RSA 2009 Conference:揭示网络安全新挑战
“这是全世界安全专业人员最大的一次聚会,不过还有一个安全专家组的成员今天没有派代表到场。他们有代表到场吗?我不能确定。这个组织的成员比在座的各个组织都多,他们的成员数以万计,并且在全球各地开展合作,相互提供多样化的服务。他们的公司运行着一个高效且十分有利可图的商业生态系统。大家现在可能已经猜到了,我指的是专业的网络犯罪分子。他们技术娴熟,他们构造的欺诈生态系统兼具创新和灵活性,并且具备浓厚的机会主义色彩……”这是RSA总裁亚瑟·科维洛在RSA2009Conference上的一段开场白。
被誉为信息安全界奥林匹克盛会的RSA2009Conference,自1991年成功举办第一届以来,已成为指引信息安全发展趋势的风向标。我们可以看到众多投身于信息安全的IT厂商,在金融危机的大背景下,IT安全的话题和产品却没有冷落下来。
综观此次RSA2009Conference,云计算与SaaS无疑是一个热点问题,无数的论坛议题与专家都在关注云计算与SaaS的安全问题。
不论是Keynotes主题演讲中的思科董事会主席兼首席执行官约翰·钱伯斯,著名密码专家WhitfieldDiffie、RonaldRivest,Qualys的CEOPhilippeCourtot,还是各个领域的安全专家都在讨论云计算、云安全和SaaS方面的问题。
科技的力量是无限的,今天我们看作是乌托邦的东西,明天就可能如家里的锅碗瓢盆随处可见。联想网御副总裁李江力认为,云计算的出现一定是未来的一种趋势。在未来,人们只需要一台笔记本电脑或者一部手机,就可以通过网络服务来实现需要的一切,甚至包括超级计算这样的任务。
不过在RSA2009Conference上经常会出现“例外”的问题,今年也是如此。钱伯斯在RSA2009Conference第二天的主题演讲中,提到云计算时语出惊人:“对于安全,云计算是一场噩梦”。
注意,他并不是对云计算有何异议,因为钱伯斯也认为云计算是不可避免的趋势,而且云计算的发展肯定对Cisco的发展有着巨大的意义。但是由于云计算所引发的新的安全问题,则又是很难预测的。这些问题甚至会动摇我们已经形成的网络安全的体系方法。钱伯斯甚至悲观地认为云计算将成为网络安全的噩梦,而且无法采用传统的方法来解决。
李江力表示,信息安全需要满足三个条件,即能够量化,有目标和有对象。SaaS的特点是有对象,有目标,和传统安全服务结合起来还是比较容易的。当SaaS架构在云计算这个平台上时,对于数据与应用的安全问题很多是不可知,不可控的。原因在于,使用者再也无法自己实际掌握对数据的控制权。
云计算的安全问题是这次会议的主要议题,有15个单独会议专门探讨以云为基础的安全服务、身份管理和相关法律问题等。有些专家甚至戏称云计算不如叫做“沼泽计算”,意指一旦选择云计算,由于其安全问题必然进入不可自拔的境地。
面对威胁同舟共济
翻看亚瑟·科维洛在过去几届在RSA会议上的演讲记录,他一直都习惯于说服别人赞成自己的观点。今年他选取“网络犯罪分子利用生态系统”、“复杂的供应链”及“守法公民所遵循的规则对犯罪分子无法约束”为例进行了阐述。他还表示多数安全产品都要实现四个基本功能:
·如何对描述系统监管的安全规则和协议进行管理。
·协议决策点来决定安全协议是否会面临安全风险。
·执行协议和应用控制来防止违反协议的行为发生。
·通过协议审查进行实时监控和法规遵从的校验。
如果你观看了RSA2009Conference的相关演讲,你会感觉到这次大会的主题更像是一次信息安全厂商之间合作的倡议宣言。
不难理解,随着网络犯罪日益猖獗和犯罪手段更加多样,目前还在彼此相互竞争的信息安全厂商,除了合作来面对共同的敌人之外已经别无选择。
不只是厂商之间的合作倡议,共同应对僵尸网络的国际间合作提议也得到了支持。安全研究员JoeStewart提出了一个持续性的、三管齐下的方法用以回击互联网上最恶意的攻击者。从他的演讲中可以看出,想要战胜僵尸网络,仅仅设立有组织的志愿者是不够的,还需要国际间的深度合作。
Stewart预计这将需要全球性的努力,将会涉及到一个全球性条约。每个国家都应有一个自治系统,在其国家内该自治系统与边界路由器共同负责对付网络中所产生的各种恶意活动。
控制Web就控制了世界
Web是与众不同的,在很多基础而又重要的IT结构中,Web都与传统的客户机服务器网络有很大的不同。首先,大多数网民都是匿名的,这给管理带来了很大的困难。其次,Web是无状态的,当一个客户端发生Web请求,在其请求完成后,服务器端都会删除这个请求的相关信息。
因此,有必要建立一种人工的机制,完成对状态的管理。这就是为什么类似Cookie和隐藏域被广泛采用的原因。
Web服务的安全性就像脱缰的野马一样,是它驯服了我们,还是我们驯服了它?Web的确是一个奇怪的东西。本质上,它是由不可信赖的客户机和服务器组成的,任何一个客户机都可能成为敌人,而任意一个服务器也可能是你的敌人。
当然,Web本身并不包含任何安全控制。任何敏感的数据都需要Web应用来管理,由客户机或者服务器对其进行处理。考虑到Web服务器通常都很繁忙,这就使得网络攻击可以隐藏在大量的数据流中,在Web通信中通常都包含了大量令黑客们垂涎的用户数据。
Web服务器是缺少防护措施的、容易受到攻击的目标,黑客们怎么会对此不感兴趣呢?从RSA2009Conference上很多厂商和专家的发言中我们不难得出结论,至今为止,乃至今后的数年,我们仍然在此问题上同黑客们做着艰苦的斗争。
Web的迅速膨胀使得我们面对Web风险变得迟钝,结果就是大多数的Web应用成了网络攻击的受害者。我们不得不开始正视Web,真正将其理解为特殊的网络,实现对Web的控制。
国内厂商的国际视角
连续多年带队参加RSA大会的李江力有很多感受和收获,他说,信息安全对于用户而言,最重要的是提供有价值的解决方案的能力,而真正有勇气将核心产品摆在展位上的厂商并不多。记者了解到,只有Cisco、Juniper、McAfee和联想网御等规模较大的信息安全厂商或网络厂商在本次大会上展示了核心产品。
参展期间,联想网御具有中国自主知识产权的万兆安全网关备受关注。该产品是在国家863计划的扶植下,联想网御50多个工程师耗时3年自主研发出来的,标志着联想网御继自主研发百兆、千兆安全网关之后,在万兆安全网关领域也具有了独立开发的技术能力及完全自主的知识产权。
一些企业当场即向联想网御抛出了橄榄枝,明确表示希望与联想网御在技术研究、渠道拓展等领域展开战略合作,德国、韩国和印度的企业在详细了解了联想网御万兆KingGuard产品的技术细节之后,希望能在各自市场与联想网御开展战略合作。
李江力强调,信息安全追求创新不仅可以成为企业节约成本、提高效率的有力措施,从长期发展的角度看,企业把着眼点放在创新上,同时需要企业不断适应市场的变化,开发出更好的产品和服务,才是加强企业竞争力的远见之举。
国内安全厂商参加RSA的只有联想网御、绿盟、网康和飞天诚信四家企业。长期以来我国的信息安全企业还处于“跟随”状态,与国外同行在技术创新能力上还存在一定差距。
李江力认为,长期以来,国内厂商缺乏全球化的视野。很多公司从开始创建就没想过走出国门,而很多国外公司创立之初就定位在全球,因此产品在不同用户的IT环境中弹性更好,更具宽泛度。虽然国内市场机会很大,但从长远角度考虑,会慢慢丧失国际竞争力。(文/那罡)
