zhaol's blog

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

补丁是安全管理中的大问题，也是最让人头疼的问题。如果您说不就是要经常Windows Update吗？那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗？那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险，尤其是这个风险谁来承担。安全经理不愿承担后面的风险，生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类，比方说面向互联网还是内网等，也就是根据可能的安全威胁来分类，然后最威胁最大的那类特别处理，快一点打补丁，平衡点往前移一下。其它类服务器慢打一点，平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类，最重要的级别对补丁的测试肯定要最严格，平衡点往后移。这是理论了，现实中的操作就不容易了。

还有一个话题就是对于没有补丁的漏洞怎么办？这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多，但这是现实。作为用户，我们怎么办？下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下，值得考虑一下这样的应急方案。

To patch or not to patch
Oct 30, 2006， By Roger A. Grimes, InfoWorld (US) - Issue #44

不久前在科隆坡召开的Box Security安全大会上，著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势，它们是：

1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现，运营商、商业机构等有业务保护用户隐私，也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价，或者向原厂商索取，或者直接拍卖，Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践，也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看，还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力，这两年内国内外符合性的高度一高再高，其中审计就更加了。但是说是在的，就目前国内的实际水平而言，再强调也不为过。

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

推荐一篇写的很棒的文章，原文位于ChinaCissp...

六年如逆旅，我亦是行人
一个顾问的六年安全从业经历

前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

前不久，国家信息安全标准化技术委员会发布了一个标准汇总，包括了2006年以来发布的15项国家标准，转贴如下：

今天看到荆继武老师的一篇文章，分析了中国本土信息安全企业的创业之旅，给出了很多非常有益的建议。这段时间以来，一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动，这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙，给我们带来了又一轮的“吐故纳新”：

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

现在在内控的大旗下，桌面安全管理项目车轮隆隆，各路人马狼烟四起、厮杀在一处。前不久陆续接到各路十多个战报，端的是令人目不暇接。曾记否，今年年初写2006安全技术发展趋势时，没有将“桌面安全管理”列入引起争论不少，现在桌面安全管理果然杀气阵阵，难道不是2006的大热点吗？当初我的解释是桌面安全管理不是某个技术和产品，而是很多个/很多类产品的集成。现在观察一下各路的需求说明，心中还是被再次触动了一下。“桌面安全管理，你到底要承受多重”......

今天新浪上面有个关于萨班斯法案的聊天实录，内容很丰富，介绍了一些关于萨班斯的背景知识和当前的操作，值得一读。点击看原文

何巧莎 ： 具体在404条款里面，其实从大的方面来讲，对于惩罚的力度，对于内控，内控原来是在披露的财务报告中，其实原来是不要求的，这个法案要求详细地披露内控的评价标准，有两个层次，一个层次是管理层自己要建立一个很完善的内控的体系，还要在公司治理结构这个层面，要在董事会里面成立审计委员会，自己公司的内部要负责内部控制的评价标准、评价的方法、评价的流程，自己要出来一个内部控制的评价结果，这是一个层次。

　　又要通过外部的审计机构来对它的公司管理层做的内控的方法、内控的标准、内控的流程，对管理层做出内控评价的结果要做一个审计。

　　另外还要求在公司里面要推行信息系统做内控流程的固化。几个方面，一个方面是内部内控力量要强。外部要请外部的咨询师帮它完善内控的方法、标准、流程。增加了外部审计师的工作，当然从另外一个方面来说，外部增加的对404条款衍生出来的咨询的工作、审计的工作，使得外部的咨询公司、中介公司增加了很多业务，当然增加了大量的就业机会，这是一个副产品。

　　如果说对内控的一些重大缺陷披露得不彻底、不完整，导致财务报表失实，惩罚力度非常大。

据科技资讯网报导称BlueCoat的超级HTTP代理SG可以帮助大幅减轻补丁下载的带宽需求，帮助用户降低IT运营费用、提高安全防护水平。原来关注Bluecoat是因为它的ProxySG产品具备非常强大的HTTP审计功能，可以做的非常深入。没有想到，这里柳暗花明，人家还可以在补丁管理上面作工作。是不是可以这样理解，BlueCoat SG可以像Cache Engine那样工作，将请求的URL和返回内容缓存起来，在判断有新的相同请求过来时，就将缓存内容馈送给它。应用为王！尤其是在这个Web2.0和3G/NGN年代，后面看看HTTP防火墙、XML防火墙、VOIP防火墙、IM/P2P防火墙等新秀如何施展功夫了

词曰：威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。

今天下午发生了一件大事情！
经brother why主创并授权，在此独家发布一个福泽同侪的控制模型，呵呵。从公司控制、到IT控制、再到安全控制，该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间，充分利用Web2.0年代的P2P IM手段，展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊？

一个体系：12345678 Pyramids Framework
二个方面：技术和管理
三个层次：决策层、管理层、运维层
四个阶段：P D C A
五层控制：控制环境、风险评估、控制活动、信息沟通、监控
六个要素：资产、威胁、脆弱性、保护措施、风险、机会
七个质量（CoBIT）：机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程（CoBIT）：P O /  A I / D S / M E

其中，一讲的是整体和执行力，二强调的是管理、技术并重，三指的是全员参与，四是指螺旋式上升，五是COSO内控框架，六是安全控制要素，七是达到的目标质量，从这层开始 KPI，八是IT控制过程域，KPI/KGI之。

SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX，SOX......

COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO，COSO......

CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT，CoBIT......

ITGI写了不少白皮书，由于其Board中有很多BIG Four的人，所以在混沌的、争议中的SOX符合性旅途指引方面就显得分量很重。其中有一篇叫“

Sarbanes-Oxley: The importance of information technology in the design, implementation and sustainability of internal control”，在Page34，有一个立方体，讲的是SOX,COSO和CoBIT的关系，我把它做了个中文版，看看大家是否用的上。

最右边标识的前后维度是SOX维，这里列出了SOX合规性和IT最为相关的404条款和302条款。最左边标识的上下维是PCAOB和SEC官方对萨班斯合规性的内控要求框架 － COSO框架：五个层次，控制环境－风险评估－控制活动－信息和通信－监视，每个层次中都包含很多内控方面的要求。注意COSO不是专注于IT的，更多的是财务风险相关的，但是框架是通用的。而当前我们在SOX符合性方面的修补工作则主要集中在控制活动（Control Activities）中。 最上面的左右维讲的是CoBIT的四个控制域： PO - AI - DS - ME，这里已经采用了CoBIT4.0的提法。

[separator]

我又检查了一下ITGI的站点，发现刚刚发布了一个第二版，这副图消失了，取而代之的是一幅成熟度图。这副成熟度图与以前大家看到的CoBIT为代表的IT治理成熟度图很像，与CMM成熟度分级也很像，呵呵。

它分为从0－5六个等级，它们分别是：

还没有仔细看新版本的其它内容变化。大家有什么收获可要记住分享啊。 其实在ITGI，还可以找到更多的讨论这几种最佳实践、标准之间的映射关系的白皮书和文章。这里体现出西方文化的互融性，相对来说“山头主义”的倾向小的多了。

偶然间读到任总在2005年4月份写的一篇安全市场分析文章，下面将我的个人观点与大家讨论一下。中国的安全市场实际上一直没有出现任总讲的“爆发阶段”的迹象，实际上2005年国内不少安全公司的业绩还相当不如人意，几家主要的国内安全公司内部还出现了一定程度上的动荡（例如联想网御事件、安氏分拆与亿阳购并事件等），这不能不说是受市场不振的影响。现在冷静地观察，这样的爆发阶段短时期内也不会出现。作一个反向分析，有可能引发安全市场急速发展的潜在因素可能有：

• 安全等级保护 :: 等级保护今年正式进入各安全公司的射程。启动大会后，很多大企业都收到了相关的等级保护“合规性”要求的通知，“等级保护”有可能引起电子政务、税务、金融、交通、电力等国有大型组织企业加强网络安全方面的采购。采购产品包括反病毒、防火墙、入侵检测、安全审计等。但是，很多组织在等级保护方面还没有明确的试点作为参照，第一步应该是风险评估和划分安全等级。然后，按照安全等级制定实施相应的安全保护措施，包括技术和管理两个方面。但是，由于原来电子政务部分占有总体安全市场的份额较低，所以这部分增长预计不会拉动整体国内安全市场到出现“爆发”的程度，
  
• 3G :: 3G牌照发出后，将会出现新一轮的大规模网络建设，从光网络、交换机、路由器、以及大量的业务系统，这些运营商信息系统全部需要高强度的安全保护。另外，3G年代的终端将面临前所未有的安全威胁，预计智能终端上面的反病毒、内容安全、反垃圾邮件、漏洞管理、反钓鱼等等安全需求都有迅速上升。两者相加，3G可能会带来10亿以上的额外安全市场采购，从而带动整体安全市场的上涨。但是，3G牌照的发放时间尚无定论，或许到明年3G大网安全采购2007年才会显现，而3G终端安全又要再滞后1-2年，至08年以后才会逐渐显现。
  
• SOX :: 萨班斯法案“合规性”的要求当前是四家电信运营商以及其它数十家美国上市公司的关注点，作内控框架，评估内控点，实施修补计划。SOX合规性凭空为主要的咨询公司在全球带来了数十亿美元的市场收入。但是，国内SOX带来的这部分增长并不像美国那样的明显，首先上市公司的数量有限，其次当前SOX合规性主要以管理措施为主，相应的安全工具产品的采购和部署并不是主旋律（IAM方面的需求上升最大）。
  
• BS7799/ISO27001 :: BS7799演化至ISO17799（原Part I）+ISO27001（原Part II）后，世界范围内的企业接受程度将会上升，相关的认证、培训、ISMS管理咨询、安全控制点加强等会拉动安全市场，但是这种影响预计只会体现在安全市场每年的CAGR 20-30%左右的范围里。