作者:王雅丽 编译
今年的RSA会议依旧名企云集,主攻不同领域的企业都从自己的角度畅谈安全:微软号召建设“点对点信任”的下一代互联网,Symantec安全策略将注重信息优先级,思科与EMC进一步扩大安全合作战略,IBM展出数据生命周期管理、SOA及IT基础设施安全等产品……
4月7日~11日,备受全球信息安全技术行业关注的RSA 2008大会(第17届)在美国旧金山举行。一年一度的RSA大会是各国信息安全技术同行和开发商研讨交流新技术,发布新产品和战略的全球盛典。今年RSA会议的主题为“阿兰·图灵” (Alan Turing),旨在纪念计算科学之父、在加密解密理论研究中做出开创性贡献的阿兰·图灵。
会上,与会嘉宾讨论的主要问题涉及网络安全、密码技术、未授权的窃听等方面。其中,美国前副总统戈尔、美国国土安全局局长,以及微软、思科、EMC和Symantec公司高级主管等,分别带来了从宏观形势、国家政策到企业技术战略方面的精彩演讲。
微软抛出“点对点信任”
自2002年比尔·盖茨实施旨在IT生态系统内建立信任的“Trustworthy Computing initiative”计划以来,微软一直不断改进其安全战略。
严格来讲,微软的安全战略始于SD3框架,即首先要正本清源,设计安全的源代码(Secure by Design);其次,在系统的配置上有关安全的参数都要设成默认安全值(Secure by Default);第三,在部署上要与用户保持顺畅沟通(Secure in Deployment + Communications),包括培训、发布安全通告等,即SD3+C安全性框架。此外,作为SD3的补充,微软推出了深度安全战略Defense-in-Depth和Malicious Software Removal Tool (MSRT),以修复遭受安全攻击的机器。
上述微软的一系列安全战略,从根本上讲,并没有解决网络信任问题。微软认为我们每天都需要平衡技术革新、在线安全和应用服务三者的关系。在此基础上,微软的首席研究及战略官Join Craig Mundie在RSA大会上讨论时,提出了点对点信任(End to End trust)的观点,旨在为人们在建立网络信任时提供更多选择。
思科、EMC合作范围扩大
思科公司和EMC公司在RSA2008大会上宣布将扩大战略合作范围,共同为客户提供全面的数据安全解决方案。该方案将覆盖IT基础设施的各个层面,包括存储、服务器、网络以及数据中心群。据悉,思科、EMC和EMC安全领域的子公司RSA计划利用他们现有的合作关系,开发集成的产品和服务,使客户能够发现、保护和跟踪数据中心、服务器及台式机端点中保存的保密数据和穿越企业网的数据,同时优化这些数据的使用。
据介绍,在数据丢失防护(DLP)产品和服务方面,两家公司计划进行数据分类技术的整合:把EMC-RSA安全产品和思科安全代理(CSA)整合在一起,这些局端的安全产品整合包括入侵防御、策略控制和防火墙保护等。具体说来,RSA的技术可以识别企业敏感数据,并把这些信息传给CSA。此外,RSA还在去年通过收购Tablus获得了数据丢失防护技术。
思科和RSA还计划在数据中心安全和密钥方面进行合作。该计划将把思科MDS 9000存储媒体加密(Storage Media Encryption,SME)和RSA的密钥管理器整合在一起。整合后的产品计划在5月份由EMC发布,它将为消费者的敏感数据静止加密提供密钥管理。
两家公司均称他们还计划在PCI参考架构方面合作,以帮助用户发现并跟踪敏感信息,并提供合适的执行控制方法。
对于合作的评价,思科公司企业服务与安全业务部首席技术官Robert Gleichauf说:“思科、EMC和RSA 公司的捆绑拥有独特的优势,我们提供的整体解决方案将涵盖面向整个网络和IT基础设施的产品、服务与最佳实践流程。” EMC分公司RSA的数据安全副总裁、总经理兼首席战略官Dennis Hoffman说:“数据安全性是客户面临的一大挑战。由于法规和非法规方面的因素,他们需要保护保密数据的安全,但是又无法掌握数据所在的位置。解决这个难题的关键在于联合产品创新、战略合作和专业服务。通过与思科合作开发集成的解决方案,不管数据向哪里传输,存储在哪里或以什么方式移动,这种集成的解决方案将把‘监控及执行保密数据使用’的功能直接嵌入到基础设施中,从而帮助客户解决以上挑战。”Current Analysis公司高级分析师Charlotte Dunlap说,这次整合将会加强思科在端点安全市场的地位。
IBM展数据生命周期管理
4月9日,大会第二天,IBM互联网安全系统总经理Val Rahmani发表了主题演讲。她指出,在企业面临日益复杂的威胁的时代,企业IT面临着诸多变化,尽可能减少或避免企业面临的威胁,实际上是增加了企业在现实世界中发展业务的安全周期。
4月8日,在革新企业数据保护战略的小组讨论中,IT安全实践者Michael Gabriel分享了他所在组织的IT安全战略,以及在实施企业祖述保护方面的实践。在“数字身份和面向服务的架构——希望与荣耀”等小组讨论中,IBM的高级管理层、职员甚至IBM的客户广泛参与。此外,IBM还开设了单独展厅,关于组织数据生命周期管理、SOA及整个IT基础设施安全等产品展示、演讲都让与会者获益匪浅。
花絮一
阿兰·图灵与RSA 2008
深蓝战胜了世界象棋冠军,计算机是否可以代替人脑?根据密码技术,黑客能够破译你电脑的数据,那么世界上是否存在绝对安全的数码?这些都曾经是英国人阿兰·图灵思考过、研究过的问题。在若干年后的今天,阿兰·图灵——英国密码破译专家、数学家、逻辑学家、哲学家和生物学家——的精神和思想,激发着人们思考当今仍然热门的各种话题,以及关于计算机科学的无限潜力,阿兰·图灵被称为计算机科学之父。RSA大会还回顾了阿兰·图灵在二战期间帮助英国政府破译德军密码的历史。
RSA 2008主持人在做本届主题介绍时提到,假如阿兰·图灵还在世,没人能想到他现在会做什么,但有一点是肯定的,他将出席RSA大会与大家分享新想法。
诺贝尔和平奖得主、美国前副总统戈尔:新兴的绿色科技
4月10日,戈尔在旧金山的RSA大会上发表了45分钟的题为“新兴的绿色科技”的主题演讲。出于安全考虑,大会组织方没有安排记者参会,只允许RSA的与会人员在自己的博客上记录个人感受。根据参会人员博客记载,戈尔在演讲中,将全球变暖与计算机安全进行了对比。他指出,很多计算机面临的安全问题都是沉默的威胁,就像二氧化碳。然后,戈尔继续阐述他关于全球变暖的最新研究。在当人问道,为什么要参加计算机领域的RSA大会时,戈尔回答,我们需要追踪我们已经使用的科技的有效性,就像探测空气中不可见的二氧化碳一样。戈尔的出现及发表主旨演讲,丰富了今年RSA大会的内容,引起了业界内外媒体的广泛关注。
杰出人物获奖名录
Jim Langevin和Philip Venables分别获得公共政策领域杰出人物和安全实践领域杰出人物奖
数学领域杰出人物——瑞士洛桑理工学院密码算法实验室教授 Arjen Lenstra
在数学领域,他在整数因式分解技术设计中做出了重大贡献,同时,他还将数学工具应用到计算机科学中,并参与了美国RSA加密实验室。他的工作对计算安全领域理解加密算法的重要性起到了不同寻常的作用。
公共政策领域杰出人物——美国罗得岛州第二选区议员 Jim Langevin
他是美国国土安全部紧急威胁、网络安全及科技小组委员会的主席。他举办了多次听证会,使国土安全部和美国政府理解网络及信息安全的重要性,帮助政府制定有效的安全战略。
安全实践领域杰出人物——美国Goldman Sachs & Co.公司执行总裁兼首席信息风险官Philip Venables
作为总经理和首席信息风险官,Philip Venables一直致力于多种前沿的安全项目。由于Venables长期以来在持续安全领域的努力,Goldaman公司的安全基础设施优势突出。
终生成就奖——Thomas E. Noonan
1994年,他与Chris Klaus一起将ISS公司商业化,使公司当年进账近3.3亿美元,现已达到1200位员工、26家分支机构的规模。《福布斯》、《商业周刊》和《财富》等杂志对Noonan的管理风格颇为赞赏。2002年布什总统任命Noonan国土安全部下属的国家基础设施咨询委员会成员。
点对点信任是对业内行为的呼唤,它主要通过以下环节建立一个更加安全和可信的网络环境:首先,建立一个可以信任的堆栈,其中的每个要素——从操作系统到应用程序,从个人到数据都是真实可信的。其次,建立一个系统——在涉及真实性、权威性、准入和审查等问题时,能够使人们出示他们的身份证明。第三,为取得真正的进步,使技术、社会、政治、经济各方面的力量进行更密切的结盟。点对点信任的目的,就是在强化安全和社会价值(如隐私权和匿名权)的同时,使用户在他们的计算环境中可控。
为促成开放且富有成果的对话,作为第一步,微软在官方网站上发表了一份白皮书,概述了实现点对点信任的方案。相关的在线讨论论坛也已经成立,关心互联网安全及隐私的任何人都可加入讨论。
Join Craig Mundie表示,相信点对点信任能够改变IT行业对网络信任与安全的观点和方法:“我们的最终目标是建设一个更加安全和可靠的互联网。但是,为人们提供更值得信任的工具也很重要。点对点信任,能够在社会、政治、经济和技术等方面产生新的合作机会,这将对互联网安全发展产生深远的影响。”
“与行业合作伙伴一道,微软将继续朝着建立更安全、更个人化和更可靠的计算体验而努力,但单靠微软和技术产业的力量,是无法创造出值得信任的在线体验的。”在讨论中,微软可信计算公司副总裁Scott Charney提到,“为实现这一目标,不仅业界技术力量要走到一起,客户、合作伙伴、政府和其他关键部门都该为可信计算扩展到整个互联网的路线图而努力。”
在会上,微软还发布了Stirling安全套装软件的公开测试版。Stirling是Forefront软件的下一代产品,设有一个管理操控台。它的优势在于方便系统管理员对所有进入互联网的PC和服务器执行新的安全政策。微软访问与安全部门总经理Ryan Hamlin表示,管理员可设定系统自动遵循安全政策。当然,系统在采取任何行动前,必须先征得管理员同意。例如,在系统侦测到某台电脑可能造成损害前,阻止其进入网路。
Symantec以信息为中心
信息已成为企业最重要,同时也是最脆弱的资产。在这个时代,最好的防御就是进攻——先发制人,采用确保信息安全和可管理的系列政策和技术。
这是Symantec首席执行官John W·Thompson在主题为“以信息为中心的安全:下一波发展重点”的演讲中提到的。在会上,John W·Thompson主要介绍了企业的先进技术和解决方案。
以信息为中心的安全是采取基于风险评估的方法保护机密资料。这是因为存储的数据数量以每年50 %的速度激增,试图保护所有数据,既没有效率又成本昂贵。所以,以信息为中心的安全,就是指保护最重要的信息——从源代码到客户资料到员工数据。
John W·Thompson认为,企业建立以信息为中心的安全战略,开始与以下几个问题相关: 什么是敏感资料,我是否有?敏感信息需要被存储在什么地方?敏感信息应该如何在网络以及终端上被使用?一旦你深入解答了这几个问题,用户就可以开始订定政策,以减轻数据的风险。John W·Thompson指出,企业领导人必须参与制订政策,不应仅仅把它当成是CIO的工作,而应该认识到这是CFO、COO——组织内部上上下下所有管理人员的工作。总之,如果认同安全是企业生存之本的话,那么企业中所有的人都必须参与到制定政策的原则中来。
在技术方面,虽然传统的安全解决方案——防病毒软件、内容过滤、反垃圾邮件服务依然重要,“不过,那是不够的,我们需要完备的安全和数据管理解决方案。”John W·Thompson认为,“我们现在及以后数年内需要做的事情就是,建立起一套广泛的政策体系和解决方案体系,使真正的信息中心获得安全。组织需要做的就是朝前看,制定基于组织长远目标的、以信息中心安全为核心的计划。”
