亚瑟·科维洛：信息安全不是最终目的

2010年10月22日，RSA主席兼EMC执行副主席亚瑟·科维洛先生在RSA中国2010安全大会上发表演讲。

亚瑟·科维洛先生认为本次大会的主题是信息安全，但信息安全不是最终目的，比如汽车的刹车装置，具体的目的就是说让你的车慢慢的停下来，现实中，这个刹车还有其他的作用，就是可以让你开快车，因为你知道能刹车。在二十一世纪将完成从工业经济向信息经济的转型过程。你不能说没有刹车的情况下把车开的飞快，信息经济也不能没有安全来发展和繁荣。

自从二次大战，世界经济一直是朝着全球化的道路发展，最初是由交通的创新推动的这个步伐在过去25年中不断加快，同时技术广泛的应用和扩展，这个结果可以看到，全球GDP的增长业绩生产力的进步，这些都是创造就业以及改善人们生活水平的引擎。现在这种全球化的趋势有一个副产品，也就是说现在各个国家比任何时候都彼此互相依赖，作为全球第二大经济体中国也是非常重要的组成部分，中国经济改革是非常出色的，特别是金融危机和经济衰退中，在很大程度上也是由于政府采取了积极的刺激经济的政策。

但要避免未来的衰退将需要我们做更多的深思熟虑，如果中国主要的贸易伙伴遇到了问题，经济的衰退，中国也可能迎来经济的寒冬，就是说中国的长期增长将不可避免的也和发达国家的经济增长联系在一起。但是现在中国人口有老龄化的负担，西方失业率也很高以及暴涨的公共债务，因此没有催化剂的情况下，长期增长是非常难的，而且是不确定的，创新催化将使创新由信息技术推动。

有了信息技术是好的消息，当然也有不好的消息。好的消息在于我们不断的向前的发展，发展信息技术，我们根本没有把应用信息技术做的事情进一步发展，还有一个是IT基础设施，它变得非常复杂了而且非常昂贵了，这是不好的消息。但即使这样创新也可以提供帮助的，也就是说从虚拟化、云计算这样的技术创新带来的好处是什么，我们在全球花了数万亿美元投入到了计算机，以便生成和处理信息，投入到网络，以便让信息到处流动，投入硬件设备中存储，同时投入到我们远远不能利用的信息，以便真正的转变业务的应用。

我也并不认为延伸的含义就是这样的，因为这对世界来说不管是大的企业还是小的企业，对于每个组织来说都是要把自己的人力资源和资本投入到这里，以便建立自己的发电厂，但我们要有提供软件平台并能做在线业务的世界，我们可以描绘这样一个世界，可以利用生产计算能力，而且是在异地有的生产计算能力，随时需要随时提供，同时这个世界可以提供一个安全存储信息的世界，同时有效进行管理和访问，随时随地的有效对它进行管理和访问，这个世界就是云计算世界。

那么经济的规模，灵活性以及效率不仅为我们节省了大量的资金和维护费用，主要有基础的虚拟设施，同时还可以解放我们，使得我们在企业中运用信息。这是难以致信的机会，增长力就是经济增长和就业创造的关键所在。但有些东西明显的放缓了我们完全能够实现这种云计算这样的创新远景，这主要是信心造成的。信心就是对信息安全的信心，我们现在了解的背景。

我们要应对三个主要的问题，这些问题都是混合在一起的。首先我们面临的问题就是安全措施，被动的应用，我们查补漏洞，我们看到新的形式的攻击，我们有新的单点产品解决问题。这说明我们有很多的单点产品来自不同的供应商，都是独立的运用的，比如加密、解密、反恶意软件、网关等等，由此IT团队也需要背负管理多家供应商提供产品的责任。他们有成千论万的地方都需要管理政策，成千论万的工具需要他们做出决策，看哪些是好的哪些是不好的，另外需要成千论万的需要制定政策的点。这样耗资巨大，而且是抵消的，是无法管理的。这就是面临的第一个问题。第二如果是物理环境中的问题只需要我们解决就可以了，在虚拟环境中出现因为有软件环境，是在深层的硬件基础之上的，就很难分离了，如果分离软件就会造成损失，同时使我们无法控制。第三就是说如果这些因素还不行的话，我们就会面临着非常复杂的越来越程度高的犯罪和黑客社区，其实我们已经有预测性，黑客社区呼叫达到几十万之多，在中国就达到了数万，他们经营着一个利润极其丰富的液态链，不像你们，他们不会受到任何法律法规的约束，而且也不需要服务器协议的约束，他们也没有所谓的道德信用约束，尽管这些成员都是逆命作业，但形成了有效的工作关系，进行了成功的诈骗。事实上他们的诈骗行为非常成功，比如中国的网络钓鱼今年增加了78%左右，我们可以把这个数字和GDP增长比较一下，谁又是被攻击的对象呢？1.42亿中国互联网电子商务的用户，这些攻击中99%都是针对在线零售网站，这对于中国经济的增长将是直接的打击。

到目前为止我讲述了造成信息危机使我们驻足不前的三个问题，作为一个行业，我们不仅要找出这些问题，还要仔细研究他们。正如毛主席谈到的，你对那个问题不能解决吗？那你就调查那个问题的现状和历史吧，你完完全全调查明白了，你就有解决的办法了。今天我要谈谈我们需要采取什么行动才能解决这些问题，如何鼓舞大家的信心，并且重新燃起创新之火。让我从第一个问题开始，客户单点产品陷入的困境，解决的关键是什么呢？就是放弃被动和各自为政的信息安全管理方法，带来全面、系统性的方法。目前各种各样的安全控制的体系都是相互独立的来发挥作用的，黑客能在自由的空隙行走，我们不仅需要安全控制系统彼此互操作填补信息，同时还要从物理环境到虚拟环境再到云环境等所有异构的设施之间提供这样的可视性、可管理性和可控性。系统需要三个不同层次进行协同工作，首先看一下控制措施执行层，是基础设施的安全检测和执行的点，一个理想的状态是什么呢？

信息安全控制措施应该直接潜入到操作系统和网络服务器中的，从而我们不需要部署那些单点工具就可以形成无所不在的覆盖，接下来需要一个控制管理层，这样就可以为安全控制措施提供资源的配置和监控。这层如果建立了，就可以给我们提供很多的机会让我们整合目前的众多的安全控制台。我们最终的目的是什么呢？就是简化管理，同时增强定义安全政策的安全团队的责任性，并且让他们和执行团队一致起来。我们的安全体系最后一个元素就是安全管理层，这就是我们治理风险消除和政策，并且定义合规要求，同时也是整个基础设施中安全控制措施汇报的事件和告警汇集的地方，并且进行修改。这层把独立的技术输入信息和反馈意见集中到单一的平台和框架，同时提供可视性。

我们看如何解决第二个问题，如何有效管理这些物理、虚拟以及云所构建的混合环境中的安全问题呢？首先看一下这个模型可以带来什么帮助，我刚才已经说过云的演变要分多步走，首先它从IT效率的虚拟化去做的，我们知道虚拟化可以提高IT效率，你把IT作为服务消费。而且IT是从您自己的数据中心和服务供应商那里进行交付的。但虚拟化也使得这个问题更加复杂了，因为它是云的基本技术，有人会问一个显而易见的问题，虚拟化真的会产生更多的安全问题吗？或者它是解决安全的一种方案？要回答这个问题可能我们要回到刚才谈到的，如何在虚拟化发生变化，虚拟化提供了通用的共享层，进行服务器、台式机、存储设备和网络的协调，这一层提供了有利的位置，收集所有安全数据，并且执行安全控制。如果没有这一层，我们就会陷入这样的困境，我们要创建数百种的连接器，从不同基础设施抽取情报信息，如果利用虚拟化，一个来自虚拟基础设施的单一的点就可以让我们收集这些丰富的反馈意见，得到有关基础设施的重要信息。同时这个虚拟层还给我们提供了系统管理程序的安全措施，也就是说我们不再需要安全代理了，安全措施变得更加易于部署和管理。

虚拟化还有一个益处，就是能够在虚拟化平台中实现安全措施的自动化，利用基本安全功能的自动化，安全团队可以把他们的经历转移到更重要的一些任务，比如说先进的安全工具、风险分析等，结果是什么呢？物理环境和虚拟环境的可视性、可控性可管理性帮助我们解决了上述问题。所以现在利用一个更加全面的系统性的内嵌的安置体制，我们有了更好的装备面临第三个问题，也就是说如何打击共同的敌人，黑客犯罪社区。但我们还忘了另外一个因素，那就是犯罪分子他们有一个生态链，他们系统运作，我们需要企业、供应商、政府共同协作，也组成一个相对的生态系统，也就是说尽管我们这些企业天天在市场中竞争，但威胁、漏洞和攻击信息当中我们要共享，这也意味着这些供应商日夜在市场中竞争，但都必须保证他们的产品为了共同利益应该能是互操作的，这也意味着各国政府在一些领域有冲突或者不同的思想和意识形态，但必须意识到要为共同利益做出避让的退让。正如中国国防部长谈到的，各国的国防依赖于各国的互信。所以我们不要无视之间的分歧，要更加关注我们共同的信任。

其实我非常能理解为什么各国政府出于各国安全考虑要控制信息和技术的使用以及流动，但是自己的政府有时候也会出一些非安全的理由，他阻碍了最先进技术的进口以及在自己国境内的使用。非常具有讽刺意义的是，这就会对创新造成负面的影响。正如邓小平所说的，不管黑猫还是白猫，抓到老鼠就是好猫。所以技术到底来自何处并不重要，只要能打击犯罪的黑客分子。不管如何，我们都生活在这样一个互相联系、互相依存的世界中，只有共同努力才能实现全人类的进步。正如美国总统约翰 肯尼迪在有关世界和平的演讲中说到的，归根到底，我们最基本的共同点就是我们都生活在这个小小的星球上，我们都呼吸着同样的空气，我们都珍视孩子的未来，我们都是凡人。谢谢大家！

未经允许不得转载：DOIT » 亚瑟·科维洛：信息安全不是最终目的