Posts for: #Tech

国内网络安全风险评估市场与技术操作

#Tech  #Security 

版本控制

v0.1 04/01/2004 文档创建,包含大量示例文件内部发布
v0.2 04/19/2004 删除部份敏感信息,增加国内市场分析、BS7799和OCTAVE概述后,对外发布

近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。由于内容与商业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。

1. 什么是风险评估

说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为: 特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。

为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。

用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:

风险 = 钱被偷走
资产 = 100块钱
影响 = 晚上没饭吃
威胁 = 小偷
弱点 = 打瞌睡

回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。

让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:

风险        RPC DCOM漏洞
资产        服务器遭到入侵
影响        数据库服务器
威胁        入侵者
弱点        中断三天

如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。

2. 国内现有风险评估操作模式

2.1 评估市场和竞争分析

如果按照高、中、低端简单对国内的风险评估市场进行分类,那么我们可以很清晰地看到,几类市场的操作方式完全不同。

国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领,往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大,往往只是通过简单的漏洞扫描、病毒查杀等方式操作。

2.2 主要中端厂商的评估模式分析

以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的时效性,未能确认当前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。希望读者自行鉴别。

2.2.1 启明星辰

启明星辰2002年之前始终比较低调,但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型,有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的,他们评估发展的历程,在每个台阶上有该阶段所经过的项目名称,出于安全原因隐去。

启明星辰评估发展历程

业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方,但从启明星辰近期在几家大型客户那里的操作来看,较受客户好评。

启明星辰有较多在风险评估中可以应用的工具:

  1. 天镜评估版:扫描器,有专门用于风险评估的版本。
  2. 天清:又名SRC,指Security Risk Manage,基于ISO17799的量化、可视化的评估工具。
  3. 信息库:名称不详,能够直接导入天镜、Nessus、ISS等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。
  4. 本地评估软件包。

我理解的启明星辰风险评估特点为:

  • 博采众长:这一方面与启明星辰参与部份安全行业国家标准的制订有关,另一方面则是他们有着较多高学历员工,对高端咨询类型的提炼、深化抓得比较好,对评估要求看得透彻,写得清楚。
  • 变化较快:这可以说既是优点,也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新,但同时也导致评估的方法论很容易有变动。

2.2.2 绿盟科技

绿盟科技从最初参与中国电信评估项目开始走进安全评估领域,挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述:

[阅读全文]

我的Linux工作平台配置与展示

#Tech 

曾经多次尝试将工作平台转移到Linux上,但总是以失败告终。最大的原因是需要与大量windows用户进行文档交换,其中有很多Microsoft Office的东西,也包括visio和project。近期工作重心转变,便再次尝试转换工作平台,没有太多的不适应。

先来参观一下我简单实用的Debian吧……

先是我的桌面,或许大多数人会觉得这样的桌面简直让人不知所措……因为简陋得让人无从下手。但如果你知道我按Alt+2就能够切换到第二个虚拟桌面、Alt+F1就能够最大化当前窗口、Alt+9就能打开浏览器上网……我几乎所有应用程序都可以用键盘或者鼠标快速操作,这样的界面,是简陋,还是简洁?

再来看看我的网络应用程序吧,这里是我的浏览器,用的是 Mozilla-firefox;电子邮件客户端则采用一款叫 sylpheed 的软件;对一部份人来说,上网的另一大乐趣是聊天,那么,看看这个叫 gaim 的即时聊天工具吧……

很多人会说:我上班需要用到很多文档处理性质的工作,Linux操作起来很困难……其实,OpenOffice日趋成熟,按我实际使用情况来看,普通的word、excel和ppt文件在OpenOffice下打开问题不大(当然,如果是大型的网络建设方案,里面有大量OLE,或许显示起来会有问题,但,掉个头来想想,Microsoft Office还打不开OpenOffice做的文档呢……),基本可以满足日常工作要求了。

其它软件呢?有编辑文档的 gvim、有用来看pdf文件的 acroread、有类似金山词霸的翻译软件星际译王、有看chm文件的 xchm、有播放各种影音文件的 mplayer、有不亚于photoshop的作图软件 gimp……

gimp

mplayer

如果实在有些软件Linux上没有,比如我现在偶尔用的SPSS或者MindManager,那么,我还可以用 rdesktop 连接远程windows服务器进行编辑处理 :)

rdesktop

我不认为Linux是万能的,但如果你只要求一个普通的办公平台,除此之外,你还需要什么?

那,我们开始吧。

1 安装GNU/Linux系统和软件

GNU/Linux的世界里有太多的选择,Debian、RedHat、SuSE、Gentoo、Slackware等发行版,多数各有其优势和特点。这里我选择的是 Debian。它自由、非商业、高质量的并且结构非常清晰。

1.1 下载netinstall光盘安装

由于Debian的apt工具可以非常简捷地安装应用软件,因此通常不需要下载完整的ISO文件。我下载了sarge每天测试性build出的ISO,大概一百多兆,可以直接写在cdrw上,避免浪费资源。

我将系统分成四个分区,采用reiserfs,分别如下:

Device Boot      Start         End      Blocks   Id  System        mountpoint  comment
/dev/hda1               1         904     6834208+  83  Linux       /           根分区
/dev/hda2             905        1007      778680   82  Linux swap  swap        swap
/dev/hda3            1008        1653     4883760   83  Linux       /home       存放用户数据
/dev/hda4            1654        5168    26573400   83  Linux       /doc        存放大量文档

这样安装的好处是,即使重新安装系统,至少不用管/home和/doc里面的数据,系统重装完,基本上用户配置都完全没有变化。

[阅读全文]

Debian下的网络打印

#Tech 

有篇mini HOWTO不错,可以参考: http://gnu.kookel.org/ftp/LDP/HOWTO/Debian-and-Windows-Shared-Printing/index.html

  1. 安装软件 apt-get install cupsys cupsys-bsd cupsys-client foomatic-bin samba smbclient gs-esp a2ps

  2. 确认打印机 smbclient -L 192.168.100.4 -U guest

  3. 安装网络打印机 /usr/sbin/lpadmin -p RicePrinter -v smb://fred:mypass@rice/INKJET -P /root/inkjet.ppd /usr/bin/enable RicePrinter /usr/sbin/accept RicePrinter /usr/sbin/lpadmin -d RicePrinter 我懒得那么麻烦,直接用CUPS的web配置界面了,访问http://localhost:631/ ;)

里面我的一些配置的选项是: Device:Windows Printer via SAMBA Device URI:smb://[email protected]/HPLaserJ 把Output Resolution改成600 DPI了,打印测试页正常。

  1. 各种程序下的中文打印 有些程序直接打印就很正常,比如OO,有部份程序,比如gedit之类的可以设置打印字体,但对sylpheed之类的软件,直接发送命令给lpr的,打印总是乱码,这时采用bg5ps这个软件来辅助。 apt-get install bg5ps

调整~/.bg5ps.conf,修改设定至少以下项目: Encoding=“gb2312” chineseFontPath="/home/aa/.zh_CN" fontName_gb2312=“simsun.ttc”

运行命令测试: bg5ps -if 20040324_DongGuan.txt |lpr 打印中文正常。这样就可以在如sylpheed等软件中用类似bg5ps -if %s|lpr的命令输出中文了。

  1. Mozilla的中文打印 直接在/usr/lib/mozilla-firefox/defaults/pref/unix.js打开FreeType2再指定路径就行了,如下: pref(“font.FreeType2.enable”, true); pref(“font.directory.truetype.1”,"/home/aa/.zh_CN"); 但我这样后浏览有些网站英文字体发虚(如xfocus),有些网站是好的(如linuxsir),就又关了。

  2. 多页打印在同一张纸上(类似fineprint) apt-get install mpage mpage -4 mozilla.ps > out.ps|lpr

[阅读全文]

mplayer的全屏模式

#Tech 

和普通模式图像大小是一样的,很讨厌,其实换个输出设备就可以了。 2.3.1.2 传统显卡的视频输出 2.3.1.2.1 Xv 在XFree86 4.0.2或者更新的版本下,你能使用XVideo扩展来使用你的显卡的硬件YUV例程。这是就是’-vo xv’所使用的。同时,这是支持调节亮度/对比度/色相/等等的驱动(除非你使用旧的,缓慢的DirectShow DivX解码器,什么驱动它都支持),参见man page http://www.mplayerhq.hu/DOCS/HTML/zh/video.html#normal 嘿,在看04.28.04.Bad.Company.2002.iNT.DVDrip.XviD-EDRP的时候,用media player classic和mediaplayer 9、6全是声音和图像不匹配,换了个版本的ffdshow后干脆一打开程序就crash了。传到笔记本上用mplayer看,居然很完美 :)