zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

平时在路边经常能够看到下面这两幅广告，很少见的和网络安全有关的路边、大众媒体广告。今天周末碰巧带着照相机，就把他给拍了下来。
“这就是安全 － 电子信息安全防护系统”   －－－ “这就是安全 － 电子信息保密系统”， －－－ “诚招代理商”， 边上留着风语者公司的联系电话。
我总觉得这两幅广告像是一个探路者，网络安全能否成为大众消费品？反病毒有点像，个人防火墙已经被微软消灭了。这两幅广告或许在告诉我们风语者在探索大众认证和加密产品的接受度。我没有和风语者公司打过交道，也不认识朋友在哪里。不知他们现在的生意如何？
之前，不管是安氏、天融信、启明星辰、绿盟，还是华为、联想网御、东软、亿阳等等都还在企业市场中拼杀，瑞星、江民、金山、冠群金辰等在渠道和联邦店里出活。

风语者，你想作什么？

原文

ComputerWorld的Mary K. Pratt发表了其关于2007年安全技术走向的分析，列举了其看好的五大安全技术。它们是：

1. Identity management systems.
2. Smart cards used to provide secure access to networks.
3. Content and e-mail filtering software.
4. Transparent encryption.
5. Voice-over-IP technology.

看完Mary的分析后，我倒是觉得XML的安全技术实在是比上述五种安全技术的更为基本的技术。XML的分析与控制、基于SAML的认证鉴别、VoiceXML的安全控制等与上述五大安全技术息息相关。

前些时候在制定企业桌面计算机安全标准时，讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处，其中主要是信息安全，甚至还有听说有人偷到这样的笔记本电脑后，无法打开，去专修店维修而不抓住，从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合，带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。

看下面的新闻评论，Seagate推出了硬盘级的加密技术DriveTrust，广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker，可以集成在WMI和AD的环境中，集中管理，但是没有对全部数据提供加密保护。两者真是各有千秋，不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样，在计算机中保存的信息越来越隐私、越来越值钱时，相应的安全保护技术也就有了大市场。

Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer， November 9, 2006

不久前在科隆坡召开的Box Security安全大会上，著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势，它们是：

1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现，运营商、商业机构等有业务保护用户隐私，也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价，或者向原厂商索取，或者直接拍卖，Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践，也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看，还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力，这两年内国内外符合性的高度一高再高，其中审计就更加了。但是说是在的，就目前国内的实际水平而言，再强调也不为过。

看到大潘的帖子，忽然发现到今天我来i170也正好一年了，借此宝地认识了很多新朋友，感谢Wolf和i170团队的辛苦工作，也感谢这么多关注这个博客的新朋旧友。现在新的工作上，忙的天旋地转，更新就一日慢过一日，感到很内疚。

晚饭吃的虾皮馄饨，儿子突然冒出一句“虾皮蒙住了馄饨的眼睛”，我联想到儿子昨天画的让我大吃一惊的“猴子捞月亮”，就补上一句成了下面的两句。不知这算不算是我当前的心情，还是什么其它的东西，反正是很朦胧：

这里有篇文章将孙子兵法和汉尼拔等古人和我们的网络安全联系在一起，攻击者有何时何地发起攻击的选择权优势，而防守者有具备地利人和的优势，看看这篇短文吧...

Security lessons from Sun Tzu and Hannibal
Oct 10, 2006, By Mark Willoughby, Computerworld (US)

History books are full of lessons relevant to today's data security battles. Hackers understand history's lessons and reduce their risk by carefully studying a potential target before designing attacks with a high probability of overcoming defenses. This sort of risk assessment is one criterion that Sun Tzu, author of The Art of War, used more than 2,500 years ago to evaluate the chances of success in a looming conflict.

Although we're not losing the war against hackers, one problem we face is that an elusive and unknown enemy picks the time and place of the engagement, which gives him an extremely powerful advantage.

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

以下是转贴自新浪网报导，转贴并不代表本人赞同或者同意其观点，目的是使大家有更多的角度了解CA。新人才、新产品和新的工作方式给CA公司带来了新的活力，但是它仍然存在很多痼疾。

现在IAM/AAA/AAAA项目热火朝天，一般规划中，系统和应用常常花开两朵。系统级的IAM/AAA/AAAA相对来说，技术产品都较为成熟，项目风险也容易控制。但是应用级的IAM/AAA/AAAA建设就不一样了。一方面这方面的技术产品在国内的应用时间较短，技术储备也没有前者那么多，建设中、建设完成的项目数量也比较少，另一方面，应用级的IAM/AAA/AAAA往往涉及到应用改造，需要深入应用的架构和流程，所以惊动面比较大，牵掣的部门较多，所以“政治”“人事”就都需要考虑进来，往往不是运维部门的同学们可以自己决定得了的。

下面这部分内容大部分取材自Gartner的一个报告，“The Do's and Don'ts of Identity and Access Management ”，分析了在IAM建设中那些一定要作，那些一定不要作。 其中的一些观点也颇有启发性，我总结了几个放到下面供大家讨论参考。

今天上午一个业界的大新闻，存储大厂EMC以21亿美元的价格购并传统安全厂商RSA，以实现EMC五个10亿美元业务的宏伟目标（VMware, Content Management, Resource Management, Storage Virtualization, and Security），而声誉甚隆的业界传奇 RSA 成为其 安全业务的 桥头堡。相信这起购并后也为北京的安全人才提供了一个新的目的地。 :)  另外，这起购并与前些时候 Symantec购并 Veritas 相应成趣，两大存储厂商一个被安全公司买，一个买了安全公司，效果和目标都是One-Stop。前事不远啊：Novell收购eSecurity，Oracle收购Oblix和Thor，CA收购Netegrity，HP收购SelecAccess.......。还会有很多重量级的安全业界收购出现在大家的视野里。

关于此次EMC收购RSA的外电报导查看News.com的新闻报导。下面是IDC评论的一段摘抄：

据科技资讯网报导称BlueCoat的超级HTTP代理SG可以帮助大幅减轻补丁下载的带宽需求，帮助用户降低IT运营费用、提高安全防护水平。原来关注Bluecoat是因为它的ProxySG产品具备非常强大的HTTP审计功能，可以做的非常深入。没有想到，这里柳暗花明，人家还可以在补丁管理上面作工作。是不是可以这样理解，BlueCoat SG可以像Cache Engine那样工作，将请求的URL和返回内容缓存起来，在判断有新的相同请求过来时，就将缓存内容馈送给它。应用为王！尤其是在这个Web2.0和3G/NGN年代，后面看看HTTP防火墙、XML防火墙、VOIP防火墙、IM/P2P防火墙等新秀如何施展功夫了

下面是一则新闻报导，讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞，使得恶意软件畅通无阻，安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题：缺省的安全配置是否应该相信设备，允许其通过。缺省是完全的“断”，则用户将会不断的被告警打扰，不胜其烦，最后还是关掉，厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了，问题就在于这个取舍的度上面。

当前的灰色软件和流氓软件的确是越来越多，还真难将他们严格地分为恶意或者正常，但是不管怎样，单单依靠是否具备签名似乎显得简单了些。由此想到，在SOA的架构里，在未来Web Services遍布的时代里，如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。

中移动一员工长期从事萨班斯法案遵循工作,受内控思想熏陶,要求其妻每月换一次家里电子防盗密码锁,每周更改一次密码,买任何东西均须留有书面记录并让卖方签字确认...。其妻实在无法忍受,带其去医院就诊,医生问明原由后,确诊为"遵循性精神失控症"并对其妻密语治疗方案,其妻用疑惑的眼光盯医生。医生说:我夫人也在移动公司工作,上周出现疑似"遵循性精神失控症",已被我用此方法将她脑袋出现的缺陷及时进行了修补.....

遵循性精神失控症，呵呵。带有多么明显的时代烙印的术语。;)  这里密语的”治疗方案“到底是什么呢？我想啊想，还是没想出来......

这些日子，很多上市公司都在忙SOX（君不见UT已经乱在财务报告上了，从亚洲明星直接沦落到了这个样子），很多咨询公司都在忙SOX，于是很多顾问也都热心讨论SOX。可是，从SOX要求的IT内控体系上来看，从内容透明、可操作性、客观性等方面来看，都似乎还不够成熟。虽然说是ITGI坚持说CoBIT就是SOX需要的控制框架，可是与COSO毕竟中间还是隔了一层。Big4现在的角色既是裁判员，又是运动员，直接在热心的本土咨询商的额头上就贴上个”非权威“的标签。这就有失公平了，偶尔看VoIPsa的邮件列表，看到Gary Audin写了一篇文章，讨论VoIP的安全性与SOX的关系，并且开篇明义地怀疑了SOX对IT内控的当前操作，含蓄地预言SOX的IT内控将来可能会被重新定义。我把这篇评论贴在下面，在最后还有我当初的一个很短的评论，欢迎大家的讨论。