zhaol's blog

网上交易、电子商务如火如荼，大家都知道其中的安全风险，前些天的CRI报道说英国很多人因为畏惧网络上面的Hackers和病毒，不敢上网。现在MarketWatch报道了两个实际的数字，对大家可能有所参考：
E-Trade报告说在其第三财季中由于网络欺诈引起的损失高达18M$，也就是单季度损失高达1亿5千万人民币。
TD Ameritrade报告说在其第四财季中由于网络欺诈引起的损失高达4M$，也就是大约3千万人民币，详细报道见：

这几天内，Firefox2.0与IE7.0相继发布，浏览器之争相当激烈。两者都不约而同的增强了安全功能，尤其是反钓鱼功能，实现的方式有些不同，但是保护用户免受恶意欺骗成为两者争夺的制高点。下面是Wired News的分析报道，优胜奖给了Firefox 2.0，理由是更快的更新速度、更多的feature...

今天看到荆继武老师的一篇文章，分析了中国本土信息安全企业的创业之旅，给出了很多非常有益的建议。这段时间以来，一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动，这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙，给我们带来了又一轮的“吐故纳新”：

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

前面两个帖子讨论了基于主机桌面的统一威胁管理（UTM），以及当前桌面管理中的大而全趋向，下面的报导中UTM的领头羊Fortinet采用了蛙跳战术，直接杀奔移动终端－Windows Mobile和Symbian操作系统，提供统一威胁管理UTM - 全方位病毒防护、MMS/SMS 防垃圾邮件、个人防火墙、地址簿防护以及IPSec VPN 等......

Web2.0时代的信息安全形式将会更加严峻，病毒、蠕虫、僵尸、木马、间谍软件这五毒，加上电子商务和金钱财务上线后的诱惑带来的攻击和盗窃都会使得网络更加凶险、不安定。Symantec的
CEO约翰汤普森曾提到：“在今后3－5年内，全球IT界将面临非常严峻安全的形势，所有安全厂商将面临着巨大的考验。”， 同时微软信息安全战略专家Steve Riley表示：“在安全领域微软已经是一个非常关键的领导者，今后的安全考验将引导微软在这一领域成长和壮大”， 为此，“时常夜不能寐”。这样将新闻片断重组一下后，这个严峻的、巨大的安全考验，到底在考验谁？

只能说Symantec们无可奈何地接受双重考验，其一那么多互联网用户面临的安全考验给它们带来的商机能不能把握的考验，其二是要面临来自微软的考验，这一点虽然和IBM的“拥抱”可以在声势上取得平衡，但是当局者心理上的凝重是显而易见的。坦白说，前面的那个考验是Symantec们乐于看到的，那是商机，后面的考验则是一种实实在在的痛楚。

现在IAM/AAA/AAAA项目热火朝天，一般规划中，系统和应用常常花开两朵。系统级的IAM/AAA/AAAA相对来说，技术产品都较为成熟，项目风险也容易控制。但是应用级的IAM/AAA/AAAA建设就不一样了。一方面这方面的技术产品在国内的应用时间较短，技术储备也没有前者那么多，建设中、建设完成的项目数量也比较少，另一方面，应用级的IAM/AAA/AAAA往往涉及到应用改造，需要深入应用的架构和流程，所以惊动面比较大，牵掣的部门较多，所以“政治”“人事”就都需要考虑进来，往往不是运维部门的同学们可以自己决定得了的。

下面这部分内容大部分取材自Gartner的一个报告，“The Do's and Don'ts of Identity and Access Management ”，分析了在IAM建设中那些一定要作，那些一定不要作。 其中的一些观点也颇有启发性，我总结了几个放到下面供大家讨论参考。

据科技资讯网报导称BlueCoat的超级HTTP代理SG可以帮助大幅减轻补丁下载的带宽需求，帮助用户降低IT运营费用、提高安全防护水平。原来关注Bluecoat是因为它的ProxySG产品具备非常强大的HTTP审计功能，可以做的非常深入。没有想到，这里柳暗花明，人家还可以在补丁管理上面作工作。是不是可以这样理解，BlueCoat SG可以像Cache Engine那样工作，将请求的URL和返回内容缓存起来，在判断有新的相同请求过来时，就将缓存内容馈送给它。应用为王！尤其是在这个Web2.0和3G/NGN年代，后面看看HTTP防火墙、XML防火墙、VOIP防火墙、IM/P2P防火墙等新秀如何施展功夫了

下面是一则新闻报导，讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞，使得恶意软件畅通无阻，安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题：缺省的安全配置是否应该相信设备，允许其通过。缺省是完全的“断”，则用户将会不断的被告警打扰，不胜其烦，最后还是关掉，厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了，问题就在于这个取舍的度上面。

当前的灰色软件和流氓软件的确是越来越多，还真难将他们严格地分为恶意或者正常，但是不管怎样，单单依靠是否具备签名似乎显得简单了些。由此想到，在SOA的架构里，在未来Web Services遍布的时代里，如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。

大家都在思索，5年不是一个很短的时间，可以发生很多事情。从2000年至今，阳光之下，我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来，写过一些按需安全的文字，但是后来终究也没有让它们露面。但是现在却有了一个冲动，Security 2.0，Let's Go !

#########

如果我们按照安全历史的发展，做下面的定义： 

• 将“安全就是反病毒”定为 安全 Security 0.1，
• 将 “安全就是PDR，where P是防火墙、D是IDS、R是安全应急服务”定为安全 Security 1.0

的话，现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代（这里请允许我借用一下Web2.0），其代表性的特点feature 如下：

• 关注点从简单的防止攻击和入侵，发展到应用和数据安全，以及内部控制
• 安全体系从“老三样”发展到基于IAM（或者AAA，或者AAAA）的综合防御体系，强调安全管理的“内功”
• 安全管理和技术更加强调信息交互、以及相关、挖掘和展现，强调信息的易用性，强调“用户”的感受和使用效果

换句话说，Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性，而2.0则偏重关注自身体系的建设以及安全信息的使用，并且将信息上升为知识和行动指南，反馈到安全体系的优化中去。我认为，在这里2.0并没有替代1.0的意思，而在建立在1.0的基础之上。失去了1.0，2.0就成为空中楼阁、无源之水。

2.0的产生和提出，有其背后的驱动力。我们知道，在10年前，我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找，这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大，管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前，随着互联网攻击的泛滥，当时业界提出了PDR模型，引入到中国则形成了若干个PDR的变种，但总体的思潮是“动态”防御－尽快发现入侵和攻击者。在这个阶段，IDS技术也发展到了协议分析、异常发现等多种引擎的融合，曾被寄予很大的希望来一劳永逸地解决安全攻防问题。

但是，近两年来Zero-Day式攻击的出现和快速增长，极大的增加了管理员对于IDS的怀疑，一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了，IDS厂家不再有时间去提取样本，编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力！ 怎么办？  AAA ！AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平，还大大增加了安全策略的内涵和落地能力。

并且，随着各种单点安全产品（1.0）的成熟和大量部署，安全信息从“无”到“泛滥”，信息不再是信息，反而成了管理员望而生畏的“噪声”。【信噪比】 ！ 最早的SIM/SEM产品就这样诞生了！

数据 － 信息 － 知识 － 行动， 这是我们常用的4进阶的信息处理模型，每个进阶中的信息“质量”都不断获得提升。从这个模型里，我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息，而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量，但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”？资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到，早期的SIM/SEM是就安全事件关联安全事件，而最新的安全模型则开始事件的业务和IT环境。