zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

2003年春天爆发的SARS想必大家还记忆尤新，后来听到不少朋友介绍如何应对SARS、进行人员调整保证业务连续性的经验。后面的禽流感在我们中国并没有引起太大的反响，尤其是在IT圈子里。但是下面的文章就提出了面临禽流感威胁时，制定业务连续性计划时的一些最佳实践，...

不久前在科隆坡召开的Box Security安全大会上，著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势，它们是：

1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现，运营商、商业机构等有业务保护用户隐私，也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价，或者向原厂商索取，或者直接拍卖，Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践，也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看，还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力，这两年内国内外符合性的高度一高再高，其中审计就更加了。但是说是在的，就目前国内的实际水平而言，再强调也不为过。

推荐一篇写的很棒的文章，原文位于ChinaCissp...

六年如逆旅，我亦是行人
一个顾问的六年安全从业经历

前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

前不久，国家信息安全标准化技术委员会发布了一个标准汇总，包括了2006年以来发布的15项国家标准，转贴如下：

今天新浪上面有个关于萨班斯法案的聊天实录，内容很丰富，介绍了一些关于萨班斯的背景知识和当前的操作，值得一读。点击看原文

何巧莎 ： 具体在404条款里面，其实从大的方面来讲，对于惩罚的力度，对于内控，内控原来是在披露的财务报告中，其实原来是不要求的，这个法案要求详细地披露内控的评价标准，有两个层次，一个层次是管理层自己要建立一个很完善的内控的体系，还要在公司治理结构这个层面，要在董事会里面成立审计委员会，自己公司的内部要负责内部控制的评价标准、评价的方法、评价的流程，自己要出来一个内部控制的评价结果，这是一个层次。

　　又要通过外部的审计机构来对它的公司管理层做的内控的方法、内控的标准、内控的流程，对管理层做出内控评价的结果要做一个审计。

　　另外还要求在公司里面要推行信息系统做内控流程的固化。几个方面，一个方面是内部内控力量要强。外部要请外部的咨询师帮它完善内控的方法、标准、流程。增加了外部审计师的工作，当然从另外一个方面来说，外部增加的对404条款衍生出来的咨询的工作、审计的工作，使得外部的咨询公司、中介公司增加了很多业务，当然增加了大量的就业机会，这是一个副产品。

　　如果说对内控的一些重大缺陷披露得不彻底、不完整，导致财务报表失实，惩罚力度非常大。

词曰：威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。

今天下午发生了一件大事情！
经brother why主创并授权，在此独家发布一个福泽同侪的控制模型，呵呵。从公司控制、到IT控制、再到安全控制，该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间，充分利用Web2.0年代的P2P IM手段，展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊？

一个体系：12345678 Pyramids Framework
二个方面：技术和管理
三个层次：决策层、管理层、运维层
四个阶段：P D C A
五层控制：控制环境、风险评估、控制活动、信息沟通、监控
六个要素：资产、威胁、脆弱性、保护措施、风险、机会
七个质量（CoBIT）：机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程（CoBIT）：P O /  A I / D S / M E

其中，一讲的是整体和执行力，二强调的是管理、技术并重，三指的是全员参与，四是指螺旋式上升，五是COSO内控框架，六是安全控制要素，七是达到的目标质量，从这层开始 KPI，八是IT控制过程域，KPI/KGI之。

SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX......

COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO......

CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT......

ITGI写了不少白皮书，由于其Board中有很多BIG Four的人，所以在混沌的、争议中的SOX符合性旅途指引方面就显得分量很重。其中有一篇叫“

Sarbanes-Oxley: The importance of information technology in the design, implementation and sustainability of internal control”，在Page34，有一个立方体，讲的是SOX,COSO和CoBIT的关系，我把它做了个中文版，看看大家是否用的上。

最右边标识的前后维度是SOX维，这里列出了SOX合规性和IT最为相关的404条款和302条款。最左边标识的上下维是PCAOB和SEC官方对萨班斯合规性的内控要求框架 － COSO框架：五个层次，控制环境－风险评估－控制活动－信息和通信－监视，每个层次中都包含很多内控方面的要求。注意COSO不是专注于IT的，更多的是财务风险相关的，但是框架是通用的。而当前我们在SOX符合性方面的修补工作则主要集中在控制活动（Control Activities）中。 最上面的左右维讲的是CoBIT的四个控制域： PO - AI - DS - ME，这里已经采用了CoBIT4.0的提法。

[separator]

我又检查了一下ITGI的站点，发现刚刚发布了一个第二版，这副图消失了，取而代之的是一幅成熟度图。这副成熟度图与以前大家看到的CoBIT为代表的IT治理成熟度图很像，与CMM成熟度分级也很像，呵呵。

它分为从0－5六个等级，它们分别是：

还没有仔细看新版本的其它内容变化。大家有什么收获可要记住分享啊。 其实在ITGI，还可以找到更多的讨论这几种最佳实践、标准之间的映射关系的白皮书和文章。这里体现出西方文化的互融性，相对来说“山头主义”的倾向小的多了。