zhaol's blog

这几天内，Firefox2.0与IE7.0相继发布，浏览器之争相当激烈。两者都不约而同的增强了安全功能，尤其是反钓鱼功能，实现的方式有些不同，但是保护用户免受恶意欺骗成为两者争夺的制高点。下面是Wired News的分析报道，优胜奖给了Firefox 2.0，理由是更快的更新速度、更多的feature...

不久前在科隆坡召开的Box Security安全大会上，著名安全专家Bruce Schneier在演讲中总结了值得大家关注的十大安全趋势，它们是：

1 信息比以前任何时候都更重要 // 这是公理了
2 网络是关键基础设施 // 这也是公理了
3 用户并不总是能够控制自己的信息 // 这一点在ITU的X.805等其它标准和法律法规中已有体现，运营商、商业机构等有业务保护用户隐私，也即用户信息不再完全属于自己
4 Hacking越来越多地逐渐成为一个犯罪职业 // 现在发现一个漏洞可以根据其危害性来报价，或者向原厂商索取，或者直接拍卖，Hacking正在成为一项职业
5 复杂是安全的敌人 // 我在今晚刚刚翻阅的NetworkworldAsia Volume2-Issue9-Oct2006中也有一篇文章讲Prepare for Security Compliexity,其中引用了SANS Institute的Ed Skoudlis的话说“Complexity is the enemy of security. Complexity introduces flaws". 这就要在纵深防御、层次防御和简约间取得平衡。
6 攻击总是比补丁来得更快 // 在防御0-day中已经体会到这一点
7 蠕虫正在变得史无前例的狡猾
8 终端就是安全防御链中最薄弱的一环 // 这就是我们过去两年内的实践，也是我现在正在关注的项目
9 最终用户被视为威胁 // 这一点不要从我的翻译来看，还是看看后面的原文的
10 法律法规将会驱动安全审计的发展和采用 // 这一趋势很有说服力，这两年内国内外符合性的高度一高再高，其中审计就更加了。但是说是在的，就目前国内的实际水平而言，再强调也不为过。

2000年离开电信总局前在一个市场大会上的发言中提出了安全自动化、不存在安全孤岛（就是整体安全）等概念。自动化是保证普通大众受到安全保护的一个重要步骤。自动化是个双刃剑，安全和应用厂商使用它来加固、提升安全水平，但是它如果出现问题，也给了攻击者和恶意使用者另外一个渠道，能够轻松控制成千上万的受害者。下面这篇文章就分析了这种可能性，并且研究结论认为很多当前的流行安全软件中就存在这样的、那样的升级漏洞，例如McAfee, 还有Windows, Apple Mac OS, Adobe 等等。控制了互联网连接的攻击者很容易通过DNS欺骗等手段让被害者的计算机上当，将冒充的升级代码取回来执行从而被利用，或者被假冒的“太平无事”所欺骗。详细请看...

这样的安全技术注定要引起强烈的争议，不仅仅是口水战，还有可能是像IE垄断那样的诉讼。我们已经看到本来Symantec们就心里很紧张的与微软对峙者。这样的内核保护技术一出台，Symantec们每要推出一个新技术，还都要到微软那里提前测试、登记了，取得许可证。而微软在这里的独特优势更加得到了巩固...

最新消息，IBM显示进军网络安全市场的决心，以13亿美元购并IDS市场传统强手ISS，在IBM传统的AAA产品线外（Identity Manager, Access Manager, 等），补充了威胁管理产品线（IDS/IPS），还有ISS强大的扫描器和X-Force技术声誉...

以下是转贴自新浪网报导，转贴并不代表本人赞同或者同意其观点，目的是使大家有更多的角度了解CA。新人才、新产品和新的工作方式给CA公司带来了新的活力，但是它仍然存在很多痼疾。

前不久，国家信息安全标准化技术委员会发布了一个标准汇总，包括了2006年以来发布的15项国家标准，转贴如下：

业界有名的“大炮”阚教授再次发言，批评了WAPI的做法并没有符合中国国家和大多数人的利益，而只是提出该标准的西安捷通以及少部分上家获利。非常欣赏阚教授勇于直言时弊，不随波逐流的处世之道。支持一下！

今天看到荆继武老师的一篇文章，分析了中国本土信息安全企业的创业之旅，给出了很多非常有益的建议。这段时间以来，一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动，这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙，给我们带来了又一轮的“吐故纳新”：

前面两个帖子讨论了基于主机桌面的统一威胁管理（UTM），以及当前桌面管理中的大而全趋向，下面的报导中UTM的领头羊Fortinet采用了蛙跳战术，直接杀奔移动终端－Windows Mobile和Symbian操作系统，提供统一威胁管理UTM - 全方位病毒防护、MMS/SMS 防垃圾邮件、个人防火墙、地址簿防护以及IPSec VPN 等......

Web2.0时代的信息安全形式将会更加严峻，病毒、蠕虫、僵尸、木马、间谍软件这五毒，加上电子商务和金钱财务上线后的诱惑带来的攻击和盗窃都会使得网络更加凶险、不安定。Symantec的
CEO约翰汤普森曾提到：“在今后3－5年内，全球IT界将面临非常严峻安全的形势，所有安全厂商将面临着巨大的考验。”， 同时微软信息安全战略专家Steve Riley表示：“在安全领域微软已经是一个非常关键的领导者，今后的安全考验将引导微软在这一领域成长和壮大”， 为此，“时常夜不能寐”。这样将新闻片断重组一下后，这个严峻的、巨大的安全考验，到底在考验谁？

只能说Symantec们无可奈何地接受双重考验，其一那么多互联网用户面临的安全考验给它们带来的商机能不能把握的考验，其二是要面临来自微软的考验，这一点虽然和IBM的“拥抱”可以在声势上取得平衡，但是当局者心理上的凝重是显而易见的。坦白说，前面的那个考验是Symantec们乐于看到的，那是商机，后面的考验则是一种实实在在的痛楚。

终端和桌面是今年的一个重头戏，各路厂商搞了个大比武，Big Four（IBM,HP,CA,BMC）都有自己的完整方案，微软更是“我的地盘我作主”，SUS/SMS+MOM什么的都往里整，LanDesk, BigFix, PatchLink, Symantec（Sygate）也已经在市场上多次遇到了，国内的华为、联创也在大力推进自己的终端（桌面）安全解决方案。下面的两则新闻报导了安氏的TG（Terminal Guard，现在叫IntraSec了）和 BP（BorderProtector，现在也随行入市叫UTM了)联动组成内外兼修方案的故事。有两点给我留下了深刻印象，其一是这个IDEAL的解释，Inner Defend External Arrest Link，是在是看不懂，不知道这个缩写是什么意思，颇是琢磨了半天，那么好一个IDEAL为什么不能搞个更容易理解、更贴切的市场用语呢？其二是第二篇报导中的问答，“安氏领信虽然将两款产品组成整体解决方案，但UTM和IntraSec都可独立应用。”，这个“虽然”用的不好，传递给读者的是像是退后了一步讲话的感觉，对这个“整体解决方案”失去了不少信心。

看到这里，其实我在想另外一个问题：UTM本不应该仅仅被IDC/Fortinet锁定在网关级产品上，其实还可以拓展到主机和桌面上，形成Network based UTM, 和Host based UTM两大类产品。而后一类的产品例如当前CA收购的那个Tiny，还有Microsoft正在推出的那个综合安全套件，以及Symantec的什么360，等等。或许明年IDC真的就这样发表一个新的产品分类，或者Gartner搞这样一个业界分析，也未可知。

今天上午一个业界的大新闻，存储大厂EMC以21亿美元的价格购并传统安全厂商RSA，以实现EMC五个10亿美元业务的宏伟目标（VMware, Content Management, Resource Management, Storage Virtualization, and Security），而声誉甚隆的业界传奇 RSA 成为其 安全业务的 桥头堡。相信这起购并后也为北京的安全人才提供了一个新的目的地。 :)  另外，这起购并与前些时候 Symantec购并 Veritas 相应成趣，两大存储厂商一个被安全公司买，一个买了安全公司，效果和目标都是One-Stop。前事不远啊：Novell收购eSecurity，Oracle收购Oblix和Thor，CA收购Netegrity，HP收购SelecAccess.......。还会有很多重量级的安全业界收购出现在大家的视野里。

关于此次EMC收购RSA的外电报导查看News.com的新闻报导。下面是IDC评论的一段摘抄：

防火墙“硬”了，IDS也“硬”了，反病毒网关"硬了”，Anti-DoS“硬”了，流量分析“硬了”，UTM从一生出来就是“硬”的，现在身份帐号IAM产品也有“硬”起来的风声，例如RSA的、还有那个A10的，难道说在网络安全市场中“硬件”要“通吃了吗？ appliance will be all? 看看下边这则新闻，Symantec显然有了不同的想法，并且还大庭广众地说了出来，要全心全意的作“软件”厂商了，逐步降低“硬”化投入。当然，CA更是如此了，“硬化”一点都没有考虑的意思。我们也一直对Checkpoint没有“硬化”感到困惑。看来咱们中国国情与西方的市场和技术需求还是有所差别，不管怎样，“硬件”未必就能通吃未来的安全市场，软硬都有理！

当前网络安全的话题在电影文学届也热了起来，下面转贴的这篇精彩文章讲的是专门以咱们的专业设备防火墙来命名的电影，精彩不容错过。另外，大家还记得在《达芬奇密码》中那个警察局长是如何察觉兰登和美女的covert channel － 拨那个不小心留在自己手机里的美国大使馆电话号码....

infosecurityproductsguide做了一个林林总总的安全产品调查推荐清单，产品分了“相当”多的类，一下子发出了很多奖，简直比赛迪的奖还多，其中有不少新产品和新公司能够让大家在选购、开发上多些思路，也方便找到下一步的合作伙伴、OEM的对象，点击浏览