电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:332671
刚刚注意到,这个博客的访问量超过100万了,心里很惶恐,承蒙这么多同行关心,可是现在由于工作忙的要死,所以博客的更新的频率很慢很慢,维护两个博客就更加艰难了。所以,以后的更新我将主要放在http://sbin.cn/blog那里,并且中英文都放在一起。目的只有一个,减少维护成本,稍微省些时间在内容上。呵呵,希望大家就不要见怪了。
PCI的全称是Payment Card Industry, 是信用卡相关的一项符合性标准。目前我尚不清楚到底有多少个国家实施了这个标准,北美是要求的。这个标准在硬盘里休息了很长时间,今天在飞机上终于有时间将它打开读了起来。我手里的版本是2006年9月份的。
笼统看,PCI 数据安全标准(DSS)共有6组12大要求,覆盖了从建设、到运营和策略的很多方面。相对于BS7799/ISO7799/ISO27001和CoBiT等,它的要求显得很朴实直接、具有很高的操作性。下面就是那6组12大要求,中英文对照:
5/18 早晨给我们留下了深刻的记忆,由于Symantec公司病毒代码库2007.5.17 rev 18的错误,sav将简体中文版Windows XP的两个关键的系统文件c:\windows\system32目录下的netapi32.dll和lsasrv.dll误报为 backdoor.haxdoor病毒, 并提示用户推荐删除该文件。用户当然服从命令听指挥,系统也就在重起时隔离这两个文件,导致无法正常重起,出现蓝屏。
联想在购并IBM
PCD后,在艰苦的业务重组的背后是艰辛的IT重构。从大的方面看,这些挑战体现在如何重构原来中国的IT平台使之能够支撑全球的业务,如何迁移原来IBM的Legacy应用和系统,将对原有业务和客户的影响降到最小。IT部门付出了巨大的努力,这些努力也得到了非常可观的回报。具体到基础设施,全球骨干网正在紧锣密鼓的建设中,越来越多的海外公司和分支机构正在迁移在新的骨干网和IT平台之上。艰苦的工作在意料之中,没有料到的是其中相当部分的精力时间资源被花在了“manage
vendors"上面,一言难尽...
下面转贴一份王敬宜的文章”“二变一”的缠斗:基础篇“,
“二变一”的缠斗:迁移篇”
Windows
Vista是当前的一个热门话题,我也经常被问到公司什么时候将桌面标准升级到Vista。对于一个小组或者个人,这不是个问题。但是对于一个大型企业,问题就很多了。先不说Vista自身的稳定性,单说当前硬件有多少需要升级,多少桌面计算机需要淘汰,老应用软件有多少兼容,对于不兼容的老应用如何处理,企业当前是否有预算,等等,这些还不仅仅是一个钱的问题,很不容易轻易作出决定。另外,从实际操作上看,Helpdesk和技术支持方面还需要有大量的测试和技术储备,以应付升级过程和升级后的大量可以预见的用户Calls。有没有同行或者其它朋友了解到除了微软外,还有那家大型企业开始了Vista升级行动?
今晚看到一篇Vista的安全指南,没有时间全部看完,觉得写的内容不错。下面有一段官员SpyNet,有些疑惑,不知哪位朋友了解,多介绍几句。先谢过!
平时在路边经常能够看到下面这两幅广告,很少见的和网络安全有关的路边、大众媒体广告。今天周末碰巧带着照相机,就把他给拍了下来。
“这就是安全 -
电子信息安全防护系统” --- “这就是安全 -
电子信息保密系统”, --- “诚招代理商”,
边上留着风语者公司的联系电话。
我总觉得这两幅广告像是一个探路者,网络安全能否成为大众消费品?反病毒有点像,个人防火墙已经被微软消灭了。这两幅广告或许在告诉我们风语者在探索大众认证和加密产品的接受度。我没有和风语者公司打过交道,也不认识朋友在哪里。不知他们现在的生意如何?
之前,不管是安氏、天融信、启明星辰、绿盟,还是华为、联想网御、东软、亿阳等等都还在企业市场中拼杀,瑞星、江民、金山、冠群金辰等在渠道和联邦店里出活。
风语者,你想作什么?
下面这则短文很多朋友可能都看过了,还是很有趣的。牧羊人总结了顾问的三个特征:
2003年春天爆发的SARS想必大家还记忆尤新,后来听到不少朋友介绍如何应对SARS、进行人员调整保证业务连续性的经验。后面的禽流感在我们中国并没有引起太大的反响,尤其是在IT圈子里。但是下面的文章就提出了面临禽流感威胁时,制定业务连续性计划时的一些最佳实践,...
Blackberry可以为用户带来全球范围的移动服务,随时随地地接受邮件、检查自己的日历和安排。在国内中国移动和中国联通当前也已经开始提供相关服务。
下面的两附图来自Dan Baker的一个PPT:
前些时候在制定企业桌面计算机安全标准时,讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处,其中主要是信息安全,甚至还有听说有人偷到这样的笔记本电脑后,无法打开,去专修店维修而不抓住,从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合,带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。
看下面的新闻评论,Seagate推出了硬盘级的加密技术DriveTrust,广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker,可以集成在WMI和AD的环境中,集中管理,但是没有对全部数据提供加密保护。两者真是各有千秋,不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样,在计算机中保存的信息越来越隐私、越来越值钱时,相应的安全保护技术也就有了大市场。
Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer, November 9, 2006
补丁是安全管理中的大问题,也是最让人头疼的问题。如果您说不就是要经常Windows Update吗?那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗?那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险,尤其是这个风险谁来承担。安全经理不愿承担后面的风险,生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类,比方说面向互联网还是内网等,也就是根据可能的安全威胁来分类,然后最威胁最大的那类特别处理,快一点打补丁,平衡点往前移一下。其它类服务器慢打一点,平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类,最重要的级别对补丁的测试肯定要最严格,平衡点往后移。这是理论了,现实中的操作就不容易了。
还有一个话题就是对于没有补丁的漏洞怎么办?这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多,但这是现实。作为用户,我们怎么办?下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下,值得考虑一下这样的应急方案。
To patch or not to patch
Oct 30, 2006, By Roger A. Grimes, InfoWorld (US) - Issue #44
不久前在科隆坡召开的Box Security安全大会上,著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势,它们是:
1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现,运营商、商业机构等有业务保护用户隐私,也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价,或者向原厂商索取,或者直接拍卖,Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践,也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看,还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力,这两年内国内外符合性的高度一高再高,其中审计就更加了。但是说是在的,就目前国内的实际水平而言,再强调也不为过。
2000年离开电信总局前在一个市场大会上的发言中提出了安全自动化、不存在安全孤岛(就是整体安全)等概念。自动化是保证普通大众受到安全保护的一个重要步骤。自动化是个双刃剑,安全和应用厂商使用它来加固、提升安全水平,但是它如果出现问题,也给了攻击者和恶意使用者另外一个渠道,能够轻松控制成千上万的受害者。下面这篇文章就分析了这种可能性,并且研究结论认为很多当前的流行安全软件中就存在这样的、那样的升级漏洞,例如McAfee, 还有Windows, Apple Mac OS, Adobe 等等。控制了互联网连接的攻击者很容易通过DNS欺骗等手段让被害者的计算机上当,将冒充的升级代码取回来执行从而被利用,或者被假冒的“太平无事”所欺骗。详细请看...
看了下面的短文,还能想起98,99那时使用ISS的Internet Scanner Suite、测试NAI's CyberCops、还有Axent(后被Symantec收购)的NewRecon的情景。手工输入扫描地址块,记得那时使用扫描器寻找匿名转发邮件的服务器。手工整理扫描出的漏洞,然后研究如何打补丁、改配置去修补漏洞。然后就是更加自动化的发现和扫描。再是资产的相关,将IDS/IPS的告警与发现的漏洞进行相关,来减少IDS的虚警。再往后就是与补丁一起构成闭环的“生命周期管理”。再往后呢?这篇文章提出,再下一步可能是NAC与扫描的自动发现,将扫描结果与NAC环境联系起来,提高漏洞发现的准确度。另外,配置管理是一个发展方向,就是说将漏洞或者脆弱性放在全局的配置管理数据库(CMDB)上,漏洞不再是只能通过扫描发现,而是可以通过配置管理自动比对发现,减少对业务的影响。当前MITRE主持的CWE和OVAL的发展应该与此有关。请看原文...
看到大潘的帖子,忽然发现到今天我来i170也正好一年了,借此宝地认识了很多新朋友,感谢Wolf和i170团队的辛苦工作,也感谢这么多关注这个博客的新朋旧友。现在新的工作上,忙的天旋地转,更新就一日慢过一日,感到很内疚。
晚饭吃的虾皮馄饨,儿子突然冒出一句“虾皮蒙住了馄饨的眼睛”,我联想到儿子昨天画的让我大吃一惊的“猴子捞月亮”,就补上一句成了下面的两句。不知这算不算是我当前的心情,还是什么其它的东西,反正是很朦胧:
Powered by Haiwit
