Cloud & Telecom Security

点击下载中文版。2010年3月29日，CSA云安全指南中文版发布，下面是中文版的译者序。

云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后，CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。到截稿时，企业成员达到33个，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是，中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来，企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。

自其成立起，云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日，云安全联盟发布了新版的《云安全指南》v2.1，代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色：

特色1： 务实，贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业，大多在美国、欧洲、亚太和中国等的第一线工作，指南的内容较为真实地反映了最新的业界最佳实践和观点，提供了非常详详细、务实的大量建议，非常容易转化为项目的检查列表等形式，方便读者参考。 Read more…

李彦宏：……我们也看到很多其他领域把其他竞争对手弄死了，自己也没有什么好结果。尤其对一个新兴产业、快速增长的市场，尤其是这样…… 我就在想什么时候能够有一天我们也跑到某一个国家声称我要退出你这个国家，这个必须要有全球的影响力才能够称得上强大，这一点我对中国有信心 ……

马化腾：…… 在创意产业、文化数字内容产业，就像王中军说的，其实缺的就是导演、策划，技术、人工这些人才还是不缺的，这些 课补上后，完全可以成为全球数字产业大国 ……

马云：……我最怕的是老酒装新瓶的东西，你看不清他在玩什么，突然爆发出来最可怕。假如从来没有听说的，这个不可怕……

下面转帖的是新浪科技-2010中国(深圳)IT领袖峰会上-百度、腾讯、阿里巴巴三位大当家的对话，对话内容非常精彩。转帖开始…………………… Read more…

Another way of thinking about it, specifically that if you want security then you must control the future, if you want to control the future then you must be able to draw conclusions from what you know, if you want to draw conclusions then the basis for those conclusions must be reproducible, and if you want reproducible bases you have to have a measurement regime.

- Dan Geer

- Good enough is good enough.
- Good enough always beats perfect.
- The really hard part is determining what is good enough.

- by Ravi Sandhu

You can download the whole paper here.

看到新浪科技转译纽约时报的文章：谷歌苹果为何反目成仇，看了一眼今天早上最新的股票信息，如右图。可以看到，在当前市值方面，苹果和谷歌已经逼近他们的共同敌人和竞争对手 – 微软。尽管Google当前如日中天，在搜索、移动、数据、话音、能源等各个领域追逐“梦想”，但苹果依靠着ipod/iphone/ipad的“i”字辈明星产品和乔布斯的光环，市值还是明显领先谷歌。值得注意的是，他们的市值都超越了传统的IT大厂 – IBM/HP/Dell。

在另外一幅10年股价变动对比图上，大家可以看到苹果在十年里的增值也以614%遥遥领先，谷歌以423%紧随其后，微软先生以-40%大幅减值成功实现“乾坤大挪移”，让针对微软“反垄断”浪潮部分转移到了谷歌身上。:) 而苹果则得以在其独立王国中微笑着边数钱，边修理修理被用户踏破的门槛。 Read more…

下图取自ENISA关于云安全风险的白皮书，示意图阐述了云安全风险评估的两个维度，即影响和可能性。从两个维度出发，ENISA认为较为突出的几个风险点，它们是：

• 合规性
• 治理（监管）缺失
• 司法
• 事件响应
• 数据保护
• 电子取证分析和传票
• 等

大家可能注意到，和ENISA相关的帖子在这里逐渐多了起来。没错，ENISA的确引起了我的关注，如同CSA一样。ENISA与CSA目前合作非常紧密，有几个项目是双方一起发起并领导，当然也存在良性竞争关系。也推荐大家多关注一下ENISA及其业界活动。

昨天，在全民搞网络空间安全、政府商业机构一起宣贯的大好形势下，国土安全部DHS又有新举措 – 号召业界公司机构和个人踊跃参加，献计献策，目标是如何提高全民安全意识…

The Department of Homeland Security is working with many organizations, both individually and through the National Cyber Security Alliance, to find ways of raising public awareness of cybersecurity. As we develop strategies and messages that will resonate with various groups, we want the benefit of your ideas on how you would get the word out to your colleagues, or your friends, or your parents and children. This competition will gather and share publicly the best, most creative ideas for making the public more cyber secure, cyber smart, and cyber assured.

目标挖掘的方案建议包括在下列方面的好点子： Read more…

引子：

观放白鹰二首（李白）
八月边风高，胡鹰白锦毛；
孤飞一片雪，千里见秋毫。

RSA大会一向是网络安全圈子里的大场面，传统上各路老大都会赶来捧场，也作为自己后面一年市场理念、产品技术的首发之地。好，对于到场的老大们就不一一赘述了，我们看看哪些大厂没有来。

缺席的第一家是Oracle。大家知道，Oracle其实已经悄悄成为安全圈子里的实力派，尤其是在2005年购并Oblix、2009年购并Sun以后，其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面，Oracle的CEO Larry Ellison经常对云计算冷嘲热讽，一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面，Oracle在迅速发展其网络安全解决方案能力，另一方面Oracle又不“与狼共舞”，来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友，个人身份参与。

缺席的另外一家是Juniper。Juniper在购并Netscreen后，安全产品行销全球，在FW/IPS/VPN等领域实力强劲，是相关产品评论不能不提的厂商，“地球人没有不知道的”。不知为什么，Juniper对家边上的RSA不对眼。Juniper有Speaker出场，可是不参展。Juniper不到场，肯定不是“差钱”。

华为的缺席也情理之中，又在意料之外。华为-赛门铁克（华赛）在国内也一直以国际行销出名，很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污，甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗！呵呵。

闲话讲完，还是来看看这次大会有什么新鲜内容吧。 Read more…

This morning, you might have noticed that the blog title was changed to “Cloud & Telecom Security”. Yes, it’s true.

From one or two years ago, my interests and focus have changed to around cloud computing and telecom or ICT security, while P2P was touched very occasionally.  I believe the new title can reflect the new focus better and hope you like it.