【51CTO.com快譯】在過去幾年中，RSA安全大會給我的感覺都像是一個高科技跳蚤市場，充滿了當(dāng)時世上最好的安全產(chǎn)品，是各大企業(yè)推銷自己的盛大嘉年華。雖然每年的RSA大會也確實(shí)討論了一些重要的安全議題，但最后都不可避免的回到銷售產(chǎn)品和簽合同做交易這個真正的重點(diǎn)上來。

今年的RSA大會乍看上去也差不多——俗套的開場白、各公司展臺的漂亮寶貝們。但這次有所不同，這次大會討論的主題要重要的多，因?yàn)樾畔踩臓顩r已經(jīng)影響到我們所有人。無休止的數(shù)據(jù)入侵，越發(fā)復(fù)雜的惡意軟件，以及異常真實(shí)的網(wǎng)絡(luò)安全威脅值得每個人的注意。人們已經(jīng)普遍認(rèn)識到，我們這些安全界的專業(yè)人員不應(yīng)該只想著賣硬件或者埋頭編寫代碼，我們有責(zé)任站出來，去教導(dǎo)、幫助、維護(hù)用戶的網(wǎng)絡(luò)安全。

貫穿整個大會，這一主題顯而易見。前任美國司法部律師，現(xiàn)任微軟高級執(zhí)行官的Scott Charney在發(fā)言中談到微軟所構(gòu)想的端對端信任（end-to-end trust），他解釋了為什么這樣做是必要的，以及如何簡單的完成操作。雖然安全專家們對微軟拿出來的東西總是抱著懷疑態(tài)度，但Charney這次表現(xiàn)得確實(shí)很誠懇，“這是我們的責(zé)任，我們要讓技術(shù)更加值得信賴?！?/P>

當(dāng)天稍晚，在Charney發(fā)言之后，美國國家安全局局長Keith Alexander中將代表美國政府做了演講，談?wù)摿藝野踩值哪芰捌湓诰W(wǎng)絡(luò)安全中發(fā)揮的作用。另外周三的演講者包括Melissa Hathaway，她的頭銜是白宮的網(wǎng)絡(luò)空間和個人安全高級主管，負(fù)責(zé)研究美國國內(nèi)網(wǎng)絡(luò)安全，直接向奧巴馬總統(tǒng)報(bào)告結(jié)果。周三的演講由我最喜愛的暢銷書作家James Bamford來壓軸，如果你對網(wǎng)絡(luò)犯罪、個人隱私和國家安全局這些感興趣，那么你一定要讀一下他的幾本書，比如《機(jī)構(gòu)秘密》（Body of Secrets）和《影子工廠》（The Shadow Factory）。此前，51CTO.com也曾經(jīng)報(bào)道稱，RSA全球總裁亞瑟•科維洛呼吁業(yè)界圍繞三大舉措充分開展創(chuàng)造性合作，并舉例闡述了RSA就此所做出的一些努力

我贊賞這一組發(fā)言者，為他們帶來的信息喝彩。我確實(shí)認(rèn)為，政府公共部門和私有企業(yè)在安全方面的合作需要提升到另一個層次。這里有一些建議，我認(rèn)為會有些幫助：

1.建立安全標(biāo)準(zhǔn)

國家標(biāo)準(zhǔn)與技術(shù)研究所和國家安全局應(yīng)建立起安全性的標(biāo)準(zhǔn)，用于政府公開部門與安全行業(yè)的合作，尤其是在教育和宣傳項(xiàng)目中。我希望看到這種制定標(biāo)準(zhǔn)的合作，比如密鑰管理互操作性協(xié)議（KMIP）和可擴(kuò)展訪問控制標(biāo)記語言（XACML）。我同樣希望看到為數(shù)據(jù)標(biāo)簽（data "tagging"）建立的標(biāo)準(zhǔn)，在執(zhí)行分布式安全策略時，使安全需求能夠與數(shù)據(jù)同行。

2.實(shí)施信息安全保障

我知道國防部門和情報(bào)部門在探查數(shù)據(jù)、分類、以及安全防范方面的能力相當(dāng)強(qiáng)，可以說游刃有余，而企業(yè)們則在這里苦苦掙扎。我希望看到政府機(jī)構(gòu)能夠更緊密地與安全行業(yè)合作，制定標(biāo)準(zhǔn)，創(chuàng)建最佳的實(shí)踐模式，并加強(qiáng)教育。

3.保證軟件開發(fā)的安全

軟件開發(fā)的安全性極為關(guān)鍵，稱得上是技術(shù)行業(yè)的阿喀琉斯之踵，然而確保安全的軟件開發(fā)計(jì)劃往往會因?yàn)樾枰罅康馁Y金而被供應(yīng)商放在一邊。因此政府應(yīng)該對軟件購買做出調(diào)整，對供應(yīng)商的開發(fā)流程進(jìn)行嚴(yán)格的審計(jì)，要求供應(yīng)商遵守開發(fā)規(guī)范比如常見缺陷列表（Common Weakness Enumeration，CWE），還有51CTO.com剛剛報(bào)道的SANS Institute最近發(fā)布的“25個最危險(xiǎn)的編程錯誤”，并建立起某種類型的認(rèn)證——先假設(shè)叫它“好管家”——頒發(fā)給合格的軟件供應(yīng)商。這將刺激新的安全性培訓(xùn)、產(chǎn)品和服務(wù)，并迫使軟件企業(yè)達(dá)到相似的要求。

在大會上做個發(fā)言是很簡單的事，關(guān)鍵是最終能不能辦到，網(wǎng)絡(luò)安全可是每天都在惡化。我希望政府和安全行業(yè)可以在這一共同認(rèn)識之上，快速做出真正的進(jìn)展。

【51CTO.com編者按：RSA大會簡介】

RSA大會是目前全球信息安全領(lǐng)域最具權(quán)威的年度峰會。大會吸引了來自全球的頂級信息安全企業(yè)、各行業(yè)IT決策者、資深安全專家以及學(xué)術(shù)界的領(lǐng)軍人物。會議分為主題論壇、專業(yè)論壇、創(chuàng)新論壇、展會等多個部分，其中專業(yè)論壇涉及面極廣，從加密算法數(shù)學(xué)原理的討論，到安全合規(guī)性管理、WEB安全、移動安全方面的熱點(diǎn)話題，都會通過分會場進(jìn)行。

2009年RSA大會于4月20日到23日在美國加州舊金山舉行，參展企業(yè)涉及從Physical Security、IT Security到 Compliance的方方面面。據(jù)51CTO.com此前報(bào)道，本次國內(nèi)企業(yè)綠盟科技、網(wǎng)康等也參加了大會。

【51CTO.com譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

原文：Public-private security cooperation at RSA  作者：Jon Oltsik

【編輯推薦】

1. RSA大會呼吁廠商創(chuàng)造性合作 推動安全產(chǎn)業(yè)發(fā)展
2. RSA推出最新版本enVision日志數(shù)據(jù)信息平臺
3. 網(wǎng)管實(shí)戰(zhàn)之使用RSA實(shí)現(xiàn)企業(yè)安全訪問