zhaol's blog

从手机新浪WAP上看到下面的这篇来自《网络世界》评测实验室的文章，深为其内容打动。作者从根本上分析了未来基于IP的电信网的“不安全”本质，给出了一个悲观已级的结论。其中用到了一个最为重要的推理就是终端与电信网设备之间计算能力的差异变化 － 未来IP电信网的终端计算能力相对于电信网设备来说过于强大，所以不可能安全。说实在的，我的心里很复杂，就感觉是因为发现了热墒原理导致的“热寂说”那样的。当然了，传统的电信运营商这个行业肯定也有其生命周期，从Bell先生发明电话开始，在话音成为免费服务的时代结束（以敢放猛话闻名的阚凯利先生曾预测传统电信运营商从下一代互联网出现要退出历史舞台了，当然了阚先生考虑的出发点主要是生产力和经济规律，:)），难道说网络安全也成为了传统电信运营商的阿喀巯斯之踵吗？

现在能够看到的未来电信网最直接的就是FMC/IMS了，即移动固网融合、全部转移到IP核心网，以及各种业务的IP接入网。这样各种IP网络上面曾经出现的网络安全威胁将会全部出现在整个电信网的各个要素上面。下图是3G的安全框架，TE终端可能发起各种攻击，因为用户应用程序不可控，因为这个TE太强大了，因为运营商提供的服务太复杂了。从感情上我非常不愿意接受这个推理。

让我们按照现实生活的环境进行一个类比：很多公司和机构在提供服务，很多消费者在购买服务。其实，只要稍微多一些消费者群起购买、套现、破坏，绝大多数的服务都会被迫中断。可是，为什么社会和服务还能正常地运转下去呢？因为有法律，因为有超出所有消费者力量的超力量 － 国家和法权的存在，它们维持了秩序，维持了服务，并不是服务本身是坚不可摧的。

这样来看未来的电信网，或许网络的透明化、网络摄像技术、网络溯源的追踪技术、网络审计技术等的应用，以及互联网、电信网法律法规的强化将会是电信网可能得以相对安全运转的基础。TC的追随者肯定还要加上TC，TC是未来安全的根本。不过可信的概念似乎没有统一，比较一下Ross Anderson(都要感谢huangmin的推荐哦)的可信，与李博士falcon的可信....

这些日子，很多上市公司都在忙SOX（君不见UT已经乱在财务报告上了，从亚洲明星直接沦落到了这个样子），很多咨询公司都在忙SOX，于是很多顾问也都热心讨论SOX。可是，从SOX要求的IT内控体系上来看，从内容透明、可操作性、客观性等方面来看，都似乎还不够成熟。虽然说是ITGI坚持说CoBIT就是SOX需要的控制框架，可是与COSO毕竟中间还是隔了一层。Big4现在的角色既是裁判员，又是运动员，直接在热心的本土咨询商的额头上就贴上个”非权威“的标签。这就有失公平了，偶尔看VoIPsa的邮件列表，看到Gary Audin写了一篇文章，讨论VoIP的安全性与SOX的关系，并且开篇明义地怀疑了SOX对IT内控的当前操作，含蓄地预言SOX的IT内控将来可能会被重新定义。我把这篇评论贴在下面，在最后还有我当初的一个很短的评论，欢迎大家的讨论。

或许A在网络信息安全这个领域中有点神秘色彩，也有些特殊地位。Authentication, Authorization, Account, Accounting, Audit, Availability, Accountability, Administration, 很多A，每个A都在A的名义下定义了不同的功能。

最早Cisco路由器配置中的AAA Newmodel，其中的AAA是指：Authentication, Authorization, and Accounting. 功能很明确，先作用户认证，然后授权他可以在设备上面进行什么样的操作，最后，进行记帐。对，这里的Accounting，就是记帐，不是帐号。它帮助运营单位对网络流量和操作进行记帐。

IDC中AAA的分类，定义了AAA，这里的AAA与Cisco网络设备配置中的AAA有所不同，区别点在于第三个A，IDC的AAA的第三个A是指 Administration, 其实含义基本上是除了Authentication认证，Authorization授权，以及Anti-virus反病毒、Firewall防火墙、 IDS入侵检测系统（在2000年以前，似乎IDS和扫描器都在这第三个A中，后来IDS单独分类统计）。现在IDC重新定义了AAA，将其分成了两个区域，第一是IAM(Identity and Access Management)，第二是SVM(Security Vulnerability Management)。参考下面的示意图，IAM中增加一个新内容，就是目录管理，SVM中也增加一点新内容，就是漏洞管理。漏洞扫描产品（scanners）本来也是属于IDC AAA中最后一个安全管理的内容，后来与IDS成为一个分支 ID&A，现在漏洞管理的名义下重新回到SVM下面。当然了，今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。

而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型，它的全称应该是: Account, Authentication, Authorization, Audit，也反映了中国安全业界对于安全管理的思索和创新。

在写完上篇Go Security2.0的短文后，这几天还在思考Security 2.0的话题。下面是2005在CSOOnline上的关于Security2.0一篇报导，似乎这是第一篇值得注意的讨论使用Security2.0这个词的报导。仔细看完了这篇文章，其中较为详细地介绍了一个大型国际能源公司如果进行物理安全、IT安全的融合、如何将关注点从安全保护转换为风险控制的案例分析。相信这样的变革在一个大型、传统行业的组织里是如何的艰辛。大家有兴趣、也有时间的话，建议也看看。

应该说，文中使用的Security2.0不同于我所提的Security2.0。Sarah认为Security2.0就是融合（convergence）、就是集成（integration）、就是全面安全（holistic security），其中物理安全和IT安全的融合、集成，以及相应的组织机构和管理方式的改变被Sarah所称道。欢迎大家评论。

Security 2.0
What does it take to make convergence happen? One secret is to sneak up on it, the way Constellation Energy did, by seeming to be doing something else entirely.
By Sarah D. Scalet

昨天和今天连着开了两个大会，昨天是中计报和CCClub举办的第七届中国信息安全大会，今天则是通信运维专委会和CNNOG举办的CNNOG3。我有幸在今天作为Speaker发言，下面今天发言的讲义，主题是“ 转型中的电信运维和安全运营体系”。

幽默吉祥三宝 之 电信规划版转载自CWeek电信论坛

<吉祥三宝>“CTG-米波丝丝”版

吉祥三宝> CTG-米波丝丝版
"阿爸！"
"哎！"
"CTG-米波丝丝出来忽悠们都看了么？"
"对了。"
"CTG-米波丝丝出来 97去哪里啦？"
"在本地网"
"我怎么找也找不到它？"
"没人用了"
"CTG-米波丝丝.97.忽悠.就 是吉祥的一家！"


"阿妈"
"哎！"
"97出了什么时候出的CTG-米波丝丝？"
"97被大家痛骂的时候 。"
"CTG-米波丝丝出了电总的IT部门能坐的住吗？"
"他们已经到小房子里做梦去了"
"他们做梦做来做去能做赢吗？"
"他会长 大的。"
" CTG-米波丝丝.97.忽悠.就 是吉祥的一家。"

"宝贝"
"啊？"
" CTG-米波丝丝像太阳照着小房子。"
"那忽悠们呢？"
"忽悠们在跟着小房子一起梦游"
"那电信各省公司的人呢？"
"各省公司像疯子一样朝当初的忽悠们狂吼。"
"噢！明白啦。"
"它们三个就是吉祥如意的一家。"   

下面这篇文章摘自LightReading，AT&T, Verizon, Qwest等大牌电信运营商老总谈P2P应用和业务对电信网的影响。AT&T讲网络业务应该分为Managed和Unmanaged两种...Qwest认为P2P对网络的冲击并没有媒体所描述的那样厉害...

RBOCs Wait & See on P2P

AT&T Inc. (NYSE: T - message board), Verizon Communications Inc. (NYSE: VZ - message board), and Qwest Communications International Inc. (NYSE: Q - message board) don’t have hard, fast policies in place to deal with consumer peer-to-peer traffic. Despite the hype about P2P traffic volumes on carrier networks, these phone companies say they're fine to watch and wait for now.

One network operator CTO is even skeptical that P2P really causes as much congestion in networks as has been hyped. (See P2P Fuels Global Bandwidth Binge.) 

2006全球NGN高峰论坛上，刘韵洁院士提出软交换生不逢时，赶上电信发展的低潮，从而错过了自身发展的时机，现在PSTN依然健康的工作，IMS却已经风雨欲来，现在的运营商没有理由不去研究采用IMS的可行性。软交换可能在中国除了移动有规模商用外，可能就此打住。而网通首席科学家侯自强老师，作为国内最早跟踪研究P2P在电信行业影响的学者（网上流传的很早的一份P2P中文PPT就是侯老师的杰作），提出电信运营商不要全盘否定Skype等P2P应用，要看到它们带来的积极的一面，因势利导。P2P用户分类计费不太可行。下面转贴了侯老师讲话的 报导全文。

3月29日的NGN大会上，中国科学院声学研究所研究员侯自强致辞。(骆磊/摄)
http://www.sina.com.cn 2006年03月30日 00:55 新浪科技,金朝/文

  　新浪科技讯 3月29日，在“2006全球NGN高峰论坛上”，著名电信专家侯自强称，分离P2P用户单独收费很难实现，建议运营商开始思考如何用P2P技术改进服务。

　　电信运营商希望P2P可控

　　同时身兼网通首席科学家、中国科学院声学研究所研究员、信息产业部科技委委员的侯自强认为，Skyp的出现，就证明在互联网上可以做IP电话，而且能做得很好。

　　但是，目前，有关P2P的争论非常大，传言一些国内固网运营商想限制P2P。对此，侯自强分析说，主要是电信业认为IP电话一定要在可管理的IP网上，其思路是一定中央管理，才有质量、才能赚钱、才有安全性，比如收费等，而基于互联网的P2P和网络电话等都是开放的公共平台，电信运营商也收不到多少费用，这两者是有矛盾的。

　　他指出，P2P和传统语音电话是完全不同的理念，而电信运营商实际上希望P2P也可控。

　　P2P无法超过给其设定的带宽

　　侯自强说，今天运营商都很怕P2P，原因是什么？他们觉得P2P占了它的带宽，而它没有增加一些收入。但是，实际上，P2P技术也无法超过给其设定的带宽速率。

　　他举例说，比如一个客户用了电信网络，一个月交120元钱进行宽带接入，可享受的带宽是500K，实际上用了P2P技术也突破不了500K以上的速率，因为运营商会进行控制。现在的问题是，运营商考虑到不是每个用户都在同时上网，因此均摊到每个用户可能就只有100K、50K，而P2P把这个总容量进行重新分配，就造成上面的容量会很紧张。

　　他说，从运营商角度来讲，更应该着重疏导网速来满足客户的需求。

　　区分用户收费难实现

　　对于目前有说法称可能要考虑对不同用户采取不同的收费，侯自强称，这个问题不但中国有，在美国也有，美国的电信运营商觉得提供了这么多的服务，钱被互联网运营商赚去了，他们想能不能搞一个分类用户，就是对基本互联网服务收一些钱，对比基本互联网更好的服务多收一些钱。但是，这种提法出来以后，遭到社会上反对，所以现在美国的运营商正在游说国会通过《网络中立法》。

　　他同时认为，这种区分用户收费的方式在中国也比较难进行。他表示，P2P这种新东西对电信运营商利益有影响，但电信运营商现在要更多看到P2P技术本身的积极意义，运营商应该开始思考这个问题，那就是如何用P2P技术改进服务、提高服务质量和通达能力。

　　另外，他认为，从今天的技术来看，网络扩大容量的成本也不是很高。

Technorati Tags: 3G, p2p, skype, 电信

昨天对于联通来说是个大日子，大规模的全国市场活动 － 联通转型、换新标启动，这标志着联通持续一年多的内部调整结束。大家来看联通的三个面向：面向3G、面向未来、面向世界。我们也可以从另外一个角度来理解联通的战略：3G＝未来＝世界。:) 直接映射出了联通后面的战略思路，联通面向“现代化的综合通信和信息服务提供商”的转型工作将全面围绕着3G来进行。

换标后的中国电信业，可以理解为2个蓝色的主导运营商（中国移动和中国电信）以及两个彩色的挑战运营商（绿色的网通和红色的联通）。

以下新闻转贴自新浪科技新闻：联通称今年是转型关键年 部门结构调整完毕 
http://www.sina.com.cn 2006年03月28日 23:37 新浪科技

下面转贴一篇采访华为的老文章，其中提到的若干管理举措、内部员工意识教育，以及郭世栈部长（居然被记者称为大男孩，呵呵）的感想，虽然一是一年多过去了，现在看来仍是让人感染。

初访华为：总有一种力量令人震撼
通信世界　作者：闫跃龙  更新日期:2005-1-28  
 
    对华为的好奇已经很久，不仅因为看到华为在国内外市场所向披靡，今年收入要突破50亿美元，明年海外收入要超过国内收入。这段时间华为更是被“思科华为诉讼案”、“华为员工泄密案”等官司纠缠，华为的知识产权和商业机密工作到底如何？当然还有任正非的神秘、华为人的斗志以及华为独特的“土狼”文化……

惠普宣布要成为“全球领先的信息科技公司”，IBM却称自己将“不再是一家计算机公司或服务公司”， 甚至不再是“IT公司”，而是一家“帮助客户成功的企业”，听起来有点玄奥，有点虚，但是从IBM的口里说出来，倒是让人感觉掷地有声。下面转载自 新浪网报导。

B/OSS周刊第五期阳春三月(2006年3月4日--2006年3月17日) 

阳春三月，春风荡漾，春暖花开,正是踏青赏花好时节,然而对运营商的朋友来说,前半个月倒说不上轻松.一方面是每年这个时候的两会召开,保障通信,是一个政治任务;另外一个是,3.15消费者权益保护日,历来电信业的服务都是投诉热点,谁也不希望在这个敏感时候撞到枪眼上,所以各方严阵以待也就不足为奇了.两会已经结束,创新会成为一段时间内的主旋律,3.15也已经过去,运营商也开始公布其过去一年的财务报表,中国移动交出了一份满意的成绩单,2005年的收入为2430亿元，净利润达到535亿元,报表不要太红!下面一起来看看最近一段时间的新闻事件:

几天前，Symantec公司发表了全球网络安全威胁报告白皮书，总结分析了全球2005/06 - 2005/12之间网络安全威胁的演变态势，包括网络漏洞、攻击、Bot（僵尸网）等的发展演变情况，很值得一读，当前媒体上广泛报导。

下面是一段较有意思的报导数字。僵尸网是去年桂林CNCERT/CC网络安全应急大会上的一个重要Topic，当时CC的周博士还做了专题演讲。看下面的数字，美国是全世界最大的Bot感染国，中国已经以9％的感染率排到了第三位，而2005年上半年的数字还是7%，所以看出来半年时间感染率上升2个百分点。可是英国就有意思了，半年的时间感染率从32％下降到22％，这个变化，大英帝国的计算机安全主管部门不知是采取了什么有效措施，如此生猛的半年降低10％个百分点，看来是值得考察学习了。

另外，举报导，Bot网控制端的数据，美国分布有全世界48％的控制端（command and control servers），而韩国以9％占据第二位，加拿大以6％占据第三位。由此看来，我国的宽带网用户更多的处于Bot“输入国”，而韩国则有可能是个重要的输出国。下面是直接引用的一段文字：

 中国特色的3G之路，都是国有企业，里外里都是肉，TD也是自己的孩子，如何才能大家“和谐”起来呢？

-------------------------------------------------------------------------------- 
http://www.sina.com.cn 2006年03月08日 13:25 《财经》杂志 本刊记者 田启林 苏丹丹/文

　　为了等待“中国自己的3G标准”-TD-SCDMA技术成熟，中国3G牌照的发放已经一延再延；现在，这场漫长的博弈正在逼近揭牌时刻。

　　2006年6月，是业内预期比较集中的3G发牌的“可能期限”。对于中国两大移动运营商-中国移动和中国联通、两大固话运营商-中国电信和中国网通而言，现在的焦点已不是谁能够获得3G牌照，而是他们最终将获得什么样的牌照的问题。

俗话讲，天下合久必分，分久必合。下面这个新闻真就是应了咱们这句古话。AT&T收购南方贝尔后，原来的版图已经恢复半壁河山。咱们的电信、网通、移动、联通、卫通、铁通在3G面前是合是分...

       http://www.sina.com.cn 2006年03月06日 06:57 新浪科技 

新浪科技讯北京时间3月6日消息，据国外媒体报道，AT&T本周日宣布，将以670亿美元的价格收购南方贝尔(BellSouth)，从而将自己的“电信帝国”版图扩展到美国南方。除此之外，AT&T还将通过这一交易获得Cingular无线的其余股份。

分析人士表示，AT&T和南方贝尔合并之后，将拥有覆盖全美的长途电话和数据网络、来自美国22个州的住宅用户以及在财富1000强企业中占到一半以上的企业客户。根据双方达成的协议，南方贝尔的每股普通股将兑换为1.325股AT&T普通股。根据AT&T股票3月3日的收盘价，AT&T收购南方贝尔的价格相当于每股37.09美元，比后者当前的股价高17.9%。