每年在舊金山舉辦的 RSA Conference，可以稱得上是全球最大的資安產業聚會，不論從與會的人數、展覽場的攤位數，幾乎每一年都是打破前一年的紀錄創造歷史新高，而會議的多元化也是全球最完整的，與資安有關的議題，都能夠在同一個會議中找到，而今年剛好參與的國際資安組織 Cloud Security Allinace 成立十週年了，更見證了十年前談雲端服務到目前看雲端服務幾乎已成了生活的日常，這次也有機會與在CSA一同成長的夥伴聚聚，彼此交流與再次感受到資訊世代交替以及這十年來資訊科技的進步。

圖.拍攝於CSA 10週年

圖.拍攝於RSA Conference 2019

不論是經營會議或是組織，都需要有議題以及能夠切合目前與未來的需求，因此每年的 RSA Conference 都能夠吸引更多的人來參與，我想這個是一個重要的關鍵，當然大環境對於資訊安全的需求與日俱增，更成為一股推動的力量，在國外看展與參加國內的展覽，其實最大的不同在於在國外的展會，絕大多數是由設備或是服務平台的「原廠」來參加，不論大大小小的攤位，一定都可以找到熟悉展出產品的技術人員進行詢問，而其熱絡的程度如果未參加過的人是很難體會的，在目前這個發展快速的時代中，如果手邊有資源，或是有機會參與國際間的大型資安會議，行萬里路一定可以勝過讀十年書，而且如果對某一產品有興趣，大可直接詢問不瞭解的地方，這個應該是學習新技術最好的方式之一，閉門造車或是請國內的經銷商來介紹，其實都無法如原廠講得清楚，這個當然與國內的生態有關，多數的原廠在台灣配置的人力資源其實滿有限的，多數得依賴代理商以及經銷商在市場上行銷。

圖.拍攝於RSA Conference 2019

主題演講的場次，是每年一定會安排前來聆聽的，一來聽到最新的資安發展趨勢，也能夠瞭解不同的資安威脅，是否有適合的解決方案，或是應該如何看待這些新興的威脅，避免企業遭到攻擊時而損失慘重，上萬人同時在一個超大的會場中，這個也是國內所無法達成的，主要在於國內現有的市場規模其實除了靠政府支持的一些資安計畫之外，其實每年可用的資安預算實在是相當的短少，而產業對於資安的需求，除了有前瞻思維的管理階層能夠意識到資訊安全防護的重要之外，大多數的企業很多是買台防火牆就以為能夠做好資安的防護了，資安認知的不足，是推動資安產業與需求上的一大挑戰，大環境不好更是會將僅有的資源投入生產製造或是研發產業，資訊安全的議題當發生了再說吧。

圖.拍攝於RSA Conference 2019

從七年前將Cloud Security Alliance 引進台灣，在當時大家都害怕使用雲端平台，最常聽到的就是「不安全」，但是仔細一問為何認為「不安全」，多數聽到的答案是「因為放在雲端上，我看不到資料在那，當然是我無法信任它的安全」，相隔數年後，現在基本上所有新興的應用平台，都是在雲端平台上發展服務，透過網路與使用者端介接，進行身份的認證以及資料的傳輸，從以前推廣雲端安全聯盟所發佈的「雲端安全指引 (CSA Security Guidance)」，配合開放式稽核框架(OCF, Open Certification Framework)發展出來的CSA STAR認證，目前國內已有超過七家的雲端服務供應商取得，由此可知順應時代的發展趨勢，將會是企業或是雲端服務成功的因素之一。

圖.拍攝於RSA Conference 2019

有時候當資安事件發生時，往往大家就會關心「事件影響的範圍？」、「事件怎麼發生的？」、「系統管理人員是否有疏失？」、「系統是否遭到駭客的入侵？」等，這些問題其實有超過一半的機率是找不出真正原因的，因為許多的證據有可能在遭受攻擊的過程，就已經遺失了，或是在處理事件的過程，因為人為或是系統上的問題，而無法留存足夠的資料，以證明發生的事情緣由，對於事件的處理其實絕大多數的企業都是處於「被動」的狀態，簡單來說，就是出事了再開始找原因。

而預警的觀念則必須與情資系統相整合，如果可以掌握到發起大量攻擊前的情報，或是因為一份中繼站的威脅名單，而能夠快速的找出企業內有問題的主機，加以處理與預防，避免後續資安事件的發生，可以達到災前預防的成效，再配合所截取下來的資料進行威脅獵殺(Threat Hunting)，強化預防的成果，建立一穩定可靠的資情來源，對於企業本身的資安維運而言，可以一改過往單純依賴資安設備所制定的規則，而僅能由這些規則所觸發的日誌紀錄進行分析。

圖.拍攝於RSA Conference 2019

端點的防護對於目前高涵蓋的網路接取而言，成為最重要的一塊，很早從事資安工作時，其實就常聽到許多資安前輩說「防毒軟體無用論」，姑且不論是真是假，或是單純從不同的觀點解讀所謂的防毒軟體，這些對於目前的時代，都是已經過時的思維，目前在進行威脅獵殺時，最重要的是當發現可疑的行為時，是否具備「主動防禦」的機制，這個機制的啟動絕對不能依據傳統的特徵比對的方式，而是應該採用更具智能的使用者行為分析，透過端點所掌握的使用者行為現況進行分析，再加以判斷是否要有所行動。

圖.拍攝於RSA Conference 2019

每年的 RSA Conference 個人最喜歡來看的就是「 Innovation Sandbox Contest」以及不同主題的 Village，另外同一個會場旁邊還有剛起步的小公司或是開發團隊，努力的介紹產品，希望能夠獲得投資人的青睞，許多不錯的點子，其實可以應用到目前工作的環境中，除了可以改善資安平台的功能之外，也可以擴展這些平台的應用。

圖.拍攝於RSA Conference 2019

在主題演講的會場出來，可以看到一幅全牆面的講師名單，這些講者都是在全球知名的人士，雖然透過國際資安組織的連結，也認識其中幾位，不過有時候考量邀請來台灣分享的成本實在是非個人所能負擔的而有所婉惜，看著全球資安領域的發展，可以做為國內發展國際市場的借鏡，如果單純的只希望在國內經營，其實就直接與國際脫軌了，更不能在發展許多資安解決方案或是標準時，沒有參與國際資安組織的工作小組，更不用說往後希望在國際上可以認可國內所發展的標準。

圖.拍攝於RSA Conference 2019

如何把資安做得更好，從技術面具有前瞻性，建立完善的資安管理架構，清楚律定企業應合規或是遵循的資安政策，這些都是相輔相成的，如何做到 There is nothing but striving for perfection. You want to get better and better. 我想這是所有資安人應該學習的目標，與大家共勉。

圖 .拍攝於RSA Conference 2019會場

會議網站： RSA Conference 2019

資訊安全在最近這幾年可稱得上是發展迅速的領域，不過資安領域並不是一個新的領域，打從有資訊科技的發展，就存在著資訊安全的問題，個人擁有的第一台電腦是八位元電腦，還靠著磁帶、磁碟片做為儲存媒體的世代，當時對於資安的需求，真的只有希望資料不要遺失，因為這些儲存媒體可能會受到許多外來的因素，如果受損就無法救回了，相較於當下對於資料儲存的方式，真的是相當的原始，不過卻是當時最好的方案，所以重要的資料，往往需要放在整理盒甚至是防潮箱中。

今年最大的資安會議-RSA USA 2017一樣在美國舊金山的 Moscone Center 舉行，接連著幾年參加下來，發現隨著資安議題越來越熱門，會議的規模每年都是不斷的成長，從與會人數到參展的廠商，每年都創新高，也證明了越來越多資安的議題受到重視，而且也驅動著資安產業的發展；近幾年來雲端服務盛行以及物聯網的發展，讓傳統的資訊服務型態發生了轉變，越來越多的企業開始將許多的網站導入虛擬化的架構，新創的服務更是大量的往雲端服務平台邁進，一夕之間雲端成了資訊科技的顯學，在產業的解決方案中，從虛擬化的技術、服務備援的架構、公有/私有/混合雲的服務方式，都引領著企業開始將傳統的資訊系統轉換成雲端服務的平台。

每年 RSA USA 的會議主題都會隨著當年度的趨勢來擬定，從 2016年的「Connect to Protect」到今年的「Business Driven Security」就不難看出未來資安產業的發展趨勢，已經從去年的建立資安防禦的邊界，到今年需要進一步的由商業的角度來思考資安的防禦，早期的資安防禦大多以「自以為是」的建置方式，例如：覺得需要有網路的存取控制，就來買台防火牆(Firewall)，需要偵測一下網路上的異常通訊，就建置個入侵偵測系統(IDS, Intrusion Detection System)，如果需要立即阻擋的話，就昇級成入侵防禦系統(IPS, Intrusion Prevention System)，再來覺得需要對網站服務進行應用層次的偵測防禦，就來建置個網站應用程式的防火牆(WAF, Web Application Firewall)，耽心電子郵件夾帶釣魚郵件、惡意程式、惡意連結等的威脅，就來建置個電子郵件閘道，就連這幾年來熱門的APT攻擊，在資安產業中都有發展出相關的解決方案。

圖.攝於RSA 2017

在商業需求為導向中所發展出來的資安防禦，改變了傳統「先入為主」的觀念，這個也是個人常常與朋友分享的，資安的威脅與攻擊的技術，發展的速度大多數都比資安的防禦機制來得快，且能夠針對現有的資安防禦機制進行「繞道」的攻擊，利用資安管理上的弱點或是技術建置上的失誤，就成為攻擊者最有用的管道，每年的 RSA 年會，都有相當多的主軸，這些分軌的議程，主要以當時最需要解決或是熱門的議題為主，這也就是為何每年都有這麼多人與會的原因。

在許多的企業當中，也許因為近幾年資安事件頻傳，大大小小的資安事件在媒體的廣為報導之下，讓許多的人開始意識到資安的重要，因為資安越來越重要，尤其在第一銀行的事件之後，開始投入許多的資源，其中也包括資安人員上的需求等，都希望把「資安」做好，不過資安技術的特性與其它的資訊技術最大不同在於，資安技術的生命週期遠短於一般的資訊技術，而且大多是在所有服務都是正常的時候，就需要解決與面對可能會發生的資安問題。

圖.攝於RSA 2017

最近這幾年興起的打Wargame的資安學習模式，透過CTF的競賽活動，不斷的強化本身對於資安問題的分析能力，雖然企業還是覺得找不到資安的人才，不過應該可以從兩個面向來看這個問題，在不同的商業營運需求下，對於資安的需求原本就不相同，第一個面向是精通弱點的分析，第二個面向是企業營運需要的資安技術，前者主要是由資安分析的角度來看待系統或是應用服務的安全，大多數的競賽環境，都是由舉辦單位刻意設計出來的，供做為競賽的題目；後者主要的資安技術，在於需要能夠保護企業的資通訊系統或是網路應用服務平台，也因此從不同的角度來看，出現了不同的聲音，會有這樣的認知上的落差，也許可以從今年的會議主軸 Business Deriven Security 來解答，不過對於基礎資安人才進行廣泛的深耕培育，不論未來發展成那個資安領域的高階人才都是有幫助的。

今年的 RSA USA 會議中，由 SANS 辦理了 NETWARS 的競賽活動，許多與會人員也都來試試自己的解題能力，題型涵蓋的面向滿廣泛的，而且由舉辦單位 SANS 屬於高階資安的培訓組織來看，希望參與的人員能夠解開的題目，也分成了不同的難易度。

圖.攝於RSA 2017

關鍵設施所使用的資通訊系統平台安全，涵蓋了 SCADA (Supervisory Control And Data Acquisition) 以及 ICT (Information and Communication Technology)，近來幾年也成為重要的資安重點防禦的目標，主要在於許多的 SCADA 系統都開始進行數位化，包括了資料收集與處理的方式，以及通訊的架構也開始採用乙太網路，而今年的議題的規劃還特別安排了 IoT and SCADA: Lessons Learned and Case Studies 的主題，現場的議程都以物聯網與 SCADA 安全議題有關，並且在 IoT Village 準備了一些設備供與會人員進行弱點測試。

圖.攝於RSA 2017

當自動化科技與智慧工廠結合時，不論自動化控制，或是虛實整合系統 (CPS, Cyber Physics System)，當連上網路之後，對於資訊安全的要求，就涵蓋了整個系統的運作環境，當未來智慧家庭與智慧城市結合之外，一個融合雲端服務(Converged Cloud)的世代即將來臨。

圖.攝於RSA 2017

今年的參展廠商數再次突破了歷年的紀錄，邁向了500家的門檻，除了國際級的資安大廠，一些國內常見的資安品牌，也有一些國內少見的資安產品，甚至是新創的公司，面對不同的世代或是對象，就形成了各式各樣的資安解決方案，如果想要在展場中找到適合本身需求的產品，建議最好能夠事先做好功課，才能夠有效的找到適合的產品。

圖.攝於RSA 2017

分散式阻斷服務(DDoS, Distributed Denial-of-Service)的攻擊對於國內許多企業而言成為最大的資安威脅之一，對於受到攻擊的目標，往往能夠在短暫時間內造成影響，尤其以DDoS的攻擊而言，需要更進一步評估資安產品的有效性，包括了偵測的機制、應變的機制以及該產品的全球化支援能力，區域聯防的機制，對於DDoS的攻擊威脅而言，更是評估的重點項目。

圖.攝於RSA 2017

在國內大力推動資安產業的同時，在國際的資安盛會中，有能力與勇氣參展的廠商卻寥寥可數，而且都還是單打獨鬥的方式，其實應該可以參考一些國家的作法，由政府單位出面整合，德國政府的作法就相當值得政府單位參考，而不是單純的喊喊口號，不過有鑑於目前國際政府局勢，也許藉助於全球性的資安組織，例如：CSA, Cloud Security Alliance、也是一條可行的作法。

圖.攝於RSA 2017

「資料」、「資訊」、「情資」，可以簡單的視為取得有用情資的三部曲，近年來開始興起的資安情資交換，不同的廠商都推出了資安威脅、預警分析的平台，可見有用的資安情報，對於企業營運的重要性，在有限的資源之下，如果能夠取得重要的資安情報，可以快速的建立資安防禦的邊界，不過這樣的平台在國內卻比較少見，因此傳統的資安防護機制建置，都以硬體的思維來看待資安的情資，不過在雲端時代大量使用虛擬化的技術，新興的營運平台不斷的出現，就不再能夠以傳統的防禦觀念來看待新的雲端時代。

圖.攝於RSA 2017

能夠入選到前十名的 Innovation Sandbox 團隊，都是全球在資安領域創新應用相當凸出的團隊，有著與以往不同的創意，改善現有的資訊服務或是創造一個全新的服務型態，利用參賽的過程，除了可以獲得實質的鼓勵之外，最重要的是可能會被其它的新創投資人(VC, Venture Capital) 看上，而加速產品化或是整合到產業中的契機，因此每個團隊無不卯足全力，希望可以脫穎而出，其中亦不乏還在學的學生或是研究人員，這點在國內大量的推動「亞洲∙矽谷計畫」的同時，如果還是沉浸在以往科學園區成功經驗之中，只重視基礎的設施建置，卻忽略了人才的參與，並且給予新創事業需要的環境支持，如果連同在亞太區的新加坡都無法相比，亞洲矽谷就只是一句不切實際的口號了。

圖.攝於 RSA 2017

智能化的時代已逐漸來臨，未來商業的型態將會進入下一個世代，目前人工智慧應用於機器人或是智能機械的領域越來越廣泛，許多的金融或是百貨服務業，都開始導入自動化的服務型機器人，希望能夠提供給客戶更專業或是直接的服務，利用語言、表情、手勢等人類的溝通方式，來提供更多樣化與專業的服務，跟 Pepper 互動了一下，不知道是否因為放在美國的關係，只能用英語跟他(她)互動，最近剛好看到商業週刊介紹無人經濟大國-新加坡一文，未來的世界，在我們的生活週遭應該得跟機器人共同生活的時代，已經越來越近了。

圖.攝於美國舊金山

未來的與生活相關的商業服務型態，將會影響著資訊安全的發展，包括了未來的趨勢以及需要面對的問題，尤其在目前網路化程度越來越普及的時代，每個人的資料分散在網路上的許多地方，演算法決定了我們能夠掌握的資訊，大家所熟悉的社群網路，改變了傳統資訊傳播的模式，也改變了大家對於資訊安全的定義，創新商業營運模式下的資訊安全，將讓我們面對更多樣化的挑戰。

參考資料：
RSA Conference https://www.rsaconference.com/

RSA Conference算是資安界元老級的國際會議了，每年都在美洲、歐洲以及亞洲分別舉辦，有許多的國際資安組織，也都是從這個會議發展出來，例如：OWASP(The Open Web Application Security Project)、CSA(Cloud Security Alliance)，因此每年參加的人數也是相當可觀的，與Blackhat與DEFCon最大的不同，就是RSA Conference有相當多的資安廠商參加，今年參展的廠商也是相當多的，除了一些原本的資安大廠之外，還有許多在國內較少看到的廠商，針對目前最熱門的雲端服務安全、巨量資料的分析、資訊視覺化的處理技術等，都有相關的解決方案在會場展出。

今年的會議主軸，大多環繞在「雲端服務」、「巨量資料」、「行動裝置安全」、「應用程式安全」、「資訊安全的法規遵循」等，較特別的活動，包括了「Innovation Sandbox」、「Peer2Peer Session」等，而國際資安組織「CSA」、「OWASP」以及「ISC2」在會議期間也有相關的會員會議或是組織本身的高峰會，此行筆者也以CSA Taiwan Chapter的身份，參加了今年的CSA 2013 Summit，幫大家帶回最新的雲端安全發展策略與趨勢，後續將會發佈在CSA Taiwan Chapter的網站中，國際主要的資安培訓機構「SANS」，也辦了幾場次的課程，推動資安相關認證的培訓，不過以SANS所辦理的培訓課程，費用並不低。

在報到與註冊處之後，就可以直接前往Keynotes還有相關的會議地點，地板上有斗大的「RSA 2013 CONFERENCE」字樣，讓人可以感受到會議所帶來的張力。

國際資安會議雖然有許多的議題發佈，不過在會場上還是相當舒適的，如果不想跟大家擠到會場中，在入口處的媒體牆，也有隨時的針對一些重要的議程做即時的轉播，因此在這也可以掌握到目前會議進行的狀況。

筆者覺得RSA Conference最大的特色之一，就是幾乎在會議期間，都有重要的Keynotes演講，邀請世界上著名的資安組織或是研究人員，針對特定的議題進行分享，或是以座談會的方式進行交流，每年都會舉辦的「Cryptographers Panel」也是這個會議的特色之一，談論目前在密碼演進或是應用上的議題。

預言2020年，我們的生活將與雲端平台完全的結合，這個是可以預見的未來，以目前的趨勢而言，這是正在發生的進行式，許多的平台陸續的進入我們的生活，未來所有的裝置應該都會與網路連結，在創造出許多不同的可能性之外，安全的議題也是如影隨形的。

雲端服務造就了許多的新的創意，便利性與安全性是一體的兩面，兩者需要取得平衡點，才能夠充份的提供使用者便利性，但是又能夠兼顧資訊安全上的需求，目前已有許多的法規或標準正在推動中，也希望能夠利用雲端服務供應商的自我提昇，提供符合許些法規或標準的要求，讓使用這些平台的使用者，可以獲得應該有的服務水準(SLA)以及隱私權水準(PLA)的保證。

今年的Keynotes，也邀請了Wikipedia的創辦人來分享，從不同的國家來統計，分享了不同的文化背景下，對於知識的建立上，各有何種類型的特色，也是頗耐人尋味的。

CSA Summit 2013在第一天的上午舉行，主要針對目前雲端服務平台的安全議題以及組織現在幾個重要的研究小組成果進行發佈，也有許多最新的訊息利用這樣的場合進行宣示，算是指標性的議題，今年也發佈了2013年度前幾大的雲端安全威脅來源，這些研究成果可以做為雲端服務的供應商做為參考。

每年到RSA Conference參展的廠商都具有代表性，除了許多大廠之外，也有許多新創的公司，展示目前資安威脅的解決方案，因此除了參加研討會的議程之外，到展場看一下今年最新的資安解決方案，也是有相當大的收獲。

今年熱門的重點之一，就是Mandiant公司所發表的大陸網軍威脅報告，尤其在RSA Conference之前發表，更具備指標性的意義，針對這份熱門的報告，大會還特別加開Keynotes，針對這份報告做為詳細的說明，也正視這個國際間的資訊戰威脅。

塑膠貨幣已成為目前的主流，不過配合網路上的交易需求，動態密碼應該會是下一波的潮流，目前已有廠商在卡片上加入了動態密碼的功能，提供使用者能夠利用動態密碼的安全特性，提供雙因子認證的方式，加強遠端電子商務交易上的安全。

今年的會議地點，如同往年一樣在舊金山的Moscone Center舉行，這邊算是舊金山的Downtown，附近高樓大廈很多，風景也是相當亮麗的，目前這個季節的溫度，白天是相當舒服的，雖然有陽光但是並不會感覺到太熱。

「I am RSA Conference」是今年的活動主軸之一，希望透過與會人員的參與，讓RSA Conference成為個人的品牌像徵，因此在會議期間只要您願意，都可以在照片牆上留下自己的照片，會場有專人使用拍立得相機，留下與會人員的照片。

每年的RSA Conference都代表著資安的主流趨勢，所發佈的議題都是舉足輕重的，尤其許多資安產業的投入，讓與會人員能夠第一時間掌握最新的趨勢以及瞭解目前最佳的解決方案，對於未來的發展也可以透過彼此的交流，發展出更多創新的思維，這個需要親身體會才行。

相關網站：
RSA Conference http://www.rsaconference.com/
OWASP https://www.owasp.org/index.php/Main_Page
CSA https://cloudsecurityalliance.org/

因此次的會議有相當多場次的Keynotes演講，會議開始前就很期待了，整個議程期間有四個半天的時間，都有安排半天的Keynotes，涵蓋許多資訊安全的領域，透過這些場次的Keynotes演講，能夠有效的掌握目前以及未來資訊安全發展的趨勢，以下小小整理了幾場主要的演講與內容摘要說明，讓沒一同與會的同好，也能夠瞭解目前的資訊安全趨勢。

• 講者：Arthur Coviello, Jr
• 資歷：Executive Vice President, EMC Corporation; Executive Chairman, RSA, The Security Division of EMC
• 講題：Sustaining Trust in a Hyperconnected World
• 摘要：數位化的生活型態串連起現代人的資訊與社交網路，多重的資訊連結衍生出許多資訊安全的問題，個人的隱私權在網路環境中，需要更嚴格的審視與把關，過去的18個月當中，許多國家的政府與重要組織，都遭受到駭客組織的攻擊，且部份的攻擊行動持續相當久的一段時間，新的系統與應用程式的漏洞不斷被發掘，對於廣大的網路上的使用者，不論政府或是企業都必須負起保護資訊的重要責任。

• 講者：Scott Charney
• 資歷：Corporate Vice President Trustworthy Computing, Microsoft Corporation
• 講題：TwC for our Computing–centric Society
• 摘要：TWC指的是可信賴的運算架構(TrustWorthy Computing)，許多資訊技術的發展，都依循這個在十幾年前由微軟所提出的概念，大多數的服務都是假設使用者可以信賴這些服務，而且能夠透過這些服務進行資料的存取與交換，但網路化的程度越普及，資訊安全的問題就越嚴重，就如同近幾年的雲端服務議題，伴隨而來就是雲端安全的問題，若無法如同以往提供可被信賴的架構，使用雲端服務的人就無法信任由服務供應商所提供的服務。

• 講者：Enrique Salem
• 資歷：President and Chief Executive Officer, Symantec Corporation
• 講題：The Digital Native: Shaping Tomorrow's Security Today
• 摘要：未來的世界對於網路的依賴程度，以目前的發展趨勢而言，一定會比現在更加的緊密，這些改變深入了我們的生活中、工作的場所、企業組織與重要的資通訊設施，對於資訊的保護上，變得比以往更加的複雜與多樣化，而資料中心(Data Center)或是雲端服務供應商(Cloud Services Provider)，將面臨更重大的挑戰。

• 講者：Dr. Ari Juels
• 資歷：Chief Scientist, RSA, The Security Division of EMC and Director, RSA Laboratories
• 講題：The Cryptographers' Panel
• 與談：Whitfield Diffie, Vice President for Information Security, ICANN; and Chief Cryptographer, Revere Security; Ronald Rivest, Viterbi Professor of Electrical Engineering and Computer Science, MIT; Stefan Savage, Professor, Department of Computer Science & Engineering, University of California, San Diego; Adi Shamir, Professor, Computer Science Department, Weizmann Institute of Science, Israel
• 摘要：密碼學的發展史，代表著資料保護與資訊安全的發展，與談者從三十年前談起密碼學的相關研究成果，到目前應用在網路上的資通訊保護，資訊的交換因密碼學而提供必要的保護，與談過程並談及一些演算法在特定的條件下遭到破解或是降低強度的情況，解讀其中所引發的效應與影響，對於資通訊形式與相關技術的演變，都與密碼學的研究與發展息息相關。

• 講者：Dr. Ashton B. Carter
• 資歷：U.S Deputy Secretary of Defense
• 講題：Stronger Networks: Enhancing Cybersecurity Through Public-Private Partnership
• 摘要：虛擬世界中的戰爭，造成的影響與殺傷力，與真實世界的戰爭不相上下，網路世界的駭客或恐怖份子，對於一個國家的關鍵基礎建設造成的危害是相當嚴重的，美國的國土安全防禦必須深入虛擬的網路世界，透過立法與相關組織的合作，發展符合國家安全要求的網路環境，建立網路安全的防禦架構。

• 講者：Jeffrey Brown
• 資歷：PBS NewsHour Senior Correspondent
• 講題：The Rise of Hacktivism
• 與談：Misha Glenny, Author & Journalist; Eric Strom, Unit Chief, Cyber Initiative and Resource Fusion Unit Cyber Division, Federal Bureau of Investigation; Grady Summers, Vice President, MANDIANT
• 摘要：Hacktivism(駭客活動份子)是造成目前資訊安全最大的威脅來源，因為政治或利益上的衝突，有時候也演變成一種抗議的行動，造成網路上的不安，與談過程針對近期幾個駭客組織的活動進行討論，也研究造成其行動的導火線，Hacktivism利用目前的社群網路，快速的連結、聯繫以建立其攻擊活動，而目前許多的社群網路提供暱名的方式，未採用實名制，造成在追蹤其活動的困難。

• 講者：Christopher Young
• 資歷：Senior Vice President, Security and Government Group, Cisco
• 講題：Lock it Down or Free it Up?
• 摘要：目前許多的網路服務或是企業都開始思考是否將系統轉移到雲端服務的環境，其中的關鍵在於這些服務在轉移後是否仍能保有原本的可控制性與可視性，對應用程式的安全評估，來自對於網路通訊安全的重視，針對影響資訊安全的分析，其中從網路安全的角度進行分析，都有相關的異常通訊行為隱藏其中，因此對於大量的雲端服務，如何在海量的資料中找到有用的資訊就顯得格外重要。

• 講者：Philippe Courtot
• 資歷：Chairman and Chief Executive Officer, Qualys, Inc.
• 講題：The Urgent Need for a More Effective Approach to Security
• 摘要：大量資訊的出現，對於傳統的資訊處理方式而言，已無法因應這樣的需求，因此突破性的重新建構新一代的資訊處理架構，同時能夠兼顧安全上的考量，以及未來雲端服務上的應用環境，就成為目前重要的議題，講者介紹了新的資訊處理架構，以因應現代企業對於資訊處理上的需求，也能夠滿足資訊安全上的要求。

• 講者：Stuart McClure
• 資歷：Chief Technology Officer, McAfee
• 講題：Securing the Unsecurable
• 摘要：APT(進階持續滲透威脅)的攻擊活動，在過往兩年成為資訊安全最大的威脅來源，有組織有計畫的針對特定的目標進要長期且持續的攻擊行動，不達目的絕不輕易終止其攻擊活動，因此在應用程式或是作業系統出現部份的弱點或漏洞時，很快的零時差攻擊就能夠成功的入侵這些被鎖定的目標，講者舉Stuxnet為例，說明此攻擊已影響到國家重要的關鍵基礎設施，因此這些預先嵌入系統或應用程式的硬體，往往成為資訊安全較為薄弱的一環，當安全的措施不再安全時，影響的層面是相當嚴重的。

• 講者：David Brooks
• 資歷：NY Times Columnist, Author and PBS Commentator
• 講題：The Social Animal
• 摘要：社交活動對於生活是相當重要的，從社會學的觀點來看待目前的社群網路，就不難發現在網路上有許多不同於真實社會的社交行為，尤其是人性較難在真實世界中呈現的一面，在網路的世界有可能會呈現出另一種不同的性格，位於深層的潛意識，往往在真實的世界中是被壓抑的，但是在網路世界中卻可能完全的釋放出來。

• 講者：Robert S. Mueller, III
• 資歷：Director, U.S. Federal Bureau of Investigation
• 講題：Combating Threats in the Cyber World: Outsmarting Terrorists, Hackers, and Spies
• 摘要：虛擬世界中因為駭客、間諜的活動，而影響其安全的要求，對於國家整體的安全而言，這些異常的活動將有可能影響到真實的世界，講者從國家安全的角度切入，介紹政府如何因應此種威脅，以及所採取的措施，因為這些來自網路上的恐怖攻擊，有可能利用一個微小的弱點或漏洞，就能夠造成巨大的影響。

• 講者：Mike Denning
• 資歷：General Manager, Security Customer Solutions Unit, CA Technologies
• 講題：Protecting Business in the New World Order
• 摘要：對於企業而言，核心業務與資訊的保護是相當重要的，尤其在面對新的網路環境以及雲端服務的趨勢下，隨著環境的改變，對於IT所面臨的資訊安全風險與威脅，就必須因應這樣的改變進行調整，講者介紹了幾個關鍵的資訊安全架構，以符合當下潮流的趨勢。

• 講者：Tom Reilly
• 資歷：Vice President and General Manager, Enterprise Security, HP
• 講題：Security Bushido: The Way of the Cyber-warrior
• 摘要：日本的武士道精神，主要在於捍衛自己的領土，免於遭到外來的入侵，目前在網路世界的資訊戰，也是同樣運用各種不同的方法，以抵禦攻擊者的入侵，以保全本身的資訊系統以及重要的資料，目前因應這樣的趨勢，跨組織與建立同盟關係成為重要的抗敵之道，講者分享了幾項在網路戰中可以運用的手法，以保護本身的重要資源。

• 講者：Pranav Mehta
• 資歷：Sr. Principal Engineer and Chief Technology Officer, Communications & Networking Group
• 講題：Security from Client to the Cloud – An Architectural Approach for the Infrastructure
• 摘要：雲端服務是目前主要的發展趨勢，豐富的影音內容透過雲端服務的方式，提供使用者更完整的服務以及更好的品質，不過以使用者端的安全防護而言，可能從不同的裝置存取這些服務，因此如何建構妥善的資訊安全架構就成為相當重要的關鍵，除了透過現有的網路環境提供服務之外，也必須能夠因應未來在網路環境變動時，仍然能夠保有提供服務的要求，投資的成本與效能就成為規劃此基礎架構時需要納入考量的因素。

• 講者：Sal Khan
• 資歷：Founder, Khan Academy
• 講題：Focus on Innovation: Putting Breakthrough Thinking into Action
• 摘要：Sal Khan網路上的一個傳奇人物，透過Khan Academy網路教學平台，提供各式各樣不同領域的教學課程，提供創新的思維與想法，透過網路提供完善的教育平台，在觀念的啟發或是知識的探討上，對於人類文明的傳承佔有相當重要的地位，講者介紹一些在推動此教學平台時，所需要的創新與所面臨的挑戰。

• 講者：Herbert “Hugh” Thompson, Ph.D.
• 資歷：Chief Security Strategist, People Security
• 講題：The Hugh Thompson Show
• 摘要：網路帶來許多的便利，也帶來許多安全上的問題，講者以訪問的形式，與Frank Luntz, President and CEO of Luntz Research Companies, Pollster and Political Consultant以及Dan Gardner, Author, Journalist and Lecturer一同討論網路安全的熱門議題。

• 講者：Tony Blair
• 資歷：Former Prime Minister, Great Britain and Northern Ireland
• 摘要：前首相Blair分享對我們今天面臨的經濟和安全挑戰的觀點，全球性的經濟危機帶來相當大的衝擊，不論在貿易與安全都面臨許多的挑戰，其中對於網路的資訊傳遞，更勝傳統的資訊交換方式。

今年的Keynotes演講都相當的精彩，許多資訊安全專家、政府單位的高階主管，都對於資訊安全、網路安全、雲端安全、資訊教育、國家安全等多個不同的主軸，說明過去的發展以及未來的潮流趨勢，足可以做為日後資訊安全發展上的參考依據。

眾多資安廠商的參展，是RSA Conference 2012的特色，很少能夠在同一個國際會議中，就可以同時看到這麼多的資訊安全相關廠商，不管是軟體、硬體或是特殊的設備，都有機會有這樣的展覽中看到，今年的參展廠商超過了百家以上，有些是國內就經常看到的品牌，但絕大多數是未曾在國際出現的，因為相當具有特色，因此大多數參加RSA Conference的人如果不是在聽演講，大概就都是在展場中發掘新玩意，今年的主題集中在雲端安全以及行動裝置安全兩個主軸，許多資安的解決方案，大多環繞著這兩個「端」來提供解決的方案，所謂兩個「端」，指的就是「雲端」以及「使用者端」，雲端服務的權責劃分，以服務供應商的服務項目為基準，因此不同類型的雲端服務供應商，其使用協議或服務水準協議(SLA)，都會明訂責任與歸屬，不過以目前的生態而言，使用者屬於弱勢的一群，如果真的出了問題，往往無法由服務供應商取得相對應的賠償，以先前Google所發佈的消息，每天Android平台開通的裝置數達85萬台(參考iThome報導)，行動裝置的成長速度是相當快的，由於Android屬於開放式的作業系統，雖然提供許多不同項目的物件進行管制，但是礙於使用者的習慣，安裝APP時顯少真正考慮目前要安裝的程式是否要求過多的存取權限，忽視程式安全的結果就是裝了一堆Over執行必要權限的應用程式到行動裝置中，衍生了許多資料外洩或是通訊上的安全議題。

贊助商的等級越高，當然所佔的場地就越大，也會安排在展覽場中間的位置，這些大多是國際級的大廠或是有眾多整合解決方案的資安廠商，目前絕大多數的網路應用服務，都是直接透過網路來提供，因此提供給使用者的方案，不外乎是透過安裝軟體的方式，進行系統、網路通訊的特徵比對，因為考量到目前如果將整個特徵資料庫下載到使用者端，將會影響到系統的運作效能，目前一天新增的惡意程式量極多，所造成的通訊行為也可以隱藏在正常的通訊協定中，這也造成無法單純透過特徵比對的方式進行防禦。

資訊安全事件的分析與追蹤，簡稱為SIEM平台(Security Information & Events ManagementO，這類的專門提供做為事件分析的環境，因應資訊安全維運中心(SOC, Security Operation Center)的需求，SIEM平台的解決方案也是眾兵家必爭之地。

RSA當然是RSA Conference的主角之一，去年雖然發生了一些引人注目的資安事件，例如：RSA遭到APT攻擊成功，部份的重要資料被盜走，這也影響了許多用戶的權益。

防毒或是使用端的防護軟體也是百家爭鳴，各有各自的解決方案，雖然不一定有效，不過對於已知的惡意程式或是攻擊的行為特徵，使用防護的軟體是相當有效的，雖然無法防禦未知或新型態的攻擊行為，但是對於網路上常見或是已有特徵的攻擊手法，卻是相當有效的。

資安技術的發展，不論是軟體或是硬體，重要的是能夠持續發展，以前也曾出現過叫好不叫座的品牌，沒多久不是被對手併購，不然就是公司經營出了問題，無法持續的發展，所以在選擇部署的軟硬體時，除了功能面的評估外，其它還需要再評估是否有持續的發展，例如：新產品的發佈速度，除蟲的速度等，因為對於許多的使用者而言，並不具備深厚的資訊安全知識或技術，僅能依賴這些已部署的資安設備協助確保其環境的安全，因此如果所部署的設備無法持續的更新，那這樣的設備就無法發揮預期的功能了。

除了常見的資訊安全廠商外，當然也有一些在台灣較少見的，這些有待國內的資安廠商或是代理商有機會可以引進，對於國內能夠提供更多樣化的選擇。

每家廠商幾乎都會辦自家產品的小型說明會，就是希望在三、五分鐘內，將產品的特色、優勢讓參加的人很快知道，所以大多會以實際的案例或是特殊的功能來說明或解釋，雖然簡短但卻是最重要的精華。

是否有人跟我一樣想過這個問題，現在使用金融卡、信用卡的頻率這麼高，如果不需要記複雜的密碼，但是卻擁有更好的密碼保護呢？以往都是使用OTP(One Time Password)的方式來實現，今年新一代的金融卡與信用卡，紛紛將OTP的功能整合到薄薄的一張卡片上，需要使用時，按一下卡片上的按鈕，就可以看到這次所使用密碼，而且OTP的密碼長度已到8位數，未來就看銀行或是金融單位要不要投資了，如果願意的話應該可以讓大家的金融安全往上提昇。

因筆者大多在聽一些重要主題的演講，較少時間去展覽場逛逛，只能先分享一些心得提供大家參考。