Cloud & Telecom Security

引子：

观放白鹰二首（李白）
八月边风高，胡鹰白锦毛；
孤飞一片雪，千里见秋毫。

RSA大会一向是网络安全圈子里的大场面，传统上各路老大都会赶来捧场，也作为自己后面一年市场理念、产品技术的首发之地。好，对于到场的老大们就不一一赘述了，我们看看哪些大厂没有来。

缺席的第一家是Oracle。大家知道，Oracle其实已经悄悄成为安全圈子里的实力派，尤其是在2005年购并Oblix、2009年购并Sun以后，其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面，Oracle的CEO Larry Ellison经常对云计算冷嘲热讽，一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面，Oracle在迅速发展其网络安全解决方案能力，另一方面Oracle又不“与狼共舞”，来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友，个人身份参与。

缺席的另外一家是Juniper。Juniper在购并Netscreen后，安全产品行销全球，在FW/IPS/VPN等领域实力强劲，是相关产品评论不能不提的厂商，“地球人没有不知道的”。不知为什么，Juniper对家边上的RSA不对眼。Juniper有Speaker出场，可是不参展。Juniper不到场，肯定不是“差钱”。

华为的缺席也情理之中，又在意料之外。华为-赛门铁克（华赛）在国内也一直以国际行销出名，很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污，甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗！呵呵。

闲话讲完，还是来看看这次大会有什么新鲜内容吧。

美国政府大力宣贯

Howard Schmidt. 这位老兄马不停蹄，积极宣贯奥巴马总统的网络空间安全施政纲领，在各种场合下高调代表Obama总统号召大家行动起来，教育自己的老板、同僚、部下、亲属等重视网络空间安全，并付诸实施。怎么样，看这张照片，Howard是得了总统的亲传啊。

DHS/NSA/FBI/US-CERT/… 按照我们理解，这些衙门传统上应该道貌岸然、高高在上的。可是人家的展台可不含糊，每个人过来访问一定是嘘寒问暖，非常客气。我和DHS人讲你们米国签证周期太长、费用太高，呵呵，那位老兄很客气、笑眯眯地说：抱歉，那个事情不归我管啊。

众多CISO，感觉上随便递张名片，换回来就是某位CISO的。呵呵，这么说，没有丝毫贬低CISO的意思，相反的，是欣赏。人家RSA可以把这么多CISO请到会场，让第一线的、听得见炮声的经理们、专家们来谈看法，不是比清一色的厂商专家们更有透视力吗！在商言商，厂商专家们难免会有些老王卖瓜。

热门话题

云 – 绝对热度。Keynote前三个都是云。RSA的老板、微软的SVP、Symantec的CEO，一路猛侃。本来打算周一一早过去到CSA Booth帮个忙，发发资料什么的，我大概8点左右到的 ，里里外外已经都是人了。好不容易找个座位坐下。据CSA ED Jim在数据通报中称，当天因人满为患被迫拦驾的有三百多人。那个会场也就是100-200人左右。Jim在和大家道歉的同时，语气里都是成功、兴奋和自豪。呵呵。不但商业公司很投入地侃，政府结构的部长、总监、CSO/CISO们也都满怀热情地侃。呵呵，国内某专家“猜测”人家推“云”是阴谋，来观摩一下RSA大会，绝对不相信自己的眼睛 – 全民演戏能这么逼真，怪不得奥斯卡奖都被美国人拿！你对IT的理解、IT运行成熟度没有到那程度、你根本没有IT成本压力，那你肯定没法理解为什么“云”。自己独门独院多好，谁愿意和别人合租啊。我们洋洋天朝， 不缺那几颗CPU、几块硬盘！呵呵。看到差距，才能进步。

合规性 – 高烧不退。记得两三年前，有位老师讲： Compliance is not, audit is hot. 现在看，中午的太阳还是在合规性家。按照统计数字说的话，参战公司有1/4声称自己提供合规性解决方案。Session topics没有统计，感觉上各位Speaker讲着讲着就落到合规性上。为什么企业、机构忙网络安全，除了自己的电子商务流量、品牌名誉、客户信心等，最要紧的还是政府、行业的法律法规、硬性要求。原来讲SOX太贵了，PCI太贵了，企业搞不起。可是，老外有一个很大的优点，就是不停地“调优”，一个版本一个版本地、按照市场反应来调整标准。PDCA人家真得在用。

PCI – 争论归争论，还是真刀实枪。在当前比较Popular的标准中，PCI-DSS属于比较另类的，就12个要求，还很具体。只要你开网做生意，就不免和信用卡、借记卡等打交道。那你就得拜这个山头。人家可不是蒙人，标准的制定、标准的检验认证、认证师培训资质、认证工具等清清楚楚。看看这幅图的标准生命周期和组织机构，就值得我们学习。什么东西，架不住透明公开的讨论，我参与、我贡献、我遵从！这是人家的行为准则。我制定、你执行，然后就没有下文了，从管理学、PDCA看都不明智，也不可能和谐发展。

数据 – 安全的本质目标。数据，虽然有很大部分谈的是PCI的信用卡信息，但是美国人还“过分”强调隐私 – PII( personally identifiable information)。现在加州通过的法案 – SB1386 (Senate Bill)，就要求凡是和加州人有关的个人信息，不管你公司和信息系统在哪里，只要有信息安全泄漏，必须尽快通知到受影响的个人。这个要求很“强”吧。这就是市场驱动力。

应用生命周期 – 不再是阳春白雪。微软显然从SDL上获益匪浅，不管是从切实的产品安全性上，还是从公司品牌形象上，甚至市场收入上。慢慢地，这个practice就不再是nice to have了。记得在联想后面一两年，从客户方面来的对IT系统安全性的调查问卷、自查报告等就明显多了起来。前些时候，纽约州和SANS、Mitre Corp（http://sbin.cn/blog/2010/02/23/more-responsibility-by-software-vendors/）一起搞了供应商安全要求模板。看来，软件生命周期安全、白盒测试、黑盒测试什么的就要渐渐变成must to have了。

简单总结完，分享一个简单的数据分析。参考下面的Tag分布图，大家可以大致了解到客观上的本届RSA大会声音。

中国身影
据报道中国GDP已经超越日本人，外贸总额超越德国了。中国总体经济规模，按照GDP来说，已经成为世界经济很大很大的一块了。可是，咱们在IT这个圈子里的影响力，显然，很多时候还只能从采购合同的角度施加影响。可是，冲向世界的号角声这几年是越来越响。华为、中兴、联想等，经常给我们带来很多自豪感，和老外侃大山时也成了经常的话题。现在在RSA – 这个网络安全界的大场面上，来自中国的身影也越来越多。

绿盟 – 年前刚刚加入炙手可热的云安全联盟，今年到场参展已经是第三趟了，展台面积也随着GDP增长。三层架构的云安全解决方案引来了不少目光，来自中国的特色小礼品 – 丝绸折叠糖果盒受到了很多老外的欢迎。
网康 – 今年在展会上碰到了赶来参展的袁总，匆匆聊了几句，抱歉没有过到展台深度了解。据袁总说回头还要参加InterOp（April 25-29, Las Vegas）
中关村 – 政府扶植网络安全企业的具体举措。联想网御、网御神州、启明星辰、天融信、飞天等联袂出场。展台总体面积不小，可惜的是到处出现的方块字让不少老外对来自遥远东方的客人敬而远之。

Be Sociable, Share!

•