电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:354733先看一段国内的新闻:
美国A10网络公司带着业界第一个基于身份认证的网络安全管理器--IDSentrie?1800亮相中国市场,向中国用户全面介绍自己在网络安全领域的最新解决方案。这标志着美国A10公司正式进军中国网络安全领域。同时,A10网络公司创立者兼首席执行官Lee Chen表示,为用户提供一个基于身份认证的网络安全解决方案在当今网络安全市场尤显重要。
传统的身份识别和访问管理(IAM)在使用上非常复杂,在价格上也是相当昂贵,每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法,不但难管理、难配置、难输入、难同步、易出错,而且会造成“政出多门、相互矛盾”。 而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构,传统认证系统早已无法胜任如此复杂的系统。IDSentrie? 1800采用了统一管理的方法,通过集成四个基于身份的管理组件,创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台,从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。四大功能组件包括:业界处理速度最快的,基于标准的RADIUS认证服务器;业界首家协同管理用户和网络安全设备的统一身份管理引擎(UIM);业界首创的基于身份的网络行为监察及纪录(FLA)以及基于身份对用户网络行为进行实时监控的高级报表组件(AD),这些都运行在IDSentrie? 1800固化的操作系统之上,用定制的硬件为所有分布在企业网络中的身份信息提供安全管理。它使IAM简单化,是一种新型的实用性强而且价格相对较低的认证管理产品。
美国A10网络公司旨在创建一个即简单实用又具尖端科技的平台以迎合各种来自网络实体管理的内在挑战,同时为全球客户提供本地化的网络安全系统建设和运营管理的专业服务,帮助各行业客户提高效率、降低风险,降低网络运作成本。
或许A在网络信息安全这个领域中有点神秘色彩,也有些特殊地位。Authentication, Authorization,
Account, Accounting, Audit, Availability, Accountability,
Administration, 很多A,每个A都在A的名义下定义了不同的功能。
最早Cisco路由器配置中的AAA Newmodel,其中的AAA是指:Authentication, Authorization,
and Accounting.
功能很明确,先作用户认证,然后授权他可以在设备上面进行什么样的操作,最后,进行记帐。对,这里的Accounting,就是记帐,不是帐号。它帮助运营单位对网络流量和操作进行记帐。
IDC中AAA的分类,定义了AAA,这里的AAA与Cisco网络设备配置中的AAA有所不同,区别点在于第三个A,IDC的AAA的第三个A是指
Administration,
其实含义基本上是除了Authentication认证,Authorization授权,以及Anti-virus反病毒、Firewall防火墙、
IDS入侵检测系统(在2000年以前,似乎IDS和扫描器都在这第三个A中,后来IDS单独分类统计)。现在IDC重新定义了AAA,将其分成了两个区域,第一是IAM(Identity
and Access Management),第二是SVM(Security Vulnerability
Management)。参考下面的示意图,IAM中增加一个新内容,就是目录管理,SVM中也增加一点新内容,就是漏洞管理。漏洞扫描产品(scanners)本来也是属于IDC
AAA中最后一个安全管理的内容,后来与IDS成为一个分支
ID&A,现在漏洞管理的名义下重新回到SVM下面。当然了,今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。
而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型,它的全称应该是: Account,
Authentication, Authorization, Audit,也反映了中国安全业界对于安全管理的思索和创新。
下面的这份白皮书就是在我培训完管理按需计算(MODC),为了推广管理按需计算的概念而写的一份白皮书,题目是“业务相关性与按需计算管理成熟度”, 写于2003-10-31, 其中将一般性的IT管理按照管理按需计算的模型分为四个管理成熟度,每个成熟度到上面成熟度的进阶都需要相关的建设和优化、改善。
希望它可以当成一份背景资料,帮助大家理解按需安全(On-Demand Security)的概念,以及后来的Security 2.0。点击下载。
在Go Security 2.0中提到的按需安全(On Demand Security)这个概念来自2003年On-Demand
Computing概念的热潮,我自己在八月份有幸参加了在美国总部的Manage On-Demand
Computing的培训。大家知道,在那个时候,几个业界的老大都提出了自己的On-Demand概念,IBM就直接叫On-Demand,HP呢,叫Real
Time Enterprise,Sun,
Microsoft等都有自己的类似的概念,但是名称上都有些差异。但是当时按需计算的主要精神是一致的,按照IBM的观点,按需包括三大要素:集成化、自动化、虚拟化。CA的管理按需计算环境(MODC)则包含三个含义:
1 Deliver IT as a service, including mapping IT to business, runing
IT as a service, and hide details.
2 Service oriented architecture,
3 Self managing infrastructure
当时,我一直想如何在按需大潮里搞安全,如何互动的问题。后来我作了下面的这个slide,在几个场合用过:
在写完上篇Go Security2.0的短文后,这几天还在思考Security
2.0的话题。下面是2005在CSOOnline上的关于Security2.0一篇报导,似乎这是第一篇值得注意的讨论使用Security2.0这个词的报导。仔细看完了这篇文章,其中较为详细地介绍了一个大型国际能源公司如果进行物理安全、IT安全的融合、如何将关注点从安全保护转换为风险控制的案例分析。相信这样的变革在一个大型、传统行业的组织里是如何的艰辛。大家有兴趣、也有时间的话,建议也看看。
应该说,文中使用的Security2.0不同于我所提的Security2.0。Sarah认为Security2.0就是融合(convergence)、就是集成(integration)、就是全面安全(holistic
security),其中物理安全和IT安全的融合、集成,以及相应的组织机构和管理方式的改变被Sarah所称道。欢迎大家评论。
Security 2.0
What does it take to make convergence happen? One secret is to
sneak up on it, the way Constellation Energy did, by seeming to be
doing something else entirely.
By Sarah D. Scalet
大家都在思索,5年不是一个很短的时间,可以发生很多事情。从2000年至今,阳光之下,我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来,写过一些按需安全的文字,但是后来终究也没有让它们露面。但是现在却有了一个冲动,Security 2.0,Let's Go !
#########
如果我们按照安全历史的发展,做下面的定义:
的话,现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代(这里请允许我借用一下Web2.0),其代表性的特点feature 如下:
换句话说,Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性,而2.0则偏重关注自身体系的建设以及安全信息的使用,并且将信息上升为知识和行动指南,反馈到安全体系的优化中去。我认为,在这里2.0并没有替代1.0的意思,而在建立在1.0的基础之上。失去了1.0,2.0就成为空中楼阁、无源之水。
2.0的产生和提出,有其背后的驱动力。我们知道,在10年前,我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找,这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大,管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前,随着互联网攻击的泛滥,当时业界提出了PDR模型,引入到中国则形成了若干个PDR的变种,但总体的思潮是“动态”防御-尽快发现入侵和攻击者。在这个阶段,IDS技术也发展到了协议分析、异常发现等多种引擎的融合,曾被寄予很大的希望来一劳永逸地解决安全攻防问题。
但是,近两年来Zero-Day式攻击的出现和快速增长,极大的增加了管理员对于IDS的怀疑,一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了,IDS厂家不再有时间去提取样本,编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力! 怎么办? AAA !AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平,还大大增加了安全策略的内涵和落地能力。
并且,随着各种单点安全产品(1.0)的成熟和大量部署,安全信息从“无”到“泛滥”,信息不再是信息,反而成了管理员望而生畏的“噪声”。【信噪比】 ! 最早的SIM/SEM产品就这样诞生了!
数据 - 信息 - 知识 - 行动, 这是我们常用的4进阶的信息处理模型,每个进阶中的信息“质量”都不断获得提升。从这个模型里,我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息,而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量,但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”?资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到,早期的SIM/SEM是就安全事件关联安全事件,而最新的安全模型则开始事件的业务和IT环境。
When we had dinner for CCClub Beijing gathering, I suggest Billy
adding RSS feed to the web site. Billy told me his thinking that
RSS might steal away much pageview of the website and thus lower
the readers' stickiness. I don't think so.
When you prepare to roll out your RSS feed, you must be thinking
those feed readers might won't click to the "original page", so
that your page view will be eroding. It seems to be a
reasonable thinking. But my first question is why you run your web
site? second question is why so many web sites are hurrying
to advertise their RSS feed?
If some of your RSS items always won't bring your subscribers to
further clicking, there might be two reasons: your content is just
not absorbing enough, and the content is just enough at that
moment. For the first case, of course it's not the fault of
readers. You need to better your content or they are not your
reader objectives, ie. wrong subscription without hurt to both
parties. For the second case, you have succeed in getting to
your goal : to broadcast your message, why not further waste your
bandwidth and adding server load. You lose nothing but those
sterile pageviews.
Rather, RSS might bring something good that you overlook. RSS feed
by far ease the accessibility and readibility. As a result, your
message will reach more desktops than just staying at your web
site.
Buddy, just go RSS. It won't steal your page view and erode your
reader stickiness at all. It will do good.
昨天和今天连着开了两个大会,昨天是中计报和CCClub举办的第七届中国信息安全大会,今天则是通信运维专委会和CNNOG举办的CNNOG3。我有幸在今天作为Speaker发言,下面今天发言的讲义,主题是“
转型中的电信运维和安全运营体系”。
幽默吉祥三宝 之 电信规划版转载自CWeek电信论坛
<吉祥三宝>“CTG-米波丝丝”版
吉祥三宝> CTG-米波丝丝版
"阿爸!"
"哎!"
"CTG-米波丝丝出来忽悠们都看了么?"
"对了。"
"CTG-米波丝丝出来 97去哪里啦?"
"在本地网"
"我怎么找也找不到它?"
"没人用了"
"CTG-米波丝丝.97.忽悠.就 是吉祥的一家!"
"阿妈"
"哎!"
"97出了什么时候出的CTG-米波丝丝?"
"97被大家痛骂的时候 。"
"CTG-米波丝丝出了电总的IT部门能坐的住吗?"
"他们已经到小房子里做梦去了"
"他们做梦做来做去能做赢吗?"
"他会长 大的。"
" CTG-米波丝丝.97.忽悠.就 是吉祥的一家。"
"宝贝"
"啊?"
" CTG-米波丝丝像太阳照着小房子。"
"那忽悠们呢?"
"忽悠们在跟着小房子一起梦游"
"那电信各省公司的人呢?"
"各省公司像疯子一样朝当初的忽悠们狂吼。"
"噢!明白啦。"
"它们三个就是吉祥如意的一家。"
下面转贴一篇采访华为的老文章,其中提到的若干管理举措、内部员工意识教育,以及郭世栈部长(居然被记者称为大男孩,呵呵)的感想,虽然一是一年多过去了,现在看来仍是让人感染。
初访华为:总有一种力量令人震撼
通信世界 作者:闫跃龙 更新日期:2005-1-28
对华为的好奇已经很久,不仅因为看到华为在国内外市场所向披靡,今年收入要突破50亿美元,明年海外收入要超过国内收入。这段时间华为更是被“思科华为诉讼案”、“华为员工泄密案”等官司纠缠,华为的知识产权和商业机密工作到底如何?当然还有任正非的神秘、华为人的斗志以及华为独特的“土狼”文化……
下面这个帖子来自ChinaCISSP论坛上的一个回帖,我整理了一下贴上来。原文主题是:" 国内安全审计服务厂商以何抗衡四大!"
Big 4原来是Big
5能够成就自己在世界上的地位,除了有自己的不传之密之外,还能看到他们的客户能够保持相当的稳定(财务审计每年必审,信息系统的审计逐渐被认可),每年都有会有相对固定的客户和现金流基数,在此基础上,经济的发展会带来新的客户,争取新的市场,逐步发展下来。
反观我们现在的安全咨询服务领域,首先不具备这样稳定的市场需求,国内支撑这一市场的大客户的采购往往受某一位领导的左右,领导换了,是否采购、采购谁,供应商很难保持自己的“老客户”。大家都知道维持一个老客户的成本是发展一个新客户成本的十倍。这样,同质化的服务内容和质量、易变的客户和市场,导致这一块不容易产生稳定的增长。
早在2002年,我上家公司就策划成立独立的安全服务部门,后未成立。我知道,现在“战国七雄”中有的现在有独立的安全咨询公司,有的在内部正在酝酿成立相对独立的安全服务公司,从个人感情上看,我觉得是件好事情。可是市场如何,还要看这个服务公司与自己的母公司的销售平台、利益分成等关系的处理。
我们古话说:修身、齐家、治国、平天下,或讲“进而兼营天下,退而独善其身”,公司内部的修为、内功联好了,成熟稳定了,企业联盟才能联盟,才“能”谈联盟,否则就有市场炒做的成分了。
我们国内企业不仅仅在网络安全这样的小市场上不容易表现出合作、联盟的精神,就是在我们相对有一些优势的行业 -
例如家电制造业,当前的联盟和合作也非常不好(我不清楚闪联现在的活动情况,这里也不指闪联),就像高清EVD现在的窘境,很让国人撮火(阜国陷入专利典当丑闻)。现在电信业的TD-SCDMA也是一个挑战。
“和为贵”很好的一句话,这是我们本来中国“儒商”的底蕴和魅力。公司厂商之间的“和为贵”的基础是公司自身的创新、自身依靠创新摆脱同质竞争、内部公司治理的成熟稳定、以及而来稳健的市场策略等。
中国企业能否作大作强,归根到底还是企业治理的问题,华为和中兴、海尔等是中国企业中在企业治理方面的先锋和楷模,而很多企业和公司都倒在了规模增长带来的内耗和企业风险。就像我在
2006不欢迎动荡之联想风波一文中提到的宏智和联想网御(不知道安氏算不算)。内部动荡和内耗伤害国内公司太厉害了。
咨询服务行业的企业由于公司运营成本和收入大部分都是“人”的问题,对企业治理的需求依赖性更高。比肩Big
4非一日之功
惠普宣布要成为“全球领先的信息科技公司”,IBM却称自己将“不再是一家计算机公司或服务公司”, 甚至不再是“IT公司”,而是一家“帮助客户成功的企业”,听起来有点玄奥,有点虚,但是从IBM的口里说出来,倒是让人感觉掷地有声。下面转载自 新浪网报导。
B/OSS周刊第五期阳春三月(2006年3月4日--2006年3月17日)
阳春三月,春风荡漾,春暖花开,正是踏青赏花好时节,然而对运营商的朋友来说,前半个月倒说不上轻松.一方面是每年这个时候的两会召开,保障通信,是一个政治任务;另外一个是,3.15消费者权益保护日,历来电信业的服务都是投诉热点,谁也不希望在这个敏感时候撞到枪眼上,所以各方严阵以待也就不足为奇了.两会已经结束,创新会成为一段时间内的主旋律,3.15也已经过去,运营商也开始公布其过去一年的财务报表,中国移动交出了一份满意的成绩单,2005年的收入为2430亿元,净利润达到535亿元,报表不要太红!下面一起来看看最近一段时间的新闻事件:
几天前,Symantec公司发表了全球网络安全威胁报告白皮书,总结分析了全球2005/06 - 2005/12之间网络安全威胁的演变态势,包括网络漏洞、攻击、Bot(僵尸网)等的发展演变情况,很值得一读,当前媒体上广泛报导。
下面是一段较有意思的报导数字。僵尸网是去年桂林CNCERT/CC网络安全应急大会上的一个重要Topic,当时CC的周博士还做了专题演讲。看下面的数字,美国是全世界最大的Bot感染国,中国已经以9%的感染率排到了第三位,而2005年上半年的数字还是7%,所以看出来半年时间感染率上升2个百分点。可是英国就有意思了,半年的时间感染率从32%下降到22%,这个变化,大英帝国的计算机安全主管部门不知是采取了什么有效措施,如此生猛的半年降低10%个百分点,看来是值得考察学习了。
另外,举报导,Bot网控制端的数据,美国分布有全世界48%的控制端(command and control servers),而韩国以9%占据第二位,加拿大以6%占据第三位。由此看来,我国的宽带网用户更多的处于Bot“输入国”,而韩国则有可能是个重要的输出国。下面是直接引用的一段文字:
Powered by Haiwit