A. 如何应对BYOD时代的安全风险
一声招呼也没打,安全负责人就匆忙离开了会议室。她的身体语言透露出那是一个重要的电话。当她返回到会议室,所有人的目光都不自觉地提出了疑问,想知道发生了什么。无需更多提示,安全负责人直接说到:“CEO想知道为什么她不能在她的iPad上面观看YouTube视频。虽然这违反公司规定,但我们必须允许让她能看。同时,她还希望能够用她的iPhone访问她的电子邮件和日程安排。”以上是发生在一家大型金融机构内的真实事件。
员工自带设备办公(BYOD)已成趋势,将以加速发展的步伐变得清晰起来,并且必然与云紧密相连。在考虑这一趋势的含义时是有多条轨迹的。证据是显而易见的,因为大多数的智能电话利用云为消费者提供服务。术语“shadow IT”已经存在有一段时间了,但在今天尤其切题。历史上从没有任何时候像今天这样在一个公司的网络上能轻松绕过IT部门消费云服务,并使用非标准设备。像上面提到的例子那样,CEO跑到IT部门为业务需要要求获得某项云中的服务,这种情况经常发生。
在最近于旧金山召开的RSA大会云安全小组讨论会上,来自eBay, Sallie Mae, Humana 和 Bank of America的首席信息安全官们都一致认同:安全部门需要对这些需求做出预判,并在面临这些问题之前就做好准备。换句话说就是,信息安全部门的操作方式需要进行根本性的模式转变。在面对可能增加风险的申请时不是继续说“no”,而是需要说“yes”,并创造性地设计出解决方案同时降低风险。
在公司中,下一代员工似乎对社交媒体之前的世界一无所知,他们会要求能够使用他们自己的设备。在很多案例中,他们都提到这会提高生产力和效率。另外,他们可能将此作为加盟一家单位的一项必要条件。在招募人员时允许使用自己的设备可能成为一项激励措施,或者与另一家不允许这样做的公司对着干的措施。
这样还有益处可享。随着用户趋向在自己的设备上研究和解决自己的问题,支持成本会随之降低。这还可能成为一家公司朝着设备无关、面向服务的结构迈进的不可拒绝的理由;从长期看为开发、操作和维护带来成本的节约。
允许员工使用他们自己的设备会带来许多风险,但这些风险很少是有经验的安全专业人员没见过的。这些设备需要作为部分可信的端点来对待,或者在大多极端情况下作为完全不可信的端点来对待。主要的考虑是BYOD会使风险提高。非标准设备可能比传统的、由公司发放的使用非常严格的措施锁住的设备更容易地被攻击者损害。
应对由BYOD带来的风险增长,可遵循如下一些策略:
倡导鼓励安全文化。安全观念应成为企业有机整体的一部分。这需要进行文化转变。安全观念必须成为一个能动器并嵌入到企业的各个方面。不能将安全意识看作企业创造精神的障碍。
教育、测试、重复。单位和终端用户必须共同承担责任。在最近召开的RSA大会上,着名安全名人(先前的黑客)Kevin Mitnick反复强调,社会工程仍是最容易的让安全意识渗透一家公司的方式。实际上,许多高级持久威胁(APT)都涉及使用Spear Phishing网络钓鱼方式,捕获安全意识缺乏的员工,来损害网络。因此,不要停止对员工进行教育。必须定期在员工最没有想到的时候对员工进行测试(并让他们意识到缺失),加强正确行为方式的建立。
建立易于理解的BYOD规定。不要依靠用户破译“安全语言”。例如“要确保你的设备安装有我们公司强制安装的软件。你可按如此步骤从这个地点下载并安装。”
执行访问控制策略。应依靠身份、背景和规定对资源(例如数据和应用)进行保护。如果系统不能确定用户的身份,如果不符合合规标准(例如屏幕解锁口令/PIN未激活)或者没有安装必装的软件(如防病毒软件),就不能允许设备访问资源。根据所处地点和连接是否加密等因素通过对访问进行限制来应用背景。
使补救过程自动化。通过将大多数补救过程自动化尽可能简单地使用户能确保设备合规。不要依靠用户能自觉了解他们需要下载和安装一系列软件。这可利用身份分配和配置管理技术来实现。
利用安全信息和事件管理工具进行监控。利用可提供身份绑定的审计和控告智能的安全信息和事件管理(SIEM)解决方案对所有在公司网络上访问资源的设备进行监控。在一个充满部分可信、潜在受损设备的环境下,具备洞察力是首要的,而事件响应时间则是关键性的。
使用具有担保层级的身份联盟。通过跨分区将用户身份进行联盟并依靠信任级别执行访问控制,在具有许多身份来源的环境中以一种安全的、基于标准的方式降低操作成本。作为一个例子,我们来考虑员工内部身份和他们的在线身份之间有重叠的问题。使用自己设备的用户通常已经登录到他们的在线帐户中(如微博),为保证易于使用和透明的一次登录,安全策略可以实施为支持多个担保层级。如果某员工已经登录到微博,内部应用可利用那个身份,但给他较低的信任级别。这样,员工就可使用其微博资格访问内联网非敏感部分。但如果想访问公司的电子邮件,他就需要提供员工资格从而执行更高一级的担保,即该员工是他所声称的这个人。
提供安全设备。为员工提供他们所选择的设备并确保这些设备装载了要求的软件和控制。这为单位和个人提供了一个双赢局面。员工使用自己选择的设备无需付钱,并可以安全和合规的方式访问公司环境。
控制从设备的访问。当通过非标准设备进行检索时要确保对敏感数据的访问得到控制。例如,可通过提供远程会话允许员工利用该信息,但永远不物理地将数据存储到非标准设备上。
对敏感数据加密。对任何放在被认为是公司财产的非标准设备上的数据进行加密处理。这可包括员工的公司电子邮件。
应对BYOD风险不存在一个一劳永逸的方法。上面所列各点是为思考过程提供起始点。它们可相互独立使用,或针对具体需要以不同的组合使用。
现在我们应该清楚地明白,制定BYOD政策并不是授权员工可携带自己的设备同时让公司免去提供设备。它实际上是关于制定一项策略,管理设备,以一种安全的方式访问公司数据。它是关于如何处理IT消费化的问题和如何对待员工正开始在设备上讲他们的个人生活和工作混合在一起这一事实,不管设备是由单位提供的还是他们自己购买的。
BYOD已成为指定术语用于描述这种企业IT的消费化。这种趋势将会继续加速发展。它将比人们预想的来得更快,并由多个因素推动。
B. 被称为网络之父的是什么 它是由谁建立的在哪一年建立
文特·瑟夫:因特网之父
作者:ccw 文章来源:ccw 点击数:418 更新时间:2005-8-27
TCP/IP对于普通百姓来说好似天书中 的符号。就是网虫看了,顶多觉得这几个英文字母眼熟,至于它 在因特网中所起的作用,除了专业人士,没有人会去深究。不过, 在任何一件对人类的生存形态与生活方式会发生影响的事件 背后,总有人具有使命感。TCP/IP的发明人文特.瑟夫一直用心思 索,怎样编写主机与主机之间规范语言软件,以实现计算机间 的交流。在一次学术会议的休息时间,突然灵感骤至。瑟夫连忙 拿起一个旧信封在背面胡乱画出个草图。正是在这张普通的纸 上,瑟夫提出了能够连接不同网络系统的“网关”(Gateway)的概 念,为TCP/IP协议的形成起了决定性的作用。瑟夫和另一位学者 卡恩一起构建了TCP,后来又不断将其完善,使TCP成为标准,并 走向世界。瑟夫与同仁的努力,为因特网插上起飞的翅膀。
21世纪的文艺复兴者
与大多数默默无闻的开拓者相比,瑟夫 无疑是最幸运的。他是绝大多数媒体谈到因特网起源时都要加 以引用的人物。而且尊敬地称他为“因特网之父”。他说:“你应 该清楚这个头衔很不公平,有很多人参与了因特网的创建,我 只是在最初10年里做了一些早期工作。”这不是客套。个人电脑 不是一个人的发明,因特网更是集体的力量。戴得上“因特网之 父”这顶帽子的人可能不只瑟夫一人,但他戴着,的确问心无愧。 25年前,他与人共同发明了TCP/IP协议,打破了因特网政策的 障碍,将网络从政府学术网转变成革命性的商业媒体,从此引 爆了一场前所未有的革命。
今年56岁的瑟夫,担任MCIWorldCom高级副 总裁,负责技术和架构。世界上大多数人都只是静待因特网的 爆发性发展,但瑟夫却不,在发表演讲、接受各种荣誉的同时, 他与美国国家航空和航天局(NASA)合作,着手将因特网延伸至 外层空间。
他一生酷爱科幻小说,有着丰富的计算 机知识,有着对人性敏锐的理解,他将这些个人素质混合起来, 大大改善了整个世界的通信方式和知识获取的方式。 “Vinton扮演了许多角色。但他更像是21世纪的文艺复兴者。他部 分是科学家,部分是工程师、哲学家、商人,但最重要的是一名 伟大的启蒙者。”瑟夫多年的老板FredChggs这样评价他。
瑟夫无疑是因特网方面为数不多的权 威之一,1992年他组建了因特网协会,无论在政府社交圈,还是 高科技社区中,瑟夫都是国家级的人物。1997年,他从克林顿总 统手中接过了美国技术勋章。尽管在他身上的荣誉和影响力与 日俱增,但瑟夫仍像过去一样平易近人,保持谦虚态度。
网景的安德森说:“我们是站在巨人肩膀 上创造业绩”。瑟夫无疑是巨人之一。
1986年后担任CNRI副总裁,1994年再度回 到MCI,负责MCI基于因特网服务的通用网络架构,包括为商业和 消费用户提供数据、信息、语言和视频的集成服务。
1997年,瑟夫所在的MCI公司,想让因特网 具备行星间的通信能力。于是瑟夫着手开发技术,使标准的因 特网能布置到木星、土星、火星和金星等行星和卫星的表面,使 宇宙飞船在太阳系内航行时可以通信。瑟夫表示,离完整的技 术规范还很遥远,但他希望他的基本设计方案能够在近距离的 太空旅行中使用,比如预定于2001年的火星探测计划。
瑟夫的研究成果究竟会给人类带来多 大的影响,目前还难以定论。
一位有听觉缺陷的工程师的自白
文特·瑟夫出生于1943年6月23日。在洛 杉矶圣费尔南多谷地区上中学时,他与斯蒂夫克洛克认识,并 成为好友。两人都酷爱科学,周未经常泡在一起做三维棋盘成 色彩观察实验。
瑟夫消瘦结实,易动感情、热情外露,他 参加学校的后备军训练队,以逃避体操课。在校内他要么一身 制服,要么穿夹克打领带,还总夹着一个棕色大公文包。当时看 来,这身打扮气度不凡,“我穿夹克打领带是为了让自己与众不 同。虽然以这种方式表现自己可能很幼稚”,然而令朋友们惊讶 的是,文特的这身打扮从未阻碍女孩子对他的兴趣。他在情场 上可以说是如鱼得水。人人都说,他魅力不一般。
小时候,他的偶像是父亲。他父亲通过艰 苦奋斗,从一名普通员工升到北美航空公司的高级执行官。瑟 夫的两个弟弟也表现出众,两人踢足球,并轮流担任学生会成 员。瑟夫本人则是书虫,兴趣庞杂、爱好十分广泛,幻想色彩较 浓。化学学得特别好,但他真正的兴趣在于数学。由于是早产儿, 瑟夫出生时听觉有缺陷,必须戴上助听器。他从小到大一直在 设计有助于听觉交流的技巧。他还写过一篇论文,叫“一位有听 觉缺陷的工程师的自白”。
1960年左右,虽然还在念高中,但斯蒂夫 已获准使用加州大学洛杉矶分校(UCLA)的计算机实验室。周 未,瑟夫就跟斯蒂夫去。一次实验室大楼已锁,只见二楼有扇窗 开着。“接下去,我就知道文特已站在我的肩膀上。”斯蒂夫回忆 道。
高中毕业后,瑟夫进了斯坦福大学,他父 亲的公司为他提供了四年的奖学金。他主修数学,很快迷上计 算机。“编程让人体味到一种奇妙无比的感觉。你创造了一个你 自己的世界,你就是这个世界的主人。不管编了什么,计算机总 会照办。它就像一只沙匣,里边每一粒沙子都在你把握之中。”
大学毕业。恰逢IBM招人,他就进了IBM洛 杉矶公司,为一个分时系统搞系统工程研究。很快他就发现自 己肚里的墨水不够,瑟夫就投到他论文导师爱斯金的门下。当 时爱斯金与ARPA签有研究协议,研制一台超级计算机,专用于监 测另一台机器上的程序执行情况。这成了瑟夫的论文课题。1968 年夏,斯蒂夫在UCLA和瑟夫一道工作,标志着他俩从此与计算机 网络结下不解之缘。
1968年秋,该课题转至克兰罗手下,他用 ARPA拨来20万美元设立网络测试中心,负责ARPA网计划中大部 分机器性能测试和分析工作。克兰罗召集了40名学生为他干活, 瑟夫和斯蒂夫无疑是其中的老大。另外还有乔波斯德尔。
瑟夫的妻子希格里是插图画家,3岁时 耳朵就全聋了。两人的第一次见面就是他们的助听器推销商精 心策划的。让两人不期而遇,一见钟情。饭后,两人一起去了艺 术博物馆。瑟夫从未受过艺术方面的训练,但他也表现出浓厚 兴趣。在康定斯基的大型作品前,他伫立良久,最后冒出一句: “这画真像一只巨大的新鲜汉堡包。”
一年后的1966年,俩人结婚了。斯蒂夫自 然是傧相(几年后两人又互换了一次角色)。婚礼开始前几分钟, 奏婚礼进行曲的录音机卡了壳,这位傧相和惊慌失措的新郎赶 紧躲到圣坛边的小房间里,发动特长,将机器修好。由于听力缺 陷,两口子说悄悄话都像吼叫。
为因特网插上起飞的翅膀
当时最紧迫的任务就是编写主机—— 主机规范语言软件,以实现计算机间的交流。1968年夏,ARPA网 四个网点的一小群研究生聚在一起,谈论ARPA网。不久,他们开 始自称为“网络工作小组”(NWG),聚集全国通信编程人员中的 精英,为联网主机的操作规范达成统一意见。他们创造出了一 系列新术语,比如“协议”(Protocol)。但前几次会谈并无实质性进 展。
转眼到了1969年底,NWG还未拿出规范 语言。为了在12月交差,小组拼凑赶制出一份Telnet,用于远程上 网,但功能有限,比较基础。
真正的革命突破留给了瑟夫和鲍勃·卡 恩。1970年初,他碰到BBN公司的主持中介信息处理器安装调试 的硬件专家鲍勃·卡恩。两人一见如故,一起在UCLA做测试。卡 恩需要什么软件,瑟夫马上玩命把它编出来。他俩为电脑网络 间的协调问题绞尽脑汁,看怎样将不同的网络焊接得天衣无 缝。
1973年春天,瑟夫去旧金山大饭店参加 会议。在休息室过道里,等候下一轮会谈。突然灵感骤至,连忙 拿起一个旧信封在背面胡乱画起来。正是在这张普普通通的纸 上,瑟夫提出了能够连接不同网络系统的网关(Gateway)的概念,为 TCP/IP协议的形成起了决定性的作用。那时,他与卡恩就如何建 造一个网中之网已谈了几个月,而且也与其他小组有许多交 流。两人都想到用一个“网关”来帮助系统之间的路由选择,“网 关”概念确立后,下一个难题是包传输问题。当时瑟夫的那张草 图确立了技术的突破。
1973年春夏,瑟夫和卡恩都在推敲细节。 瑟夫经常拜访弗吉尼亚阿灵顿的“达帕”办公室(DARPA的前身 就是ARPA)。与卡恩经常连续几个小时地讨论。有一次马拉松谈 话中,他俩整整熬了一夜,轮流在粉笔板上涂涂写写。两人准备 合作一篇论文,又是通宵不眠。
同年9月,两人把新规范的观点和论文 一起提交给国际网络工作小组,经过大家讨论,使其更加成熟。 两人在论文修改中都固执已见,争得面红耳赤:“我们常常是一 个人在打字时,另一个人才得以休息一下扭累的脖颈,却又不 得不一起构思,真有点像两只手绑在一支笔上。”
1973年底,论文大功告成,题目为:“关于 包网络相互通信的协议”。在这篇有划时代意义的论文中,瑟夫 和卡恩首次提出TCP协议。这就有了电脑网络“联合国宪章”。在 署名问题上,俩人决定让上帝作主,掷了一枚硬币。结果瑟夫受 到了垂青,他赢了。当然,他赢得的不仅仅是一个署名,而且后 来一堆堆接踵而至的荣誉。
1974年5月,论文发表。就像7年前罗伯茨 勾勒出ARPA网初步设想一样,这是一个革命性的事件。论文描述 了传输控制协议(TCP),还介绍了网关的概念。有了TCP,跨网交 流才成为现实。如果TCP足够完善,任何人都可以建造起任意规 模和形式的网络,只要网上有能为信息包作解释并选择路经的 网关机器,人们通过它就能与任何一个网络交流。TCP成为开拓 世界的技术,为因特网插上了起飞的翅膀。
成为因特网之父
当然,瑟夫是TCP的真正推动者。他和卡 恩一起构建了TCP,后来瑟夫又不断将其完善,使TCP成为标准, 并走向世界。就这一点来说,瑟夫是真正的“因特网之父”。
1972年,瑟夫获得加州大学洛杉矶分校 (UCLA)计算机学博士学位。在华盛顿召开的国际计算通信大 会上,他作了公开演示,使公众第一次看到包交换技术和远距 离计算机交互技术。这一年,他离开UCLA,加入斯坦福大学,担 任该校的计算机和电气工程教授。
1974年论文发表后,瑟夫继续深入研究, 将TCP变成更详细的规范使人们可以为它开发多种软件。1976 年,他离开斯坦福大学,加入ARPA。在1976年至1981的任期内,他 在因特网与网络相关数据包和安全技术的开发中,扮演了至关 重要的角色。他的大部分工作是测试、分析、规划、组织集体讨 论,然后又回到制图板上。
1977年7月是重要的里程碑。在南加州大 学的信息科学研究所(ISI)里,瑟夫和卡恩等十余人举行了一次 有历史意义的试验。当时全美国有三个电脑因特网,第一当然 是阿帕网,另外还有两个,一是无线电信包网,一是卫星信包网。 瑟夫他们的试验就是要通过电脑“联合国宪章”把三者联起来。 一个有数据的信息包首先从旧金山海湾地区,通过点对点的卫 星网络跨过大平洋到达挪威,又经海底电缆到达伦敦,然后通 过卫星信包网,连接阿帕网,传回南加州大学,行程9.4万英里, 这次试验没有丢失一个比特的数据信息,瑟夫和卡恩他们一举 成功!
1978年初,瑟夫在ISI主持召开TCP会议。会 议间歇时,他和波斯德尔、科恩及另一个同事,在走廊交流。“我 们靠着走廊的几个大纸箱站着,一边就在纸箱上画起图表来。” 当继续开会时,他们就向小组提交建议:将传输控制协议中用 于处理信息路经选择的那部分功能分离出来,形成单独的因特 网范围协议,简称IP。1978年,TCP正式变为TCP/IP。
初期,“Internet”意指任何使用TCP/IP协议 的网络,而“Internet”则专指由联邦政府资助的,由许多使用TCP/ IP的公用网络互联而成的网络。到80年代中期,欧洲、加拿大也 开始与美国政府主持的网络互联。于是“因特网”(Internet)开始意指 这个松散广大的世界性TCP/IP因特网络。
1982年初,瑟夫遇到一位MCI公司的经理, 此人负责MCI的信息开发工作。“他想建立一个数字式邮政服务, 我立即被这个想法吸引住了”。因此他宣布离开DARPA,加盟MCI, 去担任MCI数字信息服务的副总裁。他的离去引起了极大的震 动和反响,一位同事甚至为此而哭了。“文特是我们无形中的头 儿,我们需要他。”另一位同事说。
手中握着一枚火箭
瑟夫在极为关键时刻离开的ARPA网准 备正式转换成TCP/IP系统,据传国家标准署考虑为网络互联建 立一套新标准,取代TCP/IP,这就是OSI参考模型。OSI是国际标 准化组织(ISO)开发,是由地位巩固的官僚们,居高临下甚至是 蔑视一切的情况下发布的。他们认为TCP/IP和因特网只是一种 学术玩具,但瑟夫等人坚持反对OSI,因为它划分过细,十分复杂, 而且仅仅是个设计,从未试验过。“OSI的一切都是非常抽象的, 学究气十足。他们所用的语言浮夸到不可思议的程度,简直读 不下去。”
而TCP/IP是实践的结晶,也是合作研究 的产物,不是像OSI那样在一大堆委员会里产生出来的“大骆驼”。 OSI经常举办国际会议,对瑟夫等人来说,真是一番痛苦的经历。 “我在会上不停地写反对意见。”
因特网的魅力在于交流规范的简单方 便,而瑟夫的魔力在于:他美言善诱,软硬兼施,最终让用户采 用这种规范。
1983年,瑟夫曾劝说让IBM、DEC、HP支持 TCP/IP,但都遭拒绝,而采用了OSI。他们认为TCP/IP只是一项 研究试验。不过最关键的是,国防部选择了TCP/IP。
1983年1月1日,ARPA网正式转换成TCP/ IP系统。这次转换具有里程碑意义,恐怕是此后几年中因特网 发展中最为重要的事。有了TCP/IP,网络可伸展到任何地方,数 据不费吹灰之力就从一个网络送到另一个网络。
1988年,也就是5年后,ISO终于制定出开 放系统网络互联标准。连美国官方也将OSI作为官方标准。欧洲 更是趋之若鹜。看来,OSI要想压倒TCP/IP,但是借助Unix的威力, TCP/IP已无所不在。凭着它无声而凶猛的冲击,TCP/IP击退了 ISO的强攻。“标准只能被发现,而不能被颁布”,这就是因特网 的新规则。
1989年,瑟夫向Interop展览会场走去,他第 一次感受到因特网被科学界和研究界以外的世界所欢迎。“我 们注视着这一切,感到我们手中握着一枚火箭。”
ARPA网不再是中心,因特网已变成了网 状结构,辐射全球。一场革命一触即发,瑟夫幸运地站在了这场 革命的中心。