云計(jì)算是未來的發(fā)展趨勢——采訪BehavioSec首席技術(shù)官Neil Costigan

本刊記者 曉輝

BehavioSec首席技術(shù)官Neil Costigan

2011年11月2 日，RSA大會(huì)信息安全國際論壇在北京召開，會(huì)上，來自全球的信息安全專家共同就現(xiàn)階段的安全問題進(jìn)行了探討。本次大會(huì)嘉賓云集，記者有幸采訪了BehavioSec首席技術(shù)官Neil Costigan。

Neil表示，云計(jì)算是未來的發(fā)展趨勢，同樣也存在安全問題，但卻不是出現(xiàn)了新問題，而是把現(xiàn)在的問題更加放大了。我們要使用云計(jì)算，就必須以正確、安全的方式來使用，才能確保它的安全，這是它的優(yōu)勢所在。比如說如果我們將信息放在云計(jì)算上，將這些信息給予一個(gè)可靠的人進(jìn)行管理，它的安全性比自己管理要高。但一定要記住，這里面總是有“人”的因素，比如可以把服務(wù)器和數(shù)據(jù)庫放在云上，而將與人有關(guān)的方面處于自己的掌控之下。

因?yàn)樯鐣?huì)工程是針對(duì)人的，在這個(gè)方面我們有兩件事情要做。首先就是對(duì)人們就安全問題進(jìn)行教育，我們需要進(jìn)行大量的教育，就像我們以前教育他們?nèi)绾问褂肳ord或者是E-mail或者是使用瀏覽器一樣的。這不是終點(diǎn)，我們應(yīng)該把人本身作為使用的工具。也就是我們必須要了解他們的行為準(zhǔn)則，利用他們這種行為準(zhǔn)則作為加強(qiáng)安全的手段。比如如果我每天都去同樣一個(gè)超市，我只在里面花100歐元，我在網(wǎng)上進(jìn)行支付。如果有一天，我突然在菲律賓又花了 10萬歐元，開了一輛勞斯萊斯，就說明行為上發(fā)生了異常的情況。因此，我們需要把這種異常和正常的情況進(jìn)行比較，找出其中的安全隱患。另外，還有一個(gè)例子就是你一般使用電話的習(xí)慣是怎樣的，按鍵的力度有多大、打字的速度多快、一般什么時(shí)候使用電話，以及通過GPS定位你在什么地方，這都組成了安全架構(gòu)，這些都是社會(huì)工程無法輕易復(fù)制的。

另外，在安全和用戶體驗(yàn)方面的平衡。我們的確需要更加注重用戶的友好性。在我們的研究過程中，我們已經(jīng)發(fā)明了一些新的技術(shù)，但還是需要一段時(shí)間對(duì)這些技術(shù)進(jìn)行分析和測試。的確，我們安全行業(yè)已經(jīng)認(rèn)識(shí)到了給市場帶來的一個(gè)最大的問題就在于它的復(fù)雜性，我們的確需要對(duì)其進(jìn)行簡化。這好像是一個(gè)三角架，其中一邊是成本，一邊是可用性，一邊是安全。我們一般只能顧兩個(gè)，而不能兼顧三個(gè)方面。如果你想要低成本，可能安全就沒有辦法保證，或者是想要可用性，安全也沒有辦法保證。這三者處在不斷掙扎斗爭的過程。我們作為研究者的工作就是要實(shí)現(xiàn)既有安全，又有可用性，又有低成本。現(xiàn)在我們的公司正在開發(fā)的技術(shù)就是將安全責(zé)任轉(zhuǎn)到服務(wù)器這邊，它對(duì)于用戶來說是透明的，用戶不需要再借助很多密碼，所有這些都是透明的，通過服務(wù)器來完成。我們希望進(jìn)行過培訓(xùn)的客戶能夠管理好他們的安全問題，但又不需要在這方面有任何的用戶體驗(yàn)，所有工作都是由服務(wù)器來完成的。

現(xiàn)在最大的問題就是在管理系統(tǒng)中有很多登錄的密碼，因?yàn)闁|西很多，也許有的密碼忘記修改，如果我們把這些空子都放在一個(gè)地方，如果使用的是最佳實(shí)踐的方法，肯定就會(huì)得到非常具有成本效益的做法。這其實(shí)比把所有的東西都分散在其他的地方要更為安全。打個(gè)比方說，如果你的公司只給你100美元，讓你做安全方面的問題，他們可以進(jìn)入5個(gè)系統(tǒng)，你把它分?jǐn)偟矫恳粋€(gè)系統(tǒng)上的安全成本就降低了，這樣也使它的安全性能降低。因此，如果能將這100塊錢花在成本最高，但是，安全性能最好的達(dá)到軍事安全級(jí)別的加密預(yù)算當(dāng)中，你的安全性能就可以得到提高。