从RSA会议看全球网络安全政策、产业和技术发展趋势

美国当地时间4月16至20日，一年一度的安全行业盛会RSA Conference 2018在旧金山市召开，来自世界各地的与会者围绕大会主题——“现在很重要”（Now Matters）（暗含有“行动起来”的意味）展开探讨。本次大会共有577家安全厂商参会并展示其在安全领域的最新技术，现场与会者突破了40000名；世界各地的安全专家及优秀厂商齐聚这场盛大派对，共同探讨安全领域的发展趋势及前沿技术。

本文将从政策动向、产业趋势和技术热点等方面对本届RSA大会进行解读。

一、政策变化动向

网络安全是从国家层面到个人层面都关注的热门话题，政府方面对于网络安全也越来越重视，政府的支持是科技公司发展的源动力之一。2018年的RSA大会同样吸引了美国政府，美国联邦调查局（FBI）与国土安全部（DHS）在大会上设立了展位，相关官员发表了会议演讲并参与讨论。

本届RSA会议中，DHS部长克尔斯特恩·尼尔森（Kirstjen Nielsen）发表了讲话，她的发言在很大程度上代表了美国政府当前在网络安全战略上的诸多立场；结合特朗普执政以来实施的一系列网络安全政策举措，有以下新的政策动向值得关注：

1．网络安全战略更加激进

在4月17日的主题演讲中，美国国土安全部部长克尔斯特恩·尼尔森表示，美国将以更积极的态度应对网络攻击者，准备对网络攻击者采取更为激进的应对措施；美国还没有排除对外国进行网络攻击并采取全方面回应的选择；美国需要采取强硬的立场来终止黑客对该国基础设施的攻击……，尼尔森的发言清晰表露了特朗普政府在网络安全战略上的激进立场。

特朗普执政以来，新一届政府应对网络攻击和网络经济间谍的手段日趋强硬，在网络空间压制中、俄等主要对手，成为特朗普政府网络安全举措的一个主导思想。2017年初，特朗普签署了拖延很久的《增强联邦政府网络与关键性基础设施网络安全》总统行政令，要求在联邦政府之内建立多项网络安全评估指标，但此举尚未对美国政策作出任何重大改变；随着特朗普政局的日益稳定，美国政府在实现“必须在网络和网络战上坚不可摧”这一目标上开始层层推进，首先在2017年12月发布的特朗普任内首份《国家安全战略》报告中披露了网络安全缺陷，囊括了用于改善美国国家网络安全方法的行动纲要清单，提出“将投入资源以支持并提升实现网络攻击归因的能力，确保有能力作出快速反应”。同时，考虑到在网络空间美国政府缺乏总体网络政策，奥巴马时代的网络计划与战略正在新的历史背景下迅速过时，（比如，早期的文件并未考虑到量子计算可能对加密机制造成的威胁，亦未将区块链技术的价值纳入其中），特朗普政府正在计划建立一项新的网络安全战略，新网络安全战略将围绕美国在网络空间必须保持对敌技术优势这一核心，在提升联邦政府计算机网络安全性、保护国家关键信息基础设施；惩治网络空间不良行为等几个主要方面制定新的策略。

在尼尔森在RSA2018年会上发表讲话一个月之后，5月15日美国国土安全部发布了《网络安全战略》，该战略描绘了DHS未来五年在网络空间的路线图，为DHS提供了一个框架，指导该机构未来五年履行网络安全职责的方向，以减少漏洞、增强弹性、打击恶意攻击者、响应网络事件、使网络生态系统更安全和更具弹性，跟上不断变化的网络风险形势。该战略确定了DHS管理网络安全风险的5大主要方向及7个明确目标。

与此同时，特朗普政府还计划在2018年底开始实施规模庞大的网络安全“登月”计划，该计划拟采取更大胆的举措，而不再局限于增量式网络安全修复，以一种新的方式，建立“更具理想的国家网络安全愿景”，培养更强而有力的国家层面行动能力。而美国国防部在6月20日前后已授权美国网络司令部采取“更激进的方式”保护国家免遭网络攻击。

总体来看，特朗普政府的网络安全战略更加激进，主张以新的思维应对新的威胁，聚焦新型网络攻击武器的研发，聚焦扩大使用端对端加密、匿名网络、在线市场和加密货币等技术来应对新的威胁，聚焦提高网络空间的侦查能力以便快速反应并采取报复性网络行动，等等。

2．威慑能力与集体安全成为网络安全战略两大支柱

尼尔森在RSA2018大会上强调称，网络安全的重要集体性意义已经达到史无前例的高度。高连通性意味着美国的风险现在也已经成为全球的风险，她将网络攻击比作类似于一种自然灾害，“如果我们各自为战，那么从集体角度讲必将承受巨大损失。”尼尔森指出，威慑能力与集体安全将成为白宫下一步网络安全战略中的两大支柱。

关于威慑能力，特朗普政府在2017年5月发布的网络安全行政令（13800号）中授权建立一个网络威慑框架。7月，美国参众二院通过的2018年《国家国防授权法案》确立了美国的网络威慑和应对政策，要求国防部更新其网络战略，并对网络威慑的含义进行更明确地定义，同时呼吁政府制定更加明确的网络威慑战略。法案要求该战略应该包括对所需要改进的网络攻击能力措施的描述，以及“关于适当部署网络攻击能力的原则性声明”；在更新的战略中，国防部长应“专门制定一个网络攻击战略，其包括网络攻击能力计划。该计划包括计算机网络开发和网络攻击，以阻止来自俄罗斯和其他对手的空中、陆地或海上攻击。”该法案也指导国防部长制定关于将网络攻击工具纳入国防部武器库，以及帮助北约合作伙伴共同发展网络攻击能力的指导性文件。

2018年5月，白宫原本打算在特朗普网络安全行政令一周年之际发布网络威胁战略摘要等多个网络安全相关报告，但由于特朗普政府内部就其网络威慑战略中是否囊括“报复性黑客攻击”产生分歧，原定于2018年5月11日要公开发布的特朗普政府“网络威慑战略的公开版摘要”被推迟发布。目前，美国国家安全委员会正在修改相关内容，并且美国国务院对威慑战略进行了总结，着重强调有敌人对美国政府或是美国境内公司发动网络攻击时的回应。据媒体透露，战略摘要能广泛地告知民众政府的秘密行动计划，同时向对手发出信号暗示何种行为会越过红线，因此战略摘要虽不是全面报告但仍然具有非常重要的作用。

在RSA2018年会上，美国国土安全部针对网络安全提出了“集体防御”模式，集体防御的一个重要内容是“共享”，国土安全部已经通过诸如自动监测共享等项目共享威胁信息，但它希望与公司和基础设施组织更加充分地共享国土安全部的安全工具。为此，国土安全部提出了一项计划，即直接与行业共享网络安全工具，尤其医院、机场和化学工厂等关键基础设施行业。尼尔森表示，共享这些工具的过程与持续诊断和缓解计划类似。

集体防御的另一个重要内容是“合作”，美国计划与各私营与公共合作伙伴开展更为密切的合作，旨在增强弹性水平并阻止恶意行为者。目前，美国政府和科技界对是否要对由外国政府发起或资助的黑客发起网络攻击这一问题尚未达成共识。许多科技公司都表示不会帮助政府实施此类攻击。对此，尼尔森认为政府需要制定一系列的规范准则。

3．美国网络监控在调整中继续强化

网络监控话题在多届RSA会议中被屡次提及。RSA2018年会前一周，DHS就公开招标寻找承包商，以帮助“监控”全球超过29万个新闻来源，包括在线、印刷、广播、有线、无线、商业和工业出版物在内的地方、国家和国际性的新闻媒体和社交媒体。此外，DHS 还希望中标单位具备多语种媒体报道追踪能力，包括阿拉伯语、中文和俄语在内的100多种语言，并将这些多语种文章即时翻译成英文。同时希望对方开发一个大型“媒体影响者”数据库供其使用。

DHS希望这家公司能提供基于应用程序的框架，以便DHS员工用来分析在线文章和社交媒体对话，或通过内部智能手机警报、短信、电子邮件或Whatsapp消息接收自动警报。DHS仅需为这款应用的安全协议指定密码保护，而不是任何其它数据或网络防护措施。

本届政府对待网络监控的态度是不断调整，持续强化。新的《美国自由法案》草案使NSA和FBI监控“合法化”；目前，参众二院已通过延长“外国情报监视法”第702条有效期的相关法案，重新为多个政府监控项目授权。该法案虽然从名义上来看是针对外国目标，但实际上它也赋予了NSA等机构监控美国公民的权力，从而强化了NSA监听能力。美国总统特朗普通过推特对该法案表示支持，并称该法案一旦在美国参议院通过，他会签字将其生效变成法律。

二、产业发展趋势

1．小微安全企业主打创新牌，隐私保护和威胁检测手段推陈出新

每届RSA大会的沙箱（SandBox）创新论坛都是最受关注焦点之一，催生了许多新的安全技术，并潜在地改变网络安全产业的发展态势。业界巨头紧盯创新成果，适时“出手相接”。

本届评选出的十大创新安全公司，业务范围涵盖了各种不同的技术，其中包括欺骗与威胁检测、云安全、人工智能（AI）以及机器学习、网络安全、加密以及容器安全等。其分别是：（1）Acalvio，主要产品平台ShadowPlex是一种欺骗技术，旨在欺骗黑客并对其设置陷阱。（2）Awake Security，核心产品Awake安全调查平台(AwakeSecurity Investigation Platform)是一个威胁狩猎平台，它还提供了攻击活动分析和快速响应功能。（3）BigID，它是企业隐私和数据管理供应商。该公司的平台可帮助组织发现个人身份信息，其中包括非结构化和结构化数据。这也是可以帮助组织遵守欧盟的“通用数据保护条例”（GDPR）的关键功能之一。（4）BluVector，公司的业务是人工智能（AI）驱动的网络安全。BluVector Cotex是该公司的检测和响应安全平台，而BluVector Pulse可以提供设备管理和监控功能，是Cortex的一个补充。（5）cyberGRX，是第三方网络风险管理平台，帮助企业理解和管理供应链威胁载体。（6）Fortanix，提供运行时加密功能，以补充英特尔软件防护扩展(SGX)。该公司的核心平台是运行时加密平台，可在应用程序使用时对其进行透明加密。Fortanix还有一个自防御密钥管理服务(SDKMS)来保护用于加密操作的加密密钥。（7）Hysolate，公司的平台主要是为端点资源提供高度隔离服务。该公司的平台提供了一个“虚拟空隙”，使端点能够拥有一个隔离的锁定操作系统，以及可以访问企业资源的解锁系统。（8）Refirm labs，是一家物联网(IoT)安全厂商，专注于固件完整性。Refirm labs的核心技术是Centrifuge Platform，可自动检测物联网设备固件漏洞。（9）ShieldX，作为其APEIRO网络安全平台的一部分，ShieldX提供了多云微分段功能。APEIRO将深度包检测(DPI)功能与分析和检测功能相结合，帮助减少和减轻网络风险。（10）StackRox，是一家容器和微服务安全厂商，可提供可视性、控制和威胁检测功能。该公司的核心平台称为检测和响应，并提供核心容器安全功能。

其中，BigID公司获得冠军；第二名是Fortanix。BigID借助机器学习技术和认证情报，开发出软件平台，能够帮助企业更好地保护员工和客户的数据，量级可达到PB级。借助BigID的服务，企业可以有效响应“以个人数据隐私为中心的GDPR要求，包括被忽视的权利、加快违规响应通知、确保遵循用户协议以及限制所收集数据的使用方式等”。Fortanix此次竞赛的其自防御密钥管理服务（简称SDKMS）作为下一代硬件安全模块产品，专门面向云端应用程序。

2．面向业务、服务业务、运营业务

在2018年RSA大会上，各家厂商将产品与业务更紧密的贴合，站在业务运营者的角度执行调度工作。产品从功能化到业务化的转变，意味着产品希望在最终用户端能得到更广泛的验证，也意味着产品开始走向平稳发展阶段。

例如，Alogosec提出Business Flow概念，在Business Flow中，产品从原有的管理员视角中跳出，不再关注于策略、子网、IP，而是直接站在业务角度去分析风险和执行处置。虽然从技术角度这个转变并不一定非常困难，但其贴近用户、提升体验、凸显价值的产品设计思路非常值得借鉴。

对于用户来讲，一项重要的业务就是合规。在产品中，各大厂商也针对合规业务给出了解决方案，例如在Skybox产品进行业务录入和访问关系录入时，其定义并非全靠安全基线，而是根据合规需求提供现成的合规配置模板调用，让合规业务落地变得更为简单。

此外，Firemon公司在2018年推出了新品GPC（GlobalPolicy Controller），该产品的理念是直接服务业务、省去中间步骤。2018 RSA大会上最受欢迎的新产品开发领域是云安全、安全编排（SecurityOrchestration）、威胁检测和事件响应。

3．大型安全企业继续实施并购战略，打造更全面的安全解决方案

本次大会中，传统IT巨头在最近均有重金收购新兴安全公司的行为。其中，亚马逊云计算AWS于1月收购了Sqrrl网络安全初创公司，这是一家网络安全软件研发商，融合了各种安全大数据技术，包括分布式计算、连接分析、机器学习、以数据为中心的安全性及高级可视化工具，致力于通过分析大数据来追踪网络安全威胁，让企业能够更快识别和定位这些威胁。迈克菲于3月收购了多伦多TunnelBear公司，通过收购，迈克菲计划将TunnelBear的VPN技术整合到其安全链接产品中；赛门铁克也于3月收购以色列移动安全初创公司Skycur。

通过收购战略，这些大型安全企业快速弥补自身安全技术短板，逐步搭建企业内部多产品的安全生态环境。借助收购战略，这些企业力图成为行业最全面、最一体化的网络安全综合解决方案提供商，并通过其全球影响力，进一步扩大网络安全的全球业务范围。在本次RSA展会主展台上，这些企业倾力而出，引人注目。

三、技术新兴热点

每届RSA大会都是预测网络安全技术发展趋势的风向标，本次大会也不例外。RSA2018大会有以下技术成为大会讨论热点：

1．隐私保护

在如今大数据和隐私泄露的敏感时期，网络隐私保护成新课题。网络隐私保护是“和人的本性对抗”。大数据和分享经济的流行是一把“双刃剑”。一方面来说，大数据和分享经济使人们的生活变得更加便利，给人们提供的个性化服务会更加贴心。另一个方面就是，如果信息被泄露、被恶意利用，会造成的危害也非常大，人就会像生活在一个玻璃盒子里面，全部被透明、公开。

如今，人们的隐私保护意识日渐提高，近期FaceBook事件的爆出，令许多公司和用户都十分紧张惶恐，就是最好的例子。再加上欧洲新数据法《通过数据保护条例》（GDPR）的颁布，其影响十分深远。未来，网络隐私保护将成为安全投资的风口。

在创新沙箱大赛中，获得第一名的BigID公司就是专注于用户隐私和数据保护的公司。BigID软件平台能够帮助企业客户有效响应以个人数据隐私为中心的GDPR要求，具体包括被忽视的权利、加快违规响应通知、确保遵循用户协议以及限制所收集数据的使用方式等。

大安全时代，网络安全不仅仅是简单的病毒、木马，而是关系到了国家安全、社会安全、民生安全。网络安全可谓是牵一发而动全身，其中数据和隐私的保护尤为重要。所以，完善大数据时代的隐私保护机制，建立完备的数据保护体系，未来还需要政府、社会和企业、用户共同努力，这也是大安全时代最需要关注的新课题。

2．物联网安全

随着物联网设备逐渐走进人们的数字生活，物联网（IoT）安全也就成了2018RSA安全大会的热门话题。

IDC市场研究公司表示，物联网智能家居设备市场相当诱人，将成为第四大行业，预计的消费者物联网支出2018年将达到620亿美元（约合人民币3900亿元）。尽管如此，大多数设备的设计并未考虑安全性。

2016年的Mirai僵尸网络感染了30多万台包括网络摄像头和路由器在内的物联网设备，这足以说明物联网安全问题带来的影响巨大。尽管Mirai僵尸网络敲响了警钟，但联网智能家居设备的安全性似乎并未改观。物联网设备普遍存在未加密的固件升级问题、未加密的摄像机视频流、明文通信，密码存储未设置保护等安全缺陷。

物联网存在的各种安全问题需要物联网设备制造商和终端用户联合采取措施确保设备安全；IoT设备的另一个问题是，物联网设备有太多组件，包括处理器、云与 Web服务、设备与应用程序，这导致很难兼顾所有这些组件的安全问题。系统的每部分都至关重要，漏洞可能就存在于应用程序、平台、设备、传感器和云中。

3．人工智能

如果说在去年人工智能（AI）还在安全领域还是一个炒作话题的话，今年必将看到大量人工智能在安全领域的落地实践。从本次RSA大会的展区就能看出一二，虽然参展的几十家厂商身处不同的安全细分市场，提供不同的安全产品，但是今年最共同的一点就是大家都在想与会观众诉说着自己的新产品，新技术是如何通过人工智能，机器学习来帮助最大程度上提升安全水平。

在本次大会的演讲中，Fortinet作为CTA（网络威胁联盟）的创始成员，全球威胁情报领域的实践者与领军者，提出了群体智能（Swarm Intelligence）的概念，这是人工智能领域的概念之一。

Fortinet认为，下一代僵尸网络最大的特点将是Swarm，即不再是依靠中心化的指挥与控制（即C2），而是实现去中心化的连接，基于一定的算法进行自组织的一套点对点僵尸网络，也就是通过群体智能来构建一套健壮/稳定的僵尸网络，可以极大程度上扩展攻击链，加速攻击速度，并且可以完全不需要人工介入。

在不断进化的攻击面前，防御一方也应该进行相应的进化，为了进行更好的防御，同样核心也是围绕着群体智能这一概念。面对成群结队的攻击，如果防御方不能将自己的网络、设备“团结”起来，就注定输在起跑线上了。因此Fortinet始终倡导整合，协同，联动，甚至生态，生态内大量的安全产品能够形成协同，使得网络内的微隔离成为可能，将攻击对手限制在一个个微小的隔离区域内，使其无法横向传播与扩散，将一条完整的攻击杀伤链切断。基于整个生态的协同联动，足以让用户应对不同攻击面的威胁，不论是IoT、网络、Web还是Email等等，并且彼此间能够进行自组织和自动化调整，提升安全响应速度，做到及时发现及时解决，让对手寸步难行。

4．区块链

我们注意到今年区块链技术也成为一大关注重点，区块链今年第一次独立出现在RSA大会上。从内容的深度来看，区块链的研讨还是以科普为主，内容主要涉及区块链原理、区块链安全分析，以及案例分享。

密码专家、大学教授和网络安全专家在该大会一个小组会议上讨论了加密与加密货币的区别，解释了区块链炒作以及区块链的正确用途。以色列魏茨曼科学研究（Weizmann Institute）计算科学教授安迪·沙米尔表示，虽然区块链技术被炒作过头，但当量子计算机出现时，它能用来保证数字签名的有效性。未来，利用区块链保证数字证书安全性的一种方式就是——简单证明证书是在量子计算机可用之前生成的。安全研究员兼顾问保罗·科歇尔表示，虽然区块链是一个有趣的技术，但不一定能成为商业。

当然，需要清醒地看到区块链目前处于泡沫期，期待其解决所有问题是不现实的，区块链技术进入成熟应用前必须解决大量的技术问题，并提供合理的业务相关特性。例如在公司破产法有需要一定时间内撤销交易的规定，那么电子交易的区块链应用也应提供相关的机制，这就需要修改区块链的交易机制，或提供额外的中间件。

总之，从研讨会的话题和参会者的积极态度来看，区块链在国外同样引发关注。随着区块链技术的升级与扩展，一些人指出有必要为其制定真正的标准与安全协议。区块链正越来越多地作为物联网、支付（无论实际规模如何，特别是点对点支付）、身份、首次币发行（ICO）、忠诚度计划、共享资源分配以及联网设备等的有效解决方案。内容提交者们正积极探索区块链技术中的分布式信任模型与可用性能够如何作为安全解决方案实现用户管理与自身管理，并借此帮助企业改进运营能力、安全性并带来新的服务类型。此外，坏人们当然也不会错过区块链这一重要机遇。

由于区块链是一个跨学科的综合性技术，公司首席信息安全官（CISO）还不太清楚其产生的价值。但区块链能保证去中心化的信任，以及可回朔性等的技术原理，确实带来了很多想象空间。

四、中国产业的声音

本次RSA大会共吸引了全球577家机构参展，其中来自中国的参展企业有27家：360企业安全、阿里巴巴、安天、飞天诚信、绿色网络、山石网科、华为、文鼎创数据、微步在线、青藤云安全、芯盾时代、卫达安全、联软科技、恒安嘉新、安博通、顶象科技、安恒信息、绿盟科技、国舜、三未信安、盛邦安全、指掌易、安点科技、北方恒扬科技、浩瀚深度信息、长亭科技、升鑫网络等企业。

360公司首次集中展示了由DDoSMon（拒绝服务）、ScanMon（网络扫描）和DNSMon（域名异常）三项系统构成的全网威胁实时监控系统，三大杀毒引擎（QVM、QEX、AVE），以及专注APT事件追踪的波塞冬系统，及多款国民级安全产品，这些技术和研究成果，代表了当前国内应对网络威胁的最高技术水平；安博通代表的是国内可视化网络安全技术，参展的是网络安全可视化与态势感知的产品与技术；顶象科技在大会展示的是“全行业互联网业务安全解决方案”，主要为金融、电商、物联网等提供全流程的业务安全；盛邦安全在大会上提供了“共享安全”的理念来实现流量清洗，展示的是共享抗DDoS新产品；长亭科技在大会上首次发布了新产品洞鉴（X-Ray）安全评估系统，这是一款集成主机资产和Web 资产二合一的扫描器安全评估系统。

本次大会，从展台形势和参展内容来看，中国产业界已经开始在国际舞台上发声。但是，就目前而言，美国等国家对于安全的关注比国内更加深入，无论是会议规模还是公司、企业。此外，国外安全热门话题与国内也存在一定的差异。相对而言，国外对于区块链技术显得较为冷静，并没有国内这么推崇，AI方面也是如此，国外和AI有关的课题也并不多见，这明显要小于国内。

目前，美国政府以及企业投入资源最多的仍是监管和数据安全两方面。对于技术的追求更纯粹，监管力度更大。企业更多的是从实际业务或高层建设出发，更多的从云安全、网络安全、攻击和防御等角度来探讨。

声明：本文来自网络安全新视野，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。