作為每年一度的信息安全業(yè)界盛會(huì)，RSA安全會(huì)議是了解企業(yè)安全業(yè)務(wù)風(fēng)向標(biāo)的重要機(jī)會(huì)。今年的RSA大會(huì)已在美國舊金山落下帷幕，無論是規(guī)模還是參會(huì)人數(shù)，本屆大會(huì)都創(chuàng)下了歷史新高。同時(shí)，本屆大會(huì)的眾多議題帶給信息安全業(yè)界的思考也是值得回味的：我們究竟需要怎樣的信息安全？

　　亟需重塑的網(wǎng)絡(luò)安全信任鏈

　　在過去的一年中，斯諾登爆料的“棱鏡門”事件無疑是落在信息安全界的一枚重磅炸彈。直至本次RSA大會(huì)召開，這枚炸彈也余威猶在。在信息安全界，安全廠商、安全專家、評測標(biāo)準(zhǔn)機(jī)構(gòu)和政府安全機(jī)構(gòu)應(yīng)該是建立在相互信任基礎(chǔ)之上，而這也是維護(hù)國家利益、保護(hù)個(gè)人隱私的最低界限。

　　然而，斯諾登的爆料在使得美國信息技術(shù)企業(yè)與用戶之間建立的信任蕩然無存的同時(shí)，也顯現(xiàn)出全球通訊面臨的風(fēng)險(xiǎn)和限制的觸目驚心。

　　今年的RSA大會(huì)伊始， RSA執(zhí)行主席Art Coviello便發(fā)表了有關(guān)美國政府窺探隱私和網(wǎng)絡(luò)戰(zhàn)爭的主題演講。他在演講中指出：“所有國家都應(yīng)該尊重和保護(hù)所有個(gè)人的隱私，希望所有國家能夠確保經(jīng)濟(jì)活動(dòng)在互聯(lián)網(wǎng)上可以自由進(jìn)行，希望所有國家放棄使用網(wǎng)絡(luò)戰(zhàn)武器。”

　　從長遠(yuǎn)看，如若不能重塑起“棱鏡門”后信息安全界斷裂的信任鏈，在未來，新的貿(mào)易壁壘可能會(huì)因此被樹立起來，全球性的互聯(lián)網(wǎng)網(wǎng)絡(luò)也很有可能變成破碎的國有化網(wǎng)絡(luò)。但從另一方面來看，“棱鏡”事件或許也能夠促使國際社會(huì)建立起新的網(wǎng)絡(luò)空間安全行為規(guī)范，從反面給予全球網(wǎng)絡(luò)空間帶來正能量。

　　無論如何，重塑破裂的網(wǎng)絡(luò)安全信任鏈，是當(dāng)下信息安全界首當(dāng)其沖需要面對的問題。

　　邁向云端的安全時(shí)代

　　從設(shè)置防火墻設(shè)備到進(jìn)行身份驗(yàn)證，傳統(tǒng)的安全業(yè)務(wù)模式就像是通過一個(gè)個(gè)硬件“盒子”建立起一重重防護(hù)的城墻，將公司的人員、業(yè)務(wù)圈于其中予以保護(hù)。每一次安全業(yè)務(wù)的提升都不乏對硬件設(shè)施的堆砌，就像是對“城墻”的加厚和拓寬。

　　然而，隨著BYOD趨勢的發(fā)展，員工急于使用最新的移動(dòng)設(shè)備以及基于云的服務(wù)已經(jīng)成為一種常態(tài)。在今年的RSA大會(huì)上，雖然仍有很多新各種安全硬件“盒子”展示在會(huì)場上，但對企業(yè)的CIO和CSO們來說，對于這種需要管理多很多安全廠商產(chǎn)品和系統(tǒng)的模式已經(jīng)不能再激發(fā)起他們的興趣。

　　與此相對應(yīng)，安全運(yùn)維工作也進(jìn)入了云計(jì)算時(shí)代。如今，企業(yè)在很大程度上都有意將業(yè)務(wù)建立在混合云環(huán)境中：即一些舊的應(yīng)用程序或許仍然運(yùn)行在企業(yè)的數(shù)據(jù)中心，但新的業(yè)務(wù)一般都放在一個(gè)公共云環(huán)境中運(yùn)行。私有云、混合云和公共云這樣的搭配，所帶來的是數(shù)字安全和隱私保護(hù)面臨更加復(fù)雜的環(huán)境。

　　面對這一趨勢，傳統(tǒng)的安全廠商已經(jīng)開始競相將他們傳統(tǒng)安全產(chǎn)品擴(kuò)展到這種混合云模式。對于安全廠商而言，誰能夠幫助企業(yè)盡快將其新舊業(yè)務(wù)融合過渡到新的云安全防護(hù)模式中，那或許誰就將會(huì)成為云安全時(shí)代的贏家。

　　將創(chuàng)新趕在黑客的前面

　　今年的RSA大會(huì)上有一個(gè)很有意思的議題：試著猜想一下，在信息安全攻防戰(zhàn)中，安全保衛(wèi)者和攻擊者誰會(huì)獲勝？

　　在過去的一年，沒有一家公司能夠?qū)τ谄髽I(yè)的信息安全防護(hù)做出有預(yù)見性的防護(hù)措施。相反地，信息泄漏事件層出不窮，很多系統(tǒng)遭到破壞。盡管很多企業(yè)花費(fèi)數(shù)額巨大的資金投入在在安全領(lǐng)域，但數(shù)字入侵、身份盜用以及企業(yè)數(shù)字間諜等層出不窮的事件無疑對當(dāng)今企業(yè)的信息安全防護(hù)敲響了警鐘：在這方面，黑客往往是最快的技術(shù)創(chuàng)新者。

　　造成這一局面的原因在于：傳統(tǒng)的安全防護(hù)依然局限在現(xiàn)有的安全模式之下，而黑客們卻變得越來越有組織、有準(zhǔn)備地開發(fā)出入侵攻擊的新方法。

　　在本屆RSA大會(huì)上，應(yīng)對這一問題最好的建議或許是：用類似云計(jì)算的方式建立一個(gè)黑客實(shí)驗(yàn)室。企業(yè)可以創(chuàng)造一個(gè)新的測試環(huán)境，當(dāng)然，在這個(gè)測試環(huán)境中不會(huì)運(yùn)行真正的企業(yè)業(yè)務(wù)，最多只需要在其中設(shè)置一個(gè)工作人員。這一測試環(huán)境旨在引誘黑客對其進(jìn)行攻擊，以此調(diào)查黑客們當(dāng)前最新的攻擊技術(shù)。

　　相較于需要很多云計(jì)算開發(fā)人員的模式而言，這種僅有一個(gè)工作人員的黑客實(shí)驗(yàn)室，只要設(shè)置幾個(gè)基本規(guī)則，并創(chuàng)建一個(gè)引誘黑客攻擊的模擬公司內(nèi)部結(jié)構(gòu)，那么很快就會(huì)了解到所有已知和未知的漏洞以及黑客們的最新技術(shù)。

　　當(dāng)然，這還需要企業(yè)的領(lǐng)導(dǎo)者意識(shí)到：這并不是在對企業(yè)已經(jīng)不堪重負(fù)的基礎(chǔ)設(shè)施上增加新的框架，相反地，對企業(yè)安全防護(hù)方面的投資才會(huì)得到最大的回報(bào)。

　　要知道，在信息安全這場沒有硝煙的戰(zhàn)爭中，只有將創(chuàng)新趕在黑客的前面，我們才能贏得最后的勝利。