亚瑟•科维洛：新威胁面前安全需要大智慧

在成都举办的RSA信息安全大会上，RSA执行主席亚瑟•科维洛在发表主题演讲时强调，面对当今严峻的安全威胁态势需要智能的安全模型，需要实施正确的安全防御，需要国家层面的参与协调。

亚瑟•科维洛

国家层面确保安全技术得以正确使用

亚瑟表示安全涉及到越来越多的高端技术，这就需要国家层面的参与，确保让正确的人使用这些技术。否则一旦此类技术失控为恶意攻击者利用，将严重威胁全球安全。而且安全是一个没有尽头的领域，网络犯罪分子的不断“推陈出新”，促使安全需要不断前进，不断完善。国家层面的参与，才能保障技术进步所带来的经济增长、生产力的提高面临更低的安全风险。

安全投资要花到点子上

亚瑟认为现在企业安全防护上花费很多，但却没有“花到点子上”，需要重新平衡安全预算。这并不意味着要增加安全预算，而是要让安全预算、安全投资更加适于现在的安全威胁防护体系。

每当提起安全，人们就会变得没有耐心，人们会说花钱就是为了避免安全风险。但只有正确的分配预算，搭建正确的安全基础架构，才能在安全防护上“事半功倍”。企业为了适应新型商业环境在重新建构自己的商业模式从而提高自己的运营效率，实现成本的最大效益化。与此同时企业也应该对自己的安全基础设施进行更新，尽可能的避免新安全威胁所带来的损耗，保障企业业务的顺畅运转，帮助企业获得更多效益。这就好似汽车的刹车系统，在出现安全威胁时，企业“刹车系统”——新型安全防御架构能及时“把车辆停住”，清除安全威胁，另一方面新型安全架构也给企业业务正常发展以信心。

安全预算分配要“知己”

怎样的安全预算比例才合理呢？亚瑟认为这是一个比较难的问题，也是人们正在探讨的问题。打造基于智能的安全系统，需要能够透彻了解、评估企业内部安全隐患，以及可能带来的安全风险。只有先做到了“知己”，才会知道哪些地方是防御的重点，而要做到“知己”就需要能够很好的进行防御检测、及时响应等等，把安全预算更多花在“震慑”阶段应该是一个好的选择。需要注意的是，安全预算不是固定不变的，“我们认为安全预算处于不断再平衡调整的过程”，企业整个安全系统中的不同安全控制点都必须要经常的被审核、评估，检查其有效性。当企业业务重点发生变化时，安全防御的方向也会随之改变，安全预算则要与之相应的进行调整。

另外，企业在关键节点所布设的安全防御一定要是最新的，要能够预测、发现异常行为。通过分级防御系统，能够从各方面侦测异常行为，并启动针对异常行为的防御。而这就需要专业的人士来运行这套复杂的体系。不好的安全防御体系犹如纠缠在一起的面条，繁杂低效，完整有效的安全防御体系由于多层次的防御系统而显得十分复杂，却很精致高效。

购买服务把麻烦扔给专业的人

不同类型的企业处于不同安全成熟度，很多企业还仅仅处于“控制”这个初级的安全阶段。今后，类似于中小企业这类自身处于安全初级阶段的用户，更多的需要安全服务帮助其实现专业的安全防护。安全防御是一件很耗费精力、财力、物力、人力的事情，如果处理不当，很可能会由此而制约中小企业的发展，甚至使其发展趋向负向。将安全防御交给专业的安全企业，用户仅需花费财力以及部分人力，就能享受到专业的安全服务，而无需再花费任何精力去了解其它更多安全技术、安全产品、安全威胁等相关信息，极大减少各类资源的耗费，更有利于企业的正向发展。

如果企业购买了身份管理服务、SaaS、IaaS等安全服务，甚至是进一步企业有其自己的私有云，这就需要去整合企业各个部门、各个环节的数据，这是一个很繁琐的事情，这需要从源数据做起，也就说，从基础网络开始的一切网络、安全服务都由专业的企业负责。

未来，企业的业务很可能将完全互联网化，安全服务仅仅是企业需要购买的一部分，应用服务、网络基础服务……各类云服务的提供，才能综合保障企业业务的正常有序发展，而一切“烦恼、麻烦”就都扔给服务提供商们吧。

【采访札记：听亚瑟•科维洛的演讲是一件很过瘾的事情，而在专访亚瑟的过程中，恍然发现，未来的安全防御原来还有更多可做的事情，原来安全已经不仅仅是安全企业的事情，原来安全在变得更加广义，原来安全需要大智慧！】

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友