帮朋友做个广告,有朋友感兴趣分享自己云计算安全的研究成果吗?请关注TSCloud 2012。
The 2nd IEEE International Symposium on Trust and Security in Cloud Computing (TSCloud 2012) to be held in Liverpool, England, UK, 25-27 June 2012
http://tscloud.org/tscloud2012/
Sponsored by IEEE, IEEE Computer Society and IEEE Technical Committee of Scalable Computing (TCSC)
INTRODUCTION
=============
Following the success of IEEE TSCloud 2011, the IEEE TSCloud 2012 Symposium brings together researchers with an interest in theoretical foundations and practical approaches to trust and security in cloud computing. The emphasis is on high-impact, novel/adopted theories and paradigms that address mathematical and logical underpinnings in trust and security in cloud computing, e.g. encryption, obfuscation, virtualisation security, governance, accountability, etc. Read more…
注:前些时候接受了一个《计算机产品与流通》杂志的采访,采访后报道的题目定为“迎来一场速度之战”,转贴如下。请各位朋友指正。原文链接: http://www.spn.com.cn/post/t-1_t2-8_nid-409697.html
要谈安全市场的发展趋势,就必须回顾国内安全市场的发展历史。一个业界共识是,中国的安全市场发展大约从2000年起步,至今历经11年,这个过程中主要经历了四个发展时期。
既2000年前的导入期,安全专注于防火墙和防病毒隔离;2000年至2003年是第二阶段,开始重视PDR模型(即Protection(保护)、etection(检测)、Response(响应)是入侵检测的一种模型),防火墙、反病毒、入侵检测和漏洞评估、安全服务成为市场主导;2004年至009年是第三阶段,关注点从简单的防止攻击和入侵,发展到应用和数据安全开始重视安全运维和流程,内部控制安全体系从”老三样(防火墙、防病毒、入侵检测和漏洞评估)”发展到基于AAAA的综合防御体系。而在2009年之后,安全市场进入第四个阶段,随着云计算的发展以及相关的安全需求,跨入云安全时代。
由此可见,目前正处于安全市场发展的第四阶段,在这一阶段,大量的安全威胁层出不穷,各种攻击已经带有明显的逐利特征,安全的防护已经扩展为云端、网络层、客户端三层体系,安全从过去的单向静态防护正在向双向的动态的防护转变,这些特征将在2012年有更加明显的显现。
这种形势下,对于安全厂商而言,就提出了新的要求,即如何在替客户节省成本的同时,更快速的做出安全防护响应,这里面既包含了厂商对于威胁信息的快速获取能力,又包含了厂商对这些信息做出快速应对的能力。安全厂商之间竞争正在成为一场反应速度的比拼。除了在技术上的投入之外,安全厂商要想获得更快速的响应能力,还必须具备以下几个因素,即企业要有勇于创新,充满热情的文化底蕴;其次要具备一定的规模;最后,安全厂商要有更开放的心态、体系、和合作模式,在安全领域内与第三方形成专业分工和合理的利益分配。这些都将成为2012年安全厂商打造核心竞争力的关键。
2010年12月13日,时值10年岁末,美国贸易委员会发布针对商业机构对用户隐私数据保护的白皮书,针对商业机构收集使用保护用户数据的过程中,如何保护用户隐私的问题,拿出了初步的指南意见。
该指南意见的使用范围非常广泛,适用于所有商业机构,只要它收集或收集过消费者数据,或有可能联系到某个特别消费者、计算机或其它设备的数据。基本上,所有的运营商、银行、证券公司、保险公司、学校、医院、超市、汽车4S店等,在当前打着各种提高客户满意度、加强CRM管理的旗号下进行的各种商业促销行为,肯定都在此使用范围内。
下面是该白皮书的几点主要内容:
- 商业机构应该切实提高保护用户隐私的相关实践,包括数据安全、收集限度、数据保留制度以及数据精确度等。这些实践应该融于各种应用设计、开发甚至整个生命周期。
- 商业机构应该简化在收集用户数据时给用户的选择,以便用户作出快速清楚的选择。
- 商业机构关于尊重隐私等声明和提示应该更加清楚、简短、标准化,保证用户更好的理解,以及横向对比隐私保护实践。
- 在商业结构打算以收集数据时隐私条款上不同的方式使用数据前,必须向用户提供非常显式的提示并获得用户明确的确认。
- 所有相关各方应该就商业数据隐私保护实践尽力教育消费者。
考虑到我们刚刚发生的3Q大战、大家天天收到的令人恼火的“骚扰”“广告”电话,期待我国的用户隐私数据保护立法行动。
近日华为总裁任正非在云计算研讨会上发表演讲,他表示,华为首先是基于电信运营商需求来做云平台、云应用。在云平台上要在不太长的时间里赶上、超越思科,在云业务上我们要追赶谷歌。
华为廿年来,从青纱帐里走出来,一个孤独的“农民”,走在一条曲曲弯弯的田间小路,像当年堂吉诃德一样的封闭,手拿长矛,单打独斗,跌跌撞撞 地,走到今 天。当我们打开眼界一看,我们已经不得不改变自己长期的封闭自我的方式。以前华为跟别的公司合作,一两年后,华为就把这些公司吃了或甩了,这是“黑寡妇” 的做法。
华为昨日正式面向全球发布了云计算战略及端到端的解决方案。其云计算解决方案包括SingleCLOUD云平台解决方案和电信应用云解决方案。 华为总裁任正非在发布会上发言时表示,“我们在云平台上要在不太长的时间里赶上、超越思科,在云业务上我们要追赶谷歌。”他同时称,“让全世界所有的人, 像用电一样享用信息的应用与服务。”
以下为任正非在华为云计算发布会上的发言:
云计算是一种新的技术,它像IP技术一样,可以用在任何信息传播需要的地方。如同IP改变了整个通讯产业一样,云计算也将改变整个信息产业。未 来信息的广阔包容,规模无比,覆盖天涯,蓬勃发展,风起云涌,烟消云散……,多么变幻无穷,多么像云一样不可估量,这多么形象地描述了未来的信息浪潮。获 得信息需要技术的变革,商业模式的创新,它的特性决定了,任何人都无力独揽狂澜。开放、合作是云产业未来的最重要的标志。 Read more…
2010年11月2日,美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件,文件阐述了美国政府对于云计算服务的基本立场和政策,分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等,并针对云计算的安全防护,以NIST和FISMA的相关安全标准和控制为基础,发布了征求意见稿。
文件首先指出采用云计算对于美国政府来说是风险也是机遇,机遇体现在更高的IT效率,成本方面的节省以及绿色计算等带来的环境保护。但是,要不要采用云计算不是一个基于技术的决定,而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险,并与自己的安全需求进行比对分析。
Cloud Computing systems are hosted on large, multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process once and share the results with customer agencies.
文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定,从而加速云计算的评估和采用,降低风险评估的费用。 Read more…
9月份的最后几天,有幸到新加坡参加了Govware 2010大会,整个大会从28日到30日为时三天,着实是令人兴奋的三天,不仅仅是白天的议题和展览,每天晚上的招待酒会也是让人流连忘返。回到北京,还处于国庆长假之中,有时间来回顾总结一下。
1 Govware 2010大会
我是第一次听说并很荣幸地作为受邀Speaker参加大会,有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上,Govware不仅仅是新加坡一个国家的安全展会或研讨会,它的影响已拓展至整个亚太地区,演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全,战略可以有两个意思,一个是宏观的、全局的,另一个是长期的、长远的。
2 保护关键信息基础设施CIIP
前面几次大会都参加了云计算/云安全的话题,此次Govware2010也有一个单独的云计算Track(清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲,可惜由于时间冲突没有听得上)。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题,好在公司在此方面积累甚多,不少同事热心帮助。最后定下来的题目是:Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等,介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…
两则云安全联盟的新闻:
- 8月11日,云安全联盟中国区分会CSA-GCC成为正式分会。
- 7月28日,云安全联盟在Blackhat大会上宣布推出“云安全知识认证 – CCSK。该认证将以《云安全指南》v2.1作为认证教材,9月1日推出。企业成员将会免费获得两个认证考试指标。
云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版,对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页:
本白皮书由开放式 Web 社区的 1300 多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者,但这一队伍迅速壮大,目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。
在本白皮书撰写过程中,宣言中的三个原则至关重要:1) 用户应通力合作;2) 保持云计算 开放的任何行动应以客户利益为导向;3) 尽可能沿用现行标准。
本白皮书应不定期更新,并进行扩展和修订。我们在此将其翻译成中文版本,供中国的云 计算社区使用,借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。
衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…
欢迎您对CSA-GCC的徽标提出建议
按照CSA对于各地分会的要求,分会应该:
- 成立相应的理事会,理事会人数在5-15人;
- 并制定徽标logo;
- 定义未来一年的工作计划等。
如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者:
- 1 对云计算和云安全有深入研究和丰富的行业经验
- 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情,有时间精力参与相关的技术和其它分会活动
- 3 愿意贡献和分享自己的经验、观点、文档以及其它资源,来帮助分会成长
- 4 相信社区团队合作能够有效推动云安全技术进步,提升在大中华地区的实践,
大潘和我热情欢迎您自荐或推荐理事会成员,并对分会的运行和工作计划提出建议、指导和批评。
就目前而言,讨论中的项目计划包括以下内容:
- 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM,组织小组抽时间翻译
- 2 借鉴安全控制矩阵,组织小组进一步开发面向大中国地区的落地版本,更适合于定义需求和选购云服务
- 3 研究当前主要云服务提供商和云安全服务商的用户协议,评价其合理性,开发一个更为标准通用的模板,定义安全相关的职责和权利,为业界提供借鉴
- 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
- 5 在8月份召开一次云安全研讨会
- 6 其它开放的项目机会
2010年4月22日,通信网络和信息安全高层论坛在北京鸿翔大厦召开,我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言,介绍了云计算相关的云安全保护和基于云的安全服务,对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外,还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。
点击下载发言所用PPT…
近来,微软完成了“思想”转变,全身心的投入到了“云”浪潮中去。下面贴上两幅图,是从微软架构师David Chou在Cloud Connect大会上的演讲稿中摘选的。
第一幅 :全民动员 – 微软全面拥抱云计算。微软发现Google其实还是有些年轻,最近在用户隐私什么的、中国业务方面犯了不少错误。这就是反击的时机。微软高调说微软的邮件服务不会被Bing索引,不像Google的Gmail那样…
Read more…
点击下载中文版。
2010年3月29日,CSA云安全指南中文版发布,下面是中文版的译者序。
云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到截稿时,企业成员达到33个,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是,中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来,企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。
自其成立起,云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日,云安全联盟发布了新版的《云安全指南》v2.1,代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色:
特色1: 务实,贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业,大多在美国、欧洲、亚太和中国等的第一线工作,指南的内容较为真实地反映了最新的业界最佳实践和观点,提供了非常详详细、务实的大量建议,非常容易转化为项目的检查列表等形式,方便读者参考。 Read more…
李彦宏:……我们也看到很多其他领域把其他竞争对手弄死了,自己也没有什么好结果。尤其对一个新兴产业、快速增长的市场,尤其是这样…… 我就在想什么时候能够有一天我们也跑到某一个国家声称我要退出你这个国家,这个必须要有全球的影响力才能够称得上强大,这一点我对中国有信心 ……
马化腾:…… 在创意产业、文化数字内容产业,就像王中军说的,其实缺的就是导演、策划,技术、人工这些人才还是不缺的,这些 课补上后,完全可以成为全球数字产业大国 ……
马云:……我最怕的是老酒装新瓶的东西,你看不清他在玩什么,突然爆发出来最可怕。假如从来没有听说的,这个不可怕……
下面转帖的是新浪科技-2010中国(深圳)IT领袖峰会上-百度、腾讯、阿里巴巴三位大当家的对话,对话内容非常精彩。转帖开始…………………… Read more…
引子:
观放白鹰二首(李白)
八月边风高,胡鹰白锦毛;
孤飞一片雪,千里见秋毫。
RSA大会一向是网络安全圈子里的大场面,传统上各路老大都会赶来捧场,也作为自己后面一年市场理念、产品技术的首发之地。好,对于到场的老大们就不一一赘述了,我们看看哪些大厂没有来。
缺席的第一家是Oracle。大家知道,Oracle其实已经悄悄成为安全圈子里的实力派,尤其是在2005年购并Oblix、2009年购并Sun以后,其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面,Oracle的CEO Larry Ellison经常对云计算冷嘲热讽,一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面,Oracle在迅速发展其网络安全解决方案能力,另一方面Oracle又不“与狼共舞”,来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友,个人身份参与。
缺席的另外一家是Juniper。Juniper在购并Netscreen后,安全产品行销全球,在FW/IPS/VPN等领域实力强劲,是相关产品评论不能不提的厂商,“地球人没有不知道的”。不知为什么,Juniper对家边上的RSA不对眼。Juniper有Speaker出场,可是不参展。Juniper不到场,肯定不是“差钱”。
华为的缺席也情理之中,又在意料之外。华为-赛门铁克(华赛)在国内也一直以国际行销出名,很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污,甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗!呵呵。
闲话讲完,还是来看看这次大会有什么新鲜内容吧。 Read more…
Categories: -Chinese-, Architect, Cloud, Security, Telecom Tags: 2010, CSA, 网络安全, RSA, 云计算, 云安全, 云安全联盟
想必大家都关注到了这次获得媒体广泛关照的丰田汽车召回事件,Google上面搜索“丰田汽车召回”,刚刚的搜索结果数是8.8M+。虽然说 汽车家电等召回事件在中国国内,拜国内消费者“保护”所赐,不是很多,消费者大都哑巴吃黄连了。可是,这在西方发达国家是惯例 – 你生产的产品出了质量问题,召回-免费修补是天经地义的事情。
回过来在看看我们所处的IT和软件业呢?大家随便找到一份商业软件的license agreement等,逼着你签过字的那种,都明明白白写着 – 本软件“as-is”;不保证不出漏洞;出了漏洞不保证什么时候可以出补丁;出了补丁,不保证那个补丁管用;软件使用中出了事故,赔偿金额不会超过软件价格;….
在IT和软件作为新兴行业时,对这种高风险的新生事物特例一些保护是可以理解的。但是,当这个行业里占据了越来越多的500强、产生了越来越多的亿万富翁时,对此基本市场义务的反思就成为很容易理解的动向了。
SANS和Mitre Corp,这两个大名鼎鼎的组织联袂发起了这个很有思想性的项目。说其“很有思想性”,是因为我想这个问题也有不少时间了。为软件和安全厂商工作,这种感觉不会有,或不会很明显。但是作为内部IT运行人员就不一样了。你的病毒系统误杀了几千台电脑的软件,搞当了数百个服务器,我居然无法通过合同/许可条款获得正常的赔偿?很让人窝火。你的软件出了漏洞,厂商不但迟迟不响应补丁,还似乎成了用户的责任 – 当初签字画押时就说好的 as-is… Read more…
Recent Comments