【51CTO.com快譯】在過(guò)去幾年中，RSA安全大會(huì)給我的感覺(jué)都像是一個(gè)高科技跳蚤市場(chǎng)，充滿了當(dāng)時(shí)世上最好的安全產(chǎn)品，是各大企業(yè)推銷自己的盛大嘉年華。雖然每年的RSA大會(huì)也確實(shí)討論了一些重要的安全議題，但最后都不可避免的回到銷售產(chǎn)品和簽合同做交易這個(gè)真正的重點(diǎn)上來(lái)。

今年的RSA大會(huì)乍看上去也差不多——俗套的開(kāi)場(chǎng)白、各公司展臺(tái)的漂亮寶貝們。但這次有所不同，這次大會(huì)討論的主題要重要的多，因?yàn)樾畔踩臓顩r已經(jīng)影響到我們所有人。無(wú)休止的數(shù)據(jù)入侵，越發(fā)復(fù)雜的惡意軟件，以及異常真實(shí)的網(wǎng)絡(luò)安全威脅值得每個(gè)人的注意。人們已經(jīng)普遍認(rèn)識(shí)到，我們這些安全界的專業(yè)人員不應(yīng)該只想著賣硬件或者埋頭編寫(xiě)代碼，我們有責(zé)任站出來(lái)，去教導(dǎo)、幫助、維護(hù)用戶的網(wǎng)絡(luò)安全。

貫穿整個(gè)大會(huì)，這一主題顯而易見(jiàn)。前任美國(guó)司法部律師，現(xiàn)任微軟高級(jí)執(zhí)行官的Scott Charney在發(fā)言中談到微軟所構(gòu)想的端對(duì)端信任（end-to-end trust），他解釋了為什么這樣做是必要的，以及如何簡(jiǎn)單的完成操作。雖然安全專家們對(duì)微軟拿出來(lái)的東西總是抱著懷疑態(tài)度，但Charney這次表現(xiàn)得確實(shí)很誠(chéng)懇，“這是我們的責(zé)任，我們要讓技術(shù)更加值得信賴?！?/P>

當(dāng)天稍晚，在Charney發(fā)言之后，美國(guó)國(guó)家安全局局長(zhǎng)Keith Alexander中將代表美國(guó)政府做了演講，談?wù)摿藝?guó)家安全局的能力及其在網(wǎng)絡(luò)安全中發(fā)揮的作用。另外周三的演講者包括Melissa Hathaway，她的頭銜是白宮的網(wǎng)絡(luò)空間和個(gè)人安全高級(jí)主管，負(fù)責(zé)研究美國(guó)國(guó)內(nèi)網(wǎng)絡(luò)安全，直接向奧巴馬總統(tǒng)報(bào)告結(jié)果。周三的演講由我最喜愛(ài)的暢銷書(shū)作家James Bamford來(lái)壓軸，如果你對(duì)網(wǎng)絡(luò)犯罪、個(gè)人隱私和國(guó)家安全局這些感興趣，那么你一定要讀一下他的幾本書(shū)，比如《機(jī)構(gòu)秘密》（Body of Secrets）和《影子工廠》（The Shadow Factory）。此前，51CTO.com也曾經(jīng)報(bào)道稱，RSA全球總裁亞瑟•科維洛呼吁業(yè)界圍繞三大舉措充分開(kāi)展創(chuàng)造性合作，并舉例闡述了RSA就此所做出的一些努力

我贊賞這一組發(fā)言者，為他們帶來(lái)的信息喝彩。我確實(shí)認(rèn)為，政府公共部門和私有企業(yè)在安全方面的合作需要提升到另一個(gè)層次。這里有一些建議，我認(rèn)為會(huì)有些幫助：

1.建立安全標(biāo)準(zhǔn)

國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所和國(guó)家安全局應(yīng)建立起安全性的標(biāo)準(zhǔn)，用于政府公開(kāi)部門與安全行業(yè)的合作，尤其是在教育和宣傳項(xiàng)目中。我希望看到這種制定標(biāo)準(zhǔn)的合作，比如密鑰管理互操作性協(xié)議（KMIP）和可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言（XACML）。我同樣希望看到為數(shù)據(jù)標(biāo)簽（data "tagging"）建立的標(biāo)準(zhǔn)，在執(zhí)行分布式安全策略時(shí)，使安全需求能夠與數(shù)據(jù)同行。

2.實(shí)施信息安全保障

我知道國(guó)防部門和情報(bào)部門在探查數(shù)據(jù)、分類、以及安全防范方面的能力相當(dāng)強(qiáng)，可以說(shuō)游刃有余，而企業(yè)們則在這里苦苦掙扎。我希望看到政府機(jī)構(gòu)能夠更緊密地與安全行業(yè)合作，制定標(biāo)準(zhǔn)，創(chuàng)建最佳的實(shí)踐模式，并加強(qiáng)教育。

3.保證軟件開(kāi)發(fā)的安全

軟件開(kāi)發(fā)的安全性極為關(guān)鍵，稱得上是技術(shù)行業(yè)的阿喀琉斯之踵，然而確保安全的軟件開(kāi)發(fā)計(jì)劃往往會(huì)因?yàn)樾枰罅康馁Y金而被供應(yīng)商放在一邊。因此政府應(yīng)該對(duì)軟件購(gòu)買做出調(diào)整，對(duì)供應(yīng)商的開(kāi)發(fā)流程進(jìn)行嚴(yán)格的審計(jì)，要求供應(yīng)商遵守開(kāi)發(fā)規(guī)范比如常見(jiàn)缺陷列表（Common Weakness Enumeration，CWE），還有51CTO.com剛剛報(bào)道的SANS Institute最近發(fā)布的“25個(gè)最危險(xiǎn)的編程錯(cuò)誤”，并建立起某種類型的認(rèn)證——先假設(shè)叫它“好管家”——頒發(fā)給合格的軟件供應(yīng)商。這將刺激新的安全性培訓(xùn)、產(chǎn)品和服務(wù)，并迫使軟件企業(yè)達(dá)到相似的要求。

在大會(huì)上做個(gè)發(fā)言是很簡(jiǎn)單的事，關(guān)鍵是最終能不能辦到，網(wǎng)絡(luò)安全可是每天都在惡化。我希望政府和安全行業(yè)可以在這一共同認(rèn)識(shí)之上，快速做出真正的進(jìn)展。

【51CTO.com編者按：RSA大會(huì)簡(jiǎn)介】

RSA大會(huì)是目前全球信息安全領(lǐng)域最具權(quán)威的年度峰會(huì)。大會(huì)吸引了來(lái)自全球的頂級(jí)信息安全企業(yè)、各行業(yè)IT決策者、資深安全專家以及學(xué)術(shù)界的領(lǐng)軍人物。會(huì)議分為主題論壇、專業(yè)論壇、創(chuàng)新論壇、展會(huì)等多個(gè)部分，其中專業(yè)論壇涉及面極廣，從加密算法數(shù)學(xué)原理的討論，到安全合規(guī)性管理、WEB安全、移動(dòng)安全方面的熱點(diǎn)話題，都會(huì)通過(guò)分會(huì)場(chǎng)進(jìn)行。

2009年RSA大會(huì)于4月20日到23日在美國(guó)加州舊金山舉行，參展企業(yè)涉及從Physical Security、IT Security到 Compliance的方方面面。據(jù)51CTO.com此前報(bào)道，本次國(guó)內(nèi)企業(yè)綠盟科技、網(wǎng)康等也參加了大會(huì)。

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

原文：Public-private security cooperation at RSA  作者：Jon Oltsik

【編輯推薦】

1. RSA大會(huì)呼吁廠商創(chuàng)造性合作 推動(dòng)安全產(chǎn)業(yè)發(fā)展
2. RSA推出最新版本enVision日志數(shù)據(jù)信息平臺(tái)
3. 網(wǎng)管實(shí)戰(zhàn)之使用RSA實(shí)現(xiàn)企業(yè)安全訪問(wèn)