电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:346610这里有篇文章将孙子兵法和汉尼拔等古人和我们的网络安全联系在一起,攻击者有何时何地发起攻击的选择权优势,而防守者有具备地利人和的优势,看看这篇短文吧...
Security lessons from Sun Tzu and Hannibal
Oct 10, 2006, By Mark Willoughby, Computerworld (US)
History books are full of lessons relevant to today's data security battles. Hackers understand history's lessons and reduce their risk by carefully studying a potential target before designing attacks with a high probability of overcoming defenses. This sort of risk assessment is one criterion that Sun Tzu, author of The Art of War, used more than 2,500 years ago to evaluate the chances of success in a looming conflict.
Although we're not losing the war against hackers, one problem we face is that an elusive and unknown enemy picks the time and place of the engagement, which gives him an extremely powerful advantage.
近日读凌志军先生所著的传记文学《联想风云》,破多感慨。柳总为代表的第一代联想创业者“披荆斩棘”,其中战战兢兢于各种灰色地带,为生存而忍受屈辱,读来让人如身临其境,深刻感受到联想生存下来并获得发展的硬道理。据说柳总和元庆等经常讲联想是"九死一生"。书中讲述了很多“九死”的历史。例如在第一笔IBM微机代理业务的签署过程中,柳传志被中仪(中国仪器进出口公司)的一个职员手指着鼻子喝出,柳不畏屈辱,最终搞定这笔业务。后面又为了2万美元货款只身前往深圳,抛下抱病住院的妻子于不顾,与几个陌生人住在每晚8块钱的小旅店内,含泪疾书,最终感动香港合作方(香港中银),取回货款。
“办公司就是办人”,小公司和大公司一样,最重要的问题依然是人的问题,并不会因为员工少而变的简单。如何能使菲薄的人力能够紧紧团结在一起,做“相关”的动作,才能发出“激光”,出现化学反应。这一点甚至比产品和技术本身更为重要。后来柳传志和倪光南之争,我基本同意柳传志的观点,汉卡对于联想虽然非常关键,但是即使没有汉卡和倪光南,联想依然可以找到另外一个技术获得发展。联想办人的成功(后来的入模子培训与早期联想企业文化的形成)是联想能够从惨烈的PC市场脱颖而出并获得发展的“硬道理”。
以此给执着于创业道路上的各位朋友共勉。十五的月亮十六圆,中秋快乐!万事顺意!
推荐一篇写的很棒的文章,原文位于ChinaCissp...
六年如逆旅,我亦是行人
一个顾问的六年安全从业经历
前言
在屏幕上敲下这行改自苏轼原诗的句子,就觉得心中突然少了点什么,虽然不至于说是丢掉了清白,但起码应该是少了某种良好的习惯,就象呆惯了阴暗的房子,现在决定要走到太阳底下去。实际上我心里也明白,写这篇东西就等于是开始说话,从此就不再是沉默的大多数中的一员了。用电影行话来说,走出这道门,那从此就是江湖中人了,生死由命、富贵在天。
今天看到荆继武老师的一篇文章,分析了中国本土信息安全企业的创业之旅,给出了很多非常有益的建议。这段时间以来,一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动,这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙,给我们带来了又一轮的“吐故纳新”:
现在在内控的大旗下,桌面安全管理项目车轮隆隆,各路人马狼烟四起、厮杀在一处。前不久陆续接到各路十多个战报,端的是令人目不暇接。曾记否,今年年初写2006安全技术发展趋势时,没有将“桌面安全管理”列入引起争论不少,现在桌面安全管理果然杀气阵阵,难道不是2006的大热点吗?当初我的解释是桌面安全管理不是某个技术和产品,而是很多个/很多类产品的集成。现在观察一下各路的需求说明,心中还是被再次触动了一下。“桌面安全管理,你到底要承受多重”......
今天新浪上面有个关于萨班斯法案的聊天实录,内容很丰富,介绍了一些关于萨班斯的背景知识和当前的操作,值得一读。点击看原文
何巧莎 : 具体在404条款里面,其实从大的方面来讲,对于惩罚的力度,对于内控,内控原来是在披露的财务报告中,其实原来是不要求的,这个法案要求详细地披露内控的评价标准,有两个层次,一个层次是管理层自己要建立一个很完善的内控的体系,还要在公司治理结构这个层面,要在董事会里面成立审计委员会,自己公司的内部要负责内部控制的评价标准、评价的方法、评价的流程,自己要出来一个内部控制的评价结果,这是一个层次。
又要通过外部的审计机构来对它的公司管理层做的内控的方法、内控的标准、内控的流程,对管理层做出内控评价的结果要做一个审计。
另外还要求在公司里面要推行信息系统做内控流程的固化。几个方面,一个方面是内部内控力量要强。外部要请外部的咨询师帮它完善内控的方法、标准、流程。增加了外部审计师的工作,当然从另外一个方面来说,外部增加的对404条款衍生出来的咨询的工作、审计的工作,使得外部的咨询公司、中介公司增加了很多业务,当然增加了大量的就业机会,这是一个副产品。
如果说对内控的一些重大缺陷披露得不彻底、不完整,导致财务报表失实,惩罚力度非常大。
现在IAM/AAA/AAAA项目热火朝天,一般规划中,系统和应用常常花开两朵。系统级的IAM/AAA/AAAA相对来说,技术产品都较为成熟,项目风险也容易控制。但是应用级的IAM/AAA/AAAA建设就不一样了。一方面这方面的技术产品在国内的应用时间较短,技术储备也没有前者那么多,建设中、建设完成的项目数量也比较少,另一方面,应用级的IAM/AAA/AAAA往往涉及到应用改造,需要深入应用的架构和流程,所以惊动面比较大,牵掣的部门较多,所以“政治”“人事”就都需要考虑进来,往往不是运维部门的同学们可以自己决定得了的。
下面这部分内容大部分取材自Gartner的一个报告,“The Do's and Don'ts of Identity and Access Management ”,分析了在IAM建设中那些一定要作,那些一定不要作。 其中的一些观点也颇有启发性,我总结了几个放到下面供大家讨论参考。
原来也混在eTom爱好者的队伍里装模作样的学习eTOM,后来老想着怎么样借用一下人家eTOM的最佳实践方法,于是就有了下面这幅安全运营图Security Operations Mapping - SOM:
防火墙“硬”了,IDS也“硬”了,反病毒网关"硬了”,Anti-DoS“硬”了,流量分析“硬了”,UTM从一生出来就是“硬”的,现在身份帐号IAM产品也有“硬”起来的风声,例如RSA的、还有那个A10的,难道说在网络安全市场中“硬件”要“通吃了吗? appliance will be all? 看看下边这则新闻,Symantec显然有了不同的想法,并且还大庭广众地说了出来,要全心全意的作“软件”厂商了,逐步降低“硬”化投入。当然,CA更是如此了,“硬化”一点都没有考虑的意思。我们也一直对Checkpoint没有“硬化”感到困惑。看来咱们中国国情与西方的市场和技术需求还是有所差别,不管怎样,“硬件”未必就能通吃未来的安全市场,软硬都有理!
前不久huangmin推荐的文章反思了当前可信计算(TC)领域存在的一些令人不安的方向发展,李博士则介绍了国内可信计算的研究进展和天融信的可信观点。下面是赛迪网关于“可信等级体系解决方案”的报导。第七届安全展上有些大厂没有参加,例如思科、华为、Juniper、Symantec、Trendmicro、McAfee等,但国内厂商基本上全部到位。从会后的报导上看,关于等级保护的话题很是热门,大潘强调了“中观”的重要性:【以三观论的中观为导向,着重解决管理者的两大难题:“不知道发生什么情况,不知道接下来该怎么办”。从而达到信息情况可视化、决策指令明确化的目的】,天融信则推介了可信等级体系解决方案。不敢确认这到底是不是第一次看到“可信”和“等级保护”联系在一起,反正还没有看明白这两者间的结合点。如果只是17款产品的分级部署、建立可信路径等似乎还不够,将SOC平台直接作为可信计算平台也不能让人信服。不管怎样,这的确是个很有创新性和挑战性的工作。
可信是一种安全计算技术,而等级保护则是国家的安全保护要求,可信如何服务“等级保护”?呵呵,欢迎天融信的朋友和各位好友、业界同仁一起来讨论一下啦。
词曰:威镇乾坤第一功, 辕门画鼓响冬冬。云长停盏施英勇, 酒尚温时斩华雄。
今天下午发生了一件大事情!
经brother why主创并授权,在此独家发布一个福泽同侪的控制模型,呵呵。从公司控制、到IT控制、再到安全控制,该模型被命名为12345678 Pyramids Framework。这个模型的产生完全是在电光火石之间,充分利用Web2.0年代的P2P IM手段,展现了互联网的巨大创造力。哪位平面设计或Flash高手给贡献个图形版啊?
一个体系:12345678 Pyramids Framework
二个方面:技术和管理
三个层次:决策层、管理层、运维层
四个阶段:P D C A
五层控制:控制环境、风险评估、控制活动、信息沟通、监控
六个要素:资产、威胁、脆弱性、保护措施、风险、机会
七个质量(CoBIT):机密性、完整性、可用性、有效性、高效性、符合性、可靠性
八个过程(CoBIT):P O / A I / D S / M E
其中,一讲的是整体和执行力,二强调的是管理、技术并重,三指的是全员参与,四是指螺旋式上升,五是COSO内控框架,六是安全控制要素,七是达到的目标质量,从这层开始 KPI,八是IT控制过程域,KPI/KGI之。
下面是一则新闻报导,讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞,使得恶意软件畅通无阻,安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题:缺省的安全配置是否应该相信设备,允许其通过。缺省是完全的“断”,则用户将会不断的被告警打扰,不胜其烦,最后还是关掉,厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了,问题就在于这个取舍的度上面。
当前的灰色软件和流氓软件的确是越来越多,还真难将他们严格地分为恶意或者正常,但是不管怎样,单单依靠是否具备签名似乎显得简单了些。由此想到,在SOA的架构里,在未来Web Services遍布的时代里,如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。
偶然间读到任总在2005年4月份写的一篇安全市场分析文章,下面将我的个人观点与大家讨论一下。中国的安全市场实际上一直没有出现任总讲的“爆发阶段”的迹象,实际上2005年国内不少安全公司的业绩还相当不如人意,几家主要的国内安全公司内部还出现了一定程度上的动荡(例如联想网御事件、安氏分拆与亿阳购并事件等),这不能不说是受市场不振的影响。现在冷静地观察,这样的爆发阶段短时期内也不会出现。作一个反向分析,有可能引发安全市场急速发展的潜在因素可能有:
中移动一员工长期从事萨班斯法案遵循工作,受内控思想熏陶,要求其妻每月换一次家里电子防盗密码锁,每周更改一次密码,买任何东西均须留有书面记录并让卖方签字确认...。其妻实在无法忍受,带其去医院就诊,医生问明原由后,确诊为"遵循性精神失控症"并对其妻密语治疗方案,其妻用疑惑的眼光盯医生。医生说:我夫人也在移动公司工作,上周出现疑似"遵循性精神失控症",已被我用此方法将她脑袋出现的缺陷及时进行了修补.....
遵循性精神失控症,呵呵。带有多么明显的时代烙印的术语。;) 这里密语的”治疗方案“到底是什么呢?我想啊想,还是没想出来......
那是在2000年的时候,就有业界的高人说三大杀毒厂商之一的老板已经赴西雅图谈判反病毒软件的合作事宜了。后来,多少次欲唱还休,多少次欲擒故纵,从OEM小厂开始,从anti-spyware开始,从xp sp2的内置firewall开始,现在他就要来了,来着不善。似乎是在与不久前刚刚发生的“Symantec状告微软知识产权,要求推迟Vista发布”的Veritas门事件有意呼应,微软在其Live家族产品中端出一个桌面套件,selling software as a service. 不知大家是不是有点出乎意料,为什么是49.95美元呀?还以为是49美分呢,呵呵。毕竟这次没有免费。请看下面的新闻......
这些日子,很多上市公司都在忙SOX(君不见UT已经乱在财务报告上了,从亚洲明星直接沦落到了这个样子),很多咨询公司都在忙SOX,于是很多顾问也都热心讨论SOX。可是,从SOX要求的IT内控体系上来看,从内容透明、可操作性、客观性等方面来看,都似乎还不够成熟。虽然说是ITGI坚持说CoBIT就是SOX需要的控制框架,可是与COSO毕竟中间还是隔了一层。Big4现在的角色既是裁判员,又是运动员,直接在热心的本土咨询商的额头上就贴上个”非权威“的标签。这就有失公平了,偶尔看VoIPsa的邮件列表,看到Gary Audin写了一篇文章,讨论VoIP的安全性与SOX的关系,并且开篇明义地怀疑了SOX对IT内控的当前操作,含蓄地预言SOX的IT内控将来可能会被重新定义。我把这篇评论贴在下面,在最后还有我当初的一个很短的评论,欢迎大家的讨论。
Powered by Haiwit