又到RSA Conference
(2010年4月)主持人/江海客
嘉宾:
赵粮,绿盟科技首席战略官,博士,毕业于北京大学。曾任联想集团安全运营总监、在CA中国任首席顾问、在安氏互联网安全系统(中国)有限公司任首席战略官。
Billy,安天实验室副总工程师,北卡罗莱纳大学工学硕士。前安全技术研究团队蚂蚁公社创始人之一,中国信息安全专业人士俱乐部CCClub秘书长,ISO27001&ISO20000高级咨询顾问,CISSP认证高级培训讲师,《软件开发安全生命周期》一书译者。
江海客:一年一度的RSA Conference本月召开,成为业内聚合的焦点。RSA大会一直被视为业内技术导向的风向标。毫无疑问,云是本年度RSA Conference的主题。从最早的客户端频度统计和上报,变为普适性的聚合和挖掘方法,云技术迅速的成为百变金刚。在今年的大会上从Symantec到MS的高管莫不把云作为自己报告的核心主题。
但笔者期望国内IT界警觉的是,云的价值在于提交、聚合和挖掘,这本身即是一种保障体系,同时又构成了另一种威胁。由刻耳柏洛斯(Cerberus)守门确实能增加主人的威仪,但主人本身也要加强对这个三头怪物的提防。
而今年其他的热点,有请亲历了大会的赵粮博士介绍。
赵粮:
合规性是大会的另一个热词,参战公司有1/4声称自己提供合规性解决方案。Session topics没有统计,但Speaker也纷纷向合规性靠拢。企业、机构除了关注自己的电子商务流量、品牌名誉、客户信心等,最要紧的还是政府、行业的法律法规、硬性要求。原来讲SOX太贵了,PCI太贵了,企业搞不起。可是,老外有一个很大的优点,就是不停地“调优”,一个版本一个版本地行进间开火,直到获得成熟方案。
PCI 在争论中走入实践。在当前比较Popular的标准中,PCI-DSS属于比较另类的,只有12个要求,但很具体。标准的制定、标准的检验认证、认证师培训资质、认证工具等清清楚楚。只要开网做生意,就不免和信用卡、借记卡等打交道。那你就得拜这个山头。
对数据和隐私的关注:这次会议也让人关注加州通过的法案 – SB1386 (Senate Bill),就要求凡是和加州人有关的个人信息,不管你公司和信息系统在哪里,只要有信息安全泄漏,必须尽快通知到受影响的个人。
Billy:
无可否认,RSA大会得到了全球范围内信息安全界的认可并给予了极高的声誉;但这还远远不够,信息安全、网络安全等作为一个亟需重视的领域,越来越多的受到了政府部门的认可与关注。因此在本次大会上,我们看到了美国总统奥巴马的首席安全官员Howard Schmidt,看到了政府前反恐官员Bill Crowell,还看到了曾担任哈佛肯尼迪政府学院科技与国际事务部主任及前白宫网络高级总监的Melissa Hathaway,甚至还看到了现任国土安全部DHS的助理官员Gregory Schaffer以及布什总统任上的第六任专司应对网络威胁的FBI总监Robert Mueller等诸多安全要员。
这意味着美国政府早已经将网络空间中的威胁提到一个全民皆兵的高度,甚至国土安全部还面向全社会以类似“选秀挑战赛”方式征集最有价值的安全方案、建议等,其目标用于提高全民安全意识。
本月漏洞
国家信息安全漏洞共享平台公布了近期漏洞,本月文件格式解析再成热点,.ani出现可被DoS攻击的漏洞,而excel的漏洞多达八个,此外有两个播放器可以被MP3文件格式协议漏洞溢出。
事件
西厢计划成为热点:实际上它提出了一种方法,利用仿造数据的方式,让基于旁路的TCP过滤机制认为链接已经终止,从而实现了绕过检测。
麦道夫的程序员被逮捕:FBI逮捕了Madoff(麦道夫)的工作程序员,两位40多岁经验丰富的程序员利用设计的代码伪造不存在的交易记录。
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
