zhaol's blog

下面是一则新闻报导，讲的是由于微软公司的Windows OneCare安全服务中的防火墙组件有漏洞，使得恶意软件畅通无阻，安全套件完全起不到相应的作用。这里一直存在一个安全和易用性折中的问题：缺省的安全配置是否应该相信设备，允许其通过。缺省是完全的“断”，则用户将会不断的被告警打扰，不胜其烦，最后还是关掉，厂商被投诉被抱怨。缺省是完全的开当然已经被批判了很长时间了，问题就在于这个取舍的度上面。

当前的灰色软件和流氓软件的确是越来越多，还真难将他们严格地分为恶意或者正常，但是不管怎样，单单依靠是否具备签名似乎显得简单了些。由此想到，在SOA的架构里，在未来Web Services遍布的时代里，如何定义是否合法、是否安全、定义这些机器之间对话的安全策略将会变的很有挑战性。

偶然间读到任总在2005年4月份写的一篇安全市场分析文章，下面将我的个人观点与大家讨论一下。中国的安全市场实际上一直没有出现任总讲的“爆发阶段”的迹象，实际上2005年国内不少安全公司的业绩还相当不如人意，几家主要的国内安全公司内部还出现了一定程度上的动荡（例如联想网御事件、安氏分拆与亿阳购并事件等），这不能不说是受市场不振的影响。现在冷静地观察，这样的爆发阶段短时期内也不会出现。作一个反向分析，有可能引发安全市场急速发展的潜在因素可能有：

• 安全等级保护 :: 等级保护今年正式进入各安全公司的射程。启动大会后，很多大企业都收到了相关的等级保护“合规性”要求的通知，“等级保护”有可能引起电子政务、税务、金融、交通、电力等国有大型组织企业加强网络安全方面的采购。采购产品包括反病毒、防火墙、入侵检测、安全审计等。但是，很多组织在等级保护方面还没有明确的试点作为参照，第一步应该是风险评估和划分安全等级。然后，按照安全等级制定实施相应的安全保护措施，包括技术和管理两个方面。但是，由于原来电子政务部分占有总体安全市场的份额较低，所以这部分增长预计不会拉动整体国内安全市场到出现“爆发”的程度，
  
• 3G :: 3G牌照发出后，将会出现新一轮的大规模网络建设，从光网络、交换机、路由器、以及大量的业务系统，这些运营商信息系统全部需要高强度的安全保护。另外，3G年代的终端将面临前所未有的安全威胁，预计智能终端上面的反病毒、内容安全、反垃圾邮件、漏洞管理、反钓鱼等等安全需求都有迅速上升。两者相加，3G可能会带来10亿以上的额外安全市场采购，从而带动整体安全市场的上涨。但是，3G牌照的发放时间尚无定论，或许到明年3G大网安全采购2007年才会显现，而3G终端安全又要再滞后1-2年，至08年以后才会逐渐显现。
  
• SOX :: 萨班斯法案“合规性”的要求当前是四家电信运营商以及其它数十家美国上市公司的关注点，作内控框架，评估内控点，实施修补计划。SOX合规性凭空为主要的咨询公司在全球带来了数十亿美元的市场收入。但是，国内SOX带来的这部分增长并不像美国那样的明显，首先上市公司的数量有限，其次当前SOX合规性主要以管理措施为主，相应的安全工具产品的采购和部署并不是主旋律（IAM方面的需求上升最大）。
  
• BS7799/ISO27001 :: BS7799演化至ISO17799（原Part I）+ISO27001（原Part II）后，世界范围内的企业接受程度将会上升，相关的认证、培训、ISMS管理咨询、安全控制点加强等会拉动安全市场，但是这种影响预计只会体现在安全市场每年的CAGR 20-30%左右的范围里。

中移动一员工长期从事萨班斯法案遵循工作,受内控思想熏陶,要求其妻每月换一次家里电子防盗密码锁,每周更改一次密码,买任何东西均须留有书面记录并让卖方签字确认...。其妻实在无法忍受,带其去医院就诊,医生问明原由后,确诊为"遵循性精神失控症"并对其妻密语治疗方案,其妻用疑惑的眼光盯医生。医生说:我夫人也在移动公司工作,上周出现疑似"遵循性精神失控症",已被我用此方法将她脑袋出现的缺陷及时进行了修补.....

遵循性精神失控症，呵呵。带有多么明显的时代烙印的术语。;)  这里密语的”治疗方案“到底是什么呢？我想啊想，还是没想出来......

那是在2000年的时候，就有业界的高人说三大杀毒厂商之一的老板已经赴西雅图谈判反病毒软件的合作事宜了。后来，多少次欲唱还休，多少次欲擒故纵，从OEM小厂开始，从anti-spyware开始，从xp sp2的内置firewall开始，现在他就要来了，来着不善。似乎是在与不久前刚刚发生的“Symantec状告微软知识产权，要求推迟Vista发布”的Veritas门事件有意呼应，微软在其Live家族产品中端出一个桌面套件，selling software as a service.  不知大家是不是有点出乎意料，为什么是49.95美元呀？还以为是49美分呢，呵呵。毕竟这次没有免费。请看下面的新闻......

这些日子，很多上市公司都在忙SOX（君不见UT已经乱在财务报告上了，从亚洲明星直接沦落到了这个样子），很多咨询公司都在忙SOX，于是很多顾问也都热心讨论SOX。可是，从SOX要求的IT内控体系上来看，从内容透明、可操作性、客观性等方面来看，都似乎还不够成熟。虽然说是ITGI坚持说CoBIT就是SOX需要的控制框架，可是与COSO毕竟中间还是隔了一层。Big4现在的角色既是裁判员，又是运动员，直接在热心的本土咨询商的额头上就贴上个”非权威“的标签。这就有失公平了，偶尔看VoIPsa的邮件列表，看到Gary Audin写了一篇文章，讨论VoIP的安全性与SOX的关系，并且开篇明义地怀疑了SOX对IT内控的当前操作，含蓄地预言SOX的IT内控将来可能会被重新定义。我把这篇评论贴在下面，在最后还有我当初的一个很短的评论，欢迎大家的讨论。

下面转载一家国内媒体（中国计算机安全网）的新闻，报导了当前Symantec用户大会的一些感想。很多大公司在大量收购后，通常“封装”和“打包”是整合的第一步，也无可非议，就看后面的跟进了。被购并公司的人员流失情况是个很关键的因素。

酒干了瓶卖我：Veritas系列软件经历重组 
 

先看一段国内的新闻：

    美国A10网络公司带着业界第一个基于身份认证的网络安全管理器--IDSentrie?1800亮相中国市场，向中国用户全面介绍自己在网络安全领域的最新解决方案。这标志着美国A10公司正式进军中国网络安全领域。同时，A10网络公司创立者兼首席执行官Lee Chen表示，为用户提供一个基于身份认证的网络安全解决方案在当今网络安全市场尤显重要。
　　传统的身份识别和访问管理(IAM)在使用上非常复杂，在价格上也是相当昂贵，每个网络节点上的设备分别配置各自单独的用户信息、权限、策略及认证。这种各自为政的方法，不但难管理、难配置、难输入、难同步、易出错，而且会造成“政出多门、相互矛盾”。 而当今的网络早已从早期的点、线拓扑结构发展到了三维立体拓扑结构，传统认证系统早已无法胜任如此复杂的系统。IDSentrie? 1800采用了统一管理的方法，通过集成四个基于身份的管理组件，创建了全球第一个高度智能化而且适用范围广泛的网络安全认证管理平台，从而在一个统一管理的平台上解决了当今企业网络中复杂的认证、访问控制、账户管理等方面的问题。四大功能组件包括:业界处理速度最快的，基于标准的RADIUS认证服务器;业界首家协同管理用户和网络安全设备的统一身份管理引擎(UIM);业界首创的基于身份的网络行为监察及纪录(FLA)以及基于身份对用户网络行为进行实时监控的高级报表组件(AD)，这些都运行在IDSentrie? 1800固化的操作系统之上，用定制的硬件为所有分布在企业网络中的身份信息提供安全管理。它使IAM简单化，是一种新型的实用性强而且价格相对较低的认证管理产品。
　　美国A10网络公司旨在创建一个即简单实用又具尖端科技的平台以迎合各种来自网络实体管理的内在挑战，同时为全球客户提供本地化的网络安全系统建设和运营管理的专业服务，帮助各行业客户提高效率、降低风险，降低网络运作成本。

或许A在网络信息安全这个领域中有点神秘色彩，也有些特殊地位。Authentication, Authorization, Account, Accounting, Audit, Availability, Accountability, Administration, 很多A，每个A都在A的名义下定义了不同的功能。

最早Cisco路由器配置中的AAA Newmodel，其中的AAA是指：Authentication, Authorization, and Accounting. 功能很明确，先作用户认证，然后授权他可以在设备上面进行什么样的操作，最后，进行记帐。对，这里的Accounting，就是记帐，不是帐号。它帮助运营单位对网络流量和操作进行记帐。

IDC中AAA的分类，定义了AAA，这里的AAA与Cisco网络设备配置中的AAA有所不同，区别点在于第三个A，IDC的AAA的第三个A是指 Administration, 其实含义基本上是除了Authentication认证，Authorization授权，以及Anti-virus反病毒、Firewall防火墙、 IDS入侵检测系统（在2000年以前，似乎IDS和扫描器都在这第三个A中，后来IDS单独分类统计）。现在IDC重新定义了AAA，将其分成了两个区域，第一是IAM(Identity and Access Management)，第二是SVM(Security Vulnerability Management)。参考下面的示意图，IAM中增加一个新内容，就是目录管理，SVM中也增加一点新内容，就是漏洞管理。漏洞扫描产品（scanners）本来也是属于IDC AAA中最后一个安全管理的内容，后来与IDS成为一个分支 ID&A，现在漏洞管理的名义下重新回到SVM下面。当然了，今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。

而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型，它的全称应该是: Account, Authentication, Authorization, Audit，也反映了中国安全业界对于安全管理的思索和创新。

下面的这份白皮书就是在我培训完管理按需计算（MODC），为了推广管理按需计算的概念而写的一份白皮书，题目是“业务相关性与按需计算管理成熟度”, 写于2003-10-31, 其中将一般性的IT管理按照管理按需计算的模型分为四个管理成熟度，每个成熟度到上面成熟度的进阶都需要相关的建设和优化、改善。

希望它可以当成一份背景资料，帮助大家理解按需安全（On-Demand Security）的概念，以及后来的Security 2.0。点击下载。

在Go Security 2.0中提到的按需安全（On Demand Security）这个概念来自2003年On-Demand Computing概念的热潮，我自己在八月份有幸参加了在美国总部的Manage On-Demand Computing的培训。大家知道，在那个时候，几个业界的老大都提出了自己的On-Demand概念，IBM就直接叫On-Demand，HP呢，叫Real Time Enterprise，Sun, Microsoft等都有自己的类似的概念，但是名称上都有些差异。但是当时按需计算的主要精神是一致的，按照IBM的观点，按需包括三大要素：集成化、自动化、虚拟化。CA的管理按需计算环境（MODC）则包含三个含义：

1 Deliver IT as a service, including mapping IT to business, runing IT as a service, and hide details.
2 Service oriented architecture,
3 Self managing infrastructure

当时，我一直想如何在按需大潮里搞安全，如何互动的问题。后来我作了下面的这个slide，在几个场合用过:

在写完上篇Go Security2.0的短文后，这几天还在思考Security 2.0的话题。下面是2005在CSOOnline上的关于Security2.0一篇报导，似乎这是第一篇值得注意的讨论使用Security2.0这个词的报导。仔细看完了这篇文章，其中较为详细地介绍了一个大型国际能源公司如果进行物理安全、IT安全的融合、如何将关注点从安全保护转换为风险控制的案例分析。相信这样的变革在一个大型、传统行业的组织里是如何的艰辛。大家有兴趣、也有时间的话，建议也看看。

应该说，文中使用的Security2.0不同于我所提的Security2.0。Sarah认为Security2.0就是融合（convergence）、就是集成（integration）、就是全面安全（holistic security），其中物理安全和IT安全的融合、集成，以及相应的组织机构和管理方式的改变被Sarah所称道。欢迎大家评论。

Security 2.0
What does it take to make convergence happen? One secret is to sneak up on it, the way Constellation Energy did, by seeming to be doing something else entirely.
By Sarah D. Scalet

下面报导转载自电脑商报。一句套话，下面的转载并不代表本人证实其中的内容，也不表示本人赞同其观点...

技术背景不同的各类厂商都希望将自己擅长的东西加入到UTM中，但UTM并非集成度越高越好。据厂商反映，目前，在高端UTM市场上，硬件产品有不可比拟的优势，但在中低端市场上，硬件产品和软件产品之间的较量还处在胶着状态。

渠道商为什么要销售UTM产品？原因有二：一是UTM具有一定的技术优势，包括延迟时间短、不会形成网络带宽瓶颈、管理协调性强等；二是更容易销售。有人认为，UTM（统一威胁管理）就像是一把“瑞士军刀”，功能齐全。从某个角度看，确实是这样。根据IDC的定义就可以得出结论：UTM =防火墙+VPN（虚拟专用网）+网关防毒+IPS（入侵防护）。

目前，已经或准备在国内推出UTM产品的厂商有近10家，其中有国内厂商，也有国外厂商；有传统安全厂商，也有网络产品厂商。在国外厂商中，最早推出UTM设备的是Fortinet、SonicWall、WatchGuard等公司；国内推出的UTM设备的厂商有深信服、联想网御、华为3Com，另外，启明星辰与港湾两家联合推出的天清汉马防火墙虽然被称为安全网关，但因为集成了防火墙、VPN、网关病毒过滤、Netflow流量统计分析、AAA认证计费等功能，也应该属于UTM的范畴。

大家都在思索，5年不是一个很短的时间，可以发生很多事情。从2000年至今，阳光之下，我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来，写过一些按需安全的文字，但是后来终究也没有让它们露面。但是现在却有了一个冲动，Security 2.0，Let's Go !

#########

如果我们按照安全历史的发展，做下面的定义： 

• 将“安全就是反病毒”定为 安全 Security 0.1，
• 将 “安全就是PDR，where P是防火墙、D是IDS、R是安全应急服务”定为安全 Security 1.0

的话，现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代（这里请允许我借用一下Web2.0），其代表性的特点feature 如下：

• 关注点从简单的防止攻击和入侵，发展到应用和数据安全，以及内部控制
• 安全体系从“老三样”发展到基于IAM（或者AAA，或者AAAA）的综合防御体系，强调安全管理的“内功”
• 安全管理和技术更加强调信息交互、以及相关、挖掘和展现，强调信息的易用性，强调“用户”的感受和使用效果

换句话说，Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性，而2.0则偏重关注自身体系的建设以及安全信息的使用，并且将信息上升为知识和行动指南，反馈到安全体系的优化中去。我认为，在这里2.0并没有替代1.0的意思，而在建立在1.0的基础之上。失去了1.0，2.0就成为空中楼阁、无源之水。

2.0的产生和提出，有其背后的驱动力。我们知道，在10年前，我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找，这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大，管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前，随着互联网攻击的泛滥，当时业界提出了PDR模型，引入到中国则形成了若干个PDR的变种，但总体的思潮是“动态”防御－尽快发现入侵和攻击者。在这个阶段，IDS技术也发展到了协议分析、异常发现等多种引擎的融合，曾被寄予很大的希望来一劳永逸地解决安全攻防问题。

但是，近两年来Zero-Day式攻击的出现和快速增长，极大的增加了管理员对于IDS的怀疑，一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了，IDS厂家不再有时间去提取样本，编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力！ 怎么办？  AAA ！AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平，还大大增加了安全策略的内涵和落地能力。

并且，随着各种单点安全产品（1.0）的成熟和大量部署，安全信息从“无”到“泛滥”，信息不再是信息，反而成了管理员望而生畏的“噪声”。【信噪比】 ！ 最早的SIM/SEM产品就这样诞生了！

数据 － 信息 － 知识 － 行动， 这是我们常用的4进阶的信息处理模型，每个进阶中的信息“质量”都不断获得提升。从这个模型里，我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息，而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量，但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”？资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到，早期的SIM/SEM是就安全事件关联安全事件，而最新的安全模型则开始事件的业务和IT环境。

原文：Novell收购e-Security

IBM购并Micromuse为2006年 IT公司谁买谁又添上了浓重的一笔，同时为2006年的IT管理和网络管理软件市场的竞争加上了很多的不确定性。这个购并在CA购并Concord不到一年的（8个月）时间内出现，也让人们产生了很多联想。原来的IT管理软件Big Four （IBM, HP, CA, BMC）现在CA, IBM都有了新想法，HP或许对自己在网络上面还有自信。那BMC呢？是买？还是被买？这是个问题。

2005年12月21日IBM宣布以8.65亿美元的价格（合每股10美元）收购网络管理软件供应商Micromuse. 而Micromuse还在不久前（2005年7月1日）以1600万美元收购过一个安全管理平台公司Guardnet，具备了其安全管理平台产品neuSecure。

2005年4月7日CA宣布以3.37亿美元收购Concord（合每股17美元）。IBM收购Micromuse的价格是CA购并Concord价格的大约两倍。

国际上风起云涌的购并和One-stop浪潮也会给国内的IT和安全市场带来很多冲击，有一次聚会中，业界一位资深人士就语言，“几年后你们认为国内OSS和集成厂商还会剩下几家？我觉得可能是华为和中兴。”

(注：本文写于2005年年底，标题是： IBM购并Micromuse，One-Stop大行其道 )

原文：北京的春天最美丽

When we had dinner for CCClub Beijing gathering, I suggest Billy adding RSS feed to the web site. Billy told me his thinking that RSS might steal away much pageview of the website and thus lower the readers' stickiness.  I don't think so.

When you prepare to roll out your RSS feed, you must be thinking those feed readers might won't click to the "original page", so that your page view will be eroding.  It seems to be a reasonable thinking. But my first question is why you run your web site?  second question is why so many web sites are hurrying to advertise their RSS feed?

If some of your RSS items always won't bring your subscribers to further clicking, there might be two reasons: your content is just not absorbing enough, and the content is just enough at that moment. For the first case, of course it's not the fault of readers. You need to better your content or they are not your reader objectives, ie. wrong subscription without hurt to both parties.  For the second case, you have succeed in getting to your goal : to broadcast your message, why not further waste your bandwidth and adding server load.  You lose nothing but those sterile pageviews.

Rather, RSS might bring something good that you overlook. RSS feed by far ease the accessibility and readibility. As a result, your message will reach more desktops than just staying at your web site.

Buddy, just go RSS. It won't steal your page view and erode your reader stickiness at all. It will do good.