zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

2006年11月22日到23日，在北京西直门边上的国二招召开了2006年的电信网络安全峰会，我有幸被邀请作为特约独立顾问参会，并做了一个“电信网络安全的价值”的报告。传上来交流，欢迎批评讨论。

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

推荐一篇写的很棒的文章，原文位于ChinaCissp...

六年如逆旅，我亦是行人
一个顾问的六年安全从业经历

前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

以下是转贴自新浪网报导，转贴并不代表本人赞同或者同意其观点，目的是使大家有更多的角度了解CA。新人才、新产品和新的工作方式给CA公司带来了新的活力，但是它仍然存在很多痼疾。

现在在内控的大旗下，桌面安全管理项目车轮隆隆，各路人马狼烟四起、厮杀在一处。前不久陆续接到各路十多个战报，端的是令人目不暇接。曾记否，今年年初写2006安全技术发展趋势时，没有将“桌面安全管理”列入引起争论不少，现在桌面安全管理果然杀气阵阵，难道不是2006的大热点吗？当初我的解释是桌面安全管理不是某个技术和产品，而是很多个/很多类产品的集成。现在观察一下各路的需求说明，心中还是被再次触动了一下。“桌面安全管理，你到底要承受多重”......

词曰：威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。

今天下午发生了一件大事情！
经brother why主创并授权，在此独家发布一个福泽同侪的控制模型，呵呵。从公司控制、到IT控制、再到安全控制，该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间，充分利用Web2.0年代的P2P IM手段，展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊？

一个体系：12345678 Pyramids Framework
二个方面：技术和管理
三个层次：决策层、管理层、运维层
四个阶段：P D C A
五层控制：控制环境、风险评估、控制活动、信息沟通、监控
六个要素：资产、威胁、脆弱性、保护措施、风险、机会
七个质量（CoBIT）：机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程（CoBIT）：P O /  A I / D S / M E

其中，一讲的是整体和执行力，二强调的是管理、技术并重，三指的是全员参与，四是指螺旋式上升，五是COSO内控框架，六是安全控制要素，七是达到的目标质量，从这层开始 KPI，八是IT控制过程域，KPI/KGI之。

下面的这份白皮书就是在我培训完管理按需计算（MODC），为了推广管理按需计算的概念而写的一份白皮书，题目是“业务相关性与按需计算管理成熟度”, 写于2003-10-31, 其中将一般性的IT管理按照管理按需计算的模型分为四个管理成熟度，每个成熟度到上面成熟度的进阶都需要相关的建设和优化、改善。

希望它可以当成一份背景资料，帮助大家理解按需安全（On-Demand Security）的概念，以及后来的Security 2.0。点击下载。

在写完上篇Go Security2.0的短文后，这几天还在思考Security 2.0的话题。下面是2005在CSOOnline上的关于Security2.0一篇报导，似乎这是第一篇值得注意的讨论使用Security2.0这个词的报导。仔细看完了这篇文章，其中较为详细地介绍了一个大型国际能源公司如果进行物理安全、IT安全的融合、如何将关注点从安全保护转换为风险控制的案例分析。相信这样的变革在一个大型、传统行业的组织里是如何的艰辛。大家有兴趣、也有时间的话，建议也看看。

应该说，文中使用的Security2.0不同于我所提的Security2.0。Sarah认为Security2.0就是融合（convergence）、就是集成（integration）、就是全面安全（holistic security），其中物理安全和IT安全的融合、集成，以及相应的组织机构和管理方式的改变被Sarah所称道。欢迎大家评论。

Security 2.0
What does it take to make convergence happen? One secret is to sneak up on it, the way Constellation Energy did, by seeming to be doing something else entirely.
By Sarah D. Scalet

下面这个帖子来自ChinaCISSP论坛上的一个回帖，我整理了一下贴上来。原文主题是：" 国内安全审计服务厂商以何抗衡四大！"

Big 4原来是Big 5能够成就自己在世界上的地位，除了有自己的不传之密之外，还能看到他们的客户能够保持相当的稳定（财务审计每年必审，信息系统的审计逐渐被认可），每年都有会有相对固定的客户和现金流基数，在此基础上，经济的发展会带来新的客户，争取新的市场，逐步发展下来。

反观我们现在的安全咨询服务领域，首先不具备这样稳定的市场需求，国内支撑这一市场的大客户的采购往往受某一位领导的左右，领导换了，是否采购、采购谁，供应商很难保持自己的“老客户”。大家都知道维持一个老客户的成本是发展一个新客户成本的十倍。这样，同质化的服务内容和质量、易变的客户和市场，导致这一块不容易产生稳定的增长。

早在2002年，我上家公司就策划成立独立的安全服务部门，后未成立。我知道，现在“战国七雄”中有的现在有独立的安全咨询公司，有的在内部正在酝酿成立相对独立的安全服务公司，从个人感情上看，我觉得是件好事情。可是市场如何，还要看这个服务公司与自己的母公司的销售平台、利益分成等关系的处理。

我们古话说：修身、齐家、治国、平天下，或讲“进而兼营天下，退而独善其身”，公司内部的修为、内功联好了，成熟稳定了，企业联盟才能联盟，才“能”谈联盟，否则就有市场炒做的成分了。

我们国内企业不仅仅在网络安全这样的小市场上不容易表现出合作、联盟的精神，就是在我们相对有一些优势的行业 － 例如家电制造业，当前的联盟和合作也非常不好（我不清楚闪联现在的活动情况，这里也不指闪联），就像高清EVD现在的窘境，很让国人撮火（阜国陷入专利典当丑闻）。现在电信业的TD-SCDMA也是一个挑战。

“和为贵”很好的一句话，这是我们本来中国“儒商”的底蕴和魅力。公司厂商之间的“和为贵”的基础是公司自身的创新、自身依靠创新摆脱同质竞争、内部公司治理的成熟稳定、以及而来稳健的市场策略等。

中国企业能否作大作强，归根到底还是企业治理的问题，华为和中兴、海尔等是中国企业中在企业治理方面的先锋和楷模，而很多企业和公司都倒在了规模增长带来的内耗和企业风险。就像我在 2006不欢迎动荡之联想风波一文中提到的宏智和联想网御（不知道安氏算不算）。内部动荡和内耗伤害国内公司太厉害了。

咨询服务行业的企业由于公司运营成本和收入大部分都是“人”的问题，对企业治理的需求依赖性更高。比肩Big 4非一日之功

惠普宣布要成为“全球领先的信息科技公司”，IBM却称自己将“不再是一家计算机公司或服务公司”， 甚至不再是“IT公司”，而是一家“帮助客户成功的企业”，听起来有点玄奥，有点虚，但是从IBM的口里说出来，倒是让人感觉掷地有声。下面转载自 新浪网报导。

前些时候，写了一份安全技术发展趋势-2006，不管是否有说服力、是否有前瞻性，供大家参考，留给时间去检验。这次，瞻望一下安全管理方面的发展，与大家一起来讨论。我个人认为接下来的安全管理发展有三个特征：

其一是走向规范标准。虽然在焦点网上面也有一些“嘲笑”BS标准的帖子，但是借鉴最佳实践、遵循国内国际标准和规范还是不可更改的趋势，这是一个行业走向成熟的标志。据说南方某大型电信公司的数据中心也正在积极接触，有计划通过BS7799的认证。

其二是深入企业和组织的核心业务。我们可以在国内做安全较早的企业组织那里就可以看到这一趋势。关注的不仅仅是一些通用的服务器和桌面系统的安全的，而是应用和数据，而是各重要的业务系统内部了。

其三是走向集成化和平台化。这一点也与安全技术发展的趋势相匹配，安全产品产生的大量信息、和安全管理相关的活动产生的大量信息等都需要进行共享、相关、展现、挖掘等，集成化和平台化的安全管理支撑系统有助于提升安全管理的效率和针对性、实效性。

原文：安全管理与执行力

其实，执行力是个管理学上的普遍问题。高的执行力并不一定带来理想的、正确的效果。例如文革时期，毛泽东利用自己的绝无仅有的影响力促使很多看起来虚无飘渺的、不切实际的命令被无条件的执行，全国范围的。不过，准确的说，这不是执行力的错。执行力是指形成的决议可以得到有效的执行，而没有涵盖前面形成决议的过程。那个阶段如何民主、如何分析、如何达成科学的、正确的决议是另外的管理学问题。

但是，对于网络安全工作来讲，重要的是很多基础的工作都没有做好，普遍性的、常识性的一些安全措施都没有做到位。在这种情况，安全主管的挑战就是执行力，如何将这些基础措施和安全策略实施下去。

安全经理，或者称为首席安全管，安全主管，这里指的是在企业组织中负责网络安全工作的经理，通常是一位中层领导，他还主管着信息系统的其他方方面面，例如运行维护，或者项目建设等。安全经理在企业组织的安全管理活动处于非常关键的地位，承上启下，分解高层对于网络安全的观点和使命，管理控制具体的安全运行和建设维护，他负责决定实际实施的技术路线和方案选型，抽象总结实际的安全工作的问题和由于其所处的位置为中层，就像“三观论”中的“中观”，企业组织的信息系统安全水平很大程度上取决于他个人对于网络安全的理解、重视与否和执行程度。

我经常对自己的愚钝、以及管理过程中的错误进行反思，看看是否可以找到一些方法来避免自己的愚钝和疏忽、固执，或者能够帮助面临自己同样境地的人。每个人都有每个人的困境，这里没有“银弹”。下面列出的不可忘记的五件事供您参考，或有一用，则善莫大焉。