提到四川，那就不得不讓人想到火鍋、龍抄手等各種美食。不過，在這個(gè)秋風(fēng)送爽的8月底，身在成都的人們所能夠“饕餮”的卻不僅僅只是美食，2012年8月28～29日，主題為“偉大的密碼勝于利劍（The Great Cipher: Mightier than the Sword）”的RSA信息安全大會(huì)2012在成都召開。作為信息業(yè)界久負(fù)盛名的大會(huì)之一，在本次中國(guó)區(qū)的活動(dòng)上，RSA信息安全大會(huì)2012從應(yīng)用安全與密碼學(xué)、云安全、移動(dòng)與網(wǎng)絡(luò)計(jì)算、可信計(jì)算、安全業(yè)務(wù)管理、網(wǎng)絡(luò)威脅等多個(gè)安全維度，對(duì)信息安全的發(fā)展和趨勢(shì)進(jìn)行了不同程度的闡述。

“信息技術(shù)不僅促進(jìn)了政府、企業(yè)和社會(huì)的數(shù)字化，而且極大地改變了我們的生活和工作，信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施得到明顯加強(qiáng)，電子政務(wù)、電子商務(wù)、網(wǎng)上銀行等各類信息網(wǎng)絡(luò)應(yīng)用在中國(guó)同步發(fā)展。”工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所副所長(zhǎng)劉九如在大會(huì)致辭中表示，“然而信息技術(shù)的深入應(yīng)用也引發(fā)了新的問題，信息安全如今已經(jīng)成為全球普遍關(guān)注的話題?！?/p>

來自科研機(jī)構(gòu)、高校院所的專家以及多個(gè)行業(yè)的用戶出席了本次大會(huì)，EMC、賽門鐵克、山石網(wǎng)科、網(wǎng)康等安全企業(yè)也在大會(huì)上發(fā)表了相關(guān)演講。

鵝毛筆與利劍

數(shù)據(jù)安全從來都是與爭(zhēng)端、利益捆綁在一起的。不過，同我們今天所見到的數(shù)字化加密方式不同，最早的數(shù)據(jù)安全主要是以特殊的方式對(duì)文字進(jìn)行閱讀，因此，其又被稱之為密碼學(xué)（Cryptography）。密碼學(xué)這一詞語被一直沿用至今，其意義已經(jīng)被引申到了對(duì)數(shù)字信息和信息傳輸?shù)募用芘c認(rèn)證上。

最早應(yīng)用了密碼學(xué)的史料可以追溯到公元前1900年的埃及古王國(guó)時(shí)期。在此之后，由于密碼學(xué)特有的私密性，使得其被頻繁應(yīng)用于軍事活動(dòng)與戰(zhàn)爭(zhēng)中。著名的斯巴達(dá)人就曾將密碼學(xué)用于與希臘人的戰(zhàn)爭(zhēng)中。

密碼學(xué)應(yīng)用于戰(zhàn)爭(zhēng)中的經(jīng)典案例發(fā)生在17世紀(jì)的法國(guó)。當(dāng)時(shí)，執(zhí)政的羅馬天主教和被稱為胡格諾派的法國(guó)新教徒之間爆發(fā)了一場(chǎng)宗教戰(zhàn)爭(zhēng)。1626年，胡格諾派被圍困起來，但他們拒絕向皇家軍隊(duì)投降。

天主教徒對(duì)如何突破胡格諾派防御毫無辦法，他們將面臨一場(chǎng)漫長(zhǎng)的戰(zhàn)爭(zhēng)，直到他們截獲了一封胡格諾派向其盟友求援的加密信。當(dāng)時(shí)軍隊(duì)中沒有人能夠破譯密碼，最后他們將信交給了附近小鎮(zhèn)的數(shù)學(xué)家Antoine Rossignol，他破譯了這封信件，并得知胡格諾派正處于急需物資和彈藥的困境。胡格諾派在此后不久便投降了，而Antoine則引起了紅衣主教黎塞留的注意，安全密碼和代碼在外交和情報(bào)方面的巨大價(jià)值從此開始被執(zhí)政機(jī)構(gòu)所認(rèn)識(shí)到。

作為密碼學(xué)家，Antoine開發(fā)了偉大密碼（Great Cipher），并成立了黑室，用于對(duì)截獲的信件進(jìn)行審查。不過，隨著時(shí)間的推移，偉大密碼（Great Cipher）被逐漸棄用，其密鑰也最終遺失。這種密碼在隨后的兩個(gè)世紀(jì)始終無法被破解，這也使得歷史學(xué)家無法閱讀那個(gè)年代經(jīng)過編碼的外交記錄。直到1893年前后，一名法國(guó)軍事密碼分析家才最終將它破譯。

RSA信息安全大會(huì)2012之所以將主題命名為“偉大的密碼勝于利劍”，原因也就在于此：在戰(zhàn)爭(zhēng)中，利用象征情報(bào)的“鵝毛筆”，要比揮舞著象征著武力的“利劍”更容易取得勝利。盡管今天我們已經(jīng)掌握了先進(jìn)的密碼、算法和技術(shù)，但是只有對(duì)工具善加利用，使其始終走在網(wǎng)絡(luò)威脅的前面，并不斷地發(fā)揚(yáng)持續(xù)創(chuàng)新的精神，我們才能取得成功。

網(wǎng)絡(luò)威脅：“諸葛亮是個(gè)安全大師”

時(shí)至今日，安全依然與政治和軍事脫不開干系。前一陣被發(fā)現(xiàn)的Flame病毒，就被很多安全專家認(rèn)為是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的一種兵器，而非針對(duì)普通計(jì)算機(jī)用戶的病毒或后門程序。

“安全是一個(gè)永遠(yuǎn)不可能成熟的領(lǐng)域?！盓MC公司執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席Arthur Coviello表示，“其發(fā)展程度與攻擊手段的執(zhí)行方式有很大關(guān)系，而與用戶需求以及廠商的推動(dòng)關(guān)系不大。”

所謂“道高一尺，魔高一丈”，對(duì)信息安全的防護(hù)本就是個(gè)遇強(qiáng)則強(qiáng)、遇弱則弱的過程，而對(duì)數(shù)據(jù)的攻擊也同樣如此。沒有絕對(duì)的安全，這一概念已經(jīng)逐漸成為安全領(lǐng)域內(nèi)的共識(shí)。身在成都，Arthur也非常形象地以諸葛亮的謀略舉例，他認(rèn)為，諸葛亮已經(jīng)將安全攻防理解得非常透徹了，“諸葛亮有一種非常強(qiáng)的領(lǐng)導(dǎo)力和洞察力。不管是在疆域的覆蓋范圍還是物產(chǎn)資源豐富程度方面，蜀漢都不是三國(guó)時(shí)期最強(qiáng)的，但是諸葛亮在軍事上的謀略天才幫助蜀漢得以發(fā)展。一方面，他相信，最好的防御就是進(jìn)攻；另一方面，他也認(rèn)識(shí)到，即使有崇山峻嶺這般的天險(xiǎn)，人類的能力和創(chuàng)新也會(huì)將其攻破?！?/p>

這個(gè)例子非常鮮明地表現(xiàn)了Arthur的態(tài)度：用戶在面對(duì)信息安全問題時(shí)，不僅要善于防范，同時(shí)還要能夠迅速對(duì)突破了防御系統(tǒng)的攻擊進(jìn)行響應(yīng)。他所公布的一組調(diào)查數(shù)據(jù)顯示，在接受調(diào)查的企業(yè)以及組織的預(yù)算中，80%的預(yù)算份額主要用于預(yù)防信息安全犯罪，有15%的部分用于監(jiān)測(cè)相關(guān)風(fēng)險(xiǎn)，而應(yīng)急響應(yīng)所能獲得的部分只有5%。用戶在認(rèn)知方面的誤區(qū)，成為企業(yè)信息安全的一大挑戰(zhàn)。為了解決這一問題，Arthur提出了一個(gè)“3D”的概念：“Deter（阻止）、Detect（偵測(cè)）以及Defeat（擊敗），這三個(gè)過程一個(gè)也不能少?！?/p>

長(zhǎng)期投身于數(shù)據(jù)安全保護(hù)領(lǐng)域的人應(yīng)該都有這種感覺：數(shù)據(jù)安全并不僅僅只是包含技術(shù)方面的內(nèi)容，除了技術(shù)以外，安全還應(yīng)該具備法規(guī)、制度以及權(quán)限等諸多要素。也正因?yàn)檫@樣，Arthur非常希望各國(guó)政府能夠參與到對(duì)信息安全的防護(hù)中，以法規(guī)制定者以及安全信息共享發(fā)起者的身份出現(xiàn)，以更為集中的方式應(yīng)對(duì)安全問題和挑戰(zhàn)，“我們必須打造一個(gè)不僅有政府，還有業(yè)界廠商、用戶組織共同參與的生態(tài)系統(tǒng)，共同創(chuàng)造、培育數(shù)字宇宙間的信任感。隨著數(shù)字社會(huì)的發(fā)展，我們必須把實(shí)際社會(huì)中的法律、法規(guī)應(yīng)用到數(shù)字領(lǐng)域中，這就好像我們不希望大規(guī)模殺傷性武器落到恐怖主義分子手中一樣，我們也不希望電腦攻擊工具落到犯罪分子的手中?！?/p>

安全業(yè)務(wù)管理：

EMC自己是如何做安全的?

盡管RSA信息安全大會(huì)是一個(gè)獨(dú)立的會(huì)議品牌，不過提到RSA，依然會(huì)讓人聯(lián)想到其母公司EMC。在這樣的IT“大佬”企業(yè)里面負(fù)責(zé)安全，EMC副總裁兼首席安全官Dave Martin別有一番滋味在心頭：“任何一家公司都會(huì)有大量的工程師職員，有些時(shí)候他們會(huì)認(rèn)為自己更善于去做相關(guān)的安全工作。因此，對(duì)他們進(jìn)行管理是一件非常困難的事情?！?/p>

在EMC內(nèi)部，對(duì)于數(shù)據(jù)的保護(hù)非常依賴于權(quán)限控制，也就是我們常說的“讓正確的人利用正確的權(quán)限訪問正確的資源”。同時(shí)，EMC內(nèi)部在數(shù)據(jù)安全方面也在使用自己的技術(shù)和產(chǎn)品。Dave介紹說，在EMC，首席安全官這個(gè)職位并不僅僅是保護(hù)公司的數(shù)據(jù)，同時(shí)，也會(huì)規(guī)劃EMC的戰(zhàn)略發(fā)展方向，“在產(chǎn)品發(fā)布前，我們都會(huì)先進(jìn)行使用。如果我們認(rèn)為這個(gè)產(chǎn)品適合EMC的話，那么毫無疑問這個(gè)產(chǎn)品也能適合全球的大公司來使用?！?/p>

身兼廠商與用戶“雙重身份”，使得Dave能夠更為準(zhǔn)確地把握業(yè)界的主流技術(shù)趨勢(shì)。比如，針對(duì)BYOD（Bring Your Own Device，自帶設(shè)備辦公）的熱潮，Dave就有著自己的看法。一方面，通過在EMC內(nèi)部的實(shí)踐，Dave認(rèn)為其可以為員工提供更好的辦公效率；不過另一方面，由于接入終端的不確定性，因此使用環(huán)境會(huì)經(jīng)常發(fā)生變化。Dave還提到說，由于對(duì)設(shè)備的合理管控需要采購(gòu)新的產(chǎn)品和方案，因此實(shí)施BYOD并不一定能夠減少企業(yè)在IT投入方面的成本，甚至有可能還會(huì)增加投資。同時(shí)，EMC會(huì)為員工自帶的設(shè)備開辟一個(gè)內(nèi)部使用社區(qū)，IT部門也會(huì)做一些兼容性的檢測(cè)，但是，這種IT技術(shù)支持是很有限的。IT部門還是會(huì)優(yōu)先為企業(yè)自己的設(shè)備提供更為全面的支持。

“通過對(duì)自身環(huán)境的數(shù)據(jù)保護(hù)，我們能夠不斷完善相關(guān)的流程和產(chǎn)品。這使得EMC能夠更好地去面對(duì)不同的群體和使用者。”Dave總結(jié)說道。

云安全：

不要百分百安全

Davi Ottenheimer曾經(jīng)在大型廠商、上市投資管理公司以及互聯(lián)網(wǎng)公司工作過，不過如今，作為flyingpenguin公司的CEO，Davi的主要職責(zé)是幫助用戶看到并評(píng)估那些潛在的風(fēng)險(xiǎn)，并就風(fēng)險(xiǎn)做出響應(yīng)；同時(shí)能為安全軟件和硬件廠商提供策略性和具有競(jìng)爭(zhēng)性的信息。

因此，將flyingpenguin說成是廠商和用戶之間的紐帶并不為過。Davi自己也比較認(rèn)可這種說法，“只靠賣產(chǎn)品可以掙很多的錢，但是，單純賣產(chǎn)品的公司卻不懂得用戶需求。有很多產(chǎn)品可以幫助企業(yè)解決容易的問題，但是市場(chǎng)真正需要的是那些了解這些產(chǎn)品如何運(yùn)作，而且真正能夠支持這個(gè)產(chǎn)品的人。我接觸的很多用戶雖然也愿意買到解決方案和產(chǎn)品，但是他們更多的是希望能夠通過自己對(duì)這個(gè)產(chǎn)品更深入的了解來自主提升方案的價(jià)值?！?/p>

作為一位PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))和PA-DSS（支付應(yīng)用程序數(shù)據(jù)安全標(biāo)準(zhǔn)）評(píng)估師，Davi對(duì)于金融數(shù)據(jù)安全有著自己的理解。他認(rèn)為，盡管金融行業(yè)已經(jīng)有諸多條款來對(duì)數(shù)據(jù)丟失和泄漏進(jìn)行限制，然而，這些只是最低限度的要求，“我們的目的并不是要保證百分之百的安全，而是要有能力隨時(shí)預(yù)知安全隱患，并可以及時(shí)地預(yù)測(cè)出來，降低損失?！?/p>

Davi將云安全分為了三個(gè)標(biāo)準(zhǔn)：保密性、誠(chéng)信、可用性。在他為用戶進(jìn)行云部署咨詢時(shí)，用戶可以用這三個(gè)標(biāo)準(zhǔn)來進(jìn)行選擇。Davi建議用戶在實(shí)施云計(jì)算前先要認(rèn)真地了解服務(wù)供應(yīng)商的服務(wù)水平的協(xié)議內(nèi)容，比如服務(wù)供應(yīng)商有什么備份服務(wù)、出現(xiàn)事故的時(shí)候怎么去處理、它們會(huì)怎樣使用用戶的數(shù)據(jù)、是只擔(dān)任監(jiān)管方還是其他角色等，所有這些內(nèi)容都需要用戶與服務(wù)提供商達(dá)成一致協(xié)議。

另外，用戶還需要了解使用云服務(wù)的退出障礙問題。其中一個(gè)最關(guān)鍵的挑戰(zhàn)就是，一旦選擇了一個(gè)云的供應(yīng)商，就很難離開這個(gè)供應(yīng)商。因此，用戶在選擇的時(shí)候，要做好評(píng)估，避免被鎖定。如果用戶選擇了某家云供應(yīng)商，卻無法獲得想要的服務(wù)，但離開它又會(huì)面臨很大安全風(fēng)險(xiǎn)的話，用戶就會(huì)陷入兩難的境地。