亚瑟W科维洛：找出信息安全存在的问题需要实践

ZDNET安全频道报道（文/毅东）2010年10月21，在RSA公司进入中国市场十周年之际，由美国RSA Conference（RSA大会）主办、中国电子学会承办的RSA大会2010信息安全国际论坛在北京举行，标志着RSA Conference这一全球最权威的信息安全年度峰会首次进入中国。RSA主席兼EMC执行副主席亚瑟·科维洛发表主题演讲，亚瑟认为找出信息安全存在的问题需要实践。

信息技术有利也有弊。亚瑟表示，“好消息是我们不断的向前发展信息技术，而根本没有把应用信息技术所做的事情进一步的发展。不好的消息是，IT的基础设施变得非常复杂，而且非常昂贵。但即使是这样，创新也是可以提供帮助的。不妨现在看一下，从虚拟化、云计算这样的基础创新所带来的好处是什么，我们在全球花了数万亿美元投入到了计算机的发展，以便能够生成和处理信息，投入到网络，以便让信息到处流动，投入到硬件设备当中来存储，同时还投入到那些我们远远还不能充分利用的信息，以便能够真正的转变业务的应用。但我也并不认为这样理解的含义，应该不断延伸。但目前对于这个环境来说，不管是大企业还是小企业，对于每个组织来说都需要把自己的人力资源和资本投入到这个里面，以便能够建立自己的发电厂。”

而对于企业来说，现在有新的创新可以选择。亚瑟指出，“我们可以描绘这样一个世界，可以利用在异地生产计算能力，随时需要就能够随时提供，同时能够提供安全存储信息的世界，同时能够有效的进行管理和访问，随时随地的能够有效的对它进行管理，这个设想就是云计算的世界。经济的规模、灵活性以及效率不仅节省了大量的资金和维护的费用，主要是由于有了虚拟的基础设施，同时还能够解放我们，使得我们能够在整个的企业之间来应用这个信息，这说明云计算是一种转变业务以及提高我们生产力的机会，这样的机会就是经济的增长和就业创造的关键所在。但是有一些东西明显的放缓了能够实现云计算的创新愿景，这主要是信心所造成的，就是对于信息安全的信心。”

如果对信息安全缺乏信心的话，不妨去调查问题的现状和历史。亚瑟表示，“如果缺乏这个信心的话，在信息经济上，可能极大的拖延我们向前迈进的步伐，如果缺乏了信心的话，我们现在要应对三个主要的问题。首先我们面临的问题就是安全措施，就是被动的应用，查补漏洞，看到新攻击形式，利用新的单点产品来解决这个问题，结果企业有很多的单点产品来自不同的供应商，都是独立的运用，比如加密、解密、反恶意软件等等。同时，IT的团队也需要背负管理多家供应商所提供产品的责任，企业有成千上万的地方都需要管理政策，而且成千上万的工具需要他们做出决策，另外还有成千上万的需要执行政策的环节。这样做不仅耗资巨大，而且低效，管理难度很大的。对于物理环境中的问题，只需要我们解决就可以了，那么如果问题在虚拟环境中出现，因为有软件的环境，而且是在深层硬件基础之上的话，就很难分离了。所以如果分离这个软件的话，就会造成可视性的损失，同时还会使我们无法控制。这三点问题，让企业面临非常复杂的，程度越来越高的犯罪和黑客行为。”

亚瑟认为，如果对信息安全缺乏信心的话，不妨去调查问题的现状和历史。“所以对于信息安全，我们不仅要找出上述这些问题，还要仔细的研究他们。如果你认为某个问题不能解决，就去调查那个问题的现状和历史，实践的同时就找到了解决问题的办法，并重塑信心。”