RSA信息安全大會已經結束了，但有關安全的思考卻仍在進行。百度云安全技術總監馮景輝在與筆者溝通對本屆RSA大會的一些想法時就表示，安全意識對于安全的發展十分重要，需要提高人們的安全意識，安全行業之間也需要更多的互動與交流。

堪憂的2015網絡信息安全

在本屆RSA信息安全大會上可以看到，越來越多的IT企業開始關注安全，而且關注點從傳統的網絡安全更多的延伸到信息安全，越來越多安全事件讓內網和外網界限開始模糊，由BYOD和Shadow IT引發的安全問題已經被IT公司和安全廠商廣泛關注，并為此提出了許多新型解決方案。

2014年eBay、摩根大通先后被黑客襲擊，越來越多的攻擊行為瞄準了金融鏈條，這讓企業和網民更為驚恐。同時以前被普遍認為固若金湯的銀行電商都遭遇不測，這讓人更為擔心未來的安全形勢。BASH、HeartBleed漏洞，這些最為常用的基礎開源軟件不斷被爆出漏洞，受此波及的軟件系統不計其數，這些事件都加劇了大家對2015年安全形勢的擔憂。

由被動到主動 變革我們的安全意識

在安全界里面，“雞與蛋”的問題比較好解決，因為攻擊方法總是先于防御方法出現，這在一定程度上使防御變得極為被動。而傳統的“漏洞——補丁”措施也正在挑戰著互聯網產品的運營，因為很多商業產品的0day漏洞傳播范圍小，難于及時發現和截獲。這意味著在安全防御上需要更多變被動為主動的措施，要盡量走在惡意攻擊的前面，例如，要比攻擊更早發現漏洞，要比攻擊更快速、更深入的進行系統掃描，要將安全防線推進到惡意攻擊的源頭。

“The Change Challenges Today's Security Thinking”，這句話說得非常好，馮景輝認為安全不僅僅是工具和系統，更需要意識，很多安全問題都是由于企業管理和運維人員缺乏安全意識造成的。數據泄露風險無處不在，企業管理者需要重視安全，需要依據企業自身特點設計安全基線，定期做安全檢查和測試。

馮景輝特別提出整個安全行業應該更多的互動和交流，將安全防御資源共享，共同抵御和對抗攻擊，從技術和資源層面協同。合作，安全業界需要更深入的合作，而這恰恰是諸多業界同仁的共同想法。

新安全防御思路需突破舊架構束縛

我們注意到包括谷歌在內的許多公司都在積極做嘗試，Google啟動的BeyondCorp計劃，就是在減小對內部網絡的信任依賴，取而代之以更合理的授信方式控制資源，因為內網網關越來越脆弱，一旦被攻破黑客就可以長驅直入。新的安全防御思路應該從根本上改變，將外網控制引入內網，更多的采用軟硬件Token進行鑒權，更多將企業應用云端化以減輕運維風險?？傊?，新型防御思路應該突破原有的網絡架構束縛才能應對未來的威脅。

嘉賓介紹：馮景輝，現任百度云安全技術總監。

進入百度之前，馮景輝是國內第一家完全基于SaaS的云安全服務廠商安全寶的聯合創始人兼研發副總裁，安全寶系統架構總設計師。

創立安全寶之前，馮景輝曾在當時中國最大反病毒企業瑞星公司擔任高級軟件工程師、研發經理等職務，帶領團隊在企業級安全產品線上先后開發了9200、9300等多款安全防護系統。

馮景輝是資深開發專家，自幼酷愛電腦，16歲即在中國知名技術社區網易任CGI版主。

17歲輟學，成立自己的網絡工作室“星暉”。

18歲加入當年紅極一時的健康類門戶健康久行網并任技術總監。

此后在移動設備、網絡設備等領域領導開發了多款產品，在Linux系統、反病毒和網絡安全等領域擁有多項發明專利。