Cloud & Telecom Security

帮朋友做个广告，有朋友感兴趣分享自己云计算安全的研究成果吗？请关注TSCloud 2012。

The 2nd IEEE International Symposium on Trust and Security in Cloud Computing (TSCloud 2012) to be held in Liverpool, England, UK, 25-27 June 2012
http://tscloud.org/tscloud2012/
Sponsored by IEEE, IEEE Computer Society and IEEE Technical Committee of Scalable Computing (TCSC)

INTRODUCTION
=============
Following the success of IEEE TSCloud 2011, the IEEE TSCloud 2012 Symposium brings together researchers with an interest in theoretical foundations and practical approaches to trust and security in cloud computing. The emphasis is on high-impact, novel/adopted theories and paradigms that address mathematical and logical underpinnings in trust and security in cloud computing, e.g. encryption, obfuscation, virtualisation security, governance, accountability, etc. Read more…

注：前些时候接受了一个《计算机产品与流通》杂志的采访，采访后报道的题目定为“迎来一场速度之战”，转贴如下。请各位朋友指正。原文链接： http://www.spn.com.cn/post/t-1_t2-8_nid-409697.html

要谈安全市场的发展趋势，就必须回顾国内安全市场的发展历史。一个业界共识是，中国的安全市场发展大约从2000年起步，至今历经11年，这个过程中主要经历了四个发展时期。

既2000年前的导入期，安全专注于防火墙和防病毒隔离；2000年至2003年是第二阶段，开始重视PDR模型（即Protection（保护）、etection（检测）、Response（响应）是入侵检测的一种模型），防火墙、反病毒、入侵检测和漏洞评估、安全服务成为市场主导；2004年至009年是第三阶段，关注点从简单的防止攻击和入侵，发展到应用和数据安全开始重视安全运维和流程，内部控制安全体系从”老三样（防火墙、防病毒、入侵检测和漏洞评估）”发展到基于AAAA的综合防御体系。而在2009年之后，安全市场进入第四个阶段，随着云计算的发展以及相关的安全需求，跨入云安全时代。

由此可见，目前正处于安全市场发展的第四阶段，在这一阶段，大量的安全威胁层出不穷，各种攻击已经带有明显的逐利特征，安全的防护已经扩展为云端、网络层、客户端三层体系，安全从过去的单向静态防护正在向双向的动态的防护转变，这些特征将在2012年有更加明显的显现。

这种形势下，对于安全厂商而言，就提出了新的要求，即如何在替客户节省成本的同时，更快速的做出安全防护响应，这里面既包含了厂商对于威胁信息的快速获取能力，又包含了厂商对这些信息做出快速应对的能力。安全厂商之间竞争正在成为一场反应速度的比拼。除了在技术上的投入之外，安全厂商要想获得更快速的响应能力，还必须具备以下几个因素，即企业要有勇于创新，充满热情的文化底蕴；其次要具备一定的规模；最后，安全厂商要有更开放的心态、体系、和合作模式，在安全领域内与第三方形成专业分工和合理的利益分配。这些都将成为2012年安全厂商打造核心竞争力的关键。

这篇文章发在绿盟科技技术内刊的2011年9月，总第14期上。主要总结了对安全业界当前实践的三个观察，提出了下一代安全体系的可能发生的三个变革 – 更加智能、面向服务、行业精细分工。应该看到，这些思考还是粗糙的，不成系统的，在逻辑上也不完整，仅供大家讨论参考。这一期技术的下载地址是： http://www.nsfocus.com/images/6_about/journal/6_10_014_j.pdf

1前言
坦白说，写本文的主要目的是反思，反思的目的是探讨和研究潜在可行的变革和创新。
虽然网络安全作为一个产业已经走过了十几年的历程，但是，应该看到网络安全产业界还处于一个相当不成熟的初步阶段，作为行业里的一个老兵，这样说内心里很不舒服也不情愿。对于行业实践中的这些“不成熟”笔者在前文“网络安全发展的战略回顾”[ZL1][ZL2]中已有不少列举，举例说：
•    网络安全相当程度上依赖于基于IP五元组之上的边界防护模型，明显落后于互联网和IT应用技术的发展
•    产业界尚未形成相对成规模的产业内分工，大多数用户和提供者处于低于规模水平的运作状态。
•    产业界的大部分维护建设工作由人工完成，自动化程度很低。
•    网络安全设备种类繁杂，之间缺少有效的集成和互动，智能化水平很低。
•    保护对象的业界缺少相对完备和公认的方法工具等评价安全投入的产出价值。
•    等等
所谓“下一代”是一个很模糊的词，本身并没有确切的时间段来区分，有点和稀泥的意味。“战略回顾”一文中描述了过去十多年时间里0.1、1.0、2.0三个时代各自的特征，也尝试着提出了Security NG的一些猜想。本文的“下一代”在“战略回顾”一文基础上，尝试将“下一代”更加具体化，与业界的实践建立更多的联系。
本文后面三节分别拣选了三个方面探讨当前安全实践中可能存在的“问题”。第2节将分析当前安全实践中基于IP五元组的“城堡”防护模型，第3节将分析以硬件盒子为主的安全产品形态方面的问题，第4节将分析安全产业在分工和互信、互动方面的问题。同时，在每个小节也提出了相应的下一代安全体系的可能特征。 Read more…

【注】好长时间没有更新了，在新浪微博上活动了一阵子，熟悉了一下新媒体 . 想更新一下博客，又没有新的话题，只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后，主要是为了完成绿盟技术内刊的任务。请各位朋友指正。

2010年安全回顾

摘要：Stuxnet、WikiLeaks、3Q大战影响深远，本文从这三件安全事件延伸开来，综合云计算和云安全、安全海量数据挖掘，以及虚拟世界安全等方面，对安全行业的前沿技术进行简述和讨论，这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年！

关键词：2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP Read more…

光有雄心和豪情远远不够，一定要有切实可行的战术和手段来实现它。对中国CEO而言，这其实比盖茨之道更容易复制。
【中国企业家网】2月24日是乔布斯的生日，这个双鱼座男人，在他过去的56年里，人生彪悍，狠字当头，他是硅谷的首席创新总监，商界贝多芬，IT业的拿破仑，当然，他也被称为“美国最粗暴的老板”，就在去年，他骂过谷歌的“不作恶”是狗屎以后，又痛骂Adobe Flash。

但是，乔布斯正变得虚弱，他的近况不太好，甚至有谣言说“只有六周生命”，他最近的照片被曝光，依旧是标志性的new balance鞋子，牛仔裤，套头衫，不过，猛人乔布斯变得消瘦、步履蹒跚，他牵动了全球的眼光，大家都在猜想离开乔布斯的苹果该走向何方？

不管如何，有理由相信：乔布斯为这个世界透支了生命。乔布斯在斯坦福有个著名的演讲：“提醒自己快死了，是我在判断重大决定时，最重要的工具。因为几乎每件事，所有外界期望、所有名誉、所有对困窘或失败的恐惧，在面对死亡时，全都消失了，只有最重要的东西才会留下。” Read more…

2010年12月13日，时值10年岁末，美国贸易委员会发布针对商业机构对用户隐私数据保护的白皮书，针对商业机构收集使用保护用户数据的过程中，如何保护用户隐私的问题，拿出了初步的指南意见。

该指南意见的使用范围非常广泛，适用于所有商业机构，只要它收集或收集过消费者数据，或有可能联系到某个特别消费者、计算机或其它设备的数据。基本上，所有的运营商、银行、证券公司、保险公司、学校、医院、超市、汽车4S店等，在当前打着各种提高客户满意度、加强CRM管理的旗号下进行的各种商业促销行为，肯定都在此使用范围内。

下面是该白皮书的几点主要内容：

• 商业机构应该切实提高保护用户隐私的相关实践，包括数据安全、收集限度、数据保留制度以及数据精确度等。这些实践应该融于各种应用设计、开发甚至整个生命周期。
• 商业机构应该简化在收集用户数据时给用户的选择，以便用户作出快速清楚的选择。
• 商业机构关于尊重隐私等声明和提示应该更加清楚、简短、标准化，保证用户更好的理解，以及横向对比隐私保护实践。
• 在商业结构打算以收集数据时隐私条款上不同的方式使用数据前，必须向用户提供非常显式的提示并获得用户明确的确认。
• 所有相关各方应该就商业数据隐私保护实践尽力教育消费者。

考虑到我们刚刚发生的3Q大战、大家天天收到的令人恼火的“骚扰”“广告”电话，期待我国的用户隐私数据保护立法行动。

近日华为总裁任正非在云计算研讨会上发表演讲，他表示，华为首先是基于电信运营商需求来做云平台、云应用。在云平台上要在不太长的时间里赶上、超越思科，在云业务上我们要追赶谷歌。

华为廿年来，从青纱帐里走出来，一个孤独的“农民”，走在一条曲曲弯弯的田间小路，像当年堂吉诃德一样的封闭，手拿长矛，单打独斗，跌跌撞撞 地，走到今 天。当我们打开眼界一看，我们已经不得不改变自己长期的封闭自我的方式。以前华为跟别的公司合作，一两年后，华为就把这些公司吃了或甩了，这是“黑寡妇” 的做法。

华为昨日正式面向全球发布了云计算战略及端到端的解决方案。其云计算解决方案包括SingleCLOUD云平台解决方案和电信应用云解决方案。 华为总裁任正非在发布会上发言时表示，“我们在云平台上要在不太长的时间里赶上、超越思科，在云业务上我们要追赶谷歌。”他同时称，“让全世界所有的人， 像用电一样享用信息的应用与服务。”

以下为任正非在华为云计算发布会上的发言：

云计算是一种新的技术，它像IP技术一样，可以用在任何信息传播需要的地方。如同IP改变了整个通讯产业一样，云计算也将改变整个信息产业。未 来信息的广阔包容，规模无比，覆盖天涯，蓬勃发展，风起云涌，烟消云散……，多么变幻无穷，多么像云一样不可估量，这多么形象地描述了未来的信息浪潮。获 得信息需要技术的变革，商业模式的创新，它的特性决定了，任何人都无力独揽狂澜。开放、合作是云产业未来的最重要的标志。 Read more…

2010年11月2日，美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件，文件阐述了美国政府对于云计算服务的基本立场和政策，分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等，并针对云计算的安全防护，以NIST和FISMA的相关安全标准和控制为基础，发布了征求意见稿。

文件首先指出采用云计算对于美国政府来说是风险也是机遇，机遇体现在更高的IT效率，成本方面的节省以及绿色计算等带来的环境保护。但是，要不要采用云计算不是一个基于技术的决定，而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险，并与自己的安全需求进行比对分析。

Cloud Computing systems are hosted on large,  multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each  customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process  once and share the results with customer agencies.

文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定，从而加速云计算的评估和采用，降低风险评估的费用。 Read more…

9月份的最后几天，有幸到新加坡参加了Govware 2010大会，整个大会从28日到30日为时三天，着实是令人兴奋的三天，不仅仅是白天的议题和展览，每天晚上的招待酒会也是让人流连忘返。回到北京，还处于国庆长假之中，有时间来回顾总结一下。

1 Govware 2010大会

我是第一次听说并很荣幸地作为受邀Speaker参加大会，有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上，Govware不仅仅是新加坡一个国家的安全展会或研讨会，它的影响已拓展至整个亚太地区，演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全，战略可以有两个意思，一个是宏观的、全局的，另一个是长期的、长远的。

2 保护关键信息基础设施CIIP

前面几次大会都参加了云计算/云安全的话题，此次Govware2010也有一个单独的云计算Track（清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲，可惜由于时间冲突没有听得上）。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题，好在公司在此方面积累甚多，不少同事热心帮助。最后定下来的题目是：Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等，介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…

在云计算时代，基于IP的安全策略效用将大打折扣，随时随地的数据和服务访问要求安全访问控制要能够基于“用户”和“数据”。同时，为了强化“用户”和“数据”的访问控制，双因子认证将会变得更加普遍，甚至成为缺省设置，例如网络访问与下一代身份证ID之类的硬Token结合在一起。当然，为了保护公民隐私，在实名制的ID认证和实际的网络身份之间有必要在技术上实现一种匿名层（Anonymization）…

上面都是技术层面上的讨论，事实上，最为脆弱的部分并不在于技术，而是在于社会工程打击的目标 – 缺少安全意识和技能的“人”。就如同大家在车站机场商场等公开场合到处可见的“注意保管您的随身物品”提醒牌，互联网上要安全冲浪、保护隐私最重要的就是要有“意识”。撇开普通老百姓，从政府、企业、组织等高度来看，就是要让安全意识从安全经理和安全主管那里，外延到最高管理层、财务和业务负责人、所有的普通员工等。

这是个典型的“说起来容易做起来难”的事，难在有钱有权的没有动力，有动力没有资源。大洋对岸从去年开始设立了全国的安全月 – 十月份。今年的主题是 – 我们共同的责任 （Our Shared Responsibility）。这个事情值得我们借鉴。

今天在浏览Beaker的博客时，看到一则很有趣的活动。Beaker在推动一个叫做Hackid的公益项目 – 安全从孩子们抓起。

Hackid通过举办以孩子们为主的技术沙龙和动手活动，来激发孩子们对于基础电子、互联网、创新等的兴趣，提高孩子们的动手能力，提升孩子们对于互联网基础知识的了解…下面是其官方页面中的活动内容介绍： Read more…

昨天晚上的手机短信就没有断，不少朋友都在议论这个收购。 同意Jeff的看法，Intel这个“跨界”距离忒大了些。此前，也一直风传TrendMicro/McAfee等独立安全公司在寻找购并机会，包括Hp收购McAfee，看到这个消息还是让人吃惊。

后面怎么也得有段时间McAfee独立运作了，也看不出有什么中间交叉业务，McAfee, an Intel company. 有新闻认为Intel出手是看好手机和硬件安全云云，有些牵强。

这个收购时Intel42年历史上的最大手笔，WSJ评论也表达了Intel有些“冲动”的担心，点击看华尔街日报的相关新闻和评论….. Read more…

转帖注：贵为HP CEO的赫德因为2万美元还有一个性骚扰就被解雇了，炒了鱿鱼，对比唐骏“学历门”事件中新华都、以及社会舆论在“诚信”问题上的暧昧态度，让人忍不住会质疑社会和政府正在默许鼓励纵容一种什么样的价值观，对孩子未来的世界观会产生什么样的影响，这些的恶果最终都会反弹回来，砸到社会和我们自己身上。

科技时代_时代周刊：惠普为什么必须赶走赫德

当历史照进现实

约4年前，时任惠普CEO和董事会主席的马克·赫德(Mark Hurd)在美国国务院作证时向美国众议院能源与商业委员会表示：“如果公司创始人比尔·休莱特(Bill Hewlett)和戴夫·帕卡德(Dave Packard)今天还活着的话，那他们会感到震惊，他们会觉得羞愧难当。”那个时候，惠普正因暗中监视记者和董事会成员一事饱受批评。这个不光彩的事件也导致当时的惠普董事会主席帕特丽夏·邓恩(Patricia Dunn)下台。当时邓恩甚至面临重罪指控，但所幸逃过一劫。 Read more…

两则云安全联盟的新闻：

- 8月11日，云安全联盟中国区分会CSA-GCC成为正式分会。

- 7月28日，云安全联盟在Blackhat大会上宣布推出“云安全知识认证 – CCSK。该认证将以《云安全指南》v2.1作为认证教材，9月1日推出。企业成员将会免费获得两个认证考试指标。

Google今天推出了面向联邦政府的云计算平台,具体的新闻请参阅: http://googleblog.blogspot.com/2010/07/introducing-google-apps-for-government.html

几点体会:

1. 山姆大叔每年在IT方面的投入超过千亿美元(联邦政府760亿美元，各地方政府500亿美元）,并且这些投入受经济周期的影响很小。政府市场绝对是一块上等的奶油蛋糕。但是根据业界统计，目前美国联邦政府的云计算市场规模大概在4亿2千万美元，到2015年可能达到14亿美元，云计算刚刚开始在政府铺开。

2. 云计算安全是一个重点，面向政府的云计算，安全更是重中之重。Google宣布自己的平台取得了FISMA-Moderate的认证级别，在业界是第一家。此外，Google将面向政府的云计算平台和商用平台进行了数据隔离以确保安全性。政府对云计算的接受将有助于缓解企业对云计算安全性的担忧。

3. 前进的道路上当然不会一帆风顺。Google给洛杉矶市政府实施的云计算项目(替换了Novell的Groupwise软件）目前遇到了一些挫折。该项目如能顺利完成，洛杉矶市的3万4千名政府雇员将开始使用Google的邮箱日历等应用程序。

上周美国管理预算办公室OMB、总统网络安全特别协调员Howard、国土安全部联合发布文件，调整明确了在网络空间安全方面的任务分工：

Under various national security and homeland security Presidential directives, and pursuant to its statutory authorities, DHS oversees critical infrastructure protection, operates the United States Computer Emergency Readiness Team (US-CERT), oversees implementation of the Trusted
Internet Connection initiative, and takes other actions to help secure both the Federal civilian government systems and the private sector.  At the same time, OMB has a number of
cybersecurity responsibilities, principally in connection with FISMA.  The Cybersecurity Coordinator leads the interagency process for cybersecurity strategy and policy development. Read more…