zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

现在经常要和AT&T打交道，有时候会有怪怪的感觉，世间轮回，有过于此乎。转贴下文(AT&T百年离合史)， 回眸一下AT&T带给我们的电信业重组历史...

前些时候，不经意间发现思科公司的图标换了，后来发现原来华为公司的Logo也和原来有了显著的区别，大家看：

  Cisco New Logo <- Cisco Old Logo

Huawei New Logo <-  Huawei Old Logo

后来看了看新闻， 思科公司大约在2006年十月份，悄然更改了logo，桥上的铁锁从22根变成了9根，为了贴近家庭市场，Logo显得很卡通感，很活泼。但是也失去了原有的严禁和肃穆。参看评论文章。

华为Logo的更换则更早一步，发生在2006年5月8日，劳动节回来，辛苦了一假期制作的新logo就上线了:)。光线从原来的15根减少到了8根，更加丰满，亮丽，参看评论文章。

Blackberry可以为用户带来全球范围的移动服务，随时随地地接受邮件、检查自己的日历和安排。在国内中国移动和中国联通当前也已经开始提供相关服务。
下面的两附图来自Dan Baker的一个PPT：

不要管他叫什么，关心的是我们能够得到什么。新浪的这个新闻还是很有意思。 － 互联网创业瞄准Web3.0时代 风投商造梦与毁梦
http://www.sina.com.cn 2006年11月30日 07:05 新浪科技

　　在Myspace、 YouTube大获成功后，互联网时代的创业者们又被注入了新的激情。昔日的车库已被咖啡馆所取代，人们还未消化下2.0，Web时代又迎来了3.0。我们该怎么办？如果说上个世纪依靠“模仿”，我们侥幸拥有了些许成功者，而如今，要获得成功，只能是踏踏实实为用户解决问题。

　　在旧金山的Ritual Coffee Roasters咖啡馆里，可以见到很多行为相似的二、三十岁的年轻人，他们大多为男性，总是聚精会神地坐在笔记本前上网。他们并没有关注MySpace、YouTube、或其它潜在的成功者，事实上，他们希望自己成为未来的成功者。硅谷又进入了黄金时期，几乎每一个角落都存在着机会。最新数据显示，新兴科技公司平均每月可以获得1.8亿美元的投资。年轻、企业家的热情、科技洞察力、经济实力、美国梦、以及美国西海岸的乌托邦理想等多种因素结合在一起，构成了推动信息时代不断向前发展的“永动机”。

　　咖啡馆取代了车库

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

在最新的SANS TOP20发布中，VoIP首次被列入重要攻击目标，标号是N1。表明VoIP的安全问题正在受到越来越多的关注，SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视，从而改善VoIP的安全状况：

Operating Systems
    W1. Internet Explorer
    W2. Windows Libraries
    W3. Microsoft Office
    W4. Windows Services
    W5. Windows Configuration Weaknesses
    M1. Mac OS X
    U1. UNIX Configuration Weaknesses
Cross-Platform Applications
    C1 Web Applications
    C2. Database Software
    C3. P2P File Sharing Applications
    C4 Instant Messaging
    C5. Media Players
    C6. DNS Servers
    C7. Backup Software
    C8. Security, Enterprise, and Directory Management Servers
Network Devices
    N1. VoIP Servers and Phones
    N2. Network and Other Devices Common Configuration Weaknesses
Security Policy and Personnel
    H1. Excessive User Rights and Unauthorized Devices
    H2. Users (Phishing/Spear Phishing)
Special Section
    Z1. Zero Day Attacks and Prevention Strategies

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

据外电报道，在BlackHat大会上， 来自西雅图的研究者Dan Kaminsky宣布了一款关于网络中立性测试的工具，并且预计该工具将会免费提供，这些工具将会作为免费的软件套件Paketto Keiretsu Version 3的一部分随后发布。

前段时间，美国国会关于“网络中立法案”Net Neutrality 的争论 沸沸扬扬。网络中立法案将会强制要求基础网络设施服务商不得歧视互联网上面的任何一种业务，保证各种业务平等的传输，不得针对VoIP、P2P、视频等业务设立过滤或者降低服务质量等手段。在国内，运营商对于BT和VoIP、Skype等的态度也是极度敏感之话题。虽然在国内众多新业务孵化者敢怒而不敢言，但是国外以Vonage为代表的新业务运营商不断起诉、挑战ATT,Verizon,Comcast等老牌网络运营商，FCC也不断为此开出罚单。

这次BlackHat大会公布的中立性测试工具给我们一个提示，“网监会”需要采取一定的技术手段来监视互连互通，监视基本的互联网服务指标，保障互联网用户的切实权益。“网监会”不应该停留在一些蜻蜓点水似的通告上面，而是有技术手段去落地。

业界有名的“大炮”阚教授再次发言，批评了WAPI的做法并没有符合中国国家和大多数人的利益，而只是提出该标准的西安捷通以及少部分上家获利。非常欣赏阚教授勇于直言时弊，不随波逐流的处世之道。支持一下！

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

这个传说由来已久，只是一直没有落地，中间夹杂了华为吞并港湾事件，被冲淡了一下。现在重提桌面。除了那些企业级路由器和交换机之外，华三的TippingPoint的归属很是惹眼，据说其FPGA+NP+ASIC的架构非常独特，性能和功能表现非常出色。不管是华为还是Juniper都会使TippingPoint发挥更大的威力。

现在在内控的大旗下，桌面安全管理项目车轮隆隆，各路人马狼烟四起、厮杀在一处。前不久陆续接到各路十多个战报，端的是令人目不暇接。曾记否，今年年初写2006安全技术发展趋势时，没有将“桌面安全管理”列入引起争论不少，现在桌面安全管理果然杀气阵阵，难道不是2006的大热点吗？当初我的解释是桌面安全管理不是某个技术和产品，而是很多个/很多类产品的集成。现在观察一下各路的需求说明，心中还是被再次触动了一下。“桌面安全管理，你到底要承受多重”......

词曰：威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。

今天下午发生了一件大事情！
经brother why主创并授权，在此独家发布一个福泽同侪的控制模型，呵呵。从公司控制、到IT控制、再到安全控制，该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间，充分利用Web2.0年代的P2P IM手段，展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊？

一个体系：12345678 Pyramids Framework
二个方面：技术和管理
三个层次：决策层、管理层、运维层
四个阶段：P D C A
五层控制：控制环境、风险评估、控制活动、信息沟通、监控
六个要素：资产、威胁、脆弱性、保护措施、风险、机会
七个质量（CoBIT）：机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程（CoBIT）：P O /  A I / D S / M E

其中，一讲的是整体和执行力，二强调的是管理、技术并重，三指的是全员参与，四是指螺旋式上升，五是COSO内控框架，六是安全控制要素，七是达到的目标质量，从这层开始 KPI，八是IT控制过程域，KPI/KGI之。

SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX......

COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO......

CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT......

ITGI写了不少白皮书，由于其Board中有很多BIG Four的人，所以在混沌的、争议中的SOX符合性旅途指引方面就显得分量很重。其中有一篇叫“

Sarbanes-Oxley: The importance of information technology in the design, implementation and sustainability of internal control”，在Page34，有一个立方体，讲的是SOX,COSO和CoBIT的关系，我把它做了个中文版，看看大家是否用的上。

最右边标识的前后维度是SOX维，这里列出了SOX合规性和IT最为相关的404条款和302条款。最左边标识的上下维是PCAOB和SEC官方对萨班斯合规性的内控要求框架 － COSO框架：五个层次，控制环境－风险评估－控制活动－信息和通信－监视，每个层次中都包含很多内控方面的要求。注意COSO不是专注于IT的，更多的是财务风险相关的，但是框架是通用的。而当前我们在SOX符合性方面的修补工作则主要集中在控制活动（Control Activities）中。 最上面的左右维讲的是CoBIT的四个控制域： PO - AI - DS - ME，这里已经采用了CoBIT4.0的提法。

[separator]

我又检查了一下ITGI的站点，发现刚刚发布了一个第二版，这副图消失了，取而代之的是一幅成熟度图。这副成熟度图与以前大家看到的CoBIT为代表的IT治理成熟度图很像，与CMM成熟度分级也很像，呵呵。

它分为从0－5六个等级，它们分别是：

还没有仔细看新版本的其它内容变化。大家有什么收获可要记住分享啊。 其实在ITGI，还可以找到更多的讨论这几种最佳实践、标准之间的映射关系的白皮书和文章。这里体现出西方文化的互融性，相对来说“山头主义”的倾向小的多了。