加载中…
个人资料
wenbomao
wenbomao
  • 博客等级:
  • 博客积分:0
  • 博客访问:62,765
  • 关注人气:73
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
访客
加载中…
好友
加载中…
评论
加载中…
留言
加载中…
分类
博文
阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

如今无所不在的社交网络,Web邮箱,移动存储设备,网络存储方法,等等,让企业与组织敞开了大门,内部信息可以毫无阻拦地流向外部。企业与组织担心员工将内部数据向外泄露,引入了大量的防范方法。有比较“军事化”的方法:拉掉网线,屏蔽无线,对本地存储设备(如USB总线插口、SD插口、光驱,等等)贴封条;此类方法显然是在向石器时代倒退。也有比较智能的DLPdata loss prevention)技术:对员工的上网行为进行监控,对员工发送或存储的文件、数据进行扫描分析,等等;此类方法其实都是属于试图用机器智能来战胜人脑智能,难以有效实现。无论石器时代的还是较智能的DLP方法都采用围追堵截手段,阻碍了员工通过IT设备和网络获取信息和共享知识的需求,降低了办工效率,打击了员工的士气。在网络环境中长大的90后们正在步入办公室,不让他们正常使用网络的雇主对他们是不会有吸引力的。

BLPBell-

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

上一讲中介绍了二极管单向防火墙技术:通过控制网络数据流的方向---数据只准从外部流入内部---这一手段防止数据泄露。

一个操作系统还有存储设备:磁盘,U盘,光盘,等等。这些设备都是以本地总线方式连接到计算机的,对这些设备的数据输入输出不走网络,所以网络防火墙技术无法对流向这些设备的数据进行监控。比如内部人员可以很方便将数据拷贝到U盘或光盘带出,造成信息泄露。

运行在虚拟化技术底层的虚拟机监控器可以实时截获存储设备的输入/输出事件,对数据施加实时加解密处理:输入时解密,输出时加密,使得存到外部存储器上的数据都是密文。这种以设备为单位的密码学处理技术与通常我们熟悉的以文件为单位的加解密技术十分不同,设备上所有数据都被自动加密了:比如临时文件(夹),回收桶中的数据,防系统蓝屏死机时的恢复文件,系统swap数据,系统休眠数据,...,哪怕是入侵的恶意代码或间谍软件企图发回大本营的数据(由于被反向设置的二极管阻挡而未能成功发回的),所有数据都被自动加密了,任何可能违规泄露的漏洞都被堵死了

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

今年315消费者日央视披露了多例因不法分子盗用个人隐私数据而对消费者造成了严重损害事件。据央视披露,此类信息安全破坏事件大规模猖獗发生的背后是一条黑色产业链:在产业链的源头有诸如银行,电信,网络社区,高档会所等商家或服务提供商,甚至有关服务部门,由于需要向用户提供服务而存放着大量消费者、公民个人身份敏感数据如姓名,身份证号,地址,电话号码,登陆账号名,甚至登录口令,等等,然而却未能使用相应的信息安全保护措施,因而不法分子可以从这些地方轻易将用户数据大规模盗取出去。盗出的数据被卖给一些团伙通过雇佣简单劳动力使用乏味的试错登录法,即便小概率机会也因为盗出数据量足够大,仍然可从大量试错中提取出不少有用信息如账号登录口令,从而攻击得逞。

产业链源头大规模盗取数据可以是由黑客入侵造成,也可更为有效地,由服务提供方内部人员监守自盗从内部取出。后一类攻击方式的确更容易发生,家贼难防嘛。内部监守自盗确实是央视所披露黑色产业链源头部分的主要因素。黑客入侵攻击可以应用通常的防火墙技术有效防止

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

道里云信息技术(北京)有限公司(道里云公司,www.daolicloud.com)自2011年7月在中关村软件园成立以来,不断努力自主创新,独自开发出了一款具有自主知识产权的云安全核心软件产品,叫做BLP云安全操作系统。该云安全操作系统在设计上遵从著名的BLP(Bell-LaPadula)多层安全模型,对用户数据实施单向流向控制:数据可以从一个低安全级别的开放工作区流向一个高安全级别的封闭工作区,但不能反向流动。在低安全级别的开放工作区,用户可以不受任何限制地从公共网络获取信息,方便自由地与他人共享知识。然而在高安全级别的封闭工作区,数据通信与输入输出都会受到实时动态自动密码学保护,所以与之关联的硬盘、U盘或任何存储介质上的系统数据与用户数据都永远处于加密状态。在这样的保护方式下,黑客或间谍软件无论是通过邮件、网络传输、还是通过存储设备拷贝等等任何手段,都无法从高安全级别的封闭工作区中将组织内部数据取出。组织内部员工只能在授权情况下取出数据。

道里云公司带着BLP云安全操作系统参加了于2012年2月27日至3月2日在美国旧金山举办的2012年RSA全球信息安全峰会的展览,勇于接

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
(2011-08-27 16:32)

云计算是主流IT产业从资产拥有模式转型为服务提供模式。IT产业之大,在于其跨行业全方位渗透至所有其它工业与我们生活的各个方面。因此认清与辨别什么是或不是云计算将有助于国家或组织正确部署资源,引领主流IT转型的健康可持续发展。具有讲云计算如下两个必要特征:

1)收费服务,即,付费者须是IT(信息技术)服务的使用者:这是IT产业成功转型并可持续发展的必要条件。请注意:所有信息处理服务的使用者或者说IT用户不付费的信息处理用例,如我们所熟知的搜索引擎、Web2.0应用、社交网络、网络杀毒(精确来讲叫做Web2.0型杀毒,即,用别人中毒经验修补漏洞)、网络智能共享(比如推荐网上大多数人使用的快捷拼音法),等等,都不可能算得上是真正意义上的云计算。原因很简单:非用户付费者所经营的工业(如广告,餐饮,电子商务,等)都属于局部性工业,虽然都很大,但加起来也都远小于IT产业,那些局部工业从来都不曾养活过IT产业的资产拥有模式,今后也绝不可能依靠它们去支撑更大的主流IT产业的服务提供模式。

2)云服务提供商必须保护付费用户的数据安全(数据可用性、完整性、私密性、正确性):这是用户会放心去使用云服务,也即主流IT设备厂商

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

道里公司研发的云安全产品于2011年5月18-20日参加了第三届中国云计算大会的展出。现与大家分享几张参展照片。

 


实战前的最后一分钟调试:两台服务器为道里展台增添了不少光和热!


 

/


小伙子们,辛苦了!(左至右:仓馥芝,陈进,侯清铧,任晶磊)

 

/

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

(此文于2011年5月17日发表于作者的CSDN博客http://blog.csdn.net/wenbomao

第三届中国云计算大会将于5月18-20日召开(http://www.ciecloud.org/2011/prog_520.html)。道里公司独自创新研发并具有自主知识产权的可信云安全解决方案将以概念证明原型系统的形式在大会上亮相展出。欢迎参会者光临道理公司展台(南区C10展台)参观并给予指导!另外在5月20日下午召开的“云计算环境下的信息安全”专题论坛上,公司首席执行官毛文波还将以“可信云安全的原理与应用”为题向大会报告道里可信云安全的最新研发成果。

以下让我对即将参展的道里可信云安全系统作一简要介绍。

首先以最简单的语言叙述之,道里可信云安全系统是一款全新的hypervisor,叫做Cloud Security Visor(CSV),专门监控虚拟平台架构上的安全任务。

稍作展开叙述之,CSV跑在商用hypervisor(如Xen,ESX,Hyper-V)之下,硬件之上,具有软件系统最高权限“根模式”运行状态,如此,商用hypervisor的系统权限被降低至“非根模式”运行。为

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

(此文于2011年4月26日发表于作者的CSDN博客http://blog.csdn.net/wenbomao

 

由于云计算的需求,X86服务器平台基于硬件的虚拟化工作正在快速发展。SR-IOV(Single Root IO Virtualization)“单根输入输出设备虚拟化”是基于硬件的虚拟化工作的一个新进展。SR-IOV可以将服务器硬件平台上的一个物理PCIe设备(比如千兆以太网卡)虚拟成多个逻辑设备供多个虚拟机(VM)共享使用,让每个VM都感觉到它是独自在使用一个PCIe设备。SR-IOV与VT-d(IOMMU,外设直接访问虚拟机内存)一起工作,不仅可以使PCIe设备对某个指定虚拟机做直接内存访问因而大大提高输入输出速度,而且还由于VT-d对虚拟机内存直接访问的严格控制,使这些不同的虚拟机在使用共享的物理网卡时能够保持严格的IO通道隔离。这就是为什么我在下图中可以把从客户端到服务器用户虚拟机之间的通信表示为直接通信:


由于VT-d为SR-IOV实现了虚拟机IO通道隔离,我们可

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 

(此文于2011年3月31日发表于作者的CSDN博客http://blog.csdn.net/wenbomao

 

当前服务器虚拟化技术,特别是在当今商业上成功的公用云数据中心里已经形成了事实标准的服务器平台X86架构上的服务器虚拟化技术,有效实现了云计算以提供服务为模型的信息处理方法,可以将数据中心的计算、存储、网络等信息处理的资源以租赁的方式出租给“租客用户”,得到了高效率的多租客(Multi-tenancy)服务应用。

在用虚拟化技术实现的云计算环境中通常保存有大量租客用户以明文形式存在的数据。为了防止租客用户的数据被以任何非授权的形式访问而导致数据的机密性和/或完整性受到破坏,一些云计算软件和数据需要在被隔离的安全计算环境中运行与处理。通常云计算所使用的服务器虚拟化技术利用“虚拟机”(Virtual Machine, VM)之间自然存在的分割,可以在不同租客用户之间形成某种程度的安全隔离(譬如Amazon的EC2就只提供这样程度的隔离)。但我们要注意:VM之间的自然隔离不具有抵抗恶意攻击的强度。为演示虚拟机之间自然存在的隔离不具有抵抗恶意攻击的强度,道里项目曾经对项目租用的EC2和S3通过从外部

阅读  ┆ 评论  ┆ 转载 ┆ 收藏 
  

新浪BLOG意见反馈留言板 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

新浪公司 版权所有