分享

第一届Worldwide Cybersecurity Summit在达拉斯召开，演讲人名单上不乏重量级人物，美国白宫信息安全特别协调员Howard Schmidt、Dell公司的创始人董事长CEO Dell、大名鼎鼎的信息安全思想家Bruce Schneier、德勤的CEO James、Verisign创始人Addison Fischer、微软可信计算业务单元的副总裁Scott（这位老兄演讲很棒，RSA2010上的Keynote也不错）等，另外，还有来自多个国家的高级政府官员，例如日本NISC（国家信息安全中心）的副主任Yasuo和Nozomi，加州的CIO Teri Takai、加拿大国家空间安全总局局长Robert Dick、法国网络信息安全局局长Patrick Pailloux、爱沙尼亚司法部长Rein Lang、亚美尼亚前总理Armen等等吧。没有演讲，有幸认识的政府官员还有明尼苏达州的CIO Gopal Khanna、新加坡军方C4 Operation Group长官Col Dan、等。参会名单上还有长长的高官和名人，不再赘述。

Dell在2009年9月份以39亿美元高价收购Perot Systems，IT服务实力大增。在2010年2月份布鲁塞尔进行的第七届世界安全大会WSC上，其服务业务总裁Peter Altabef就做了题为“Balancing Cyber Threats and Cyber Benefits”的Keynote。这次在Dallas的网络空间安全大会，Dell更是成为最高级赞助商，创始人/董事长/CEO Michael Dell亲自出场，热情演出。虽然Dell自己讲这次高规格资助主要原因是会议在德州，Dell是德州的企业云云。但是，在Dell的战术板上，EWI和网络空间安全大会或许就是打响其服务品牌登陆作战的突破口。

在午餐会的keynote上，微软的Scott先生讲到了当前主要网络威胁的四个动机：其一网络犯罪，其二是经济间谍，其三是军事间谍，其四是网络空间战（http://microsoftontheissues.com/cs/blogs/mscorp/archive/2010/05/03/the-cyber-threat-deconstructing-the-problem-to-promote-comprehensive-dialogue-and-action.aspx）。Scott的主要观点是必须搞清楚网络威胁的“who”，“why”，才能有针对性的研究防御和对抗对策。

关于ICT（几乎是电信的另外一个称呼）的“供应链完整性”一直是一个热门话题。在这次EWI的第一次WCS上，ICT还是最热的话题，房间里有些拥挤不动，主持人号召大家多为其它小组贡献。 我参加了ICT话题下的供应链完整性小组，也是夏威夷GlobalComm会议上TIPS主题的延伸。这是Karl的Favorite topic。我们这个小组的阵容不容轻视哦 – 华为全球CTO Matt Bross, Cisco CSO John Stewart, ENISA 高级总监ED Udo Helmbrecht, Cox Com负责质量、合规性等的高级总监 Mark Adams, 微软的高级安全战略师 Matt, Ericcoson的Kelvin, 美国空军的Bill，等

Matt是业界的知名人物，身份也比较特殊，一方面他是来自中国的华为公司的CTO，“中国”+“华为”，够热吧。另一方面，他在加盟华为之前是英国电信BT的CTO，是运营商的技术决策人。具有两栖作战能力的高手讲出来的话很有说服力。

ENISA在此之前已经被我“曝光”多次了。该组织近来的学术和业界活动都很频繁，在安全的很多方面，例如“云”，“隐私”，“合规性”等，都有重要动作。这次ENISA的ED Udo更是全程参与了论坛和小组讨论，贡献了不少建议。

大家对ICT的含义相比都比较清楚了，ICT指信息和通信技术，这个词比通常使用的IT-信息技术这个词更现代一些。通常IT是以计算机、服务器为中心的，通信技术是以网络设备为中心的。加在一起，ICT特意指计算机和网络通信相互结合的技术。ICT技术构成了电信、金融、交通、能源、政府等各个行业应用系统的基础，当然对于电信运营商而言则意味着更多，除了基础外，还是自己的业务。更多解释请参见这篇分析。

在过去十年的时间里，宏观意义上的ICT在主流媒体语言里大行其道，在转型的时代主题下，电信运营商也开始频频使用ICT来概括电信业务的新边界。新的用法语义上全然不同，最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释：“ICT- Information Communication Technology， The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合，ICT促成了超越空间的快速信息交换。从字面意义上看，反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物(参见下图)。联系当前电信界的流行语言，就是三网中的计算机网和电信网率先融合而产生的新兴业务

我们再来谈一谈什么是“供应链完整性”？是SCM的安全吗？非也。和SCM基本上没有任何关系。ICT系统通常是采购+开发+集成模式，其最终用户感知到的安全很大程度上取决于采购、开发和集成等这些建设环节。这些环节又依赖于供应商的安全素养、流程和产品质量。噢，那就是供应商安全管理了？还不准确。因为供应商也还一定程度上依靠自己的供应商，所以才有供应链。那为什么采用“完整性”、而不是“安全”呢？安全通常是CIA，中间那个“I”就够了吗？ 问题是不是太多了？这个吗，事实上，可用性还有保密什么的，在另外的话题里覆盖了。
小组讨论的话题从存在的问题、这些问题为什么没有被解决、当前有什么推荐措施可以帮助解决这些问题、如何衡量这些问题被解决了、下一步如何做等顺序进行了下来。至于最后产生了什么成果，还要等官方的发布后再透露。

会议中多次使用一个小工具 – OptionFinder，用来实时地和整个大会互动，投票调查，非常方便，有效率。预计东西方研究所EWI在会后应该会发布若干个进行的调查结果。

分享