标签： RSA

我前后一共参加过十多次RSA大会。有几届非常有技术内容，但是也有几届除了炒作什么都没有，不过上一周的大会我个人感觉还是很有价值的。尽管会场上到处都听得到推销的词藻，但仍然不时有真知灼见冒出来。 在我的这第一篇关于RSA的观察文章中，我想列出以下几项观察结果： 1. 安全回归本质。 除了每次展会必不可少的炒作之外，RSA上的大量讨论都是围绕真实而普遍存在的安全问题的。例如，大企业如何应对各种新的威胁...

　　在本届RSA大会上，有部分与会代表称，目前大多数的高级恶意软件攻击针对个人用户，而非计算机网络。

　　根据RSA新技术主管Uri Rivner的统计数据，去年的三大恶意软件攻击，Operation Aurora，Night Dragon和GhostNet都是针对个人用户。传统的攻击者目标大多在网络和基础设施，而现在的恶意软件开发人员不再对网络感兴趣，他们往往找到公司 中一个特定的用户作为

　　美国密歇根大学的三位科学家称，他们发现了一个利用RSA安全技术中的一个安全漏洞的方法，RSA安全技术用于保护从媒体播放器到智能手机和电子商务服务器等各种设备。

　　他们说，RSA身份验证对于私有密钥载体的电压变化是很敏感的。研究人员Andrea Pellegrini、Valeria Bertacco和Todd Austin在一篇准备在3月10日提交给欧洲设计、自动化和测试大会的题为“基于错误的RSA身份验证攻击”的论文中简要介绍了他们的研究成果。

　　电子工程和计算机科学系副教授Valeria Bertacco在声明中说，RSA算法给安全提出了这样的假设，只要私有密钥是专用的，你就不可能突破它，除非你能猜出来。我们已经证明这不是真的。
...

　　几乎每个参加RSA大会的人都有这样一个目的：从展览或会议中了解未来信息安全的发展趋势，但想要完成这个目标难度却很大，面对海量信息无异于大海捞针。实际上，参展商或会议发言人大都有背后的商业利益推动，所展示的内容大都是为了推广自己的产品或理念而服务，完全公正客观的很少。更何况大家面对的用户和政策环境很不一样，只有透过现象看本质，才能得到自己想要的东西。

　　在美国旧金山召开的RSA 2010

　　信息安全，其核心在于“信息数据”的安全，而在数据处理中，应用才是关键。随着网络的快速发展，网络应用类别越来越多，应用复杂度也越来越高，人们逐渐发现，单纯解决数据的访问和传输的安全已经无法很好地保障信息安全，必须高度重视维护关键应用的安全，从数据的产生、计算和存储等多个角度来思考和解决。因此，对于“网络应用”安全的关注度也逐渐升温。在本次RSA大会上，技术专家、知名安全厂商谈论的焦点来看，网络应用安全呈献出以下几大发展趋势。

　　趋势1： WEB应用安全市场成为各应用安全厂商的必争之地

　　如今，越来越多的企业用户已将核心业务系统转移到网络上，WEB浏览器成为业务系统的窗口。在此背景下，如何保障企业的应用安全，尤其是Web应用安全成为新形势下信息安全保障的关键所在。Gartner的一份分析报告指出：在调查的企业数据中心中，92%的Web应用有安全缺陷；80%存在跨站攻击；高达62%存在SQL注入风险，而参数篡改和Cookies毒化也分别达到60%和37%；同时，专门针对应用层进行攻击的手段越来越多，越来越难以防范。
...