zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

PCI的全称是Payment Card Industry, 是信用卡相关的一项符合性标准。目前我尚不清楚到底有多少个国家实施了这个标准，北美是要求的。这个标准在硬盘里休息了很长时间，今天在飞机上终于有时间将它打开读了起来。我手里的版本是2006年9月份的。 

笼统看，PCI 数据安全标准（DSS）共有6组12大要求，覆盖了从建设、到运营和策略的很多方面。相对于BS7799/ISO7799/ISO27001和CoBiT等，它的要求显得很朴实直接、具有很高的操作性。下面就是那6组12大要求，中英文对照：

著名安全专家Bruce Schneier在其个人博客上介绍了对MySpace上面的用户口令的选择和安全性问题，包括一般用户口令长度的统计：

1-4    0.82 percent
5    1.1 percent
6    15 percent
7    23 percent
8    25 percent
9    17 percent
10    13 percent
11    2.7 percent
12    0.93 percent
13-32    0.93 percent

numbers only    1.3 percent
letters only    9.6 percent
alphanumeric    81 percent
non-alphanumeric    8.3 percent

The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

在最新的SANS TOP20发布中，VoIP首次被列入重要攻击目标，标号是N1。表明VoIP的安全问题正在受到越来越多的关注，SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视，从而改善VoIP的安全状况：

Operating Systems
    W1. Internet Explorer
    W2. Windows Libraries
    W3. Microsoft Office
    W4. Windows Services
    W5. Windows Configuration Weaknesses
    M1. Mac OS X
    U1. UNIX Configuration Weaknesses
Cross-Platform Applications
    C1 Web Applications
    C2. Database Software
    C3. P2P File Sharing Applications
    C4 Instant Messaging
    C5. Media Players
    C6. DNS Servers
    C7. Backup Software
    C8. Security, Enterprise, and Directory Management Servers
Network Devices
    N1. VoIP Servers and Phones
    N2. Network and Other Devices Common Configuration Weaknesses
Security Policy and Personnel
    H1. Excessive User Rights and Unauthorized Devices
    H2. Users (Phishing/Spear Phishing)
Special Section
    Z1. Zero Day Attacks and Prevention Strategies

前些时候在制定企业桌面计算机安全标准时，讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处，其中主要是信息安全，甚至还有听说有人偷到这样的笔记本电脑后，无法打开，去专修店维修而不抓住，从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合，带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。

看下面的新闻评论，Seagate推出了硬盘级的加密技术DriveTrust，广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker，可以集成在WMI和AD的环境中，集中管理，但是没有对全部数据提供加密保护。两者真是各有千秋，不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样，在计算机中保存的信息越来越隐私、越来越值钱时，相应的安全保护技术也就有了大市场。

Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer， November 9, 2006

在各种程序和代码中寻找漏洞是个让人感觉很神秘和很技术的事情，但是如果可以使用Google这样的搜索引擎来搜索漏洞，会是什么感觉呢？下面的这篇博客文章和评论很有意思，值得一看。

Google VulnSearch?

Fall behind and someone will always beat you to the punch! Gadi Evron posted an entry over at Securiteam on the topic of using Google’s Codesearch to find vulns. Since he and others are writing about this, I don’t have to! However, i’ll post a few more thoughts before anyone else maybe!

补丁是安全管理中的大问题，也是最让人头疼的问题。如果您说不就是要经常Windows Update吗？那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗？那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险，尤其是这个风险谁来承担。安全经理不愿承担后面的风险，生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类，比方说面向互联网还是内网等，也就是根据可能的安全威胁来分类，然后最威胁最大的那类特别处理，快一点打补丁，平衡点往前移一下。其它类服务器慢打一点，平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类，最重要的级别对补丁的测试肯定要最严格，平衡点往后移。这是理论了，现实中的操作就不容易了。

还有一个话题就是对于没有补丁的漏洞怎么办？这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多，但这是现实。作为用户，我们怎么办？下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下，值得考虑一下这样的应急方案。

To patch or not to patch
Oct 30, 2006， By Roger A. Grimes, InfoWorld (US) - Issue #44

这里有篇文章将孙子兵法和汉尼拔等古人和我们的网络安全联系在一起，攻击者有何时何地发起攻击的选择权优势，而防守者有具备地利人和的优势，看看这篇短文吧...

Security lessons from Sun Tzu and Hannibal
Oct 10, 2006, By Mark Willoughby, Computerworld (US)

History books are full of lessons relevant to today's data security battles. Hackers understand history's lessons and reduce their risk by carefully studying a potential target before designing attacks with a high probability of overcoming defenses. This sort of risk assessment is one criterion that Sun Tzu, author of The Art of War, used more than 2,500 years ago to evaluate the chances of success in a looming conflict.

Although we're not losing the war against hackers, one problem we face is that an elusive and unknown enemy picks the time and place of the engagement, which gives him an extremely powerful advantage.

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

推荐一篇写的很棒的文章，原文位于ChinaCissp...

六年如逆旅，我亦是行人
一个顾问的六年安全从业经历

前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

前不久，国家信息安全标准化技术委员会发布了一个标准汇总，包括了2006年以来发布的15项国家标准，转贴如下：

今天看到荆继武老师的一篇文章，分析了中国本土信息安全企业的创业之旅，给出了很多非常有益的建议。这段时间以来，一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动，这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙，给我们带来了又一轮的“吐故纳新”：

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc