2009 RSA大会引领全球安全新动向

特别策划

一年一度的信息安全领域的盛会——RSA大会，于 4月20日至24日在美国旧金山隆重举行。作为信息安全领域每年最盛大的活动，RSA 大会已经有18年的历史。RSA大会就像安全界的奥运会，这里汇集了安全界最好的精英、研究机构和企业，从每年一度的RSA大会上，我们可以看出安全领域未来发展的风向标！

2009 RSA大会带来了什么

受金融危机影响，今年RSA展会的参加者比去年略有减少，很多安全厂商的展台明显比2008年设计得更简洁和节省，但各个主流厂商仍继续云集于此，如微软、IBM、Oracle、赛门铁克、McAfee等具备综合性优势的厂商无一缺席，而Barracuda、Fortify、NARUS、IMPERVA、Qualys、Websense、Radware、Bluecoat等一些在某个细分专业领域具备优势的安全厂商也继续展示着自己引以为豪的核心产品或解决方案。

值得注意的是，从去年开始参加RSA大会的绿盟科技再次组团赴旧金山参加RSA大会，而联想网御也携具备自主知识产权的万兆安全网关等旗舰产品和解决方案亮相大会……国内安全厂商的加入让人感受到了中国信息安全企业的实力。

从涉及的行业来看，此次参展的各家厂商涉及物理安全、IT安全到漏洞扫描等等方面。而从大会关注的角度来看，企业市场的应用、安全合规性管理逐渐成为重点关注的领域。在传统的安全领域之外，一些新的安全市场吸引了不少厂商的眼球，如云计算、物理安全、虚拟化、软件脆弱性分析等。

当然，这次RSA大会的看点也相当丰富，从鼓励创新的创新沙盒环节，到增加到240个专题的会议群，以及新增加的物理安全和IT治理等热点，无不是本次RSA大会带来的新信息。（注：IT 治理是国际IT 领域中的一个新概念，用于描述企业或政府是否采用有效的机制，使得IT 的应用能够完成组织赋予它的使命，同时平衡信息技术与过程的风险，确保实现组织的战略目标。）

小知识：关于RSA大会

RSA是信息安全领域一种非常著名的公钥加密算法，它于1977年被发明，以该算法的三位发明人Ron Rivest、Adi Shamir、Len Adleman的名字命名，该算法是目前IT系统中应用最广泛的非对称算法。而RSA也是美国一家著名的信息安全公司的名字，RSA大会自1991年开始由RSA公司主办，最初定位于密码专家的论坛，用于分享在互联网安全方面的最新技术与知识，经过10多年的发展，逐渐成为覆盖各个信息安全领域的专业盛会。

虚拟化：服务器和网络唱主角

作为系统和数据中心的一个重要组成部分，服务器虚拟化正处于高速发展阶段。但是服务器虚拟化会给已经十分复杂的现有安全环境带来更多的漏洞。因此，虚拟化环境下的安全性越来越成为安全厂商们关注的焦点，虚拟化环境下的安全理所当然也成为今年RSA大会的重要议题。

而在此次RSA大会上，IBM也为大家带来了Virtual Network Protection Platform（虚拟网络保护平台）技术，它是专为虚拟网络提供的，包含网络入侵防御系统（IPS），这也是IBM ISS的影子计划的成果。此前，ISS实际上已经拥有IPS软件功能，但是在虚拟机共享相同硬件和复制到其他物理机器的虚拟环境中时，使用传统的IPS产品仍然存在盲点问题，而IBM推出的方案正是为了解决目前IPS所存在的安全问题。

云计算：巨头厂商分歧大

在此次RSA大会上，虽然专注于云安全的厂商只有5到6家，但是几乎每个著名的安全厂商都在强调云安全，有无数的论坛与专家都在讨论云计算的安全问题，如Keynote主题演讲中的钱伯斯、著名密码专家Whitfield Diffie（Sun安全技术官）、Qualys的CEO Philippe Courtot以及各个领域的安全专家都在讨论云安全方面的问题。不少与会者认为云计算所引发的新的安全问题将是很难预测的，有的问题甚至会动摇已经形成的网络安全体系，或许无法采用传统的方法来解决。

从企业用户的角度来看，“云”只不过是另一种数据中心，是数量更多且分散的数据中心的集合，使得用户的访问与使用更快速、便捷。不过由于在“云”中，传统的物理边界变成了逻辑边界，这将使得云计算使用者再也无法控制边界和数据，甚至不能确切地知道数据在什么位置上，未来数据的安全性也更无法预知，预防更困难，这对现在的安全技术提出了挑战。思科安全技术业务部门营销副总裁汤姆·吉利斯在RSA大会上接受媒体采访时就表示，随着数据逐渐向“云”中迁移，思科安全服务的重要性将日益突显，而且思科对公司网络中进进出出的数据的检测能力也显得尤为重要。他说：“各类协作，包括视频分享和Web 2.0甚至移动设备都已经突破了企业的界限。在这种情况下，安全就像是画在沙滩上的一条线，已经不复存在。”现实中的各种信息安全问题在“云端”依然存在，只不过以前是用户自己能看到的，而现在距离用户远了，也更离散。如果像钱伯斯说的那样——“对于安全，云计算是一场噩梦”，那么未来安全厂商还真的需要做出更大的努力，来接受这种新的服务模式并克服它所带来的安全问题。

SaaS：解决方案正出台

由于SaaS的出现，软件行业正在经历一场深刻的变革。SaaS在欧美已经流行并进入了普及阶段，但我国大多数企业用户对SaaS这种模式的安全性还缺乏深刻的认识。

在软件SaaS化的过程中，提供商的服务水平、运营水平、产品功能和个性化是客户非常关注的，也是客户决定是否采用SaaS模式的关键因素之一，而SaaS服务的安全性也受到客户的非常关注。这是因为SaaS模式下客户的数据都存放在运营商的数据库中，客户对数据安全的担忧很敏感。与此同时，新的威胁和应对这些威胁的新方法正在以令人眼花缭乱的速度增长，因此SaaS的安全性也成了此次展会的热点议题。

从目前的情况来看，SaaS所带来的安全问题主要与它的基础设施、平台、上层应用等各个层次对应，这三个层次所面临的安全问题是不同的。比如针对上层应用的SaaS，它对数据与应用程序的开发提出了新的挑战，产品的安全由平台上SaaS软件厂商链条中最弱的一个决定，也就是短板效应，因此它的安全问题更令人关注。特别是当SaaS服务布置在云计算这个平台上时，安全问题被放大数倍，许多安全问题变得更不可知、更不可控，这是因为使用者再也无法掌握数据的控制权。值得庆幸的是，解决SaaS安全问题的途径正越来越多，反病毒业界三大巨头McAfee、赛门铁克、Trend Micro已经推出了SaaS的安全解决方案。

Web：仍是关注热点

与Web应用安全相关的产品或服务，是近年来安全厂商非常关注的。随着网络不断普及以及 Web 2.0 应用带来的革新，病毒和网络上其他形式的威胁（包括“恶意软件”）也不断出现。广为采用的反应式安全解决方案在设计时并非针对恶意软件代码或智能混合威胁，这些威胁隐藏于看似良好的 HTTP 或 HTTPS 流量中。此外，如今的恶意软件攻击很少针对整个网络，这些恶意软件攻击的目标是单独的组织。目前企业用户迫切需要采取安全措施，以防御与 Web 有关的攻击。

在此次RSA大会上，众多安全厂商都提供了保护Web安全的解决方案、产品和服务，在规模及产品技术上比去年有明显的提升，从Web应用的网关级防护，到Web安全漏洞的扫描、Web内容的安全审计甚至Web应用的安全生命周期管理等等，覆盖面很广，足见Web安全的重要性。值得注意的是，今年不仅参展的安全厂商更多，而且这些安全厂商对自身的定位也越来越细化，从应用开发的代码审计工具开发商，到Web应用上线前的安全评估服务商，从应用保护的产品和解决方案提供商，再到本身不开发产品而仅利用第三方成熟产品进行SaaS运营的增值服务运营商，有关Web应用安全的各类角色形成一个完整的产业链。这不仅说明安全市场的巨大吸引力，同时也证明了占据信息安全技术发展主导地位的外国安全厂商的精专程度。

此外，身份管理也是今年展会上的另一个热点。随着电子商务和企业应用的日益广泛，加上各类信息终端的出现，身份管理问题成为应用安全中的一个焦点。同时，今年RSA大会还反映出一个趋势，那就是未来的安全方案将更趋向于自动化、一体化。思科无线安全技术副总裁Galloway、微软可信计算副总裁Scott Charney、赛门铁克总裁兼CEO Enrique Salem都在会上传达了类似的信息。2009 RSA大会后，打造自动化、一体化的安全解决方案也将成为信息安全领域的发展趋势。