資訊安全不該只看技術層面

資訊安全一直被普遍視為是技術性議題，因為談及資訊安全，總是不脫病毒、蠕蟲、駭客攻擊、防火牆等網路安全的專業術語，不知不覺中，資訊安全就等同於技術議題了。

資訊安全確實天生就有許多技術成分，因為要防禦資訊系統的安全，勢必得藉助資訊科技來達成，但是，在未來，我們不該再只由技術層面來看待資訊安全，因為，光靠科技解決不了諸多資訊安全威脅，而在邁入2007年後，企業亦需考量政策與法規等問題。

從今年RSA Conference 2007會議的內容就可以看出，未來資訊安全問題既複雜、又涉及諸多層面，因而絕對無法只從技術層面考量，就能做得好資訊安全。

本期封面故事，我們分析RSA Conference 2007會議的內容。為何要觀注這個會議的內容呢？因為，每年2月初在美國舉辦的RSA Conference會議，幾乎可說是資訊安全領域的CeBIT或CES，對於解讀未來資訊安全的發展趨勢，具有指標意義。

RSA Conference源自於16年前，由以研發密碼技術著名的RSA Security所舉辦的密碼學學術會議，因而名稱中仍延續了RSA。多年發展下來，RSA Conference不再只是侷限於密碼學，逐漸涵蓋其他資訊安全技術。

近年來，RSA Conference更像是資訊安全領域最重要的大拜拜，既保有學術發表的地位，亦呈現資訊安全業界的最新動態。資訊安全業界舉足輕重的人物，舉凡學術研究、資安廠商，以至資安組織、企業資訊人員、政府單位，全都在此聚集交流；資訊安全廠商亦趁此發表新產品、揭櫫新策略，使得RSA Conference成為觀察分析資訊安全未來走向最重要的機會，因此本期我們就從今年大會所討論、發表的種種訊息中，分析今年的資訊安全觀勢。

臺灣資訊安全廠商阿碼科技執行長黃耀文，受邀在RSA Conference 2007大會發表研究論文，據他在現場的觀察，發現應用程式安全問題在今年受到相當的重視。微軟董事長比爾蓋茲在開幕演講也呼應了應用程式安全的重要，在微軟推動Trustworthy Computing五年後，比爾蓋茲終於展示了Windows Vista及Office 2007這兩套依據SDL（Security Development Lifecycle）所開發的軟體。

黃耀文指出，今年的演講內容比起去年更實際，不再只是概念或是實驗階段的技術。他觀察到，多家廠商也開始討論諸如技術的整合、名詞與報表格式的統一等等，可預期今年資訊安全將往更為穩定的局面發展。

網路安全議題仍是今年會議討論的重點，尤其是在Web 2.0的推波助瀾下，雖然Ajax已然快速成為網頁技術的顯學，但是Ajax也將暴露Web的多重安全威脅。

此外，由資訊安全廠商近來的併購，以及廠商的演說內容中，我們發現資安廠商的態度也在改變中。EMC購併RSA、IBM購併ISS，顯示非資安廠商藉由購併補強資安技術，代表資安已是各層面所需；而RSA總裁所說：「我們是要保護國王而非城堡，資訊就像國王一樣喜歡到處走走。」則可讓企業再思考不只依賴身分認證，更要考量風險管理。更多關於RSA大會的分析，請見本期封面故事。