电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:364321
刚刚注意到,这个博客的访问量超过100万了,心里很惶恐,承蒙这么多同行关心,可是现在由于工作忙的要死,所以博客的更新的频率很慢很慢,维护两个博客就更加艰难了。所以,以后的更新我将主要放在http://sbin.cn/blog那里,并且中英文都放在一起。目的只有一个,减少维护成本,稍微省些时间在内容上。呵呵,希望大家就不要见怪了。
联想在购并IBM
PCD后,在艰苦的业务重组的背后是艰辛的IT重构。从大的方面看,这些挑战体现在如何重构原来中国的IT平台使之能够支撑全球的业务,如何迁移原来IBM的Legacy应用和系统,将对原有业务和客户的影响降到最小。IT部门付出了巨大的努力,这些努力也得到了非常可观的回报。具体到基础设施,全球骨干网正在紧锣密鼓的建设中,越来越多的海外公司和分支机构正在迁移在新的骨干网和IT平台之上。艰苦的工作在意料之中,没有料到的是其中相当部分的精力时间资源被花在了“manage
vendors"上面,一言难尽...
下面转贴一份王敬宜的文章”“二变一”的缠斗:基础篇“,
“二变一”的缠斗:迁移篇”
ComputerWorld的Mary K.
Pratt发表了其关于2007年安全技术走向的分析,列举了其看好的五大安全技术。它们是:
1. Identity management systems.
2. Smart cards used to provide secure access to networks.
3. Content and e-mail filtering software.
4. Transparent encryption.
5. Voice-over-IP technology.
看完Mary的分析后,我倒是觉得XML的安全技术实在是比上述五种安全技术的更为基本的技术。XML的分析与控制、基于SAML的认证鉴别、VoiceXML的安全控制等与上述五大安全技术息息相关。
2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。
2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。
这里有篇文章将孙子兵法和汉尼拔等古人和我们的网络安全联系在一起,攻击者有何时何地发起攻击的选择权优势,而防守者有具备地利人和的优势,看看这篇短文吧...
Security lessons from Sun Tzu and Hannibal
Oct 10, 2006, By Mark Willoughby, Computerworld (US)
History books are full of lessons relevant to today's data security battles. Hackers understand history's lessons and reduce their risk by carefully studying a potential target before designing attacks with a high probability of overcoming defenses. This sort of risk assessment is one criterion that Sun Tzu, author of The Art of War, used more than 2,500 years ago to evaluate the chances of success in a looming conflict.
Although we're not losing the war against hackers, one problem we face is that an elusive and unknown enemy picks the time and place of the engagement, which gives him an extremely powerful advantage.
以下是转贴自新浪网报导,转贴并不代表本人赞同或者同意其观点,目的是使大家有更多的角度了解CA。新人才、新产品和新的工作方式给CA公司带来了新的活力,但是它仍然存在很多痼疾。
现在IAM/AAA/AAAA项目热火朝天,一般规划中,系统和应用常常花开两朵。系统级的IAM/AAA/AAAA相对来说,技术产品都较为成熟,项目风险也容易控制。但是应用级的IAM/AAA/AAAA建设就不一样了。一方面这方面的技术产品在国内的应用时间较短,技术储备也没有前者那么多,建设中、建设完成的项目数量也比较少,另一方面,应用级的IAM/AAA/AAAA往往涉及到应用改造,需要深入应用的架构和流程,所以惊动面比较大,牵掣的部门较多,所以“政治”“人事”就都需要考虑进来,往往不是运维部门的同学们可以自己决定得了的。
下面这部分内容大部分取材自Gartner的一个报告,“The Do's and Don'ts of Identity and Access Management ”,分析了在IAM建设中那些一定要作,那些一定不要作。 其中的一些观点也颇有启发性,我总结了几个放到下面供大家讨论参考。
终端和桌面是今年的一个重头戏,各路厂商搞了个大比武,Big Four(IBM,HP,CA,BMC)都有自己的完整方案,微软更是“我的地盘我作主”,SUS/SMS+MOM什么的都往里整,LanDesk, BigFix, PatchLink, Symantec(Sygate)也已经在市场上多次遇到了,国内的华为、联创也在大力推进自己的终端(桌面)安全解决方案。下面的两则新闻报导了安氏的TG(Terminal Guard,现在叫IntraSec了)和 BP(BorderProtector,现在也随行入市叫UTM了)联动组成内外兼修方案的故事。有两点给我留下了深刻印象,其一是这个IDEAL的解释,Inner Defend External Arrest Link,是在是看不懂,不知道这个缩写是什么意思,颇是琢磨了半天,那么好一个IDEAL为什么不能搞个更容易理解、更贴切的市场用语呢?其二是第二篇报导中的问答,“安氏领信虽然将两款产品组成整体解决方案,但UTM和IntraSec都可独立应用。”,这个“虽然”用的不好,传递给读者的是像是退后了一步讲话的感觉,对这个“整体解决方案”失去了不少信心。
看到这里,其实我在想另外一个问题:UTM本不应该仅仅被IDC/Fortinet锁定在网关级产品上,其实还可以拓展到主机和桌面上,形成Network based UTM, 和Host based UTM两大类产品。而后一类的产品例如当前CA收购的那个Tiny,还有Microsoft正在推出的那个综合安全套件,以及Symantec的什么360,等等。或许明年IDC真的就这样发表一个新的产品分类,或者Gartner搞这样一个业界分析,也未可知。
今天上午一个业界的大新闻,存储大厂EMC以21亿美元的价格购并传统安全厂商RSA,以实现EMC五个10亿美元业务的宏伟目标(VMware, Content Management, Resource Management, Storage Virtualization, and Security),而声誉甚隆的业界传奇 RSA 成为其 安全业务的 桥头堡。相信这起购并后也为北京的安全人才提供了一个新的目的地。 :) 另外,这起购并与前些时候 Symantec购并 Veritas 相应成趣,两大存储厂商一个被安全公司买,一个买了安全公司,效果和目标都是One-Stop。前事不远啊:Novell收购eSecurity,Oracle收购Oblix和Thor,CA收购Netegrity,HP收购SelecAccess.......。还会有很多重量级的安全业界收购出现在大家的视野里。
关于此次EMC收购RSA的外电报导查看News.com的新闻报导。下面是IDC评论的一段摘抄:
下面是一则新闻报导,讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞,使得恶意软件畅通无阻,安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题:缺省的安全配置是否应该相信设备,允许其通过。缺省是完全的“断”,则用户将会不断的被告警打扰,不胜其烦,最后还是关掉,厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了,问题就在于这个取舍的度上面。
当前的灰色软件和流氓软件的确是越来越多,还真难将他们严格地分为恶意或者正常,但是不管怎样,单单依靠是否具备签名似乎显得简单了些。由此想到,在SOA的架构里,在未来Web Services遍布的时代里,如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。
中移动一员工长期从事萨班斯法案遵循工作,受内控思想熏陶,要求其妻每月换一次家里电子防盗密码锁,每周更改一次密码,买任何东西均须留有书面记录并让卖方签字确认...。其妻实在无法忍受,带其去医院就诊,医生问明原由后,确诊为"遵循性精神失控症"并对其妻密语治疗方案,其妻用疑惑的眼光盯医生。医生说:我夫人也在移动公司工作,上周出现疑似"遵循性精神失控症",已被我用此方法将她脑袋出现的缺陷及时进行了修补.....
遵循性精神失控症,呵呵。带有多么明显的时代烙印的术语。;) 这里密语的”治疗方案“到底是什么呢?我想啊想,还是没想出来......
先看一段国内的新闻:
美国A10网络公司带着业界第一个基于身份认证的网络安全管理器--IDSentrie?1800亮相中国市场,向中国用户全面介绍自己在网络安全领域的最新解决方案。这标志着美国A10公司正式进军中国网络安全领域。同时,A10网络公司创立者兼首席执行官Lee Chen表示,为用户提供一个基于身份认证的网络安全解决方案在当今网络安全市场尤显重要。
传统的身份识别和访问管理(IAM)在使用上非常复杂,在价格上也是相当昂贵,每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法,不但难管理、难配置、难输入、难同步、易出错,而且会造成“政出多门、相互矛盾”。 而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构,传统认证系统早已无法胜任如此复杂的系统。IDSentrie? 1800采用了统一管理的方法,通过集成四个基于身份的管理组件,创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台,从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。四大功能组件包括:业界处理速度最快的,基于标准的RADIUS认证服务器;业界首家协同管理用户和网络安全设备的统一身份管理引擎(UIM);业界首创的基于身份的网络行为监察及纪录(FLA)以及基于身份对用户网络行为进行实时监控的高级报表组件(AD),这些都运行在IDSentrie? 1800固化的操作系统之上,用定制的硬件为所有分布在企业网络中的身份信息提供安全管理。它使IAM简单化,是一种新型的实用性强而且价格相对较低的认证管理产品。
美国A10网络公司旨在创建一个即简单实用又具尖端科技的平台以迎合各种来自网络实体管理的内在挑战,同时为全球客户提供本地化的网络安全系统建设和运营管理的专业服务,帮助各行业客户提高效率、降低风险,降低网络运作成本。
或许A在网络信息安全这个领域中有点神秘色彩,也有些特殊地位。Authentication, Authorization,
Account, Accounting, Audit, Availability, Accountability,
Administration, 很多A,每个A都在A的名义下定义了不同的功能。
最早Cisco路由器配置中的AAA Newmodel,其中的AAA是指:Authentication, Authorization,
and Accounting.
功能很明确,先作用户认证,然后授权他可以在设备上面进行什么样的操作,最后,进行记帐。对,这里的Accounting,就是记帐,不是帐号。它帮助运营单位对网络流量和操作进行记帐。
IDC中AAA的分类,定义了AAA,这里的AAA与Cisco网络设备配置中的AAA有所不同,区别点在于第三个A,IDC的AAA的第三个A是指
Administration,
其实含义基本上是除了Authentication认证,Authorization授权,以及Anti-virus反病毒、Firewall防火墙、
IDS入侵检测系统(在2000年以前,似乎IDS和扫描器都在这第三个A中,后来IDS单独分类统计)。现在IDC重新定义了AAA,将其分成了两个区域,第一是IAM(Identity
and Access Management),第二是SVM(Security Vulnerability
Management)。参考下面的示意图,IAM中增加一个新内容,就是目录管理,SVM中也增加一点新内容,就是漏洞管理。漏洞扫描产品(scanners)本来也是属于IDC
AAA中最后一个安全管理的内容,后来与IDS成为一个分支
ID&A,现在漏洞管理的名义下重新回到SVM下面。当然了,今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。
而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型,它的全称应该是: Account,
Authentication, Authorization, Audit,也反映了中国安全业界对于安全管理的思索和创新。
大家都在思索,5年不是一个很短的时间,可以发生很多事情。从2000年至今,阳光之下,我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来,写过一些按需安全的文字,但是后来终究也没有让它们露面。但是现在却有了一个冲动,Security 2.0,Let's Go !
#########
如果我们按照安全历史的发展,做下面的定义:
的话,现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代(这里请允许我借用一下Web2.0),其代表性的特点feature 如下:
换句话说,Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性,而2.0则偏重关注自身体系的建设以及安全信息的使用,并且将信息上升为知识和行动指南,反馈到安全体系的优化中去。我认为,在这里2.0并没有替代1.0的意思,而在建立在1.0的基础之上。失去了1.0,2.0就成为空中楼阁、无源之水。
2.0的产生和提出,有其背后的驱动力。我们知道,在10年前,我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找,这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大,管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前,随着互联网攻击的泛滥,当时业界提出了PDR模型,引入到中国则形成了若干个PDR的变种,但总体的思潮是“动态”防御-尽快发现入侵和攻击者。在这个阶段,IDS技术也发展到了协议分析、异常发现等多种引擎的融合,曾被寄予很大的希望来一劳永逸地解决安全攻防问题。
但是,近两年来Zero-Day式攻击的出现和快速增长,极大的增加了管理员对于IDS的怀疑,一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了,IDS厂家不再有时间去提取样本,编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力! 怎么办? AAA !AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平,还大大增加了安全策略的内涵和落地能力。
并且,随着各种单点安全产品(1.0)的成熟和大量部署,安全信息从“无”到“泛滥”,信息不再是信息,反而成了管理员望而生畏的“噪声”。【信噪比】 ! 最早的SIM/SEM产品就这样诞生了!
数据 - 信息 - 知识 - 行动, 这是我们常用的4进阶的信息处理模型,每个进阶中的信息“质量”都不断获得提升。从这个模型里,我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息,而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量,但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”?资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到,早期的SIM/SEM是就安全事件关联安全事件,而最新的安全模型则开始事件的业务和IT环境。
Powered by Haiwit