RSA中国大会主题发言 - 可信赖计算展望

今天，我在RSA 中国大会上发表了主题演讲，概括介绍了微软可信赖计算展望, 以及针对计算模式的不断演变所带来的对实现安全、隐私保护和可靠性战略上的挑战。微软公司一直非常致力于为用户打造一个可信赖的计算环境。今年是微软发起可信赖计算的第十周年，我谈到了微软过去在可信赖计算方面所做出的努力，以及对未来的展望，包括对新时代信息安全挑战的一些想法，希望与各位同仁做进一步交流和探讨。

我简要地介绍了微软提出的“端到端的信任”模型，即只有社会、政治、经济和信息技术力量之间相互协调才能建立一个从硬件、软件到人和数据在内的端到端的信任体系。

我重点介绍了以下三个推动变革的重要趋势：

云和大数据

设备和云服务的激增使得全球数据产生了大规模的聚合，也称为大数据。虽然这种数据集合提供了很多潜在的社会效益，但同时也提出了独特的挑战。从安全观点来看，大数据对于攻击者而言意味着有价值的目标。随着云计算和设备与社会融合度的提高，人们在日常工作中也变得越来越依赖于数据和服务的可靠性及可用性。最后，随着可供采集、分析和传播的数据类型的大大增加，传统规则已经很难保护隐私。

政府的角色

大数据的出现也向政府提出了挑战。任何重塑人们生活方式的变革性技术的更改都会引发政府更深层次的介入。这是因为政府与互联网的关系是很复杂的。全球各国的政府既是互联网的用户，同时又是互联网个人用户和互联网本身的保护者。

有鉴于此，各国政府可能会在互联网的诸多方面发挥日益积极的作用。一些国家正在寻求以立法的方式为各类管理信息和计算系统采取强制的信息危机管理计划。

不断演变的 威 胁形势

虽然随着代码质量的改进，通过微软(SDL)安全开发生命周期所开发产品的病毒感染率已经下降，但是威胁形势也在不断地演变。在机会性威胁的基础上又增加了更具持续性的攻击，在很多情况下，这会更加麻烦。这意味着我们需要启用的设计系统不仅能够防范攻击和从攻击中恢复过来，而且要能够迅速检测成功的攻击者并制止他们，以便任何未经授权的信息访问或服务破坏行为都受到限制。在全球融合、设备驱动和以数据为中心的计算时代，这种保护、检测、制止、恢复的全新范例可作为危机管理的实践基础。

除了以上几方面的计算趋势外，我总结了微软20多年来对中国的投资，和在安全方面的努力。我们下定决心，坚持长期的投入，加强与政府和业界的协同(例如与CNCERT携手打击僵尸网络、支持政府桌面核心备置标准)，与行业伙伴的合作(例如与支付宝和淘宝在设备健康等方面的广泛安全合作)，同时致力于推动安全方面的创新(例如端到端的信任)，推动国内与国际的安全交流合作(可信计算标准本地化等等)。

最后，谈了我个人在重视安全人才培养方面的一点建议，希望各界对奋斗在计算机和信息安全事业战线上的女士们给予支持，能让她们将成为信息安全的中坚力量！

陈静

可信赖计算部总经理

微软公司