4月24日外電頭條:RSA安全大會終于不再是跳蚤市場
原創【51CTO.com快譯】在過去幾年中,RSA安全大會給我的感覺都像是一個高科技跳蚤市場,充滿了當時世上最好的安全產品,是各大企業推銷自己的盛大嘉年華。雖然每年的RSA大會也確實討論了一些重要的安全議題,但最后都不可避免的回到銷售產品和簽合同做交易這個真正的重點上來。
今年的RSA大會乍看上去也差不多——俗套的開場白、各公司展臺的漂亮寶貝們。但這次有所不同,這次大會討論的主題要重要的多,因為信息安全的狀況已經影響到我們所有人。無休止的數據入侵,越發復雜的惡意軟件,以及異常真實的網絡安全威脅值得每個人的注意。人們已經普遍認識到,我們這些安全界的專業人員不應該只想著賣硬件或者埋頭編寫代碼,我們有責任站出來,去教導、幫助、維護用戶的網絡安全。
貫穿整個大會,這一主題顯而易見。前任美國司法部律師,現任微軟高級執行官的Scott Charney在發言中談到微軟所構想的端對端信任(end-to-end trust),他解釋了為什么這樣做是必要的,以及如何簡單的完成操作。雖然安全專家們對微軟拿出來的東西總是抱著懷疑態度,但Charney這次表現得確實很誠懇,“這是我們的責任,我們要讓技術更加值得信賴。”
當天稍晚,在Charney發言之后,美國國家安全局局長Keith Alexander中將代表美國政府做了演講,談論了國家安全局的能力及其在網絡安全中發揮的作用。另外周三的演講者包括Melissa Hathaway,她的頭銜是白宮的網絡空間和個人安全高級主管,負責研究美國國內網絡安全,直接向奧巴馬總統報告結果。周三的演講由我最喜愛的暢銷書作家James Bamford來壓軸,如果你對網絡犯罪、個人隱私和國家安全局這些感興趣,那么你一定要讀一下他的幾本書,比如《機構秘密》(Body of Secrets)和《影子工廠》(The Shadow Factory)。此前,51CTO.com也曾經報道稱,RSA全球總裁亞瑟•科維洛呼吁業界圍繞三大舉措充分開展創造性合作,并舉例闡述了RSA就此所做出的一些努力
我贊賞這一組發言者,為他們帶來的信息喝彩。我確實認為,政府公共部門和私有企業在安全方面的合作需要提升到另一個層次。這里有一些建議,我認為會有些幫助:
1.建立安全標準
國家標準與技術研究所和國家安全局應建立起安全性的標準,用于政府公開部門與安全行業的合作,尤其是在教育和宣傳項目中。我希望看到這種制定標準的合作,比如密鑰管理互操作性協議(KMIP)和可擴展訪問控制標記語言(XACML)。我同樣希望看到為數據標簽(data "tagging")建立的標準,在執行分布式安全策略時,使安全需求能夠與數據同行。
2.實施信息安全保障
我知道國防部門和情報部門在探查數據、分類、以及安全防范方面的能力相當強,可以說游刃有余,而企業們則在這里苦苦掙扎。我希望看到政府機構能夠更緊密地與安全行業合作,制定標準,創建最佳的實踐模式,并加強教育。
3.保證軟件開發的安全
軟件開發的安全性極為關鍵,稱得上是技術行業的阿喀琉斯之踵,然而確保安全的軟件開發計劃往往會因為需要大量的資金而被供應商放在一邊。因此政府應該對軟件購買做出調整,對供應商的開發流程進行嚴格的審計,要求供應商遵守開發規范比如常見缺陷列表(Common Weakness Enumeration,CWE),還有51CTO.com剛剛報道的SANS Institute最近發布的“25個最危險的編程錯誤”,并建立起某種類型的認證——先假設叫它“好管家”——頒發給合格的軟件供應商。這將刺激新的安全性培訓、產品和服務,并迫使軟件企業達到相似的要求。
在大會上做個發言是很簡單的事,關鍵是最終能不能辦到,網絡安全可是每天都在惡化。我希望政府和安全行業可以在這一共同認識之上,快速做出真正的進展。
【51CTO.com編者按:RSA大會簡介】
RSA大會是目前全球信息安全領域最具權威的年度峰會。大會吸引了來自全球的頂級信息安全企業、各行業IT決策者、資深安全專家以及學術界的領軍人物。會議分為主題論壇、專業論壇、創新論壇、展會等多個部分,其中專業論壇涉及面極廣,從加密算法數學原理的討論,到安全合規性管理、WEB安全、移動安全方面的熱點話題,都會通過分會場進行。
2009年RSA大會于4月20日到23日在美國加州舊金山舉行,參展企業涉及從Physical Security、IT Security到 Compliance的方方面面。據51CTO.com此前報道,本次國內企業綠盟科技、網康等也參加了大會。
【51CTO.com譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
原文:Public-private security cooperation at RSA 作者:Jon Oltsik
【編輯推薦】
