电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:364317
刚刚注意到,这个博客的访问量超过100万了,心里很惶恐,承蒙这么多同行关心,可是现在由于工作忙的要死,所以博客的更新的频率很慢很慢,维护两个博客就更加艰难了。所以,以后的更新我将主要放在http://sbin.cn/blog那里,并且中英文都放在一起。目的只有一个,减少维护成本,稍微省些时间在内容上。呵呵,希望大家就不要见怪了。
补丁是安全管理中的大问题,也是最让人头疼的问题。如果您说不就是要经常Windows Update吗?那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗?那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险,尤其是这个风险谁来承担。安全经理不愿承担后面的风险,生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类,比方说面向互联网还是内网等,也就是根据可能的安全威胁来分类,然后最威胁最大的那类特别处理,快一点打补丁,平衡点往前移一下。其它类服务器慢打一点,平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类,最重要的级别对补丁的测试肯定要最严格,平衡点往后移。这是理论了,现实中的操作就不容易了。
还有一个话题就是对于没有补丁的漏洞怎么办?这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多,但这是现实。作为用户,我们怎么办?下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下,值得考虑一下这样的应急方案。
To patch or not to patch
Oct 30, 2006, By Roger A. Grimes, InfoWorld (US) - Issue #44
今天早上,Bill推荐了一个网站http://www.hamachi.cc,过去一看,厉害,这不就是正宗的七层Overlay Network吗?这就是传说中的边界杀手吗?不要说边界越来越模糊了,边界已经消失了。
前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协,,这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等,但是毕竟在网络层边界的两边没有建立直接的连接,边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。
原来大家都有一个小秘密,就是TOR(The Onion Router)的使用,这个软件可以帮助你实现匿名的、虚拟网络连接,你自己不知道你的出口在哪里,没有人知道,反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。
Hamachi安装后会创建一个新的虚拟网络端口,使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接,提供了防火墙/NAT的穿越能力,提供了开放协议的身份、认证、数据加密保护,可以方便给网络管理员审计接口,另外还有一些很有吸引力的小功能,例如下面的内置Web代理:
Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.
This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc
什么是“审计”?
我们知道,审计(Audit)是指检查、验证目标的准确性和完整性,用以检查和防止虚假数据和欺骗行为,以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统,到现在词典、字典中的“审计”(也包括Audit)的定义都是针对财务系统。在当今的世界里,几乎所有企业、机构和组织的财务系统都运行在信息系统上面,所以信息手段成为财务审计的一种技术的同时,财务审计也间接带动了通用信息系统的审计。在美国安然公司(Enron)和世通(WorldCom)财务欺诈案爆发后,在2002年美国紧急出台了萨班斯法案(SOX, or SOA),赋予了“审计”新的意义,这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。
另据新闻报导,在最近结束的IATA年会上达成一个重要共识:所有成员航空公司都要进行运行安全审计(IOSA),申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计,否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。
美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济的使用资源”。
现在在内控的大旗下,桌面安全管理项目车轮隆隆,各路人马狼烟四起、厮杀在一处。前不久陆续接到各路十多个战报,端的是令人目不暇接。曾记否,今年年初写2006安全技术发展趋势时,没有将“桌面安全管理”列入引起争论不少,现在桌面安全管理果然杀气阵阵,难道不是2006的大热点吗?当初我的解释是桌面安全管理不是某个技术和产品,而是很多个/很多类产品的集成。现在观察一下各路的需求说明,心中还是被再次触动了一下。“桌面安全管理,你到底要承受多重”......
原来也混在eTom爱好者的队伍里装模作样的学习eTOM,后来老想着怎么样借用一下人家eTOM的最佳实践方法,于是就有了下面这幅安全运营图Security Operations Mapping - SOM:
今日早上外电消息,Novell CEO/CFO被逐,撤换的原因是财务业绩不良,主要是Linux和Open Source战略执行不理想。这个消息让人不仅为Novell刚刚收购的eSecurity的命运担心,收购对小公司及其产品的伤害比率是要大于成功比例的。
前不久huangmin推荐的文章反思了当前可信计算(TC)领域存在的一些令人不安的方向发展,李博士则介绍了国内可信计算的研究进展和天融信的可信观点。下面是赛迪网关于“可信等级体系解决方案”的报导。第七届安全展上有些大厂没有参加,例如思科、华为、Juniper、Symantec、Trendmicro、McAfee等,但国内厂商基本上全部到位。从会后的报导上看,关于等级保护的话题很是热门,大潘强调了“中观”的重要性:【以三观论的中观为导向,着重解决管理者的两大难题:“不知道发生什么情况,不知道接下来该怎么办”。从而达到信息情况可视化、决策指令明确化的目的】,天融信则推介了可信等级体系解决方案。不敢确认这到底是不是第一次看到“可信”和“等级保护”联系在一起,反正还没有看明白这两者间的结合点。如果只是17款产品的分级部署、建立可信路径等似乎还不够,将SOC平台直接作为可信计算平台也不能让人信服。不管怎样,这的确是个很有创新性和挑战性的工作。
可信是一种安全计算技术,而等级保护则是国家的安全保护要求,可信如何服务“等级保护”?呵呵,欢迎天融信的朋友和各位好友、业界同仁一起来讨论一下啦。
词曰:威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。
今天下午发生了一件大事情!
经brother why主创并授权,在此独家发布一个福泽同侪的控制模型,呵呵。从公司控制、到IT控制、再到安全控制,该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间,充分利用Web2.0年代的P2P IM手段,展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊?
一个体系:12345678 Pyramids Framework
二个方面:技术和管理
三个层次:决策层、管理层、运维层
四个阶段:P D C A
五层控制:控制环境、风险评估、控制活动、信息沟通、监控
六个要素:资产、威胁、脆弱性、保护措施、风险、机会
七个质量(CoBIT):机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程(CoBIT):P O / A I / D S / M E
其中,一讲的是整体和执行力,二强调的是管理、技术并重,三指的是全员参与,四是指螺旋式上升,五是COSO内控框架,六是安全控制要素,七是达到的目标质量,从这层开始 KPI,八是IT控制过程域,KPI/KGI之。
下面转载一家国内媒体(中国计算机安全网)的新闻,报导了当前Symantec用户大会的一些感想。很多大公司在大量收购后,通常“封装”和“打包”是整合的第一步,也无可非议,就看后面的跟进了。被购并公司的人员流失情况是个很关键的因素。
酒干了瓶卖我:Veritas系列软件经历重组
或许A在网络信息安全这个领域中有点神秘色彩,也有些特殊地位。Authentication, Authorization,
Account, Accounting, Audit, Availability, Accountability,
Administration, 很多A,每个A都在A的名义下定义了不同的功能。
最早Cisco路由器配置中的AAA Newmodel,其中的AAA是指:Authentication, Authorization,
and Accounting.
功能很明确,先作用户认证,然后授权他可以在设备上面进行什么样的操作,最后,进行记帐。对,这里的Accounting,就是记帐,不是帐号。它帮助运营单位对网络流量和操作进行记帐。
IDC中AAA的分类,定义了AAA,这里的AAA与Cisco网络设备配置中的AAA有所不同,区别点在于第三个A,IDC的AAA的第三个A是指
Administration,
其实含义基本上是除了Authentication认证,Authorization授权,以及Anti-virus反病毒、Firewall防火墙、
IDS入侵检测系统(在2000年以前,似乎IDS和扫描器都在这第三个A中,后来IDS单独分类统计)。现在IDC重新定义了AAA,将其分成了两个区域,第一是IAM(Identity
and Access Management),第二是SVM(Security Vulnerability
Management)。参考下面的示意图,IAM中增加一个新内容,就是目录管理,SVM中也增加一点新内容,就是漏洞管理。漏洞扫描产品(scanners)本来也是属于IDC
AAA中最后一个安全管理的内容,后来与IDS成为一个分支
ID&A,现在漏洞管理的名义下重新回到SVM下面。当然了,今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。
而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型,它的全称应该是: Account,
Authentication, Authorization, Audit,也反映了中国安全业界对于安全管理的思索和创新。
下面的这份白皮书就是在我培训完管理按需计算(MODC),为了推广管理按需计算的概念而写的一份白皮书,题目是“业务相关性与按需计算管理成熟度”, 写于2003-10-31, 其中将一般性的IT管理按照管理按需计算的模型分为四个管理成熟度,每个成熟度到上面成熟度的进阶都需要相关的建设和优化、改善。
希望它可以当成一份背景资料,帮助大家理解按需安全(On-Demand Security)的概念,以及后来的Security 2.0。点击下载。
在写完上篇Go Security2.0的短文后,这几天还在思考Security
2.0的话题。下面是2005在CSOOnline上的关于Security2.0一篇报导,似乎这是第一篇值得注意的讨论使用Security2.0这个词的报导。仔细看完了这篇文章,其中较为详细地介绍了一个大型国际能源公司如果进行物理安全、IT安全的融合、如何将关注点从安全保护转换为风险控制的案例分析。相信这样的变革在一个大型、传统行业的组织里是如何的艰辛。大家有兴趣、也有时间的话,建议也看看。
应该说,文中使用的Security2.0不同于我所提的Security2.0。Sarah认为Security2.0就是融合(convergence)、就是集成(integration)、就是全面安全(holistic
security),其中物理安全和IT安全的融合、集成,以及相应的组织机构和管理方式的改变被Sarah所称道。欢迎大家评论。
Security 2.0
What does it take to make convergence happen? One secret is to
sneak up on it, the way Constellation Energy did, by seeming to be
doing something else entirely.
By Sarah D. Scalet
下面报导转载自电脑商报。一句套话,下面的转载并不代表本人证实其中的内容,也不表示本人赞同其观点...
技术背景不同的各类厂商都希望将自己擅长的东西加入到UTM中,但UTM并非集成度越高越好。据厂商反映,目前,在高端UTM市场上,硬件产品有不可比拟的优势,但在中低端市场上,硬件产品和软件产品之间的较量还处在胶着状态。
渠道商为什么要销售UTM产品?原因有二:一是UTM具有一定的技术优势,包括延迟时间短、不会形成网络带宽瓶颈、管理协调性强等;二是更容易销售。有人认为,UTM(统一威胁管理)就像是一把“瑞士军刀”,功能齐全。从某个角度看,确实是这样。根据IDC的定义就可以得出结论:UTM
=防火墙+VPN(虚拟专用网)+网关防毒+IPS(入侵防护)。
目前,已经或准备在国内推出UTM产品的厂商有近10家,其中有国内厂商,也有国外厂商;有传统安全厂商,也有网络产品厂商。在国外厂商中,最早推出UTM设备的是Fortinet、SonicWall、WatchGuard等公司;国内推出的UTM设备的厂商有深信服、联想网御、华为3Com,另外,启明星辰与港湾两家联合推出的天清汉马防火墙虽然被称为安全网关,但因为集成了防火墙、VPN、网关病毒过滤、Netflow流量统计分析、AAA认证计费等功能,也应该属于UTM的范畴。
大家都在思索,5年不是一个很短的时间,可以发生很多事情。从2000年至今,阳光之下,我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来,写过一些按需安全的文字,但是后来终究也没有让它们露面。但是现在却有了一个冲动,Security 2.0,Let's Go !
#########
如果我们按照安全历史的发展,做下面的定义:
的话,现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代(这里请允许我借用一下Web2.0),其代表性的特点feature 如下:
换句话说,Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性,而2.0则偏重关注自身体系的建设以及安全信息的使用,并且将信息上升为知识和行动指南,反馈到安全体系的优化中去。我认为,在这里2.0并没有替代1.0的意思,而在建立在1.0的基础之上。失去了1.0,2.0就成为空中楼阁、无源之水。
2.0的产生和提出,有其背后的驱动力。我们知道,在10年前,我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找,这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大,管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前,随着互联网攻击的泛滥,当时业界提出了PDR模型,引入到中国则形成了若干个PDR的变种,但总体的思潮是“动态”防御-尽快发现入侵和攻击者。在这个阶段,IDS技术也发展到了协议分析、异常发现等多种引擎的融合,曾被寄予很大的希望来一劳永逸地解决安全攻防问题。
但是,近两年来Zero-Day式攻击的出现和快速增长,极大的增加了管理员对于IDS的怀疑,一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了,IDS厂家不再有时间去提取样本,编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力! 怎么办? AAA !AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平,还大大增加了安全策略的内涵和落地能力。
并且,随着各种单点安全产品(1.0)的成熟和大量部署,安全信息从“无”到“泛滥”,信息不再是信息,反而成了管理员望而生畏的“噪声”。【信噪比】 ! 最早的SIM/SEM产品就这样诞生了!
数据 - 信息 - 知识 - 行动, 这是我们常用的4进阶的信息处理模型,每个进阶中的信息“质量”都不断获得提升。从这个模型里,我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息,而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量,但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”?资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到,早期的SIM/SEM是就安全事件关联安全事件,而最新的安全模型则开始事件的业务和IT环境。
IBM购并Micromuse为2006年 IT公司谁买谁又添上了浓重的一笔,同时为2006年的IT管理和网络管理软件市场的竞争加上了很多的不确定性。这个购并在CA购并Concord不到一年的(8个月)时间内出现,也让人们产生了很多联想。原来的IT管理软件Big Four (IBM, HP, CA, BMC)现在CA, IBM都有了新想法,HP或许对自己在网络上面还有自信。那BMC呢?是买?还是被买?这是个问题。
2005年12月21日IBM宣布以8.65亿美元的价格(合每股10美元)收购网络管理软件供应商Micromuse. 而Micromuse还在不久前(2005年7月1日)以1600万美元收购过一个安全管理平台公司Guardnet,具备了其安全管理平台产品neuSecure。
2005年4月7日CA宣布以3.37亿美元收购Concord(合每股17美元)。IBM收购Micromuse的价格是CA购并Concord价格的大约两倍。
国际上风起云涌的购并和One-stop浪潮也会给国内的IT和安全市场带来很多冲击,有一次聚会中,业界一位资深人士就语言,“几年后你们认为国内OSS和集成厂商还会剩下几家?我觉得可能是华为和中兴。”
(注:本文写于2005年年底,标题是:
IBM购并Micromuse,One-Stop大行其道 )
Powered by Haiwit