本刊記者 曉輝

BehavioSec首席技術(shù)官Neil Costigan

2011年11月2 日，RSA大會信息安全國際論壇在北京召開，會上，來自全球的信息安全專家共同就現(xiàn)階段的安全問題進行了探討。本次大會嘉賓云集，記者有幸采訪了BehavioSec首席技術(shù)官Neil Costigan。

Neil表示，云計算是未來的發(fā)展趨勢，同樣也存在安全問題，但卻不是出現(xiàn)了新問題，而是把現(xiàn)在的問題更加放大了。我們要使用云計算，就必須以正確、安全的方式來使用，才能確保它的安全，這是它的優(yōu)勢所在。比如說如果我們將信息放在云計算上，將這些信息給予一個可靠的人進行管理，它的安全性比自己管理要高。但一定要記住，這里面總是有“人”的因素，比如可以把服務(wù)器和數(shù)據(jù)庫放在云上，而將與人有關(guān)的方面處于自己的掌控之下。

因為社會工程是針對人的，在這個方面我們有兩件事情要做。首先就是對人們就安全問題進行教育，我們需要進行大量的教育，就像我們以前教育他們?nèi)绾问褂肳ord或者是E-mail或者是使用瀏覽器一樣的。這不是終點，我們應(yīng)該把人本身作為使用的工具。也就是我們必須要了解他們的行為準則，利用他們這種行為準則作為加強安全的手段。比如如果我每天都去同樣一個超市，我只在里面花100歐元，我在網(wǎng)上進行支付。如果有一天，我突然在菲律賓又花了 10萬歐元，開了一輛勞斯萊斯，就說明行為上發(fā)生了異常的情況。因此，我們需要把這種異常和正常的情況進行比較，找出其中的安全隱患。另外，還有一個例子就是你一般使用電話的習慣是怎樣的，按鍵的力度有多大、打字的速度多快、一般什么時候使用電話，以及通過GPS定位你在什么地方，這都組成了安全架構(gòu)，這些都是社會工程無法輕易復(fù)制的。

另外，在安全和用戶體驗方面的平衡。我們的確需要更加注重用戶的友好性。在我們的研究過程中，我們已經(jīng)發(fā)明了一些新的技術(shù)，但還是需要一段時間對這些技術(shù)進行分析和測試。的確，我們安全行業(yè)已經(jīng)認識到了給市場帶來的一個最大的問題就在于它的復(fù)雜性，我們的確需要對其進行簡化。這好像是一個三角架，其中一邊是成本，一邊是可用性，一邊是安全。我們一般只能顧兩個，而不能兼顧三個方面。如果你想要低成本，可能安全就沒有辦法保證，或者是想要可用性，安全也沒有辦法保證。這三者處在不斷掙扎斗爭的過程。我們作為研究者的工作就是要實現(xiàn)既有安全，又有可用性，又有低成本。現(xiàn)在我們的公司正在開發(fā)的技術(shù)就是將安全責任轉(zhuǎn)到服務(wù)器這邊，它對于用戶來說是透明的，用戶不需要再借助很多密碼，所有這些都是透明的，通過服務(wù)器來完成。我們希望進行過培訓的客戶能夠管理好他們的安全問題，但又不需要在這方面有任何的用戶體驗，所有工作都是由服務(wù)器來完成的。

現(xiàn)在最大的問題就是在管理系統(tǒng)中有很多登錄的密碼，因為東西很多，也許有的密碼忘記修改，如果我們把這些空子都放在一個地方，如果使用的是最佳實踐的方法，肯定就會得到非常具有成本效益的做法。這其實比把所有的東西都分散在其他的地方要更為安全。打個比方說，如果你的公司只給你100美元，讓你做安全方面的問題，他們可以進入5個系統(tǒng)，你把它分攤到每一個系統(tǒng)上的安全成本就降低了，這樣也使它的安全性能降低。因此，如果能將這100塊錢花在成本最高，但是，安全性能最好的達到軍事安全級別的加密預(yù)算當中，你的安全性能就可以得到提高。