RSA信息安全大会2012采访侧记

　　提到四川，那就不得不让人想到火锅、龙抄手等各种美食。不过，在这个秋风送爽的8月底，身在成都的人们所能够“饕餮”的却不仅仅只是美食，2012年8月28？29日，主题为“伟大的密码胜于利剑(The Great Cipher： Mightier than the Sword)”的RSA信息安全大会2012在成都召开。作为信息业界久负盛名的大会之一，在本次中国区的活动上，RSA信息安全大会2012从应用安全与密码学、云安全、移动与网络计算、可信计算、安全业务管理、网络威胁等多个安全维度，对信息安全的发展和趋势进行了不同程度的阐述。

　　“信息技术不仅促进了政府、企业和社会的数字化，而且极大地改变了我们的生活和工作，信息网络基础设施得到明显加强，电子政务、电子商务、网上银行等各类信息网络应用在中国同步发展。”工业和信息化部电子科学技术情报研究所副所长刘九如在大会致辞中表示，“然而信息技术的深入应用也引发了新的问题，信息安全如今已经成为全球普遍关注的话题。”

　　来自科研机构、高校院所的专家以及多个行业的用户出席了本次大会，EMC、赛门铁克、山石网科、网康等安全企业也在大会上发表了相关演讲。

　　鹅毛笔与利剑

　　数据安全从来都是与争端、利益捆绑在一起的。不过，同我们今天所见到的数字化加密方式不同，最早的数据安全主要是以特殊的方式对文字进行阅读，因此，其又被称之为密码学(Cryptography)。密码学这一词语被一直沿用至今，其意义已经被引申到了对数字信息和信息传输的加密与认证上。

　　最早应用了密码学的史料可以追溯到公元前1900年的埃及古王国时期。在此之后，由于密码学特有的私密性，使得其被频繁应用于军事活动与战争中。著名的斯巴达人就曾将密码学用于与希腊人的战争中。

　　密码学应用于战争中的经典案例发生在17世纪的法国。当时，执政的罗马天主教和被称为胡格诺派的法国新教徒之间爆发了一场宗教战争。1626年，胡格诺派被围困起来，但他们拒绝向皇家军队投降。

　　天主教徒对如何突破胡格诺派防御毫无办法，他们将面临一场漫长的战争，直到他们截获了一封胡格诺派向其盟友求援的加密信。当时军队中没有人能够破译密码，最后他们将信交给了附近小镇的数学家Antoine Rossignol，他破译了这封信件，并得知胡格诺派正处于急需物资和弹药的困境。胡格诺派在此后不久便投降了，而Antoine则引起了红衣主教黎塞留的注意，安全密码和代码在外交和情报方面的巨大价值从此开始被执政机构所认识到。

　　作为密码学家，Antoine开发了伟大密码(Great Cipher)，并成立了黑室，用于对截获的信件进行审查。不过，随着时间的推移，伟大密码(Great Cipher)被逐渐弃用，其密钥也最终遗失。这种密码在随后的两个世纪始终无法被破解，这也使得历史学家无法阅读那个年代经过编码的外交记录。直到1893年前后，一名法国军事密码分析家才最终将它破译。

　　RSA信息安全大会2012之所以将主题命名为“伟大的密码胜于利剑”，原因也就在于此：在战争中，利用象征情报的“鹅毛笔”，要比挥舞着象征着武力的“利剑”更容易取得胜利。尽管今天我们已经掌握了先进的密码、算法和技术，但是只有对工具善加利用，使其始终走在网络威胁的前面，并不断地发扬持续创新的精神，我们才能取得成功。

　　网络威胁：“诸葛亮是个安全大师”

　　时至今日，安全依然与政治和军事脱不开干系。前一阵被发现的Flame病毒，就被很多安全专家认为是网络战争的一种兵器，而非针对普通计算机用户的病毒或后门程序。

　　“安全是一个永远不可能成熟的领域。”EMC公司执行副总裁兼EMC信息安全事业部RSA执行主席Arthur Coviello表示，“其发展程度与攻击手段的执行方式有很大关系，而与用户需求以及厂商的推动关系不大。”

　　所谓“道高一尺，魔高一丈”，对信息安全的防护本就是个遇强则强、遇弱则弱的过程，而对数据的攻击也同样如此。没有绝对的安全，这一概念已经逐渐成为安全领域内的共识。身在成都，Arthur也非常形象地以诸葛亮的谋略举例，他认为，诸葛亮已经将安全攻防理解得非常透彻了，“诸葛亮有一种非常强的领导力和洞察力。不管是在疆域的覆盖范围还是物产资源丰富程度方面，蜀汉都不是三国时期最强的，但是诸葛亮在军事上的谋略天才帮助蜀汉得以发展。一方面，他相信，最好的防御就是进攻；另一方面，他也认识到，即使有崇山峻岭这般的天险，人类的能力和创新也会将其攻破。”

　　这个例子非常鲜明地表现了Arthur的态度：用户在面对信息安全问题时，不仅要善于防范，同时还要能够迅速对突破了防御系统的攻击进行响应。他所公布的一组调查数据显示，在接受调查的企业以及组织的预算中，80%的预算份额主要用于预防信息安全犯罪，有15%的部分用于监测相关风险，而应急响应所能获得的部分只有5%。用户在认知方面的误区，成为企业信息安全的一大挑战。为了解决这一问题，Arthur提出了一个“3D”的概念：“Deter(阻止)、Detect(侦测)以及Defeat(击败)，这三个过程一个也不能少。”

　　长期投身于数据安全保护领域的人应该都有这种感觉：数据安全并不仅仅只是包含技术方面的内容，除了技术以外，安全还应该具备法规、制度以及权限等诸多要素。也正因为这样，Arthur非常希望各国政府能够参与到对信息安全的防护中，以法规制定者以及安全信息共享发起者的身份出现，以更为集中的方式应对安全问题和挑战，“我们必须打造一个不仅有政府，还有业界厂商、用户组织共同参与的生态系统，共同创造、培育数字宇宙间的信任感。随着数字社会的发展，我们必须把实际社会中的法律、法规应用到数字领域中，这就好像我们不希望大规模杀伤性武器落到恐怖主义分子手中一样，我们也不希望电脑攻击工具落到犯罪分子的手中。”

　　安全业务管理：EMC自己是如何做安全的？

　　尽管RSA信息安全大会是一个独立的会议品牌，不过提到RSA，依然会让人联想到其母公司EMC。在这样的IT“大佬”企业里面负责安全，EMC副总裁兼首席安全官Dave Martin别有一番滋味在心头：“任何一家公司都会有大量的工程师职员，有些时候他们会认为自己更善于去做相关的安全工作。因此，对他们进行管理是一件非常困难的事情。”

　　在EMC内部，对于数据的保护非常依赖于权限控制，也就是我们常说的“让正确的人利用正确的权限访问正确的资源”。同时，EMC内部在数据安全方面也在使用自己的技术和产品。Dave介绍说，在EMC，首席安全官这个职位并不仅仅是保护公司的数据，同时，也会规划EMC的战略发展方向，“在产品发布前，我们都会先进行使用。如果我们认为这个产品适合EMC的话，那么毫无疑问这个产品也能适合全球的大公司来使用。”

　　身兼厂商与用户“双重身份”，使得Dave能够更为准确地把握业界的主流技术趋势。比如，针对BYOD(Bring Your Own Device，自带设备办公)的热潮，Dave就有着自己的看法。一方面，通过在EMC内部的实践，Dave认为其可以为员工提供更好的办公效率；不过另一方面，由于接入终端的不确定性，因此使用环境会经常发生变化。Dave还提到说，由于对设备的合理管控需要采购新的产品和方案，因此实施BYOD并不一定能够减少企业在IT投入方面的成本，甚至有可能还会增加投资。同时，EMC会为员工自带的设备开辟一个内部使用社区，IT部门也会做一些兼容性的检测，但是，这种IT技术支持是很有限的。IT部门还是会优先为企业自己的设备提供更为全面的支持。

　　“通过对自身环境的数据保护，我们能够不断完善相关的流程和产品。这使得EMC能够更好地去面对不同的群体和使用者。”Dave总结说道。

　　云安全：不要百分百安全

　　Davi Ottenheimer曾经在大型厂商、上市投资管理公司以及互联网公司工作过，不过如今，作为flyingpenguin公司的CEO，Davi的主要职责是帮助用户看到并评估那些潜在的风险，并就风险做出响应；同时能为安全软件和硬件厂商提供策略性和具有竞争性的信息。

　　因此，将flyingpenguin说成是厂商和用户之间的纽带并不为过。Davi自己也比较认可这种说法，“只靠卖产品可以挣很多的钱，但是，单纯卖产品的公司却不懂得用户需求。有很多产品可以帮助企业解决容易的问题，但是市场真正需要的是那些了解这些产品如何运作，而且真正能够支持这个产品的人。我接触的很多用户虽然也愿意买到解决方案和产品，但是他们更多的是希望能够通过自己对这个产品更深入的了解来自主提升方案的价值。”

　　作为一位PCI DSS(支付卡行业数据安全标准)和PA-DSS(支付应用程序数据安全标准)评估师，Davi对于金融数据安全有着自己的理解。他认为，尽管金融行业已经有诸多条款来对数据丢失和泄漏进行限制，然而，这些只是最低限度的要求，“我们的目的并不是要保证百分之百的安全，而是要有能力随时预知安全隐患，并可以及时地预测出来，降低损失。”

　　Davi将云安全分为了三个标准：保密性、诚信、可用性。在他为用户进行云部署咨询时，用户可以用这三个标准来进行选择。Davi建议用户在实施云计算前先要认真地了解服务供应商的服务水平的协议内容，比如服务供应商有什么备份服务、出现事故的时候怎么去处理、它们会怎样使用用户的数据、是只担任监管方还是其他角色等，所有这些内容都需要用户与服务提供商达成一致协议。

　　另外，用户还需要了解使用云服务的退出障碍问题。其中一个最关键的挑战就是，一旦选择了一个云的供应商，就很难离开这个供应商。因此，用户在选择的时候，要做好评估，避免被锁定。如果用户选择了某家云供应商，却无法获得想要的服务，但离开它又会面临很大安全风险的话，用户就会陷入两难的境地。

　　本报记者 李旭阳