下图取自ENISA关于云安全风险的白皮书,示意图阐述了云安全风险评估的两个维度,即影响和可能性。从两个维度出发,ENISA认为较为突出的几个风险点,它们是:
大家可能注意到,和ENISA相关的帖子在这里逐渐多了起来。没错,ENISA的确引起了我的关注,如同CSA一样。ENISA与CSA目前合作非常紧密,有几个项目是双方一起发起并领导,当然也存在良性竞争关系。也推荐大家多关注一下ENISA及其业界活动。
昨天,在全民搞网络空间安全、政府商业机构一起宣贯的大好形势下,国土安全部DHS又有新举措 – 号召业界公司机构和个人踊跃参加,献计献策,目标是如何提高全民安全意识…
The Department of Homeland Security is working with many organizations, both individually and through the National Cyber Security Alliance, to find ways of raising public awareness of cybersecurity. As we develop strategies and messages that will resonate with various groups, we want the benefit of your ideas on how you would get the word out to your colleagues, or your friends, or your parents and children. This competition will gather and share publicly the best, most creative ideas for making the public more cyber secure, cyber smart, and cyber assured.
目标挖掘的方案建议包括在下列方面的好点子: Read more…
最近这两周成了开会专业户了,刚从RSA那边回来,又被拉到曼哈顿的Marriott酒店参加NetworkWorld搞的ITRoadmap大会。看到边上的照片了,大家对其中的图标相比非常熟悉 – 中国三大运营商之一的联通?没错。联通在美国成立了分公司(http://www.unicomamericas.com/,总部设在了LA,熟悉CMC/CTC/CUC的海外拓展、美国运营等情况的朋友也来介绍分享一下),赞助了这次会议,下面的照片是展会中联通的展台,背对着镜头这位老兄是联通美国公司的BD总监Jack先生。
引子:
观放白鹰二首(李白)
八月边风高,胡鹰白锦毛;
孤飞一片雪,千里见秋毫。
RSA大会一向是网络安全圈子里的大场面,传统上各路老大都会赶来捧场,也作为自己后面一年市场理念、产品技术的首发之地。好,对于到场的老大们就不一一赘述了,我们看看哪些大厂没有来。
缺席的第一家是Oracle。大家知道,Oracle其实已经悄悄成为安全圈子里的实力派,尤其是在2005年购并Oblix、2009年购并Sun以后,其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面,Oracle的CEO Larry Ellison经常对云计算冷嘲热讽,一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面,Oracle在迅速发展其网络安全解决方案能力,另一方面Oracle又不“与狼共舞”,来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友,个人身份参与。
缺席的另外一家是Juniper。Juniper在购并Netscreen后,安全产品行销全球,在FW/IPS/VPN等领域实力强劲,是相关产品评论不能不提的厂商,“地球人没有不知道的”。不知为什么,Juniper对家边上的RSA不对眼。Juniper有Speaker出场,可是不参展。Juniper不到场,肯定不是“差钱”。
华为的缺席也情理之中,又在意料之外。华为-赛门铁克(华赛)在国内也一直以国际行销出名,很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污,甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗!呵呵。
闲话讲完,还是来看看这次大会有什么新鲜内容吧。 Read more…
想必大家都关注到了这次获得媒体广泛关照的丰田汽车召回事件,Google上面搜索“丰田汽车召回”,刚刚的搜索结果数是8.8M+。虽然说 汽车家电等召回事件在中国国内,拜国内消费者“保护”所赐,不是很多,消费者大都哑巴吃黄连了。可是,这在西方发达国家是惯例 – 你生产的产品出了质量问题,召回-免费修补是天经地义的事情。
回过来在看看我们所处的IT和软件业呢?大家随便找到一份商业软件的license agreement等,逼着你签过字的那种,都明明白白写着 – 本软件“as-is”;不保证不出漏洞;出了漏洞不保证什么时候可以出补丁;出了补丁,不保证那个补丁管用;软件使用中出了事故,赔偿金额不会超过软件价格;….
在IT和软件作为新兴行业时,对这种高风险的新生事物特例一些保护是可以理解的。但是,当这个行业里占据了越来越多的500强、产生了越来越多的亿万富翁时,对此基本市场义务的反思就成为很容易理解的动向了。
SANS和Mitre Corp,这两个大名鼎鼎的组织联袂发起了这个很有思想性的项目。说其“很有思想性”,是因为我想这个问题也有不少时间了。为软件和安全厂商工作,这种感觉不会有,或不会很明显。但是作为内部IT运行人员就不一样了。你的病毒系统误杀了几千台电脑的软件,搞当了数百个服务器,我居然无法通过合同/许可条款获得正常的赔偿?很让人窝火。你的软件出了漏洞,厂商不但迟迟不响应补丁,还似乎成了用户的责任 – 当初签字画押时就说好的 as-is… Read more…
ENISA的全称是欧洲网络信息安全局,前几天刚刚写了一个帖子讲了它发布的社会安全网络白皮书(http://sbin.cn/blog/2010/02/08/enisa-msn-security-wp/)。该组织的名称和法律地位非常令人“敬仰”,但是,由于属于新生报到,在业界还没有引起太多的关注和媒体报导。大家可以Google一下,尤其是中文内容更是少之又少。http://www.enisa.europa.eu/ 是该组织的官方网站。
近日,ENISA与云安全联盟CSA一起,发起了一个非常引入注目的业界项目 – Common Assurance Metric – Beyond the Cloud, 直译为”通用保障指标-在云之上”,我们简称CAM。该名字起的很有魄力,也很有诗意(喜欢文明系列游戏的人会联想到CIV4-Beyond the Sword,喜欢唱歌的朋友会响起“月亮之上”的旋律,呵呵)。不知看到这个题目,你是什么感觉?我的第一眼是ENISA和CSA有眼力,选题很棒。
CAM项目的使命和目标包括:
- 开发一个能够为业界机构验证测量信息保障成熟度的客观的、可量化的指标框架。
- 避免消费者被主观的、人为的提供商安排所左右
- 促使不需要第三方审计公司即可达成的、相对透明和公正的安全运行评价 Read more…
Google退出中国、停止Google.cn运行的“事件”候沸沸扬扬,不少人对Google为“人权”所作的牺牲、大义凛然的义举“感动”。为之痛心疾首者有之,为之感动同情者有之。事实上呢,Google想“将”一军,没想到“企业”和“政府”PK和市场竞争完全不是一回事(估计Bill Gates在一边偷偷笑呢)。几周的时间过去了,悄悄地发生了什么呢?看看下面这则博客的帖子,应该了代表了不少Google拥护者的心理波动。
Nevermind, I Was Wrong, Google Is Evil – 似乎看到了Google后院“起火”…
新浪科技翻译外电报道 – MarketWatch今日撰文称:“我怎么才能把这东西关上?”当人们面对着谷歌(GOOG)最新的Buzz升级的时候,最常出现在他们嘴边的正是这样一个问题。不能不说,谷歌对社交网络领域最新的一次进军,其结果显然并非他们所预见。尽管谷歌GooglePlex部门的负责人和技术人员不能说是没有能力,但是若是他们知道结果如此,Google Buzz相关的种种显然便不会按照今天这样的轨道前进。 Read more…
以下新闻转载自新浪科技。导读:国外媒体今天刊文称,苹果和Adobe之间曾经关系非常良好。然而,自苹果上月底推出平板电脑iPad之后,双方的关系开再度陷入紧张。
iPad拒绝Flash
尽管苹果CEO史蒂夫·乔布斯(Steve Jobs)表示,iPad将给互联网浏览带来变革,然而iPad却不支持Adobe的Flash技术。这一消息也使Adobe股价应声下跌。
由于Flash在互联网上被广泛应用,因此iPad不支持Flash意味着该产品在这一方面脱离主流。根据Adobe的数据,有98%的联网电脑都已安装Flash播放器,且Flash被应用在互联网75%的视频和90%的互动广告中。
在上月苹果的内部会议上,乔布斯对员工称Flash“充满Bug”,并认为在大多数情况下导致Mac电脑崩溃的原因都是Flash。
对此,Adobe通过多篇博客文章做出反击。Adobe指出,iPad忽略了Flash,并对iPad提供的上网体验提出质疑。Adobe同时表示已开发了可用于iPad的 Flash。Adobe首席技术官凯文·林奇(Kevin Lynch)称,目前唯一的问题是“Adobe需要得到苹果的合作,才能将该版本Flash应用在iPad上,而Adobe已做好准备”。 Read more…
ENISA的全称是欧洲网络信息安全局,近年来领导开展了若干个成员国内部的、欧盟外部参与的信息网络安全标准研究项目。今天发布的移动社会网络MSN很全面的总结了社会网络SNS和移动社会网络MSN的定义、当前在欧盟的使用情况等,分享不少统计数字;较为全面的总结分析了SNS+MSN面临的各种安全威胁以及隐私方面的威胁。白皮书还对欧盟与此相关的法律法规进行了综述 – 包括DPD (数据保护法)以及电子隐私法等
在白皮书的最后,ENISA列举了17条安全建议,很值得借鉴。这些让我们看到ENISA工作非常务实的一面。下载地址:http://www.enisa.europa.eu/act/ar/deliverables/onlineasithappens/at_download/fullReport
另外感兴趣的朋友,还可以下载DPD的实施指南…
Cloud Bursting是Amazon技术专家Jeff Barr创造的名词,讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量,IT自己采购硬件扩容,ROI不是很合算,因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的,随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…
网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点,养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界,天涯海角四处漫游的用户使得边界越来越“虚”,但是,边界依然是我们的第一防御重点,很多安全配置都成为标准配置,包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。
云计算环境中,上述的传统边界依然存在,但是作为云服务用户,却需要更多考虑不依赖边界防护的解决方案,更为纵深防御的解决方案,因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说,云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机,为此,Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前(1月19日)参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。
值得注意的是,这个“Deperimeterization”并不是不要边界防护,而是在传统“边界”防护的基础上,强调了“虚拟边界”和云服务内部安全。事实上,对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…
在第一版中头一次看到这个词,觉得很好玩,很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5,6次。觉得好玩的同时,有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时,才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释:
compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分
云计算的一个重要特征是“多租户”,每个“租户”都想火车乘客那样都有自己的一个隔间,很形象,对吗?
下面的Wiki字条还有一层更为恰当的含义: Read more…
引子:
前几天艳阳高照,今天早上的纽约却飘了纷纷扬扬的大雪!
住处在布鲁克林,离称作康尼岛的海滩不远,到后来确认是世界第八长悬索桥Verrozano Narrow大桥也是步行的距离。每当端起一杯绿茶、或者一杯咖啡什么的时候,经常能够听见从远处飘来的汽笛声。
望着窗外飘扬的雪花,夏威夷旖旎的风光悄悄爬了进来。那里没有雪,一直像春夏之交的季节那样温暖。2009年11月底在那里举行的IEEE Globecomm会议上,Karl在演讲中介绍了他为主开发的8i模型,颇受启发。
电信业的网络安全与X.805
我们所做的专业领域一般叫做网络安全,或者有时与信息安全、信息网络安全、网络信息安全混在一起叫。而电信业是网络安全的一个重要服务对象或者研究领域。笔者在几年前写过几篇东西来介绍国际电联X.805标准安全模型。该模型很全面地概括了电信业网络安全的三个层面 – 基础设施安全层、服务安全层、应用安全层,三个平面 – 最终用户安全平面 、控制/信号安全平面、管理安全平面,以及八个维度 – 访问控制、认证、不可否认、数据机密性、通讯安全、数据完整性、可用性、隐私。X.805很全面、很具体、也很直观。比传统教科书中的CIA模型要更贴近产业的实践需求。
我们看到X.805在CIA的基础上,将电信业的各种系统和业务活动分成了不同的平面、不同的层次。如果大家原来做路由器、交换机、各种服务器等的安全,在此都可以找到相关的映射分类,很容易找到合作的共同语言,也较为容易确认项目范围、发现遗漏的内容。在安全维度需求上,X.805引入了“隐私”这个较为“现代”的话题,并且将数据机密性和通讯安全分开阐述,以强调他们之间完全不同的角度(如果不太清楚,Google一下吧)
那么什么是8i呢?
夏威夷的八个岛吗?非也。8i指的是电信业基础设施的八大要素 – 它们分别是:人(Human)、方针政策(Policy)、硬件(Hardware)、软件(Software)、网络(Network)、业务载荷(Payload)、环境(Environment)、电力(Power)。哇塞,看到这八个要素,不仅大吃一惊,有几样东西似乎不是网络安全常谈的名词吗,似乎在传统的业务连续性或者灾难恢复什么的才有的吧。你说对了。8i的出发点不是紧紧讨论电信业的基础设施,而是将电信业看做整个国家、或者整体全球经济的基础设施。讨论的是更为广义的“安全”。皮之不存,毛将焉附。 Read more…
Recent Comments