蔡一郎的部落格

Yilang's Blogger

雲端運算的省思

Published by Yi-Lang Tsai under , on 5/21/2012 11:15:00 下午
近幾年來雲端的議題火熱,許多的企業也都在思考是否要將目前的系統上「雲端」,話雖如此,雲端服務並不是新的技術,而是一種新的概念,目前因為網際網路的普及,許多的應用程式早已轉換成網路版的應用程式,因此在思考是否要轉換到「雲端」時,應該先評估一下,轉換後的服務型態與方式,與轉換前有什麼不同,而不是為了要上雲端而想上雲端,此次TEDxTaipei Change 2012邀請了張善政 政委以及台達電雲端技術中心 翟本喬 主任,以不同的思維探討台灣目前面對雲端計算(服務)上的迷思,個人自去年起參與Cloud Security Alliance(雲端安全聯盟)相關的運作,歷經數個凌晨開會討論的過程,在台灣成立了台灣分會,正式將這個國際雲端資安研究組織帶入國內,從原本從事的資訊安全技術研發工作,也因此而經常思考雲端服務這件事,到底對於目前的產業有何影響,國內大多是ODM、OEM為主的產業型態,這也成就了過去數十年來經濟上的成長,但隨著時代的轉換,薄利的紅海時代,讓我們的薪資條件越來越差,而產業習慣了以流程改善、標準化的作業、以及人海策略,讓勞工成了雇主與財團受惠下的犧牲品,因為原創性的產業較少,反而無法展現自我的價值,目前面對雲端服務的時代,一些似是而非的論點,在媒體的炒作下而模糊了焦點,搞得好像什麼事都得跟「雲端」兩個字扯上關係。

雲端服務不是採用虛擬化就是雲端計算了,但是很多人在討論雲端計算時,卻把虛擬化當成最重要的一件事,而忽略了其它需要留意的部份,而在完成虛擬化後,反而無法達成預期的目標,此時卻又是不同的說詞了,在這個時候得再介紹一下CSA所發佈的雲端運算重點領域安全指南(Security Guidance for Critical Areas of Focus in Cloud Computing),這份指南是目前最完整的看待雲端運算安全問題的重要文件,在最新的版本中,將雲端運算相關的安全議題,分成了14個領域進行研究,並且提供建議的安全規劃指南,可以讓剛接觸到雲端安全的人能夠有個明確的依據。

要上雲端得先改變換個腦袋,這個是能否成功的重要關鍵,以個人的看法,目前許多的企業其實都有基本的安全防護機制,大型的企業對於安全的防護更是不惶多讓,因此為何要引進一個會挑戰現有資訊安全架構的服務型態,就成為必須先思考的第一個議題,在評估的過程中,總得優點大於缺點,這樣才有做這件事的必要。

  • 台灣雲端計算的迷思與挑戰-張善政 政委



  • 要上雲端,先換腦袋-翟本喬


雲端安全聯盟台灣分會(Cloud Security Alliance Taiwan Chapter)
網址:http://www.cloudsecurityalliance.org.tw/

國內資訊安全相關組織

Published by Yi-Lang Tsai under on 5/20/2012 08:54:00 上午
  • 中華民國資訊安全學會
從事資訊安全之研究,推廣資訊安全之應用與發展,促進國內外資訊安全之研究與發展。

  1. 舉辦與資訊安全相關之學術會議 。
  2. 舉行有關資訊安全之學術研究、講習、訓練 、討論、訪問、觀摩等活動事項 。
  3. 收集國內外有關資訊安全之圖書與資料 。
  4. 發行有關資訊 安全之學術刊物、論文集、新知簡訊及書籍 。
  5. 研訂有關資訊安全之專用名稱、術語及符號 。
  6. 國際資訊安全學術機構聯繫事項 。
  7. 其他有關資訊安全發展事項 。

  • 中華民國資料保護協會

  1. 推廣資料安全與資料保護觀念。
  2. 落實資料備份、保護、管理政策。
  3. 協助各界提升資料安全等級。
  4. 促進資料安全之產、學、研合作,提升軟體品質與技術水準。
  5. 推動資安領域國內、外交流活動,促成資安發展健全環境。

  • 中華民國電腦稽核協會

  1. 推動電腦稽核及系統控制安全之學術研究發展。
  2. 協助制訂電腦稽核、控制、安全之標準。
  3. 協助企業強化電腦系統之控制與電腦稽核功能。
  4. 與國際電腦稽核相關組織作資訊及技術之交流。

網址:http://www.caa.org.tw/


  • The Honeynet Project Taiwan Chapter
The Honeynet Project成立於 1999年,是一個集合國際間資安研發能量的非營利性組織,以技術導向領先的國際安全研究機構,專門調查最新的攻擊和開發開源的安全工具,以提高網際網路的安全。目前全世界有超過40個分會,集合資安領域之能量,發展資訊安全工具、惡意程式分析以及最新的資訊安全威脅研究,希望提供各國企業以及政府機構需要的資訊安全工具,透過技術與經驗的分享,掌握最新的攻擊和威脅,並投入資訊安全教育工作,以提昇資訊安全認知,The Honeynet Chapter發揮了打擊惡意程式以及駭客攻擊的重要角色。


  1. 積極參與The Honeynet Project國際組織之會議及相關活動,爭取跨國研究發展合作計畫,並成為全球網路攻擊資料收集與監控網之一環。
  2. 大量建置分散式誘捕網路於台灣區學術網路,用於收集現行網路攻擊與惡意程式,分析台灣網路威脅趨勢,協助制訂防禦政策。
  3. 建置網路攻擊與惡意程式知識庫,支援國內各單位資訊安全技術發展,成立反駭客技術偵測與分析團隊,建立資安事件通報處理與回應機制。
  4. 舉辦教育訓練,提升產官學界誘捕系統之技術。



  • Cloud Security Alliance Taiwan Chapter
雲端安全聯盟(CSA)致力於在雲端運算環境下提供最佳的安全方案。自其成立起,雲端安全聯盟發佈的雲端安全指南及其開發成為雲端運算領域令人矚目的重要文件。 2009年12 月17日,雲端安全聯盟發佈了新版的《雲端安全指南》,指南中代表著雲端運算和安全業界對於雲端運算及其安全保護的認識。2011年,CSA推出了數個重要的研究專案,包括雲端安全指南3.0、雲端安全事件回應CloudSIRT、CSA知識認證CCSK、CSA Governance Stack、CSA STAR計畫等。CSA已經與國際電聯組織ITU-T,國際標準組織ISO等建立起定期的技術交流機制,相互通報並吸收各自在雲安全方面的成果和進 展。雲安全聯盟正在成為雲計算和雲安全產業界最為活躍的安全研究和推動力量之一。
雲端安全聯盟CSA的宗旨:

  1. 提供用戶和供應商對雲端運算必要的安全需求與資安認知。
  2. 促進對雲端運算安全最佳做法的獨立研究
  3. 發起正確使用雲端運算和雲端安全解決方案的宣傳和教育計畫
  4. 創建有關雲端安全保證的問題和方針的明細表
網址:http://www.cloudsecurityalliance.org.tw/
  • OWASP Taiwan Chapter
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織,目前全球有82個分會近萬名會員,其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件,長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣,網頁應用安全已經逐漸的受到重視,並漸漸成為在安全領域的一個熱門話題,在此同時,駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。
美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務,國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫,包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫,針對不同的軟體安全問題在進行討論與研究。

網址:https://www.owasp.org/index.php/Taiwan

  • chrO.ot
國內著名資訊安全研究組織,We are a group interested in security. Other people named us "Hacker".

網址:http://www.chroot.org/

神奇的機器人

Published by Yi-Lang Tsai under on 5/19/2012 01:08:00 上午
最近在TED上看了一段滿有趣的演講,Prof. Vijay Kumar發展出能夠協同運作的機器人,依據相互之間的協調,共同完成一件工作,這些機器人可以不需要借助GPS或是人工的操作,可以依賴本身所擁有的感應器與螺旋漿控制本身的活動,其中最困難的,應該在於這些機器人進行協同運作時,並沒有一個中控的機制,指派每一個機器人的個別動作,而是直接利用個別的感應器,偵測環境以及與其它機器人之間的相應關係,針對要完成的這項工作,直接協調出可以處理的方式,例如:要一起搬一個物品,那彼此之間就必行協調飛行的速度以及相對的位置,然後同時往目標前進。
在實際上的應用,Prof. Vijay Kumar提供了幾個不錯的想法,例如:天災或是核災時的偵測設備、救難設備,可以依據所交付的任務,協調同一個群組的機器人以及不同的群組之間的工作協調,這些必須經過高速的計算,並且快速的針對環境進行應變,就算是第一次進入陌生的環境,也能夠利用本身的偵測設備,找出三度空間的相對位置,這個就滿適合應用在環境的偵搜上,尤其是救災時應該會發揮相當好的效益。

2012年重要資訊安全會議

Published by Yi-Lang Tsai under , , on 5/14/2012 11:32:00 下午

【國際】
【國內】