电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:346900中移动一员工长期从事萨班斯法案遵循工作,受内控思想熏陶,要求其妻每月换一次家里电子防盗密码锁,每周更改一次密码,买任何东西均须留有书面记录并让卖方签字确认...。其妻实在无法忍受,带其去医院就诊,医生问明原由后,确诊为"遵循性精神失控症"并对其妻密语治疗方案,其妻用疑惑的眼光盯医生。医生说:我夫人也在移动公司工作,上周出现疑似"遵循性精神失控症",已被我用此方法将她脑袋出现的缺陷及时进行了修补.....
遵循性精神失控症,呵呵。带有多么明显的时代烙印的术语。;) 这里密语的”治疗方案“到底是什么呢?我想啊想,还是没想出来......
这些日子,很多上市公司都在忙SOX(君不见UT已经乱在财务报告上了,从亚洲明星直接沦落到了这个样子),很多咨询公司都在忙SOX,于是很多顾问也都热心讨论SOX。可是,从SOX要求的IT内控体系上来看,从内容透明、可操作性、客观性等方面来看,都似乎还不够成熟。虽然说是ITGI坚持说CoBIT就是SOX需要的控制框架,可是与COSO毕竟中间还是隔了一层。Big4现在的角色既是裁判员,又是运动员,直接在热心的本土咨询商的额头上就贴上个”非权威“的标签。这就有失公平了,偶尔看VoIPsa的邮件列表,看到Gary Audin写了一篇文章,讨论VoIP的安全性与SOX的关系,并且开篇明义地怀疑了SOX对IT内控的当前操作,含蓄地预言SOX的IT内控将来可能会被重新定义。我把这篇评论贴在下面,在最后还有我当初的一个很短的评论,欢迎大家的讨论。
先看一段国内的新闻:
美国A10网络公司带着业界第一个基于身份认证的网络安全管理器--IDSentrie?1800亮相中国市场,向中国用户全面介绍自己在网络安全领域的最新解决方案。这标志着美国A10公司正式进军中国网络安全领域。同时,A10网络公司创立者兼首席执行官Lee Chen表示,为用户提供一个基于身份认证的网络安全解决方案在当今网络安全市场尤显重要。
传统的身份识别和访问管理(IAM)在使用上非常复杂,在价格上也是相当昂贵,每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法,不但难管理、难配置、难输入、难同步、易出错,而且会造成“政出多门、相互矛盾”。 而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构,传统认证系统早已无法胜任如此复杂的系统。IDSentrie? 1800采用了统一管理的方法,通过集成四个基于身份的管理组件,创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台,从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。四大功能组件包括:业界处理速度最快的,基于标准的RADIUS认证服务器;业界首家协同管理用户和网络安全设备的统一身份管理引擎(UIM);业界首创的基于身份的网络行为监察及纪录(FLA)以及基于身份对用户网络行为进行实时监控的高级报表组件(AD),这些都运行在IDSentrie? 1800固化的操作系统之上,用定制的硬件为所有分布在企业网络中的身份信息提供安全管理。它使IAM简单化,是一种新型的实用性强而且价格相对较低的认证管理产品。
美国A10网络公司旨在创建一个即简单实用又具尖端科技的平台以迎合各种来自网络实体管理的内在挑战,同时为全球客户提供本地化的网络安全系统建设和运营管理的专业服务,帮助各行业客户提高效率、降低风险,降低网络运作成本。
或许A在网络信息安全这个领域中有点神秘色彩,也有些特殊地位。Authentication, Authorization,
Account, Accounting, Audit, Availability, Accountability,
Administration, 很多A,每个A都在A的名义下定义了不同的功能。
最早Cisco路由器配置中的AAA Newmodel,其中的AAA是指:Authentication, Authorization,
and Accounting.
功能很明确,先作用户认证,然后授权他可以在设备上面进行什么样的操作,最后,进行记帐。对,这里的Accounting,就是记帐,不是帐号。它帮助运营单位对网络流量和操作进行记帐。
IDC中AAA的分类,定义了AAA,这里的AAA与Cisco网络设备配置中的AAA有所不同,区别点在于第三个A,IDC的AAA的第三个A是指
Administration,
其实含义基本上是除了Authentication认证,Authorization授权,以及Anti-virus反病毒、Firewall防火墙、
IDS入侵检测系统(在2000年以前,似乎IDS和扫描器都在这第三个A中,后来IDS单独分类统计)。现在IDC重新定义了AAA,将其分成了两个区域,第一是IAM(Identity
and Access Management),第二是SVM(Security Vulnerability
Management)。参考下面的示意图,IAM中增加一个新内容,就是目录管理,SVM中也增加一点新内容,就是漏洞管理。漏洞扫描产品(scanners)本来也是属于IDC
AAA中最后一个安全管理的内容,后来与IDS成为一个分支
ID&A,现在漏洞管理的名义下重新回到SVM下面。当然了,今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。
而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型,它的全称应该是: Account,
Authentication, Authorization, Audit,也反映了中国安全业界对于安全管理的思索和创新。
下面是一篇电子文档安全的老报导,原来在2001年时有个顾问服务项目中客户就很需要这样的文档安全,可是那个时候产品很少,当前业界类似的产品多了起来。是不是也可以算是应用安全的一种呢?似乎又不是,应该是单独的数据文档安全。因为这些产品并不附加在、附着在某些、某个应用上面,也不内嵌在某些、某个应用里面。不知国内还有什么公司有类似产品?下面是关于亿赛通科技公司的产品报导。
保障电子文档安全 亿赛通科技强势出击
下面这个帖子来自ChinaCISSP论坛上的一个回帖,我整理了一下贴上来。原文主题是:" 国内安全审计服务厂商以何抗衡四大!"
Big 4原来是Big
5能够成就自己在世界上的地位,除了有自己的不传之密之外,还能看到他们的客户能够保持相当的稳定(财务审计每年必审,信息系统的审计逐渐被认可),每年都有会有相对固定的客户和现金流基数,在此基础上,经济的发展会带来新的客户,争取新的市场,逐步发展下来。
反观我们现在的安全咨询服务领域,首先不具备这样稳定的市场需求,国内支撑这一市场的大客户的采购往往受某一位领导的左右,领导换了,是否采购、采购谁,供应商很难保持自己的“老客户”。大家都知道维持一个老客户的成本是发展一个新客户成本的十倍。这样,同质化的服务内容和质量、易变的客户和市场,导致这一块不容易产生稳定的增长。
早在2002年,我上家公司就策划成立独立的安全服务部门,后未成立。我知道,现在“战国七雄”中有的现在有独立的安全咨询公司,有的在内部正在酝酿成立相对独立的安全服务公司,从个人感情上看,我觉得是件好事情。可是市场如何,还要看这个服务公司与自己的母公司的销售平台、利益分成等关系的处理。
我们古话说:修身、齐家、治国、平天下,或讲“进而兼营天下,退而独善其身”,公司内部的修为、内功联好了,成熟稳定了,企业联盟才能联盟,才“能”谈联盟,否则就有市场炒做的成分了。
我们国内企业不仅仅在网络安全这样的小市场上不容易表现出合作、联盟的精神,就是在我们相对有一些优势的行业 -
例如家电制造业,当前的联盟和合作也非常不好(我不清楚闪联现在的活动情况,这里也不指闪联),就像高清EVD现在的窘境,很让国人撮火(阜国陷入专利典当丑闻)。现在电信业的TD-SCDMA也是一个挑战。
“和为贵”很好的一句话,这是我们本来中国“儒商”的底蕴和魅力。公司厂商之间的“和为贵”的基础是公司自身的创新、自身依靠创新摆脱同质竞争、内部公司治理的成熟稳定、以及而来稳健的市场策略等。
中国企业能否作大作强,归根到底还是企业治理的问题,华为和中兴、海尔等是中国企业中在企业治理方面的先锋和楷模,而很多企业和公司都倒在了规模增长带来的内耗和企业风险。就像我在
2006不欢迎动荡之联想风波一文中提到的宏智和联想网御(不知道安氏算不算)。内部动荡和内耗伤害国内公司太厉害了。
咨询服务行业的企业由于公司运营成本和收入大部分都是“人”的问题,对企业治理的需求依赖性更高。比肩Big
4非一日之功
前些时候,写了一份安全技术发展趋势-2006,不管是否有说服力、是否有前瞻性,供大家参考,留给时间去检验。这次,瞻望一下安全管理方面的发展,与大家一起来讨论。我个人认为接下来的安全管理发展有三个特征:
其一是走向规范标准。虽然在焦点网上面也有一些“嘲笑”BS标准的帖子,但是借鉴最佳实践、遵循国内国际标准和规范还是不可更改的趋势,这是一个行业走向成熟的标志。据说南方某大型电信公司的数据中心也正在积极接触,有计划通过BS7799的认证。
其二是深入企业和组织的核心业务。我们可以在国内做安全较早的企业组织那里就可以看到这一趋势。关注的不仅仅是一些通用的服务器和桌面系统的安全的,而是应用和数据,而是各重要的业务系统内部了。
其三是走向集成化和平台化。这一点也与安全技术发展的趋势相匹配,安全产品产生的大量信息、和安全管理相关的活动产生的大量信息等都需要进行共享、相关、展现、挖掘等,集成化和平台化的安全管理支撑系统有助于提升安全管理的效率和针对性、实效性。
现在兴数据大集中,银行又是先驱,做了现在电信想做又不太敢作的事情,电力、交通等很多行业也都在不断的思量、探索,本地网集中,省网集中,物理集中,数据集中,应用集中,....集中就是明天吗?集中就代表先进吗?集中就一定能节省投资、提高运营效率吗?集中还会带来什么?下面的新闻从另外的角度给了决策者新的考虑点。
http://finance.sina.com.cn 2006年02月26日 11:20
经济观察报 本报记者 刘兆琼 上海报道
原文:安全管理与执行力
其实,执行力是个管理学上的普遍问题。高的执行力并不一定带来理想的、正确的效果。例如文革时期,毛泽东利用自己的绝无仅有的影响力促使很多看起来虚无飘渺的、不切实际的命令被无条件的执行,全国范围的。不过,准确的说,这不是执行力的错。执行力是指形成的决议可以得到有效的执行,而没有涵盖前面形成决议的过程。那个阶段如何民主、如何分析、如何达成科学的、正确的决议是另外的管理学问题。
但是,对于网络安全工作来讲,重要的是很多基础的工作都没有做好,普遍性的、常识性的一些安全措施都没有做到位。在这种情况,安全主管的挑战就是执行力,如何将这些基础措施和安全策略实施下去。
安全经理,或者称为首席安全管,安全主管,这里指的是在企业组织中负责网络安全工作的经理,通常是一位中层领导,他还主管着信息系统的其他方方面面,例如运行维护,或者项目建设等。安全经理在企业组织的安全管理活动处于非常关键的地位,承上启下,分解高层对于网络安全的观点和使命,管理控制具体的安全运行和建设维护,他负责决定实际实施的技术路线和方案选型,抽象总结实际的安全工作的问题和由于其所处的位置为中层,就像“三观论”中的“中观”,企业组织的信息系统安全水平很大程度上取决于他个人对于网络安全的理解、重视与否和执行程度。
我经常对自己的愚钝、以及管理过程中的错误进行反思,看看是否可以找到一些方法来避免自己的愚钝和疏忽、固执,或者能够帮助面临自己同样境地的人。每个人都有每个人的困境,这里没有“银弹”。下面列出的不可忘记的五件事供您参考,或有一用,则善莫大焉。
本文最新版在【Telecom,Security and P2P】
有朋友称“联想网御的动荡”为中国2005年最后的网络安全风波,时至今日,动荡的主要轮廓已经展现在了我们的面前:联想网御的原高管俞兵和任增强等离职,其中俞兵已经接到新职 - 阳光传媒的董事,而任增强则加入(或创建?)了让人充满猜测的新公司 新联网御,而亚信方面则任命了齐舰接替担任联想网御的新当家人,并且推出新措施用以留住准备辞职的员工,恢复士气。其间更有传说在俞和任带领的大规模辞职之前,联想网御已经悄悄与大量员工解除了“竞业禁止”协议,目的就是为了这个刚浮出水面的“新联网御”,随机而来的就是联想网御的预期收入大降云云。
本文最新版在【Telecom,Security and P2P】.
时间如白马过隙,匆匆忙忙中2005年就结束了,现在2006年的时针转的似乎比去年更快。有朋友提醒说总该回首一下、前瞻一下,拖了一段时间,总算写下几段文字,也算对自己和朋友有个交代。
2005年不能算是安全市场的丰收年,写下
战国七雄的文字后,未料到其中已有玩家遭遇“宏智”-like的不幸,我自认不是乌鸦嘴,这事肯定与我无关,:(
还是看看后面的技术发展吧。我借用了Gartner公司的新技术发展曲线,将若干我想到的安全技术都拎出来,给他们找了个位置。欢迎大家批评、评论。
请看:
据媒体报导,安全巨头Symantec昨日宣布购并即时消息管理软件公司IMLogic. IM/P2P对企业边界的影响非常深远,对企业网络边界的侵蚀是潜移默化的,逐步消融的,需要企业IT经理认真对待。Gartner的2005年6月份和7月份等的“Talking Technology”中诸位专家多次谈到IM/P2P的管理,这里不仅仅是安全管理,还有身份管理,流量管理、档案管理、符合性等多方面的考虑。
IMLogic和
FaceTime, Akonix, SurfControl, BlueCoat,
等是当前业界主要的即
时消息IM/P2P方面的管理和安全供应商。这次收购将会成为后面类似公司市场价值的标竿,并且可以预计将会“哄抬物价”,提高这一市场的进入门槛。
相信这次收购对CA/IBM/HP也会产生相当的触动。IM/P2P的管理,包括识别、控制、计费、质量等可能成为下一代信息系统管理四大家Big Four(IBM/HP/CA/BMC)的基础性构件。虽然当前这块市场不是很大,按照IDC的估计IM管理软件市场将会从2005年的3.15亿美元增加到2009年的7.36亿美元。但是具有战略意义,关乎各家的“比较优势”。
另外这次收购对于MaAfee/CA/TrendMicro等反病毒、反垃圾邮件等厂商也会有 相当影响。前些时候已经出现了利用IM/P2P应用传播的蠕虫。预计后续收购行动将会很快出现。
赛门铁克的收购狂欢2006年没有显露放松的迹象。1月3日,赛门铁克宣布了收购企业即时消息客户端软件提供商IMlogic的计划。
IMlogic是前微软高级官员Francis
deSouza在2001年成立的,公司在马萨诸塞州沃尔瑟姆。IMlogic销售帮助企业保护和管理即时消息通信的软件。收购预计2月初完成,财务细节没有被披露。
据赛门铁克安全产品高级副总裁Enrique Salem说,赛门铁克计划今年把IMlogic的安全和内容检查功能集成到自己的反垃圾邮件和反病毒软件以及自己的安全专用设备中。
赛门铁克还将把即时消息存储和管理功能添加到自己的Enterprise
Vault存档软件里,这个软件是2005年赛门铁克收购Veritas时获得的。
以前赛门铁克和IMlogic在安全研究上合作过,而且2002年以来Enterprise Vault一直和IMlogic IM
Manager软件集成。当时Enterprise
Vault是Veritas开发的,去年赛门铁克收购了Veritas。
据Gartner研究总监Peter Firstbrook说,赛门铁克收购IMlogic意义重大。他说:“这的确非常合适,双方的产品几乎没有重叠。”
据Firstbrook说,即时消息安全市场目前较小,年销售收入在3000万美元左右,但这个市场每年增长超过100%,受到 McAfee和趋势科技等安全软件大厂的关注。他相信随着电子邮件和即时消息产品纠缠在一起,其他即时消息安全厂商,如FaceTime Communications和Akonix Systems将成为重要的收购目标。
IMlogic有90名左右的员工。赛门铁克的Salem没有透露收购完成后是否会裁员
本文原文在 Telecom,Security and P2P
Powered by Haiwit