RSA2012美國大會結(jié)束以后，RSA總裁亞瑟.W.科維洛來到了中國北京，和幾家IT和行業(yè)類媒體進(jìn)行了一輪風(fēng)趣而睿智的訪談活動。

[[64642]] 

RSA總裁亞瑟.W.科維洛

以下是現(xiàn)場的采訪實錄。

記者：我們注意到在RSA2012大會之后，很多公司都在推出移動安全方面的產(chǎn)品和解決方案，RSA公司本身有沒有這方面的產(chǎn)品和解決方案即將推出？

亞瑟.科維洛：上周RSA正是對外發(fā)布了幾款針對移動設(shè)備接入或者移動接入的身份認(rèn)證產(chǎn)品。其實我們現(xiàn)在要做增值部分，盡管我們不能直接控制移動設(shè)備本身，但我們要設(shè)置一種普遍性的控制。現(xiàn)在有一個前提要說清楚，現(xiàn)有的安全機(jī)制，是無法處理目前這種開放式的設(shè)備、平臺、架構(gòu)安全。記得我跟你說，2001年和2011年安全差別，2001年你使用殺毒軟件，只有一、兩千種病毒簽名在病毒庫中，如果2011年你的病毒簽名就太多了，數(shù)以百萬計。每天你都會看到一些臨時攻擊，它可以繞過殺毒軟件的病毒簽名，他給你發(fā)一個釣魚郵件，直接繞過防火墻。所以我們說傳統(tǒng)的安全，不管是是殺毒軟件還是其他的點式、外圍的安防產(chǎn)品，到目前階段，已經(jīng)不可能做到完全防范了。所以如果你的網(wǎng)絡(luò)被入侵了，不要覺得很驚奇。無論我們多么努力的去培訓(xùn)員工或消費者，你們要注意防范，他們肯定會犯錯誤，只要他們犯了錯誤，黑客就會利用他們的錯誤侵入，對此我們也不要有什么大驚小怪的。我們要接受一個現(xiàn)實，網(wǎng)絡(luò)會被攻破，但網(wǎng)絡(luò)被攻破不一定必然有損失，我們可以在防范損失方面做一些工作。我們必須接受一定的風(fēng)險冗余度，這意味著我們要改變思維方式和行為方式。黑客利用的是自己掌握的信息和互聯(lián)網(wǎng)的速度，所以我們也跟黑客一樣，要挖掘現(xiàn)在擁有的數(shù)據(jù)中有價值的地方，讓它發(fā)揮作用。但是這樣做，不能依賴于原來那些屬于單點的安全。這個模型我在以前為大家做過介紹，為了找到問題，執(zhí)行相應(yīng)的安全策略，我們要有一個控制層，控制層有好幾個控制點，ID、基礎(chǔ)設(shè)施數(shù)據(jù)、信息等等，通過這些找到問題和執(zhí)行策略。在控制層，會有一些單點孤立產(chǎn)品，在這之上會有管理層，即控制面板管理層要去控制、管理單點安全產(chǎn)品。所以在管理層面上，它實際上就是一個控制面板，告訴你單點安全產(chǎn)品要做些什么，同時監(jiān)控單點運行產(chǎn)品的狀態(tài)。我們經(jīng)常說SOC（安全操作中心），這是它傳統(tǒng)的運行架構(gòu)。但在這些架構(gòu)下的產(chǎn)品是獨自運作，為我們提供的信息是非常少的。如果單點控制點之間各自為政，對我們來說，無法從他們單個身上獲得足夠的智能，我們希望以智能為導(dǎo)向的安全。

以智能為導(dǎo)向的安全有三方面，基于風(fēng)險、敏捷的、基于上下層的大背景。其實我們講基于風(fēng)險已經(jīng)談了很長時間了，但是我們并不認(rèn)為有什么安全公司有足夠的細(xì)致度，真正做到基于風(fēng)險的安全。首先我們對風(fēng)險要有全面、透徹的了解。我們要有更好的構(gòu)造，從而對IT技術(shù)設(shè)施獲得更高的可視性以及更好的管理它。所以不要像過去一樣，在漏洞上逐個加控制點，這樣做是沒有用的，我們要從風(fēng)險做起，首先考慮什么，我們面臨什么樣的風(fēng)險。那么我們?nèi)绾稳ダ斫饷媾R的風(fēng)險呢？首先你要看到，在這個系統(tǒng)和環(huán)境中，都存在什么漏洞，這些漏洞各自比利用的概率有多大。所以不光是自內(nèi)向外，同時還要自外向內(nèi)理解風(fēng)險。這是什么意思呢？我們?nèi)绾伪Ｗo(hù)自己是自內(nèi)而外的，從外到內(nèi)是指我們要考慮可能會有誰，以什么樣的方式來攻擊我們。我在RSA大會上也引用了《孫子兵法》的一句話，知己知彼百戰(zhàn)不殆，用白話來說，如果你看到遠(yuǎn)處樹在搖晃，你就知道敵人離我們不遠(yuǎn)了。一定要在遠(yuǎn)處觀察，才能了解敵人的動態(tài)。所以我們要從風(fēng)險開始做安全，而不是從底層開始做。如果管理風(fēng)險，把風(fēng)險最小化，我們有一套治理和合規(guī)的框架，幫我們管理風(fēng)險，執(zhí)行風(fēng)險策略。把風(fēng)險做好，建立起治理合規(guī)框架，這方面的需求可以被匹配到管理層，我們要知道管理什么，從而提出要求。我并不是說單點安全、單點控制不好，而是需要從它們身上挖掘、提取更多的智能，在這部分要去糟粕，留精華，有些地方不要了，但有些靈敏的基于風(fēng)險的控制點，我們要保留。

什么叫做具有敏捷性的控制點呢？我給大家舉幾個例子。比如在ID方面，我們不光需要那些能夠辨別、判斷證書真?zhèn)蔚漠a(chǎn)品，安全產(chǎn)品還必須要對用戶的消費能力做分析。這部分我隨后會有具體的介紹，基于風(fēng)險的身份認(rèn)證就是這個意思。DLP（數(shù)據(jù)丟失防護(hù)）是另外一個可以給我們更多智能信息的控制點。DLP可以幫助我們做什么呢？我們要在現(xiàn)有的信息庫中發(fā)現(xiàn)有用的，并進(jìn)行歸類的數(shù)據(jù)。現(xiàn)在我們在現(xiàn)代汽車大廈，假設(shè)我是現(xiàn)代汽車的CIO，我要分析存在什么樣的風(fēng)險，其中一個風(fēng)險是汽車設(shè)計圖被別人偷竊或者丟失了，所以要把設(shè)計圖作為資產(chǎn)進(jìn)行管理，這時候我就會告訴DLP產(chǎn)品管理平臺需要做什么?？刂婆_面板就會給DLP產(chǎn)品發(fā)出請求，找到基礎(chǔ)設(shè)施中所有的技術(shù)圖，通過DLP程序，我們可以設(shè)定對技術(shù)圖的管理，比如說技術(shù)圖在網(wǎng)絡(luò)傳輸?shù)穆窂绞鞘裁?，是否允許被打印、用電子郵件發(fā)出，用USB設(shè)備存儲，這些都可以作為安全策略由DLP執(zhí)行。同時在我們接觸的IT設(shè)施中還有持續(xù)監(jiān)控功能。我們看一下充滿著漏洞的“邊防”，別人從外部攻入是肯定會發(fā)生的一件事，這就像有賊會破門而入闖入你的房子，所以要在房間內(nèi)部安裝視頻監(jiān)控系統(tǒng)，一旦有人進(jìn)來，可以監(jiān)控情況。

那么如何很好的利用三種類型的控制點？目前通過SIEM（安全信息和事件管理）產(chǎn)品，把所有控制點日志信息匯總起來，可以說SIEM這款產(chǎn)品，成功為SOC提供了增值，但并沒有為我們提供太多的背景信息。我舉一個例子，有的用戶提供有效證書接入基礎(chǔ)設(shè)施，同時基礎(chǔ)設(shè)施持續(xù)監(jiān)控通過配置管理器發(fā)現(xiàn)有一個服務(wù)器沒有及時打補(bǔ)丁，但你可能忽略了這樣的警告信息。同時你有一個DLP工具，它執(zhí)行的策略是只有為數(shù)不多的幾個用戶才有權(quán)限訪問技術(shù)性數(shù)據(jù)。假設(shè)有一個銷售人員，接入網(wǎng)絡(luò)系統(tǒng)，提供了有效證書，沒有人覺得不正常。但這個銷售人員的問題在于他用的電腦存在木馬，這個木馬叫做身份劫持，而我們的身份管理安全產(chǎn)品沒有控制木馬進(jìn)入的功能。我們希望身份管理產(chǎn)品，可以發(fā)現(xiàn)存在木馬的電腦正在試圖訪問沒打補(bǔ)丁的服務(wù)器，做基礎(chǔ)設(shè)施持續(xù)監(jiān)控的產(chǎn)品，可以觀察到這個銷售人員其實跨越了自己的級別權(quán)限，他在訪問自己無權(quán)訪問的信息。接下來DLP產(chǎn)品可以告訴你，遭受非法訪問的信息對企業(yè)來說是非常有用的信息。如果只是單獨分析三個產(chǎn)品分別給你反映的情況，你搞不清楚狀況，不會覺得三者之間有任何關(guān)聯(lián)性。所以在第三個層次上，我們要匯總的不光是信息，我們希望可以把三個產(chǎn)品所反映的信息結(jié)合起來做分析。

這就是我們經(jīng)常在談的大數(shù)據(jù)問題，我們在大數(shù)據(jù)時代，能夠掌握企業(yè)大背景信息，獲得上下關(guān)聯(lián)的信息，只有通過信息匯總和分析，了解了背景情況，從而獲得那些我們需要快速采取行動的信息。比如我們看到使用帶有劫持木馬電腦的銷售人員要非法訪問對企業(yè)非常有價值的數(shù)據(jù)時，馬上把數(shù)據(jù)保護(hù)起來，進(jìn)行脫線。簡而言之就是說當(dāng)有人入侵到系統(tǒng)，我們可以把漏洞的時間窗口縮小，即使我們的網(wǎng)絡(luò)被入侵了，但可以把損失降到最低。但是這個框架、結(jié)構(gòu)還缺失了一部分，不光是IT系統(tǒng)本身的設(shè)施要挖掘信息，我們還要從外部獲取信息。我們需要更的信息或者說智能共享。因為我們需要快速的辨析什么樣的黑客以什么樣的方式入侵。為了保證數(shù)字世界中的互相信任，我們就需要安全向這個方向演進(jìn)發(fā)展。其實我們談到未來的安全模式，它更關(guān)注的信息是人，而不是硬件、服務(wù)器、設(shè)備或移動設(shè)備，這些是次要的。也就是說我們需要一些傳感設(shè)備，從不同的設(shè)備中挖掘信息、匯總起來?？梢允强蛻舳说能浖?，比如IPHONE就可以成為身份識別的手段，首先我們知道這個IPHONE是萬軍的，但這個手機(jī)出現(xiàn)了不符合尋常的情況，可能說明這個手機(jī)現(xiàn)在并不是萬軍在用。對于防惡意軟件的工具，也需要創(chuàng)新，不能像現(xiàn)在，依賴于病毒簽名。他們需要在未來，不依賴于軟件簽名的方式。我們說三個點，基于風(fēng)險我們說過了，什么叫敏捷呢？安全產(chǎn)品和安全機(jī)制，可以掌握交易的模型，跟蹤信息的流量，快速做出判斷，這是敏捷性。而CONTEXTUAL是指把背景信息抓上來，匯總起來進(jìn)行分析。

#p#

記者：這張圖好象把RSA所有的產(chǎn)品線說了一遍。

亞瑟.科維洛：你很有觀察力。我在談這個圖的時候，并不是在談RSA，而是談安全行業(yè)，在RSA安全大會上，我的主旨發(fā)言并不是作為RSA的代表，而是作為安全行業(yè)的代表來發(fā)言。如果我認(rèn)為整個安全行業(yè)都是這個大趨勢，RSA的戰(zhàn)略當(dāng)然也應(yīng)該是這樣的。既然RSA的戰(zhàn)略是這樣的，當(dāng)然RSA的產(chǎn)品就跟著戰(zhàn)略走。我跟客戶介紹RSA的時候，就是用這張圖，我不會從兜里拿出具體的產(chǎn)品，給他們看商標(biāo)、看產(chǎn)品。我會向他們解釋這張圖，問他們你們同意我這個觀點嗎？你們是否認(rèn)為未來安全應(yīng)該這樣做。這些客戶都無一例外的同意這個觀點。您非常直接，他們同意了這個說法，下一步我就把圖中填入RSA的產(chǎn)品，Archer、NetWitness、RSA基于風(fēng)險的身份認(rèn)證，RSA的DLP產(chǎn)品，其實這些部分，有些客戶不用RSA的產(chǎn)品也沒問題，因為我們可以在上層實現(xiàn)異構(gòu)，把不同廠商產(chǎn)品形成的信息都抓上來?？蛻艚?jīng)常表揚RSA，說RSA在安全領(lǐng)域是唯一一家對安全有全面、綜合考量的公司。而且我們也是唯一一家聚焦于治理和合規(guī)層次的安全廠商，也是唯一一家能夠提供全系列產(chǎn)品的安全廠商。

記者：最近RSA和Zscaler這家公司的合作為用戶提供了云計算的可信度，Zscaler有何過人之處？單靠RSA的解決方案不能為用戶提供可信登錄嗎？

亞瑟.科維洛：Zscaler是做云基礎(chǔ)設(shè)施控制點產(chǎn)品，而RSA不打算做這些。Zscaler不做身份管理也不做認(rèn)證，假設(shè)這里有一個員工想接入企業(yè)網(wǎng)絡(luò)，要通過Zscaler的產(chǎn)品，然后Zscaler對他們要進(jìn)行身份認(rèn)證，通過身份認(rèn)證后允許接入企業(yè)網(wǎng)，隨著一段時間過去，Zscaler有很多的信息，要把這些數(shù)據(jù)信息導(dǎo)入到治理可視層。所以我們宣布和Zscaler的合作，等于是一個結(jié)合。云架構(gòu)有三層，Zscaler是在底層基礎(chǔ)設(shè)施。

記者：看起來像IAAS？

亞瑟.科維洛：對。相當(dāng)于安全的IAAS。

記者：我們注意到您在RSA2011大會，2012大會都在呼吁聯(lián)合起來應(yīng)對黑客攻擊，但是防守方的合作，似乎不是那么有效，反倒是像Anonymous這樣的黑客組織跨行業(yè)、跨國界合作得不亦樂乎，您怎么看待這個問題？

亞瑟.科維洛：還記得我在上層說過要進(jìn)行情報共享？通過情報共享，關(guān)聯(lián)和分析引擎才能更好的運作。目前確實當(dāng)你一談信息共享，基本上就意味著要失敗了。首先國與國之間存在敵對關(guān)系、公司之間的競爭關(guān)系、不同的法律環(huán)境，比如說隱私保護(hù)法，讓我們無法實現(xiàn)一些信息的共享。因為上面提到的障礙，自上而下的結(jié)構(gòu)搭建就有困難，很難實現(xiàn)信息共享。但是現(xiàn)在消費者和員工在新技術(shù)的采納方面，不會再有耐心等企業(yè)，他們走在前頭了，這是從草根階層做起，所以企業(yè)自發(fā)組織進(jìn)行信息的分享。過去一年，我們發(fā)覺這個趨勢越來越明顯。事實上，在美國出現(xiàn)了一個信息分析共享委員會，這是分行業(yè)做的，他們做的是實時信息共享。但是還需要政府的幫助，要更好的保護(hù)我們，實際上希望修改相關(guān)的法律，國與國之間能夠合作，給我們提供更多的信息。這周前幾天我和澳大利亞的媒體在一起對話，我以盡可能禮貌、外交的語言指出，他們對某些問題有些夸大其詞了，他們其實沒有看到真正的問題所在，他們比較喜歡聳人聽聞的東西。但不是所有的澳大利亞媒體都這樣，但是我們知道，西方國家像美國這樣的媒體，比較喜歡發(fā)布聳人聽聞的信息。但其實這不怪他們，其實安全廠商有責(zé)任給他們提供更好的信息，做好自己的工作，避免爆炸性的新聞。我跟澳大利亞媒體說，傳媒有責(zé)任，報道安全相關(guān)的題目，這樣可以敦促政府行動。當(dāng)然不光是政府，企業(yè)的領(lǐng)導(dǎo)和CEO們也應(yīng)該了解目前的情況。像我們這些搞安全的企業(yè)，和記者如實溝通，把情況告訴你們，你們幫助我們把事情的原委報道給大眾，也許可以推動業(yè)界更好的合作。從而讓政府修改相關(guān)的政策，從而幫助安全行業(yè)，其中一項非常重要的工作就是推動、幫助我們實現(xiàn)信息共享。我非常希望國與國之間能夠有這樣一個信息共享的機(jī)制。

記者：我是行業(yè)媒體，比較側(cè)重于訪問行業(yè)用戶的聲音。我們今年對電子銀行做了系列訪問，電子營業(yè)部老板目前都在考慮電子銀行的安全問題，現(xiàn)在他們一方面是內(nèi)部升級電子證書，有些大銀行，像建設(shè)銀行建立了電子銀行風(fēng)險監(jiān)控平臺，通過一系列的手段降低風(fēng)險，一旦風(fēng)險發(fā)生后，他們會和監(jiān)管部門、公安部門合作。在這樣的大背景下，RSA公司如何深入與這些銀行合作？我們知道，現(xiàn)在銀行對安全公司特別是國外的安全公司很愛，但又不敢太愛，有時候不得已只能自己去建立風(fēng)險監(jiān)控平臺。

亞瑟.科維洛：在過去六年中，RSA專注的就是交易監(jiān)控和設(shè)備安全。在世界各大州，除了南極，有6000家銀行使用我們的產(chǎn)品。所以每天由RSA保護(hù)的帳戶數(shù)量達(dá)到了3億多?，F(xiàn)在我們這項技術(shù)大舉進(jìn)入印度，有了印度市場，用戶數(shù)至少還要再增加1億。除了設(shè)備識別、行為識別技術(shù)之外，我們還有一個防電子欺詐網(wǎng)絡(luò)。事實上我們不需要銀行主動跟我們分享信息，我們可以把這些信息推給銀行。比如烏克蘭有一個攻擊事件發(fā)生，我們掌握了它的IP地址，同樣的IP地址攻擊了蘇格蘭皇家銀行，當(dāng)入侵事件發(fā)生后，很短的時間內(nèi)，澳大利亞的銀行就會知道這個IP地址是不可信的。我們?nèi)蛴?000家銀行就可以想到我們的防欺詐系統(tǒng)多么有力，美國75%的銀行受到這項技術(shù)的保護(hù)?，F(xiàn)在我們正在中國提供這樣的技術(shù)。銀行可以有自己的措施和戰(zhàn)略，但至少根據(jù)我最新的信息，銀行業(yè)好、金融服務(wù)機(jī)構(gòu)也好都不是專業(yè)做安全的，而RSA是做安全的，我們一直準(zhǔn)備好為他們服務(wù)。

記者：可是他們不敢接受。

亞瑟.科維洛：我最喜歡的一句話是鄧小平說的“無論黑貓白貓，能抓老鼠的貓就是好貓?！编囆∑绞欠浅Ｃ髦堑念I(lǐng)導(dǎo)。

記者：除了建行已建了自己的監(jiān)控平臺，其他銀行也在跟進(jìn)。

Andy：也有跟我們合作的銀行。

亞瑟.科維洛：這些中國銀行其實可以考慮一下，RSA在全球有6000家銀行，而且有過去6年的經(jīng)驗，他們借用我們的平臺，可以有進(jìn)一步優(yōu)化效果。

記者：作為媒體我們愿意把好的東西拿過來，只要這個信息可以得到保密，我們愿意共享信息。

Andy：這里做的安全和以前做的密碼安全是不一樣的，你可以把它看成某種應(yīng)用程序，這種應(yīng)用程序掌握了全球黑客的行為，所有的控制還是掌握在銀行手中，所以中方不用去擔(dān)憂數(shù)據(jù)外泄或者說解決方案中會安裝后門，讓外國人看到。

亞瑟.科維洛：雖然是RSA的產(chǎn)品，但拿給用戶了，RSA就不知道里面有什么信息。

Andy：這就像中國使用了很多外國路由器一樣的道理。

記者：我記得以前看過一個電影《國家公敵》，里面有一句經(jīng)典的話“你用的高科技產(chǎn)品越多，你的眼睛就越小?！碧O果在發(fā)展的時候，走了反向路徑，系統(tǒng)逐漸收縮封閉。目前看蘋果的產(chǎn)品比其他產(chǎn)品的安全性更好一點，這種趨勢是否會改變今后信息安全發(fā)展的趨勢和路徑？

亞瑟.科維洛：其實直到幾年前蘋果的平臺并不是一個企業(yè)級的平臺。99%的企業(yè)使用的電腦還是Windows平臺，所以你如果是黑客，會選擇掌握哪種技巧攻擊哪種平臺呢？事實上蘋果確實是專有平臺，但一旦黑客感覺有利可圖，會找到攻入系統(tǒng)的方式。做安全行業(yè)的人有一句行話“只要默默無聞就能安全?！睒浯蟛拍苷酗L(fēng)，不出名就安全了?，F(xiàn)在蘋果絕對不再是默默無聞的了，原來用MAC電腦的人都是做平面設(shè)計的發(fā)燒友，現(xiàn)在已經(jīng)不是這樣了。像安卓這樣的平臺，因為開放，更易受到攻擊，但絕對不存在百分之百安全的東西。不管蘋果的系統(tǒng)多么封閉，不可避免的是蘋果設(shè)備會受到越來越多的攻擊。你看過《侏羅紀(jì)公園》，說侏羅紀(jì)公園有完善的物理防范體系，說恐龍肯定跑不出來，結(jié)果呢？

記者：亞瑟剛剛畫了產(chǎn)品圖，我可不可以把這個圖理解為這是一個神經(jīng)中樞，可以植入電腦。

亞瑟.科維洛：你干脆把它叫做大腦吧。

記者：基于風(fēng)險又可以動態(tài)分析風(fēng)險的系統(tǒng)，您預(yù)計什么時候可以普及？

亞瑟.科維洛：這個問題問得特別好。跟客戶在一起的時候，他們說最上層看上去很美，他們喜歡這部分，然后客戶又問了，這么好的東西，執(zhí)行起來有點復(fù)雜。但我想問一下，你們覺得中層和下層做得怎么樣呢？有的基于控制點的系統(tǒng)，現(xiàn)在產(chǎn)生大量的數(shù)據(jù)和信息。信息量太大了，以至于不知道到底根據(jù)哪個信息采取行動。而最上層這個環(huán)節(jié)不是一蹴而就的，有人可能已經(jīng)使用了SIEM，再加一個持續(xù)監(jiān)控部分，我們覺得要止損，非常重要的手段就是安裝視頻監(jiān)控。而打造關(guān)聯(lián)分析引擎需要做很多工作?；旧弦婚_始我們第一步要做的，這個引擎分析的是視頻傳的數(shù)據(jù)信息還有SIEM提供的分析信息，其實這個引擎隨著你不斷運轉(zhuǎn)，時間越長，具有的智能性越強(qiáng)，就可以從中獲得更多的信息，然后運轉(zhuǎn)和反應(yīng)就會更加敏捷。GRC（治理、風(fēng)險與合規(guī)）部分其實是調(diào)控部分，可以更有效的進(jìn)行綜合管理。所以我堅信，在上層部分，你投的錢越多，在中下層節(jié)約的錢就越多。所以我對客戶的建議盡快轉(zhuǎn)向這個模型，因為SOC架構(gòu)，沒有彈性，現(xiàn)在越來越維持不下去了，快要崩潰了。我們有一個做SOC的客戶，他們說我們的SOC系統(tǒng)很好，但是你說的視頻監(jiān)控系統(tǒng)很好，所以我們要做POC驗證。結(jié)果他們做POC的時候，發(fā)覺現(xiàn)有的基礎(chǔ)設(shè)施里，經(jīng)常出現(xiàn)而且持續(xù)有知識產(chǎn)權(quán)被竊取。因為IP失竊了，但靠SOC的單點信息，捕捉不到失竊信息。如何設(shè)置新的控制點？如果出現(xiàn)了新的攻擊性質(zhì)，立即設(shè)置新的防護(hù)形式去覆蓋它。我們不可能對每個個體攻擊都做到防患于未然，但是我們要做的是給系統(tǒng)安上眼睛，這個系統(tǒng)能看到所有發(fā)起的攻擊，盡快的采取止損行為。

記者：去年年底的時候，中國天涯、人人出現(xiàn)客戶信息丟失情況，而很多客戶信息丟失有一小部分伴隨著帳號丟失，現(xiàn)金竊取。但大部分人信息丟失后，只是個人信息泄露，并沒有造成太大的損害。這種情況在2011年達(dá)到了頂峰，互聯(lián)網(wǎng)安全那么嚴(yán)峻，每一個網(wǎng)民個體沒辦法維護(hù)自己的利益，案件發(fā)生后沒有原告，出現(xiàn)這樣的情況如何解決？

亞瑟.科維洛：我們對這種問題已經(jīng)了解得太多了，每天報紙上都會有關(guān)于網(wǎng)絡(luò)犯罪的報道，現(xiàn)在我們要采取行動了。就像消費者個人，中國的網(wǎng)民看了報道后，但沒有辦法。當(dāng)然我們可以跟他們說，你們上網(wǎng)的時候要有一些注意，可能會有一定的幫助。但是我認(rèn)為和消費者對口的組織、機(jī)構(gòu)應(yīng)該保護(hù)網(wǎng)民。政府也有義務(wù)，他們應(yīng)該做更多的工作保護(hù)自己的公民。我覺得網(wǎng)絡(luò)犯罪，我們應(yīng)該找到一種更行之有效的方法對其進(jìn)行懲戒。所以回到剛剛呼吁的那件事，國家要修訂法律，制訂適當(dāng)?shù)恼?，攜手合作，推動信息分享，讓相關(guān)機(jī)構(gòu)可以對消費者和網(wǎng)民進(jìn)行保護(hù)。事實上，在數(shù)字世界，這種信任已經(jīng)受到極大的傷害，所以我們需要采取措施重新建立這種信任。我覺得我們應(yīng)該充分利用技術(shù)已經(jīng)具備的能力，不能倒退，必須做得更好。RSA是非常希望能夠幫助到中國人民和中國的企業(yè)，而且我們有很強(qiáng)的能力這樣做。

記者：我之前做技術(shù)的時用RSA的Token，每分鐘變一次，后來其他公司出的產(chǎn)品半分鐘變一次，就這個問題我們在微博爭論得很激烈，現(xiàn)在需要您給評評理。

亞瑟.科維洛：問題是每30秒變一次，你都來不及輸入。

Andy：其實我們在香港是推30秒的Token。

亞瑟.科維洛：有中間人和瀏覽器的攻擊形式。以時間為技術(shù)的東西比以事件為基礎(chǔ)的令牌要困難一點。其實做Token時間的長度和安全與否并沒有直接的聯(lián)系，我們在香港賣30秒token，因為香港政府需要這樣做。如果你用令牌，人家用木馬，還是可以插進(jìn)來，所以令牌時間不是問題，它在前端，我們說的RISK的方法是在后端。分析行為模式的風(fēng)險來判斷這個行為是否正當(dāng)，所有的國際廠商都是這樣的。