4月24日外电头条：RSA安全大会终于不再是跳蚤市场

在过去几年中，RSA安全大会给我的感觉都像是一个高科技跳蚤市场，充满了当时世上最好的安全产品，是各大企业推销自己的盛大嘉年华。虽然每年的RSA大会也确实讨论了一些重要的安全议题，但最后都不可避免的回到销售产品和签合同做交易这个真正的重点上来。

今年的RSA大会乍看上去也差不多——俗套的开场白、各公司展台的漂亮宝贝们。但这次有所不同，这次大会讨论的主题要重要的多，因为信息安全的状况已经影响到我们所有人。无休止的数据入侵，越发复杂的恶意软件，以及异常真实的网络安全威胁值得每个人的注意。人们已经普遍认识到，我们这些安全界的专业人员不应该只想着卖硬件或者埋头编写代码，我们有责任站出来，去教导、帮助、维护用户的网络安全。

贯穿整个大会，这一主题显而易见。前任美国司法部律师，现任微软高级执行官的Scott Charney在发言中谈到微软所构想的端对端信任（end-to-end trust），他解释了为什么这样做是必要的，以及如何简单的完成操作。虽然安全专家们对微软拿出来的东西总是抱着怀疑态度，但Charney这次表现得确实很诚恳，“这是我们的责任，我们要让技术更加值得信赖。”

当天稍晚，在Charney发言之后，美国国家安全局局长Keith Alexander中将代表美国政府做了演讲，谈论了国家安全局的能力及其在网络安全中发挥的作用。另外周三的演讲者包括Melissa Hathaway，她的头衔是白宫的网络空间和个人安全高级主管，负责研究美国国内网络安全，直接向奥巴马总统报告结果。周三的演讲由我最喜爱的畅销书作家James Bamford来压轴，如果你对网络犯罪、个人隐私和国家安全局这些感兴趣，那么你一定要读一下他的几本书，比如《机构秘密》（Body of Secrets）和《影子工厂》（The Shadow Factory）。此前，51CTO.com也曾经报道称，RSA全球总裁亚瑟•科维洛呼吁业界围绕三大举措充分开展创造性合作，并举例阐述了RSA就此所做出的一些努力

我赞赏这一组发言者，为他们带来的信息喝彩。我确实认为，政府公共部门和私有企业在安全方面的合作需要提升到另一个层次。这里有一些建议，我认为会有些帮助：

1.建立安全标准

国家标准与技术研究所和国家安全局应建立起安全性的标准，用于政府公开部门与安全行业的合作，尤其是在教育和宣传项目中。我希望看到这种制定标准的合作，比如密钥管理互操作性协议（KMIP）和可扩展访问控制标记语言（XACML）。我同样希望看到为数据标签（data “tagging”）建立的标准，在执行分布式安全策略时，使安全需求能够与数据同行。

2.实施信息安全保障

我知道国防部门和情报部门在探查数据、分类、以及安全防范方面的能力相当强，可以说游刃有余，而企业们则在这里苦苦挣扎。我希望看到政府机构能够更紧密地与安全行业合作，制定标准，创建最佳的实践模式，并加强教育。

3.保证软件开发的安全

软件开发的安全性极为关键，称得上是技术行业的阿喀琉斯之踵，然而确保安全的软件开发计划往往会因为需要大量的资金而被供应商放在一边。因此政府应该对软件购买做出调整，对供应商的开发流程进行严格的审计，要求供应商遵守开发规范比如常见缺陷列表（Common Weakness Enumeration，CWE），还有51CTO.com刚刚报道的SANS Institute最近发布的“25个最危险的编程错误”，并建立起某种类型的认证——先假设叫它“好管家”——颁发给合格的软件供应商。这将刺激新的安全性培训、产品和服务，并迫使软件企业达到相似的要求。

在大会上做个发言是很简单的事，关键是最终能不能办到，网络安全可是每天都在恶化。我希望政府和安全行业可以在这一共同认识之上，快速做出真正的进展。

RSA大会是目前全球信息安全领域最具权威的年度峰会。大会吸引了来自全球的顶级信息安全企业、各行业IT决策者、资深安全专家以及学术界的领军人物。会议分为主题论坛、专业论坛、创新论坛、展会等多个部分，其中专业论坛涉及面极广，从加密算法数学原理的讨论，到安全合规性管理、WEB安全、移动安全方面的热点话题，都会通过分会场进行。

2009年RSA大会于4月20日到23日在美国加州旧金山举行，参展企业涉及从Physical Security、IT Security到 Compliance的方方面面。据51CTO.com此前报道，本次国内企业绿盟科技、网康等也参加了大会。