这个周末和儿子一起看了一遍动画片 – “Monsters Vs. Aliens” (中文片名:怪兽大战外星人)。这个片子儿子两个月前看过,故事情节已经大概清楚,每到紧张之处就激动不已。这个片子讲的是美女Susan在婚礼前不小心被邂逅了来自外星的流星从而获得了Super Energy。这个令人亦喜亦忧的Super Energy使Susan一下子长成了巨人,也就说在常人眼里成了怪物。被政府军方强行隔离到了专门隔离怪物的监狱,在那里她认识她的几个新朋友 – B.O.B(一个独眼泡泡), Dr.Cockroach(博士,科学怪人,技术专家), The Missing Link(半人半青蛙), Insectosaurus(最大的怪物,比Susan还大,就是比较笨). 故事就这样开始,要知后事您看了片子就明白了。最终正义战胜了邪恶,Susan也得到了心灵的新生…
虽然动画片的故事进程比较直接,从中我们却可以获得几点启示:
1 大多数貌似强大的事物都是被从内部攻破的
2 团队作战非常重要 – 寸有所长、尺有所短。
3 软件很重要,物理上的能量更重要。
4 “密码和认证”是永恒的话题 – 传统口令密码会给颜色图像密码一席之地。
5 变化从不同的角度看有不同的意义。
6 要善待身边的技术专家。
Read more…
在过去的十年里,企业投入了很大资源,用于建立贯穿覆盖基础架构和主要应用的身份帐号IAM系统。现在,“云”出现了。“云”中的IAM与传统的IAM相比,不仅同样重要,而且出现了更加令人兴奋的新特点。
对一个中大型企业来说,IAM是一个很消耗资源的工作。形象一点来计算,有10000名员工,1000台服务器,500个网络设备,100名IT工程师。这时,在通常的情况下,大概的ID数量已经达到在数十万个。为什么这么多?大概有近百个应用,不多吧。假设大部分应用已经实现了集中的账号和认证,例如不管是基于AD的LDAP,还是其它的企业目录,这样应用层面的ID是10万以上或数万个。大部分Windows服务器也加入了AD域或通过PAM等实现了集中的账号和认证,这时服务器上面的ID数量大概也是10-数万个。网络设备假如也大部分实现了Radius/ACS等的集中账号和认证(通常需要本地的应急和备份账号),网络账号较少,应该数千个。从安全实践上来说,每个季度核查确认一遍ID应该不算过分,确认过程可能是通过HR系统、合同管理系统、邮件系统、手工排查等的联合操作,在一般性的工具和流程条件下,消耗的人力应该在数百人天,全年下来,在上千人天。按照每人天500元计算,安全成本达到了数十万元。即使通过外包等方法,将每人天费用降到100元,费用也是很可观的。您得记住,这里,没有计算进一步核查“访问授权”的部分,那部分的人力资源消耗比ID确认要大数倍,即使你把它降低到非常粗粒度的水平。 Read more…
【说在前面的话】前面已有一些留言说起匿名转载问题,呼吁喜欢埋头“生吞活剥”的网编们提高一下自己的工作品味,尊重原创作者的劳动,署上作者原名和URL,这也是尊重自己的劳动,不要把自己的青春浪费在制造互联网垃圾冗余信息上面。如果您做不到这一点,谢绝转载!
【事先声明】本人不保证内容 正确性,不对后面文字中的分析和预测给您的企业和工作所产生的任何后果承担责任,因为您也不会和我分享您你的收益。呵呵,所以,我说了,您听了,您赚了,您亏了,您笑了、您不屑、您怒了,都与本文和作者无关。
上回书(http://sbin.cn/blog/2009/06/01/cloud-computing-1/)说到了云计算大背景下的一些东家长、西家短的陋见,Chinacloud.cn上刘鹏教授做了大量的、很全面的资料收集,感兴趣者可以自助前往。 故谚云: 云是天上的雾, 雾是地上的云。不管是跳进云里,还是把拉到上,总是要腾云驾雾一番了。书归正传,讨论一下云计算对安全圈的启发 – 这个那个产品和技术会如何演变。在后面的文字中将会讨论到风险评估和渗透测试、安全管理中心、终端安全、身份和访问控制(也包含信任管理)、安全审计、Web应用和生命周期安全、符合性认证和培训等。 Read more…
或许A在网络信息安全这个领域中有点神秘色彩,也有些特殊地位。Authentication, Authorization, Account, Accounting, Audit, Availability, Accountability, Administration, 很多A,每个A都在A的名义下定义了不同的功能。
最早Cisco路由器配置中的AAA Newmodel,其中的AAA是指:Authentication, Authorization, and Accounting. 功能很明确,先作用户认证,然后授权他可以在设备上面进行什么样的操作,最后,进行记帐。对,这里的Accounting,就是记帐,不是帐号。它帮助运营单位对网络流量和操作进行记帐。
IDC中AAA的分类,定义了AAA,这里的AAA与Cisco网络设备配置中的AAA有所不同,区别点在于第三个A,IDC的AAA的第三个A是指 Administration, 其实含义基本上是除了Authentication认证,Authorization授权,以及Anti-virus反病毒、Firewall防火墙、 IDS入侵检测系统(在2000年以前,似乎IDS和扫描器都在这第三个A中,后来IDS单独分类统计)。现在IDC重新定义了AAA,将其分成了两个区域,第一是IAM(Identity and Access Management),第二是SVM(Security Vulnerability Management)。参考下面的示意图,IAM中增加一个新内容,就是目录管理,SVM中也增加一点新内容,就是漏洞管理。漏洞扫描产品(scanners)本来也是属于IDC AAA中最后一个安全管理的内容,后来与IDS成为一个分支 ID&A,现在漏洞管理的名义下重新回到SVM下面。当然了,今天的漏洞管理在内涵上大大超出了原来的单纯的漏洞扫描。
而AAAA则是国内领先运营商在AAA/IAM基础上结合国内的实践提出的模型,它的全称应该是: Account, Authentication, Authorization, Audit,也反映了中国安全业界对于安全管理的思索和创新。
这个周末和儿子一起看了一遍动画片 – “Monsters Vs. Aliens” (中文片名:怪兽大战外星人)。这个片子儿子两个月前看过,故事情节已经大概清楚,每到紧张之处就激动不已。这个片子讲的是美女Susan在婚礼前不小心被邂逅了来自外星的流星从而获得了Super Energy。这个令人亦喜亦忧的Super Energy使Susan一下子长成了巨人,也就说在常人眼里成了怪物。被政府军方强行隔离到了专门隔离怪物的监狱,在那里她认识她的几个新朋友 – B.O.B(一个独眼泡泡), Dr.Cockroach(博士,科学怪人,技术专家), The Missing Link(半人半青蛙), Insectosaurus(最大的怪物,比Susan还大,就是比较笨). 故事就这样开始,要知后事您看了片子就明白了。最终正义战胜了邪恶,Susan也得到了心灵的新生…
Recent Comments