Cloud & Telecom Security

在过去的十年里，企业投入了很大资源，用于建立贯穿覆盖基础架构和主要应用的身份帐号IAM系统。现在，“云”出现了。“云”中的IAM与传统的IAM相比，不仅同样重要，而且出现了更加令人兴奋的新特点。

对一个中大型企业来说，IAM是一个很消耗资源的工作。形象一点来计算，有10000名员工，1000台服务器，500个网络设备，100名IT工程师。这时，在通常的情况下，大概的ID数量已经达到在数十万个。为什么这么多？大概有近百个应用，不多吧。假设大部分应用已经实现了集中的账号和认证，例如不管是基于AD的LDAP,还是其它的企业目录，这样应用层面的ID是10万以上或数万个。大部分Windows服务器也加入了AD域或通过PAM等实现了集中的账号和认证，这时服务器上面的ID数量大概也是10-数万个。网络设备假如也大部分实现了Radius/ACS等的集中账号和认证（通常需要本地的应急和备份账号），网络账号较少，应该数千个。从安全实践上来说，每个季度核查确认一遍ID应该不算过分，确认过程可能是通过HR系统、合同管理系统、邮件系统、手工排查等的联合操作，在一般性的工具和流程条件下，消耗的人力应该在数百人天，全年下来，在上千人天。按照每人天500元计算，安全成本达到了数十万元。即使通过外包等方法，将每人天费用降到100元，费用也是很可观的。您得记住，这里，没有计算进一步核查“访问授权”的部分，那部分的人力资源消耗比ID确认要大数倍，即使你把它降低到非常粗粒度的水平。 Read more…

今年桌子上用的是安言咨询Robin送的小台历，每个月都有一个小故事，通过这个小故事引申出某个方面对安全管理的启发。都很有启发，先谢过Robin。

六月份的故事是关于扁鹊的，“名医起死回生，神医防微杜渐”。 我把这个故事引申了一下，把扁鹊兄弟和安全运维以及安全度量给搞了次“联想”。故事的原文是这样的：

扁鹊是公认的名医，其实他还有两个哥哥，医术比扁鹊还好。一次，魏文帝问起此事，扁鹊解释说：我的两位兄长才是真正的神医。我大哥治病，是在病情发作之前。他所在的地方人们身体健康，根本不生病，所以他的名气无法传出去，只有我们家的人才知道。我二哥治病，是在病情初起之时。他所在的地方人们患上轻微的小病很快就痊愈，所以他的名气只有在本乡传播。我扁鹊治病，是在病情严重的时候。一般人都见我经脉穿针放血、皮肤上敷药等大手术，以为我医术高明，名气因此响遍全国。 Read more…

【写在前面的话】其实2008年已经过去3个月了，其实这篇博客是一个“续貂”之作，源于皓月的2008盘点。我只是取了一个巧，悄悄增添了一些陋见和博客广告，狗尾貂皮大家不得不混而读之，呵呵。

本文旨在于对2008信息安全业界及安全技术的演进趋势加以整理，方便大家各位能够较为清晰的加以回顾。为确保适合于不同读者阅读，本期盘点以时间顺序并分事件篇与工具篇加以阐述。不详之处，还望多指点批评。 Read more…

以下新闻大家有何评论？

假报案假损失假鉴定 瑞星巨资行贿 多家防病毒公司作假
北京查获一起造假陷害高科技企业案。今天出版的《科技日报》刊发了题为“一项重大原始创新何以大难不死——北京东方微点公司起死回生始末”的特稿，对此案进行了详细报道。今天中央人民广播电台《新闻与报纸摘要》节目也予以报道。
本报记者采访了相关各方，力图还原这桩堪称中国计算机杀毒业界最大的丑闻。
Read more…

给大家拜个晚年！祝大家牛年大吉，全家和和美美！没出正月都是年，何况没有到十五呢。前些时候一直和大潘商量着为2009年写点什么，一直没有理出个头绪。下面这些文字算作抛砖引玉，起个话头。

2009年安全业界的热点在哪里？

信用卡处理公司Heartland Payment Systems在2009年1月20日声明,曾有黑客于2008年入侵了其系统并盗取信用卡信息，高达上亿用户的信用卡信息可能被盗。Heartland首席财务官Robert Baldwin说:”我们上周发现了被入侵的证据,并立即知会了联邦执法部门以及信用卡品牌运营商. Read more…

SearchSecurityAsia日前推出2008年最受欢迎的10篇安全文章。这个名单是基于其网站数据库的访问量统计得出的。从名单上看，还是有相当的代表性。仅供参考。 Read more…

国外媒体SearchSecurityAsia报道在iPhone上发现间谍软件。先前在Windows Mobile上和Symbian上的间谍软件都有诸多报道，这在iPhone上是第一次。幸运的是，还没有报道发现有远程的利用方法，例如通过下载什么东东，或者发送接受某个电子邮件。到现在为止，还需要物理的接触才能安装间谍软件。 Read more…

美国战略和国际研究中心Center for Strategic and International Studies (CSIS) 于2008年12月8日发布关于美国44任总统期间网络空间安全战略的白皮书。白皮书阐述了该委员会的三个主要发现： Read more…

Mike提出了一个有趣的问题，也给出了一个有趣的建议。当前安全经理们应该尽快分析形式，拿出一个生存方案。这个方案的目标基石是总体的安全预算。守住安全预算的要诀是给领导管理层算好帐，分析清楚安全风险和消减预算-消减安全控制的后果。具体的做法上，Mike推荐安全经理们拿出一个预算提案，其中至少有三个可选项： Read more…

日前，著名美国安全媒体SecurityMagazine选出了今年的TOP25 – 安全业界最有影响的25为人物，实际上是美国了。这些老大牛人来自企业、政府、学术机构等。值得一提的是安全大师Bruce Schneier也“荣幸”当选，排名第19位。:) Read more…

坦白说，这个帖子是很久很久以前的冷饭，在记事帖中放了很长时间。2008年很快就要过去了，于是就想把他们先贴上来，因为也不知后面什么时间能够把他们补齐完成。

艰难的2008

2008年8月11日，应该说是中国安全业界的一个大日子，国内第一家安全公司IPO – 卫士通信息产业股份有限公司在深圳证券交易所挂牌交易。首先祝贺一下！ Read more…

近日，央视接连两天对百度竞价排名的弊端进行了报道，各大媒体也没有放过这个机会，百度的媒体形象一度跌入低谷。联系到Google深入人心的“不作恶”形象，两形之下，给人高低立判之感。当公司发展到一定阶段，“民心所向”和“政治”就成为一个非常重要的环节。

虽然百度在国内市场占有率遥遥领先，但是由于其“竞价”方式的排名，搜索结果往往让人难以接受，从而放弃。尤其是专业人士，很依赖搜索结果的公正和客观，如果发现搜索出来的是一个报价的排名，还不如直接看广告了。

我在Google和百度上面分别搜索“信息安全”和”Security”，搜索结果大家一看就可以感觉到百度“竞价”排名对你的嘲弄： Read more…

美国Computerworld报道一位被裁的系统管理员被逮捕，罪名是对前雇主-位于纽约的某基金公司勒索钱财。

这个前雇员叫Viktor Savtyrev,他对于裁员协议中的补偿条款不愿意，所以写邮件给公司的总顾问和管理层，威胁说如果不提高他的补偿，他将毁坏公司的计算机系统。并威胁说，在攻击服务器系统后，还会通知媒体曝光。

虽然这个故事在当前金融危机的大背景下，很有代表意义，对各大准备裁员的公司都有警示意义。但是这件事情本身并不新鲜，以前类似的“信息安全”案件还有不少。 Read more…

据computerworld.com报道，下周将在东京召开的PacSec会议上将由Erik Tews演示他是如何破解WPA的。透露的主要破解原理是利用WPA将会自动向下兼容旧客户端，从而通过协商使用TKIP。这时他就有机会使用12-15分钟来破解整个通信的密钥。

所以，专家的推荐是：

-Use only CCMP(AES).
-Disable Negotiations to TKIP from CCMP(AES).
-If you must use TKIP, rekey every 120 seconds.

看完皓月所写的“防火墙、UTM产品OEM第三方产品或嵌入第三方反病毒引擎的利弊分析”，掩卷而思，这些观点印证了前些天和朋友们探讨的若干观点。近几年，防火墙和入侵检测系统IDS演变到防火墙FW、入侵防御系统IPS和统一威胁管理UTM系统的三国争霸，UTM将会代替防火墙的声音获得了不少关注。从皓月的这篇文章中，你能发现很多更深层次的思索。

皓月认为：基本上第一阵营、第二阵营传统信息安全厂商中的一半以上OEM飞塔的防毒墙，而采用嵌入引擎的方式则种类繁多，包括国外的卡巴斯基、赛门铁克、 Sophos、F-Prot以及国内的金山、安天等在内，而三线厂商则更有采用廉价但粗糙的开源的反病毒引擎ClamAV的解决方案。 Read more…