上周美国管理预算办公室OMB、总统网络安全特别协调员Howard、国土安全部联合发布文件,调整明确了在网络空间安全方面的任务分工:
Under various national security and homeland security Presidential directives, and pursuant to its statutory authorities, DHS oversees critical infrastructure protection, operates the United States Computer Emergency Readiness Team (US-CERT), oversees implementation of the Trusted
Internet Connection initiative, and takes other actions to help secure both the Federal civilian government systems and the private sector. At the same time, OMB has a number of
cybersecurity responsibilities, principally in connection with FISMA. The Cybersecurity Coordinator leads the interagency process for cybersecurity strategy and policy development. Read more…
印度有一个数据安全理事会DSCI(Data Security Council of India),CEO是Kamlesh Bajaj先生。他在达拉斯世界网络安全大会上作为特邀嘉宾多次主持会议。会后,Kamlesh把主要观点和动议编辑成一份白皮书,有EWI公开发行.
这份报告站位比较高,很系统地从网络空间安全有关的威胁、立法、政府、商业等各种角度做了总结回顾,改变了不少我们以前对于印度在网络安全方面的看法,推荐阅读。
下面是文档中使用的Kamlesh的官方简介:
Kamlesh Bajaj is the Chief Executive Officer of the Data Security Council of India and Head of NASSCOM Security Initiatives. He has over 30 years of experience in various capacities in the IT industry. Over the last two years, he has led the development of best practices for data protection, promoted their use by IT and business-process outsourcing companies in compliance with regulations of client countries. He was the Founder Director of the Computer Emergency Response Team in the Indian Ministry of Communications and IT. He has also served as Deputy Director General of the National Informatics Centre. He led several large projects in finance and banking, most notably the Customs EDI Project that introduced near-paperless operations in custom houses in India. Dr. Bajaj began his career as a Software Engineer at CAE Electronics in Canada. He is also a Fellow at the Institution of Electronics and Telecommunication Engineers, India, and at the National Academy of Sciences, India.
Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft,他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。
总体上感觉,与RSA安全大会相比,Gartner大会偏重于“未来”,按照Gartner自己的会议定位,是意图在“战略”和“执行”,在“技术”和“业务”,之间取得平衡。会后我认为Gartner实现了自己的目标,下面把我的一些观感和大家分享。
1 会议的涉猎范围非常广泛,从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性(Resilience)企业、绿色地球、安全情报、到云计算职业人生规划等。
2 云计算和云安全,在Gartner的分析师和这次峰会的演讲者中,已经转向了实现和How的部分 Read more…
【注】本文节选自为即将发布的绿盟技术内刊,我被邀写一写新的动向,于是捉刀砍向最近关注的ICT供应链完整性,或大家更喜欢“安全”。这个话题在这篇初次提到,又在这篇再次涉及到,这次的内容稍微丰富了一些,希望能够给大家在工作研究之余,多一些参考。
1、什么是供应链安全?
供应链安全并不是一个新词汇,在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入,供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下,政府权威机构和业界发起了一系列的安全增强活动。例如,由美国国土安全部海关与边界保护局(CBP)推动,与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT(Customs-Trade Partnership Against Terrorism)成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划,于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统,以确保供应链从起点到终点的运输安全,安全讯息及货物状况的流通,从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同?
相对于IT和电信来说,信息通信技术(ICT)是个相对较新的词,虽然关于其定义,也有一些争论,读者可以参见维基百科,也可自行使用百度或Google搜索相关结果。
在转型的时代主题下,电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同,最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释:“ICT- Information Communication Technology, The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合,ICT促成了超越空间的快速信息交换。从字面意义上看,反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 Read more…
云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版,对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页:
本白皮书由开放式 Web 社区的 1300 多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者,但这一队伍迅速壮大,目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。
在本白皮书撰写过程中,宣言中的三个原则至关重要:1) 用户应通力合作;2) 保持云计算 开放的任何行动应以客户利益为导向;3) 尽可能沿用现行标准。
本白皮书应不定期更新,并进行扩展和修订。我们在此将其翻译成中文版本,供中国的云 计算社区使用,借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。
衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…
继续开会!
6月9日,CSO杂志在纽约举办了一次以数据保护和加密为主题的论坛,邀请到了若干位CSO/CISO/CPO谈企业的数据保护和加密相关策略实施等。赞助商中除了“一个都不落下”的McAfee之外,还有办RSA大会的RSA, 电信行业中第一个出版安全报告的Verizon,以及几家做数据安全管理产品的startup公司。
做报告和Panel的几位CSO/CISO/CPO都口若悬河,坚定地认为并强烈推荐 – 加密->所有的笔记本、U盘、智能手机、Data-at-rest、Data-in-motion、…. 为什么? 因为这样你可以睡觉时安稳些,有人掉了电脑,你不用上媒体、回答监管机构的询问,因为数据是加密的… 这个观点我是支持的了,因为有过那样的教训。尤其是“当用户数据泄漏需要向当局汇报并通知受害者”逐渐成为法律时,事情就更加严肃了。
Read more…
欢迎您对CSA-GCC的徽标提出建议
按照CSA对于各地分会的要求,分会应该:
- 成立相应的理事会,理事会人数在5-15人;
- 并制定徽标logo;
- 定义未来一年的工作计划等。
如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者:
- 1 对云计算和云安全有深入研究和丰富的行业经验
- 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情,有时间精力参与相关的技术和其它分会活动
- 3 愿意贡献和分享自己的经验、观点、文档以及其它资源,来帮助分会成长
- 4 相信社区团队合作能够有效推动云安全技术进步,提升在大中华地区的实践,
大潘和我热情欢迎您自荐或推荐理事会成员,并对分会的运行和工作计划提出建议、指导和批评。
就目前而言,讨论中的项目计划包括以下内容:
- 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM,组织小组抽时间翻译
- 2 借鉴安全控制矩阵,组织小组进一步开发面向大中国地区的落地版本,更适合于定义需求和选购云服务
- 3 研究当前主要云服务提供商和云安全服务商的用户协议,评价其合理性,开发一个更为标准通用的模板,定义安全相关的职责和权利,为业界提供借鉴
- 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
- 5 在8月份召开一次云安全研讨会
- 6 其它开放的项目机会
信任 – 的确是网络安全的一个核心概念。关于这个概念有很多讨论,可是很少看到有准确的定义或者较为深入的探讨。ISECOM的Pete Herzog做了一个漂亮的工作。他给“信任”定义了十大属性,尝试使用数学、数字的方式来定义、测量信任。这个工作酷不酷?
Pete之前有个很著名的项目 – OSSTMM(Open Source Security Testing Methodology Manual)- 一个很棒的项目。Pete现在的头衔是ISECOM(Institute of Security and Open Methodologies)的合伙创始人和MD。下面是ISECOM的概要说明: Read more…
Last week, Symantec(NASDAQ:SYMC) acquired the security businesses of VeriSign (excluding iDefense). There have been tons of news reports and comments by market observers and analysts. In general, given that both negative and positive comments are valid, the below chart gave a different perspective to evaluate the acquisition strategy of Symantec.
It’s a 5 year stock price chart of Symantec, with comparison against that of CA(NASDAQ:CA), McAfee(NYSE:MFE), and Nasdaq.
The overall changes in 5 years are:
- Symantec down by: -35.14%
- CA down by: -30.60%
- McAfee up by: +21.87%
- while Nasdaq up by: +9.67% Read more…
今年是绿盟科技成立十周年,也是中国跌宕起伏的网络安全业界发展最为关键的十年。以下文字节选自笔者撰写的“中国网络安全发展十年”中第三部分-发展。
中国的安全业界走过了她重要的十年,防火墙、入侵检测、安全专业服务、安全管理中心SOC、AAA/AAAA、应用安全、Web安全、数据安全、云安全… 回首这一个个脚印,我们希望理清道路的脉络,发现其内在的“导航仪”,希望能看清未来的的方向。
本节希望通过下面四个话题的讨论和读者一起产生一些“脑力激荡”和启发。
从本质上说,安全威胁是安全业界得以产生、得以生存的原动力,是网络攻防矛盾中最变化多端的一方。从每年各个权威结构发布的威胁报告上,可以不断的阅读发现到人类的创造力和新思维。
安全业界发展的十年中,处于对立面的威胁方也完成了从孩童期到成熟期的发育,从单纯的好奇、挑战、成名等发展到基于投入回报ROI的、有组织的、具有很强针对性的入侵攻击。
在经济利益驱使下,为了获得更大的商业利益,网络安全威胁呈现了下面的一些特点: Read more…
这两天读到著名安全专家Dan Geer的文章 – “Nothing Ventured, Nothing Gained”, 里面有几点很有趣的地方,忍不住和大家分享一下。
1 Dan创造了一个“新颖”的价格指数 – 安全价格指数C-SPI。大家在媒体上已经对消费价格指数CPI和工业价格指数PPI很熟悉了,也知道它们正在天天悄悄上涨,侵蚀大家辛苦赚来的辛苦钱。这个安全价格指数是什么呢?参看右图。大家都知道有个叫做灰色市场或地下市场的地方,在那里有很多新奇的商品,有信息数据服务,比方说电子邮件地址了、电话号码、信用卡号、银行账号什么的;有信息发送业务,例如发送垃圾邮件、垃圾短信什么的;有情报业务,例如0-day漏洞什么的;也有较为凶悍的,让Yahoo, Baidu什么的服务中断多长时间什么的… 在Symantec、McAfee、IBM/ISS等的全球威胁报告中也经常发现关于该市场的报告。可是Dan的这个C-SPI让人感受到专家和学问的力量。 看看右图,这个指数在悄悄的上升中。价格上升有多方面的原因,除去像中国房市价格这种“观赏勾结浪倍维艰”非市场因素之外,笼统的说,就是供需关系:
- # 很多个人或组织大量涌入该市场,寻求数据情报服务等,导致供不应求,价格上涨
- # 数据情报服务提供者们手中的“产品”生产不够快,成本上升了,或者由于防守一方进步了,或供应链上的从业者减少,或…,或… Read more…
第一届Worldwide Cybersecurity Summit在达拉斯召开,演讲人名单上不乏重量级人物,美国白宫信息安全特别协调员Howard Schmidt、Dell公司的创始人董事长CEO Dell、大名鼎鼎的信息安全思想家Bruce Schneier、德勤的CEO James、Verisign创始人Addison Fischer、微软可信计算业务单元的副总裁Scott(这位老兄演讲很棒,RSA2010上的Keynote也不错)等,另外,还有来自多个国家的高级政府官员,例如日本NISC(国家信息安全中心)的副主任Yasuo和Nozomi,加州的CIO Teri Takai、加拿大国家空间安全总局局长Robert Dick、法国网络信息安全局局长Patrick Pailloux、爱沙尼亚司法部长Rein Lang、亚美尼亚前总理Armen等等吧。没有演讲,有幸认识的政府官员还有明尼苏达州的CIO Gopal Khanna、新加坡军方C4 Operation Group长官Col Dan、等。参会名单上还有长长的高官和名人,不再赘述。
Dell在2009年9月份以39亿美元高价收购Perot Systems,IT服务实力大增。在2010年2月份布鲁塞尔进行的第七届世界安全大会WSC上,其服务业务总裁Peter Altabef就做了题为“Balancing Cyber Threats and Cyber Benefits”的Keynote。这次在Dallas的网络空间安全大会,Dell更是成为最高级赞助商,创始人/董事长/CEO Michael Dell亲自出场,热情演出。虽然Dell自己讲这次高规格资助主要原因是会议在德州,Dell是德州的企业云云。但是,在Dell的战术板上,EWI和网络空间安全大会或许就是打响其服务品牌登陆作战的突破口。 Read more…
2010年4月22日,通信网络和信息安全高层论坛在北京鸿翔大厦召开,我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言,介绍了云计算相关的云安全保护和基于云的安全服务,对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外,还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。
点击下载发言所用PPT…
在2010年4月12日,云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立,这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。
CSA-GCC成立的宗旨有三,分别简述如下:
其一:构建平台,促进沟通。帮助大中华地区(中国大陆、香港、台湾)以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通,增进了解;
其二:合作开发,共建共赢。各个地区都有各个地区的特点,GCC希望能够促进业内的合作,在标准规范模板等方面起到催化剂和组织者的角色。
其三:引进来,走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来,为国内同行提供借鉴,少走弯路,提高效率;另一方面,增进与国际同行的沟通交流,消除误解,把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去,对国际业界的健康安全成长做出贡献。 Read more…
2010年3月31日,绿盟科技宣布其入侵防御产品(NSFOCUS NIPS)顺利通过NSS Labs的严格测试,荣获NSS Labs Approved认证,并且被NSS Labs认定为最高级别——“Recommended”,由此,绿盟科技自主研发的IPS产品成为中国安全厂商中惟一获得该权威机构认证的产品。NSS Labs也在其官方网站同期发布了完整的测试报告。
NSS Labs的测试非常严格,在业界有很高的影响力。此次NIPS的产品测试包括了十多个厂商的20多款产品,基本上大家熟知的品牌都可以找到,例如IBM ISS, Tippingpoint, McAfee, Juniper, Sourcefire, etc.。下面是在NSS Labs上可以找到测试报告的产品: Read more…
上周美国管理预算办公室OMB、总统网络安全特别协调员Howard、国土安全部联合发布文件,调整明确了在网络空间安全方面的任务分工:
Recent Comments