Cloud & Telecom Security

帮朋友做个广告，有朋友感兴趣分享自己云计算安全的研究成果吗？请关注TSCloud 2012。

The 2nd IEEE International Symposium on Trust and Security in Cloud Computing (TSCloud 2012) to be held in Liverpool, England, UK, 25-27 June 2012
http://tscloud.org/tscloud2012/
Sponsored by IEEE, IEEE Computer Society and IEEE Technical Committee of Scalable Computing (TCSC)

INTRODUCTION
=============
Following the success of IEEE TSCloud 2011, the IEEE TSCloud 2012 Symposium brings together researchers with an interest in theoretical foundations and practical approaches to trust and security in cloud computing. The emphasis is on high-impact, novel/adopted theories and paradigms that address mathematical and logical underpinnings in trust and security in cloud computing, e.g. encryption, obfuscation, virtualisation security, governance, accountability, etc. Read more…

这篇文章发在绿盟科技技术内刊的2011年9月，总第14期上。主要总结了对安全业界当前实践的三个观察，提出了下一代安全体系的可能发生的三个变革 – 更加智能、面向服务、行业精细分工。应该看到，这些思考还是粗糙的，不成系统的，在逻辑上也不完整，仅供大家讨论参考。这一期技术的下载地址是： http://www.nsfocus.com/images/6_about/journal/6_10_014_j.pdf

1前言
坦白说，写本文的主要目的是反思，反思的目的是探讨和研究潜在可行的变革和创新。
虽然网络安全作为一个产业已经走过了十几年的历程，但是，应该看到网络安全产业界还处于一个相当不成熟的初步阶段，作为行业里的一个老兵，这样说内心里很不舒服也不情愿。对于行业实践中的这些“不成熟”笔者在前文“网络安全发展的战略回顾”[ZL1][ZL2]中已有不少列举，举例说：
•    网络安全相当程度上依赖于基于IP五元组之上的边界防护模型，明显落后于互联网和IT应用技术的发展
•    产业界尚未形成相对成规模的产业内分工，大多数用户和提供者处于低于规模水平的运作状态。
•    产业界的大部分维护建设工作由人工完成，自动化程度很低。
•    网络安全设备种类繁杂，之间缺少有效的集成和互动，智能化水平很低。
•    保护对象的业界缺少相对完备和公认的方法工具等评价安全投入的产出价值。
•    等等
所谓“下一代”是一个很模糊的词，本身并没有确切的时间段来区分，有点和稀泥的意味。“战略回顾”一文中描述了过去十多年时间里0.1、1.0、2.0三个时代各自的特征，也尝试着提出了Security NG的一些猜想。本文的“下一代”在“战略回顾”一文基础上，尝试将“下一代”更加具体化，与业界的实践建立更多的联系。
本文后面三节分别拣选了三个方面探讨当前安全实践中可能存在的“问题”。第2节将分析当前安全实践中基于IP五元组的“城堡”防护模型，第3节将分析以硬件盒子为主的安全产品形态方面的问题，第4节将分析安全产业在分工和互信、互动方面的问题。同时，在每个小节也提出了相应的下一代安全体系的可能特征。 Read more…

【注】好长时间没有更新了，在新浪微博上活动了一阵子，熟悉了一下新媒体 . 想更新一下博客，又没有新的话题，只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后，主要是为了完成绿盟技术内刊的任务。请各位朋友指正。

2010年安全回顾

摘要：Stuxnet、WikiLeaks、3Q大战影响深远，本文从这三件安全事件延伸开来，综合云计算和云安全、安全海量数据挖掘，以及虚拟世界安全等方面，对安全行业的前沿技术进行简述和讨论，这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年！

关键词：2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP Read more…

2010年12月13日，时值10年岁末，美国贸易委员会发布针对商业机构对用户隐私数据保护的白皮书，针对商业机构收集使用保护用户数据的过程中，如何保护用户隐私的问题，拿出了初步的指南意见。

该指南意见的使用范围非常广泛，适用于所有商业机构，只要它收集或收集过消费者数据，或有可能联系到某个特别消费者、计算机或其它设备的数据。基本上，所有的运营商、银行、证券公司、保险公司、学校、医院、超市、汽车4S店等，在当前打着各种提高客户满意度、加强CRM管理的旗号下进行的各种商业促销行为，肯定都在此使用范围内。

下面是该白皮书的几点主要内容：

• 商业机构应该切实提高保护用户隐私的相关实践，包括数据安全、收集限度、数据保留制度以及数据精确度等。这些实践应该融于各种应用设计、开发甚至整个生命周期。
• 商业机构应该简化在收集用户数据时给用户的选择，以便用户作出快速清楚的选择。
• 商业机构关于尊重隐私等声明和提示应该更加清楚、简短、标准化，保证用户更好的理解，以及横向对比隐私保护实践。
• 在商业结构打算以收集数据时隐私条款上不同的方式使用数据前，必须向用户提供非常显式的提示并获得用户明确的确认。
• 所有相关各方应该就商业数据隐私保护实践尽力教育消费者。

考虑到我们刚刚发生的3Q大战、大家天天收到的令人恼火的“骚扰”“广告”电话，期待我国的用户隐私数据保护立法行动。

近日华为总裁任正非在云计算研讨会上发表演讲，他表示，华为首先是基于电信运营商需求来做云平台、云应用。在云平台上要在不太长的时间里赶上、超越思科，在云业务上我们要追赶谷歌。

华为廿年来，从青纱帐里走出来，一个孤独的“农民”，走在一条曲曲弯弯的田间小路，像当年堂吉诃德一样的封闭，手拿长矛，单打独斗，跌跌撞撞 地，走到今 天。当我们打开眼界一看，我们已经不得不改变自己长期的封闭自我的方式。以前华为跟别的公司合作，一两年后，华为就把这些公司吃了或甩了，这是“黑寡妇” 的做法。

华为昨日正式面向全球发布了云计算战略及端到端的解决方案。其云计算解决方案包括SingleCLOUD云平台解决方案和电信应用云解决方案。 华为总裁任正非在发布会上发言时表示，“我们在云平台上要在不太长的时间里赶上、超越思科，在云业务上我们要追赶谷歌。”他同时称，“让全世界所有的人， 像用电一样享用信息的应用与服务。”

以下为任正非在华为云计算发布会上的发言：

云计算是一种新的技术，它像IP技术一样，可以用在任何信息传播需要的地方。如同IP改变了整个通讯产业一样，云计算也将改变整个信息产业。未 来信息的广阔包容，规模无比，覆盖天涯，蓬勃发展，风起云涌，烟消云散……，多么变幻无穷，多么像云一样不可估量，这多么形象地描述了未来的信息浪潮。获 得信息需要技术的变革，商业模式的创新，它的特性决定了，任何人都无力独揽狂澜。开放、合作是云产业未来的最重要的标志。 Read more…

2010年11月2日，美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件，文件阐述了美国政府对于云计算服务的基本立场和政策，分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等，并针对云计算的安全防护，以NIST和FISMA的相关安全标准和控制为基础，发布了征求意见稿。

文件首先指出采用云计算对于美国政府来说是风险也是机遇，机遇体现在更高的IT效率，成本方面的节省以及绿色计算等带来的环境保护。但是，要不要采用云计算不是一个基于技术的决定，而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险，并与自己的安全需求进行比对分析。

Cloud Computing systems are hosted on large,  multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each  customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process  once and share the results with customer agencies.

文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定，从而加速云计算的评估和采用，降低风险评估的费用。 Read more…

在前不久9月2日召开的云安全联盟中国峰会上，在F&S的Cathy分享了有关亚太地区云计算应用的调研数据。还有以前看到的不少资料，亚太地区在云计算的接受程度和应用上与美欧相比，都有些落后。云安全的相关研究也类似的感觉，主要的体现在于公开可得的相关资料多来自美欧，来自亚太地区的贡献相对较少。

10月份澳洲犯罪学研究所发布一份彩皮书 – Cloud computing: Challenges
and future directions, 即云计算之挑战和未来方向。彩皮书对当前云计算技术的动因和主要架构进行了综述，对云计算带来的各种挑战进行了分析。应该说，挑战分析与云安全联盟的7大安全威胁相比很有特色，也很有启发性。彩皮书可以在此下载到.

彩皮书的作者是Raymond Choo博士，上个月在新加坡Govware会议上有缘结识。Raymond著述丰硕，也是很有影响的意见领袖，相关内容参见：http://www.aic.gov.au/about_aic/research_programs/staff/choo_raymond.aspx 希望以后有机会能邀请Raymond到中国来，认识更多的国内朋友。

在云安全联盟的相关活动中，除澳洲外，我们还能明显地感觉到日本和印度逐渐加快的节奏。其社区的活动温度比我们要高好几度，政府的推进，从政策上、投入上都很明显，似乎进入国家战略的范畴了。参见以下这则新闻：http://e.nikkei.com/e/fr/tnks/Nni20100616D16JFN05.htm Read more…

云安全联盟 CSA（Cloud Security Alliance）成立于2009年的RSA大会，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。自成立以来， CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。到目前为止，CSA的企业成员多达50个以上，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。云安全联盟中国区分会是CSA在中国的分支组织。

CISRG是一个活跃的技术研究团队，团队成员都拥有自己特定的技术研究方向，目前的研究方向主要有：操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。
2010年11月，让我们相聚上海，继续讨论信息安全这个永恒的主题。

• 地点：中国.上海
• 地址：上海信安左城酒店
• 时间：2010年11月25日-26日
• 邮箱：cisrg.isf@gmail.com
• 议题征集：简体中文版
• 议题征集：English CFP

详细日程和演讲嘉宾等更详细内容参见：http://www.tektalk.org/?p=12158

9月份的最后几天，有幸到新加坡参加了Govware 2010大会，整个大会从28日到30日为时三天，着实是令人兴奋的三天，不仅仅是白天的议题和展览，每天晚上的招待酒会也是让人流连忘返。回到北京，还处于国庆长假之中，有时间来回顾总结一下。

1 Govware 2010大会

我是第一次听说并很荣幸地作为受邀Speaker参加大会，有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上，Govware不仅仅是新加坡一个国家的安全展会或研讨会，它的影响已拓展至整个亚太地区，演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全，战略可以有两个意思，一个是宏观的、全局的，另一个是长期的、长远的。

2 保护关键信息基础设施CIIP

前面几次大会都参加了云计算/云安全的话题，此次Govware2010也有一个单独的云计算Track（清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲，可惜由于时间冲突没有听得上）。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题，好在公司在此方面积累甚多，不少同事热心帮助。最后定下来的题目是：Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等，介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…

在云计算时代，基于IP的安全策略效用将大打折扣，随时随地的数据和服务访问要求安全访问控制要能够基于“用户”和“数据”。同时，为了强化“用户”和“数据”的访问控制，双因子认证将会变得更加普遍，甚至成为缺省设置，例如网络访问与下一代身份证ID之类的硬Token结合在一起。当然，为了保护公民隐私，在实名制的ID认证和实际的网络身份之间有必要在技术上实现一种匿名层（Anonymization）…

上面都是技术层面上的讨论，事实上，最为脆弱的部分并不在于技术，而是在于社会工程打击的目标 – 缺少安全意识和技能的“人”。就如同大家在车站机场商场等公开场合到处可见的“注意保管您的随身物品”提醒牌，互联网上要安全冲浪、保护隐私最重要的就是要有“意识”。撇开普通老百姓，从政府、企业、组织等高度来看，就是要让安全意识从安全经理和安全主管那里，外延到最高管理层、财务和业务负责人、所有的普通员工等。

这是个典型的“说起来容易做起来难”的事，难在有钱有权的没有动力，有动力没有资源。大洋对岸从去年开始设立了全国的安全月 – 十月份。今年的主题是 – 我们共同的责任 （Our Shared Responsibility）。这个事情值得我们借鉴。

今天在浏览Beaker的博客时，看到一则很有趣的活动。Beaker在推动一个叫做Hackid的公益项目 – 安全从孩子们抓起。

Hackid通过举办以孩子们为主的技术沙龙和动手活动，来激发孩子们对于基础电子、互联网、创新等的兴趣，提高孩子们的动手能力，提升孩子们对于互联网基础知识的了解…下面是其官方页面中的活动内容介绍： Read more…

IaaS, PaaS, SaaS, Azure, EC2, SQS, AppEngine, Hadoop, Coherence,……. 最近开始关注Cloud Computing方面的一些动向，但是很快被这些新名词搞得晕头转向。好在找到了下面这个Cloud Computing Taxonomy，它很清晰的对Cloud Computing的Vendor和New Technologies进行了归类:

这个Taxonomy的作者是Pater Laird,他曾经是BEA/Oracle Weblogic SaaS平台的Chief Architect。大家有兴趣可以看看他的Blog (http://peterlaird.blogspot.com/)。

另外，VMWorld 2010今天在旧金山的Mosconi Center召开。VMWare是很重要的Cloud Computing Infrastructure的提供商，所以VMWorld大会在Cloud Computing中的地位也举足轻重，很多IT厂商包括Cisco, HP, EMC, NetApp, Dell, Intel等都在VMWorld上有很大的展台。这两天有时间的话我会去VMWorld转转，有什么好东西回来向诸位报告。

两则云安全联盟的新闻：

- 8月11日，云安全联盟中国区分会CSA-GCC成为正式分会。

- 7月28日，云安全联盟在Blackhat大会上宣布推出“云安全知识认证 – CCSK。该认证将以《云安全指南》v2.1作为认证教材，9月1日推出。企业成员将会免费获得两个认证考试指标。

Google今天推出了面向联邦政府的云计算平台,具体的新闻请参阅: http://googleblog.blogspot.com/2010/07/introducing-google-apps-for-government.html

几点体会:

1. 山姆大叔每年在IT方面的投入超过千亿美元(联邦政府760亿美元，各地方政府500亿美元）,并且这些投入受经济周期的影响很小。政府市场绝对是一块上等的奶油蛋糕。但是根据业界统计，目前美国联邦政府的云计算市场规模大概在4亿2千万美元，到2015年可能达到14亿美元，云计算刚刚开始在政府铺开。

2. 云计算安全是一个重点，面向政府的云计算，安全更是重中之重。Google宣布自己的平台取得了FISMA-Moderate的认证级别，在业界是第一家。此外，Google将面向政府的云计算平台和商用平台进行了数据隔离以确保安全性。政府对云计算的接受将有助于缓解企业对云计算安全性的担忧。

3. 前进的道路上当然不会一帆风顺。Google给洛杉矶市政府实施的云计算项目(替换了Novell的Groupwise软件）目前遇到了一些挫折。该项目如能顺利完成，洛杉矶市的3万4千名政府雇员将开始使用Google的邮箱日历等应用程序。

Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft，他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。

总体上感觉，与RSA安全大会相比，Gartner大会偏重于“未来”，按照Gartner自己的会议定位，是意图在“战略”和“执行”，在“技术”和“业务”，之间取得平衡。会后我认为Gartner实现了自己的目标，下面把我的一些观感和大家分享。

1 会议的涉猎范围非常广泛，从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性（Resilience）企业、绿色地球、安全情报、到云计算职业人生规划等。

2 云计算和云安全，在Gartner的分析师和这次峰会的演讲者中，已经转向了实现和How的部分 Read more…

【注】本文节选自为即将发布的绿盟技术内刊，我被邀写一写新的动向，于是捉刀砍向最近关注的ICT供应链完整性，或大家更喜欢“安全”。这个话题在这篇初次提到，又在这篇再次涉及到，这次的内容稍微丰富了一些，希望能够给大家在工作研究之余，多一些参考。

1、什么是供应链安全？
供应链安全并不是一个新词汇，在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入，供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下，政府权威机构和业界发起了一系列的安全增强活动。例如，由美国国土安全部海关与边界保护局（CBP）推动，与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT（Customs-Trade Partnership Against Terrorism）成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划，于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统，以确保供应链从起点到终点的运输安全，安全讯息及货物状况的流通，从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同？
相对于IT和电信来说，信息通信技术（ICT）是个相对较新的词，虽然关于其定义，也有一些争论，读者可以参见维基百科，也可自行使用百度或Google搜索相关结果。
在转型的时代主题下，电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同，最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释：“ICT- Information Communication Technology， The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合，ICT促成了超越空间的快速信息交换。从字面意义上看，反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 Read more…