A. 如何應對BYOD時代的安全風險
一聲招呼也沒打,安全負責人就匆忙離開了會議室。她的身體語言透露出那是一個重要的電話。當她返回到會議室,所有人的目光都不自覺地提出了疑問,想知道發生了什麼。無需更多提示,安全負責人直接說到:「CEO想知道為什麼她不能在她的iPad上面觀看YouTube視頻。雖然這違反公司規定,但我們必須允許讓她能看。同時,她還希望能夠用她的iPhone訪問她的電子郵件和日程安排。」以上是發生在一家大型金融機構內的真實事件。
員工自帶設備辦公(BYOD)已成趨勢,將以加速發展的步伐變得清晰起來,並且必然與雲緊密相連。在考慮這一趨勢的含義時是有多條軌跡的。證據是顯而易見的,因為大多數的智能電話利用雲為消費者提供服務。術語「shadow IT」已經存在有一段時間了,但在今天尤其切題。歷史上從沒有任何時候像今天這樣在一個公司的網路上能輕松繞過IT部門消費雲服務,並使用非標准設備。像上面提到的例子那樣,CEO跑到IT部門為業務需要要求獲得某項雲中的服務,這種情況經常發生。
在最近於舊金山召開的RSA大會雲安全小組討論會上,來自eBay, Sallie Mae, Humana 和 Bank of America的首席信息安全官們都一致認同:安全部門需要對這些需求做出預判,並在面臨這些問題之前就做好准備。換句話說就是,信息安全部門的操作方式需要進行根本性的模式轉變。在面對可能增加風險的申請時不是繼續說「no」,而是需要說「yes」,並創造性地設計出解決方案同時降低風險。
在公司中,下一代員工似乎對社交媒體之前的世界一無所知,他們會要求能夠使用他們自己的設備。在很多案例中,他們都提到這會提高生產力和效率。另外,他們可能將此作為加盟一家單位的一項必要條件。在招募人員時允許使用自己的設備可能成為一項激勵措施,或者與另一家不允許這樣做的公司對著乾的措施。
這樣還有益處可享。隨著用戶趨向在自己的設備上研究和解決自己的問題,支持成本會隨之降低。這還可能成為一家公司朝著設備無關、面向服務的結構邁進的不可拒絕的理由;從長期看為開發、操作和維護帶來成本的節約。
允許員工使用他們自己的設備會帶來許多風險,但這些風險很少是有經驗的安全專業人員沒見過的。這些設備需要作為部分可信的端點來對待,或者在大多極端情況下作為完全不可信的端點來對待。主要的考慮是BYOD會使風險提高。非標准設備可能比傳統的、由公司發放的使用非常嚴格的措施鎖住的設備更容易地被攻擊者損害。
應對由BYOD帶來的風險增長,可遵循如下一些策略:
倡導鼓勵安全文化。安全觀念應成為企業有機整體的一部分。這需要進行文化轉變。安全觀念必須成為一個能動器並嵌入到企業的各個方面。不能將安全意識看作企業創造精神的障礙。
教育、測試、重復。單位和終端用戶必須共同承擔責任。在最近召開的RSA大會上,著名安全名人(先前的黑客)Kevin Mitnick反復強調,社會工程仍是最容易的讓安全意識滲透一家公司的方式。實際上,許多高級持久威脅(APT)都涉及使用Spear Phishing網路釣魚方式,捕獲安全意識缺乏的員工,來損害網路。因此,不要停止對員工進行教育。必須定期在員工最沒有想到的時候對員工進行測試(並讓他們意識到缺失),加強正確行為方式的建立。
建立易於理解的BYOD規定。不要依靠用戶破譯「安全語言」。例如「要確保你的設備安裝有我們公司強制安裝的軟體。你可按如此步驟從這個地點下載並安裝。」
執行訪問控制策略。應依靠身份、背景和規定對資源(例如數據和應用)進行保護。如果系統不能確定用戶的身份,如果不符合合規標准(例如屏幕解鎖口令/PIN未激活)或者沒有安裝必裝的軟體(如防病毒軟體),就不能允許設備訪問資源。根據所處地點和連接是否加密等因素通過對訪問進行限制來應用背景。
使補救過程自動化。通過將大多數補救過程自動化盡可能簡單地使用戶能確保設備合規。不要依靠用戶能自覺了解他們需要下載和安裝一系列軟體。這可利用身份分配和配置管理技術來實現。
利用安全信息和事件管理工具進行監控。利用可提供身份綁定的審計和控告智能的安全信息和事件管理(SIEM)解決方案對所有在公司網路上訪問資源的設備進行監控。在一個充滿部分可信、潛在受損設備的環境下,具備洞察力是首要的,而事件響應時間則是關鍵性的。
使用具有擔保層級的身份聯盟。通過跨分區將用戶身份進行聯盟並依靠信任級別執行訪問控制,在具有許多身份來源的環境中以一種安全的、基於標準的方式降低操作成本。作為一個例子,我們來考慮員工內部身份和他們的在線身份之間有重疊的問題。使用自己設備的用戶通常已經登錄到他們的在線帳戶中(如微博),為保證易於使用和透明的一次登錄,安全策略可以實施為支持多個擔保層級。如果某員工已經登錄到微博,內部應用可利用那個身份,但給他較低的信任級別。這樣,員工就可使用其微博資格訪問內聯網非敏感部分。但如果想訪問公司的電子郵件,他就需要提供員工資格從而執行更高一級的擔保,即該員工是他所聲稱的這個人。
提供安全設備。為員工提供他們所選擇的設備並確保這些設備裝載了要求的軟體和控制。這為單位和個人提供了一個雙贏局面。員工使用自己選擇的設備無需付錢,並可以安全和合規的方式訪問公司環境。
控制從設備的訪問。當通過非標准設備進行檢索時要確保對敏感數據的訪問得到控制。例如,可通過提供遠程會話允許員工利用該信息,但永遠不物理地將數據存儲到非標准設備上。
對敏感數據加密。對任何放在被認為是公司財產的非標准設備上的數據進行加密處理。這可包括員工的公司電子郵件。
應對BYOD風險不存在一個一勞永逸的方法。上面所列各點是為思考過程提供起始點。它們可相互獨立使用,或針對具體需要以不同的組合使用。
現在我們應該清楚地明白,制定BYOD政策並不是授權員工可攜帶自己的設備同時讓公司免去提供設備。它實際上是關於制定一項策略,管理設備,以一種安全的方式訪問公司數據。它是關於如何處理IT消費化的問題和如何對待員工正開始在設備上講他們的個人生活和工作混合在一起這一事實,不管設備是由單位提供的還是他們自己購買的。
BYOD已成為指定術語用於描述這種企業IT的消費化。這種趨勢將會繼續加速發展。它將比人們預想的來得更快,並由多個因素推動。
B. 被稱為網路之父的是什麼 它是由誰建立的在哪一年建立
文特·瑟夫:網際網路之父
作者:ccw 文章來源:ccw 點擊數:418 更新時間:2005-8-27
TCP/IP對於普通百姓來說好似天書中 的符號。就是網蟲看了,頂多覺得這幾個英文字母眼熟,至於它 在網際網路中所起的作用,除了專業人士,沒有人會去深究。不過, 在任何一件對人類的生存形態與生活方式會發生影響的事件 背後,總有人具有使命感。TCP/IP的發明人文特.瑟夫一直用心思 索,怎樣編寫主機與主機之間規范語言軟體,以實現計算機間 的交流。在一次學術會議的休息時間,突然靈感驟至。瑟夫連忙 拿起一個舊信封在背面胡亂畫出個草圖。正是在這張普通的紙 上,瑟夫提出了能夠連接不同網路系統的「網關」(Gateway)的概 念,為TCP/IP協議的形成起了決定性的作用。瑟夫和另一位學者 卡恩一起構建了TCP,後來又不斷將其完善,使TCP成為標准,並 走向世界。瑟夫與同仁的努力,為網際網路插上起飛的翅膀。
21世紀的文藝復興者
與大多數默默無聞的開拓者相比,瑟夫 無疑是最幸運的。他是絕大多數媒體談到網際網路起源時都要加 以引用的人物。而且尊敬地稱他為「網際網路之父」。他說:「你應 該清楚這個頭銜很不公平,有很多人參與了網際網路的創建,我 只是在最初10年裡做了一些早期工作。」這不是客套。個人電腦 不是一個人的發明,網際網路更是集體的力量。戴得上「網際網路之 父」這頂帽子的人可能不只瑟夫一人,但他戴著,的確問心無愧。 25年前,他與人共同發明了TCP/IP協議,打破了網際網路政策的 障礙,將網路從政府學術網轉變成革命性的商業媒體,從此引 爆了一場前所未有的革命。
今年56歲的瑟夫,擔任MCIWorldCom高級副 總裁,負責技術和架構。世界上大多數人都只是靜待網際網路的 爆發性發展,但瑟夫卻不,在發表演講、接受各種榮譽的同時, 他與美國國家航空和航天局(NASA)合作,著手將網際網路延伸至 外層空間。
他一生酷愛科幻小說,有著豐富的計算 機知識,有著對人性敏銳的理解,他將這些個人素質混合起來, 大大改善了整個世界的通信方式和知識獲取的方式。 「Vinton扮演了許多角色。但他更像是21世紀的文藝復興者。他部 分是科學家,部分是工程師、哲學家、商人,但最重要的是一名 偉大的啟蒙者。」瑟夫多年的老闆FredChggs這樣評價他。
瑟夫無疑是網際網路方面為數不多的權 威之一,1992年他組建了網際網路協會,無論在政府社交圈,還是 高科技社區中,瑟夫都是國家級的人物。1997年,他從柯林頓總 統手中接過了美國技術勛章。盡管在他身上的榮譽和影響力與 日俱增,但瑟夫仍像過去一樣平易近人,保持謙虛態度。
網景的安德森說:「我們是站在巨人肩膀 上創造業績」。瑟夫無疑是巨人之一。
1986年後擔任CNRI副總裁,1994年再度回 到MCI,負責MCI基於網際網路服務的通用網路架構,包括為商業和 消費用戶提供數據、信息、語言和視頻的集成服務。
1997年,瑟夫所在的MCI公司,想讓網際網路 具備行星間的通信能力。於是瑟夫著手開發技術,使標準的因 特網能布置到木星、土星、火星和金星等行星和衛星的表面,使 宇宙飛船在太陽系內航行時可以通信。瑟夫表示,離完整的技 術規范還很遙遠,但他希望他的基本設計方案能夠在近距離的 太空旅行中使用,比如預定於2001年的火星探測計劃。
瑟夫的研究成果究竟會給人類帶來多 大的影響,目前還難以定論。
一位有聽覺缺陷的工程師的自白
文特·瑟夫出生於1943年6月23日。在洛 杉磯聖費爾南多谷地區上中學時,他與斯蒂夫克洛克認識,並 成為好友。兩人都酷愛科學,周未經常泡在一起做三維棋盤成 色彩觀察實驗。
瑟夫消瘦結實,易動感情、熱情外露,他 參加學校的後備軍訓練隊,以逃避體操課。在校內他要麼一身 制服,要麼穿夾克打領帶,還總夾著一個棕色大公文包。當時看 來,這身打扮氣度不凡,「我穿夾克打領帶是為了讓自己與眾不 同。雖然以這種方式表現自己可能很幼稚」,然而令朋友們驚訝 的是,文特的這身打扮從未阻礙女孩子對他的興趣。他在情場 上可以說是如魚得水。人人都說,他魅力不一般。
小時候,他的偶像是父親。他父親通過艱 苦奮斗,從一名普通員工升到北美航空公司的高級執行官。瑟 夫的兩個弟弟也表現出眾,兩人踢足球,並輪流擔任學生會成 員。瑟夫本人則是書蟲,興趣龐雜、愛好十分廣泛,幻想色彩較 濃。化學學得特別好,但他真正的興趣在於數學。由於是早產兒, 瑟夫出生時聽覺有缺陷,必須戴上助聽器。他從小到大一直在 設計有助於聽覺交流的技巧。他還寫過一篇論文,叫「一位有聽 覺缺陷的工程師的自白」。
1960年左右,雖然還在念高中,但斯蒂夫 已獲准使用加州大學洛杉磯分校(UCLA)的計算機實驗室。周 未,瑟夫就跟斯蒂夫去。一次實驗室大樓已鎖,只見二樓有扇窗 開著。「接下去,我就知道文特已站在我的肩膀上。」斯蒂夫回憶 道。
高中畢業後,瑟夫進了斯坦福大學,他父 親的公司為他提供了四年的獎學金。他主修數學,很快迷上計 算機。「編程讓人體味到一種奇妙無比的感覺。你創造了一個你 自己的世界,你就是這個世界的主人。不管編了什麼,計算機總 會照辦。它就像一隻沙匣,里邊每一粒沙子都在你把握之中。」
大學畢業。恰逢IBM招人,他就進了IBM洛 杉磯公司,為一個分時系統搞系統工程研究。很快他就發現自 己肚裡的墨水不夠,瑟夫就投到他論文導師愛斯金的門下。當 時愛斯金與ARPA簽有研究協議,研製一台超級計算機,專用於監 測另一台機器上的程序執行情況。這成了瑟夫的論文課題。1968 年夏,斯蒂夫在UCLA和瑟夫一道工作,標志著他倆從此與計算機 網路結下不解之緣。
1968年秋,該課題轉至克蘭羅手下,他用 ARPA撥來20萬美元設立網路測試中心,負責ARPA網計劃中大部 分機器性能測試和分析工作。克蘭羅召集了40名學生為他幹活, 瑟夫和斯蒂夫無疑是其中的老大。另外還有喬波斯德爾。
瑟夫的妻子希格里是插圖畫家,3歲時 耳朵就全聾了。兩人的第一次見面就是他們的助聽器推銷商精 心策劃的。讓兩人不期而遇,一見鍾情。飯後,兩人一起去了藝 術博物館。瑟夫從未受過藝術方面的訓練,但他也表現出濃厚 興趣。在康定斯基的大型作品前,他佇立良久,最後冒出一句: 「這畫真像一隻巨大的新鮮漢堡包。」
一年後的1966年,倆人結婚了。斯蒂夫自 然是儐相(幾年後兩人又互換了一次角色)。婚禮開始前幾分鍾, 奏婚禮進行曲的錄音機卡了殼,這位儐相和驚慌失措的新郎趕 緊躲到聖壇邊的小房間里,發動特長,將機器修好。由於聽力缺 陷,兩口子說悄悄話都像吼叫。
為網際網路插上起飛的翅膀
當時最緊迫的任務就是編寫主機—— 主機規范語言軟體,以實現計算機間的交流。1968年夏,ARPA網 四個網點的一小群研究生聚在一起,談論ARPA網。不久,他們開 始自稱為「網路工作小組」(NWG),聚集全國通信編程人員中的 精英,為聯網主機的操作規范達成統一意見。他們創造出了一 系列新術語,比如「協議」(Protocol)。但前幾次會談並無實質性進 展。
轉眼到了1969年底,NWG還未拿出規范 語言。為了在12月交差,小組拼湊趕制出一份Telnet,用於遠程上 網,但功能有限,比較基礎。
真正的革命突破留給了瑟夫和鮑勃·卡 恩。1970年初,他碰到BBN公司的主持中介信息處理器安裝調試 的硬體專家鮑勃·卡恩。兩人一見如故,一起在UCLA做測試。卡 恩需要什麼軟體,瑟夫馬上玩命把它編出來。他倆為電腦網路 間的協調問題絞盡腦汁,看怎樣將不同的網路焊接得天衣無 縫。
1973年春天,瑟夫去舊金山大飯店參加 會議。在休息室過道里,等候下一輪會談。突然靈感驟至,連忙 拿起一個舊信封在背面胡亂畫起來。正是在這張普普通通的紙 上,瑟夫提出了能夠連接不同網路系統的網關(Gateway)的概念,為 TCP/IP協議的形成起了決定性的作用。那時,他與卡恩就如何建 造一個網中之網已談了幾個月,而且也與其他小組有許多交 流。兩人都想到用一個「網關」來幫助系統之間的路由選擇,「網 關」概念確立後,下一個難題是包傳輸問題。當時瑟夫的那張草 圖確立了技術的突破。
1973年春夏,瑟夫和卡恩都在推敲細節。 瑟夫經常拜訪弗吉尼亞阿靈頓的「達帕」辦公室(DARPA的前身 就是ARPA)。與卡恩經常連續幾個小時地討論。有一次馬拉松談 話中,他倆整整熬了一夜,輪流在粉筆板上塗塗寫寫。兩人准備 合作一篇論文,又是通宵不眠。
同年9月,兩人把新規范的觀點和論文 一起提交給國際網路工作小組,經過大家討論,使其更加成熟。 兩人在論文修改中都固執已見,爭得面紅耳赤:「我們常常是一 個人在打字時,另一個人才得以休息一下扭累的脖頸,卻又不 得不一起構思,真有點像兩只手綁在一支筆上。」
1973年底,論文大功告成,題目為:「關於 包網路相互通信的協議」。在這篇有劃時代意義的論文中,瑟夫 和卡恩首次提出TCP協議。這就有了電腦網路「聯合國憲章」。在 署名問題上,倆人決定讓上帝作主,擲了一枚硬幣。結果瑟夫受 到了垂青,他贏了。當然,他贏得的不僅僅是一個署名,而且後 來一堆堆接踵而至的榮譽。
1974年5月,論文發表。就像7年前羅伯茨 勾勒出ARPA網初步設想一樣,這是一個革命性的事件。論文描述 了傳輸控制協議(TCP),還介紹了網關的概念。有了TCP,跨網交 流才成為現實。如果TCP足夠完善,任何人都可以建造起任意規 模和形式的網路,只要網上有能為信息包作解釋並選擇路經的 網關機器,人們通過它就能與任何一個網路交流。TCP成為開拓 世界的技術,為網際網路插上了起飛的翅膀。
成為網際網路之父
當然,瑟夫是TCP的真正推動者。他和卡 恩一起構建了TCP,後來瑟夫又不斷將其完善,使TCP成為標准, 並走向世界。就這一點來說,瑟夫是真正的「網際網路之父」。
1972年,瑟夫獲得加州大學洛杉磯分校 (UCLA)計算機學博士學位。在華盛頓召開的國際計算通信大 會上,他作了公開演示,使公眾第一次看到包交換技術和遠距 離計算機交互技術。這一年,他離開UCLA,加入斯坦福大學,擔 任該校的計算機和電氣工程教授。
1974年論文發表後,瑟夫繼續深入研究, 將TCP變成更詳細的規范使人們可以為它開發多種軟體。1976 年,他離開斯坦福大學,加入ARPA。在1976年至1981的任期內,他 在網際網路與網路相關數據包和安全技術的開發中,扮演了至關 重要的角色。他的大部分工作是測試、分析、規劃、組織集體討 論,然後又回到制圖板上。
1977年7月是重要的里程碑。在南加州大 學的信息科學研究所(ISI)里,瑟夫和卡恩等十餘人舉行了一次 有歷史意義的試驗。當時全美國有三個電腦網際網路,第一當然 是阿帕網,另外還有兩個,一是無線電信包網,一是衛星信包網。 瑟夫他們的試驗就是要通過電腦「聯合國憲章」把三者聯起來。 一個有數據的信息包首先從舊金山海灣地區,通過點對點的衛 星網路跨過大平洋到達挪威,又經海底電纜到達倫敦,然後通 過衛星信包網,連接阿帕網,傳回南加州大學,行程9.4萬英里, 這次試驗沒有丟失一個比特的數據信息,瑟夫和卡恩他們一舉 成功!
1978年初,瑟夫在ISI主持召開TCP會議。會 議間歇時,他和波斯德爾、科恩及另一個同事,在走廊交流。「我 們靠著走廊的幾個大紙箱站著,一邊就在紙箱上畫起圖表來。」 當繼續開會時,他們就向小組提交建議:將傳輸控制協議中用 於處理信息路經選擇的那部分功能分離出來,形成單獨的因特 網范圍協議,簡稱IP。1978年,TCP正式變為TCP/IP。
初期,「Internet」意指任何使用TCP/IP協議 的網路,而「Internet」則專指由聯邦政府資助的,由許多使用TCP/ IP的公用網路互聯而成的網路。到80年代中期,歐洲、加拿大也 開始與美國政府主持的網路互聯。於是「網際網路」(Internet)開始意指 這個鬆散廣大的世界性TCP/IP因特網路。
1982年初,瑟夫遇到一位MCI公司的經理, 此人負責MCI的信息開發工作。「他想建立一個數字式郵政服務, 我立即被這個想法吸引住了」。因此他宣布離開DARPA,加盟MCI, 去擔任MCI數字信息服務的副總裁。他的離去引起了極大的震 動和反響,一位同事甚至為此而哭了。「文特是我們無形中的頭 兒,我們需要他。」另一位同事說。
手中握著一枚火箭
瑟夫在極為關鍵時刻離開的ARPA網准 備正式轉換成TCP/IP系統,據傳國家標准署考慮為網路互聯建 立一套新標准,取代TCP/IP,這就是OSI參考模型。OSI是國際標 准化組織(ISO)開發,是由地位鞏固的官僚們,居高臨下甚至是 蔑視一切的情況下發布的。他們認為TCP/IP和網際網路只是一種 學術玩具,但瑟夫等人堅持反對OSI,因為它劃分過細,十分復雜, 而且僅僅是個設計,從未試驗過。「OSI的一切都是非常抽象的, 學究氣十足。他們所用的語言浮誇到不可思議的程度,簡直讀 不下去。」
而TCP/IP是實踐的結晶,也是合作研究 的產物,不是像OSI那樣在一大堆委員會里產生出來的「大駱駝」。 OSI經常舉辦國際會議,對瑟夫等人來說,真是一番痛苦的經歷。 「我在會上不停地寫反對意見。」
網際網路的魅力在於交流規范的簡單方 便,而瑟夫的魔力在於:他美言善誘,軟硬兼施,最終讓用戶采 用這種規范。
1983年,瑟夫曾勸說讓IBM、DEC、HP支持 TCP/IP,但都遭拒絕,而採用了OSI。他們認為TCP/IP只是一項 研究試驗。不過最關鍵的是,國防部選擇了TCP/IP。
1983年1月1日,ARPA網正式轉換成TCP/ IP系統。這次轉換具有里程碑意義,恐怕是此後幾年中網際網路 發展中最為重要的事。有了TCP/IP,網路可伸展到任何地方,數 據不費吹灰之力就從一個網路送到另一個網路。
1988年,也就是5年後,ISO終於制定出開 放系統網路互聯標准。連美國官方也將OSI作為官方標准。歐洲 更是趨之若鶩。看來,OSI要想壓倒TCP/IP,但是藉助Unix的威力, TCP/IP已無所不在。憑著它無聲而兇猛的沖擊,TCP/IP擊退了 ISO的強攻。「標准只能被發現,而不能被頒布」,這就是網際網路 的新規則。
1989年,瑟夫向Interop展覽會場走去,他第 一次感受到網際網路被科學界和研究界以外的世界所歡迎。「我 們注視著這一切,感到我們手中握著一枚火箭。」
ARPA網不再是中心,網際網路已變成了網 狀結構,輻射全球。一場革命一觸即發,瑟夫幸運地站在了這場 革命的中心。