RSA总裁亚瑟·W·科维洛在1月26日接受本站记者专访时,详细阐述了RSA 2010年的新战略,简称“3I+S”。该战略详细介绍了在目前越来越复杂的信息交流合作情况下,特别是环境中,RSA如果解决多平台交叉情况下的问题。
3I:由点到面挖掘信息风险
“3I”指的是Indentifies (身份保护)、Infrastructure (基础架构保护)、Information (信息保护)。 科维洛先生说:“不管哪种安全,都可以用这三个I进行解释和分析,所以我们RSA有一个非常远大的目标,就是保证正确的人通过可信的信息基础架构访问正确的信息。”
具体的技术实现方式首先落实到具体的点上,即就是在身份方面有安全控制节点,信息基础架构也是一样,同样信息保护也是RSA关注的安全控制点。
这些具体的点又不是孤立的,他们之间相互联系,相互影响。这三个I并不是独立存在的,首先信息是人创造的,如何看信息的流动呢?信息可能是由某一个应用产生创造的,在中,通过网络、路由,由人去访问,而人访问这个信息又是通过信息基础架构来实现的,所以谈到相应的这些安全控制点之间也要做到互相之间的协调。
如何实现协调?就是有赖于一家企业建立一个适当的运营策略框架。当然首先要对这个企业的运营,就是存在什么样的信息风险有一个充分的了解,然后再知道应该采取什么样的方式去控制风险。也就是说要从这三个方面找出可能出现的信息风险,然后才能针对这三类风险的特点进行控制和治理。
GRC:通用规则应对信息风险
接着,科维洛先生引出了GRC,其中G代表的是公司治理,R代表的是风险控制,C代表的是法律遵从以及合规。如果一家公司有适当的公司治理,有很好的风险控制,带来的良好结果自然就是法律遵从。有很多的公司都是本末倒置了,他们为了说我完成了这项工作,先从法律遵从开始做,但是法律遵从做了之后,由于这家公司风险控制的策略不好,治理也不好,实际上并没有带来很好的效果。
其中科维洛先生特别强调的一点就是,没有一家安全厂商可以说我能够提供在这三个I方面所有的安全控制产品,比如说RSA公司做身份方面的安全控制产品和信息安全控制产品。而像、网络这样一些属于信息基础架构的安全控制,RSA还是依赖于合作伙伴这些厂商去做的。
那么不同的厂商提供的安全控制点之间的协调由谁去统一管理?就是GRC,也就是治理、风险、合规这样一个政策框架管理的。也就是说不管你这家公司自己内部是有什么样的治理条例或者当地国家有什么样的法规,都可以被放到这样一个GRC的政策框架中去执行。这样的话在这个大的框架之下,所有这些安全节点的运行都是符合公司内部条规和当地法规的。
笔者认为,这就好比大禹治水,他采用疏导的方式,打通了河道就降低了水压,自然可以减少洪水的泛滥。一味的修高堤坝,只会使水压升高,最终带来更大的洪水爆发。风险控制也是一样,如果一开始只是盲目制定法律规则,也许这些规则并不能控制真正存在的安全风险。而适当的公司治理,则可以逐渐降低风险,并在治理过程中找到可行的法律规则。
S:动态分析形成安全闭环
“S”指的是SIEM,就是安全信息事件管理,安全信息事件管理是属于在后台运作的系统,这些在各个节点的安全产品它们的运转产生了很多日志信息和事件,这些日志信息和事件是由后台的SIEM系统收集的。有了SIEM这样一个信息的收集,就可以理解和分析各个控制点是不是在正常的运转,并且把这些信息反馈给我们GRC的政策框架。所以这就是对一个企业形成了非常良好的安全闭环系统,也就是说RSA并不是触及到各个角落,但是中间某些控制节点是RSA做的。
对安全产品运行过程中出现的日志信息和事件进行收集整理及理解分析,从中可以找到潜在的安全漏洞或安全薄弱环节并加以修复,同时决策框架也会在以后的运行过程中对这类安全风险加以重视,及时准确地清除安全风险。
综述
笔者认为“3I”:Indentifies (身份保护)、Infrastructure (基础架构保护)、Information (信息保护)分别对应的云计算中用户的身份保护、服务提供商的安全问题、数据中心的信息安全这样三个方面。也就是说要保护用户的隐私权,使其信息不被三个环节中的任何一个泄漏出去;同时要保障基础架构的安全,基础架构一旦被破坏了,两端的信息都有可能泄漏出去,而且云计算整个系统也会瘫痪;第三点的影响力更大,一旦数据中心遭到,大量的资料或数据就会遭到恶意利用,后果不堪设想。因此,这三个方面都是的重中之重。
GRC可以帮助云计算中的三方各自管理好自身的信息安全问题,动态分析则又将这三者联系到一起,将一个环节中出现的问题共享,提前找出其他两个环节中存在相似的问题,或者检测类似问题的发生,都能提高云计算的安全性能。
RSA对于未来云计算环境下交叉复杂的安全问题,给出了一个多侧面的安全保护模式,并进行动态的安全跟踪,为2010年云计算的广泛应用铺好安全基石。