zhaol's blog

原来也混在eTom爱好者的队伍里装模作样的学习eTOM，后来老想着怎么样借用一下人家eTOM的最佳实践方法，于是就有了下面这幅安全运营图Security Operations Mapping - SOM：

终端和桌面是今年的一个重头戏，各路厂商搞了个大比武，Big Four（IBM,HP,CA,BMC）都有自己的完整方案，微软更是“我的地盘我作主”，SUS/SMS+MOM什么的都往里整，LanDesk, BigFix, PatchLink, Symantec（Sygate）也已经在市场上多次遇到了，国内的华为、联创也在大力推进自己的终端（桌面）安全解决方案。下面的两则新闻报导了安氏的TG（Terminal Guard，现在叫IntraSec了）和 BP（BorderProtector，现在也随行入市叫UTM了)联动组成内外兼修方案的故事。有两点给我留下了深刻印象，其一是这个IDEAL的解释，Inner Defend External Arrest Link，是在是看不懂，不知道这个缩写是什么意思，颇是琢磨了半天，那么好一个IDEAL为什么不能搞个更容易理解、更贴切的市场用语呢？其二是第二篇报导中的问答，“安氏领信虽然将两款产品组成整体解决方案，但UTM和IntraSec都可独立应用。”，这个“虽然”用的不好，传递给读者的是像是退后了一步讲话的感觉，对这个“整体解决方案”失去了不少信心。

看到这里，其实我在想另外一个问题：UTM本不应该仅仅被IDC/Fortinet锁定在网关级产品上，其实还可以拓展到主机和桌面上，形成Network based UTM, 和Host based UTM两大类产品。而后一类的产品例如当前CA收购的那个Tiny，还有Microsoft正在推出的那个综合安全套件，以及Symantec的什么360，等等。或许明年IDC真的就这样发表一个新的产品分类，或者Gartner搞这样一个业界分析，也未可知。

今天上午一个业界的大新闻，存储大厂EMC以21亿美元的价格购并传统安全厂商RSA，以实现EMC五个10亿美元业务的宏伟目标（VMware, Content Management, Resource Management, Storage Virtualization, and Security），而声誉甚隆的业界传奇 RSA 成为其 安全业务的 桥头堡。相信这起购并后也为北京的安全人才提供了一个新的目的地。 :)  另外，这起购并与前些时候 Symantec购并 Veritas 相应成趣，两大存储厂商一个被安全公司买，一个买了安全公司，效果和目标都是One-Stop。前事不远啊：Novell收购eSecurity，Oracle收购Oblix和Thor，CA收购Netegrity，HP收购SelecAccess.......。还会有很多重量级的安全业界收购出现在大家的视野里。

关于此次EMC收购RSA的外电报导查看News.com的新闻报导。下面是IDC评论的一段摘抄：

防火墙“硬”了，IDS也“硬”了，反病毒网关"硬了”，Anti-DoS“硬”了，流量分析“硬了”，UTM从一生出来就是“硬”的，现在身份帐号IAM产品也有“硬”起来的风声，例如RSA的、还有那个A10的，难道说在网络安全市场中“硬件”要“通吃了吗？ appliance will be all? 看看下边这则新闻，Symantec显然有了不同的想法，并且还大庭广众地说了出来，要全心全意的作“软件”厂商了，逐步降低“硬”化投入。当然，CA更是如此了，“硬化”一点都没有考虑的意思。我们也一直对Checkpoint没有“硬化”感到困惑。看来咱们中国国情与西方的市场和技术需求还是有所差别，不管怎样，“硬件”未必就能通吃未来的安全市场，软硬都有理！

UTM由防火墙、反病毒、IDS、VPN、反垃圾邮件等很多功能组合而成，其实这其中每一项技术都不是好研发的，尤其要命的是AV和IDS这两个要素还必须面临着天天升级的压力，否则它就成为一个死设备。然而研究开发、升级维护这么多技术又谈何容易。所以，为了快速推向市场、推向自己掌握的客户，OEM几乎成了UTM市场的一道风景，下面这副图来自IDC的报告了，我把它给“贩”了过来，以方便大家浏览。如果IDC或者版权所有的朋友，有意见请随时联系。:)
这里看到这些UTM的大厂们很多也选择了OEM这条道路，而病毒引擎又出奇的集中，不外乎那三家老大 Symantec, McAfee, Trendmicro，再加上几个传统的背后AV OEM大家 Sophos, Kaspersky，其实还有F-Secure等。那么国内这么公司也都推出了UTM产品，又都是选择了什么样的技术路线呢？ 这可能是个敏感话题了，不知道能有什么样的信息“流通”一下。

按照IDC的描述，UTM的一个不可或缺的feature就是反病毒，这样自然而然有一个很有意思的预测就是：接下来反病毒引擎的OEM业务、反病毒库的升级年费将成为一个不可忽视的大市场。源源不断卖出的一个一个UTM的盒子里将会带着送给病毒厂商的一张张的支票，呵呵

今日早上外电消息，Novell CEO/CFO被逐，撤换的原因是财务业绩不良，主要是Linux和Open Source战略执行不理想。这个消息让人不仅为Novell刚刚收购的eSecurity的命运担心，收购对小公司及其产品的伤害比率是要大于成功比例的。

前不久huangmin推荐的文章反思了当前可信计算（TC）领域存在的一些令人不安的方向发展，李博士则介绍了国内可信计算的研究进展和天融信的可信观点。下面是赛迪网关于“可信等级体系解决方案”的报导。第七届安全展上有些大厂没有参加，例如思科、华为、Juniper、Symantec、Trendmicro、McAfee等，但国内厂商基本上全部到位。从会后的报导上看，关于等级保护的话题很是热门，大潘强调了“中观”的重要性：【以三观论的中观为导向，着重解决管理者的两大难题：“不知道发生什么情况，不知道接下来该怎么办”。从而达到信息情况可视化、决策指令明确化的目的】，天融信则推介了可信等级体系解决方案。不敢确认这到底是不是第一次看到“可信”和“等级保护”联系在一起，反正还没有看明白这两者间的结合点。如果只是17款产品的分级部署、建立可信路径等似乎还不够，将SOC平台直接作为可信计算平台也不能让人信服。不管怎样，这的确是个很有创新性和挑战性的工作。

可信是一种安全计算技术，而等级保护则是国家的安全保护要求，可信如何服务“等级保护”？呵呵，欢迎天融信的朋友和各位好友、业界同仁一起来讨论一下啦。

据科技资讯网报导称BlueCoat的超级HTTP代理SG可以帮助大幅减轻补丁下载的带宽需求，帮助用户降低IT运营费用、提高安全防护水平。原来关注Bluecoat是因为它的ProxySG产品具备非常强大的HTTP审计功能，可以做的非常深入。没有想到，这里柳暗花明，人家还可以在补丁管理上面作工作。是不是可以这样理解，BlueCoat SG可以像Cache Engine那样工作，将请求的URL和返回内容缓存起来，在判断有新的相同请求过来时，就将缓存内容馈送给它。应用为王！尤其是在这个Web2.0和3G/NGN年代，后面看看HTTP防火墙、XML防火墙、VOIP防火墙、IM/P2P防火墙等新秀如何施展功夫了

词曰：威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。

今天下午发生了一件大事情！
经brother why主创并授权，在此独家发布一个福泽同侪的控制模型，呵呵。从公司控制、到IT控制、再到安全控制，该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间，充分利用Web2.0年代的P2P IM手段，展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊？

一个体系：12345678 Pyramids Framework
二个方面：技术和管理
三个层次：决策层、管理层、运维层
四个阶段：P D C A
五层控制：控制环境、风险评估、控制活动、信息沟通、监控
六个要素：资产、威胁、脆弱性、保护措施、风险、机会
七个质量（CoBIT）：机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程（CoBIT）：P O /  A I / D S / M E

其中，一讲的是整体和执行力，二强调的是管理、技术并重，三指的是全员参与，四是指螺旋式上升，五是COSO内控框架，六是安全控制要素，七是达到的目标质量，从这层开始 KPI，八是IT控制过程域，KPI/KGI之。

从手机新浪WAP上看到下面的这篇来自《网络世界》评测实验室的文章，深为其内容打动。作者从根本上分析了未来基于IP的电信网的“不安全”本质，给出了一个悲观已级的结论。其中用到了一个最为重要的推理就是终端与电信网设备之间计算能力的差异变化 － 未来IP电信网的终端计算能力相对于电信网设备来说过于强大，所以不可能安全。说实在的，我的心里很复杂，就感觉是因为发现了热墒原理导致的“热寂说”那样的。当然了，传统的电信运营商这个行业肯定也有其生命周期，从Bell先生发明电话开始，在话音成为免费服务的时代结束（以敢放猛话闻名的阚凯利先生曾预测传统电信运营商从下一代互联网出现要退出历史舞台了，当然了阚先生考虑的出发点主要是生产力和经济规律，:)），难道说网络安全也成为了传统电信运营商的阿喀巯斯之踵吗？

现在能够看到的未来电信网最直接的就是FMC/IMS了，即移动固网融合、全部转移到IP核心网，以及各种业务的IP接入网。这样各种IP网络上面曾经出现的网络安全威胁将会全部出现在整个电信网的各个要素上面。下图是3G的安全框架，TE终端可能发起各种攻击，因为用户应用程序不可控，因为这个TE太强大了，因为运营商提供的服务太复杂了。从感情上我非常不愿意接受这个推理。

让我们按照现实生活的环境进行一个类比：很多公司和机构在提供服务，很多消费者在购买服务。其实，只要稍微多一些消费者群起购买、套现、破坏，绝大多数的服务都会被迫中断。可是，为什么社会和服务还能正常地运转下去呢？因为有法律，因为有超出所有消费者力量的超力量 － 国家和法权的存在，它们维持了秩序，维持了服务，并不是服务本身是坚不可摧的。

这样来看未来的电信网，或许网络的透明化、网络摄像技术、网络溯源的追踪技术、网络审计技术等的应用，以及互联网、电信网法律法规的强化将会是电信网可能得以相对安全运转的基础。TC的追随者肯定还要加上TC，TC是未来安全的根本。不过可信的概念似乎没有统一，比较一下Ross Anderson(都要感谢huangmin的推荐哦)的可信，与李博士falcon的可信....