我是gogo

欢迎加入奇智科技，一起享受创业的滋味。

gogo — Sun, 11 Mar 2007 20:59:26 +0800

    杭州奇智信息科技有限公司，成立于2005年10月，专注于UNIX系统操作管理领域，致力于成为专业的UNIX操作管理解决方案的供应商和服务商。
    业务范围涵盖运营商、金融、互联网等高端行业用户，为用户提供稳定、可靠、高性能、高品质的信息产品与服务。
    目前旗下主力产品Shterm在运营商，金融，互联网等领域，帮助用户解决了其在Unix领域的操作管理问题，加强企业IT内控，得到用户的认可。
    奇智公司提出了“操作管理”的概念，从操作层解决了企业与组织中现存的IT内控与管理的相关问题，特别针对目前Unix领域，系统安全与管理出现的突出问题，创新的从账号/密码管理、访问控制、权限控制、操作审计等方面，提供了稳定、安全、方便、可行性强的解决方案，从而根本上改变了现有的管理模式，消除了固有的弊端。

高级软件工程师
职位描述及要求熟悉Unix/Linux环境编程
* 以下一项或多项的专业技能，希望能达到骨灰级级别
- 系统架构设计
- 算法分析和设计
- Python/Rails和web架构
- Oracle等数据库的基础DBA技能
* 相关项目经验3年及以上

售前工程师
岗位描述：
1。售前技术支持：包括技术交流、产品演示，方案制作、投标等方面的工作；
2。对本公司产品和竞争对手产品的进行分析
3。深入挖掘客户需求，准确传递到研发部门

招聘要求：
熟悉Unix/Linux系统配置和维护
对常见网络设备的工作原理有一定的了解
良好的口头表达能力和客户沟通能力优秀的文案写作能力，独立完成产品解决方案编撰工作
快速学习能力，有很好的理解和接受能力
能适应短期出差
有如下经验者优先：
大型UNIX系统管理工作经验;
运营商或者金融行业售前经验;

测试工程师
职位描述：
负责产品的功能性（黑盒）测试；
负责编写测试用例，执行测试，编写测试报告；
负责编写自动测试脚本。

职位要求：
真心热爱测试工作，为人认真细致；
具有一定的逆向思维；
熟悉测试工作流程，从事过一年以上的测试工作；
善于与人交流，沟通协调能力强；
学习能力强；

具备下列条件者优先：
熟悉Unix系统操作；
熟悉C，Python语言；

工作地点:
上海地区；
广州深圳地区；

我们能给你提供：
1、创业的经历
从无到有的创造的过程，一切都与你有关。你将参与到一个行业甚至一个产业的发展的过程，并随之一起成长。
2、没有约束的发展平台
这里没有大公司的条框限制你，没有小公司的压榨让你疲于奔命。在共同的目标下，你可以尽情的发挥你的聪明才智。
3、平等、独立的工作关系，宽松、和谐的工作环境
这里只有工作性质与内容带来的分工的不同，没有公司政治的存在；这里只有伙伴，没有老板。
4、潜在长期的发展收益
作为创业团队的一员，都将拥有企业股权的分红权利。

如果您对我们有兴趣，请将真实，简洁的个人简介以e-mail的方式投至 caiyj.echo@gmail.com
热切期待伙伴的出现。

在企业做安全-具体操作思路

gogo — Sat, 08 Jul 2006 08:01:37 +0800

1．清晰理解企业内部的业务需求和具体应用，知己知彼才能做到有的放矢。

2．网络安全：(安全域划分，远程接入等)

2．1 网络设备自身的安全。

要求设备供应商必须提供针对自己设备的安全建议和安全加固手册，否则不予采购设备。（尤其注意设备对外开放的服务，端口和协议和安全配置）

2．2 严格做好网络层面上的访问控制。

严格的ACL能消除绝大多数隐患。（访问控制是否合理，尤其是各VLAN之间的访问控制是否够严格）

2．3 流量分析和监控。

要清楚知道网络中目前正常的和异常的流量，从流量中分析出攻击的前兆，以便及时采取措施。

2．4 深度防御。

深度防御的含义就是在一层防御的基础上提供更深一层的保护，增加网络的安全性。使攻击者想深入系统必须经过多层屏障。深度防御的典型代表是IPS设备。

3．系统安全：

3．1 系统安装最小化原则：只安装需要的软件包。

3．2 系统服务最小化原则：只使用需要的服务。

3．3 利用安全弱点管理系统去发现系统已知的安全隐患（95％的攻击是针对已知漏洞）

3．4 系统更新原则：始终保持系统的OS在系统商提供的最安全稳定的版本上，同时保持系统软件补丁的最新更新
3．5 系统操作透明化原则：保证所有人的操作行为都必须透明化,出了问题一定要能追查到人

4．应用安全：

4．1 对每一个应用软件要很清楚是否够安全：

如果不够了解软件，不如不使用。比如你使用了apache，那么你目前的版本是否是最稳定和安全的，你必须要仔细阅读ChangeLog,判断新版本和老版本的区别是在功能修复还是安全修复，强烈建议阅读每一个应用软件开发者写的针对此软件的安全建议和加固方法。

4．2 其次严格控制好每一个入口:

任何一个试图接近你的应用的点都是要严格控制的，尤其要关注登陆和后台管理。

5．解决好人的问题：

5．1 在公司内部要广泛开展安全知识普及培训，让所有人对安全都有一个比较清晰和深刻的认识

5．2 规范，清晰的制度，明确定义什么可以做，什么不可以做

5．3 保持和安全设备厂商和安全评估公司密切联系，可以用买产品送服务和培训的方式来解决。因为技术的改变是日新月异的，让一个人去跟随变化非常困难，你不可能知道所有事情。必须借助安全厂商的专家资源来跟踪目前业内的发展趋势。
5．4 保持和黑客的密切联系，黑客的世界和我们不太一样，你无法和他们共享信息。组织里面一定要有这样一个人，他和地下的黑客组织有很好的沟通，保证随时掌握那些没有公开的和新的攻击手段。

6．监控和审计：

6．1 网络层面上的流量，协议监控和网络管理

6．2 系统层面的集中管理，单点登陆,权限控制和用户行为审计

6．3 应用层面的日志分析

7．有效管理：

你不可能100％的知道所有的安全技术，同时也没有一种方法能使你做到100％的安全，因为我们都是在已知的系统，网络，应用平台之上搭建我们的应用服务，更多时间里面我们做的是限制，其中有效的限制什么人能在哪里做什么事情又占据了安全管理的大部分的时间。

在企业做安全-概念理解

gogo — Sat, 08 Jul 2006 07:36:08 +0800

首先是有一个设计合理的安全组织，其次要有清晰的安全管理思路，不断摸索和实践新的安全技术，最终建立一套有效可行的安全维护体系。

个人的理解：

安全是平衡的艺术：平衡是因为要取舍，艺术是因为无规律可寻,一切取决于当下的环境. 预算,风险,客户体验,有效......

安全是为业务和相关应用服务的：如果没有业务应用，根本就没有所谓的安全，因为应用所以产生了安全需求，同时也带来了不安全的因素，安全是和应用矛盾的，必须明白安全是为应用服务的，不满足应用的安全没有任何意义.

安全是管理和技术的完美结合：业内流行的说法是三分技术，七分管理。虽然管理和技术各自解决各自的问题，但是管理的意义大于技术。管理解决的是面的问题，技术解决的是点的问题，管理者会站在一定的高度，综合考虑整体的情况，然后制定相应的策略，然后落实到技术实现上。当然在技术实现上有简单有复杂，但是无论如何实现都是在安全管理的大策略框架之下完成。但是缺少技术保证的管理有点空中楼阁的味道。有技术不是万能的,没有技术是万万不能的.

安全问题的层次和渐进：不要试图把整个海洋煮沸。在解决安全问题上，首先要列出目前安全的整体情况和重要性，然后确定优先级，先解决最严重的问题，再去解决其他问题；先解决已知问题，再去探讨未知问题的解决。

安全是一个整体的解决方案：很多人一提到安全就是想到防火墙，VPN，IPS之类的，上面提到的都是安全的技术点，但是安全绝对不是单一技术的简单拼凑，安全从来都是去解决实际问题的。买了防火墙, VPN, IPS就是安全的么？任何一个产品都只能解决某些问题，而不是全部。重要的是如何将这些产品很好的结合起来，充分利用各自的特点去形成一套完整的问题解决方案。

安全是一个动态和循环提升的过程：业务的发展导致了需求不断变化并带来网络结构和设备不断的变化和调整，同时黑客的攻击手法不断变化，也许今天这样的防护是安全的，但是明天就很难说了。安全是一个长期的、变化的过程，不是通过一个项目和一个方法就能够解决的。在安全这个行业是永远没有永远这个概念的。

人总是最大的问题：最终我们还是要面对人，任何威胁都来自那些心怀恶意的人。路不拾遗，夜不闭户在目前的大环境下只能是一个理想. 每一个组织里接触核心系统的人才是最大的安全威胁，管理的终极目标就是人.

安全审计杂谈-引子

gogo — Sun, 04 Jun 2006 10:46:43 +0800

前几天和领导在讨论安全域划分的重要性，总监突然说，你们说的安全域的划分我理解就是将一个大城堡划分成一个一个的小城堡，每个城堡的安全级别不一样，最核心的城堡可能需要更多的保护，比如一层一层的门阿之类的，那么就算我们这些都做了，你能保证我们是安全的么？

虽然我们总监说自己不懂安全，但是他的话总是那么尖锐的直指安全的最本质之处--你能保证我是安全的么？作为一个安全人士对此的标准回答应该是安全从来不会是100%，没有人能够保证100%，安全是一个动态，不断发展和修正的过程。。。。这样的回答是否具有足够的说服力？

那一瞬间我的脑海里面突然闪过《碟中谍2》中汤姆克鲁斯顺着那根绳子缓缓下滑，一点一点的接近那台保护的最严密的核心机器。

我的回答是：没有什么能够保证我们能够做到100%的安全，就算是美国国防部也不能保证，但是我们会努力做到一点，我们能保证在所有的安全措施都被层层突破后，我起码能知道是谁偷走了我们的东西。你看《碟中谍2》中汤姆克鲁斯偷机密数据之所以能够得手，主要原因有两个：第一，从天窗进入进入核心系统，说明这个安全系统设计的有缺陷，没有做到入口唯一，大门应该是唯一的入口，他应该而且只应该从门进入，而不是从天窗进入；第二，那个安全系统缺少监控，他忽视了对敌人的心理研究。挑战不可能是一件快乐的事情，能进入那个地方的人绝对是一个有相当水平的人，任何一个有这种水平的人都是心思慎密的，他必须要做到随风潜入夜，润物细无声。轻轻的挥一挥手却不留下一点痕迹。他不会愿意自己被看到，一举一动被监控对于他来说是一个耻辱。他首先要面对的就是要么离开要么破坏这个监控系统。我们目前的现状是无法搞定Windows，但是Unix系统我们已经能做到了而且还算完美。

作为一线的安全管理人员，我们梦寐以求的安全管理的最高境界就是国家治理的金玉良言：有法可依，有法必依，执法必严，违法必究。

提到法的问题，必须要面对的一个问题就是--你凭什么说我犯法了？法律的适用前提是事实证据。一切必须以真实可信的证据为依据，这是一个大的前提。经常会看一些案件的侦破，很多案件难以侦破多数因为做案现场缺少证据：首先现场留下的证据都很少，现在的做案者都会有意识的去擦除自己的作案痕迹；其次就是对手故意留下假证据，迷惑执法者，反侦查手段越来越高明。你如何能够保证现场看到的证据是绝对真实可信赖的？

春江水暖鸭先知

gogo — Sun, 21 May 2006 21:20:09 +0800

春江水暖鸭先知这句诗蕴含深刻道理。

水：代表了客户的绵绵不断的需求
大鱼: 大客户

小鱼和小虾：中小客户
鸭：安全公司
理论上应该是水温一旦有任何变化肯定是鸭先感觉到，而不是鱼。因为鸭不仅仅可以从水里面得到信息，还可以通过天气的变化去感知水温即将的变化。但是实际上往往不是这样，我想造成这种问题的主要原因是：鸭都不在水里了，远远的在岸上望着水里的鱼和虾。

安全产品之我见

gogo — Sat, 13 May 2006 01:34:11 +0800

安全产品之我见

目前市场上IPS的概念很热，我认为防火墙和IPS概念上的区别在于：防火墙只是一个门卫，他的策略就是什么人能进—好比所有穿黑色衣服的人允许进入，穿白色衣服的不允许；而IPS则相对高级了，它解决的是只有穿黑衣服的好人才允许进入。误报是什么--就是本来他是一个穿黑衣服的好人，你偏偏不让他进入；漏报是什么--就是他明明不是穿了黑衣服的好人，你偏偏让他进去了。很多人对IPS怀有深刻的怀疑态度，认为它总是有误报和漏报。但是其实就算是国安局是否能够保证进入国安局里的人一定都是好人？一个只是简单判断衣服颜色的门卫和一个能相对分辨清楚好人坏人的警卫，你会选择哪一个？

IPS产品的本质是对好人和坏人的判断问题，相比较误报而言，漏报的问题更加的严重。那么判断的准确才是选择IPS的关键？你如何认为他的判断足够精确？他又如何证明自己是最权威的法官？

我个人认为对待IPS应该不是用不用的问题而是怎么用的问题。 再好的东西都是你自己来用的，能否用好它是目前的一个大问题？

安全产品的发展趋势基本来说可以归纳成为：

由外而内--从网络到主机，从外网到内网。还是家贼难防啊！

由浅入深--从路的安全（网络）到家（主机）的安全到保险柜（容器）的安全。

目前网络层面的安全产品的趋势是正在被cisco，juniper等大的网络设备厂商迅速占领。毕竟网络的安全可以理解为是网络环境本身应该具备的品质或者属性 . 从网络出生的那一天起, 它便属于网络这个东西本身（此句话摘自http://www.i170.com/user/xalanz/Article_10091 网络安全产品的发展趋势Xalanz ）。大鱼不仅仅吃小鱼还吃小虾。他们利用各种资源优势打压小厂商，强者越强，弱者越弱。只要在网络层面而且和网络相关的概念和产品，最终它们都会整合，然后一统网络安全的江湖。毕竟网络的问题最终还是要依赖网络设备厂商自己去解决。有好的技术和想法的小厂商要么被它们收购，要么就做管理和配套服务。但是他们并不满足目前的现状，正在一步一步利用概念有计划的往终端上面侵蚀，比如 cisco的NAI计划。

系统层面的安全问题一样要依赖系统厂商自己去解决，而且微软，redhat，Sun等都推出了针对系统层面的解决方案，毕竟他们是设计者，从某种意义来说没有人比系统的设计者更加全面，彻底了解自己的产品。

目当前安全企业争夺的焦点集中在哪里？终端是任何一个安全公司要千方百计占领的一个制高点：）。谁掌握了终端谁才是王者之道。前面的文章说过，终端是数据存放的容器，搞定了容器也就搞定了数据。你可以看到 McAfee，Symantec都已经推出了针对Windows的整体打包方案，包括防病毒，防间谍，主机IPS，主机防火墙等。山雨欲来风满楼，如果不在微软的安全整体解决方案成熟推出之前，迅速在 Windows终端占领一席之地，结果是可想而知的。因为按照发展趋势是分久必合，就好比我们目前的网络架构就碰到了这个问题，串接的设备越来越多，串的越多，出问题的几率越多。谁都想简单一点，越简单越稳定。融合是一个大趋势，但是绝对不是简单的融合，简单的概念拼凑解决不了融合的问题。

关于国内安全产品的发展。从我的内心来说，我是绝对支持国内安全产品的发展，我也希望采购更多的国产安全产品，但是在企业采购中的原则是公平，公正，公开。在同一个产品层面上你可以发现能和国外厂商站在一起的国产软件是少之又少。有些国外产品在国内根本就是没有对手。对于我接触过的国内几大安全厂商，启明，天融信，绿盟等我都心存景仰。他们是现阶段中国安全产业里面的脊梁，作为脊梁，作为国外产品在国内的“阻击手“，他们需要承载太多的重负。他们相当的不容易，我很反感很多人一提到国产安全产品就用一个烂字来形容。有多少人真正的去试用和比较过同一个水平的产品？作为一个“阻击手“，他们承载了太多的民族的责任感。就好比华为，如果没有他的出现，cisco的价格永远不会降下来，服务也永远不会提升上去。（参见我和华为的故事）试想一下，如果任何一款国外产品在国内都没有同类型产品可以比较，这是一种多么可怕的事情啊。不错是市场决定了价格，但是是需求决定了市场。为什么那么多小国家要独立？独立是为了追求自由。自由是每一个人都向往的。许巍的歌写的好啊：没有什么能阻挡，对自由的向往。作为个人来说追求财务自由是普遍的梦想，作为国家来说追求民族的自由。国家没有地位。我们还有什么地位。我们永远都无法改变自己的这颗中国心：）作为每一个安全人士我们都在追求安全的自由。安全产品不能没有声音，如果一个国家的安全产品没有了声音，这个国家就没有声音了。

目前国内是缺少一个好的氛围和环境来交流安全理念和方案。就算是有好的解决方案也不知道该和谁交流，这应该是很多做安全人士的苦恼。封闭只能倒退。我信奉的生活理念就是：帮助了别人就是帮助自己。

写完这篇文章我也即将离开我现在深爱的部门去开始另外一片事业，我希望将我个人对安全的理解转化成为一款安全产品，能通过自己的微薄力量为中国的安全事业做出一点点贡献。同时希望能够因此有幸认识更多的国内安全人士并能够广泛深入的交流，最好能够联姻。联姻不仅仅是在贵族之间，更存在我们这些平民之间，因为我们更加需要依赖彼此之间的信任和合作去抵御更加强大的国外对手从而到达胜利的彼岸。

附录：

我和华为的故事

http://forum.tech.sina.com.cn/cgi-bin/viewone.cgi?gid=23&fid=290&itemid=71439

http://forum.tech.sina.com.cn/cgi-bin/viewone.cgi?gid=23&fid=290&itemid=71440