Cloud & Telecom Security

上周美国管理预算办公室OMB、总统网络安全特别协调员Howard、国土安全部联合发布文件，调整明确了在网络空间安全方面的任务分工：

Under various national security and homeland security Presidential directives, and pursuant to its statutory authorities, DHS oversees critical infrastructure protection, operates the United States Computer Emergency Readiness Team (US-CERT), oversees implementation of the Trusted
Internet Connection initiative, and takes other actions to help secure both the Federal civilian government systems and the private sector.  At the same time, OMB has a number of
cybersecurity responsibilities, principally in connection with FISMA.  The Cybersecurity Coordinator leads the interagency process for cybersecurity strategy and policy development. Read more…

印度有一个数据安全理事会DSCI(Data Security Council of India)，CEO是Kamlesh Bajaj先生。他在达拉斯世界网络安全大会上作为特邀嘉宾多次主持会议。会后，Kamlesh把主要观点和动议编辑成一份白皮书，有EWI公开发行.

这份报告站位比较高，很系统地从网络空间安全有关的威胁、立法、政府、商业等各种角度做了总结回顾，改变了不少我们以前对于印度在网络安全方面的看法，推荐阅读。

下面是文档中使用的Kamlesh的官方简介：

Kamlesh Bajaj is the Chief Executive Officer of the Data Security Council of India and Head of NASSCOM Security Initiatives. He has over 30 years of experience in various capacities in the IT industry. Over the last two years, he has led the development of best practices for data protection, promoted their use by IT and business-process outsourcing companies in compliance with regulations of client countries. He was the Founder Director of the Computer Emergency Response Team in the Indian Ministry of Communications and IT. He has also served as Deputy Director General of the National Informatics Centre. He led several large projects in finance and banking, most notably the Customs EDI Project that introduced near-paperless operations in custom houses in India. Dr. Bajaj began his career as a Software Engineer at CAE Electronics in Canada. He is also a Fellow at the Institution of Electronics  and Telecommunication Engineers, India, and at the National Academy of Sciences, India.

Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft，他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。

总体上感觉，与RSA安全大会相比，Gartner大会偏重于“未来”，按照Gartner自己的会议定位，是意图在“战略”和“执行”，在“技术”和“业务”，之间取得平衡。会后我认为Gartner实现了自己的目标，下面把我的一些观感和大家分享。

1 会议的涉猎范围非常广泛，从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性（Resilience）企业、绿色地球、安全情报、到云计算职业人生规划等。

2 云计算和云安全，在Gartner的分析师和这次峰会的演讲者中，已经转向了实现和How的部分 Read more…

【注】本文节选自为即将发布的绿盟技术内刊，我被邀写一写新的动向，于是捉刀砍向最近关注的ICT供应链完整性，或大家更喜欢“安全”。这个话题在这篇初次提到，又在这篇再次涉及到，这次的内容稍微丰富了一些，希望能够给大家在工作研究之余，多一些参考。

1、什么是供应链安全？
供应链安全并不是一个新词汇，在业界媒体和学术期刊中已有相当的覆盖。随着经济全球化的逐渐深入，供应链的长度和复杂度、地理分布都大幅增长。在货物生产过程和运输过程中造成的盗窃、丢失、伪造、损坏、以及恐怖袭击等带来的损失对商业和经济的影响越来越大[CTPAT]。在此背景下，政府权威机构和业界发起了一系列的安全增强活动。例如，由美国国土安全部海关与边界保护局（CBP）推动，与进口商、物流业及制造厂商合作的“海关 – 商贸反恐布联盟”C-TPAT（Customs-Trade Partnership Against Terrorism）成为新时代供应链安全管理的一个具有代表性的项目。该项目是在“9‧11”事件发生后所倡议成立的一个自愿性计划，于2002年4月16日正式施行。 CBP希望通过此项目能与相关业界合作建立供应链安全管理系统，以确保供应链从起点到终点的运输安全，安全讯息及货物状况的流通，从而阻止恐怖分子的渗入[DHS]。
2、ICT的供应链有什么不同？
相对于IT和电信来说，信息通信技术（ICT）是个相对较新的词，虽然关于其定义，也有一些争论，读者可以参见维基百科，也可自行使用百度或Google搜索相关结果。
在转型的时代主题下，电信运营商也开始频频使用ICT 来概括电信业务的新边界。新的用法语义上全然不同，最先使用ICT的电信公司是英国电信。在英国电信网站上有一段描述性的解释：“ICT- Information Communication Technology， The ‘C’ now added to the traditional ‘IT’ reflects the worldwide convergence of computing and telecommunications. ICT has made possible instant exchange of information, regardless of distance.”大意是“C”加入到“IT”中反映全世界计算和电信的融合，ICT促成了超越空间的快速信息交换。从字面意义上看，反映的是IT服务和电信服务之间边界消失过程中扩张和衍生的产物。 Read more…

继续开会！

6月9日，CSO杂志在纽约举办了一次以数据保护和加密为主题的论坛，邀请到了若干位CSO/CISO/CPO谈企业的数据保护和加密相关策略实施等。赞助商中除了“一个都不落下”的McAfee之外，还有办RSA大会的RSA, 电信行业中第一个出版安全报告的Verizon，以及几家做数据安全管理产品的startup公司。

做报告和Panel的几位CSO/CISO/CPO都口若悬河，坚定地认为并强烈推荐 – 加密->所有的笔记本、U盘、智能手机、Data-at-rest、Data-in-motion、…. 为什么？ 因为这样你可以睡觉时安稳些，有人掉了电脑，你不用上媒体、回答监管机构的询问，因为数据是加密的… 这个观点我是支持的了，因为有过那样的教训。尤其是“当用户数据泄漏需要向当局汇报并通知受害者”逐渐成为法律时，事情就更加严肃了。

Read more…

信任 – 的确是网络安全的一个核心概念。关于这个概念有很多讨论，可是很少看到有准确的定义或者较为深入的探讨。ISECOM的Pete Herzog做了一个漂亮的工作。他给“信任”定义了十大属性，尝试使用数学、数字的方式来定义、测量信任。这个工作酷不酷？

Pete之前有个很著名的项目 – OSSTMM（Open Source Security Testing Methodology Manual）- 一个很棒的项目。Pete现在的头衔是ISECOM（Institute of Security and Open Methodologies）的合伙创始人和MD。下面是ISECOM的概要说明： Read more…

今年是绿盟科技成立十周年，也是中国跌宕起伏的网络安全业界发展最为关键的十年。以下文字节选自笔者撰写的“中国网络安全发展十年”中第三部分-发展。

中国的安全业界走过了她重要的十年，防火墙、入侵检测、安全专业服务、安全管理中心SOC、AAA/AAAA、应用安全、Web安全、数据安全、云安全… 回首这一个个脚印，我们希望理清道路的脉络，发现其内在的“导航仪”，希望能看清未来的的方向。
本节希望通过下面四个话题的讨论和读者一起产生一些“脑力激荡”和启发。

• 威胁的蔓延

从本质上说，安全威胁是安全业界得以产生、得以生存的原动力，是网络攻防矛盾中最变化多端的一方。从每年各个权威结构发布的威胁报告上，可以不断的阅读发现到人类的创造力和新思维。
安全业界发展的十年中，处于对立面的威胁方也完成了从孩童期到成熟期的发育，从单纯的好奇、挑战、成名等发展到基于投入回报ROI的、有组织的、具有很强针对性的入侵攻击。
在经济利益驱使下，为了获得更大的商业利益，网络安全威胁呈现了下面的一些特点： Read more…

这两天读到著名安全专家Dan Geer的文章 – “Nothing Ventured, Nothing Gained”, 里面有几点很有趣的地方，忍不住和大家分享一下。

1 Dan创造了一个“新颖”的价格指数 – 安全价格指数C-SPI。大家在媒体上已经对消费价格指数CPI和工业价格指数PPI很熟悉了，也知道它们正在天天悄悄上涨，侵蚀大家辛苦赚来的辛苦钱。这个安全价格指数是什么呢？参看右图。大家都知道有个叫做灰色市场或地下市场的地方，在那里有很多新奇的商品，有信息数据服务，比方说电子邮件地址了、电话号码、信用卡号、银行账号什么的；有信息发送业务，例如发送垃圾邮件、垃圾短信什么的；有情报业务，例如0-day漏洞什么的；也有较为凶悍的，让Yahoo, Baidu什么的服务中断多长时间什么的… 在Symantec、McAfee、IBM/ISS等的全球威胁报告中也经常发现关于该市场的报告。可是Dan的这个C-SPI让人感受到专家和学问的力量。 看看右图，这个指数在悄悄的上升中。价格上升有多方面的原因，除去像中国房市价格这种“观赏勾结浪倍维艰”非市场因素之外，笼统的说，就是供需关系：

• # 很多个人或组织大量涌入该市场，寻求数据情报服务等，导致供不应求，价格上涨
• # 数据情报服务提供者们手中的“产品”生产不够快，成本上升了，或者由于防守一方进步了，或供应链上的从业者减少，或…，或… Read more…

第一届Worldwide Cybersecurity Summit在达拉斯召开，演讲人名单上不乏重量级人物，美国白宫信息安全特别协调员Howard Schmidt、Dell公司的创始人董事长CEO Dell、大名鼎鼎的信息安全思想家Bruce Schneier、德勤的CEO James、Verisign创始人Addison Fischer、微软可信计算业务单元的副总裁Scott（这位老兄演讲很棒，RSA2010上的Keynote也不错）等，另外，还有来自多个国家的高级政府官员，例如日本NISC（国家信息安全中心）的副主任Yasuo和Nozomi，加州的CIO Teri Takai、加拿大国家空间安全总局局长Robert Dick、法国网络信息安全局局长Patrick Pailloux、爱沙尼亚司法部长Rein Lang、亚美尼亚前总理Armen等等吧。没有演讲，有幸认识的政府官员还有明尼苏达州的CIO Gopal Khanna、新加坡军方C4 Operation Group长官Col Dan、等。参会名单上还有长长的高官和名人，不再赘述。

Dell在2009年9月份以39亿美元高价收购Perot Systems，IT服务实力大增。在2010年2月份布鲁塞尔进行的第七届世界安全大会WSC上，其服务业务总裁Peter Altabef就做了题为“Balancing Cyber Threats and Cyber Benefits”的Keynote。这次在Dallas的网络空间安全大会，Dell更是成为最高级赞助商，创始人/董事长/CEO Michael Dell亲自出场，热情演出。虽然Dell自己讲这次高规格资助主要原因是会议在德州，Dell是德州的企业云云。但是，在Dell的战术板上，EWI和网络空间安全大会或许就是打响其服务品牌登陆作战的突破口。 Read more…

在2010年4月12日，云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立，这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。

CSA-GCC成立的宗旨有三，分别简述如下：

其一：构建平台，促进沟通。帮助大中华地区（中国大陆、香港、台湾）以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通，增进了解；

其二：合作开发，共建共赢。各个地区都有各个地区的特点，GCC希望能够促进业内的合作，在标准规范模板等方面起到催化剂和组织者的角色。

其三：引进来，走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来，为国内同行提供借鉴，少走弯路，提高效率；另一方面，增进与国际同行的沟通交流，消除误解，把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去，对国际业界的健康安全成长做出贡献。 Read more…

在前面的帖子里提到过EWI东西方研究所。从名字上看，总感觉 EWI – “东西方研究所”这个名字有些神秘感，不知道它是哪个方面的。下面是从EWI发布的官方文档上的简要解释：

东西方研究所是一家国际性、非党派、非营利性政策研究机构，主要研究应对重大和平问题的对策。该所成立于
1980年，致力于构建互信、提升领导能力、积极促进合作。该所在纽约、布鲁塞尔和莫斯科均设有办事机构。

从官方网站和发布的文档上还可以发现大家熟悉的名字 – 胡锦涛（中国国家主席），杨洁篪（中国前外交部长），George W Bush（美国前总统），等。这些高层政治人物，在EWI的使命任务中和我们所在的网络安全联系了起来。

EWI东西方研究所研究的是广义上的“安全”，我们的网络安全，或者网络空间安全，是广义安全的一个分支。尤其是在网络空间安全被越来越多的国家、政治家们视为重要国家竞争力和安全保障的关键环节后，这个“包含”显得非常顺理成章。Karl是EWI网络空间安全的首席科学家，我们在前面的帖子中已经介绍过了。

从这份报告可以大致看出EWI东西方研究所的主要使命和工作内容。 Read more…

昨天，在全民搞网络空间安全、政府商业机构一起宣贯的大好形势下，国土安全部DHS又有新举措 – 号召业界公司机构和个人踊跃参加，献计献策，目标是如何提高全民安全意识…

The Department of Homeland Security is working with many organizations, both individually and through the National Cyber Security Alliance, to find ways of raising public awareness of cybersecurity. As we develop strategies and messages that will resonate with various groups, we want the benefit of your ideas on how you would get the word out to your colleagues, or your friends, or your parents and children. This competition will gather and share publicly the best, most creative ideas for making the public more cyber secure, cyber smart, and cyber assured.

目标挖掘的方案建议包括在下列方面的好点子： Read more…

引子：

观放白鹰二首（李白）
八月边风高，胡鹰白锦毛；
孤飞一片雪，千里见秋毫。

RSA大会一向是网络安全圈子里的大场面，传统上各路老大都会赶来捧场，也作为自己后面一年市场理念、产品技术的首发之地。好，对于到场的老大们就不一一赘述了，我们看看哪些大厂没有来。

缺席的第一家是Oracle。大家知道，Oracle其实已经悄悄成为安全圈子里的实力派，尤其是在2005年购并Oblix、2009年购并Sun以后，其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面，Oracle的CEO Larry Ellison经常对云计算冷嘲热讽，一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面，Oracle在迅速发展其网络安全解决方案能力，另一方面Oracle又不“与狼共舞”，来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友，个人身份参与。

缺席的另外一家是Juniper。Juniper在购并Netscreen后，安全产品行销全球，在FW/IPS/VPN等领域实力强劲，是相关产品评论不能不提的厂商，“地球人没有不知道的”。不知为什么，Juniper对家边上的RSA不对眼。Juniper有Speaker出场，可是不参展。Juniper不到场，肯定不是“差钱”。

华为的缺席也情理之中，又在意料之外。华为-赛门铁克（华赛）在国内也一直以国际行销出名，很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污，甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗！呵呵。

闲话讲完，还是来看看这次大会有什么新鲜内容吧。 Read more…

想必大家都关注到了这次获得媒体广泛关照的丰田汽车召回事件，Google上面搜索“丰田汽车召回”，刚刚的搜索结果数是8.8M+。虽然说    汽车家电等召回事件在中国国内，拜国内消费者“保护”所赐，不是很多，消费者大都哑巴吃黄连了。可是，这在西方发达国家是惯例 – 你生产的产品出了质量问题，召回-免费修补是天经地义的事情。

回过来在看看我们所处的IT和软件业呢？大家随便找到一份商业软件的license agreement等，逼着你签过字的那种，都明明白白写着 – 本软件“as-is”；不保证不出漏洞；出了漏洞不保证什么时候可以出补丁；出了补丁，不保证那个补丁管用；软件使用中出了事故，赔偿金额不会超过软件价格；….

在IT和软件作为新兴行业时，对这种高风险的新生事物特例一些保护是可以理解的。但是，当这个行业里占据了越来越多的500强、产生了越来越多的亿万富翁时，对此基本市场义务的反思就成为很容易理解的动向了。

SANS和Mitre Corp，这两个大名鼎鼎的组织联袂发起了这个很有思想性的项目。说其“很有思想性”，是因为我想这个问题也有不少时间了。为软件和安全厂商工作，这种感觉不会有，或不会很明显。但是作为内部IT运行人员就不一样了。你的病毒系统误杀了几千台电脑的软件，搞当了数百个服务器，我居然无法通过合同/许可条款获得正常的赔偿？很让人窝火。你的软件出了漏洞，厂商不但迟迟不响应补丁，还似乎成了用户的责任 – 当初签字画押时就说好的 as-is… Read more…