zhaol's blog

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

偶然间读到任总在2005年4月份写的一篇安全市场分析文章，下面将我的个人观点与大家讨论一下。中国的安全市场实际上一直没有出现任总讲的“爆发阶段”的迹象，实际上2005年国内不少安全公司的业绩还相当不如人意，几家主要的国内安全公司内部还出现了一定程度上的动荡（例如联想网御事件、安氏分拆与亿阳购并事件等），这不能不说是受市场不振的影响。现在冷静地观察，这样的爆发阶段短时期内也不会出现。作一个反向分析，有可能引发安全市场急速发展的潜在因素可能有：

• 安全等级保护 :: 等级保护今年正式进入各安全公司的射程。启动大会后，很多大企业都收到了相关的等级保护“合规性”要求的通知，“等级保护”有可能引起电子政务、税务、金融、交通、电力等国有大型组织企业加强网络安全方面的采购。采购产品包括反病毒、防火墙、入侵检测、安全审计等。但是，很多组织在等级保护方面还没有明确的试点作为参照，第一步应该是风险评估和划分安全等级。然后，按照安全等级制定实施相应的安全保护措施，包括技术和管理两个方面。但是，由于原来电子政务部分占有总体安全市场的份额较低，所以这部分增长预计不会拉动整体国内安全市场到出现“爆发”的程度，
  
• 3G :: 3G牌照发出后，将会出现新一轮的大规模网络建设，从光网络、交换机、路由器、以及大量的业务系统，这些运营商信息系统全部需要高强度的安全保护。另外，3G年代的终端将面临前所未有的安全威胁，预计智能终端上面的反病毒、内容安全、反垃圾邮件、漏洞管理、反钓鱼等等安全需求都有迅速上升。两者相加，3G可能会带来10亿以上的额外安全市场采购，从而带动整体安全市场的上涨。但是，3G牌照的发放时间尚无定论，或许到明年3G大网安全采购2007年才会显现，而3G终端安全又要再滞后1-2年，至08年以后才会逐渐显现。
  
• SOX :: 萨班斯法案“合规性”的要求当前是四家电信运营商以及其它数十家美国上市公司的关注点，作内控框架，评估内控点，实施修补计划。SOX合规性凭空为主要的咨询公司在全球带来了数十亿美元的市场收入。但是，国内SOX带来的这部分增长并不像美国那样的明显，首先上市公司的数量有限，其次当前SOX合规性主要以管理措施为主，相应的安全工具产品的采购和部署并不是主旋律（IAM方面的需求上升最大）。
  
• BS7799/ISO27001 :: BS7799演化至ISO17799（原Part I）+ISO27001（原Part II）后，世界范围内的企业接受程度将会上升，相关的认证、培训、ISMS管理咨询、安全控制点加强等会拉动安全市场，但是这种影响预计只会体现在安全市场每年的CAGR 20-30%左右的范围里。

先看一段国内的新闻：

    美国A10网络公司带着业界第一个基于身份认证的网络安全管理器--IDSentrie?1800亮相中国市场，向中国用户全面介绍自己在网络安全领域的最新解决方案。这标志着美国A10公司正式进军中国网络安全领域。同时，A10网络公司创立者兼首席执行官Lee Chen表示，为用户提供一个基于身份认证的网络安全解决方案在当今网络安全市场尤显重要。
　　传统的身份识别和访问管理(IAM)在使用上非常复杂，在价格上也是相当昂贵，每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法，不但难管理、难配置、难输入、难同步、易出错，而且会造成“政出多门、相互矛盾”。 而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构，传统认证系统早已无法胜任如此复杂的系统。IDSentrie? 1800采用了统一管理的方法，通过集成四个基于身份的管理组件，创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台，从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。四大功能组件包括:业界处理速度最快的，基于标准的RADIUS认证服务器;业界首家协同管理用户和网络安全设备的统一身份管理引擎(UIM);业界首创的基于身份的网络行为监察及纪录(FLA)以及基于身份对用户网络行为进行实时监控的高级报表组件(AD)，这些都运行在IDSentrie? 1800固化的操作系统之上，用定制的硬件为所有分布在企业网络中的身份信息提供安全管理。它使IAM简单化，是一种新型的实用性强而且价格相对较低的认证管理产品。
　　美国A10网络公司旨在创建一个即简单实用又具尖端科技的平台以迎合各种来自网络实体管理的内在挑战，同时为全球客户提供本地化的网络安全系统建设和运营管理的专业服务，帮助各行业客户提高效率、降低风险，降低网络运作成本。

或许A在网络信息安全这个领域中有点神秘色彩，也有些特殊地位。Authentication, Authorization, Account, Accounting, Audit, Availability, Accountability, Administration, 很多A，每个A都在A的名义下定义了不同的功能。

最早Cisco路由器配置中的AAA Newmodel，其中的AAA是指：Authentication, Authorization, and Accounting. 功能很明确，先作用户认证，然后授权他可以在设备上面进行什么样的操作，最后，进行记帐。对，这里的Accounting，就是记帐，不是帐号。它帮助运营单位对网络流量和操作进行记帐。

IDC中AAA的分类，定义了AAA，这里的AAA与Cisco网络设备配置中的AAA有所不同，区别点在于第三个A，IDC的AAA的第三个A是指 Administration, 其实含义基本上是除了Authentication认证，Authorization授权，以及Anti-virus反病毒、Firewall防火墙、 IDS入侵检测系统（在2000年以前，似乎IDS和扫描器都在这第三个A中，后来IDS单独分类统计）。现在IDC重新定义了AAA，将其分成了两个区域，第一是IAM(Identity and Access Management)，第二是SVM(Security Vulnerability Management)。参考下面的示意图，IAM中增加一个新内容，就是目录管理，SVM中也增加一点新内容，就是漏洞管理。漏洞扫描产品（scanners）本来也是属于IDC AAA中最后一个安全管理的内容，后来与IDS成为一个分支 ID&A，现在漏洞管理的名义下重新回到SVM下面。当然了，今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。

而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型，它的全称应该是: Account, Authentication, Authorization, Audit，也反映了中国安全业界对于安全管理的思索和创新。

大家都在思索，5年不是一个很短的时间，可以发生很多事情。从2000年至今，阳光之下，我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来，写过一些按需安全的文字，但是后来终究也没有让它们露面。但是现在却有了一个冲动，Security 2.0，Let's Go !

#########

如果我们按照安全历史的发展，做下面的定义： 

• 将“安全就是反病毒”定为 安全 Security 0.1，
• 将 “安全就是PDR，where P是防火墙、D是IDS、R是安全应急服务”定为安全 Security 1.0

的话，现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代（这里请允许我借用一下Web2.0），其代表性的特点feature 如下：

• 关注点从简单的防止攻击和入侵，发展到应用和数据安全，以及内部控制
• 安全体系从“老三样”发展到基于IAM（或者AAA，或者AAAA）的综合防御体系，强调安全管理的“内功”
• 安全管理和技术更加强调信息交互、以及相关、挖掘和展现，强调信息的易用性，强调“用户”的感受和使用效果

换句话说，Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性，而2.0则偏重关注自身体系的建设以及安全信息的使用，并且将信息上升为知识和行动指南，反馈到安全体系的优化中去。我认为，在这里2.0并没有替代1.0的意思，而在建立在1.0的基础之上。失去了1.0，2.0就成为空中楼阁、无源之水。

2.0的产生和提出，有其背后的驱动力。我们知道，在10年前，我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找，这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大，管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前，随着互联网攻击的泛滥，当时业界提出了PDR模型，引入到中国则形成了若干个PDR的变种，但总体的思潮是“动态”防御－尽快发现入侵和攻击者。在这个阶段，IDS技术也发展到了协议分析、异常发现等多种引擎的融合，曾被寄予很大的希望来一劳永逸地解决安全攻防问题。

但是，近两年来Zero-Day式攻击的出现和快速增长，极大的增加了管理员对于IDS的怀疑，一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了，IDS厂家不再有时间去提取样本，编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力！ 怎么办？  AAA ！AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平，还大大增加了安全策略的内涵和落地能力。

并且，随着各种单点安全产品（1.0）的成熟和大量部署，安全信息从“无”到“泛滥”，信息不再是信息，反而成了管理员望而生畏的“噪声”。【信噪比】 ！ 最早的SIM/SEM产品就这样诞生了！

数据 － 信息 － 知识 － 行动， 这是我们常用的4进阶的信息处理模型，每个进阶中的信息“质量”都不断获得提升。从这个模型里，我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息，而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量，但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”？资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到，早期的SIM/SEM是就安全事件关联安全事件，而最新的安全模型则开始事件的业务和IT环境。

下面转贴一篇采访华为的老文章，其中提到的若干管理举措、内部员工意识教育，以及郭世栈部长（居然被记者称为大男孩，呵呵）的感想，虽然一是一年多过去了，现在看来仍是让人感染。

初访华为：总有一种力量令人震撼
通信世界　作者：闫跃龙  更新日期:2005-1-28  
 
    对华为的好奇已经很久，不仅因为看到华为在国内外市场所向披靡，今年收入要突破50亿美元，明年海外收入要超过国内收入。这段时间华为更是被“思科华为诉讼案”、“华为员工泄密案”等官司纠缠，华为的知识产权和商业机密工作到底如何？当然还有任正非的神秘、华为人的斗志以及华为独特的“土狼”文化……

下面这个帖子来自ChinaCISSP论坛上的一个回帖，我整理了一下贴上来。原文主题是：" 国内安全审计服务厂商以何抗衡四大！"

Big 4原来是Big 5能够成就自己在世界上的地位，除了有自己的不传之密之外，还能看到他们的客户能够保持相当的稳定（财务审计每年必审，信息系统的审计逐渐被认可），每年都有会有相对固定的客户和现金流基数，在此基础上，经济的发展会带来新的客户，争取新的市场，逐步发展下来。

反观我们现在的安全咨询服务领域，首先不具备这样稳定的市场需求，国内支撑这一市场的大客户的采购往往受某一位领导的左右，领导换了，是否采购、采购谁，供应商很难保持自己的“老客户”。大家都知道维持一个老客户的成本是发展一个新客户成本的十倍。这样，同质化的服务内容和质量、易变的客户和市场，导致这一块不容易产生稳定的增长。

早在2002年，我上家公司就策划成立独立的安全服务部门，后未成立。我知道，现在“战国七雄”中有的现在有独立的安全咨询公司，有的在内部正在酝酿成立相对独立的安全服务公司，从个人感情上看，我觉得是件好事情。可是市场如何，还要看这个服务公司与自己的母公司的销售平台、利益分成等关系的处理。

我们古话说：修身、齐家、治国、平天下，或讲“进而兼营天下，退而独善其身”，公司内部的修为、内功联好了，成熟稳定了，企业联盟才能联盟，才“能”谈联盟，否则就有市场炒做的成分了。

我们国内企业不仅仅在网络安全这样的小市场上不容易表现出合作、联盟的精神，就是在我们相对有一些优势的行业 － 例如家电制造业，当前的联盟和合作也非常不好（我不清楚闪联现在的活动情况，这里也不指闪联），就像高清EVD现在的窘境，很让国人撮火（阜国陷入专利典当丑闻）。现在电信业的TD-SCDMA也是一个挑战。

“和为贵”很好的一句话，这是我们本来中国“儒商”的底蕴和魅力。公司厂商之间的“和为贵”的基础是公司自身的创新、自身依靠创新摆脱同质竞争、内部公司治理的成熟稳定、以及而来稳健的市场策略等。

中国企业能否作大作强，归根到底还是企业治理的问题，华为和中兴、海尔等是中国企业中在企业治理方面的先锋和楷模，而很多企业和公司都倒在了规模增长带来的内耗和企业风险。就像我在 2006不欢迎动荡之联想风波一文中提到的宏智和联想网御（不知道安氏算不算）。内部动荡和内耗伤害国内公司太厉害了。

咨询服务行业的企业由于公司运营成本和收入大部分都是“人”的问题，对企业治理的需求依赖性更高。比肩Big 4非一日之功

几天前，Symantec公司发表了全球网络安全威胁报告白皮书，总结分析了全球2005/06 - 2005/12之间网络安全威胁的演变态势，包括网络漏洞、攻击、Bot（僵尸网）等的发展演变情况，很值得一读，当前媒体上广泛报导。

下面是一段较有意思的报导数字。僵尸网是去年桂林CNCERT/CC网络安全应急大会上的一个重要Topic，当时CC的周博士还做了专题演讲。看下面的数字，美国是全世界最大的Bot感染国，中国已经以9％的感染率排到了第三位，而2005年上半年的数字还是7%，所以看出来半年时间感染率上升2个百分点。可是英国就有意思了，半年的时间感染率从32％下降到22％，这个变化，大英帝国的计算机安全主管部门不知是采取了什么有效措施，如此生猛的半年降低10％个百分点，看来是值得考察学习了。

另外，举报导，Bot网控制端的数据，美国分布有全世界48％的控制端（command and control servers），而韩国以9％占据第二位，加拿大以6％占据第三位。由此看来，我国的宽带网用户更多的处于Bot“输入国”，而韩国则有可能是个重要的输出国。下面是直接引用的一段文字：

前些时候，写了一份安全技术发展趋势-2006，不管是否有说服力、是否有前瞻性，供大家参考，留给时间去检验。这次，瞻望一下安全管理方面的发展，与大家一起来讨论。我个人认为接下来的安全管理发展有三个特征：

其一是走向规范标准。虽然在焦点网上面也有一些“嘲笑”BS标准的帖子，但是借鉴最佳实践、遵循国内国际标准和规范还是不可更改的趋势，这是一个行业走向成熟的标志。据说南方某大型电信公司的数据中心也正在积极接触，有计划通过BS7799的认证。

其二是深入企业和组织的核心业务。我们可以在国内做安全较早的企业组织那里就可以看到这一趋势。关注的不仅仅是一些通用的服务器和桌面系统的安全的，而是应用和数据，而是各重要的业务系统内部了。

其三是走向集成化和平台化。这一点也与安全技术发展的趋势相匹配，安全产品产生的大量信息、和安全管理相关的活动产生的大量信息等都需要进行共享、相关、展现、挖掘等，集成化和平台化的安全管理支撑系统有助于提升安全管理的效率和针对性、实效性。

下面的这个等式节选自美国总统IT顾问委员会PITAC ( President's Information Technology Advisory Committee) 报告 2005, 当时看到的时候脑海中就闪现出当前如火如荼的“安全域”项目。  

安全域划分和边界保护的意义就在于阻止这种无限互联，即使实在内网，这种“无限互联”使得漏洞、蠕虫、病毒、内部滥用和误用等威胁防不胜防。例如对于中国电信、中国移动和中国网通等电信运营商来说，其DCN网络（共享平台）遍布全集团，承载了几乎全部关键的支撑业务，换句话说，每个关键业务以及员工的终端都可以连接上来，这样DCN就变成了一个小规模的互联网，数千甚至上万员工、用户在一起，互联网上面发生的事情，在“内网”上面都会发生。

从媒体上报导的UTStarcom工程师入侵北京移动卡系统中心盗取卡号密码的过程来看，除去工程管理过程的安全、帐号口令管理之外，“安全域”就是给我们的一个很重要的提示。

隔离使得风险可控。

但是，隔离并不代表着“安全域”项目就是一个“造墙”工程，而是恰恰相反，它应该是一个拆墙工程－移墙工程。优化整合后的网络架构的标志就是边界清晰，互联关系明了，所以相对于优化前的状态更能节省和共享网络和安全设备。

另外，防火墙技术越来越多地被集成进网络设备中，如何充分地挖掘网络设备本身自带地安全特性，是个值得研究的内容。可以帮助安全管理在性能和安全性、投资之间取得一个更好的平衡点。

“重硬轻软”一直是很多企业IT管理人员的误区，这里的硬当然就是大量的机器、盒子，软是指其上的软件，在这里我想强调的是“硬”上面跑得安全策略。“双层异构”的重要性并不比几条“得体适用”的安全策略来得实惠。

Telecom,Security and P2P现在国内访问不了，所以将这篇最终版转贴过来，朋友们还可以继续浏览 读到这个《最终版》。贴出这篇稿子后，得到了众位朋友和同仁的热烈响应，不少论坛都转贴了这篇议论。虽属一管之窥，但仁者见仁、智者见智，在这个互联网的年代，在Web2.0的大潮隆隆中，把自己的真实的客观想法与大家分享。下面的文字是前面“战国时代”的更新和修订。

如同在安全焦点上的“大潘怒了”带来的热烈讨论所言，2000年以来的愈演愈烈的市场竞争使得每一个生存者都伤痕累累，“踏着其他公司的尸骨，擦着自己的伤口”，其言戚戚切切者！每一个生存者都有生存者的道理，都有生存的理由。我们应该有一个共识，虽然中国市场以强调“关系”著称，但是客户关系可以 “一时”，不能“一世”，只能战术上起作用，不能战略上决定公司的发展态势。况且，大家的“关系”会逐渐达成一种平衡或者制约，最终能够决定你是否能够生存的是公司股东和管理层的视野、公司治理和成熟度、产品和技术先进性、稳定性、财务（现金流）的稳健等这些内在因素。华为们的成长和胜利、宏智们的倒塌值得我们思考。

原文：安全管理与执行力

其实，执行力是个管理学上的普遍问题。高的执行力并不一定带来理想的、正确的效果。例如文革时期，毛泽东利用自己的绝无仅有的影响力促使很多看起来虚无飘渺的、不切实际的命令被无条件的执行，全国范围的。不过，准确的说，这不是执行力的错。执行力是指形成的决议可以得到有效的执行，而没有涵盖前面形成决议的过程。那个阶段如何民主、如何分析、如何达成科学的、正确的决议是另外的管理学问题。

但是，对于网络安全工作来讲，重要的是很多基础的工作都没有做好，普遍性的、常识性的一些安全措施都没有做到位。在这种情况，安全主管的挑战就是执行力，如何将这些基础措施和安全策略实施下去。

安全经理，或者称为首席安全管，安全主管，这里指的是在企业组织中负责网络安全工作的经理，通常是一位中层领导，他还主管着信息系统的其他方方面面，例如运行维护，或者项目建设等。安全经理在企业组织的安全管理活动处于非常关键的地位，承上启下，分解高层对于网络安全的观点和使命，管理控制具体的安全运行和建设维护，他负责决定实际实施的技术路线和方案选型，抽象总结实际的安全工作的问题和由于其所处的位置为中层，就像“三观论”中的“中观”，企业组织的信息系统安全水平很大程度上取决于他个人对于网络安全的理解、重视与否和执行程度。

我经常对自己的愚钝、以及管理过程中的错误进行反思，看看是否可以找到一些方法来避免自己的愚钝和疏忽、固执，或者能够帮助面临自己同样境地的人。每个人都有每个人的困境，这里没有“银弹”。下面列出的不可忘记的五件事供您参考，或有一用，则善莫大焉。

本文最新版在【Telecom,Security and P2P】.

    时间如白马过隙，匆匆忙忙中2005年就结束了，现在2006年的时针转的似乎比去年更快。有朋友提醒说总该回首一下、前瞻一下，拖了一段时间，总算写下几段文字，也算对自己和朋友有个交代。

    2005年不能算是安全市场的丰收年，写下 战国七雄的文字后，未料到其中已有玩家遭遇“宏智”-like的不幸，我自认不是乌鸦嘴，这事肯定与我无关，:(

     还是看看后面的技术发展吧。我借用了Gartner公司的新技术发展曲线，将若干我想到的安全技术都拎出来，给他们找了个位置。欢迎大家批评、评论。

请看：