zhaol's blog

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

前面两个帖子讨论了基于主机桌面的统一威胁管理（UTM），以及当前桌面管理中的大而全趋向，下面的报导中UTM的领头羊Fortinet采用了蛙跳战术，直接杀奔移动终端－Windows Mobile和Symbian操作系统，提供统一威胁管理UTM - 全方位病毒防护、MMS/SMS 防垃圾邮件、个人防火墙、地址簿防护以及IPSec VPN 等......

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

这个传说由来已久，只是一直没有落地，中间夹杂了华为吞并港湾事件，被冲淡了一下。现在重提桌面。除了那些企业级路由器和交换机之外，华三的TippingPoint的归属很是惹眼，据说其FPGA+NP+ASIC的架构非常独特，性能和功能表现非常出色。不管是华为还是Juniper都会使TippingPoint发挥更大的威力。

现在在内控的大旗下，桌面安全管理项目车轮隆隆，各路人马狼烟四起、厮杀在一处。前不久陆续接到各路十多个战报，端的是令人目不暇接。曾记否，今年年初写2006安全技术发展趋势时，没有将“桌面安全管理”列入引起争论不少，现在桌面安全管理果然杀气阵阵，难道不是2006的大热点吗？当初我的解释是桌面安全管理不是某个技术和产品，而是很多个/很多类产品的集成。现在观察一下各路的需求说明，心中还是被再次触动了一下。“桌面安全管理，你到底要承受多重”......

今天新浪上面有个关于萨班斯法案的聊天实录，内容很丰富，介绍了一些关于萨班斯的背景知识和当前的操作，值得一读。点击看原文

何巧莎 ： 具体在404条款里面，其实从大的方面来讲，对于惩罚的力度，对于内控，内控原来是在披露的财务报告中，其实原来是不要求的，这个法案要求详细地披露内控的评价标准，有两个层次，一个层次是管理层自己要建立一个很完善的内控的体系，还要在公司治理结构这个层面，要在董事会里面成立审计委员会，自己公司的内部要负责内部控制的评价标准、评价的方法、评价的流程，自己要出来一个内部控制的评价结果，这是一个层次。

　　又要通过外部的审计机构来对它的公司管理层做的内控的方法、内控的标准、内控的流程，对管理层做出内控评价的结果要做一个审计。

　　另外还要求在公司里面要推行信息系统做内控流程的固化。几个方面，一个方面是内部内控力量要强。外部要请外部的咨询师帮它完善内控的方法、标准、流程。增加了外部审计师的工作，当然从另外一个方面来说，外部增加的对404条款衍生出来的咨询的工作、审计的工作，使得外部的咨询公司、中介公司增加了很多业务，当然增加了大量的就业机会，这是一个副产品。

　　如果说对内控的一些重大缺陷披露得不彻底、不完整，导致财务报表失实，惩罚力度非常大。

Web2.0时代的信息安全形式将会更加严峻，病毒、蠕虫、僵尸、木马、间谍软件这五毒，加上电子商务和金钱财务上线后的诱惑带来的攻击和盗窃都会使得网络更加凶险、不安定。Symantec的
CEO约翰汤普森曾提到：“在今后3－5年内，全球IT界将面临非常严峻安全的形势，所有安全厂商将面临着巨大的考验。”， 同时微软信息安全战略专家Steve Riley表示：“在安全领域微软已经是一个非常关键的领导者，今后的安全考验将引导微软在这一领域成长和壮大”， 为此，“时常夜不能寐”。这样将新闻片断重组一下后，这个严峻的、巨大的安全考验，到底在考验谁？

只能说Symantec们无可奈何地接受双重考验，其一那么多互联网用户面临的安全考验给它们带来的商机能不能把握的考验，其二是要面临来自微软的考验，这一点虽然和IBM的“拥抱”可以在声势上取得平衡，但是当局者心理上的凝重是显而易见的。坦白说，前面的那个考验是Symantec们乐于看到的，那是商机，后面的考验则是一种实实在在的痛楚。

现在IAM/AAA/AAAA项目热火朝天，一般规划中，系统和应用常常花开两朵。系统级的IAM/AAA/AAAA相对来说，技术产品都较为成熟，项目风险也容易控制。但是应用级的IAM/AAA/AAAA建设就不一样了。一方面这方面的技术产品在国内的应用时间较短，技术储备也没有前者那么多，建设中、建设完成的项目数量也比较少，另一方面，应用级的IAM/AAA/AAAA往往涉及到应用改造，需要深入应用的架构和流程，所以惊动面比较大，牵掣的部门较多，所以“政治”“人事”就都需要考虑进来，往往不是运维部门的同学们可以自己决定得了的。

下面这部分内容大部分取材自Gartner的一个报告，“The Do's and Don'ts of Identity and Access Management ”，分析了在IAM建设中那些一定要作，那些一定不要作。 其中的一些观点也颇有启发性，我总结了几个放到下面供大家讨论参考。

原来也混在eTom爱好者的队伍里装模作样的学习eTOM，后来老想着怎么样借用一下人家eTOM的最佳实践方法，于是就有了下面这幅安全运营图Security Operations Mapping - SOM：

终端和桌面是今年的一个重头戏，各路厂商搞了个大比武，Big Four（IBM,HP,CA,BMC）都有自己的完整方案，微软更是“我的地盘我作主”，SUS/SMS+MOM什么的都往里整，LanDesk, BigFix, PatchLink, Symantec（Sygate）也已经在市场上多次遇到了，国内的华为、联创也在大力推进自己的终端（桌面）安全解决方案。下面的两则新闻报导了安氏的TG（Terminal Guard，现在叫IntraSec了）和 BP（BorderProtector，现在也随行入市叫UTM了)联动组成内外兼修方案的故事。有两点给我留下了深刻印象，其一是这个IDEAL的解释，Inner Defend External Arrest Link，是在是看不懂，不知道这个缩写是什么意思，颇是琢磨了半天，那么好一个IDEAL为什么不能搞个更容易理解、更贴切的市场用语呢？其二是第二篇报导中的问答，“安氏领信虽然将两款产品组成整体解决方案，但UTM和IntraSec都可独立应用。”，这个“虽然”用的不好，传递给读者的是像是退后了一步讲话的感觉，对这个“整体解决方案”失去了不少信心。

看到这里，其实我在想另外一个问题：UTM本不应该仅仅被IDC/Fortinet锁定在网关级产品上，其实还可以拓展到主机和桌面上，形成Network based UTM, 和Host based UTM两大类产品。而后一类的产品例如当前CA收购的那个Tiny，还有Microsoft正在推出的那个综合安全套件，以及Symantec的什么360，等等。或许明年IDC真的就这样发表一个新的产品分类，或者Gartner搞这样一个业界分析，也未可知。

今天上午一个业界的大新闻，存储大厂EMC以21亿美元的价格购并传统安全厂商RSA，以实现EMC五个10亿美元业务的宏伟目标（VMware, Content Management, Resource Management, Storage Virtualization, and Security），而声誉甚隆的业界传奇 RSA 成为其 安全业务的 桥头堡。相信这起购并后也为北京的安全人才提供了一个新的目的地。 :)  另外，这起购并与前些时候 Symantec购并 Veritas 相应成趣，两大存储厂商一个被安全公司买，一个买了安全公司，效果和目标都是One-Stop。前事不远啊：Novell收购eSecurity，Oracle收购Oblix和Thor，CA收购Netegrity，HP收购SelecAccess.......。还会有很多重量级的安全业界收购出现在大家的视野里。

关于此次EMC收购RSA的外电报导查看News.com的新闻报导。下面是IDC评论的一段摘抄：

防火墙“硬”了，IDS也“硬”了，反病毒网关"硬了”，Anti-DoS“硬”了，流量分析“硬了”，UTM从一生出来就是“硬”的，现在身份帐号IAM产品也有“硬”起来的风声，例如RSA的、还有那个A10的，难道说在网络安全市场中“硬件”要“通吃了吗？ appliance will be all? 看看下边这则新闻，Symantec显然有了不同的想法，并且还大庭广众地说了出来，要全心全意的作“软件”厂商了，逐步降低“硬”化投入。当然，CA更是如此了，“硬化”一点都没有考虑的意思。我们也一直对Checkpoint没有“硬化”感到困惑。看来咱们中国国情与西方的市场和技术需求还是有所差别，不管怎样，“硬件”未必就能通吃未来的安全市场，软硬都有理！

UTM由防火墙、反病毒、IDS、VPN、反垃圾邮件等很多功能组合而成，其实这其中每一项技术都不是好研发的，尤其要命的是AV和IDS这两个要素还必须面临着天天升级的压力，否则它就成为一个死设备。然而研究开发、升级维护这么多技术又谈何容易。所以，为了快速推向市场、推向自己掌握的客户，OEM几乎成了UTM市场的一道风景，下面这副图来自IDC的报告了，我把它给“贩”了过来，以方便大家浏览。如果IDC或者版权所有的朋友，有意见请随时联系。:)
这里看到这些UTM的大厂们很多也选择了OEM这条道路，而病毒引擎又出奇的集中，不外乎那三家老大 Symantec, McAfee, Trendmicro，再加上几个传统的背后AV OEM大家 Sophos, Kaspersky，其实还有F-Secure等。那么国内这么公司也都推出了UTM产品，又都是选择了什么样的技术路线呢？ 这可能是个敏感话题了，不知道能有什么样的信息“流通”一下。

按照IDC的描述，UTM的一个不可或缺的feature就是反病毒，这样自然而然有一个很有意思的预测就是：接下来反病毒引擎的OEM业务、反病毒库的升级年费将成为一个不可忽视的大市场。源源不断卖出的一个一个UTM的盒子里将会带着送给病毒厂商的一张张的支票，呵呵

今日早上外电消息，Novell CEO/CFO被逐，撤换的原因是财务业绩不良，主要是Linux和Open Source战略执行不理想。这个消息让人不仅为Novell刚刚收购的eSecurity的命运担心，收购对小公司及其产品的伤害比率是要大于成功比例的。

前不久huangmin推荐的文章反思了当前可信计算（TC）领域存在的一些令人不安的方向发展，李博士则介绍了国内可信计算的研究进展和天融信的可信观点。下面是赛迪网关于“可信等级体系解决方案”的报导。第七届安全展上有些大厂没有参加，例如思科、华为、Juniper、Symantec、Trendmicro、McAfee等，但国内厂商基本上全部到位。从会后的报导上看，关于等级保护的话题很是热门，大潘强调了“中观”的重要性：【以三观论的中观为导向，着重解决管理者的两大难题：“不知道发生什么情况，不知道接下来该怎么办”。从而达到信息情况可视化、决策指令明确化的目的】，天融信则推介了可信等级体系解决方案。不敢确认这到底是不是第一次看到“可信”和“等级保护”联系在一起，反正还没有看明白这两者间的结合点。如果只是17款产品的分级部署、建立可信路径等似乎还不够，将SOC平台直接作为可信计算平台也不能让人信服。不管怎样，这的确是个很有创新性和挑战性的工作。

可信是一种安全计算技术，而等级保护则是国家的安全保护要求，可信如何服务“等级保护”？呵呵，欢迎天融信的朋友和各位好友、业界同仁一起来讨论一下啦。

据科技资讯网报导称BlueCoat的超级HTTP代理SG可以帮助大幅减轻补丁下载的带宽需求，帮助用户降低IT运营费用、提高安全防护水平。原来关注Bluecoat是因为它的ProxySG产品具备非常强大的HTTP审计功能，可以做的非常深入。没有想到，这里柳暗花明，人家还可以在补丁管理上面作工作。是不是可以这样理解，BlueCoat SG可以像Cache Engine那样工作，将请求的URL和返回内容缓存起来，在判断有新的相同请求过来时，就将缓存内容馈送给它。应用为王！尤其是在这个Web2.0和3G/NGN年代，后面看看HTTP防火墙、XML防火墙、VOIP防火墙、IM/P2P防火墙等新秀如何施展功夫了