饕餮安全教育平台 [“饕餮”安全]

　　提到四川，那就不得不让人想到火锅、龙抄手等各种美食。不过，在这个秋风送爽的8月底，身在成都的人们所能够“饕餮”的却不仅仅只是美食，2012年8月28～29日，主题为“伟大的密码胜于利剑（The Great Cipher: Mightier than the Sword）”的RSA信息安全大会2012在成都召开。作为信息业界久负盛名的大会之一，在本次中国区的活动上，RSA信息安全大会2012从应用安全与密码学、云安全、移动与网络计算、可信计算、安全业务管理、网络威胁等多个安全维度，对信息安全的发展和趋势进行了不同程度的阐述。
　　“信息技术不仅促进了政府、企业和社会的数字化，而且极大地改变了我们的生活和工作，信息网络基础设施得到明显加强，电子政务、电子商务、网上银行等各类信息网络应用在中国同步发展。”工业和信息化部电子科学技术情报研究所副所长刘九如在大会致辞中表示，“然而信息技术的深入应用也引发了新的问题，信息安全如今已经成为全球普遍关注的话题。”
　　来自科研机构、高校院所的专家以及多个行业的用户出席了本次大会，EMC、赛门铁克、山石网科、网康等安全企业也在大会上发表了相关演讲。
　　鹅毛笔与利剑
　　数据安全从来都是与争端、利益捆绑在一起的。不过，同我们今天所见到的数字化加密方式不同，最早的数据安全主要是以特殊的方式对文字进行阅读，因此，其又被称之为密码学（Cryptography）。密码学这一词语被一直沿用至今，其意义已经被引申到了对数字信息和信息传输的加密与认证上。
　　最早应用了密码学的史料可以追溯到公元前1900年的埃及古王国时期。在此之后，由于密码学特有的私密性，使得其被频繁应用于军事活动与战争中。著名的斯巴达人就曾将密码学用于与希腊人的战争中。
　　密码学应用于战争中的经典案例发生在17世纪的法国。当时，执政的罗马天主教和被称为胡格诺派的法国新教徒之间爆发了一场宗教战争。1626年，胡格诺派被围困起来，但他们拒绝向皇家军队投降。
　　天主教徒对如何突破胡格诺派防御毫无办法，他们将面临一场漫长的战争，直到他们截获了一封胡格诺派向其盟友求援的加密信。当时军队中没有人能够破译密码，最后他们将信交给了附近小镇的数学家Antoine Rossignol，他破译了这封信件，并得知胡格诺派正处于急需物资和弹药的困境。胡格诺派在此后不久便投降了，而Antoine则引起了红衣主教黎塞留的注意，安全密码和代码在外交和情报方面的巨大价值从此开始被执政机构所认识到。
　　作为密码学家，Antoine开发了伟大密码（Great Cipher），并成立了黑室，用于对截获的信件进行审查。不过，随着时间的推移，伟大密码（Great Cipher）被逐渐弃用，其密钥也最终遗失。这种密码在随后的两个世纪始终无法被破解，这也使得历史学家无法阅读那个年代经过编码的外交记录。直到1893年前后，一名法国军事密码分析家才最终将它破译。
　　RSA信息安全大会2012之所以将主题命名为“伟大的密码胜于利剑”，原因也就在于此：在战争中，利用象征情报的“鹅毛笔”，要比挥舞着象征着武力的“利剑”更容易取得胜利。尽管今天我们已经掌握了先进的密码、算法和技术，但是只有对工具善加利用，使其始终走在网络威胁的前面，并不断地发扬持续创新的精神，我们才能取得成功。
　　网络威胁：“诸葛亮是个安全大师”
　　时至今日，安全依然与政治和军事脱不开干系。前一阵被发现的Flame病毒，就被很多安全专家认为是网络战争的一种兵器，而非针对普通计算机用户的病毒或后门程序。
　　“安全是一个永远不可能成熟的领域。”EMC公司执行副总裁兼EMC信息安全事业部RSA执行主席Arthur Coviello表示，“其发展程度与攻击手段的执行方式有很大关系，而与用户需求以及厂商的推动关系不大。”
　　所谓“道高一尺，魔高一丈”，对信息安全的防护本就是个遇强则强、遇弱则弱的过程，而对数据的攻击也同样如此。没有绝对的安全，这一概念已经逐渐成为安全领域内的共识。身在成都，Arthur也非常形象地以诸葛亮的谋略举例，他认为，诸葛亮已经将安全攻防理解得非常透彻了，“诸葛亮有一种非常强的领导力和洞察力。不管是在疆域的覆盖范围还是物产资源丰富程度方面，蜀汉都不是三国时期最强的，但是诸葛亮在军事上的谋略天才帮助蜀汉得以发展。一方面，他相信，最好的防御就是进攻；另一方面，他也认识到，即使有崇山峻岭这般的天险，人类的能力和创新也会将其攻破。”
　　这个例子非常鲜明地表现了Arthur的态度：用户在面对信息安全问题时，不仅要善于防范，同时还要能够迅速对突破了防御系统的攻击进行响应。他所公布的一组调查数据显示，在接受调查的企业以及组织的预算中，80%的预算份额主要用于预防信息安全犯罪，有15%的部分用于监测相关风险，而应急响应所能获得的部分只有5%。用户在认知方面的误区，成为企业信息安全的一大挑战。为了解决这一问题，Arthur提出了一个“3D”的概念：“Deter（阻止）、Detect（侦测）以及Defeat（击败），这三个过程一个也不能少。”
　　长期投身于数据安全保护领域的人应该都有这种感觉：数据安全并不仅仅只是包含技术方面的内容，除了技术以外，安全还应该具备法规、制度以及权限等诸多要素。也正因为这样，Arthur非常希望各国政府能够参与到对信息安全的防护中，以法规制定者以及安全信息共享发起者的身份出现，以更为集中的方式应对安全问题和挑战，“我们必须打造一个不仅有政府，还有业界厂商、用户组织共同参与的生态系统，共同创造、培育数字宇宙间的信任感。随着数字社会的发展，我们必须把实际社会中的法律、法规应用到数字领域中，这就好像我们不希望大规模杀伤性武器落到恐怖主义分子手中一样，我们也不希望电脑攻击工具落到犯罪分子的手中。”
　　安全业务管理：
　　EMC自己是如何做安全的?
　　尽管RSA信息安全大会是一个独立的会议品牌，不过提到RSA，依然会让人联想到其母公司EMC。在这样的IT“大佬”企业里面负责安全，EMC副总裁兼首席安全官Dave Martin别有一番滋味在心头：“任何一家公司都会有大量的工程师职员，有些时候他们会认为自己更善于去做相关的安全工作。因此，对他们进行管理是一件非常困难的事情。”