想必大家都关注到了这次获得媒体广泛关照的丰田汽车召回事件,Google上面搜索“丰田汽车召回”,刚刚的搜索结果数是8.8M+。虽然说 汽车家电等召回事件在中国国内,拜国内消费者“保护”所赐,不是很多,消费者大都哑巴吃黄连了。可是,这在西方发达国家是惯例 – 你生产的产品出了质量问题,召回-免费修补是天经地义的事情。
回过来在看看我们所处的IT和软件业呢?大家随便找到一份商业软件的license agreement等,逼着你签过字的那种,都明明白白写着 – 本软件“as-is”;不保证不出漏洞;出了漏洞不保证什么时候可以出补丁;出了补丁,不保证那个补丁管用;软件使用中出了事故,赔偿金额不会超过软件价格;….
在IT和软件作为新兴行业时,对这种高风险的新生事物特例一些保护是可以理解的。但是,当这个行业里占据了越来越多的500强、产生了越来越多的亿万富翁时,对此基本市场义务的反思就成为很容易理解的动向了。
SANS和Mitre Corp,这两个大名鼎鼎的组织联袂发起了这个很有思想性的项目。说其“很有思想性”,是因为我想这个问题也有不少时间了。为软件和安全厂商工作,这种感觉不会有,或不会很明显。但是作为内部IT运行人员就不一样了。你的病毒系统误杀了几千台电脑的软件,搞当了数百个服务器,我居然无法通过合同/许可条款获得正常的赔偿?很让人窝火。你的软件出了漏洞,厂商不但迟迟不响应补丁,还似乎成了用户的责任 – 当初签字画押时就说好的 as-is… Read more…
ENISA的全称是欧洲网络信息安全局,前几天刚刚写了一个帖子讲了它发布的社会安全网络白皮书(http://sbin.cn/blog/2010/02/08/enisa-msn-security-wp/)。该组织的名称和法律地位非常令人“敬仰”,但是,由于属于新生报到,在业界还没有引起太多的关注和媒体报导。大家可以Google一下,尤其是中文内容更是少之又少。http://www.enisa.europa.eu/ 是该组织的官方网站。
近日,ENISA与云安全联盟CSA一起,发起了一个非常引入注目的业界项目 – Common Assurance Metric – Beyond the Cloud, 直译为”通用保障指标-在云之上”,我们简称CAM。该名字起的很有魄力,也很有诗意(喜欢文明系列游戏的人会联想到CIV4-Beyond the Sword,喜欢唱歌的朋友会响起“月亮之上”的旋律,呵呵)。不知看到这个题目,你是什么感觉?我的第一眼是ENISA和CSA有眼力,选题很棒。
CAM项目的使命和目标包括:
- 开发一个能够为业界机构验证测量信息保障成熟度的客观的、可量化的指标框架。
- 避免消费者被主观的、人为的提供商安排所左右
- 促使不需要第三方审计公司即可达成的、相对透明和公正的安全运行评价 Read more…
Google退出中国、停止Google.cn运行的“事件”候沸沸扬扬,不少人对Google为“人权”所作的牺牲、大义凛然的义举“感动”。为之痛心疾首者有之,为之感动同情者有之。事实上呢,Google想“将”一军,没想到“企业”和“政府”PK和市场竞争完全不是一回事(估计Bill Gates在一边偷偷笑呢)。几周的时间过去了,悄悄地发生了什么呢?看看下面这则博客的帖子,应该了代表了不少Google拥护者的心理波动。
Nevermind, I Was Wrong, Google Is Evil – 似乎看到了Google后院“起火”…
Read more…
新浪科技翻译外电报道 – MarketWatch今日撰文称:“我怎么才能把这东西关上?”当人们面对着谷歌(GOOG)最新的Buzz升级的时候,最常出现在他们嘴边的正是这样一个问题。不能不说,谷歌对社交网络领域最新的一次进军,其结果显然并非他们所预见。尽管谷歌GooglePlex部门的负责人和技术人员不能说是没有能力,但是若是他们知道结果如此,Google Buzz相关的种种显然便不会按照今天这样的轨道前进。 Read more…
以下新闻转载自新浪科技。导读:国外媒体今天刊文称,苹果和Adobe之间曾经关系非常良好。然而,自苹果上月底推出平板电脑iPad之后,双方的关系开再度陷入紧张。
iPad拒绝Flash
尽管苹果CEO史蒂夫·乔布斯(Steve Jobs)表示,iPad将给互联网浏览带来变革,然而iPad却不支持Adobe的Flash技术。这一消息也使Adobe股价应声下跌。
由于Flash在互联网上被广泛应用,因此iPad不支持Flash意味着该产品在这一方面脱离主流。根据Adobe的数据,有98%的联网电脑都已安装Flash播放器,且Flash被应用在互联网75%的视频和90%的互动广告中。
在上月苹果的内部会议上,乔布斯对员工称Flash“充满Bug”,并认为在大多数情况下导致Mac电脑崩溃的原因都是Flash。
对此,Adobe通过多篇博客文章做出反击。Adobe指出,iPad忽略了Flash,并对iPad提供的上网体验提出质疑。Adobe同时表示已开发了可用于iPad的 Flash。Adobe首席技术官凯文·林奇(Kevin Lynch)称,目前唯一的问题是“Adobe需要得到苹果的合作,才能将该版本Flash应用在iPad上,而Adobe已做好准备”。 Read more…
ENISA的全称是欧洲网络信息安全局,近年来领导开展了若干个成员国内部的、欧盟外部参与的信息网络安全标准研究项目。今天发布的移动社会网络MSN很全面的总结了社会网络SNS和移动社会网络MSN的定义、当前在欧盟的使用情况等,分享不少统计数字;较为全面的总结分析了SNS+MSN面临的各种安全威胁以及隐私方面的威胁。白皮书还对欧盟与此相关的法律法规进行了综述 – 包括DPD (数据保护法)以及电子隐私法等
- Directive 95/46/EC on data protection (DPD )
- Directive 2002/58/EC on e-privacy
- RFID recommendation
在白皮书的最后,ENISA列举了17条安全建议,很值得借鉴。这些让我们看到ENISA工作非常务实的一面。下载地址:http://www.enisa.europa.eu/act/ar/deliverables/onlineasithappens/at_download/fullReport
另外感兴趣的朋友,还可以下载DPD的实施指南…
Cloud Bursting是Amazon技术专家Jeff Barr创造的名词,讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量,IT自己采购硬件扩容,ROI不是很合算,因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的,随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…
网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点,养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界,天涯海角四处漫游的用户使得边界越来越“虚”,但是,边界依然是我们的第一防御重点,很多安全配置都成为标准配置,包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。
云计算环境中,上述的传统边界依然存在,但是作为云服务用户,却需要更多考虑不依赖边界防护的解决方案,更为纵深防御的解决方案,因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说,云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机,为此,Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前(1月19日)参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。
值得注意的是,这个“Deperimeterization”并不是不要边界防护,而是在传统“边界”防护的基础上,强调了“虚拟边界”和云服务内部安全。事实上,对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…
在第一版中头一次看到这个词,觉得很好玩,很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5,6次。觉得好玩的同时,有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时,才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释:
compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分
云计算的一个重要特征是“多租户”,每个“租户”都想火车乘客那样都有自己的一个隔间,很形象,对吗?
下面的Wiki字条还有一层更为恰当的含义: Read more…
Recent Comments