zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

我相信不少安全经理们都琢磨过如何使用安全代理来加强互联网出口的安全控制。总结来看，主要的安全威胁，我个人认为，是病毒及其衍生威胁，以及内部的滥用和误用。前者是从基础设施的角度来看，后者是从应用和数据的角度来看。那病毒的威胁又从哪里来呢？病从口入 ！ 互联网绝对是一个不容忽视的威胁来源。控制用户下载文件、使用MSN/QQ/其它P2P/IM软件交换文件、被钓鱼等，更进一步安全经理还想将互联网的访问定位到每个用户，以便计费或者审计。这些都需要强有力的安全代理的支持。可是，代理如何选择呢？ Jason向我推荐了一个网页，我觉得讨论的非常精彩。Thomas Shinder和网友AntiShinder各舒己见，分别为微软ISA软件方案和BlueCoat硬件方案进行了很有说服力的论证。

论战起源于BlueCoat的一个白皮书，总结了BlueCoat的5大优势：

• The ISA firewall cannot be as secure as Blue Coat proxies because it runs on a general purpose server that has ongoing security vulnerabilities
• The ISA firewall is unable to inspect traffic inside an SSL tunnel
• The ISA firewall is unable to inspect and manage peer-to-peer, instant messaging and multimedia connections
• The ISA firewall has limited support for granular access control
• The ISA firewall’s network performance is inferior to Blue Coat’s proxy performance

• 对于喜欢硬件方案的朋友来说，BlueCoat清一色的盒子，安装运行维护都简单，看着清爽，感觉上性能也不错。
• 喜欢软件方案的朋友，觉得可以按照自己企业的Server标准进行按需升级，完全纳入企业的Server运行维护，成本较低，性能可控。

著名安全专家Bruce Schneier在其个人博客上介绍了对MySpace上面的用户口令的选择和安全性问题，包括一般用户口令长度的统计：

1-4    0.82 percent
5    1.1 percent
6    15 percent
7    23 percent
8    25 percent
9    17 percent
10    13 percent
11    2.7 percent
12    0.93 percent
13-32    0.93 percent

numbers only    1.3 percent
letters only    9.6 percent
alphanumeric    81 percent
non-alphanumeric    8.3 percent

The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.

前不久，国家信息安全标准化技术委员会发布了一个标准汇总，包括了2006年以来发布的15项国家标准，转贴如下：

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

词曰：威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。

今天下午发生了一件大事情！
经brother why主创并授权，在此独家发布一个福泽同侪的控制模型，呵呵。从公司控制、到IT控制、再到安全控制，该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间，充分利用Web2.0年代的P2P IM手段，展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊？

一个体系：12345678 Pyramids Framework
二个方面：技术和管理
三个层次：决策层、管理层、运维层
四个阶段：P D C A
五层控制：控制环境、风险评估、控制活动、信息沟通、监控
六个要素：资产、威胁、脆弱性、保护措施、风险、机会
七个质量（CoBIT）：机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程（CoBIT）：P O /  A I / D S / M E

其中，一讲的是整体和执行力，二强调的是管理、技术并重，三指的是全员参与，四是指螺旋式上升，五是COSO内控框架，六是安全控制要素，七是达到的目标质量，从这层开始 KPI，八是IT控制过程域，KPI/KGI之。

SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX......

COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO......

CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT......

ITGI写了不少白皮书，由于其Board中有很多BIG Four的人，所以在混沌的、争议中的SOX符合性旅途指引方面就显得分量很重。其中有一篇叫“

Sarbanes-Oxley: The importance of information technology in the design, implementation and sustainability of internal control”，在Page34，有一个立方体，讲的是SOX,COSO和CoBIT的关系，我把它做了个中文版，看看大家是否用的上。

最右边标识的前后维度是SOX维，这里列出了SOX合规性和IT最为相关的404条款和302条款。最左边标识的上下维是PCAOB和SEC官方对萨班斯合规性的内控要求框架 － COSO框架：五个层次，控制环境－风险评估－控制活动－信息和通信－监视，每个层次中都包含很多内控方面的要求。注意COSO不是专注于IT的，更多的是财务风险相关的，但是框架是通用的。而当前我们在SOX符合性方面的修补工作则主要集中在控制活动（Control Activities）中。 最上面的左右维讲的是CoBIT的四个控制域： PO - AI - DS - ME，这里已经采用了CoBIT4.0的提法。

[separator]

我又检查了一下ITGI的站点，发现刚刚发布了一个第二版，这副图消失了，取而代之的是一幅成熟度图。这副成熟度图与以前大家看到的CoBIT为代表的IT治理成熟度图很像，与CMM成熟度分级也很像，呵呵。

它分为从0－5六个等级，它们分别是：

还没有仔细看新版本的其它内容变化。大家有什么收获可要记住分享啊。 其实在ITGI，还可以找到更多的讨论这几种最佳实践、标准之间的映射关系的白皮书和文章。这里体现出西方文化的互融性，相对来说“山头主义”的倾向小的多了。

偶然间读到任总在2005年4月份写的一篇安全市场分析文章，下面将我的个人观点与大家讨论一下。中国的安全市场实际上一直没有出现任总讲的“爆发阶段”的迹象，实际上2005年国内不少安全公司的业绩还相当不如人意，几家主要的国内安全公司内部还出现了一定程度上的动荡（例如联想网御事件、安氏分拆与亿阳购并事件等），这不能不说是受市场不振的影响。现在冷静地观察，这样的爆发阶段短时期内也不会出现。作一个反向分析，有可能引发安全市场急速发展的潜在因素可能有：

• 安全等级保护 :: 等级保护今年正式进入各安全公司的射程。启动大会后，很多大企业都收到了相关的等级保护“合规性”要求的通知，“等级保护”有可能引起电子政务、税务、金融、交通、电力等国有大型组织企业加强网络安全方面的采购。采购产品包括反病毒、防火墙、入侵检测、安全审计等。但是，很多组织在等级保护方面还没有明确的试点作为参照，第一步应该是风险评估和划分安全等级。然后，按照安全等级制定实施相应的安全保护措施，包括技术和管理两个方面。但是，由于原来电子政务部分占有总体安全市场的份额较低，所以这部分增长预计不会拉动整体国内安全市场到出现“爆发”的程度，
  
• 3G :: 3G牌照发出后，将会出现新一轮的大规模网络建设，从光网络、交换机、路由器、以及大量的业务系统，这些运营商信息系统全部需要高强度的安全保护。另外，3G年代的终端将面临前所未有的安全威胁，预计智能终端上面的反病毒、内容安全、反垃圾邮件、漏洞管理、反钓鱼等等安全需求都有迅速上升。两者相加，3G可能会带来10亿以上的额外安全市场采购，从而带动整体安全市场的上涨。但是，3G牌照的发放时间尚无定论，或许到明年3G大网安全采购2007年才会显现，而3G终端安全又要再滞后1-2年，至08年以后才会逐渐显现。
  
• SOX :: 萨班斯法案“合规性”的要求当前是四家电信运营商以及其它数十家美国上市公司的关注点，作内控框架，评估内控点，实施修补计划。SOX合规性凭空为主要的咨询公司在全球带来了数十亿美元的市场收入。但是，国内SOX带来的这部分增长并不像美国那样的明显，首先上市公司的数量有限，其次当前SOX合规性主要以管理措施为主，相应的安全工具产品的采购和部署并不是主旋律（IAM方面的需求上升最大）。
  
• BS7799/ISO27001 :: BS7799演化至ISO17799（原Part I）+ISO27001（原Part II）后，世界范围内的企业接受程度将会上升，相关的认证、培训、ISMS管理咨询、安全控制点加强等会拉动安全市场，但是这种影响预计只会体现在安全市场每年的CAGR 20-30%左右的范围里。

中移动一员工长期从事萨班斯法案遵循工作,受内控思想熏陶,要求其妻每月换一次家里电子防盗密码锁,每周更改一次密码,买任何东西均须留有书面记录并让卖方签字确认...。其妻实在无法忍受,带其去医院就诊,医生问明原由后,确诊为"遵循性精神失控症"并对其妻密语治疗方案,其妻用疑惑的眼光盯医生。医生说:我夫人也在移动公司工作,上周出现疑似"遵循性精神失控症",已被我用此方法将她脑袋出现的缺陷及时进行了修补.....

遵循性精神失控症，呵呵。带有多么明显的时代烙印的术语。;)  这里密语的”治疗方案“到底是什么呢？我想啊想，还是没想出来......

这些日子，很多上市公司都在忙SOX（君不见UT已经乱在财务报告上了，从亚洲明星直接沦落到了这个样子），很多咨询公司都在忙SOX，于是很多顾问也都热心讨论SOX。可是，从SOX要求的IT内控体系上来看，从内容透明、可操作性、客观性等方面来看，都似乎还不够成熟。虽然说是ITGI坚持说CoBIT就是SOX需要的控制框架，可是与COSO毕竟中间还是隔了一层。Big4现在的角色既是裁判员，又是运动员，直接在热心的本土咨询商的额头上就贴上个”非权威“的标签。这就有失公平了，偶尔看VoIPsa的邮件列表，看到Gary Audin写了一篇文章，讨论VoIP的安全性与SOX的关系，并且开篇明义地怀疑了SOX对IT内控的当前操作，含蓄地预言SOX的IT内控将来可能会被重新定义。我把这篇评论贴在下面，在最后还有我当初的一个很短的评论，欢迎大家的讨论。

或许A在网络信息安全这个领域中有点神秘色彩，也有些特殊地位。Authentication, Authorization, Account, Accounting, Audit, Availability, Accountability, Administration, 很多A，每个A都在A的名义下定义了不同的功能。

最早Cisco路由器配置中的AAA Newmodel，其中的AAA是指：Authentication, Authorization, and Accounting. 功能很明确，先作用户认证，然后授权他可以在设备上面进行什么样的操作，最后，进行记帐。对，这里的Accounting，就是记帐，不是帐号。它帮助运营单位对网络流量和操作进行记帐。

IDC中AAA的分类，定义了AAA，这里的AAA与Cisco网络设备配置中的AAA有所不同，区别点在于第三个A，IDC的AAA的第三个A是指 Administration, 其实含义基本上是除了Authentication认证，Authorization授权，以及Anti-virus反病毒、Firewall防火墙、 IDS入侵检测系统（在2000年以前，似乎IDS和扫描器都在这第三个A中，后来IDS单独分类统计）。现在IDC重新定义了AAA，将其分成了两个区域，第一是IAM(Identity and Access Management)，第二是SVM(Security Vulnerability Management)。参考下面的示意图，IAM中增加一个新内容，就是目录管理，SVM中也增加一点新内容，就是漏洞管理。漏洞扫描产品（scanners）本来也是属于IDC AAA中最后一个安全管理的内容，后来与IDS成为一个分支 ID&A，现在漏洞管理的名义下重新回到SVM下面。当然了，今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。

而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型，它的全称应该是: Account, Authentication, Authorization, Audit，也反映了中国安全业界对于安全管理的思索和创新。

下面的这份白皮书就是在我培训完管理按需计算（MODC），为了推广管理按需计算的概念而写的一份白皮书，题目是“业务相关性与按需计算管理成熟度”, 写于2003-10-31, 其中将一般性的IT管理按照管理按需计算的模型分为四个管理成熟度，每个成熟度到上面成熟度的进阶都需要相关的建设和优化、改善。

希望它可以当成一份背景资料，帮助大家理解按需安全（On-Demand Security）的概念，以及后来的Security 2.0。点击下载。

大家都在思索，5年不是一个很短的时间，可以发生很多事情。从2000年至今，阳光之下，我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来，写过一些按需安全的文字，但是后来终究也没有让它们露面。但是现在却有了一个冲动，Security 2.0，Let's Go !

#########

如果我们按照安全历史的发展，做下面的定义： 

• 将“安全就是反病毒”定为 安全 Security 0.1，
• 将 “安全就是PDR，where P是防火墙、D是IDS、R是安全应急服务”定为安全 Security 1.0

的话，现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代（这里请允许我借用一下Web2.0），其代表性的特点feature 如下：

• 关注点从简单的防止攻击和入侵，发展到应用和数据安全，以及内部控制
• 安全体系从“老三样”发展到基于IAM（或者AAA，或者AAAA）的综合防御体系，强调安全管理的“内功”
• 安全管理和技术更加强调信息交互、以及相关、挖掘和展现，强调信息的易用性，强调“用户”的感受和使用效果

换句话说，Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性，而2.0则偏重关注自身体系的建设以及安全信息的使用，并且将信息上升为知识和行动指南，反馈到安全体系的优化中去。我认为，在这里2.0并没有替代1.0的意思，而在建立在1.0的基础之上。失去了1.0，2.0就成为空中楼阁、无源之水。

2.0的产生和提出，有其背后的驱动力。我们知道，在10年前，我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找，这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大，管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前，随着互联网攻击的泛滥，当时业界提出了PDR模型，引入到中国则形成了若干个PDR的变种，但总体的思潮是“动态”防御－尽快发现入侵和攻击者。在这个阶段，IDS技术也发展到了协议分析、异常发现等多种引擎的融合，曾被寄予很大的希望来一劳永逸地解决安全攻防问题。

但是，近两年来Zero-Day式攻击的出现和快速增长，极大的增加了管理员对于IDS的怀疑，一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了，IDS厂家不再有时间去提取样本，编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力！ 怎么办？  AAA ！AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平，还大大增加了安全策略的内涵和落地能力。

并且，随着各种单点安全产品（1.0）的成熟和大量部署，安全信息从“无”到“泛滥”，信息不再是信息，反而成了管理员望而生畏的“噪声”。【信噪比】 ！ 最早的SIM/SEM产品就这样诞生了！

数据 － 信息 － 知识 － 行动， 这是我们常用的4进阶的信息处理模型，每个进阶中的信息“质量”都不断获得提升。从这个模型里，我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息，而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量，但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”？资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到，早期的SIM/SEM是就安全事件关联安全事件，而最新的安全模型则开始事件的业务和IT环境。