电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:344860下面报导转载自电脑商报。一句套话,下面的转载并不代表本人证实其中的内容,也不表示本人赞同其观点...
技术背景不同的各类厂商都希望将自己擅长的东西加入到UTM中,但UTM并非集成度越高越好。据厂商反映,目前,在高端UTM市场上,硬件产品有不可比拟的优势,但在中低端市场上,硬件产品和软件产品之间的较量还处在胶着状态。
渠道商为什么要销售UTM产品?原因有二:一是UTM具有一定的技术优势,包括延迟时间短、不会形成网络带宽瓶颈、管理协调性强等;二是更容易销售。有人认为,UTM(统一威胁管理)就像是一把“瑞士军刀”,功能齐全。从某个角度看,确实是这样。根据IDC的定义就可以得出结论:UTM
=防火墙+VPN(虚拟专用网)+网关防毒+IPS(入侵防护)。
目前,已经或准备在国内推出UTM产品的厂商有近10家,其中有国内厂商,也有国外厂商;有传统安全厂商,也有网络产品厂商。在国外厂商中,最早推出UTM设备的是Fortinet、SonicWall、WatchGuard等公司;国内推出的UTM设备的厂商有深信服、联想网御、华为3Com,另外,启明星辰与港湾两家联合推出的天清汉马防火墙虽然被称为安全网关,但因为集成了防火墙、VPN、网关病毒过滤、Netflow流量统计分析、AAA认证计费等功能,也应该属于UTM的范畴。
大家都在思索,5年不是一个很短的时间,可以发生很多事情。从2000年至今,阳光之下,我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来,写过一些按需安全的文字,但是后来终究也没有让它们露面。但是现在却有了一个冲动,Security 2.0,Let's Go !
#########
如果我们按照安全历史的发展,做下面的定义:
的话,现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代(这里请允许我借用一下Web2.0),其代表性的特点feature 如下:
换句话说,Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性,而2.0则偏重关注自身体系的建设以及安全信息的使用,并且将信息上升为知识和行动指南,反馈到安全体系的优化中去。我认为,在这里2.0并没有替代1.0的意思,而在建立在1.0的基础之上。失去了1.0,2.0就成为空中楼阁、无源之水。
2.0的产生和提出,有其背后的驱动力。我们知道,在10年前,我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找,这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大,管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前,随着互联网攻击的泛滥,当时业界提出了PDR模型,引入到中国则形成了若干个PDR的变种,但总体的思潮是“动态”防御-尽快发现入侵和攻击者。在这个阶段,IDS技术也发展到了协议分析、异常发现等多种引擎的融合,曾被寄予很大的希望来一劳永逸地解决安全攻防问题。
但是,近两年来Zero-Day式攻击的出现和快速增长,极大的增加了管理员对于IDS的怀疑,一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了,IDS厂家不再有时间去提取样本,编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力! 怎么办? AAA !AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平,还大大增加了安全策略的内涵和落地能力。
并且,随着各种单点安全产品(1.0)的成熟和大量部署,安全信息从“无”到“泛滥”,信息不再是信息,反而成了管理员望而生畏的“噪声”。【信噪比】 ! 最早的SIM/SEM产品就这样诞生了!
数据 - 信息 - 知识 - 行动, 这是我们常用的4进阶的信息处理模型,每个进阶中的信息“质量”都不断获得提升。从这个模型里,我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息,而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量,但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”?资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到,早期的SIM/SEM是就安全事件关联安全事件,而最新的安全模型则开始事件的业务和IT环境。
IBM购并Micromuse为2006年 IT公司谁买谁又添上了浓重的一笔,同时为2006年的IT管理和网络管理软件市场的竞争加上了很多的不确定性。这个购并在CA购并Concord不到一年的(8个月)时间内出现,也让人们产生了很多联想。原来的IT管理软件Big Four (IBM, HP, CA, BMC)现在CA, IBM都有了新想法,HP或许对自己在网络上面还有自信。那BMC呢?是买?还是被买?这是个问题。
2005年12月21日IBM宣布以8.65亿美元的价格(合每股10美元)收购网络管理软件供应商Micromuse. 而Micromuse还在不久前(2005年7月1日)以1600万美元收购过一个安全管理平台公司Guardnet,具备了其安全管理平台产品neuSecure。
2005年4月7日CA宣布以3.37亿美元收购Concord(合每股17美元)。IBM收购Micromuse的价格是CA购并Concord价格的大约两倍。
国际上风起云涌的购并和One-stop浪潮也会给国内的IT和安全市场带来很多冲击,有一次聚会中,业界一位资深人士就语言,“几年后你们认为国内OSS和集成厂商还会剩下几家?我觉得可能是华为和中兴。”
(注:本文写于2005年年底,标题是:
IBM购并Micromuse,One-Stop大行其道 )
昨天2006-4-19美国Novell公司宣布以72M$价格收购e-Security公司。前者属于资深网络和IT软件公司,在中国20年前就大名鼎鼎,后来沦落,也曾中兴,当前作为重要的目录服务提供商,还有相当的Linux解决方案能力。后者因为安氏的合作原因,在国内有一定的知名度。但是,国际媒体分析,两者最近的财政状况都不好,所以,并不看好两者的购并。
在IBM收购Micromuse后(而后者则刚刚收购另外一个SOC公司neuSecure不久),这是又一起SOC公司被收购案件。本来在2003年左右就预测e-Security可能会成为购并对象,没有想到这么迟,更没有想到是Novell。呵呵。
昨天和今天连着开了两个大会,昨天是中计报和CCClub举办的第七届中国信息安全大会,今天则是通信运维专委会和CNNOG举办的CNNOG3。我有幸在今天作为Speaker发言,下面今天发言的讲义,主题是“
转型中的电信运维和安全运营体系”。
第一次在社区发表文章,下面剪贴了一段SecurityFocus上面的讨论内容,其中的几个关于入侵后恢复和响应的资源链接:
Symantec今年一月份收购IMLogic后,IM/P2P安全市场更加群情激愤,斗志昂扬。Facetime新近推出最新版本的IMAuditor
Enterprise Editor 7.0,并且获得SC
Awards2006大奖。这是一款大概机架式式服务器,支持当前大多数的IM/P2P应用,这里的支持包括了用户识别、认证、访问控制(文件共享、网络聊天、视频等),在支持的应用列表中大家可以找到炙手可热的Skype,也有我们中国占通知地位的QQ。下面是其
Datasheet中的截图:
下面是一篇电子文档安全的老报导,原来在2001年时有个顾问服务项目中客户就很需要这样的文档安全,可是那个时候产品很少,当前业界类似的产品多了起来。是不是也可以算是应用安全的一种呢?似乎又不是,应该是单独的数据文档安全。因为这些产品并不附加在、附着在某些、某个应用上面,也不内嵌在某些、某个应用里面。不知国内还有什么公司有类似产品?下面是关于亿赛通科技公司的产品报导。
保障电子文档安全 亿赛通科技强势出击
下面转贴一篇采访华为的老文章,其中提到的若干管理举措、内部员工意识教育,以及郭世栈部长(居然被记者称为大男孩,呵呵)的感想,虽然一是一年多过去了,现在看来仍是让人感染。
初访华为:总有一种力量令人震撼
通信世界 作者:闫跃龙 更新日期:2005-1-28
对华为的好奇已经很久,不仅因为看到华为在国内外市场所向披靡,今年收入要突破50亿美元,明年海外收入要超过国内收入。这段时间华为更是被“思科华为诉讼案”、“华为员工泄密案”等官司纠缠,华为的知识产权和商业机密工作到底如何?当然还有任正非的神秘、华为人的斗志以及华为独特的“土狼”文化……
下面这个帖子来自ChinaCISSP论坛上的一个回帖,我整理了一下贴上来。原文主题是:" 国内安全审计服务厂商以何抗衡四大!"
Big 4原来是Big
5能够成就自己在世界上的地位,除了有自己的不传之密之外,还能看到他们的客户能够保持相当的稳定(财务审计每年必审,信息系统的审计逐渐被认可),每年都有会有相对固定的客户和现金流基数,在此基础上,经济的发展会带来新的客户,争取新的市场,逐步发展下来。
反观我们现在的安全咨询服务领域,首先不具备这样稳定的市场需求,国内支撑这一市场的大客户的采购往往受某一位领导的左右,领导换了,是否采购、采购谁,供应商很难保持自己的“老客户”。大家都知道维持一个老客户的成本是发展一个新客户成本的十倍。这样,同质化的服务内容和质量、易变的客户和市场,导致这一块不容易产生稳定的增长。
早在2002年,我上家公司就策划成立独立的安全服务部门,后未成立。我知道,现在“战国七雄”中有的现在有独立的安全咨询公司,有的在内部正在酝酿成立相对独立的安全服务公司,从个人感情上看,我觉得是件好事情。可是市场如何,还要看这个服务公司与自己的母公司的销售平台、利益分成等关系的处理。
我们古话说:修身、齐家、治国、平天下,或讲“进而兼营天下,退而独善其身”,公司内部的修为、内功联好了,成熟稳定了,企业联盟才能联盟,才“能”谈联盟,否则就有市场炒做的成分了。
我们国内企业不仅仅在网络安全这样的小市场上不容易表现出合作、联盟的精神,就是在我们相对有一些优势的行业 -
例如家电制造业,当前的联盟和合作也非常不好(我不清楚闪联现在的活动情况,这里也不指闪联),就像高清EVD现在的窘境,很让国人撮火(阜国陷入专利典当丑闻)。现在电信业的TD-SCDMA也是一个挑战。
“和为贵”很好的一句话,这是我们本来中国“儒商”的底蕴和魅力。公司厂商之间的“和为贵”的基础是公司自身的创新、自身依靠创新摆脱同质竞争、内部公司治理的成熟稳定、以及而来稳健的市场策略等。
中国企业能否作大作强,归根到底还是企业治理的问题,华为和中兴、海尔等是中国企业中在企业治理方面的先锋和楷模,而很多企业和公司都倒在了规模增长带来的内耗和企业风险。就像我在
2006不欢迎动荡之联想风波一文中提到的宏智和联想网御(不知道安氏算不算)。内部动荡和内耗伤害国内公司太厉害了。
咨询服务行业的企业由于公司运营成本和收入大部分都是“人”的问题,对企业治理的需求依赖性更高。比肩Big
4非一日之功
几天前,Symantec公司发表了全球网络安全威胁报告白皮书,总结分析了全球2005/06 - 2005/12之间网络安全威胁的演变态势,包括网络漏洞、攻击、Bot(僵尸网)等的发展演变情况,很值得一读,当前媒体上广泛报导。
下面是一段较有意思的报导数字。僵尸网是去年桂林CNCERT/CC网络安全应急大会上的一个重要Topic,当时CC的周博士还做了专题演讲。看下面的数字,美国是全世界最大的Bot感染国,中国已经以9%的感染率排到了第三位,而2005年上半年的数字还是7%,所以看出来半年时间感染率上升2个百分点。可是英国就有意思了,半年的时间感染率从32%下降到22%,这个变化,大英帝国的计算机安全主管部门不知是采取了什么有效措施,如此生猛的半年降低10%个百分点,看来是值得考察学习了。
另外,举报导,Bot网控制端的数据,美国分布有全世界48%的控制端(command and control servers),而韩国以9%占据第二位,加拿大以6%占据第三位。由此看来,我国的宽带网用户更多的处于Bot“输入国”,而韩国则有可能是个重要的输出国。下面是直接引用的一段文字:
前些时候,写了一份安全技术发展趋势-2006,不管是否有说服力、是否有前瞻性,供大家参考,留给时间去检验。这次,瞻望一下安全管理方面的发展,与大家一起来讨论。我个人认为接下来的安全管理发展有三个特征:
其一是走向规范标准。虽然在焦点网上面也有一些“嘲笑”BS标准的帖子,但是借鉴最佳实践、遵循国内国际标准和规范还是不可更改的趋势,这是一个行业走向成熟的标志。据说南方某大型电信公司的数据中心也正在积极接触,有计划通过BS7799的认证。
其二是深入企业和组织的核心业务。我们可以在国内做安全较早的企业组织那里就可以看到这一趋势。关注的不仅仅是一些通用的服务器和桌面系统的安全的,而是应用和数据,而是各重要的业务系统内部了。
其三是走向集成化和平台化。这一点也与安全技术发展的趋势相匹配,安全产品产生的大量信息、和安全管理相关的活动产生的大量信息等都需要进行共享、相关、展现、挖掘等,集成化和平台化的安全管理支撑系统有助于提升安全管理的效率和针对性、实效性。
下面转贴一篇思科公司关于自防御网络SDN-网络准入控制NAC的宣传文章:
不久前,计算机病毒还只是一种令人不快的小问题,很少引起高层管理人员的关注。但是现在,指数级增长的安全威胁、协作式应用和互联环境让网络安全问题成为了报纸的头条新闻。这里只举一个例子:在2003年1月,SQL Slammer蠕虫导致全球各地的大量网络陷于瘫痪,甚至让韩国电信的Freetel网络几乎完全中断。
在80年代,黑客们的攻击对象是单个计算机,在90年代则是单个网络,而今天,他们的攻击目标是全球的网络基础设施。因此,安全已经从一种可以避免的烦恼变成了一个关键任务型问题。高级IT经理们一致认为,他们需要不同的方法和架构来抵御新的威胁。事实上,根据Infonetics Research的预测,终端用户在安全产品和服务上的开支将从2003年的45亿美元增长到2007年的80亿美元——增长78%。
下面的这个等式节选自美国总统IT顾问委员会PITAC ( President's Information Technology Advisory Committee) 报告 2005, 当时看到的时候脑海中就闪现出当前如火如荼的“安全域”项目。
安全域划分和边界保护的意义就在于阻止这种无限互联,即使实在内网,这种“无限互联”使得漏洞、蠕虫、病毒、内部滥用和误用等威胁防不胜防。例如对于中国电信、中国移动和中国网通等电信运营商来说,其DCN网络(共享平台)遍布全集团,承载了几乎全部关键的支撑业务,换句话说,每个关键业务以及员工的终端都可以连接上来,这样DCN就变成了一个小规模的互联网,数千甚至上万员工、用户在一起,互联网上面发生的事情,在“内网”上面都会发生。
从媒体上报导的UTStarcom工程师入侵北京移动卡系统中心盗取卡号密码的过程来看,除去工程管理过程的安全、帐号口令管理之外,“安全域”就是给我们的一个很重要的提示。
隔离使得风险可控。
但是,隔离并不代表着“安全域”项目就是一个“造墙”工程,而是恰恰相反,它应该是一个拆墙工程-移墙工程。优化整合后的网络架构的标志就是边界清晰,互联关系明了,所以相对于优化前的状态更能节省和共享网络和安全设备。
另外,防火墙技术越来越多地被集成进网络设备中,如何充分地挖掘网络设备本身自带地安全特性,是个值得研究的内容。可以帮助安全管理在性能和安全性、投资之间取得一个更好的平衡点。
“重硬轻软”一直是很多企业IT管理人员的误区,这里的硬当然就是大量的机器、盒子,软是指其上的软件,在这里我想强调的是“硬”上面跑得安全策略。“双层异构”的重要性并不比几条“得体适用”的安全策略来得实惠。
现在兴数据大集中,银行又是先驱,做了现在电信想做又不太敢作的事情,电力、交通等很多行业也都在不断的思量、探索,本地网集中,省网集中,物理集中,数据集中,应用集中,....集中就是明天吗?集中就代表先进吗?集中就一定能节省投资、提高运营效率吗?集中还会带来什么?下面的新闻从另外的角度给了决策者新的考虑点。
http://finance.sina.com.cn 2006年02月26日 11:20
经济观察报 本报记者 刘兆琼 上海报道
Powered by Haiwit