RSA从战略高度找寻安全架构方法

“形而上者谓之道，形而下者谓之器”，形而上意为道指哲学方法，形而下意为具体的，可为东西和器物。

2010年1月22日来华访问的EMC执行副总裁、EMC信息安全事业部RSA总裁亚瑟.科维洛先生，向ZDNET介绍了EMC信息安全事业部RSA在2010年的最新战略。采访中给笔者留下最深印象的是亚瑟.科维洛在演讲中引用了来自中国古老经典《易经》的原文，并以道的哲学方法阐述了RSA如何与其客户协同工作，提供一个全面和系统的战略思维，为保护信息，基础设施和身份的安全提供正确的方法。

EMC信息安全事业部RSA总裁亚瑟.科维洛先生

与企业习惯的由冰冷的硬件安全产品堆叠的安全壁垒不同，RSA谓之道的安全架构看上去更加的鲜活，脉络更加清晰。即任何安全计划的目标都是一个安全的信息基础设施，以确保正确的人通过受信任的基础设施访问正确的信息。那么在企业看来这样的战略是否是他们目前所需要的？这样的安全方法和体系是否能够保证业务的高速发展？

挑战：扩张的不仅仅是安全威胁

我们可能真的无法再10年前想到如今的企业应用，互联网应用等所衍生出来的海量信息和信息的使用率会如此之大。业务的车轮在海量的信息流中穿梭，企业的CSO在抓业务机会，满足业务需求的同时，努力平衡着通过安全的应用方式提升企业的核心竞争力。而横亘在他们和企业面前的仅仅是10年前，我们无法预测的安全威胁的层出不穷吗？亚瑟.科维洛给出的答案是否定的。在信息不断扩张的同时，企业的基础架构和身份的扩张同样给了安全威胁可乘之机。

亚瑟.科维洛表示，“存储在数据库中的信息，不仅仅通过服务器运转的应用由内部员工来访问，还通过SharePoint等形式，为客户所共享。也就是所有的信息不仅在企业内网流动，也在企业外的网络流动，于是为了保证这些信息流的通畅，服务器的负载，网络设备的负载，存储设备的负载，应用软件的升级换代等等，不断累加。企业基础架构不断扩张，历经不断的整合”。

“而为了不断满足业务发展的需要，企业的信息流变得越来越平，需要共享到更多的合作伙伴和用户中去。访问信息用户的身份不断扩张，内部员工、外部客户、合作伙伴、企业分支员工等等。而随着云计算，虚拟化技术的推动，基础架构将面临进一步的整合，而企业也将超脱目前固定的物理环境，迎来一个虚拟化的空间，随之而来的由实到虚将面临更复杂的信息环境和新安全威胁”。

亚瑟.科维洛还指出，“不断翻新的安全条例，使得企业的安全情况也日趋复杂，而以利益为趋导的犯罪组织，分工更加精细，合作更加紧密，攻击，收集信息，信息销售的流程亦更加完善。”

战略：内嵌可控智能的安全体系

坦言在与亚瑟.科维洛的对话中，笔者的许多极端安全威胁假设都是无力的。就像企业层层搭建的看似铜墙壁垒的安全边界，总是在新的安全威胁面前措不及防，在由内而外的疏漏中轻易失守。为什么？难道企业没有意识到安全产品总是在各自为战，缺乏协同；难道企业没有意识到总是在查漏补缺，亡羊补牢；难道企业没有意识到安全管理流程疏散，运营固守；难道真的只能“道高一尺，魔高一丈”。我无法确定RSA所提出的方法论会最终适合于所有企业，但我赞同RSA的战略思维，方法可以不断的推敲改进，但战略必须明确。

关于RSA的安全战略精髓，亚瑟.科维洛是这样阐述的，“任何安全计划的目标都是一个安全的信息基础设施。简而言之，这意味着：确保正确的人，访问正确的信息，在受信任的基础设施上使用一个简单并能高效管理的流程。”

亚瑟.科维洛解释道，“安全机制将在未来嵌入到基础架构中，也就是安全技术更加的基于信息，在基础架构的控制点通过内嵌安全机制进行风险控制。从而摒弃被动响应，单点效应，衔接松散，管理复杂。但也对安全机制提出了更高的要求，如更加智能，具有自学习能力。而这样基于信息的安全技术，高要求的安全机制，各个控制点的策略部署，需要搭建一个安全的生态链来完成。从而最终实现安全体系和IT基础架构无缝衔接，在用户看来完全透明不可见，而不是生硬的将安全技术，机制，产品填塞在企业IT系统中。”

“所以这种安全不再是被动的防守了，是更基于细颗粒度的防御机制，根据每次所使用的信息或者交易进行基于风险的动态安全战略。如果出现一种新型的攻击形式，它可以访问到我们保护的内容或者信息，虽然某个安全控制节点并不知道这是一种新的攻击形式，但它可以遵循安全机制，所以信息不被允许拿走，起到保护作用。”

方法：并不是说来容易做来难

似乎在上面提到的战略面前，企业之前搭建的安全体系在未来的云计算和虚拟化环境中完全一无是处。亚瑟.科维洛再次否认了笔者的极端，并不是说来容易做来难。那么企业如何做到？如何争取优先级进行投资呢？

亚瑟.科维洛指出，“这样一种安全机制同样适用于未来的云计算和虚拟环境，企业并不需要针对现有安全架构重新设计。拿RSA的安全产品来说，在目前企业现有的安全框架之中，基础架构安全节点的控制也同样是适用于云环境，也就是虚拟环境的安全架构。比如底层后台的SIEM，RSA已经实现了和VMware虚拟技术虚拟产品的集成，Security ID也实现与VMWare解决方案集成，RSA正在计划集成访问控制和合规产品。从投资保护的角度来看，对于目前使用RSA产品的客户来说，以后到虚拟环境中，他们其实所使用的技术和目前的安全技术是一样的。”

亚瑟.科维洛总结了RSA的方法论，“跨政策管理，决策，执行和审计边界协同工作的产品；专为信息风险管理流程而设计的服务；内置专业意见和政策制定，不断提高和促进RSA的解决方案；以及与上千个直接集成了我们安全技术的合作伙伴构建的安全生态系统，如思科、EMC、VMware等等。”

展开来看，在信息数据端通过防数据丢失（DLP）解决方案保护终端、网络、数据中心的敏感信息，并为EMAIL、SAN、数据库等提供加密解决方案；在用户身份端，Secur ID、访问管理软件、防欺诈解决方案保证认证、访问/提供等安全，在中国市场Secur ID已经突破1400万个；在基础架构端，与上千个直接集成了RSA安全技术的合作伙伴构建安全生态系统，通过集中化策略管理架构的enVision平台对各个控制点进行管理。