[Note] This paper was submitted to the 2nd Cyber Security Summit @London at June 1-2. A novel idea was explored to touch the critical concern surrounding ICT supply chain threats. You are welcome to download it and share your comments with the authors. Here are some comments at the web, thanks to Jart.
Abstract — Information Communication Technology, which has been more and more critical in the modern economy and society , means more than information technology and traditional telecommunications. The integrity of ICT supply chain has slightly different meaning than the traditional security and assurance. Partly for the sake of difficulties to technically testify the increasingly complicated modern ICT products, it’s by no means to figure out an end to end integrity assurance program and methodology, letting alone test cost and timing factors.
This paper investigates the threats of ICT supply chain integrity, particularly covert channel. An architectural approach, named as Architectural Solution Integration, is given out to assure the integrity of ICT system and contain the potential threats through supply chains. The quantitative assessment of ICT supply chain integrity is discussed as well, followed by the future work analysis.
Key Words — ICT Supply Chain Integrity;Assurance;Security;Covert Channel
Download the paper…
近日华为总裁任正非在云计算研讨会上发表演讲,他表示,华为首先是基于电信运营商需求来做云平台、云应用。在云平台上要在不太长的时间里赶上、超越思科,在云业务上我们要追赶谷歌。
华为廿年来,从青纱帐里走出来,一个孤独的“农民”,走在一条曲曲弯弯的田间小路,像当年堂吉诃德一样的封闭,手拿长矛,单打独斗,跌跌撞撞 地,走到今 天。当我们打开眼界一看,我们已经不得不改变自己长期的封闭自我的方式。以前华为跟别的公司合作,一两年后,华为就把这些公司吃了或甩了,这是“黑寡妇” 的做法。
华为昨日正式面向全球发布了云计算战略及端到端的解决方案。其云计算解决方案包括SingleCLOUD云平台解决方案和电信应用云解决方案。 华为总裁任正非在发布会上发言时表示,“我们在云平台上要在不太长的时间里赶上、超越思科,在云业务上我们要追赶谷歌。”他同时称,“让全世界所有的人, 像用电一样享用信息的应用与服务。”
以下为任正非在华为云计算发布会上的发言:
云计算是一种新的技术,它像IP技术一样,可以用在任何信息传播需要的地方。如同IP改变了整个通讯产业一样,云计算也将改变整个信息产业。未 来信息的广阔包容,规模无比,覆盖天涯,蓬勃发展,风起云涌,烟消云散……,多么变幻无穷,多么像云一样不可估量,这多么形象地描述了未来的信息浪潮。获 得信息需要技术的变革,商业模式的创新,它的特性决定了,任何人都无力独揽狂澜。开放、合作是云产业未来的最重要的标志。 Read more…
2010年11月2日,美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件,文件阐述了美国政府对于云计算服务的基本立场和政策,分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等,并针对云计算的安全防护,以NIST和FISMA的相关安全标准和控制为基础,发布了征求意见稿。
文件首先指出采用云计算对于美国政府来说是风险也是机遇,机遇体现在更高的IT效率,成本方面的节省以及绿色计算等带来的环境保护。但是,要不要采用云计算不是一个基于技术的决定,而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险,并与自己的安全需求进行比对分析。
Cloud Computing systems are hosted on large, multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process once and share the results with customer agencies.
文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定,从而加速云计算的评估和采用,降低风险评估的费用。 Read more…
9月份的最后几天,有幸到新加坡参加了Govware 2010大会,整个大会从28日到30日为时三天,着实是令人兴奋的三天,不仅仅是白天的议题和展览,每天晚上的招待酒会也是让人流连忘返。回到北京,还处于国庆长假之中,有时间来回顾总结一下。
1 Govware 2010大会
我是第一次听说并很荣幸地作为受邀Speaker参加大会,有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上,Govware不仅仅是新加坡一个国家的安全展会或研讨会,它的影响已拓展至整个亚太地区,演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全,战略可以有两个意思,一个是宏观的、全局的,另一个是长期的、长远的。
2 保护关键信息基础设施CIIP
前面几次大会都参加了云计算/云安全的话题,此次Govware2010也有一个单独的云计算Track(清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲,可惜由于时间冲突没有听得上)。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题,好在公司在此方面积累甚多,不少同事热心帮助。最后定下来的题目是:Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等,介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…
读到今天新浪科技的新闻“Windows反应迟缓 平板厂商被迫转投Android”,忍不住以“战略的胜利”为题转帖一下。
我对iPad的观点经历了几次转变:在发布前,我和儿子都喜欢、都很想买;发布后,看媒体评论,褒贬不一,还是决定和儿子去买;到了苹果店现场试用,和儿子都觉得就是个大号iPhone/iPod Touch,输入不方便,没有USB,单任务等,第一次没有买;忍不住又去看其它各家的上网本、超便携笔记本,看了一圈下来,了无新意,觉得还是iPad才是正选;再次杀到苹果店,刷卡买了一台,越用越喜欢;相信iPad的确是战略上的大领先…
这次苹果在iPad上的领先,看来比原来iPod/iPhone上的领先还要长一段时间,需要其它有心竞争的选手们更多的资源投入、“合纵”集成能力。iPad是蓝海战略的成功,它创造了超便携笔记本和智能电话之间的一片“蓝海”。不知道在Jobs或架构师的战略版上是怎么画的。下面是本人杜撰的“草根版”iPad价值曲线:
- 去掉了:“灵活”全尺寸的键盘;“丰富”的外部接口;“强大”的多任务执行能力
- 减弱了:存储空间;计算能力
- 增强了:超长的电池持续时间;绚丽的屏幕视觉效果;便携性;易用性
- 创造了:独特的应用价值链;独特的互联网体验;独特的电子阅读和游戏体验
以下是新浪科技新闻原稿…… Read more…
【注】本文节选自为即将发布的绿盟技术内刊,我被邀写一写新的动向,于是捉刀砍向最近关注的ICT供应链完整性,或大家更喜欢“安全”。这个话题在这篇初次提到,又在这篇再次涉及到,这次的内容稍微丰富了一些,希望能够给大家在工作研究之余,多一些参考。
1、什么是供应链安全?
供应链安全并不是一个新词汇,在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入,供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下,政府权威机构和业界发起了一系列的安全增强活动。例如,由美国国土安全部海关与边界保护局(CBP)推动,与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT(Customs-Trade Partnership Against Terrorism)成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划,于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统,以确保供应链从起点到终点的运输安全,安全讯息及货物状况的流通,从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同?
相对于IT和电信来说,信息通信技术(ICT)是个相对较新的词,虽然关于其定义,也有一些争论,读者可以参见维基百科,也可自行使用百度或Google搜索相关结果。
在转型的时代主题下,电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同,最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释:“ICT- Information Communication Technology, The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合,ICT促成了超越空间的快速信息交换。从字面意义上看,反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 Read more…
今年是绿盟科技成立十周年,也是中国跌宕起伏的网络安全业界发展最为关键的十年。以下文字节选自笔者撰写的“中国网络安全发展十年”中第三部分-发展。
中国的安全业界走过了她重要的十年,防火墙、入侵检测、安全专业服务、安全管理中心SOC、AAA/AAAA、应用安全、Web安全、数据安全、云安全… 回首这一个个脚印,我们希望理清道路的脉络,发现其内在的“导航仪”,希望能看清未来的的方向。
本节希望通过下面四个话题的讨论和读者一起产生一些“脑力激荡”和启发。
从本质上说,安全威胁是安全业界得以产生、得以生存的原动力,是网络攻防矛盾中最变化多端的一方。从每年各个权威结构发布的威胁报告上,可以不断的阅读发现到人类的创造力和新思维。
安全业界发展的十年中,处于对立面的威胁方也完成了从孩童期到成熟期的发育,从单纯的好奇、挑战、成名等发展到基于投入回报ROI的、有组织的、具有很强针对性的入侵攻击。
在经济利益驱使下,为了获得更大的商业利益,网络安全威胁呈现了下面的一些特点: Read more…
第一届Worldwide Cybersecurity Summit在达拉斯召开,演讲人名单上不乏重量级人物,美国白宫信息安全特别协调员Howard Schmidt、Dell公司的创始人董事长CEO Dell、大名鼎鼎的信息安全思想家Bruce Schneier、德勤的CEO James、Verisign创始人Addison Fischer、微软可信计算业务单元的副总裁Scott(这位老兄演讲很棒,RSA2010上的Keynote也不错)等,另外,还有来自多个国家的高级政府官员,例如日本NISC(国家信息安全中心)的副主任Yasuo和Nozomi,加州的CIO Teri Takai、加拿大国家空间安全总局局长Robert Dick、法国网络信息安全局局长Patrick Pailloux、爱沙尼亚司法部长Rein Lang、亚美尼亚前总理Armen等等吧。没有演讲,有幸认识的政府官员还有明尼苏达州的CIO Gopal Khanna、新加坡军方C4 Operation Group长官Col Dan、等。参会名单上还有长长的高官和名人,不再赘述。
Dell在2009年9月份以39亿美元高价收购Perot Systems,IT服务实力大增。在2010年2月份布鲁塞尔进行的第七届世界安全大会WSC上,其服务业务总裁Peter Altabef就做了题为“Balancing Cyber Threats and Cyber Benefits”的Keynote。这次在Dallas的网络空间安全大会,Dell更是成为最高级赞助商,创始人/董事长/CEO Michael Dell亲自出场,热情演出。虽然Dell自己讲这次高规格资助主要原因是会议在德州,Dell是德州的企业云云。但是,在Dell的战术板上,EWI和网络空间安全大会或许就是打响其服务品牌登陆作战的突破口。 Read more…
2010年4月22日,通信网络和信息安全高层论坛在北京鸿翔大厦召开,我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言,介绍了云计算相关的云安全保护和基于云的安全服务,对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外,还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。
点击下载发言所用PPT…
在2010年4月12日,云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立,这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。
CSA-GCC成立的宗旨有三,分别简述如下:
其一:构建平台,促进沟通。帮助大中华地区(中国大陆、香港、台湾)以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通,增进了解;
其二:合作开发,共建共赢。各个地区都有各个地区的特点,GCC希望能够促进业内的合作,在标准规范模板等方面起到催化剂和组织者的角色。
其三:引进来,走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来,为国内同行提供借鉴,少走弯路,提高效率;另一方面,增进与国际同行的沟通交流,消除误解,把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去,对国际业界的健康安全成长做出贡献。 Read more…
2010年3月31日,绿盟科技宣布其入侵防御产品(NSFOCUS NIPS)顺利通过NSS Labs的严格测试,荣获NSS Labs Approved认证,并且被NSS Labs认定为最高级别——“Recommended”,由此,绿盟科技自主研发的IPS产品成为中国安全厂商中惟一获得该权威机构认证的产品。NSS Labs也在其官方网站同期发布了完整的测试报告。
NSS Labs的测试非常严格,在业界有很高的影响力。此次NIPS的产品测试包括了十多个厂商的20多款产品,基本上大家熟知的品牌都可以找到,例如IBM ISS, Tippingpoint, McAfee, Juniper, Sourcefire, etc.。下面是在NSS Labs上可以找到测试报告的产品: Read more…
在前面的帖子里提到过EWI东西方研究所。从名字上看,总感觉 EWI – “东西方研究所”这个名字有些神秘感,不知道它是哪个方面的。下面是从EWI发布的官方文档上的简要解释:
东西方研究所是一家国际性、非党派、非营利性政策研究机构,主要研究应对重大和平问题的对策。该所成立于
1980年,致力于构建互信、提升领导能力、积极促进合作。该所在纽约、布鲁塞尔和莫斯科均设有办事机构。
从官方网站和发布的文档上还可以发现大家熟悉的名字 – 胡锦涛(中国国家主席),杨洁篪(中国前外交部长),George W Bush(美国前总统),等。这些高层政治人物,在EWI的使命任务中和我们所在的网络安全联系了起来。
EWI东西方研究所研究的是广义上的“安全”,我们的网络安全,或者网络空间安全,是广义安全的一个分支。尤其是在网络空间安全被越来越多的国家、政治家们视为重要国家竞争力和安全保障的关键环节后,这个“包含”显得非常顺理成章。Karl是EWI网络空间安全的首席科学家,我们在前面的帖子中已经介绍过了。
从这份报告可以大致看出EWI东西方研究所的主要使命和工作内容。 Read more…
导语:美国《时代周刊》今天发表记者史蒂芬·弗莱(Stephen Fry)文章,描述了探访苹果总部、并与乔布斯谈论iPad的经历。转载自新浪新闻.
最早的苹果粉丝
在一个风和日丽的春日,我来到了世界上最酷的地方:加利福尼亚州库比蒂诺市Infinite Loop街1号,自1993年起,这里就是苹果的总部。这片场地很大,但仍不足以容纳苹果的快速扩张。苹果公司正在设计建造另一个工作场所。我在苹果的商店挑选了一大批“我去过苹果旗舰店”的纪念T恤。之后,他们带我参观了餐厅、草坪和公共区域。他们把这里称作“校园”,这毫不夸张,因为每个人的外表和穿着都像学生。我想,偶尔看到的西装革履的人可能是前来访问的政治人物。
菲尔·席勒(Phil Schiller)和艾迪·库埃(Eddy Cue)身着牛仔,表情轻松地欢迎我的到来。我们将讨论即将在一周半之后上市的新产品iPad。席勒是苹果的全球营销高级副总裁,负责新产品的推出;而库埃是互联网服务副总裁,负责iTunes、应用和 iBook在线书店。
我是受苹果之邀前来试用iPad的,之后我将与苹果CEO乔布斯会面一小时——这是我第一次亲眼见到他。但在与席勒和库埃会面时,我觉得应该谈论一下iPad可能遇到的负面评价。首先是尺寸,因为不够小,所以不能说十分便携;同时也不够大,因此算不上真正的电脑。还有,像其他产品一样,一切都在苹果的掌控之下。没有Flash功能,没有多任务处理,也没有摄像头。这只是一个大尺寸的iPhone(手机上网) 或iPod Touch。 Read more…
点击下载中文版。
2010年3月29日,CSA云安全指南中文版发布,下面是中文版的译者序。
云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到截稿时,企业成员达到33个,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是,中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来,企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。
自其成立起,云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日,云安全联盟发布了新版的《云安全指南》v2.1,代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色:
特色1: 务实,贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业,大多在美国、欧洲、亚太和中国等的第一线工作,指南的内容较为真实地反映了最新的业界最佳实践和观点,提供了非常详详细、务实的大量建议,非常容易转化为项目的检查列表等形式,方便读者参考。 Read more…
李彦宏:……我们也看到很多其他领域把其他竞争对手弄死了,自己也没有什么好结果。尤其对一个新兴产业、快速增长的市场,尤其是这样…… 我就在想什么时候能够有一天我们也跑到某一个国家声称我要退出你这个国家,这个必须要有全球的影响力才能够称得上强大,这一点我对中国有信心 ……
马化腾:…… 在创意产业、文化数字内容产业,就像王中军说的,其实缺的就是导演、策划,技术、人工这些人才还是不缺的,这些 课补上后,完全可以成为全球数字产业大国 ……
马云:……我最怕的是老酒装新瓶的东西,你看不清他在玩什么,突然爆发出来最可怕。假如从来没有听说的,这个不可怕……
下面转帖的是新浪科技-2010中国(深圳)IT领袖峰会上-百度、腾讯、阿里巴巴三位大当家的对话,对话内容非常精彩。转帖开始…………………… Read more…
Abstract — Information Communication Technology, which has been more and more critical in the modern economy and society , means more than information technology and traditional telecommunications. The integrity of ICT supply chain has slightly different meaning than the traditional security and assurance. Partly for the sake of difficulties to technically testify the increasingly complicated modern ICT products, it’s by no means to figure out an end to end integrity assurance program and methodology, letting alone test cost and timing factors.
Recent Comments