Cloud & Telecom Security

印度有一个数据安全理事会DSCI(Data Security Council of India)，CEO是Kamlesh Bajaj先生。他在达拉斯世界网络安全大会上作为特邀嘉宾多次主持会议。会后，Kamlesh把主要观点和动议编辑成一份白皮书，有EWI公开发行.

这份报告站位比较高，很系统地从网络空间安全有关的威胁、立法、政府、商业等各种角度做了总结回顾，改变了不少我们以前对于印度在网络安全方面的看法，推荐阅读。

下面是文档中使用的Kamlesh的官方简介：

Kamlesh Bajaj is the Chief Executive Officer of the Data Security Council of India and Head of NASSCOM Security Initiatives. He has over 30 years of experience in various capacities in the IT industry. Over the last two years, he has led the development of best practices for data protection, promoted their use by IT and business-process outsourcing companies in compliance with regulations of client countries. He was the Founder Director of the Computer Emergency Response Team in the Indian Ministry of Communications and IT. He has also served as Deputy Director General of the National Informatics Centre. He led several large projects in finance and banking, most notably the Customs EDI Project that introduced near-paperless operations in custom houses in India. Dr. Bajaj began his career as a Software Engineer at CAE Electronics in Canada. He is also a Fellow at the Institution of Electronics  and Telecommunication Engineers, India, and at the National Academy of Sciences, India.

读到今天新浪科技的新闻“Windows反应迟缓 平板厂商被迫转投Android”，忍不住以“战略的胜利”为题转帖一下。

我对iPad的观点经历了几次转变：在发布前，我和儿子都喜欢、都很想买；发布后，看媒体评论，褒贬不一，还是决定和儿子去买；到了苹果店现场试用，和儿子都觉得就是个大号iPhone/iPod Touch，输入不方便，没有USB，单任务等，第一次没有买；忍不住又去看其它各家的上网本、超便携笔记本，看了一圈下来，了无新意，觉得还是iPad才是正选；再次杀到苹果店，刷卡买了一台，越用越喜欢；相信iPad的确是战略上的大领先…

这次苹果在iPad上的领先，看来比原来iPod/iPhone上的领先还要长一段时间，需要其它有心竞争的选手们更多的资源投入、“合纵”集成能力。iPad是蓝海战略的成功，它创造了超便携笔记本和智能电话之间的一片“蓝海”。不知道在Jobs或架构师的战略版上是怎么画的。下面是本人杜撰的“草根版”iPad价值曲线：

• 去掉了：“灵活”全尺寸的键盘；“丰富”的外部接口；“强大”的多任务执行能力
• 减弱了：存储空间；计算能力
• 增强了：超长的电池持续时间；绚丽的屏幕视觉效果；便携性；易用性
• 创造了：独特的应用价值链；独特的互联网体验；独特的电子阅读和游戏体验

以下是新浪科技新闻原稿…… Read more…

导读：美国IT网站 eWeek今天撰文称，在史蒂夫·鲍尔默(Steve Ballmer)的领导下，微软不仅开展了历史上首次裁员，甚至失去了全球最值钱科技企业的头衔。为了要带领微软重新振兴，从而保住自己的声誉，鲍尔默必须做10件事情。以下为文章全文：
微软CEO史蒂夫·鲍尔默处于危险的境地。从比尔·盖茨(Bill Gates)手中接过微软的帅印以来，该公司已经雄风不再。当鲍尔默刚刚接任微软CEO时，该公司的市值超过5000亿美元，但如今却仅为2000多亿美元。甚至连全球最值钱科技公司的宝座也被苹果抢走。
在鲍尔默的领导下，微软还开展了有史以来第一次裁员。所以，鲍尔默似乎是时候思考一下如何保住自己的声誉了。在他的领导下，微软从IT行业历史上最成功的企业变成了苹果的手下败将，在搜索领域也长期未能获得有利地位。
以下就是鲍尔默振兴微软，并保住个人声誉必做的10件事：
1、Windows并非一切
很多企业都会拼命地抓住过去的荣耀，尽管他们自己也知道这并非上策。而微软就是这样一家企业。Windows目前仍在微软的战略中占据核心地位。从某种意义上讲，这种做法完全可以理解。Windows每年都会为这家软件巨头带来数十亿美元的利润，所以微软肯定不愿意放弃这款产品。但鲍尔默应当明白，他不需要放弃Windows，只是应当将更多注意力放到其他地方。Windows可以安然度过今后为数不多的几次软件变革，而不会遭遇太多困境。但却不应当继续成为鲍尔默的重点。 Read more…

【注】本文节选自为即将发布的绿盟技术内刊，我被邀写一写新的动向，于是捉刀砍向最近关注的ICT供应链完整性，或大家更喜欢“安全”。这个话题在这篇初次提到，又在这篇再次涉及到，这次的内容稍微丰富了一些，希望能够给大家在工作研究之余，多一些参考。

1、什么是供应链安全？
供应链安全并不是一个新词汇，在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入，供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下，政府权威机构和业界发起了一系列的安全增强活动。例如，由美国国土安全部海关与边界保护局（CBP）推动，与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT（Customs-Trade Partnership Against Terrorism）成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划，于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统，以确保供应链从起点到终点的运输安全，安全讯息及货物状况的流通，从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同？
相对于IT和电信来说，信息通信技术（ICT）是个相对较新的词，虽然关于其定义，也有一些争论，读者可以参见维基百科，也可自行使用百度或Google搜索相关结果。
在转型的时代主题下，电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同，最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释：“ICT- Information Communication Technology， The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合，ICT促成了超越空间的快速信息交换。从字面意义上看，反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 Read more…

云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版，对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页：

本白皮书由开放式 Web  社区的 1300  多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者，但这一队伍迅速壮大，目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。

在本白皮书撰写过程中，宣言中的三个原则至关重要：1)  用户应通力合作；2)  保持云计算 开放的任何行动应以客户利益为导向；3)  尽可能沿用现行标准。

本白皮书应不定期更新，并进行扩展和修订。我们在此将其翻译成中文版本，供中国的云 计算社区使用，借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。

衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…

继续开会！

6月9日，CSO杂志在纽约举办了一次以数据保护和加密为主题的论坛，邀请到了若干位CSO/CISO/CPO谈企业的数据保护和加密相关策略实施等。赞助商中除了“一个都不落下”的McAfee之外，还有办RSA大会的RSA, 电信行业中第一个出版安全报告的Verizon，以及几家做数据安全管理产品的startup公司。

做报告和Panel的几位CSO/CISO/CPO都口若悬河，坚定地认为并强烈推荐 – 加密->所有的笔记本、U盘、智能手机、Data-at-rest、Data-in-motion、…. 为什么？ 因为这样你可以睡觉时安稳些，有人掉了电脑，你不用上媒体、回答监管机构的询问，因为数据是加密的… 这个观点我是支持的了，因为有过那样的教训。尤其是“当用户数据泄漏需要向当局汇报并通知受害者”逐渐成为法律时，事情就更加严肃了。

Read more…

Of course, in black Jobs is cool. Beetles is his favorite. It is a very interesting interview, a lot of fun, particularly when Jobs talked about their “relationship” with Google…

欢迎您对CSA-GCC的徽标提出建议

按照CSA对于各地分会的要求，分会应该：

• 成立相应的理事会，理事会人数在5-15人；
• 并制定徽标logo；
• 定义未来一年的工作计划等。

如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者：

• 1 对云计算和云安全有深入研究和丰富的行业经验
• 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情，有时间精力参与相关的技术和其它分会活动
• 3 愿意贡献和分享自己的经验、观点、文档以及其它资源，来帮助分会成长
• 4 相信社区团队合作能够有效推动云安全技术进步，提升在大中华地区的实践，

大潘和我热情欢迎您自荐或推荐理事会成员，并对分会的运行和工作计划提出建议、指导和批评。

就目前而言，讨论中的项目计划包括以下内容：

• 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM，组织小组抽时间翻译
• 2 借鉴安全控制矩阵，组织小组进一步开发面向大中国地区的落地版本，更适合于定义需求和选购云服务
• 3 研究当前主要云服务提供商和云安全服务商的用户协议，评价其合理性，开发一个更为标准通用的模板，定义安全相关的职责和权利，为业界提供借鉴
• 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
• 5 在8月份召开一次云安全研讨会
• 6 其它开放的项目机会

信任 – 的确是网络安全的一个核心概念。关于这个概念有很多讨论，可是很少看到有准确的定义或者较为深入的探讨。ISECOM的Pete Herzog做了一个漂亮的工作。他给“信任”定义了十大属性，尝试使用数学、数字的方式来定义、测量信任。这个工作酷不酷？

Pete之前有个很著名的项目 – OSSTMM（Open Source Security Testing Methodology Manual）- 一个很棒的项目。Pete现在的头衔是ISECOM（Institute of Security and Open Methodologies）的合伙创始人和MD。下面是ISECOM的概要说明： Read more…

今年是绿盟科技成立十周年，也是中国跌宕起伏的网络安全业界发展最为关键的十年。以下文字节选自笔者撰写的“中国网络安全发展十年”中第三部分-发展。

中国的安全业界走过了她重要的十年，防火墙、入侵检测、安全专业服务、安全管理中心SOC、AAA/AAAA、应用安全、Web安全、数据安全、云安全… 回首这一个个脚印，我们希望理清道路的脉络，发现其内在的“导航仪”，希望能看清未来的的方向。
本节希望通过下面四个话题的讨论和读者一起产生一些“脑力激荡”和启发。

• 威胁的蔓延

从本质上说，安全威胁是安全业界得以产生、得以生存的原动力，是网络攻防矛盾中最变化多端的一方。从每年各个权威结构发布的威胁报告上，可以不断的阅读发现到人类的创造力和新思维。
安全业界发展的十年中，处于对立面的威胁方也完成了从孩童期到成熟期的发育，从单纯的好奇、挑战、成名等发展到基于投入回报ROI的、有组织的、具有很强针对性的入侵攻击。
在经济利益驱使下，为了获得更大的商业利益，网络安全威胁呈现了下面的一些特点： Read more…

这两天读到著名安全专家Dan Geer的文章 – “Nothing Ventured, Nothing Gained”, 里面有几点很有趣的地方，忍不住和大家分享一下。

1 Dan创造了一个“新颖”的价格指数 – 安全价格指数C-SPI。大家在媒体上已经对消费价格指数CPI和工业价格指数PPI很熟悉了，也知道它们正在天天悄悄上涨，侵蚀大家辛苦赚来的辛苦钱。这个安全价格指数是什么呢？参看右图。大家都知道有个叫做灰色市场或地下市场的地方，在那里有很多新奇的商品，有信息数据服务，比方说电子邮件地址了、电话号码、信用卡号、银行账号什么的；有信息发送业务，例如发送垃圾邮件、垃圾短信什么的；有情报业务，例如0-day漏洞什么的；也有较为凶悍的，让Yahoo, Baidu什么的服务中断多长时间什么的… 在Symantec、McAfee、IBM/ISS等的全球威胁报告中也经常发现关于该市场的报告。可是Dan的这个C-SPI让人感受到专家和学问的力量。 看看右图，这个指数在悄悄的上升中。价格上升有多方面的原因，除去像中国房市价格这种“观赏勾结浪倍维艰”非市场因素之外，笼统的说，就是供需关系：

• # 很多个人或组织大量涌入该市场，寻求数据情报服务等，导致供不应求，价格上涨
• # 数据情报服务提供者们手中的“产品”生产不够快，成本上升了，或者由于防守一方进步了，或供应链上的从业者减少，或…，或… Read more…

第一届Worldwide Cybersecurity Summit在达拉斯召开，演讲人名单上不乏重量级人物，美国白宫信息安全特别协调员Howard Schmidt、Dell公司的创始人董事长CEO Dell、大名鼎鼎的信息安全思想家Bruce Schneier、德勤的CEO James、Verisign创始人Addison Fischer、微软可信计算业务单元的副总裁Scott（这位老兄演讲很棒，RSA2010上的Keynote也不错）等，另外，还有来自多个国家的高级政府官员，例如日本NISC（国家信息安全中心）的副主任Yasuo和Nozomi，加州的CIO Teri Takai、加拿大国家空间安全总局局长Robert Dick、法国网络信息安全局局长Patrick Pailloux、爱沙尼亚司法部长Rein Lang、亚美尼亚前总理Armen等等吧。没有演讲，有幸认识的政府官员还有明尼苏达州的CIO Gopal Khanna、新加坡军方C4 Operation Group长官Col Dan、等。参会名单上还有长长的高官和名人，不再赘述。

Dell在2009年9月份以39亿美元高价收购Perot Systems，IT服务实力大增。在2010年2月份布鲁塞尔进行的第七届世界安全大会WSC上，其服务业务总裁Peter Altabef就做了题为“Balancing Cyber Threats and Cyber Benefits”的Keynote。这次在Dallas的网络空间安全大会，Dell更是成为最高级赞助商，创始人/董事长/CEO Michael Dell亲自出场，热情演出。虽然Dell自己讲这次高规格资助主要原因是会议在德州，Dell是德州的企业云云。但是，在Dell的战术板上，EWI和网络空间安全大会或许就是打响其服务品牌登陆作战的突破口。 Read more…

2010年4月22日，通信网络和信息安全高层论坛在北京鸿翔大厦召开，我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言，介绍了云计算相关的云安全保护和基于云的安全服务，对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外，还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。

点击下载发言所用PPT…

在2010年4月12日，云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立，这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。

CSA-GCC成立的宗旨有三，分别简述如下：

其一：构建平台，促进沟通。帮助大中华地区（中国大陆、香港、台湾）以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通，增进了解；

其二：合作开发，共建共赢。各个地区都有各个地区的特点，GCC希望能够促进业内的合作，在标准规范模板等方面起到催化剂和组织者的角色。

其三：引进来，走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来，为国内同行提供借鉴，少走弯路，提高效率；另一方面，增进与国际同行的沟通交流，消除误解，把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去，对国际业界的健康安全成长做出贡献。 Read more…

近来，微软完成了“思想”转变，全身心的投入到了“云”浪潮中去。下面贴上两幅图，是从微软架构师David Chou在Cloud Connect大会上的演讲稿中摘选的。

第一幅 ：全民动员 – 微软全面拥抱云计算。微软发现Google其实还是有些年轻，最近在用户隐私什么的、中国业务方面犯了不少错误。这就是反击的时机。微软高调说微软的邮件服务不会被Bing索引，不像Google的Gmail那样…

Read more…