“饕餮”安全

提到四川，那就不得不讓人想到火鍋、龍抄手等各種美食。不過，在這個秋風送爽的8月底，身在成都的人們所能夠“饕餮”的卻不僅僅只是美食，2012年8月28～29日，主題為“偉大的密碼勝于利劍（The Great Cipher: Mightier than the Sword）”的RSA信息安全大會2012在成都召開。作為信息業界久負盛名的大會之一，在本次中國區的活動上，RSA信息安全大會2012從應用安全與密碼學、云安全、移動與網絡計算、可信計算、安全業務管理、網絡威脅等多個安全維度，對信息安全的發展和趨勢進行了不同程度的闡述。

“信息技術不僅促進了政府、企業和社會的數字化，而且極大地改變了我們的生活和工作，信息網絡基礎設施得到明顯加強，電子政務、電子商務、網上銀行等各類信息網絡應用在中國同步發展。”工業和信息化部電子科學技術情報研究所副所長劉九如在大會致辭中表示，“然而信息技術的深入應用也引發了新的問題，信息安全如今已經成為全球普遍關注的話題。”

來自科研機構、高校院所的專家以及多個行業的用戶出席了本次大會，EMC、賽門鐵克、山石網科、網康等安全企業也在大會上發表了相關演講。

鵝毛筆與利劍

數據安全從來都是與爭端、利益捆綁在一起的。不過，同我們今天所見到的數字化加密方式不同，最早的數據安全主要是以特殊的方式對文字進行閱讀，因此，其又被稱之為密碼學（Cryptography）。密碼學這一詞語被一直沿用至今，其意義已經被引申到了對數字信息和信息傳輸的加密與認證上。

最早應用了密碼學的史料可以追溯到公元前1900年的埃及古王國時期。在此之后，由于密碼學特有的私密性，使得其被頻繁應用于軍事活動與戰爭中。著名的斯巴達人就曾將密碼學用于與希臘人的戰爭中。

密碼學應用于戰爭中的經典案例發生在17世紀的法國。當時，執政的羅馬天主教和被稱為胡格諾派的法國新教徒之間爆發了一場宗教戰爭。1626年，胡格諾派被圍困起來，但他們拒絕向皇家軍隊投降。

天主教徒對如何突破胡格諾派防御毫無辦法，他們將面臨一場漫長的戰爭，直到他們截獲了一封胡格諾派向其盟友求援的加密信。當時軍隊中沒有人能夠破譯密碼，最后他們將信交給了附近小鎮的數學家Antoine Rossignol，他破譯了這封信件，并得知胡格諾派正處于急需物資和彈藥的困境。胡格諾派在此后不久便投降了，而Antoine則引起了紅衣主教黎塞留的注意，安全密碼和代碼在外交和情報方面的巨大價值從此開始被執政機構所認識到。

作為密碼學家，Antoine開發了偉大密碼（Great Cipher），并成立了黑室，用于對截獲的信件進行審查。不過，隨著時間的推移，偉大密碼（Great Cipher）被逐漸棄用，其密鑰也最終遺失。這種密碼在隨后的兩個世紀始終無法被破解，這也使得歷史學家無法閱讀那個年代經過編碼的外交記錄。直到1893年前后，一名法國軍事密碼分析家才最終將它破譯。

RSA信息安全大會2012之所以將主題命名為“偉大的密碼勝于利劍”，原因也就在于此：在戰爭中，利用象征情報的“鵝毛筆”，要比揮舞著象征著武力的“利劍”更容易取得勝利。盡管今天我們已經掌握了先進的密碼、算法和技術，但是只有對工具善加利用，使其始終走在網絡威脅的前面，并不斷地發揚持續創新的精神，我們才能取得成功。

網絡威脅：“諸葛亮是個安全大師”

時至今日，安全依然與政治和軍事脫不開干系。前一陣被發現的Flame病毒，就被很多安全專家認為是網絡戰爭的一種兵器，而非針對普通計算機用戶的病毒或后門程序。

“安全是一個永遠不可能成熟的領域。”EMC公司執行副總裁兼EMC信息安全事業部RSA執行主席Arthur Coviello表示，“其發展程度與攻擊手段的執行方式有很大關系，而與用戶需求以及廠商的推動關系不大。”

所謂“道高一尺，魔高一丈”，對信息安全的防護本就是個遇強則強、遇弱則弱的過程，而對數據的攻擊也同樣如此。沒有絕對的安全，這一概念已經逐漸成為安全領域內的共識。身在成都，Arthur也非常形象地以諸葛亮的謀略舉例，他認為，諸葛亮已經將安全攻防理解得非常透徹了，“諸葛亮有一種非常強的領導力和洞察力。不管是在疆域的覆蓋范圍還是物產資源豐富程度方面，蜀漢都不是三國時期最強的，但是諸葛亮在軍事上的謀略天才幫助蜀漢得以發展。一方面，他相信，最好的防御就是進攻；另一方面，他也認識到，即使有崇山峻嶺這般的天險，人類的能力和創新也會將其攻破。”

這個例子非常鮮明地表現了Arthur的態度：用戶在面對信息安全問題時，不僅要善于防范，同時還要能夠迅速對突破了防御系統的攻擊進行響應。他所公布的一組調查數據顯示，在接受調查的企業以及組織的預算中，80%的預算份額主要用于預防信息安全犯罪，有15%的部分用于監測相關風險，而應急響應所能獲得的部分只有5%。用戶在認知方面的誤區，成為企業信息安全的一大挑戰。為了解決這一問題，Arthur提出了一個“3D”的概念：“Deter（阻止）、Detect（偵測）以及Defeat（擊敗），這三個過程一個也不能少。”

長期投身于數據安全保護領域的人應該都有這種感覺：數據安全并不僅僅只是包含技術方面的內容，除了技術以外，安全還應該具備法規、制度以及權限等諸多要素。也正因為這樣，Arthur非常希望各國政府能夠參與到對信息安全的防護中，以法規制定者以及安全信息共享發起者的身份出現，以更為集中的方式應對安全問題和挑戰，“我們必須打造一個不僅有政府，還有業界廠商、用戶組織共同參與的生態系統，共同創造、培育數字宇宙間的信任感。隨著數字社會的發展，我們必須把實際社會中的法律、法規應用到數字領域中，這就好像我們不希望大規模殺傷性武器落到恐怖主義分子手中一樣，我們也不希望電腦攻擊工具落到犯罪分子的手中。”

安全業務管理：

EMC自己是如何做安全的?

盡管RSA信息安全大會是一個獨立的會議品牌，不過提到RSA，依然會讓人聯想到其母公司EMC。在這樣的IT“大佬”企業里面負責安全，EMC副總裁兼首席安全官Dave Martin別有一番滋味在心頭：“任何一家公司都會有大量的工程師職員，有些時候他們會認為自己更善于去做相關的安全工作。因此，對他們進行管理是一件非常困難的事情。”

在EMC內部，對于數據的保護非常依賴于權限控制，也就是我們常說的“讓正確的人利用正確的權限訪問正確的資源”。同時，EMC內部在數據安全方面也在使用自己的技術和產品。Dave介紹說，在EMC，首席安全官這個職位并不僅僅是保護公司的數據，同時，也會規劃EMC的戰略發展方向，“在產品發布前，我們都會先進行使用。如果我們認為這個產品適合EMC的話，那么毫無疑問這個產品也能適合全球的大公司來使用。”

身兼廠商與用戶“雙重身份”，使得Dave能夠更為準確地把握業界的主流技術趨勢。比如，針對BYOD（Bring Your Own Device，自帶設備辦公）的熱潮，Dave就有著自己的看法。一方面，通過在EMC內部的實踐，Dave認為其可以為員工提供更好的辦公效率；不過另一方面，由于接入終端的不確定性，因此使用環境會經常發生變化。Dave還提到說，由于對設備的合理管控需要采購新的產品和方案，因此實施BYOD并不一定能夠減少企業在IT投入方面的成本，甚至有可能還會增加投資。同時，EMC會為員工自帶的設備開辟一個內部使用社區，IT部門也會做一些兼容性的檢測，但是，這種IT技術支持是很有限的。IT部門還是會優先為企業自己的設備提供更為全面的支持。

“通過對自身環境的數據保護，我們能夠不斷完善相關的流程和產品。這使得EMC能夠更好地去面對不同的群體和使用者。”Dave總結說道。

云安全：

不要百分百安全

Davi Ottenheimer曾經在大型廠商、上市投資管理公司以及互聯網公司工作過，不過如今，作為flyingpenguin公司的CEO，Davi的主要職責是幫助用戶看到并評估那些潛在的風險，并就風險做出響應；同時能為安全軟件和硬件廠商提供策略性和具有競爭性的信息。

因此，將flyingpenguin說成是廠商和用戶之間的紐帶并不為過。Davi自己也比較認可這種說法，“只靠賣產品可以掙很多的錢，但是，單純賣產品的公司卻不懂得用戶需求。有很多產品可以幫助企業解決容易的問題，但是市場真正需要的是那些了解這些產品如何運作，而且真正能夠支持這個產品的人。我接觸的很多用戶雖然也愿意買到解決方案和產品，但是他們更多的是希望能夠通過自己對這個產品更深入的了解來自主提升方案的價值。”

作為一位PCI DSS(支付卡行業數據安全標準)和PA-DSS（支付應用程序數據安全標準）評估師，Davi對于金融數據安全有著自己的理解。他認為，盡管金融行業已經有諸多條款來對數據丟失和泄漏進行限制，然而，這些只是最低限度的要求，“我們的目的并不是要保證百分之百的安全，而是要有能力隨時預知安全隱患，并可以及時地預測出來，降低損失。”

Davi將云安全分為了三個標準：保密性、誠信、可用性。在他為用戶進行云部署咨詢時，用戶可以用這三個標準來進行選擇。Davi建議用戶在實施云計算前先要認真地了解服務供應商的服務水平的協議內容，比如服務供應商有什么備份服務、出現事故的時候怎么去處理、它們會怎樣使用用戶的數據、是只擔任監管方還是其他角色等，所有這些內容都需要用戶與服務提供商達成一致協議。

另外，用戶還需要了解使用云服務的退出障礙問題。其中一個最關鍵的挑戰就是，一旦選擇了一個云的供應商，就很難離開這個供應商。因此，用戶在選擇的時候，要做好評估，避免被鎖定。如果用戶選擇了某家云供應商，卻無法獲得想要的服務，但離開它又會面臨很大安全風險的話，用戶就會陷入兩難的境地。