近期我很荣幸地在RSA2012大会上进行了主题演讲。本届大会的主题是“密码如同利刃”(The Cipheris Mightier than the Sword)——这一主题源于Great Cipher的故事，该密码在1893年被破解前已经使用了近200年。对我而言，这则故事的启示是：密码（及所有信息）关乎生死，而且没有任何东西是牢不可破的，只是时间问题。

　　 在此前我准备主题演讲时，偶然发现了《罗宾汉》（Robin Hood）这部电影。Russell Crowe（罗素·克洛）扮演的角色回想起父亲的教诲：不断成长，直至羊羔变成狮子。当他问及含义时，父亲回答到：“绝不放弃。”

 不过，我认为这句话的含义更深远。它意味着，人们可以主宰自己的自由，就像皇室（狮子）那样，而且应该不断成长，直至彻底实现。

 好莱坞向来能够以小窥大，一直以来，它就通过各种影片警示人们未来的安全挑战。最早是1968年出品的影片《富豪之家》（HotMillions），该片刻画了一个骗子、贪污犯形象，此人利用保险公司计算机程序员职务之便挪用了数千美金。该片凸显了社会工程学、身份欺骗、内部权限滥用和徇私枉法等问题。

 类似的影片还有展现黑客高超技能的《战争游戏》（War Games）、让我们担心隐私和网络恐怖主义的《国家公敌》（Enemyofthe State），以及《东西战争》（Jumping Jack Flash）、《通天神偷》（Sneakers）、《黑客帝国》（The Matrix）、《虎胆龙威4》（4Die Hard4）等。

 实际上，好莱坞编剧们之所以会编写与安全相关的“影视大餐”，是因为安全方面具备极大的可看性，并且具备一定的真实性。主要原因有：第一，大量的机会。如今的设备数以十亿计，而且将在这个十年末攀升至500亿，因此，绝不缺少机会。第二，动机。因为这与金钱、信息（信息就是力量）、目的（可成为极为强大的动力）或破坏（例如，意在延迟伊朗核计划的行动）直接相关。最后，能力。由于工具和技术的可获取性以及可以承受的学习成本，使得黑客们能够较为容易得获得成功。

 我们已从大型机和集中计算发展到Windows、Apple和Linux，进而发展到实时操作系统和嵌入式系统。互联设备数量正呈爆炸式增长……而且未来注定是嵌入式设备的世界，由此带来的风险可谓前所未有地高。

 以一型糖尿病患者为例，约50%的患者需要使用胰岛素泵来自动调节血糖。胰岛素泵是微小的嵌入式设备，内置必要的操作系统和芯片，用来控制移动部件，包括以所需速率调整胰岛素的泵。但是，很多人并不知道所有这些设备都是微小的计算机系统……它们甚至也能置人于死地。

 为了实现让非保护对象更安全的目标，我们必须承认我们的不足。每当我们认为我们的保护已经足够完善时，都会发现在安全防护能力方面仍然差距不小。于是，我们会采取一些“非常规手段”来加以应对。然而，签名和黑名单已成为过去时。我们必须迈向白名单的世界——确切而言，是灰色的世界。要能够了解什么是安全的、什么是危险的、什么样的需求亟待解决，让用户来决定我们的声誉。

 我们需要更深层次的安全保护。我们生活在操作系统、应用程序的世界里，我们已经进入了虚拟世界。但威胁并不止于此处，它们更加深入地渗透到了BIOS、固件和辅助芯片中。这里正是我们的用武之地，有太多的领域等待我们挖掘，如安全管理、设备完整性（安全引导）、身份（确保使用键盘的人是设备所有者）、隐私（保护个人信息）和弹性（发生事故时快速恢复）。因此，新一代安全将以“控制”为核心——控制权限、控制执行、控制恢复。

2012年，我们将看到各类攻击相对2011年会有增无减。我相信，一些攻击可能是您已想到的，而一些攻击可能是您始料未及的。无论何种攻击，请记住，您是它们“命运”的主宰者。绝不放弃，绝不要忘记这条教义——不断成长，直至羊羔变成狮子。

责任编辑：Randy