使得企业能即时地对新兴的本地化欺诈类型做出回应。通过规则管理应用、综合规则架构、实时配置以及产品实施前性能测试模拟程序等的使用,策略管理器还可帮助企业将制定的风险策略转化为决策和行动。
RSA防欺诈网络是一个跨机构欺诈类型数据库和联盟,收集有来自RSA遍及全球的客户、ISP和第三方分销商网络的大量欺诈类型,不仅可识别欺诈分子档案和类型,而且还可前瞻性学习并追踪遍及130多个国家的欺诈行为。当新识别出一种欺诈类型时,其欺诈数据、交易档案和设备指纹都会被移送到一个共享数据储存库中。
一天24小时、一周7天、一年365天不停运转的RSA 反网络欺诈指挥中心(AFCC),已经成为业界最有效和最有经验的抵御网络钓鱼、域名劫持、木马攻击和其它各种不同形态网络欺诈恶意攻击的资源机构。自从2004年开始运营以来, 该中心的网络欺诈分析师们和全球超过5300个互联网接入服务、域名注册和主机托管服务商合作,屏蔽了超过55,000次网络攻击,其中,在2007年前三个季度就有29,000 次网络攻击。
电子安全领域最值得信赖的品牌——RSA Security 运用其RSA SecurID双因素身份认证、RSA BSAFE加密及RSA Keon数字证书管理系统,帮助组织构建安全而值得信赖的电子商务基础。通过全球约10亿份正在使用中的RSA BSAFE实践应用,超过2800万的RSA SecurID使用者及25年的行业经验,RSA Security 已经证明了其领导力及迎合不断变化的电子商务安全需求的创新技术,并且给新互联网经济带来了更多信任。
重要时刻:
1977年,罗纳尔多•里弗斯特(Ronald Rivest)、阿迪•沙缪尔(Adi Shamir)和里昂纳多•阿多乐曼(Leonard Adleman)在麻省理工学院推动了公钥加密技术的革新发展。
1982年,里弗斯特(Rivest)、沙缪尔(Shamir)和阿多乐曼(Adleman)三个创始人正式成立了RSA Data Security。
1989年,刚刚发展起来的互联网采用了RSA加密软件。
1993年,美国政府推广其截波芯片技术,很多优异计算机公司、银行和电子设备公司反对截波芯片,支持RSA 软件。
1994年,RSA源代码在互联网上被匿名公布。
1996年,Security Dynamics Technologies Inc.收购了RSA Data Security。
1999年,RSA Data Security和Security Dynamics Technologies第一次提供了联合产品线,并且采用了RSA作为产品名。
2001年,RSA Security 收购了Xcert International, Inc.、3G International 和Securant三家公司。
从2005到2006年,通过收购Cyota(2005年12月收购)和PassMark(2006年4月收购)并纳入RSA品牌之下,公司占据了消费者身份保护市场。
2006年9月,RSA Security被EMC公司(1979年成立)收购,成为RSA,EMC安全事业部。收购RSA的同时,EMC还收购了Network Intelligence,为RSA带来了行业领先的信息安全和事件管理(SIEM)解决方案,并将其整合到RSA事业部。
2007年2月,EMC代表RSA收购了Valyd,以便为各种数据库管理系统和保存在文件、文件夹和服务器上的敏感数据提供安全数据保护。
2007年6月,完成了对Verid的收购,为RSA占据的消费者身份保护领域增加了基于知识的验证解决方案。
2007年10月,RSA完成了对防止数据丢失解决方案领域的领先提供商Tablus Inc.的收购。 Tablus为RSA的数据安全业务增加了行业领先的数据恢复和分类、监控和防止数据丢失能力,通过发现和确认敏感数据;防止该数据泄露到组织外;通过策略驱动控制简化数据安全管理等帮助公司更好地满足市场以信息为中心的安全需要。
2007年10月,EMC发布的财务报告显示,RSA信息安全部门2007年第三季度的收入比上年被EMC收购前的同期收入增长了22%,达到1.33亿美元。业务增长主要得益于RSA身份认证核心业务,以及面向消费者的应用软件、信息安全和事件管理产品。该部门延续了其全面安全解决方案的成功,帮助企业满足合规要求,通盘管理整个企业的信息风险。
2007年11月,RSA 发布2007年在消费者认证和网络欺诈防护领域的主要成就,截至9月30日,全球超过20家金融机构已经购买RSA Go IDSM 网络认证服务, RSA 消费者安全防护套件的风险引擎处理了超过70亿笔金融网上交易。RSA反网络欺诈指挥中心庆祝成功运营三周年之际,已经有超过55,000次网络攻击被甄别。
