RSA高层提出顺应信息安全大趋势七项原则

在RSA 2009欧洲大会上，EMC信息安全事业部RSA领导人鼓励与会者迎合趋势，抓住机遇，提供更好的安全性

　　2009年10月26日 刚刚在英国伦敦召开的RSA 2009欧洲大会，其开幕演讲主题是：建立系统性的安全策略，协助组织更好地应对挑战，把握下一代技术发展趋势所创造的机会。在联合主题演讲中，EMC(NYSE：EMC)信息安全事业部RSA总裁Art Coviello和高级副总裁Christopher Young分别强调指出，各组织建立系统化安全策略、应付不断提升的技术趋势，这不是一个负担，而是一个前所未有的机遇，这样可以提高安全性，建立更安全的信息基础架构。

　　“在过去100年里，技术和信息发生了翻天覆地的变化，但人们应对这种发展的行为却进步得非常缓慢，我们跟进我们所面临的复杂性能力非常有限，”Art Coviello说。“因此，今天我们发现，克服复杂性非常有价值。这样，人类才可以充分利用这些引人瞩目的技术发展和进步。这就是世界各地IT组织所面临的挑战。”

　　在联合主题演讲中，两位EMC高层的演讲都针对即将到来的、正在改变安全应用方式的趋势：例如，数据中心虚拟化、云计算、移动应用和社会化计算的发展。Coviello和Young鼓励组织顺应这些趋势，抓住机遇，在信息基础架构中建立更好的安全性，而不是抗拒这些趋势，无视它们所构成的风险。为了加速这一转变，他们为与会者提供了七项指导原则，涵盖当今不断变化的安全版图下建立高效信息安全战略所需的关键要素。

　　“顺应趋势的人将在创新浪潮中处于有利的位置，收入增加，成本降低，基础架构更快捷、更灵活”，Young说，“为做到这一点，我们必须作为一个行业崛起，用新一代的信息安全战略迎接新一代的趋势。”

　　RSA 7项指导原则：建立系统的信息安全策略

　　EMC信息安全事业部RSA断言，现在就是企业信息安全负责人确定系统化战略的时机。系统化战略不仅可以让组织有效地保护当前快速变化的环境，而且可以让它们在将来提供更安全的信息基础架构。这一系统承认独立产品，但提请信息安全从业者注意这些产品是否能够协同工作，解决共同问题，是否能够开创新的机遇。

　　以下通过RSA自身业务的实例，展示如何实施七项指导原则：

　　1. 信息安全措施必须嵌入到IT基础架构之中——第一个原则认为，信息安全措施不应该只是集成到基础架构中，而应该嵌入其中。这种理念推动了RSA一系列重大举措，包括与思科的合作。来自RSA和思科的团队联手将数据丢失防护嵌入到思科IronPort电子邮件安全网关等设备中。RSA和VMware也结盟成了技术合作伙伴，将核心的信息安全控制嵌入到虚拟基础架构，帮助组织降低风险，提高它们的整体信息安全状况。

　　2. 发展解决方案生态系统——必须形成生态系统，让多家组织的产品和服务协同工作，解决共同的信息安全问题。 RSA投资了RSA eFraud NetworkTM社区，它是与全球数千家金融机构合作创建的生态系统，能够在网络欺诈分子流窜于全世界范围内各金融机构之间时发现他们。

　　3. 创建无缝、透明的安全性——信息安全措施对所要保护的用户和系统具备很大的透明性，这对于弥合技术进步速度和人们技术跟踪能力之间的差距非常重要。RSA与全球最大的付款处理公司第一数据公司(First Data Corporation)开展技术合作，其背后的动机就是建立无缝、透明的信息安全措施。 RSA和第一数据公司最近宣布了一项服务，可以保护支付数据于商家，因此商家无需将信用卡数据存储在其IT系统内。这项服务内置到第一数据公司的付款处理系统中，对商家和它们的客户都是无缝和透明的。

　　4. 确保信息安全控制是关联而且内容感知的——用户对信息的平均访问量以指数级的速度增长，信息保护的法规数量也在大幅增加。在EMC关键事件响应中心(Critical Incident Response Center，CIRC)，安全信息管理是集中进行的，这样它就能够关联各种信息控制措施的数据，例如数据丢失防护，基于风险的身份验证之类的身份控制措施，以及补丁、配置和漏洞管理系统等基础架构控制措施。这种先进的信息安全运营的方法，可以提高信息安全分析师获取所需信息的速度，尽快区分出良性安全事件和高威胁性的事件。

　　5. 信息安全措施的重点既要由外而内，又要由内而外——RSA认为信息安全的方式必须双管齐下，既保护边界(由外而内)，又保护信息本身(由内而外)。既然用户是从网络内外的各种设备和云环境中访问信息的，当信息在整个信息基础架构中移动时，信息安全策略和控制措施就必须依附在信息上。

　　6. 信息安全必须是动态的、基于风险的——由于犯罪分子和网络欺诈者不需要遵守规则和法规，他们可以无拘无束地部署越来越富创造性的攻击。为迎战这一现实，各组织就需要动态关联大量来源的信息，响应基础架构和信息相关的实时风险。 RSA当天宣布了新的咨询顾问服务，帮助企业实施或改善信息安全运营功能，更有效地管理风险与IT合规项目。

　　7. 有效的信息安全措施需要自学习——IT基础架构和针对它们所发起恶意攻击的动态特性，已经远远超越了人类跟进其速度和复杂性的能力。为此，信息安全战略必须是动态的、基于行为的。为实现这一目标，RSA当天还宣布，它正携手趋势科技，利用趋势科技威胁资源中心搜集的间谍软件、病毒、垃圾邮件及其它数据实时情报。为提高对RSA FraudActionsm反木马服务客户的终端保护，这些重要信息将直接导入RSA 反网络欺诈指挥中心。