zhaol's blog

下面的文章转贴于Telecom,Security and P2P.

中国电信运营商与全球的电信运营商一道，都在积极寻找自己新的业务增长点，提升自己的盈利能力，发掘现有客户的价值。安全运营服务（Managed Security Service）和安全顾问服务（Professional Security Service）无疑是令人感兴趣的领域。运营商在安全服务方面具有得天独厚的优势，例如强大的客户覆盖和销售渠道、良好的信任关系、成熟的计费和结算体系等，可以共享机房、带宽、网络、信息基础设施知识和经验等，这些都可以大幅降低运营商推出MSS和PSS的成本和进入风险。

看到前些时候的新闻称：MCI利用NetSec提供的安全服务平台向路透社提供MSS和PSS的服务。国际运营商在此已有不少的实践。其实国内也已有不少尝试，中国电信自己的集成商－早先的CTSI，后来的中盈优创（Zhongying-Unihub）就在网络安全方面从上个世纪开始（^_^）耕耘了数年。现在的电信集团、新的CTSI、还有一些领先的省公司正在酝酿推出很多新的创意和商业组合。

下面的文章转贴自Telecom,Security and P2P，发表于2005/11.

如 前面的预测，Skype果然开始了与国内运营商的合作谈判，但是谈判会如何进行呢？国际上，将会越来越多的大大小小的厂商会推出基于P2P技术的各种新产品，竞争地位的运营商推出相应的应用来挑战主导运营商，都会全力来赶这趟P2P大潮。电信和网通两大主导固网运营商在信产部条文保护时间内，必须尽快研究拿出战略性的、全局性的对策，并迅速执行落实，不能停留在 试探性的、测试性的“控制”活动上。疏导不受控业务的同时，开拓可控的P2P业务平台，以及相应的计费运营模式。时间越来越紧迫了。

请看下面的报道，CWW转载自第一财经日报::Skype抛出两种运营商合作模式 打通三网融合

下面是通过CVE兼容性认证的产品公告，发布于2006/2/14，可以看到国内两家企业绿盟和启明星辰各有两款产品通过，而CA也有一款产品eTrust VM通过，台湾安全厂商DragonSoft也有产品获得认证。目前，国内企业还没有哪家企业或者个人进入CVE组织的董事会。

Telecom,Security and P2P现在国内访问不了，所以将这篇最终版转贴过来，朋友们还可以继续浏览 读到这个《最终版》。贴出这篇稿子后，得到了众位朋友和同仁的热烈响应，不少论坛都转贴了这篇议论。虽属一管之窥，但仁者见仁、智者见智，在这个互联网的年代，在Web2.0的大潮隆隆中，把自己的真实的客观想法与大家分享。下面的文字是前面“战国时代”的更新和修订。

如同在安全焦点上的“大潘怒了”带来的热烈讨论所言，2000年以来的愈演愈烈的市场竞争使得每一个生存者都伤痕累累，“踏着其他公司的尸骨，擦着自己的伤口”，其言戚戚切切者！每一个生存者都有生存者的道理，都有生存的理由。我们应该有一个共识，虽然中国市场以强调“关系”著称，但是客户关系可以 “一时”，不能“一世”，只能战术上起作用，不能战略上决定公司的发展态势。况且，大家的“关系”会逐渐达成一种平衡或者制约，最终能够决定你是否能够生存的是公司股东和管理层的视野、公司治理和成熟度、产品和技术先进性、稳定性、财务（现金流）的稳健等这些内在因素。华为们的成长和胜利、宏智们的倒塌值得我们思考。

原文：安全管理与执行力

其实，执行力是个管理学上的普遍问题。高的执行力并不一定带来理想的、正确的效果。例如文革时期，毛泽东利用自己的绝无仅有的影响力促使很多看起来虚无飘渺的、不切实际的命令被无条件的执行，全国范围的。不过，准确的说，这不是执行力的错。执行力是指形成的决议可以得到有效的执行，而没有涵盖前面形成决议的过程。那个阶段如何民主、如何分析、如何达成科学的、正确的决议是另外的管理学问题。

但是，对于网络安全工作来讲，重要的是很多基础的工作都没有做好，普遍性的、常识性的一些安全措施都没有做到位。在这种情况，安全主管的挑战就是执行力，如何将这些基础措施和安全策略实施下去。

安全经理，或者称为首席安全管，安全主管，这里指的是在企业组织中负责网络安全工作的经理，通常是一位中层领导，他还主管着信息系统的其他方方面面，例如运行维护，或者项目建设等。安全经理在企业组织的安全管理活动处于非常关键的地位，承上启下，分解高层对于网络安全的观点和使命，管理控制具体的安全运行和建设维护，他负责决定实际实施的技术路线和方案选型，抽象总结实际的安全工作的问题和由于其所处的位置为中层，就像“三观论”中的“中观”，企业组织的信息系统安全水平很大程度上取决于他个人对于网络安全的理解、重视与否和执行程度。

我经常对自己的愚钝、以及管理过程中的错误进行反思，看看是否可以找到一些方法来避免自己的愚钝和疏忽、固执，或者能够帮助面临自己同样境地的人。每个人都有每个人的困境，这里没有“银弹”。下面列出的不可忘记的五件事供您参考，或有一用，则善莫大焉。

咨询的价值 － 读温伯格（Gerald M. Weinberg）先生的《咨询的奥秘》- 成功提出和获得建议的指南. 本文最新版在Telecom,Security and P2P.
The Secrects of Consulting, by Gerald M. Weinberg

该书原版是1985年出版的，由李彤和关山松翻译，2004年清华大学出版社出版版。读后感觉该书的前四章（1 为什么咨询如此艰难、2 培养似非而是的四位框架、3 当你不知道自己在做什么时要有成效、4 看看那里有些什么），以及最后四章（11 经营你的服务、12 在你的脑门上贴上标签、13 怎样获得信任、14 让客户听从你的建议）更有趣，诙谐幽默中带来很多思考和收获，中间的5、6、7、8、9、10六章却没有留下什么印象。温伯格先生是一个思考大师，卓越的顾问。这也是一本近些年来唯一一本从头看到尾的书。为了不辜负花去的时间，把读后的一些感受和大家分享一下。

本文最新版在【Telecom,Security and P2P】

有朋友称“联想网御的动荡”为中国2005年最后的网络安全风波，时至今日，动荡的主要轮廓已经展现在了我们的面前：联想网御的原高管俞兵和任增强等离职，其中俞兵已经接到新职 － 阳光传媒的董事，而任增强则加入（或创建？）了让人充满猜测的新公司 新联网御，而亚信方面则任命了齐舰接替担任联想网御的新当家人，并且推出新措施用以留住准备辞职的员工，恢复士气。其间更有传说在俞和任带领的大规模辞职之前，联想网御已经悄悄与大量员工解除了“竞业禁止”协议，目的就是为了这个刚浮出水面的“新联网御”，随机而来的就是联想网御的预期收入大降云云。

本文最新版在【Telecom,Security and P2P】.

    时间如白马过隙，匆匆忙忙中2005年就结束了，现在2006年的时针转的似乎比去年更快。有朋友提醒说总该回首一下、前瞻一下，拖了一段时间，总算写下几段文字，也算对自己和朋友有个交代。

    2005年不能算是安全市场的丰收年，写下 战国七雄的文字后，未料到其中已有玩家遭遇“宏智”-like的不幸，我自认不是乌鸦嘴，这事肯定与我无关，:(

     还是看看后面的技术发展吧。我借用了Gartner公司的新技术发展曲线，将若干我想到的安全技术都拎出来，给他们找了个位置。欢迎大家批评、评论。

请看：

将【Telecom,Security and P2P】站点的文档汇编了一下，RAR压缩的mht格式，里面含有从 2005年9月份到2006年1月11日之前的大部分文档，点击下载。

据媒体报导，安全巨头Symantec昨日宣布购并即时消息管理软件公司IMLogic. IM/P2P对企业边界的影响非常深远，对企业网络边界的侵蚀是潜移默化的，逐步消融的，需要企业IT经理认真对待。Gartner的2005年6月份和7月份等的“Talking Technology”中诸位专家多次谈到IM/P2P的管理，这里不仅仅是安全管理，还有身份管理，流量管理、档案管理、符合性等多方面的考虑。

IMLogic和 FaceTime, Akonix, SurfControl, BlueCoat, 等是当前业界主要的即 时消息IM/P2P方面的管理和安全供应商。这次收购将会成为后面类似公司市场价值的标竿，并且可以预计将会“哄抬物价”，提高这一市场的进入门槛。

相信这次收购对CA/IBM/HP也会产生相当的触动。IM/P2P的管理，包括识别、控制、计费、质量等可能成为下一代信息系统管理四大家Big Four（IBM/HP/CA/BMC）的基础性构件。虽然当前这块市场不是很大，按照IDC的估计IM管理软件市场将会从2005年的3.15亿美元增加到2009年的7.36亿美元。但是具有战略意义，关乎各家的“比较优势”。

另外这次收购对于MaAfee/CA/TrendMicro等反病毒、反垃圾邮件等厂商也会有 相当影响。前些时候已经出现了利用IM/P2P应用传播的蠕虫。预计后续收购行动将会很快出现。

——————

赛门铁克的收购狂欢2006年没有显露放松的迹象。1月3日，赛门铁克宣布了收购企业即时消息客户端软件提供商IMlogic的计划。
IMlogic是前微软高级官员Francis deSouza在2001年成立的，公司在马萨诸塞州沃尔瑟姆。IMlogic销售帮助企业保护和管理即时消息通信的软件。收购预计2月初完成，财务细节没有被披露。

据赛门铁克安全产品高级副总裁Enrique Salem说，赛门铁克计划今年把IMlogic的安全和内容检查功能集成到自己的反垃圾邮件和反病毒软件以及自己的安全专用设备中。

赛门铁克还将把即时消息存储和管理功能添加到自己的Enterprise Vault存档软件里，这个软件是2005年赛门铁克收购Veritas时获得的。
以前赛门铁克和IMlogic在安全研究上合作过，而且2002年以来Enterprise Vault一直和IMlogic IM Manager软件集成。当时Enterprise Vault是Veritas开发的，去年赛门铁克收购了Veritas。

据Gartner研究总监Peter Firstbrook说，赛门铁克收购IMlogic意义重大。他说：“这的确非常合适，双方的产品几乎没有重叠。”

据Firstbrook说，即时消息安全市场目前较小，年销售收入在3000万美元左右，但这个市场每年增长超过100%，受到 McAfee和趋势科技等安全软件大厂的关注。他相信随着电子邮件和即时消息产品纠缠在一起，其他即时消息安全厂商，如FaceTime Communications和Akonix Systems将成为重要的收购目标。

IMlogic有90名左右的员工。赛门铁克的Salem没有透露收购完成后是否会裁员

本文原文在 Telecom,Security and P2P

随着萨班斯法案符合性、在COSO、PCAOB、ITGI等的推荐下，原本就在IT治理大潮中惹人注目的CoBIT更加鲜亮。 前不久，CoBIT发布了新版本4.0，让我们来看看有什么样的新变化。

资源的改变：IT资源由原来的Data（数据）-Application System（应用系统）-Technology（技术）-Facility（设施）-People（人），变为Application（应用）-Information（信息）-Infrastructure（基础设施）-People（人），即技术和设施融合成了基础设施，包括硬件、操作系统、数据库、网络、多媒体，以及物理环境等。

安全管理很多依赖于企业自身的企业管理水平，如果剥去安全策略、管理制度和流程的完备性、前瞻性等技术因素的包装，其实，企业治理过程中最为重要的要素之 一 － 执行力，对安全管理同样非常关键，它决定了那些（可能漂亮或者不怎么漂亮、完备或者不怎么完备的）安全策略、制度流程等是否能够得到落实。实际上是安全效 率（efficiency） 和 安全有效性或效力（effectiveness）的问题。开发几尺厚的安全策略制度流程手册文档，购买千兆防火墙、IDS，上安全管理中心（SOC）等等 这些措施大多都是面向的安全效率，而如何能够保证所有的或关键的安全措施都能够坚守岗位（Stick）、按照策略运转是效力问题。

这篇文章被分成了两部分，发表时被编辑“斧正”了一下，并且有些图还是想和大家分享一下。所以做成了完整的一个PDF文档，传上来。 点击下载

......
基本电信业务收入锐减
互联网经济的快速发展强力带动了电信增值业务的增长，但是增值业务相对于基本电信业务－话音业务来说，比例还相对较低。几大运营商刚刚发布的半年财务报表也印证了这一点。这样，由于基于IM/P2P 的VoIP 应用大量分流了基本的话音业务，导致整体业务收入下降。其中，PC 到PC 引起的分流只是其中一部分，另外相当一部分是由于不符合行业法规、违法经营的PC 到电话、电话到电话的VoIP 业务引起的。运营商一方面必须意识到传统话音业务的萎缩是大势所趋，迅速加强自身市场和技术革新，寻找新的业务增长点；另外一方面，也需要提高技术管控能力，对网络中的违规VoIP 业务及时有效识别和管理。
......

原文：评论：【老文章】电信网网络安全框架

本文完成于2004年底，介绍了国际电联推荐标准X.805，探讨了X.805在电信网网络安全建设过程中的应用。发表于通信产业报，发表后，中国电信和联通网站等多家网站转载，引起广泛的兴趣。:)

1.电信网

全球电信业在经过了前面几年的沉闷、甚至衰退后，3G等各种宽带数据业务开始日趋活跃、需求明显升温，越来越多的运营商开始从几年前的巨额债务中解脱出来，投入到新一轮的电信基础设施投资建设活动中。