zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

我相信不少安全经理们都琢磨过如何使用安全代理来加强互联网出口的安全控制。总结来看，主要的安全威胁，我个人认为，是病毒及其衍生威胁，以及内部的滥用和误用。前者是从基础设施的角度来看，后者是从应用和数据的角度来看。那病毒的威胁又从哪里来呢？病从口入 ！ 互联网绝对是一个不容忽视的威胁来源。控制用户下载文件、使用MSN/QQ/其它P2P/IM软件交换文件、被钓鱼等，更进一步安全经理还想将互联网的访问定位到每个用户，以便计费或者审计。这些都需要强有力的安全代理的支持。可是，代理如何选择呢？ Jason向我推荐了一个网页，我觉得讨论的非常精彩。Thomas Shinder和网友AntiShinder各舒己见，分别为微软ISA软件方案和BlueCoat硬件方案进行了很有说服力的论证。

论战起源于BlueCoat的一个白皮书，总结了BlueCoat的5大优势：

• The ISA firewall cannot be as secure as Blue Coat proxies because it runs on a general purpose server that has ongoing security vulnerabilities
• The ISA firewall is unable to inspect traffic inside an SSL tunnel
• The ISA firewall is unable to inspect and manage peer-to-peer, instant messaging and multimedia connections
• The ISA firewall has limited support for granular access control
• The ISA firewall’s network performance is inferior to Blue Coat’s proxy performance

• 对于喜欢硬件方案的朋友来说，BlueCoat清一色的盒子，安装运行维护都简单，看着清爽，感觉上性能也不错。
• 喜欢软件方案的朋友，觉得可以按照自己企业的Server标准进行按需升级，完全纳入企业的Server运行维护，成本较低，性能可控。

平时在路边经常能够看到下面这两幅广告，很少见的和网络安全有关的路边、大众媒体广告。今天周末碰巧带着照相机，就把他给拍了下来。
“这就是安全 － 电子信息安全防护系统”   －－－ “这就是安全 － 电子信息保密系统”， －－－ “诚招代理商”， 边上留着风语者公司的联系电话。
我总觉得这两幅广告像是一个探路者，网络安全能否成为大众消费品？反病毒有点像，个人防火墙已经被微软消灭了。这两幅广告或许在告诉我们风语者在探索大众认证和加密产品的接受度。我没有和风语者公司打过交道，也不认识朋友在哪里。不知他们现在的生意如何？
之前，不管是安氏、天融信、启明星辰、绿盟，还是华为、联想网御、东软、亿阳等等都还在企业市场中拼杀，瑞星、江民、金山、冠群金辰等在渠道和联邦店里出活。

风语者，你想作什么？

2003年春天爆发的SARS想必大家还记忆尤新，后来听到不少朋友介绍如何应对SARS、进行人员调整保证业务连续性的经验。后面的禽流感在我们中国并没有引起太大的反响，尤其是在IT圈子里。但是下面的文章就提出了面临禽流感威胁时，制定业务连续性计划时的一些最佳实践，...

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

在各种程序和代码中寻找漏洞是个让人感觉很神秘和很技术的事情，但是如果可以使用Google这样的搜索引擎来搜索漏洞，会是什么感觉呢？下面的这篇博客文章和评论很有意思，值得一看。

Google VulnSearch?

Fall behind and someone will always beat you to the punch! Gadi Evron posted an entry over at Securiteam on the topic of using Google’s Codesearch to find vulns. Since he and others are writing about this, I don’t have to! However, i’ll post a few more thoughts before anyone else maybe!

“当前为了对抗网络窃听，大多数网络维护和业务操作都采用加密协议来完成，例如SSH已经广为使用，基本上代替了Telnet的位置；而普遍使用的远程桌面（Windows Remote Desktop， RDP）也采用了加密协议。这些普通的基于网络的审计系统针对SSH/RDP只能望洋兴叹、无能为力。"

不久前在科隆坡召开的Box Security安全大会上，著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势，它们是：

1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现，运营商、商业机构等有业务保护用户隐私，也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价，或者向原厂商索取，或者直接拍卖，Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践，也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看，还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力，这两年内国内外符合性的高度一高再高，其中审计就更加了。但是说是在的，就目前国内的实际水平而言，再强调也不为过。

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

前不久huangmin推荐的文章反思了当前可信计算（TC）领域存在的一些令人不安的方向发展，李博士则介绍了国内可信计算的研究进展和天融信的可信观点。下面是赛迪网关于“可信等级体系解决方案”的报导。第七届安全展上有些大厂没有参加，例如思科、华为、Juniper、Symantec、Trendmicro、McAfee等，但国内厂商基本上全部到位。从会后的报导上看，关于等级保护的话题很是热门，大潘强调了“中观”的重要性：【以三观论的中观为导向，着重解决管理者的两大难题：“不知道发生什么情况，不知道接下来该怎么办”。从而达到信息情况可视化、决策指令明确化的目的】，天融信则推介了可信等级体系解决方案。不敢确认这到底是不是第一次看到“可信”和“等级保护”联系在一起，反正还没有看明白这两者间的结合点。如果只是17款产品的分级部署、建立可信路径等似乎还不够，将SOC平台直接作为可信计算平台也不能让人信服。不管怎样，这的确是个很有创新性和挑战性的工作。

可信是一种安全计算技术，而等级保护则是国家的安全保护要求，可信如何服务“等级保护”？呵呵，欢迎天融信的朋友和各位好友、业界同仁一起来讨论一下啦。

据科技资讯网报导称BlueCoat的超级HTTP代理SG可以帮助大幅减轻补丁下载的带宽需求，帮助用户降低IT运营费用、提高安全防护水平。原来关注Bluecoat是因为它的ProxySG产品具备非常强大的HTTP审计功能，可以做的非常深入。没有想到，这里柳暗花明，人家还可以在补丁管理上面作工作。是不是可以这样理解，BlueCoat SG可以像Cache Engine那样工作，将请求的URL和返回内容缓存起来，在判断有新的相同请求过来时，就将缓存内容馈送给它。应用为王！尤其是在这个Web2.0和3G/NGN年代，后面看看HTTP防火墙、XML防火墙、VOIP防火墙、IM/P2P防火墙等新秀如何施展功夫了

词曰：威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。

今天下午发生了一件大事情！
经brother why主创并授权，在此独家发布一个福泽同侪的控制模型，呵呵。从公司控制、到IT控制、再到安全控制，该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间，充分利用Web2.0年代的P2P IM手段，展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊？

一个体系：12345678 Pyramids Framework
二个方面：技术和管理
三个层次：决策层、管理层、运维层
四个阶段：P D C A
五层控制：控制环境、风险评估、控制活动、信息沟通、监控
六个要素：资产、威胁、脆弱性、保护措施、风险、机会
七个质量（CoBIT）：机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程（CoBIT）：P O /  A I / D S / M E

其中，一讲的是整体和执行力，二强调的是管理、技术并重，三指的是全员参与，四是指螺旋式上升，五是COSO内控框架，六是安全控制要素，七是达到的目标质量，从这层开始 KPI，八是IT控制过程域，KPI/KGI之。

下面是一则新闻报导，讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞，使得恶意软件畅通无阻，安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题：缺省的安全配置是否应该相信设备，允许其通过。缺省是完全的“断”，则用户将会不断的被告警打扰，不胜其烦，最后还是关掉，厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了，问题就在于这个取舍的度上面。

当前的灰色软件和流氓软件的确是越来越多，还真难将他们严格地分为恶意或者正常，但是不管怎样，单单依靠是否具备签名似乎显得简单了些。由此想到，在SOA的架构里，在未来Web Services遍布的时代里，如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。