17Tech 挖新闻

　　作者：王雅丽 编译

　　今年的RSA会议依旧名企云集，主攻不同领域的企业都从自己的角度畅谈安全：微软号召建设“点对点信任”的下一代互联网，Symantec安全策略将注重信息优先级，思科与EMC进一步扩大安全合作战略，IBM展出数据生命周期管理、SOA及IT基础设施安全等产品……

　　4月7日~11日，备受全球信息安全技术行业关注的RSA 2008大会(第17届)在美国旧金山举行。一年一度的RSA大会是各国信息安全技术同行和开发商研讨交流新技术，发布新产品和战略的全球盛典。今年RSA会议的主题为“阿兰·图灵” (Alan Turing)，旨在纪念计算科学之父、在加密解密理论研究中做出开创性贡献的阿兰·图灵。

　　会上，与会嘉宾讨论的主要问题涉及网络安全、密码技术、未授权的窃听等方面。其中，美国前副总统戈尔、美国国土安全局局长，以及微软、思科、EMC和Symantec公司高级主管等，分别带来了从宏观形势、国家政策到企业技术战略方面的精彩演讲。

　　微软抛出“点对点信任”

　　自2002年比尔·盖茨实施旨在IT生态系统内建立信任的“Trustworthy Computing initiative”计划以来，微软一直不断改进其安全战略。

　　严格来讲，微软的安全战略始于SD3框架，即首先要正本清源，设计安全的源代码(Secure by Design)；其次，在系统的配置上有关安全的参数都要设成默认安全值(Secure by Default)；第三，在部署上要与用户保持顺畅沟通(Secure in Deployment + Communications)，包括培训、发布安全通告等，即SD3+C安全性框架。此外，作为SD3的补充，微软推出了深度安全战略Defense-in-Depth和Malicious Software Removal Tool (MSRT)，以修复遭受安全攻击的机器。

　　上述微软的一系列安全战略，从根本上讲，并没有解决网络信任问题。微软认为我们每天都需要平衡技术革新、在线安全和应用服务三者的关系。在此基础上，微软的首席研究及战略官Join Craig Mundie在RSA大会上讨论时，提出了点对点信任(End to End trust)的观点，旨在为人们在建立网络信任时提供更多选择。

　　点对点信任是对业内行为的呼唤，它主要通过以下环节建立一个更加安全和可信的网络环境：首先，建立一个可以信任的堆栈，其中的每个要素——从操作系统到应用程序，从个人到数据都是真实可信的。其次，建立一个系统——在涉及真实性、权威性、准入和审查等问题时，能够使人们出示他们的身份证明。第三，为取得真正的进步，使技术、社会、政治、经济各方面的力量进行更密切的结盟。点对点信任的目的，就是在强化安全和社会价值(如隐私权和匿名权)的同时，使用户在他们的计算环境中可控。

　　为促成开放且富有成果的对话，作为第一步，微软在官方网站上发表了一份白皮书，概述了实现点对点信任的方案。相关的在线讨论论坛也已经成立，关心互联网安全及隐私的任何人都可加入讨论。

　　Join Craig Mundie表示，相信点对点信任能够改变IT行业对网络信任与安全的观点和方法：“我们的最终目标是建设一个更加安全和可靠的互联网。但是，为人们提供更值得信任的工具也很重要。点对点信任，能够在社会、政治、经济和技术等方面产生新的合作机会，这将对互联网安全发展产生深远的影响。”

　　“与行业合作伙伴一道，微软将继续朝着建立更安全、更个人化和更可靠的计算体验而努力，但单靠微软和技术产业的力量，是无法创造出值得信任的在线体验的。”在讨论中，微软可信计算公司副总裁Scott Charney提到，“为实现这一目标，不仅业界技术力量要走到一起，客户、合作伙伴、政府和其他关键部门都该为可信计算扩展到整个互联网的路线图而努力。”

　　在会上，微软还发布了Stirling安全套装软件的公开测试版。Stirling是Forefront软件的下一代产品，设有一个管理操控台。它的优势在于方便系统管理员对所有进入互联网的PC和服务器执行新的安全政策。微软访问与安全部门总经理Ryan Hamlin表示，管理员可设定系统自动遵循安全政策。当然，系统在采取任何行动前，必须先征得管理员同意。例如，在系统侦测到某台电脑可能造成损害前，阻止其进入网路。

　　Symantec以信息为中心

　　信息已成为企业最重要，同时也是最脆弱的资产。在这个时代，最好的防御就是进攻——先发制人，采用确保信息安全和可管理的系列政策和技术。

　　这是Symantec首席执行官John W·Thompson在主题为“以信息为中心的安全：下一波发展重点”的演讲中提到的。在会上，John W·Thompson主要介绍了企业的先进技术和解决方案。

　　以信息为中心的安全是采取基于风险评估的方法保护机密资料。这是因为存储的数据数量以每年50 %的速度激增，试图保护所有数据，既没有效率又成本昂贵。所以，以信息为中心的安全，就是指保护最重要的信息——从源代码到客户资料到员工数据。

　　John W·Thompson认为，企业建立以信息为中心的安全战略，开始与以下几个问题相关： 什么是敏感资料，我是否有？敏感信息需要被存储在什么地方？敏感信息应该如何在网络以及终端上被使用？一旦你深入解答了这几个问题，用户就可以开始订定政策，以减轻数据的风险。John W·Thompson指出，企业领导人必须参与制订政策，不应仅仅把它当成是CIO的工作，而应该认识到这是CFO、COO——组织内部上上下下所有管理人员的工作。总之，如果认同安全是企业生存之本的话，那么企业中所有的人都必须参与到制定政策的原则中来。

　　在技术方面，虽然传统的安全解决方案——防病毒软件、内容过滤、反垃圾邮件服务依然重要，“不过，那是不够的，我们需要完备的安全和数据管理解决方案。”John W·Thompson认为，“我们现在及以后数年内需要做的事情就是，建立起一套广泛的政策体系和解决方案体系，使真正的信息中心获得安全。组织需要做的就是朝前看，制定基于组织长远目标的、以信息中心安全为核心的计划。”