二 26
文 / 沈锡镛
背景:阿里云已获得由BSI(英国标准协会)审核的ISO 27001信息安全管理体系国际认证,该体系涵盖基础设施、数据中心和云产品,包括阿里云弹性计算、开放数据处理服务(ODPS)、关系型数据库服务(RDS)、云安全服务(云盾)。ISO 27001是一种被广泛采用的全球安全标准,它建立在定期评估风险的基础上,采用安全控制和最佳实践相结合的系统化方法来管理公司和客户信息。为了实现认证,阿里云必须表明它有一个系统的和持续的方法来管理信息安全风险,影响公司及客户信息的保密性、完整性和可用性。该认证巩固了阿里云对安全控制透明化的服务承诺。
本文拟从分析传统信息安全管理和云计算安全管理的差异性入手,提出云计算服务商所面临的安全问题,讨论阿里云计算在满足云计算安全管理的实践。 阅读全文 »
标签: 云计算 • 凌云 • 安全 • 阿里云
阅读:11,507 次
三 20
文/刘江
2011年底包括CSDN在内的许多知名网站先后被曝严重的用户信息泄漏事故,相信让很多人又一次切身体会到现实的安全威胁(事发时我在韩国,一时大意,有1万多关注的Twitter账号因此被盗,至今尚未追回)。而作为从业者,除了骂娘之外,恐怕更应该做的是冷静思考:我们能够做些什么,又应该怎么做?比如,密码这个被称为最差身份验证机制的古老技术,是否有更理想的替代解决方案?技术实力不足的网站与网络服务的用户资料管理,是否有好的办法? 阅读全文 »
标签: 卷首语 • 安全
阅读:8,859 次
三 16
文 / 肖梓航
在当今计算机安全界影响最大的专家,不是Mitnick那样狂放不羁、神出鬼没的黑客,也不是Rivest、Shamir和Adleman(RSA发明者)三位图灵奖得主那样高不可测的大师,而是学问、口才、文笔俱佳且思想犀利、敢说敢做、精力充沛的Bruce
Schneier。 阅读全文 »
标签: 名人堂 • 安全
阅读:16,383 次
二 29
文 / 肖新光
2011年末多家国内网站用户信息泄露,让许多人意识到安全不再是与自己无关的话题。2012年3月《程序员》封面报道,我们分别从身份认证、数据库安全、中间平台、终端用户、云计算等几个角度为大家剖析安全所涉的方方面面。
互联网之前的身份认证
身份认证是一个古老的话题,从最早的户籍造册,到今天的2代身份证或社会保险号码,“我是谁”或“他是谁”的问题贯穿着人类社会的发展。
身份认证的历史,是辨识方式演进的历史。辨识可能是基于个体,如悬赏缉拿画影图形,也可能是针对群体,比如两军对垒,要身着不同的盔甲以做混战中的辨识。身份认证的历史,也是与仿冒和窃取对抗的历史,从兵符形状相合到盖在圣旨上的“皇帝之宝”图章,都是在与诈符矫诏进行着斗争。因此,互联网身份认证,并不是孤立新生的技术,它具有传统的特点,也具有新生的便利性,同时也带来了新的困难与挑战。 阅读全文 »
标签: 安全 • 特别策划
阅读:24,855 次
二 29
《程序员》封面报道:互联网安全
2011年末多家国内网站用户信息泄露,让许多人意识到安全不再是与自己无关的话题。本期封面报道,我们分别从身份认证、数据库安全、中间平台、终端用户、云计算等几个角度为大家剖析安全所涉的方方面面。
(1)互联网场景的身份认证方法分析
(2)数据库安全五大方面与保护机制
(3)让安全成为IT系统的基础属性
(4)用户终端是最薄弱的安全短板
(5)安全—云计算的门槛
(6)Web应用平台的安全防范
(7)从“泄密门”谈浏览器安全
(8)使用Metasploit进行渗透攻击
阅读全文 »
标签: 安全 • 导读
阅读:31,024 次
二 13
文 / 江海客
当摩尔定律成为灾难
讲到破解对抗问题,要从攻防两方面所拥有的资源说起。之前我们基于一台普通的戴尔笔记本进行了一个小测试:在笔记本里装了一个虚拟机进行相应的Hash次数计算,发现这么普通设备里的虚拟系统,大概每秒钟可以完成50万次以上的标准MD5散列计算,这个结果得益于摩尔定律。我们要注意,这既是散列计算的速度,也是破解所需的数据资源生成的速度。这样的计算速度不仅为我们所拥有,也为神秘河对岸的攻击者所拥有,而且他们的有可能比我们更多。 阅读全文 »
标签: 安全
阅读:12,859 次
十 08
文/肖新光
如果国内安全厂商在平时不能对工控做构建等准备,一旦出现安全事故再进场,必然十分茫然。
今年8月有一件事让我感到遗憾——在高铁事故调查组中没有见到信息安全专家的身影。虽然狭义上看这并非一起信息安全事故,但我们应该看到,由物理安全和电气安全组成的现有工业系统安全观已经陈旧,面对复杂的国际形势和国内情况,中国高铁的安全以至整个工业体系的安全都需要经得起国土安全角度的考察和推敲。
这种检视不但要基于常态运营,更要基于突发事件、自然灾害、恐怖袭击等。潜在的威胁不仅来自物理层面上,还可能来自信号层面和信息层面,此时就需要信息安全专家的出场了。
在动车事故发生前,高铁系统已经发生了3起电气事故。网上曾出现传言称这几起事故是某些国家释放出蠕虫所致。我对此做了搜索对比,发现这一传言是由此前在《新京报》的一篇报道中的部分文字与一些所谓“蠕虫”的消息拼接而成。从内容上看,漏洞百出,质量极低。但就是这样一条假新闻,却被国内网站大量转载,其中不乏专业的电气技术协会组织。 阅读全文 »
标签: 安全
阅读:10,826 次
近期评论