正在加载...
 

我是gogo

理解了生活就理解了安全

    欢迎加入奇智科技,一起享受创业的滋味。  

        杭州奇智信息科技有限公司,成立于2005年10月,专注于UNIX系统操作管理领域,致力于成为专业的UNIX操作管理解决方案的供应商和服务商。
        业务范围涵盖运营商、金融、互联网等高端行业用户,为用户提供稳定、可靠、高性能、高品质的信息产品与服务。
        目前旗下主力产品Shterm在运营商,金融,互联网等领域,帮助用户解决了其在Unix领域的操作管理问题,加强企业IT内控,得到用户的认可。
        奇智公司提出了“操作管理”的概念,从操作层解决了企业与组织中现存的IT内控与管理的相关问题,特别针对目前Unix领域,系统安全与管理出现的突出问题,创新的从账号/密码管理、访问控制、权限控制、操作审计等方面,提供了稳定、安全、方便、可行性强的解决方案,从而根本上改变了现有的管理模式,消除了固有的弊端。

    高级软件工程师
    职位描述及要求 熟悉Unix/Linux环境编程
    * 以下一项或多项的专业技能,希望能达到骨灰级级别
    - 系统架构设计
    - 算法分析和设计
    - Python/Rails和web架构
    - Oracle等数据库的基础DBA技能
    * 相关项目经验3年及以上
      
    售前工程师
    岗位描述:
    1。售前技术支持:包括技术交流、产品演示,方案制作、投标等方面的工作;
    2。对本公司产品和竞争对手产品的进行分析
    3。深入挖掘客户需求,准确传递到研发部门

    招聘要求:
    熟悉Unix/Linux系统配置和维护
    对常见网络设备的工作原理有一定的了解
    良好的口头表达能力和客户沟通能力优秀的文案写作能力,独立完成产品解决方案编撰工作
    快速学习能力,有很好的理解和接受能力
    能适应短期出差
    有如下经验者优先:
    大型UNIX系统管理工作经验;
    运营商或者金融行业售前经验;

    测试工程师
    职位描述:
    负责产品的功能性(黑盒)测试;
    负责编写测试用例,执行测试,编写测试报告;
    负责编写自动测试脚本。

    职位要求:
    真心热爱测试工作,为人认真细致;
    具有一定的逆向思维;
    熟悉测试工作流程,从事过一年以上的测试工作;
    善于与人交流,沟通协调能力强;
    学习能力强;

    具备下列条件者优先:
    熟悉Unix系统操作;
    熟悉C,Python语言;

    工作地点:
    上海地区;
    广州深圳地区;

    我们能给你提供:
    1、创业的经历
    从无到有的创造的过程,一切都与你有关。你将参与到一个行业甚至一个产业的发展的过程,并随之一起成长。
    2、没有约束的发展平台
    这里没有大公司的条框限制你,没有小公司的压榨让你疲于奔命。在共同的目标下,你可以尽情的发挥你的聪明才智。
    3、平等、独立的工作关系,宽松、和谐的工作环境
    这里只有工作性质与内容带来的分工的不同,没有公司政治的存在;这里只有伙伴,没有老板。
    4、潜在长期的发展收益
    作为创业团队的一员,都将拥有企业股权的分红权利。

    如果您对我们有兴趣,请将真实,简洁的个人简介以e-mail的方式投至 caiyj.echo@gmail.com
    热切期待伙伴的出现。

    浏览数(1310) | 评论数(2) | 2007-03-11
    在企业做安全-具体操作思路  

    1.  清晰理解企业内部的业务需求和具体应用,知己知彼才能做到有的放矢。


    2.  网络安全:(安全域划分,远程接入等)

    21  网络设备自身的安全。

         要求设备供应商必须提供针对自己设备的安全建议和安全加固手册,否则不予采购设备。(尤其注意设备对外开放的服务,端口和协议和安全配置)

    22  严格做好网络层面上的访问控制。

         严格的ACL能消除绝大多数隐患。(访问控制是否合理,尤其是各VLAN之间的访问控制是否够严格

    23 流量分析和监控。

        要清楚知道网络中目前正常的和异常的流量,从流量中分析出攻击的前兆,以便及时采取措施。

    24 深度防御。

        深度防御的含义就是在一层防御的基础上提供更深一层的保护,增加网络的安全性。使攻击者想深入系统必须经过多层屏障。深度防御的典型代表是IPS设备。


    3.  系统安全:

    31  系统安装最小化原则:只安装需要的软件包。

    32  系统服务最小化原则:只使用需要的服务。

         33   利用安全弱点管理系统去发现系统已知的安全隐患(95%的攻击是针对已知漏洞)

    34  系统更新原则:始终保持系统的OS在系统商提供的最安全稳定的版本上,同时保持系统软件补丁的最新更新
    3    5   系统操作透明化原则:保证所有人的操作行为都必须透明化,出了问题一定要能追查到人


    4.  应用安全:

    41  对每一个应用软件要很清楚是否够安全:

        如果不够了解软件,不如不使用。比如你使用了apache,那么你目前的版本是否是最稳定和安全的,你必须要仔细阅读ChangeLog,判断新版本和老版本的区别是在功能修复还是安全修复,强烈建议阅读每一个应用软件开发者写的针对此软件的安全建议和加固方法。

    42  其次严格控制好每一个入口:

        任何一个试图接近你的应用的点都是要严格控制的,尤其要关注登陆和后台管理。


    5.  解决好人的问题:

    51  在公司内部要广泛开展安全知识普及培训,让所有人对安全都有一个比较清晰和深刻的认识

    52  规范,清晰的制度,明确定义什么可以做,什么不可以做 

    53  保持和安全设备厂商和安全评估公司密切联系,可以用买产品送服务和培训的方式来解决。因为技术的改变是日新月异的,让一个人去跟随变化非常困难,你不可能知道所有事情。必须借助安全厂商的专家资源来跟踪目前业内的发展趋势。
         5    4   保持和黑客的密切联系,黑客的世界和我们不太一样,你无法和他们共享信息。组织里面一定要有这样一个人,他和地下的黑客组织有很好的沟通,保证随时掌握那些没有公开的和新的攻击手段。


    6.  监控和审计:

    61  网络层面上的流量,协议监控和网络管理

    62  系统层面的集中管理,单点登陆,权限控制和用户行为审计

    63  应用层面的日志分析


    7.  有效管理:

    你不可能100%的知道所有的安全技术,同时也没有一种方法能使你做到100%的安全,因为我们都是在已知的系统,网络,应用平台之上搭建我们的应用服务,更多时间里面我们做的是限制,其中有效的限制什么人能在哪里做什么事情又占据了安全管理的大部分的时间。

    标签:安全 | 浏览数(1825) | 评论数(1) | 2006-07-08
    在企业做安全-概念理解  

    首先是有一个设计合理的安全组织,其次要有清晰的安全管理思路,不断摸索和实践新的安全技术,最终建立一套有效可行的安全维护体系。

    个人的理解:

    安全是平衡的艺术:平衡是因为要取舍,艺术是因为无规律可寻,一切取决于当下的环境. 预算,风险,客户体验,有效......

     

    安全是为业务和相关应用服务的:如果没有业务应用,根本就没有所谓的安全,因为应用所以产生了安全需求,同时也带来了不安全的因素,安全是和应用矛盾的,必须明白安全是为应用服务的,不满足应用的安全没有任何意义.

     

    安全是管理和技术的完美结合:业内流行的说法是三分技术,七分管理。虽然管理和技术各自解决各自的问题,但是管理的意义大于技术。管理解决的是面的问题,技术解决的是点的问题,管理者会站在一定的高度,综合考虑整体的情况,然后制定相应的策略,然后落实到技术实现上。当然在技术实现上有简单有复杂,但是无论如何实现都是在安全管理的大策略框架之下完成。但是缺少技术保证的管理有点空中楼阁的味道。有技术不是万能的,没有技术是万万不能的.

     

       安全问题的层次和渐进:不要试图把整个海洋煮沸。在解决安全问题上,首先要列出目前安全的整体情况和重要性,然后确定优先级,先解决最严重的问题,再去解决其他问题;先解决已知问题,再去探讨未知问题的解决。

    安全是一个整体的解决方案:很多人一提到安全就是想到防火墙,VPNIPS之类的,上面提到的都是安全的技术点,但是安全绝对不是单一技术的简单拼凑,安全从来都是去解决实际问题的。买了防火墙, VPN, IPS就是安全的么?任何一个产品都只能解决某些问题,而不是全部。重要的是如何将这些产品很好的结合起来,充分利用各自的特点去形成一套完整的问题解决方案。


    安全是一个动态和循环提升的过程:业务的发展导致了需求不断变化并带来网络结构和设备不断的变化和调整,同时黑客的攻击手法不断变化,也许今天这样的防护是安全的,但是明天就很难说了。安全是一个长期的、变化的过程,不是通过一个项目和一个方法就能够解决的。在安全这个行业是永远没有永远这个概念的。


       人总是最大的问题:最终我们还是要面对人,任何威胁都来自那些心怀恶意的人。路不拾遗,夜不闭户在目前的大环境下只能是一个理想. 每一个组织里接触核心系统的人才是最大的安全威胁,管理的终极目标就是人.

    标签:安全 | 浏览数(1732) | 评论数(0) | 2006-07-08
    安全审计杂谈-引子  

    前几天和领导在讨论安全域划分的重要性,总监突然说,你们说的安全域的划分我理解就是将一个大城堡划分成一个一个的小城堡,每个城堡的安全级别不一样,最核心的城堡可能需要更多的保护,比如一层一层的门阿之类的,那么就算我们这些都做了,你能保证我们是安全的么?
    虽然我们总监说自己不懂安全,但是他的话总是那么尖锐的直指安全的最本质之处--你能保证我是安全的么?作为一个安全人士对此的标准回答应该是安全从来不会是100%,没有人能够保证100%,安全是一个动态,不断发展和修正的过程。。。。这样的回答是否具有足够的说服力?
    那一瞬间我的脑海里面突然闪过《碟中谍2》中汤姆克鲁斯顺着那根绳子缓缓下滑,一点一点的接近那台保护的最严密的核心机器。
    我的回答是:没有什么能够保证我们能够做到100%的安全,就算是美国国防部也不能保证,但是我们会努力做到一点,我们能保证在所有的安全措施都被层层突破后,我起码能知道是谁偷走了我们的东西。你看《碟中谍2》中汤姆克鲁斯偷机密数据之所以能够得手,主要原因有两个:第一,从天窗进入进入核心系统,说明这个安全系统设计的有缺陷,没有做到入口唯一,大门应该是唯一的入口,他应该而且只应该从门进入,而不是从天窗进入;第二,那个安全系统缺少监控,他忽视了对敌人的心理研究。挑战不可能是一件快乐的事情,能进入那个地方的人绝对是一个有相当水平的人,任何一个有这种水平的人都是心思慎密的,他必须要做到随风潜入夜,润物细无声。轻轻的挥一挥手却不留下一点痕迹。他不会愿意自己被看到,一举一动被监控对于他来说是一个耻辱。他首先要面对的就是要么离开要么破坏这个监控系统。我们目前的现状是无法搞定Windows,但是Unix系统我们已经能做到了而且还算完美。
    作为一线的安全管理人员,我们梦寐以求的安全管理的最高境界就是国家治理的金玉良言:有法可依,有法必依,执法必严,违法必究。
    提到法的问题,必须要面对的一个问题就是--你凭什么说我犯法了?法律的适用前提是事实证据。一切必须以真实可信的证据为依据,这是一个大的前提。经常会看一些案件的侦破,很多案件难以侦破多数因为做案现场缺少证据:首先现场留下的证据都很少,现在的做案者都会有意识的去擦除自己的作案痕迹;其次就是对手故意留下假证据,迷惑执法者,反侦查手段越来越高明。你如何能够保证现场看到的证据是绝对真实可信赖的?

    标签:安全 | 浏览数(1872) | 评论数(2) | 2006-06-04
    春江水暖鸭先知  

    春江水暖鸭先知这句诗蕴含深刻道理。

    水:代表了客户的绵绵不断的需求
    大鱼: 大客户

    小鱼和小虾:中小客户
    鸭:安全公司
    理论上应该是水温一旦有任何变化肯定是鸭先感觉到,而不是鱼。因为鸭不仅仅可以从水里面得到信息,还可以通过天气的变化去感知水温即将的变化。但是实际上往往不是这样,我想造成这种问题的主要原因是:鸭都不在水里了,远远的在岸上望着水里的鱼和虾。

    浏览数(2025) | 评论数(2) | 2006-05-21
    安全产品之我见  

     
    安全产品之我见
     
    目前市场上IPS的概念很热,我认为防火墙和IPS概念上的区别在于:防火墙只是一个门卫,他的策略就是什么人能进—好比所有穿黑色衣服的人允许进入,穿白色衣服的不允许;而IPS则相对高级了,它解决的是只有穿黑衣服的好人才允许进入。误报是什么--就是本来他是一个穿黑衣服的好人,你偏偏不让他进入;漏报是什么--就是他明明不是穿了黑衣服的好人,你偏偏让他进去了。很多人对IPS怀有深刻的怀疑态度,认为它总是有误报和漏报。但是其实就算是国安局是否能够保证进入国安局里的人一定都是好人?一个只是简单判断衣服颜色的门卫和一个能相对分辨清楚好人坏人的警卫,你会选择哪一个?
    IPS产品的本质是对好人和坏人的判断问题,相比较误报而言,漏报的问题更加的严重。那么判断的准确才是选择IPS的关键?你如何认为他的判断足够精确?他又如何证明自己是最权威的法官?
    我个人认为对待IPS应该不是用不用的问题而是怎么用的问题。 再好的东西都是你自己来用的,能否用好它是目前的一个大问题?
    安全产品的发展趋势基本来说可以归纳成为:
    由外而内--从网络到主机,从外网到内网。还是家贼难防啊!
    由浅入深--从路的安全(网络)到家(主机)的安全到保险柜(容器)的安全。
    目前网络层面的安全产品的趋势是正在被ciscojuniper等大的网络设备厂商迅速占领。毕竟网络的安全可以理解为是网络环境本身应该具备的品质或者属性 . 从网络出生的那一天起, 它便属于网络这个东西本身(此句话摘自http://www.i170.com/user/xalanz/Article_10091 网络安全产品的发展趋势Xalanz )。大鱼不仅仅吃小鱼还吃小虾。他们利用各种资源优势打压小厂商,强者越强,弱者越弱。只要在网络层面而且和网络相关的概念和产品,最终它们都会整合,然后一统网络安全的江湖。毕竟网络的问题最终还是要依赖网络设备厂商自己去解决。有好的技术和想法的小厂商要么被它们收购,要么就做管理和配套服务。但是他们并不满足目前的现状,正在一步一步利用概念有计划的往终端上面侵蚀,比如 ciscoNAI计划。
    系统层面的安全问题一样要依赖系统厂商自己去解决,而且微软,redhatSun等都推出了针对系统层面的解决方案,毕竟他们是设计者,从某种意义来说没有人比系统的设计者更加全面,彻底了解自己的产品。
         当前安全企业争夺的焦点集中在哪里?终端是任何一个安全公司要千方百计占领的一个制高点:)。谁掌握了终端谁才是王者之道。前面的文章说过,终端是数据存放的容器,搞定了容器也就搞定了数据。你可以看到 McAfeeSymantec都已经推出了针对Windows的整体打包方案,包括防病毒,防间谍,主机IPS,主机防火墙等。山雨欲来风满楼,如果不在微软的安全整体解决方案成熟推出之前,迅速在 Windows终端占领一席之地,结果是可想而知的。因为按照发展趋势是分久必合,就好比我们目前的网络架构就碰到了这个问题,串接的设备越来越多,串的越多,出问题的几率越多。谁都想简单一点,越简单越稳定。 融合是一个大趋势,但是绝对不是简单的融合,简单的概念拼凑解决不了融合的问题。
    关于国内安全产品的发展。从我的内心来说,我是绝对支持国内安全产品的发展,我也希望采购更多的国产安全产品,但是在企业采购中的原则是公平,公正,公开。在同一个产品层面上你可以发现能和国外厂商站在一起的国产软件是少之又少。有些国外产品在国内根本就是没有对手。对于我接触过的国内几大安全厂商,启明,天融信,绿盟等我都心存景仰。他们是现阶段中国安全产业里面的脊梁,作为脊梁,作为国外产品在国内的“阻击手“,他们需要承载太多的重负。他们相当的不容易,我很反感很多人一提到国产安全产品就用一个烂字来形容。有多少人真正的去试用和比较过同一个水平的产品?作为一个“阻击手“,他们承载了太多的民族的责任感。就好比华为,如果没有他的出现,cisco的价格永远不会降下来,服务也永远不会提升上去。(参见我和华为的故事)试想一下,如果任何一款国外产品在国内都没有同类型产品可以比较,这是一种多么可怕的事情啊。不错是市场决定了价格,但是是需求决定了市场。为什么那么多小国家要独立?独立是为了追求自由。自由是每一个人都向往的。许巍的歌写的好啊:没有什么能阻挡,对自由的向往。作为个人来说追求财务自由是普遍的梦想,作为国家来说追求民族的自由。国家没有地位。我们还有什么地位。我们永远都无法改变自己的这颗中国心:)作为每一个安全人士我们都在追求安全的自由。安全产品不能没有声音,如果一个国家的安全产品没有了声音,这个国家就没有声音了。
    目前国内是缺少一个好的氛围和环境来交流安全理念和方案。就算是有好的解决方案也不知道该和谁交流,这应该是很多做安全人士的苦恼。封闭只能倒退。我信奉的生活理念就是:帮助了别人就是帮助自己。
    写完这篇文章我也即将离开我现在深爱的部门去开始另外一片事业,我希望将我个人对安全的理解转化成为一款安全产品,能通过自己的微薄力量为中国的安全事业做出一点点贡献。同时希望能够因此有幸认识更多的国内安全人士并能够广泛深入的交流,最好能够联姻。联姻不仅仅是在贵族之间,更存在我们这些平民之间,因为我们更加需要依赖彼此之间的信任和合作去抵御更加强大的国外对手从而到达胜利的彼岸。
     
    附录:
    我和华为的故事
    http://forum.tech.sina.com.cn/cgi-bin/viewone.cgi?gid=23&fid=290&itemid=71439

    浏览数(1588) | 评论数(0) | 2006-05-13
    达芬奇密码小说里的3个安全设计思想  

    达芬奇密码小说里的3个安全设计思想

     

    1。卢浮宫为什么没有一个真正的摄像头?

            兰登紧跟着,他的视力慢慢适应了黑暗。四周的巨幅油画变得清晰具体了,他们好像是在一个巨大的暗室里冲洗出的照片,展现在他面前……他在房间里走到哪里,他们的眼睛就跟到哪里。他能闻到博物馆里常有的干燥剂、除湿剂的刺鼻的气味。除湿剂带有些微的碳的气味。碳是一种工业用品,是一种过滤煤用的除湿装置,以消除游客呼出的二氧化碳所产生的腐蚀作用。高高安置在墙上的安全摄像机赫然可见,它向游客清楚地传达这样的信息:我们看着你呢,别动手触摸任何东西。

      “有真的吗?”兰登边问边指向摄像机。

      法希摇头说:“当然没有。”

      兰登一点也不觉得奇怪。在这么大的美术馆实施录像监视,成本太高,很难做到,而且效果也不好。要监视这数公顷的画廊,单负责信息传输的技术人员,整个卢浮宫就得要好几百人。大多数大型的博物馆现在都使用一种叫“封闭保护”的防范措施。别想着不让贼进来,要让他们出不去。封闭装置在闭馆后启动。如果侵入者拿走一件艺术品,自动封闭的出口就会将画廊封死,即便在警察没赶来之前,贼就已被挡在栅栏里面出不去了。

     

    2。还有银行如何保证vip客户的东西只能自己看到?

       接待人员早就笑盈盈地站在那里等着他们。他看上去上了年纪,穿着一件熨烫整齐的法兰绒西装,这使得他看上去很古怪,跟这个地方一点也不相配——一个高科技世界里的老式银行工作人员。

       “先生,”他说道,“晚上好。请跟我来,好吗?”没等回答,他转过身,大步走向一个狭窄的金属通道。

       兰登和索菲向下穿过几个通道,走过几个摆放着大型计算机的房间。

       “就是这里,”接待员说着,为他们打开一扇铁门,“到了。”

       兰登和索菲踏人了另一个世界。这个小房间看上去就像是高级宾馆的豪华起居室。这里没有钢铁和铆钉,有的是东方的地毯、黑色的橡木家具和配置了坐垫的椅子。房间中央的宽大桌子上,两个水晶玻璃杯边放着一瓶矿泉水,矿泉水还冒着气泡,桌上还有一壶冒着热气的咖啡。

       兰登不禁感叹道:“瑞士人真是按部就班的典型。”

       那人会心地一笑:“你们是第一次来吧?”

       索菲犹豫了一下,点了点头。

       “可以理解。钥匙经常被作为遗产传给下一代。第一次到我们这里来的客户大多不明白协议。”他指了指放着饮料的桌子说,“只要你们想用,这个房间就一直是你们的。”

       “钥匙有时是世代相传的?”索菲问道。

       “没错。客户的钥匙就像瑞士银行的数字账号,经常会被作为遗产一代一代地传下去。在我们的账户上,最短的保险箱租期是五十年,要求提前付款,所以我们会看到许多家族的后代。”

       兰登睁大双眼,“你刚才是说五十年吗?”

       “至少,”接待员答道,“当然,你也可以租用更长的时间。但除非有进一步的安排,否则,如果一个账户五十年未用,我们就会自动地把保险箱里的东西销毁。需要我启动程序来拿出您的箱子吗?”

       索菲点了点头。“好的。”

       接待员指着这个豪华的房间,说道:“这是供你们查看保险箱的密室。我一离开这里,你们就可以在这里查看或更换保险箱里的东西,想呆多长时间都行。而箱子就在这儿。”他把他们带到对面的墙边,那里有一个宽大的传送带,看上去有点像行李提取处。“请把钥匙插进这个小孔。”那人指着传送带对面一个很大的电子指示装置说。装置上有个熟悉的三角形的钥匙孔。“计算机确认是这把钥匙后,请输入你的账号。然后,你的保险箱就会由机器自动地从下面的金库里传送过来,你就可以查看了。查看完箱子后,请把它放在传送带上,再把钥匙插到这个孔里,程序就会自动重复一遍。由于整个过程是自动的,因此你们的隐私完全可以得到保证,即使是本银行的工作人员也完全不知情。如果你们有什么需要,就请按一下桌子中央的那个呼叫键。”

       索菲正想提问,突然电话铃声响了起来。接待员显得有点迷惑.尴尬地说道:“请原谅。”他走向咖啡壶和矿泉水瓶边上的电话。

       “喂?”他拿起电话。

       听着话筒那头传来的声音,他皱起了眉头。“是……是……”挂上电话,他局促不安地对兰登和索菲笑了笑,说道:“对不起,我现在得出去——下。请随意。”然后,快步走了出去。

       “对不起,”索菲喊道,“走之前能不能给我们解释一下?您刚才是不是提到我们要输入账号数字?”

       那人在门口停了下来,脸色煞白。“当然。跟其他瑞士银行一样。我们的储蓄保险箱业务开设数字账号,而不是姓名账号。你应该有一把钥匙和只有自己知道的账号。否则,假如你丢了钥匙,谁捡去了都可以用。”

       索菲犹豫地问道:“要是我的赠送人没告诉我账号怎么办?”

       接待员的心“咚咚”直跳。那显然你与保险箱无关!他故作镇静地对他们笑了一下,说道:“那我去找个人来帮你。他马上就来。”

       接待员出门转身将门关上,然后转动着一个粗大的钥匙,把他们严严实实地锁在了房间里。

    。。。。。。。。。。。。。。。。。。。

       韦尔内无奈地叹了一口气:“很遗憾。每把钥匙都跟一组作为密码的十位数账号相匹配。没有账号,你的钥匙毫无价值。”

       十位数!索菲无奈地计算了一下破解那个密码的可能性。有100多亿种可能。即使她把警署里处理能力最强的并联计算机带来,也要用好几个礼拜才能破解这个密码。“当然了,先生,鉴于当前的局面,你会帮我们的。”

       “对不起。我真的帮不上忙。客户通过安全可靠的计算机来选择他们的账号,这意味着只有计算机和客户自己知道账号。这是我们保证客户得以匿名处理业务的一个方法。另外,这样做也是为了我们员工的安全着想。”

       索菲完全明白。便利店也是这样做的。员工不能拿保险柜的钥匙!这家银行显然不会让人钻空子,让偷走钥匙的人扣押一个员工作为人质来索要账号。

     

    3。还有如何保证运钞车里面的东西不被司机看到?

    “我是科莱,警署中尉。”那个警察说道。他指着装甲车的货舱问:“这里面是什么?”

       韦尔内用粗鲁的法语回答:“见鬼!我怎么知道那是什么东西。我只不过是个司机。”

       科莱不动声色,继续说道:“我们正在寻找两个罪犯。”

       韦尔内放声大笑起来:“那你就来对地方了。雇我开车的几个混蛋这么有钱,他们肯定是罪犯。”

       那个警察拿出一张罗伯特兰登护照上的照片,问道:“这个人今天晚上是不是在你们银行?”

       韦尔内耸耸肩说:“不知道。我只是装货台上的小老鼠。他们不让我们接近客户。你应该进去问一下前台。”

       “银行非要我们出示搜查令才让我们进。”

        韦尔内露出厌烦的表情,“别拿当官的吓唬人。”

       “请打开车厢。”科莱指着货舱说。

       韦尔内瞪了他一眼,发出一阵怪笑。“打开车厢?你以为我有钥匙?你以为他们这么信任我们?他XX的,你看看我拿的那一丁点薪水就知道了。”

       警察歪着头,显然不相信他的话。“你说你没有自己车上的钥匙?”

       韦尔内摇摇头,“没有货舱的钥匙。只有开车用的。工头把货舱在装车的地方锁好后,让车等在那里,然后派人另外开着车把钥匙交给收货人。我们这边接到电话说收货人已经拿到钥匙后,才能发车。提前一秒钟都不行。他妈的,我从来都不知道我拉的是什么东西。”

       “这辆车是什么时候锁上的?”

       “肯定是在几个小时之前。我今晚要一直把车开到圣塞瑞,货舱的钥匙早就到那儿了。”

     

    浏览数(2251) | 评论数(1) | 2006-05-09
    厂商为啥就不懂客户的心?  

                                            厂商为啥不懂客户的心?
     
    由于我是甲方,我只能从客户的角度来谈谈对安全产品的理解。我们企业目前人数大概在4000人左右,服务器在5000台上下。
    前几天和国内的文件保护的厂商聊天,提到目前的文件保护产品,深刻地感受到文件保护产品为什么会在今年火爆?是因为需求到了这个阶段,因为去年的终端管理到了一个如火如荼的地步,客户已经接受了这个理念,由于接受了终端保护的理念,那么文件保护的概念自然是水到渠成的。为什么MarkAny在2001年已经开发出了文件保护产品?但是直到现在这个产品也没有多大的起色?终其原因是时间太早了,在所有客户都还没有彻底理解安全是什么和安全应该怎么做的时候,这个时候你提出要保护数据文件,实在是超的太多了,太超前的结果只能是先烈了。那么又是谁导致了MarkAny在2001年就开发文件保护产品呢?并不是这家厂商高瞻远瞩的看到了5年后的安全产品发展趋势,而是当时韩国三星有这样的需求,他们付了一笔可观的费用要求MarkAny公司替他们开发一套文件保护的产品。所以从现实的角度出发,安全产品的发展是要水到渠成才行,水都不知道什么时候才能流到村里,你要去说服“村民“投资去建设一个渠有多难啊?当然我不是否认高瞻远瞩,高瞻远瞩很重要,但是随风潜入夜,润物细无声更是我推崇的。
    任何产品都是为需求服务,没人会做没有任何需求的产品。对于客户来说也就是三个字,我想要;对于厂商也是三个字,我能给。你都不知道我想要什么,就硬要给我,有点霸王强上弓的感觉。当然碰到逆来顺受的客户是没有问题的,但是客户就是上帝,一般情况下上帝多少是有些脾气的。为什么自由恋爱是男女相互选择的主旋律?因为这是双方自由选择的你情我愿,就算是选错了,也没有什么好埋怨的。但如果是红娘介绍的,一旦感情破裂,红娘或多或少会受到一些牵连?谁让你当时把他(她)吹得和一朵花一样?红娘难做啊!
    我觉得厂商首先要考虑的是深刻理解客户要什么,然后才是我能给你什么和怎么给的问题?有多少安全厂商静下心来耐心的和客户交流过?一味的给与并不是客户所希望的,因为最终的评价不在你手里。这个体会来自我几年的婚姻生活。多年以来我都是理所当然的认为家庭的幸福就是我想的这样,可是在一次激烈的争吵过后,在我老婆的泪如梨花般散落的时候,我才彻底明白,原来女人要的幸福和我想的完全不一样。我从未严肃而认真地问过她想要的幸福是什么样的,也从未认真仔细的倾听过她的感受。不错,世界的确是你我眼中的世界。但是关键是我们是否幸福完全取决于她的评价,我自己说我很幸福是不可信任的假幸福。只有当我老婆无论在谁面前都不由自主地说和我在一起非常非常幸福才是真幸福。做不做是你的事情,好不好是她的事情。目前整个大环境是追求和谐社会,那么对于厂商来说追求和客户的和谐,扎扎实实的替客户解决各种疑难杂症,让客户从内心心存感激之心非常值得我们一起去探讨。
    所有安全产品的本质都是为了满足客户的安全管理需求。注意管理二字。客户更加看重通过技术手段体现出来的管理效果。技术产品必须有管理思想,必须融入更多的管理思想才能成为安全管理者的工具。单纯的从技术角度出发的产品是很难吸引客户的眼球的。我总感觉目前的安全公司和客户之间的距离太远,相互之间好象雾里看花一样,无法将对方彻底看透:)。作为企业用户在购买产品的时候最先打动我的不是你的技术,而是你的产品思路和我的管理思路是否吻合,是否能替我们解决问题,能否高效率的去管理企业的安全。毕竟企业不是研究机构,企业非常现实的注重产品能带来的实际效果。
    比如你说服我去买一个扫描软件,那你首先要知道我用它来做什么?难道我只是用它来扫描一下服务器和PC,然后发现一堆问题,就搁在那里了?10台机器还容易解决,但是我有3500台PC,5000台Server的时候难道还是这样来解决?我买扫描器的目的并不是为了扫描机器,是为了管理通过扫描发现的漏洞,因为漏洞会带来风险。漏洞有啥可怕,只要不对我构成威胁,我有啥可怕。虽然扫描产品的核心技术是漏洞库,但是它的核心思想是如何管理这些漏洞带来的风险。那么继续延伸开来--风险管理的生命周期是如何的(风险管理策略-确定资产种类和数量-定义资产价值和重要性-;漏洞扫描-威胁对比-计算风险等级-实时阻断各类入侵-修补漏洞-追踪进度和成效-用量化方式评估风险管理成效-是否符合预先设定的管理策略)?其中哪些环节是我们可以依赖产品来控制的?这就是某些扫描产品的卖点。但是就是这样为什么扫描软件或者说风险漏洞管理软件依然不能卖的很好呢?这其实和软件已经没有关系了,因为所有的客户都存在一个硬伤,这个硬伤限制了客户无法真正的用好它,因为国内的导向是一切以应用为王。不管你再怎么不安全但是不能影响应用稳定,就算你知道了安全风险又咋样?谁为安全补丁升级导致应用出的问题负责?这也是我们公司该产品的现状,绝对是好东西,但是我无法用好它,我们只能倚赖它知道我们目前有这么多风险,但是我无法去解决它。
    最后谈谈需求。首先你不可能创造需求,需求从来就存在,关键在于对客户需求把握的力度和深度,需求不仅是你已经看到的,还有潜在的。现在很多厂家就是因为没有那么深入了解客户的需求,所以无法做出客户真正需要的东西,所以苦苦挣扎在同质化的竞争中,直到倒下。
    既然商业社会的本质就是交换,而交换的目的也都是一样的,就是为了获得相互的满足感。我又想起了以前参加很多厂商举办的研讨会的一个现象,就是厂商在台上自顾自的说一些枯燥无味的自家产品,台下一堆听客东倒西歪的或躺或睡。这是相互伤害啊!如何让客户产生满足感,留给每一个厂商思考?

    浏览数(2200) | 评论数(4) | 2006-05-08
    理解了生活就理解了安全  

    不知不觉做安全也有些时间了,曾经对安全的无限憧憬和神秘的遐想都随着时间和方案逐渐的灰飞烟灭了。留下的更多是对国内安全界的强烈希望和深切担忧。

    我们看待一件事情必须要溯本求源。那么安全的本质是什么?我们天天都会提到要注意安全,也身在其中忙忙碌碌,不亦乐乎。我们所做的和所求的究竟为了什么呢?佛家讲究因果关系,一切的因都是为了求什么果呢?四个字 --保家卫国。

    目前所有对信息安全的概念探讨都一定会提到安全的 4个基本属性:
    1.保密性(Confidentiality):确保只有经过授权的人才能访问信息。
    2.完整性(Integrity): 保护信息和信息的处理方法准确而完整。
    3.可用性(Availability): 确保经过授权的用户在需要时可以访问信息并使用相关信息资产。
    4.可控性(Controllability): 就是对信息及信息系统实施安全监控。

    理论的东西总有些枯燥和难于理解,我更加喜欢用生活中的类比来说明安全 --就是保护属于自己的钱不被除自己以外的任何人拿走。

    1.首先你的钱你不希望别人知道,因为那是你的 ――保密性;
    2.其次你不希望突然有一天发现自己的钱少了,原来有多少钱现在还是多少钱 ――完整性;
    3.你肯定希望自己随时都能随心所欲的用这笔钱 ――可用性;
    4.最后你希望任何时候都能知道有多少钱已经用了,是怎么用了,还剩下多少钱可以用 ――可控性;

    所有的安全产品和安全理念无非都是围绕这 4个基本概念深入延伸而展开,而且这些概念彼此环环相扣,且生生不息的互为因果。

    试想如果你的钱不放在柜子里,也不上锁,随便往哪里一扔,你的钱不被拿走才怪。所以一般人都会想一定要把这些钱找一个地方稳妥的放好,地点要隐秘,不能让别人发现。其次要能够有什么措施保证别人无法看,比如加锁或者放在保险柜里面等等。一般有藏私房钱的人都对此比较有经验。只有做好第一步保密后,才有可能保证下面的几点才有条件实现。那么钱已经藏好了,那么剩下的疑惑就是我的钱会不会少,如果钱藏得足够隐秘,钱一般不会少。如果钱不多不少,那么就要考虑我是否随时都能够方便的使用这笔钱,这些基本条件都具备后,必然会有一个新的问题,就是我如何去控制这些钱。我怎么知道谁(账号管理)在什么时间花了多少钱(历史记录),怎么花的(操作审计)。那么控制的目的是为了什么呢?为了这些钱能够按照自己的意图(安全策略)去花。

    既然安全的本质就是保护钱,首先你要问自己的就是你有多少钱。我想富人和穷人在理解钱这个概念上肯定会有很多差别。没有人可以想象一个身无分文的人会考虑保护自己的钱,所以无产者无谓大概就是这个意思。什么样的条件就会催生怎么样保护的需求,所以提到安全首先要看自身的条件,不同层次的客户肯定会有不同层次的需求。这也是为什么目前几乎所有的安全产品几乎都集中在行业和企业用户的一个原因,因为普通用户不具有产生强烈安全需求的必要条件。对于普通人来说,只要家里的门有一把锁也许就可以了,这把锁是唯一的安全需求了,如果你劝说他去买一个高级的保险箱,这个难度可是相当的大阿!对于他来说,仅有的一些钱都在银行里,家里没啥值钱的了,就算真有人破门而入(黑客),也没啥大关系。但是对于富人来说,情况就完全不一样了。他肯定具有一定的安全意识,因为他的钱也是辛辛苦苦的挣的,不是抢来的。虽然国家的法律明确保护公民的私有财产神圣不受侵犯,不过现实中很多事情不能将简单的依赖法律,自己的痛自己知道,不如多花些钱来保护好自己的钱更加现实。首先他在住宅的选择上就要非常小心,会对周围的环境和安全要求很高,肯定要考虑在自己居住的豪宅周围限制闲杂人员的往来,怎么做呢?方圆几公里之外都要圈起来(安全域划分),明确区分出哪里是自己的领地;只有一条道能够通过(集中控制,入口唯一),在进入地点到豪宅这段路是他要绝对的控制的(内网保护),门口肯定要有保安需要你出示证件(身份认证),一到院子里面总会有几条狗热情的跑来闻闻你的味道( IPS),进入后随处都有摄像头跟踪(审计),所有的有价值产品都放在机关背后的保险箱(主机防护)里面等等,就看主人愿意花多少钱做到哪一步了。

    保护私有财产不受侵犯,就是保家。对于任何一个在企业和行业内部的安全人员来说,首先就要想到的就是保家的概念。企业就是我们的家,我们要尽我们最大的力量去保护它不能受他人的任何侵犯。

    在有了互联网以后,安全就更加有难度了,为啥呢?

    用Bill Gates的话来说,互联网就是信息高速公路。想致富就要先修路,没有路你无法和外界沟通。骨干网其实就是国道,城域网就是省道。所谓的网络设备就好比是各个关卡或者收费站点,它能控制你可以去向何方。流量无非就是一条路上可以同时跑多少辆车的车道,所谓保密就是要保证车里面的东西不被看到。由此可以看出,要保证信息在整个传递过程中都保持安全,相对来说有些难。因为在信息传递的过程中有太多不可控因素,你不知道在哪一个关卡会有人窥探你,就算在路上也许也会有人拿着望远镜远远的在偷窥你,要解决信息在传递过程中的安全问题,必须保证你传递的信息本身不是明文或者用加密的设备( VPN)传递信息。

    目前的概念是提及企业安全都会说网络安全,感觉安全只是和网络有关系。我个人的理解网络安全不是安全的本质,网络安全很重要,但是它不是企业安全的本质。网络安全的本质只是路的安全。路有很多条,这条路也许安全,那条路也许不安全,你能控制到每一条路都安全么?条条道路通罗马,你能控制到罗马的每一条路么?我们能做的就是要让自己回家的这条路一定是安全的(内网安全),因为这是家里人走得归家的路,这条路的安全极度的重要。因为目前黑客攻击的重点正在迁移,从原来的攻击服务器变成更多的攻击客户端机器。原因是目前对服务器的重视程度都比较高,而且攻击服务器的成本远远大于客户端。安全的方向在渐渐的从网络到主机,从外网到内网。

    安全的本质是钱,对于任何一家公司来说,安全的本质是那些机密的文件数据。我认为数据的安全才是真正的安全。一切的安全因为数据存在而存在,因为数据的 “动“而“动“,因为它才是真正有价值的目标。数据不是放在空气里面的,它们一定要有存放之地,也许是在抽屉里面,也许是在保险箱里,也许是存放在银行的金库里面。无论怎么放它都必须依赖于容器,容器是什么?各个系统就是容器。放在 windows里面,windows就是容器,放在linux里面,linux就是容器,放在数据库里面,数据库就是容器。

    由此可以看出,和数据文件相关的所有传输过程和涉及点都是和安全相关的。任何一个过程和点的薄弱都会带来数据安全的隐患。所谓的安全难做就是因为过程太多,变更太多,涉及到的人和其他不可控因素太多。

    作为一个贼(hacker)是如何来思考?我知道在某栋豪宅里面有很多钱,那么首先我会在豪宅周围四处游走,一方面看看这个豪宅的保安措施是否到位,一边考虑是否可以绕过门口的保安进入(扫描踩点),如果有其他地方进入(各种漏洞),最好;如果没有只能走大门,那么必须清楚什么样的人可以进入,一般保安其实盘查的也不是很严格(防火墙),那么混进去不是一件太困难的事情,混入豪宅内部后(内网),发现里面的安全其实就没有外面那么严格了(内网的信任原则),你基本可以随意行走,既可以在花园散散步,也可以到屋内参观(权限控制松散)。在你行走的过程中,你一直留意周围是否有摄像头的监控(审计),因为你需要为自己留后路,你必须要保证能全身而退。凭着直觉你发现钱是放在二楼的保险箱里面,那么肯定要打开保险箱(渗透),然后就是在那里留一个后门(木门),能保证自己以后还能随时的进出,最后就是人不知鬼不觉的撤退,当然在撤退的过程中要保证擦除所有的做案证据。

    安全其实也就是道高一尺,魔高一丈的过程。听起来有些不理解,有些妄自菲薄的味道。我不知道在企业里面负责安全的有多少是真正见到过正在发生的攻击行为,我有幸能亲身体会到那种攻击的震撼。我们部门的 “小黑“让我彻底改变了对攻击的看法,他所有的快乐都会在 “破门而入”的那一瞬间绽放,而在那一刻带给我的却是绝对的失落。做为一个守门员,没有什么比丢球感觉更加沮丧的了。他们的世界我无法真正的去体会和理解。做矛的和做盾的关注点肯定是不一样的。大家都知道某些地下组织里面都有一些未公开的漏洞,也就是通常说的 0day,这些信息只掌握在某些人手里,越是级别高的漏洞,知道得人越少,这本身就是一种信息的不对称。而我们对于这种 0day的问题基本上是束手无策的。在现实生活中,据说能搞定所有锁的高级窃贼依然是存在的,尽管数量很少。相对于他们来说,我们是绝对的弱者。我们能做到的是让他不知道锁的位置和多加几把锁。

    2004年,在经过了一次安全评估后,我对安全的神秘感消失无踪。我深刻的体会到做安全的人必须要有正确的方法论去引导我们度过漫漫黑夜,从而到达黎明的彼岸。站在我的角度,企业不太适合自己来完成安全评估,俗话说见多才能识广。相对于专业的安全公司,我们的视野不够开阔,眼光不够深邃,有些习惯难以改变,太多制度和策略都难以推动。独乐乐不如众乐乐,与其闭门造车,不如在更加广阔的范围里面和更多安全专家一起来交流,探讨。当然前提就是要选好最适合自己的公司。安全评估的大概流程如下:

    1.你要知道有多少钱。(信息资产)
    2.根据钱的多少确定保护的级别,钱越多,安全措施的级别越高。(安全区域划分)
    3.你要知道这些钱的存放位置(访问边界的设定)
    4.谁能访问和谁不能访问(严格的权限控制)
    5.模仿贼在四周仔仔细细观察(安全弱点的评估)
    6.和管家,仆人畅谈安全(人员访谈)
    7.关键地方一定要多加几道保险(深度防御)
    8.加强思想道德教育,提高安全意识(人员意识培训)

    理解了生活其实也就理解了安全。其实安全真的是不神秘。

    标签:安全 | 浏览数(2064) | 评论数(3) | 2006-05-08

      Powered by Haiwit