RSA信息安全大会已经结束了，但有关安全的思考却仍在进行。百度云安全技术总监冯景辉在与笔者沟通对本届RSA大会的一些想法时就表示，安全意识对于安全的发展十分重要，需要提高人们的安全意识，安全行业之间也需要更多的互动与交流。

堪忧的2015网络信息安全

在本届RSA信息安全大会上可以看到，越来越多的IT企业开始关注安全，而且关注点从传统的网络安全更多的延伸到信息安全，越来越多安全事件让内网和外网界限开始模糊，由BYOD和Shadow IT引发的安全问题已经被IT公司和安全厂商广泛关注，并为此提出了许多新型解决方案。

2014年eBay、摩根大通先后被黑客袭击，越来越多的攻击行为瞄准了金融链条，这让企业和网民更为惊恐。同时以前被普遍认为固若金汤的银行电商都遭遇不测，这让人更为担心未来的安全形势。BASH、HeartBleed漏洞，这些最为常用的基础开源软件不断被爆出漏洞，受此波及的软件系统不计其数，这些事件都加剧了大家对2015年安全形势的担忧。

由被动到主动 变革我们的安全意识

在安全界里面，“鸡与蛋”的问题比较好解决，因为攻击方法总是先于防御方法出现，这在一定程度上使防御变得极为被动。而传统的“漏洞——补丁”措施也正在挑战着互联网产品的运营，因为很多商业产品的0day漏洞传播范围小，难于及时发现和截获。这意味着在安全防御上需要更多变被动为主动的措施，要尽量走在恶意攻击的前面，例如，要比攻击更早发现漏洞，要比攻击更快速、更深入的进行系统扫描，要将安全防线推进到恶意攻击的源头。

“The Change Challenges Today's Security Thinking”，这句话说得非常好，冯景辉认为安全不仅仅是工具和系统，更需要意识，很多安全问题都是由于企业管理和运维人员缺乏安全意识造成的。数据泄露风险无处不在，企业管理者需要重视安全，需要依据企业自身特点设计安全基线，定期做安全检查和测试。

冯景辉特别提出整个安全行业应该更多的互动和交流，将安全防御资源共享，共同抵御和对抗攻击，从技术和资源层面协同。合作，安全业界需要更深入的合作，而这恰恰是诸多业界同仁的共同想法。

新安全防御思路需突破旧架构束缚

我们注意到包括谷歌在内的许多公司都在积极做尝试，Google启动的BeyondCorp计划，就是在减小对内部网络的信任依赖，取而代之以更合理的授信方式控制资源，因为内网网关越来越脆弱，一旦被攻破黑客就可以长驱直入。新的安全防御思路应该从根本上改变，将外网控制引入内网，更多的采用软硬件Token进行鉴权，更多将企业应用云端化以减轻运维风险。总之，新型防御思路应该突破原有的网络架构束缚才能应对未来的威胁。

嘉宾介绍：冯景辉，现任百度云安全技术总监。

进入百度之前，冯景辉是国内第一家完全基于SaaS的云安全服务厂商安全宝的联合创始人兼研发副总裁，安全宝系统架构总设计师。

创立安全宝之前，冯景辉曾在当时中国最大反病毒企业瑞星公司担任高级软件工程师、研发经理等职务，带领团队在企业级安全产品线上先后开发了9200、9300等多款安全防护系统。

冯景辉是资深开发专家，自幼酷爱电脑，16岁即在中国知名技术社区网易任CGI版主。

17岁辍学，成立自己的网络工作室“星晖”。

18岁加入当年红极一时的健康类门户健康久行网并任技术总监。

此后在移动设备、网络设备等领域领导开发了多款产品，在Linux系统、反病毒和网络安全等领域拥有多项发明专利。