电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:364332词曰:威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。
今天下午发生了一件大事情!
经brother why主创并授权,在此独家发布一个福泽同侪的控制模型,呵呵。从公司控制、到IT控制、再到安全控制,该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间,充分利用Web2.0年代的P2P IM手段,展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊?
一个体系:12345678 Pyramids Framework
二个方面:技术和管理
三个层次:决策层、管理层、运维层
四个阶段:P D C A
五层控制:控制环境、风险评估、控制活动、信息沟通、监控
六个要素:资产、威胁、脆弱性、保护措施、风险、机会
七个质量(CoBIT):机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程(CoBIT):P O / A I / D S / M E
其中,一讲的是整体和执行力,二强调的是管理、技术并重,三指的是全员参与,四是指螺旋式上升,五是COSO内控框架,六是安全控制要素,七是达到的目标质量,从这层开始 KPI,八是IT控制过程域,KPI/KGI之。
SOX,SOX,SOX,SOX,SOX,SOX,SOX,SOX,SOX,SOX,SOX,SOX,SOX......
COSO,COSO,COSO,COSO,COSO,COSO,COSO,COSO,COSO,COSO,COSO......
CoBIT,CoBIT,CoBIT,CoBIT,CoBIT,CoBIT,CoBIT,CoBIT,CoBIT,CoBIT,CoBIT,CoBIT......
ITGI写了不少白皮书,由于其Board中有很多BIG Four的人,所以在混沌的、争议中的SOX符合性旅途指引方面就显得分量很重。其中有一篇叫“
Sarbanes-Oxley: The importance of information technology in the design, implementation and sustainability of internal control”,在Page34,有一个立方体,讲的是SOX,COSO和CoBIT的关系,我把它做了个中文版,看看大家是否用的上。
最右边标识的前后维度是SOX维,这里列出了SOX合规性和IT最为相关的404条款和302条款。最左边标识的上下维是PCAOB和SEC官方对萨班斯合规性的内控要求框架 - COSO框架:五个层次,控制环境-风险评估-控制活动-信息和通信-监视,每个层次中都包含很多内控方面的要求。注意COSO不是专注于IT的,更多的是财务风险相关的,但是框架是通用的。而当前我们在SOX符合性方面的修补工作则主要集中在控制活动(Control Activities)中。 最上面的左右维讲的是CoBIT的四个控制域: PO - AI - DS - ME,这里已经采用了CoBIT4.0的提法。
[separator]
我又检查了一下ITGI的站点,发现刚刚发布了一个第二版,这副图消失了,取而代之的是一幅成熟度图。这副成熟度图与以前大家看到的CoBIT为代表的IT治理成熟度图很像,与CMM成熟度分级也很像,呵呵。
它分为从0-5六个等级,它们分别是:
还没有仔细看新版本的其它内容变化。大家有什么收获可要记住分享啊。 其实在ITGI,还可以找到更多的讨论这几种最佳实践、标准之间的映射关系的白皮书和文章。这里体现出西方文化的互融性,相对来说“山头主义”的倾向小的多了。
从手机新浪WAP上看到下面的这篇来自《网络世界》评测实验室的文章,深为其内容打动。作者从根本上分析了未来基于IP的电信网的“不安全”本质,给出了一个悲观已级的结论。其中用到了一个最为重要的推理就是终端与电信网设备之间计算能力的差异变化 - 未来IP电信网的终端计算能力相对于电信网设备来说过于强大,所以不可能安全。说实在的,我的心里很复杂,就感觉是因为发现了热墒原理导致的“热寂说”那样的。当然了,传统的电信运营商这个行业肯定也有其生命周期,从Bell先生发明电话开始,在话音成为免费服务的时代结束(以敢放猛话闻名的阚凯利先生曾预测传统电信运营商从下一代互联网出现要退出历史舞台了,当然了阚先生考虑的出发点主要是生产力和经济规律,:)),难道说网络安全也成为了传统电信运营商的阿喀巯斯之踵吗?
现在能够看到的未来电信网最直接的就是FMC/IMS了,即移动固网融合、全部转移到IP核心网,以及各种业务的IP接入网。这样各种IP网络上面曾经出现的网络安全威胁将会全部出现在整个电信网的各个要素上面。下图是3G的安全框架,TE终端可能发起各种攻击,因为用户应用程序不可控,因为这个TE太强大了,因为运营商提供的服务太复杂了。从感情上我非常不愿意接受这个推理。
让我们按照现实生活的环境进行一个类比:很多公司和机构在提供服务,很多消费者在购买服务。其实,只要稍微多一些消费者群起购买、套现、破坏,绝大多数的服务都会被迫中断。可是,为什么社会和服务还能正常地运转下去呢?因为有法律,因为有超出所有消费者力量的超力量 - 国家和法权的存在,它们维持了秩序,维持了服务,并不是服务本身是坚不可摧的。
这样来看未来的电信网,或许网络的透明化、网络摄像技术、网络溯源的追踪技术、网络审计技术等的应用,以及互联网、电信网法律法规的强化将会是电信网可能得以相对安全运转的基础。TC的追随者肯定还要加上TC,TC是未来安全的根本。不过可信的概念似乎没有统一,比较一下Ross Anderson(都要感谢huangmin的推荐哦)的可信,与李博士falcon的可信....
当前网络安全的话题在电影文学届也热了起来,下面转贴的这篇精彩文章讲的是专门以咱们的专业设备防火墙来命名的电影,精彩不容错过。另外,大家还记得在《达芬奇密码》中那个警察局长是如何察觉兰登和美女的covert channel - 拨那个不小心留在自己手机里的美国大使馆电话号码....
infosecurityproductsguide做了一个林林总总的安全产品调查推荐清单,产品分了“相当”多的类,一下子发出了很多奖,简直比赛迪的奖还多,其中有不少新产品和新公司能够让大家在选购、开发上多些思路,也方便找到下一步的合作伙伴、OEM的对象,点击浏览
下面是一则新闻报导,讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞,使得恶意软件畅通无阻,安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题:缺省的安全配置是否应该相信设备,允许其通过。缺省是完全的“断”,则用户将会不断的被告警打扰,不胜其烦,最后还是关掉,厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了,问题就在于这个取舍的度上面。
当前的灰色软件和流氓软件的确是越来越多,还真难将他们严格地分为恶意或者正常,但是不管怎样,单单依靠是否具备签名似乎显得简单了些。由此想到,在SOA的架构里,在未来Web Services遍布的时代里,如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。
偶然间读到任总在2005年4月份写的一篇安全市场分析文章,下面将我的个人观点与大家讨论一下。中国的安全市场实际上一直没有出现任总讲的“爆发阶段”的迹象,实际上2005年国内不少安全公司的业绩还相当不如人意,几家主要的国内安全公司内部还出现了一定程度上的动荡(例如联想网御事件、安氏分拆与亿阳购并事件等),这不能不说是受市场不振的影响。现在冷静地观察,这样的爆发阶段短时期内也不会出现。作一个反向分析,有可能引发安全市场急速发展的潜在因素可能有:
中移动一员工长期从事萨班斯法案遵循工作,受内控思想熏陶,要求其妻每月换一次家里电子防盗密码锁,每周更改一次密码,买任何东西均须留有书面记录并让卖方签字确认...。其妻实在无法忍受,带其去医院就诊,医生问明原由后,确诊为"遵循性精神失控症"并对其妻密语治疗方案,其妻用疑惑的眼光盯医生。医生说:我夫人也在移动公司工作,上周出现疑似"遵循性精神失控症",已被我用此方法将她脑袋出现的缺陷及时进行了修补.....
遵循性精神失控症,呵呵。带有多么明显的时代烙印的术语。;) 这里密语的”治疗方案“到底是什么呢?我想啊想,还是没想出来......
那是在2000年的时候,就有业界的高人说三大杀毒厂商之一的老板已经赴西雅图谈判反病毒软件的合作事宜了。后来,多少次欲唱还休,多少次欲擒故纵,从OEM小厂开始,从anti-spyware开始,从xp sp2的内置firewall开始,现在他就要来了,来着不善。似乎是在与不久前刚刚发生的“Symantec状告微软知识产权,要求推迟Vista发布”的Veritas门事件有意呼应,微软在其Live家族产品中端出一个桌面套件,selling software as a service. 不知大家是不是有点出乎意料,为什么是49.95美元呀?还以为是49美分呢,呵呵。毕竟这次没有免费。请看下面的新闻......
这些日子,很多上市公司都在忙SOX(君不见UT已经乱在财务报告上了,从亚洲明星直接沦落到了这个样子),很多咨询公司都在忙SOX,于是很多顾问也都热心讨论SOX。可是,从SOX要求的IT内控体系上来看,从内容透明、可操作性、客观性等方面来看,都似乎还不够成熟。虽然说是ITGI坚持说CoBIT就是SOX需要的控制框架,可是与COSO毕竟中间还是隔了一层。Big4现在的角色既是裁判员,又是运动员,直接在热心的本土咨询商的额头上就贴上个”非权威“的标签。这就有失公平了,偶尔看VoIPsa的邮件列表,看到Gary Audin写了一篇文章,讨论VoIP的安全性与SOX的关系,并且开篇明义地怀疑了SOX对IT内控的当前操作,含蓄地预言SOX的IT内控将来可能会被重新定义。我把这篇评论贴在下面,在最后还有我当初的一个很短的评论,欢迎大家的讨论。
下面转载一家国内媒体(中国计算机安全网)的新闻,报导了当前Symantec用户大会的一些感想。很多大公司在大量收购后,通常“封装”和“打包”是整合的第一步,也无可非议,就看后面的跟进了。被购并公司的人员流失情况是个很关键的因素。
酒干了瓶卖我:Veritas系列软件经历重组
先看一段国内的新闻:
美国A10网络公司带着业界第一个基于身份认证的网络安全管理器--IDSentrie?1800亮相中国市场,向中国用户全面介绍自己在网络安全领域的最新解决方案。这标志着美国A10公司正式进军中国网络安全领域。同时,A10网络公司创立者兼首席执行官Lee Chen表示,为用户提供一个基于身份认证的网络安全解决方案在当今网络安全市场尤显重要。
传统的身份识别和访问管理(IAM)在使用上非常复杂,在价格上也是相当昂贵,每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法,不但难管理、难配置、难输入、难同步、易出错,而且会造成“政出多门、相互矛盾”。 而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构,传统认证系统早已无法胜任如此复杂的系统。IDSentrie? 1800采用了统一管理的方法,通过集成四个基于身份的管理组件,创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台,从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。四大功能组件包括:业界处理速度最快的,基于标准的RADIUS认证服务器;业界首家协同管理用户和网络安全设备的统一身份管理引擎(UIM);业界首创的基于身份的网络行为监察及纪录(FLA)以及基于身份对用户网络行为进行实时监控的高级报表组件(AD),这些都运行在IDSentrie? 1800固化的操作系统之上,用定制的硬件为所有分布在企业网络中的身份信息提供安全管理。它使IAM简单化,是一种新型的实用性强而且价格相对较低的认证管理产品。
美国A10网络公司旨在创建一个即简单实用又具尖端科技的平台以迎合各种来自网络实体管理的内在挑战,同时为全球客户提供本地化的网络安全系统建设和运营管理的专业服务,帮助各行业客户提高效率、降低风险,降低网络运作成本。
或许A在网络信息安全这个领域中有点神秘色彩,也有些特殊地位。Authentication, Authorization,
Account, Accounting, Audit, Availability, Accountability,
Administration, 很多A,每个A都在A的名义下定义了不同的功能。
最早Cisco路由器配置中的AAA Newmodel,其中的AAA是指:Authentication, Authorization,
and Accounting.
功能很明确,先作用户认证,然后授权他可以在设备上面进行什么样的操作,最后,进行记帐。对,这里的Accounting,就是记帐,不是帐号。它帮助运营单位对网络流量和操作进行记帐。
IDC中AAA的分类,定义了AAA,这里的AAA与Cisco网络设备配置中的AAA有所不同,区别点在于第三个A,IDC的AAA的第三个A是指
Administration,
其实含义基本上是除了Authentication认证,Authorization授权,以及Anti-virus反病毒、Firewall防火墙、
IDS入侵检测系统(在2000年以前,似乎IDS和扫描器都在这第三个A中,后来IDS单独分类统计)。现在IDC重新定义了AAA,将其分成了两个区域,第一是IAM(Identity
and Access Management),第二是SVM(Security Vulnerability
Management)。参考下面的示意图,IAM中增加一个新内容,就是目录管理,SVM中也增加一点新内容,就是漏洞管理。漏洞扫描产品(scanners)本来也是属于IDC
AAA中最后一个安全管理的内容,后来与IDS成为一个分支
ID&A,现在漏洞管理的名义下重新回到SVM下面。当然了,今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。
而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型,它的全称应该是: Account,
Authentication, Authorization, Audit,也反映了中国安全业界对于安全管理的思索和创新。
下面的这份白皮书就是在我培训完管理按需计算(MODC),为了推广管理按需计算的概念而写的一份白皮书,题目是“业务相关性与按需计算管理成熟度”, 写于2003-10-31, 其中将一般性的IT管理按照管理按需计算的模型分为四个管理成熟度,每个成熟度到上面成熟度的进阶都需要相关的建设和优化、改善。
希望它可以当成一份背景资料,帮助大家理解按需安全(On-Demand Security)的概念,以及后来的Security 2.0。点击下载。
在Go Security 2.0中提到的按需安全(On Demand Security)这个概念来自2003年On-Demand
Computing概念的热潮,我自己在八月份有幸参加了在美国总部的Manage On-Demand
Computing的培训。大家知道,在那个时候,几个业界的老大都提出了自己的On-Demand概念,IBM就直接叫On-Demand,HP呢,叫Real
Time Enterprise,Sun,
Microsoft等都有自己的类似的概念,但是名称上都有些差异。但是当时按需计算的主要精神是一致的,按照IBM的观点,按需包括三大要素:集成化、自动化、虚拟化。CA的管理按需计算环境(MODC)则包含三个含义:
1 Deliver IT as a service, including mapping IT to business, runing
IT as a service, and hide details.
2 Service oriented architecture,
3 Self managing infrastructure
当时,我一直想如何在按需大潮里搞安全,如何互动的问题。后来我作了下面的这个slide,在几个场合用过:
在写完上篇Go Security2.0的短文后,这几天还在思考Security
2.0的话题。下面是2005在CSOOnline上的关于Security2.0一篇报导,似乎这是第一篇值得注意的讨论使用Security2.0这个词的报导。仔细看完了这篇文章,其中较为详细地介绍了一个大型国际能源公司如果进行物理安全、IT安全的融合、如何将关注点从安全保护转换为风险控制的案例分析。相信这样的变革在一个大型、传统行业的组织里是如何的艰辛。大家有兴趣、也有时间的话,建议也看看。
应该说,文中使用的Security2.0不同于我所提的Security2.0。Sarah认为Security2.0就是融合(convergence)、就是集成(integration)、就是全面安全(holistic
security),其中物理安全和IT安全的融合、集成,以及相应的组织机构和管理方式的改变被Sarah所称道。欢迎大家评论。
Security 2.0
What does it take to make convergence happen? One secret is to
sneak up on it, the way Constellation Energy did, by seeming to be
doing something else entirely.
By Sarah D. Scalet
Powered by Haiwit