电信业和网络安全两个主题集中了我大部分的职业生涯,而P2P则是我最近两年来的关注兴趣之一. 欢迎批评讨论,转载请注明出处。
【永久域名】http://blog.zhaol.cn
【永久域名】http://sbin.cn/blog
订阅数:364332前些时候,写了一份安全技术发展趋势-2006,不管是否有说服力、是否有前瞻性,供大家参考,留给时间去检验。这次,瞻望一下安全管理方面的发展,与大家一起来讨论。我个人认为接下来的安全管理发展有三个特征:
其一是走向规范标准。虽然在焦点网上面也有一些“嘲笑”BS标准的帖子,但是借鉴最佳实践、遵循国内国际标准和规范还是不可更改的趋势,这是一个行业走向成熟的标志。据说南方某大型电信公司的数据中心也正在积极接触,有计划通过BS7799的认证。
其二是深入企业和组织的核心业务。我们可以在国内做安全较早的企业组织那里就可以看到这一趋势。关注的不仅仅是一些通用的服务器和桌面系统的安全的,而是应用和数据,而是各重要的业务系统内部了。
其三是走向集成化和平台化。这一点也与安全技术发展的趋势相匹配,安全产品产生的大量信息、和安全管理相关的活动产生的大量信息等都需要进行共享、相关、展现、挖掘等,集成化和平台化的安全管理支撑系统有助于提升安全管理的效率和针对性、实效性。
B/OSS周刊第四期
平静 zz
自葫芦博客
--------------------------------------------------------------------------------
第四期(2006年2月24日--2006年3月3日)
本周无论国际还是国内的B/OSS市场,都比较平静,也难得,老是喧闹不定的话,大家心脏也受不了。不过,周五的一条"传联想控股可能购亚信"传言,却也让B/OSS平静的江湖有了不大不小的动荡.不过,本周末论坛的活动倒是很多,Cweek论坛3G及支撑学习北京学习小组第一次茶话会在北邮附近召开,另外还有北京羽毛球活动,上海Cweek俱乐部活动!下面一起来看看本周的新闻事件:
下面转贴一篇思科公司关于自防御网络SDN-网络准入控制NAC的宣传文章:
不久前,计算机病毒还只是一种令人不快的小问题,很少引起高层管理人员的关注。但是现在,指数级增长的安全威胁、协作式应用和互联环境让网络安全问题成为了报纸的头条新闻。这里只举一个例子:在2003年1月,SQL Slammer蠕虫导致全球各地的大量网络陷于瘫痪,甚至让韩国电信的Freetel网络几乎完全中断。
在80年代,黑客们的攻击对象是单个计算机,在90年代则是单个网络,而今天,他们的攻击目标是全球的网络基础设施。因此,安全已经从一种可以避免的烦恼变成了一个关键任务型问题。高级IT经理们一致认为,他们需要不同的方法和架构来抵御新的威胁。事实上,根据Infonetics Research的预测,终端用户在安全产品和服务上的开支将从2003年的45亿美元增长到2007年的80亿美元——增长78%。
下面的这个等式节选自美国总统IT顾问委员会PITAC ( President's Information Technology Advisory Committee) 报告 2005, 当时看到的时候脑海中就闪现出当前如火如荼的“安全域”项目。
安全域划分和边界保护的意义就在于阻止这种无限互联,即使实在内网,这种“无限互联”使得漏洞、蠕虫、病毒、内部滥用和误用等威胁防不胜防。例如对于中国电信、中国移动和中国网通等电信运营商来说,其DCN网络(共享平台)遍布全集团,承载了几乎全部关键的支撑业务,换句话说,每个关键业务以及员工的终端都可以连接上来,这样DCN就变成了一个小规模的互联网,数千甚至上万员工、用户在一起,互联网上面发生的事情,在“内网”上面都会发生。
从媒体上报导的UTStarcom工程师入侵北京移动卡系统中心盗取卡号密码的过程来看,除去工程管理过程的安全、帐号口令管理之外,“安全域”就是给我们的一个很重要的提示。
隔离使得风险可控。
但是,隔离并不代表着“安全域”项目就是一个“造墙”工程,而是恰恰相反,它应该是一个拆墙工程-移墙工程。优化整合后的网络架构的标志就是边界清晰,互联关系明了,所以相对于优化前的状态更能节省和共享网络和安全设备。
另外,防火墙技术越来越多地被集成进网络设备中,如何充分地挖掘网络设备本身自带地安全特性,是个值得研究的内容。可以帮助安全管理在性能和安全性、投资之间取得一个更好的平衡点。
“重硬轻软”一直是很多企业IT管理人员的误区,这里的硬当然就是大量的机器、盒子,软是指其上的软件,在这里我想强调的是“硬”上面跑得安全策略。“双层异构”的重要性并不比几条“得体适用”的安全策略来得实惠。
自从Google推出了Google
Talk后,IM/VoIP市场风声鹤唳,草木皆兵,Skype全球扩张,用户量激增,大量发展合作伙伴;微软和Yahoo合作,用户互通;Google入股AOL,Gtalk与AIM互通,并且大力推进开放标准XMPP/Jingle,惊心动魄,一时间鹿死谁手,让人好生神往。
这些不算,Google推出Gtalk后,又再进一步,推出了Gmail嵌入版本的聊天工具Gmail Talk,
Google拥有的数千万Gmail邮件用户自动成为其IM用户,不用安装客户端,不需要特别配置,访问邮件的地方,就可以IM聊天。厉害的市场策划!
不错,可能你总是无法看到这个图标,为什么吗?
现在兴数据大集中,银行又是先驱,做了现在电信想做又不太敢作的事情,电力、交通等很多行业也都在不断的思量、探索,本地网集中,省网集中,物理集中,数据集中,应用集中,....集中就是明天吗?集中就代表先进吗?集中就一定能节省投资、提高运营效率吗?集中还会带来什么?下面的新闻从另外的角度给了决策者新的考虑点。
http://finance.sina.com.cn 2006年02月26日 11:20
经济观察报 本报记者 刘兆琼 上海报道
下面是通过CVE兼容性认证的产品公告,发布于2006/2/14,可以看到国内两家企业绿盟和启明星辰各有两款产品通过,而CA也有一款产品eTrust
VM通过,台湾安全厂商DragonSoft也有产品获得认证。目前,国内企业还没有哪家企业或者个人进入CVE组织的董事会。
| ? | CA | - | eTrust Vulnerability Manager |
| ? | DragonSoft Security Associates, Inc. | - | DragonSoft Vulnerability Database |
| ? | Information Risk Management Plc | - | Security Risk Assessment |
| ? | NetClarity | - | NetClarity Analyst and Update Service |
| ? | NSFOCUS Information Technology Co., Ltd. | - | AURORA RSAS |
| - | ICEYE NIDS | ||
| ? | ThreatGuard, Inc. | - | ThreatGuard Traveler |
| ? | Venus Information Technology, Inc. | - | Cybervision Vulnerability Assessment and Management System |
Telecom,Security and
P2P现在国内访问不了,所以将这篇最终版转贴过来,朋友们还可以继续浏览
读到这个《最终版》。贴出这篇稿子后,得到了众位朋友和同仁的热烈响应,不少论坛都转贴了这篇议论。虽属一管之窥,但仁者见仁、智者见智,在这个互联网的年代,在Web2.0的大潮隆隆中,把自己的真实的客观想法与大家分享。下面的文字是前面“战国时代”的更新和修订。
如同在安全焦点上的“大潘怒了”带来的热烈讨论所言,2000年以来的愈演愈烈的市场竞争使得每一个生存者都伤痕累累,“踏着其他公司的尸骨,擦着自己的伤口”,其言戚戚切切者!每一个生存者都有生存者的道理,都有生存的理由。我们应该有一个共识,虽然中国市场以强调“关系”著称,但是客户关系可以
“一时”,不能“一世”,只能战术上起作用,不能战略上决定公司的发展态势。况且,大家的“关系”会逐渐达成一种平衡或者制约,最终能够决定你是否能够生存的是公司股东和管理层的视野、公司治理和成熟度、产品和技术先进性、稳定性、财务(现金流)的稳健等这些内在因素。华为们的成长和胜利、宏智们的倒塌值得我们思考。
原文:安全管理与执行力
其实,执行力是个管理学上的普遍问题。高的执行力并不一定带来理想的、正确的效果。例如文革时期,毛泽东利用自己的绝无仅有的影响力促使很多看起来虚无飘渺的、不切实际的命令被无条件的执行,全国范围的。不过,准确的说,这不是执行力的错。执行力是指形成的决议可以得到有效的执行,而没有涵盖前面形成决议的过程。那个阶段如何民主、如何分析、如何达成科学的、正确的决议是另外的管理学问题。
但是,对于网络安全工作来讲,重要的是很多基础的工作都没有做好,普遍性的、常识性的一些安全措施都没有做到位。在这种情况,安全主管的挑战就是执行力,如何将这些基础措施和安全策略实施下去。
安全经理,或者称为首席安全管,安全主管,这里指的是在企业组织中负责网络安全工作的经理,通常是一位中层领导,他还主管着信息系统的其他方方面面,例如运行维护,或者项目建设等。安全经理在企业组织的安全管理活动处于非常关键的地位,承上启下,分解高层对于网络安全的观点和使命,管理控制具体的安全运行和建设维护,他负责决定实际实施的技术路线和方案选型,抽象总结实际的安全工作的问题和由于其所处的位置为中层,就像“三观论”中的“中观”,企业组织的信息系统安全水平很大程度上取决于他个人对于网络安全的理解、重视与否和执行程度。
我经常对自己的愚钝、以及管理过程中的错误进行反思,看看是否可以找到一些方法来避免自己的愚钝和疏忽、固执,或者能够帮助面临自己同样境地的人。每个人都有每个人的困境,这里没有“银弹”。下面列出的不可忘记的五件事供您参考,或有一用,则善莫大焉。
咨询的价值 - 读温伯格(Gerald M. Weinberg)先生的《咨询的奥秘》- 成功提出和获得建议的指南.
本文最新版在Telecom,Security and
P2P.
The Secrects of Consulting, by Gerald M. Weinberg
该书原版是1985年出版的,由李彤和关山松翻译,2004年清华大学出版社出版版。读后感觉该书的前四章(1 为什么咨询如此艰难、2 培养似非而是的四位框架、3 当你不知道自己在做什么时要有成效、4 看看那里有些什么),以及最后四章(11 经营你的服务、12 在你的脑门上贴上标签、13 怎样获得信任、14 让客户听从你的建议)更有趣,诙谐幽默中带来很多思考和收获,中间的5、6、7、8、9、10六章却没有留下什么印象。温伯格先生是一个思考大师,卓越的顾问。这也是一本近些年来唯一一本从头看到尾的书。为了不辜负花去的时间,把读后的一些感受和大家分享一下。
本文最新版在【Telecom,Security and P2P】.
时间如白马过隙,匆匆忙忙中2005年就结束了,现在2006年的时针转的似乎比去年更快。有朋友提醒说总该回首一下、前瞻一下,拖了一段时间,总算写下几段文字,也算对自己和朋友有个交代。
2005年不能算是安全市场的丰收年,写下
战国七雄的文字后,未料到其中已有玩家遭遇“宏智”-like的不幸,我自认不是乌鸦嘴,这事肯定与我无关,:(
还是看看后面的技术发展吧。我借用了Gartner公司的新技术发展曲线,将若干我想到的安全技术都拎出来,给他们找了个位置。欢迎大家批评、评论。
请看:
将【Telecom,Security and P2P】站点的文档汇编了一下,RAR压缩的mht格式,里面含有从 2005年9月份到2006年1月11日之前的大部分文档,点击下载。
随着萨班斯法案符合性、在COSO、PCAOB、ITGI等的推荐下,原本就在IT治理大潮中惹人注目的CoBIT更加鲜亮。 前不久,CoBIT发布了新版本4.0,让我们来看看有什么样的新变化。
资源的改变:IT资源由原来的Data(数据)-Application System(应用系统)-Technology(技术)-Facility(设施)-People(人),变为Application(应用)-Information(信息)-Infrastructure(基础设施)-People(人),即技术和设施融合成了基础设施,包括硬件、操作系统、数据库、网络、多媒体,以及物理环境等。
感谢大潘的留言,现在我也学会了如何使用分隔符,这样,每个post不用很长地惹人烦了。这应该是i170的得意之作了,比blogchina, wordpress.com的都好用。
这篇文章写于2003/03/03,文章中提出风险管理的三个层次,将安全管理中心定位最高的实时风险管理,提出安全管理中心可以帮助固化一些安全服务带来安全风险管理成效。
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
发作
SQL
Slammer蠕虫在10分钟内席卷全球,各大相关媒体纷纷惊呼,称其为继CodeRed和Nimda之后,破坏力最强的蠕虫。传播速度令人瞠目结舌,每8.5秒感染计算机数目翻一番(而CodeRed感染的计算机数目每37分钟翻一番)
SQL Slammer蠕虫病毒只有376字节,比红色代码4KB(4096字节)和尼姆达60KB(61440字节)小的多。它利用一个微软半年多前就已经宣布 并且可以打补丁的漏洞,通过自我繁殖使得计算机间无法通讯。它体积小到仅需使用一个数据包就可以发送自身所有代码,数据包中Slammer载入内存后计算 机就受到了病毒感染。
在SQL Slammer发作高峰的那段时间里,“人们无法拨号上网,飞机无法起飞,ATM取款机无法取款。”,影响的不再仅仅是原来人们想象的网站和聊天室,而是深入破坏到了世界的各个角落。
Powered by Haiwit