下午13:30,每年的重头戏创新沙盒开始了。万豪酒店走廊上的电视,滚动播放着历年来进入finalist的公司,当前的状态和估值。 BigID成为最大赢家 比特币,区块链和智能合约的基础 区块链的研讨会座无虚席,内容主要涉及区块链原理、区块链安全分析,以及案例分享。从内容的深度来看,目的还是以科普为主,原因是区块链是今年第一次独立出现在RSA大会上,又是一个跨学科的综合性技术,公司CISO还不太清楚其产生的价值。但区块链能保证去中心化的信任,以及可回朔性等的技术原理,确实带来了很多想象空间。 在PoC的案例中,嘉宾David Chan介绍了一个去中心化的身份认证体系,能解决用户在看病时,政府、医院、药房等存储的用户身份不一致的问题,并在一定程度上提升用户体现的问题。 当然,需要清醒地看到区块链目前处于泡沫期,期待其解决所有问题是不现实的,区块链技术进入成熟应用前必须解决大量的技术问题,并提供合理的业务相关特性。例如在公司破产法有需要一定时间内撤销交易的规定,那么电子交易的区块链应用也应提供相关的机制,这就需要修改区块链的交易机制,或提供额外的中间件。 总之,从研讨会的话题和参会者的积极态度来看,区块链在国外同样引发关注。 CSA峰会:Cloud2018:企业级安全 来自CSA美国行政署的联邦风险和认证管理项目FedRAMP总监Matt Goodrich交流了《Lessons Learned from FedRAMP and the Future of Cloud in the Federal Government(FedRAMP案例学习和联邦政府的云未来)》。FedRAMP是美国版本云等保规范,FedRAMP(The Federal Risk and Authorization Management Program )联邦风险和认证管理项目是一个跨政府部门的项目,他提供了一套标准方法来进行安全评估,认证并持续监控云项目的产品和服务。 FedRAMP是与GSA,NIST,DHS,DOD,NSA,OMB,联邦CIO委员会及其工作组以及私营行业的网络安全和云专家密切合作的结果。FedRAMP评估过程由机构或云服务提供商(CSP)发起,使用符合FISMA并基于NIST 800-53 rev3的FedRAMP要求开始安全认证,并启动与FedRAMP PMO的合作。云服务商CSP必须对其IT环境实施FedRAMP各个安全要求,并聘请FedRAMP批准的第三方评估机构(3PAO)进行独立评估,以审计云系统安全,并采用FedRAMP提供安全评估程序包进行自审审查。 通过可重新使用评估和授权过程加速安全云解决方案的采用; 增加对云解决方案安全性的信心; 使用一套经过FedRAMP认可的的安全基线标准集合来进行内部或外部的云产品认证的一致的认证方法,确保与现在最佳安全实践的 一致的安全方法; 通过安全评估的增加信心; 增加安全持续监控的自动化和接近实时的数据。 从目前来看,政府上云的趋势很明显,相对的,认证保护工作也都是紧锣密鼓的加强,FedRAMP和CSA云安全联盟合作,大量采用业界的力量,在认证等方法引导行业标准,并为政府上云保驾护航。国内的等保专家,可以借鉴一下美国的的做法。 安全多元化 多元化是使好的组织变得更好的核心,也是成功的要素。在今年的安全多元化研讨会上,拥有不同背景、观点和经验的发言人听取了会议参与者的意见。主题“Think Differently”,侧重于受世界变化影响的持续思维模式,这个世界正在迅速发展并引发伦理、商业、社会和情感考虑的变化,需要不断审查我们的定义。 DevOps Connect: DevSecOps DevSecOps知易行难,Fannie Mae在实践过程中总结了一些实施原则,包括要与原有开发流程融合、加强开发团队安全培训、在编码阶段减少问题和尽力实现自动化等,值得后来者参考。 Now Matters,在数字经济的大潮下,安全行业应该有紧迫感,或迎上或被潮流抛弃。公众和社会期待着诞生更好的技术和方案。继续加油! |