zhaol's blog

看到大潘的帖子，忽然发现到今天我来i170也正好一年了，借此宝地认识了很多新朋友，感谢Wolf和i170团队的辛苦工作，也感谢这么多关注这个博客的新朋旧友。现在新的工作上，忙的天旋地转，更新就一日慢过一日，感到很内疚。

晚饭吃的虾皮馄饨，儿子突然冒出一句“虾皮蒙住了馄饨的眼睛”，我联想到儿子昨天画的让我大吃一惊的“猴子捞月亮”，就补上一句成了下面的两句。不知这算不算是我当前的心情，还是什么其它的东西，反正是很朦胧：

这里有篇文章将孙子兵法和汉尼拔等古人和我们的网络安全联系在一起，攻击者有何时何地发起攻击的选择权优势，而防守者有具备地利人和的优势，看看这篇短文吧...

Security lessons from Sun Tzu and Hannibal
Oct 10, 2006, By Mark Willoughby, Computerworld (US)

History books are full of lessons relevant to today's data security battles. Hackers understand history's lessons and reduce their risk by carefully studying a potential target before designing attacks with a high probability of overcoming defenses. This sort of risk assessment is one criterion that Sun Tzu, author of The Art of War, used more than 2,500 years ago to evaluate the chances of success in a looming conflict.

Although we're not losing the war against hackers, one problem we face is that an elusive and unknown enemy picks the time and place of the engagement, which gives him an extremely powerful advantage.

近日读凌志军先生所著的传记文学《联想风云》，破多感慨。柳总为代表的第一代联想创业者“披荆斩棘”，其中战战兢兢于各种灰色地带，为生存而忍受屈辱，读来让人如身临其境，深刻感受到联想生存下来并获得发展的硬道理。据说柳总和元庆等经常讲联想是"九死一生"。书中讲述了很多“九死”的历史。例如在第一笔IBM微机代理业务的签署过程中，柳传志被中仪（中国仪器进出口公司）的一个职员手指着鼻子喝出，柳不畏屈辱，最终搞定这笔业务。后面又为了2万美元货款只身前往深圳，抛下抱病住院的妻子于不顾，与几个陌生人住在每晚8块钱的小旅店内，含泪疾书，最终感动香港合作方（香港中银），取回货款。

“办公司就是办人”，小公司和大公司一样，最重要的问题依然是人的问题，并不会因为员工少而变的简单。如何能使菲薄的人力能够紧紧团结在一起，做“相关”的动作，才能发出“激光”，出现化学反应。这一点甚至比产品和技术本身更为重要。后来柳传志和倪光南之争，我基本同意柳传志的观点，汉卡对于联想虽然非常关键，但是即使没有汉卡和倪光南，联想依然可以找到另外一个技术获得发展。联想办人的成功（后来的入模子培训与早期联想企业文化的形成）是联想能够从惨烈的PC市场脱颖而出并获得发展的“硬道理”。

以此给执着于创业道路上的各位朋友共勉。十五的月亮十六圆，中秋快乐！万事顺意！

上个月以前在嘉里中心上班，每天从地铁国贸站出来，匆匆茫茫穿过拥挤的人流都能够看到路边这副醒目的广告：有效、天然、持久，画面上面成熟性感魅力的钟丽缇对着国贸意味深长地笑着，总是让或脚步飞快、或为慢如跬步的车流燥热的男士们心中产生暧昧的、和我们安全也贴些边的什么想法。呵呵，现在离开了国贸、离开了China-Beijing-Dabeiyao，来到了宽阔的上地，心情已然释然了许多。

前些时候写过了一些关于桌面安全管理的感想（见不可承受之重），现在体会起来，桌面的安全管理是IT和安全经理们不可回避的话题。购买病毒软件简单，让每个用户、每台桌面机都安装上、都及时定期升级和扫描就不容易了，开发制作一份安全策略和检查单容易，但是能够全面覆盖、重复高效执行可就不容易了。还是要回到执行的问题。如何解决执行的问题呢？企业网与电信网安全管理的很大的不同的地方可能就在此了。还记得前面讨论电信网安全可能不可能的问题吗？到后来得出的一个推论就是安全的电信网最终只能依赖法律法规，那就比较遥远了。现在企业网不存在这个障碍和缺失，不必要这个等待。桌面安全管理需要企业管理的推动，换句话说只有将桌面安全的有效性和管人的经理们的业绩联系起来时，才有可能取得实质性的推进。

推荐一篇写的很棒的文章，原文位于ChinaCissp...

六年如逆旅，我亦是行人
一个顾问的六年安全从业经历

前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

最新消息，IBM显示进军网络安全市场的决心，以13亿美元购并IDS市场传统强手ISS，在IBM传统的AAA产品线外（Identity Manager, Access Manager, 等），补充了威胁管理产品线（IDS/IPS），还有ISS强大的扫描器和X-Force技术声誉...

以下是转贴自新浪网报导，转贴并不代表本人赞同或者同意其观点，目的是使大家有更多的角度了解CA。新人才、新产品和新的工作方式给CA公司带来了新的活力，但是它仍然存在很多痼疾。

据外电报道，在BlackHat大会上， 来自西雅图的研究者Dan Kaminsky宣布了一款关于网络中立性测试的工具，并且预计该工具将会免费提供，这些工具将会作为免费的软件套件Paketto Keiretsu Version 3的一部分随后发布。

前段时间，美国国会关于“网络中立法案”Net Neutrality 的争论 沸沸扬扬。网络中立法案将会强制要求基础网络设施服务商不得歧视互联网上面的任何一种业务，保证各种业务平等的传输，不得针对VoIP、P2P、视频等业务设立过滤或者降低服务质量等手段。在国内，运营商对于BT和VoIP、Skype等的态度也是极度敏感之话题。虽然在国内众多新业务孵化者敢怒而不敢言，但是国外以Vonage为代表的新业务运营商不断起诉、挑战ATT,Verizon,Comcast等老牌网络运营商，FCC也不断为此开出罚单。

这次BlackHat大会公布的中立性测试工具给我们一个提示，“网监会”需要采取一定的技术手段来监视互连互通，监视基本的互联网服务指标，保障互联网用户的切实权益。“网监会”不应该停留在一些蜻蜓点水似的通告上面，而是有技术手段去落地。

前不久，国家信息安全标准化技术委员会发布了一个标准汇总，包括了2006年以来发布的15项国家标准，转贴如下：

业界有名的“大炮”阚教授再次发言，批评了WAPI的做法并没有符合中国国家和大多数人的利益，而只是提出该标准的西安捷通以及少部分上家获利。非常欣赏阚教授勇于直言时弊，不随波逐流的处世之道。支持一下！

今天看到荆继武老师的一篇文章，分析了中国本土信息安全企业的创业之旅，给出了很多非常有益的建议。这段时间以来，一直能感受到来自周围朋友的、来自业界的明确的、清新的、旺盛的创业冲动，这种似曾熟悉、有些陌生的感觉已经有五年时间没有感受到了。我们已经欣喜地看到了一条条鲜活的小龙，给我们带来了又一轮的“吐故纳新”：

今天早上，Bill推荐了一个网站http://www.hamachi.cc，过去一看，厉害，这不就是正宗的七层Overlay Network吗？这就是传说中的边界杀手吗？不要说边界越来越模糊了，边界已经消失了。

前段时间大家一直在谈论IM/P2P的出现如何如何使企业的网络边界被腐蚀、如何造成企业安全策略的妥协，，这种腐蚀和妥协表现在随意、不受控的文件共享、不受控的信息交换等，但是毕竟在网络层边界的两边没有建立直接的连接，边界的防火墙、反病毒、IDS等设施和安全策略还在一定程度上起作用。但是Hamachi的出现改变了这一切。

原来大家都有一个小秘密，就是TOR（The Onion Router）的使用，这个软件可以帮助你实现匿名的、虚拟网络连接，你自己不知道你的出口在哪里，没有人知道，反正国外的网站连上了。现在Hamachi的出现使得TOR相形见拙。

Hamachi安装后会创建一个新的虚拟网络端口，使得设置在一个群网中的Hamachi客户端就像在一个局域网中一样的网络连接，提供了防火墙/NAT的穿越能力，提供了开放协议的身份、认证、数据加密保护，可以方便给网络管理员审计接口，另外还有一些很有吸引力的小功能，例如下面的内置Web代理：

Built-in Web proxy
An option to use Hamachi as a simple web proxy. This way your Hamachi peers may configure their Web browsers to access the Internet via your computer and therefore protect their Web traffic while it is in transition between you and them.

This feature is typically used for securing Web surfing from untrusted locations including cybercafes, coffee houses, hotels, etc

前面两个帖子讨论了基于主机桌面的统一威胁管理（UTM），以及当前桌面管理中的大而全趋向，下面的报导中UTM的领头羊Fortinet采用了蛙跳战术，直接杀奔移动终端－Windows Mobile和Symbian操作系统，提供统一威胁管理UTM - 全方位病毒防护、MMS/SMS 防垃圾邮件、个人防火墙、地址簿防护以及IPSec VPN 等......

什么是“审计”？

我们知道，审计（Audit）是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。审计早年用于财务系统，到现在词典、字典中的“审计”（也包括Audit）的定义都是针对财务系统。在当今的世界里，几乎所有企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。在美国安然公司（Enron）和世通（WorldCom）财务欺诈案爆发后，在2002年美国紧急出台了萨班斯法案（SOX, or SOA），赋予了“审计”新的意义，这里也包括了信息系统的审计。“审计”成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。

另据新闻报导，在最近结束的IATA年会上达成一个重要共识：所有成员航空公司都要进行运行安全审计（IOSA），申请加入IATA的成员在正式加入前必须通过IOSA审计。目前所有的成员公司要在2007年之前完成审计，否则不予保留会员资格。审计已经逐渐成为越来越多的政府部门、行业分支、大企业等加强治理的重要手段。

美国信息系统审计的权威专家Ron Weber将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源”。

这个传说由来已久，只是一直没有落地，中间夹杂了华为吞并港湾事件，被冲淡了一下。现在重提桌面。除了那些企业级路由器和交换机之外，华三的TippingPoint的归属很是惹眼，据说其FPGA+NP+ASIC的架构非常独特，性能和功能表现非常出色。不管是华为还是Juniper都会使TippingPoint发挥更大的威力。

现在在内控的大旗下，桌面安全管理项目车轮隆隆，各路人马狼烟四起、厮杀在一处。前不久陆续接到各路十多个战报，端的是令人目不暇接。曾记否，今年年初写2006安全技术发展趋势时，没有将“桌面安全管理”列入引起争论不少，现在桌面安全管理果然杀气阵阵，难道不是2006的大热点吗？当初我的解释是桌面安全管理不是某个技术和产品，而是很多个/很多类产品的集成。现在观察一下各路的需求说明，心中还是被再次触动了一下。“桌面安全管理，你到底要承受多重”......