乔布斯：关于 Flash 的思考

乔布斯：关于 Flash 的思考
Lawrence Li on 2010-4-29, 23:38 Comments (7)
这是乔布斯 2010 年 4 月 29 日发表在苹果网站上的文章。跟三年前炮轰 DRM 的「关
于音乐的思考」一样，这也是一篇檄文，声讨对象是与苹果多年来亦敌亦友的 Adobe 门
下的 Flash 技术。近几个月来，业界就 Flash vs. HTML5 的问题讨论得热火朝天，本
文并未带来新的视角与观点，但乔布斯的身份无疑令它具备了别家不可企及的重要性。
—— 编者
苹果与 Adobe 的关系由来已久。Adobe 的创始人还在那如今已成传说的车库中工作时，
我们就已经认识了。苹果是他们的第一个大客户，将他们的 Postscript 语言改为我们
当时新推出的 Laserwriter 打印机所用。在很多年里，苹果都是 Adobe 的股东之一，
拥有其 20% 的股权。两家公司通力合作，开创了桌面电脑出版业，其中有不少快乐的时
光，但那段黄金时代一过，我们便分道扬镳了。苹果经历了濒死的过程，Adobe 凭其 A
crobat 产品进入了企业市场。今天，两家公司仍然同心协力为创意产业的客户服务——
Adobe 的 Creative Suite 软件的顾客里，有大约一半是苹果电脑用家。但除此之外，
我们几乎没有别的共同利益了。
我想在这里记下自己关于 Adobe 的 Flash 的一些想法，希望我们的顾客以及批评家们
能够更好地理解为什么我们不允许 Flash 在 iPhone, iPod 和 iPad 上运行。在 Adob
e 口中，我们这一决定背后主要的驱动力是商业上的考量。他们说，我们是为了保护自
己的 App Store。但事实上，这里的问题主要是技术问题。Adobe 说，苹果是一个封闭
系统，Flash 则是开放的，但他们恰恰说反了。我来解释一下吧。
首先，谈谈「开放」。
Adobe 的 Flash 是 100% 的私有软件。你只能从 Adobe 处获取 Flash，并且 Flash 在
未来的改进、定价等等，完全受到 Adobe 一家的左右。尽管 Flash 和相关产品的应用
十分广泛，但这并不等于说它们是开放的，因为它们完全处于 Adobe 的控制之下，并且
你也只能从 Adobe 那里获得它们。无论怎么定义，Flash 都是一个封闭系统。
苹果也有很多专有性的产品。虽然 iPhone、iPod 和 iPad 的操作系统是私有的，但我
们完全相信与万维网相关的所有标准都应该开放。我们没有用 Flash，而是选择了 HTM
L5, CSS 和 JavaScript，它们全都是开放标准。苹果的所有移动设备都与生俱来地对这
些开放标准有着良好的支持：运行速度快，用电量低。HTML5 是万维网上的新标准，为
苹果、谷歌以及很多其他公司所采用。网页开发者利用 HTML5 就能做出高级的图像、字
体、动画以及过渡效果，而不必倚赖第三方插件（例如 Flash）。HTML5 完全开放，并
受一个标准委员会控制。苹果是该委员会的成员之一。
苹果甚至还为万维网创造了一些开放标准。例如，我们从一个小型开源项目出发，做出
了 WebKit。WebKit 是一个完全开源的 HTML5 页面转译引擎，我们所有产品中的 Safa
ri 浏览器的内核用的都是它。WebKit 也广泛被别家公司所采用。谷歌在其 Android 系
统的浏览器里用它，Palm 用它，诺基亚用它，RIM（黑莓）最近也宣布将会改用它。除
了微软以外，几乎所有智能手机里的浏览器用的都是 WebKit。苹果通过开放自己的 We
bKit 技术，为移动网页浏览器订下了标准。
第二，谈谈「完整的互联网」。
Adobe 反复说苹果的移动设备无法访问「完整的互联网」，因为网上 75% 的视频用的是
 Flash。他们没有提及的是，几乎所有这些视频，同时也以一种更加摩登的格式——H.
264——存在于网上，用 iPhone、iPod 和 iPad 都能看。YouTube 占有线上视频大约
40% 的份额，它在苹果所有的移动设备中都以一个软件的形式华丽地存在着。其中，iP
ad 上的 YouTube 所提供的搜寻及观看视频的体验或许可以算作各家之冠。除此之外，
还有 Vimeo、Netflix、Facebook、ABC、CBS、CNN、MSNBC、Fox News、ESPN、NPR、《
时代》、《纽约时报》、《华尔街日报》、《体育画报》、《人物》、《国家地理》（
美国），以及很多很多。没有多少线上视频是 iPhone, iPod 和 iPad 的用户看不到的
。
Adobe 还宣称说，苹果的设备玩不了 Flash 游戏。这不假。所幸，在 App Store 里有
五万多款游戏和娱乐软件，其中很多都是免费的。iPhone、iPod 和 iPad 上的游戏和娱
乐软件之数量也居于世界上众多平台之冠。
第三，谈谈可靠性、安全性和性能。
赛门铁克最近指出，Flash 是 2009 年最不安全的系统之一。我们有第一手资料表明，
苹果电脑死机的罪魁祸首就是 Flash。我们一直在和 Adobe 合作，试图解决这些问题，
但几年过去了，效果不彰。如果说，为 iPhone、iPod 和 iPad 加了 Flash 之后，会导
致它们的可靠性与安全性下降，这是我们不愿看到的。
此外，Flash 在移动设备上的性能也有问题。过去几年里，我们经常请 Adobe 用移动设
备——任何移动设备——示范 Flash 的性能，希望看到好的表现，但至今未能如愿。A
dobe 曾公开说 Flash 会于 2009 年初出现在智能手机上，后来又推迟到 2009 年下半
年，然后又变成了 2010 年上半年，现在又说是 2010 年下半年了。我们相信它迟早会
出现，但我们也庆幸自己没有一路等待。谁知道它到时性能会怎么样呢？
第四，谈谈电池续航力。
为了在播放视频时保持良好的电池续航力，移动设备必须用硬件来对视频进行解码；软
件解码太费电。如今的许多移动设备中的芯片组里都包含名为 H.264 的解码器。H.264
 是业界标准，每一台蓝光 DVD 播放器都用它。苹果、谷歌（YouTube）、Vimeo、Netf
lix 和许多其他公司也都有用。
虽然 Flash 最近增加了对 H.264 的支持，但目前几乎所有 Flash 网站都需要用旧一代
的解码器：移动设备里的芯片不支持它们，因此只能通过软件解码。区别是巨大的。例
如，在 iPhone 上，H.264 视频可以连续播长达十小时，但通过软件解码的视频播不到
五小时，电池就会用光。第五，谈谈触屏。

Flash 是为个人电脑和鼠标设计的，并不适合触屏和手指。举例来说，许多 Flash 网站
都用到了「光标悬停」：当用户把光标移动到某个点时，弹出菜单或其他元素。苹果革
命性的多点触控介面不用鼠标，也没有光标悬停的概念。如果要支持触屏设备，大部分
 Flash 网站都要重写。而如果开发者要重写 Flash 网站，为什么不用较为摩登的技术
，例如 HTML5、CSS 和 JavaScript 呢？
就算 iPhone、iPod 和 iPad 支持 Flash，还是不能解决大多数 Flash 网站需要重写，
以便支持触屏设备的问题。
第六个是最重要的问题。
Flash 封闭、私有、有重大技术问题、不支持触屏技术。除此之外，还有一个更加重要
的理由，让我们决定不让它在 iPhone、iPod 和 iPad 上跑。我们刚才谈过了用 Flash
 播放视频与展示网站上的互动内容的弊病，但 Adobe 还希望开发者用 Flash 来编写跑
在我们的移动设备上的软件。
过去的痛苦经历让我们了解到，在平台和开发者之间加多一层第三方软件层，最终会导
致大量不够水准的软件，并对整个平台的进步与发展起到负面作用。如果开发者开始依
赖于第三方的库与工具，那么他们将受制于这个第三方：只有当第三方采纳了整个平台
引进的新特性之后，开发者才能够利用它们。我们自己的平台的改善何时能够传递到开
发者手中，不能由一个第三方来决定。
当这个第三方提供的是一个跨平台开发工具时，情况会变得更糟。某一个平台上的功能
改善，第三方未必会立即采纳，而是可能会等到这些改善在自己支持的所有平台上出现
时，才开始支持它们。因此，开发者就只有最基本的功能可用。同样，苹果无法接受这
样的结果：开发者无缘接触我们的创新与功能改进，而原因却是这些创新与改进在我们
的竞争对手的平台上还不存在。
Flash 是一个跨平台的开发工具。Adobe 的目标不是帮助开发者写出最好的 iPhone、i
Pod 和 iPad 软件，他们的目标是帮助开发者写跨平台软件。在过去，Adobe 在采纳苹
果的平台的改进上可谓迟缓之至。例如，Mac OS X 推出已有十年之久，但 Adobe 直到
两周前发布 CS5 时才将其完全 Mac OS X 化（Cocoa 化）。在所有的重要第三方开发者
里，Adobe 是最后一个完整支持 Mac OS X 的。
我们的动机很简单：提供最先进、最创新的平台给开发者，希望他们能够直接站在这一
平台的肩膀上，创造出前无古人的优质软件。我们希望持续改进这一平台，以便开发者
们可以写出更棒、更强大、更好玩、更有用的应用程序。人人都是赢家——苹果会因为
有了最好的软件而卖出更多设备，开发者会有越来越多的用户，而面对最好的、选择最
广泛的软件平台，用户也会感到开心愉悦。
结论。
Flash 是个人电脑时代的产物，它是为个人电脑与鼠标发明的。Flash 对于 Adobe 来说
是一盘成功的生意，我们也明白他们为什么希望将它延伸到个人电脑以外的领域。但在
移动时代，重要的是低能耗、触控介面和开放的万维网标准。所有这些都并非 Flash 的
强项。
各家媒体争先恐后地为苹果的移动设备提供内容，这说明 Flash 已经不是看视频或消费
任何类型的网页内容所不可或缺的了。苹果的 App Store 里的二十多万个软件证明，对
于数以万计的开发者来说，编写视觉效果丰富的程序——包括游戏——并不一定要用 F
lash。
HTML5 等移动时代的新标准会在移动设备上（以及个人电脑上）取得胜利。或许，与其
忙于批评苹果义无反顾地大步向前，Adobe 更应该专注于为未来打造优质的 HTML5 工具
。
史蒂夫・乔布斯
2010 年 4 月

--

四十以后才明白的事情

[分享]（让你少走十年弯路）四十以后才明白



时光荏苒，岁月如歌。转眼已经四十奔三了。常言道四十不惑，最近自己也常常在闲暇之时反问自己：我真的不惑了吗？今天工余竟然兴致倍增，思绪奔涌。记下若干心得与大家共勉。



四十以后才明白：好朋友是应该相互欣赏的，而不是相互利用的。好朋友只能在同一阶层中产生，而穷人和富人，百姓和达官，草根和明星，白丁和学者则永远不可能成为真正意义上的朋友。因为不在同一阶层，便永远不会有对方对本阶层的深刻体会与感悟。



四十以后才明白：饭应一口一口吃，事要一点一点做。没有一蹴而就的事情，所以就不应该疲于奔命。中年，应该活得从容。



四十以后才明白：光从容还是不够的，适当的时候还是要秀一下自己，让平淡的日子亮起来。



四十以后才明白：年龄之于人生只不过是一个符号而已。所谓"少小有才国家用，老大空长做什么？"是焉。



四十以后才明白：任何事物都具有两重性，有时候甚至没有对错。你以为错的，在别人看来或许是对的。而你竭尽全力为之奋斗的，却很有可能正是别人摆脱和抛弃的。



四十以后才明白：生活质量的优劣，完全取决于自己的心态。珍馐美味、杯晃交错间如果掩映的是而虞我诈。则远不如"三五知己坐，淡茶话家常。"来的可心。如果高官厚禄却穷于心智，惶于仕途。就远不如"采菊东篱下，悠然见南山。"活得逍遥。



四十以后才明白：对待我们心仪的异性知己，多一分关爱，少一分贪婪。会使自己的情感天空少一丝阴霾，多一缕阳光。



四十以后才明白：亲情的疏离是切肤的伤痛。淡一些、谅一些、忍一些，会使我们的心宽一些、和一些、暖一些。



四十以后才明白：对待父母再不可做薄养厚葬的傻事了，他们那一辈人受的磨砺太多了，善待他们就是善待我们的良心。说起善待，父母会很疼钱，但动一动脑子事情就会办的圆满。比如：可以去酒店定一碗极品燕窝汤，端回来告诉他们这是小摊上两块钱一碗的南方的胡辣汤，然后看着他们幸福的享用。其实大多的时候他们根本就不需要你的荣华，每周问他们一个年轻时的故事，然后耐心的听他们讲完，他们就很知足了。



四十以后才明白：我们的伴侣看似平淡无奇，有些时候甚至难以忍受。其实岁月的年轮早已将彼此裹融到一起了。即使是恶习俗性，也已成为自己生命的一部分了。如果有一天你真的要撕毁这不堪的婚姻，就会发现每撕一片，都会连着自己的皮肉和筋骨。



四十以后才明白：我们对孩子的溺爱就像高脂高糖一样的危害着他们的健康。我们害怕他们走弯路，我们担心他们吃苦头，我们忧虑他们经风雨。我们全家人为他们搭起了大棚，然后呆呆的望着他们柔弱的发育着。



四十以后才明白：职位只不过是一个杯子，而你的修养和品性才是你杯中的尤物。夜光杯中未必盛的就是葡萄美酒，也可能是一杯浊水。粗瓷盏里未见得就是白开水，很可能闷的是一盏极品龙井。个中的质量全在自己后天的努力。

被人玩了

这几天很是郁闷，被人不断地调戏

事情是这样的：

在一国外网站交钱预定房间，50美金左右，等我上门check in时，店家说没有我预定的房间了，让我换个80美金的，要不就再等等看看。

结果就等，连续两天跑过去问，一直都没有。

正常情况下，也不应该一直没房间吧。

我无法判断他们是不是真的没有，还是店家就这样拖着我。没地方住，只好再在那个网站又订其它地方，加上预订的费用，加上时间，加上折腾的精力，搞的我非常郁闷上火

我找了他们经理，也给出这样的理由，上拨客人没走一直占着房间。发抗议信给网站，可能是周未，都没有回复。虽然我10多天前就预定了房间，也交了订金，但现在还是没地方可住。

按说他们应该给找其它的酒店，当然他们也推荐了，可那个酒店收费100美金。没有50美金的价位。你说这个酒店是不专业呢？还是故意玩我呢？

被人玩了

这几天很是郁闷，被人不断地调戏

事情是这样的：
在一国外网站交钱预定了一个房间，50美金左右，等我上门check in时，店家说没房间了，让我换个80美金的，要不就再等等。

结果就等，连续两天跑过去问，一直都没有。正常情况下，也不应该一直没房间吧。

店家就这样拖着我，我无法判断他们是不是真的没有。我没地方住，只好再在那个网站订其它地方，加上预订的费用，加上时间，加上折腾的精力，搞的我非常郁闷上火

我找了他们经理，也是这样的理由，说上拨客人没走一直占着房间。发抗议信给网站，可能是周未，都没有回复。虽然我10多天前就预定了房间，也交了订金，但现在还是没地方可住。

按说他们应该给找其它的酒店，当然他们也推荐了，可那个酒店收费100美金。没有50美金的价位。你说这个酒店是不专业呢？还是故意玩我呢？

难忘的四大生活经历

我和我难忘的四大生活 [只看楼主]
楼主 作者：yczm 发表于：09-07-09 浏览：2340
原来在N记服役的时候，也很喜欢来这里，看看其他四大的动向，虽然是已故的安达信旗下网站，但是四大的人总有说不完的共同话题，喜欢在这世界上寻找自己的同类；不过能常常有时间来这里的，大多是新人，或者是故人，四大的中坚力量往往都在战场上厮杀，无暇伤春悲秋，所以，倒是故人们奉献颇多自2006年末辞职之后，自己也成了作古之人，再来到这里，才真正体会到这个论坛的灵魂，原来故人的心情都是这样依依不舍，这里，是我们的心灵家园，无论你来自D记/K记/A记还是P记，我们都曾拥有一段难以忘怀的热血青春，值得我们共同珍藏.......
四大的文化
与其认为四大是外企，倒不如说四大是私企更加贴切。尤其近年来中国业务的迅猛发展，四大本土化进程的加速，使中国本土的老一辈审计师们有资格成为四大在华的首批本地合伙人，这些本地合伙人，持有在A股上市公司的审计报告上签字的资格，如同本地驾照，这是洋人们无法取代的。据说我们N记有位资深的香港合伙人，刻苦学习CICPA，已经苦攻5年，年年无功而返。我倒觉得，在他深谙中国企业的特色和风险之前，考不到CICPA对他而言未尝不是件好事。这位合伙人每次考完，总是羞于谈论自己的考试分数，不过有一次听说所里有人考出了1位数的成绩，大喜过望，透露出本人考出了30几分，暴汗！
跑题了，汗一个！
为什么说四大是私企？因为你可以跟企业的拥有者面对面的讨论报告，审阅底稿，你去任意一个世界500强的企业，都很难看到企业的所有者，你面对的都是职业经理人；如果说四大打得是拳击，其他的外企就是打太极，出拳的速度要间接很多。但这一点，并不影响出拳的力度，我想说的是，你可以在其他的世界500强企业学到如何管理一个大企业。在跨国公司谈内部控制，似乎更有意义
四大的牛人
四大的聪明之处在于，他总能找到一批一批的聪明人效力；不过这两年由于国内IPO业务量激增，放宽了招聘的条件，导致四大鱼龙混杂，也是有的。四大的牛人很多，尤其做大项目的时候，常常遭遇不同Office的同事。有的时候涉及一个只有准则规定，没有明确会计制度规定的问题，常常引发热烈的探讨；我还记得在一个项目上，为了一个融资租赁的问题，几个兄弟姐妹，引经据典，旁征博引，将融资租赁的底稿一再简化，最后成为一个十分简单的贷款模型，前后不过一个小时的时间，让我眼花缭乱。牛人们喜欢讨论准则制定的初衷，热衷于challenge制度的漏洞，喜欢预测下一步的规范......逻辑推理十分重要，你的逻辑推理越是严密，你的论证就越是有力，无论你PK的是项目负责人还是合伙人，你都可以据此四两拨千斤，树立你的个人权威；这种智力的博弈所带来的巨大快感，是其他工作无法感受到的，也是四大人为之热血沸腾的一种境界。
标签：工作体会 面试 名企面经 笔试 发展前景 跳槽 职业规划

[回复本楼]
1楼 作者：yczm 发表于：09-07-09
四大的牛人（续）
JANE：我友，2005年鏖战CICPA，此女准备了5门的考试，考前基本没休什么大假，该出JOB出JOB，该OT也不含糊，成绩出来过了4门，另外一门考了57分；Jane为此十分愤懑，第二年考剩下那一门的时候，顺手把律考也拿下了；Jane不算是一个很上进的人，她的人生目标无非是在大千世界晃一圈，回家做个家庭主妇，相夫教子；Jane平日里注重生活质量，喜欢买名牌，作言起行，总有淑女的风范；我每次跟她一次吃饭，都觉得自己像个男人；一次出差，她感叹道，我什么时候能过上精致的生活啊？我就焚琴煮鹤地怀笑：你会离精致的生活越来越远！
Amanda：一次审计制造型企业的时候，我们发现这个企业当年的收入增长了大约15%左右，成本分析做下来没有问题，企业管理层的解释也勉强过得去；Amanda从公司的仓储租赁费中看出了异样，细查下去，本年度公司多租了一个仓库！原来，公司为了达到当年的预算收入目标，将部分库存作为销售收入，相应结转了成本，这部分库存实际并没有销售，所以公司将其存放在外库，可惜仍没有逃脱Amanda的火眼金睛。Amanda是我们的一个项目经理，她跟其他经理不一样，一般不出很弱智的coathing notes，比如"对%%%的低估你做了哪些工作"啊，这种问题只能让Junior郁闷，再比如"把***放进管理当局声明书"啊之类的掩耳盗铃的方法，Amanda一般是很有建设性的提问题，一般底稿过了她这一关，就不用担心过不了合伙人那一关，她总是能逻辑严密，沉着稳中地把各种可能交待给老板做判断，所以，跟着Amanda混，不用很加班，做事情也有方向，是我十分钦佩的一个人。
Jack也是牛人，他牛就牛在无论跟什么项目，跟哪个经理他总有办法不加班；到了忙季还有杀手锏：病假；按理说，这么个懒胚子的performance好不到哪里去，但是他就有办法混到Average的队伍里去，后来我学到了个词儿叫做result oriented，才认识到JACK是深谙此道的高手。他也离开了N记，前两天听朋友说他在新的公司也如法炮制，又休了1个月的病假，理由是：前两天刮大风，把腰闪了......不服不行

[回复本楼]
2楼 作者：yczm 发表于：09-07-09
西西，我的挚友，CICPA，ACCA双料专业资格，她总能在别人一头雾水一团乱麻的困境中迅速理出头绪，我们同年进了N记，可是她的成长要比我们其他人都迅速的多，别人还在做费用的时候，她已经能够建议In charge的人做一张一劳永逸的递延所得税的计算表了；等我在痛苦地学着编现金流量表的时候，西西变戏法似的把会计恒等式展看给我看，教我领会到现金流量表的真谛；接受内部审核的时候，我亲眼目睹我的西西跟一位超过10年资深的合伙人PK，反应之迅速，逻辑之严密，我们的经理和小P都为之击节赞赏......西西也不是很有进取心的人，人人羡慕的secondment到来之时，她就像从前一起玩儿的时候一样，抓着我的衣襟，随我而去了。我常常畅想西西有着无比辉煌的未来，但是此女子就这样不负责任地离开了四大
西西的故事还有很多，以后我还会慢慢提到，不过有一点可以肯定，就是每次我遇到牛人，都会问西西，你怕他/她么？西西若不怕，我就觉得此人的牛气也不过如此，没有到让我仰望的地步；2005年9月，我们在北方的一座城市共同在一个ipo上，当时正值CPA考试之际，N记集中了全上海有CPA资格的人做这个项目；经常听到会议室里的口水战。一次饭后，一位老兄调侃说，自己是上个世纪考过的CPA，（1999年么），一个说这算什么，老James来N记之前在培训班里教多年的CPA，我忍不住了，淡淡地说，西西，你今年没帮你老师去出CPA的考题吧？全场哗然，西西怪我多嘴
四大的恶人
四大也有一般恶人，以偶之愚见，就是一些不顾他人死活的人；比如上海N记一个经理，特别喜欢半夜电话查岗，一般是12：30左右，依次打电话给自己的手下，问问进展，一次打给Linda的时候已经下班夜2点了，
问："报告怎么样了？"
Linda回复："今年改了模板，很多内容需要披露，还在做"
"数字定了么？"
"定了一版，合并现金流量表还没出来"
"哦。。。"电话那边传来他老婆的声音"还不睡！%&$#@...."
此人含混地哦了一声，然后故作慈悲地说"你们也不要熬太晚了，报告明天早晨8：00交给我就行了"

[回复本楼]
3楼 作者：yczm 发表于：09-07-09
FT！
后来一次此君现场查岗的时候，我们一干兄弟姐妹刚刚中午买了几盒酸奶，听说他要来，把酸奶统统揭开喝了，一个不剩。等此君到场的时候，一边道貌岸然地说增加什么什么审计程序，一边围着桌子打转，估计是找剩下的酸奶呢。我们一个个憋着笑，谁也不说话。等他一走，暴笑：Jason说，就像鬼子进了村，光看见一地鸡毛，鸡没了！哈哈


***
做审计，其实常常涉及公司内部的高度机密；审计师如果缺乏警觉，就容易被公司利用；我还是在做Junior的时候，审计一家五星级的酒店。酒店的所有者和管理层团队往往来自两个彼此独立的公司，酒店的大堂无论如何总是辉煌的，但是看过他们的帐就知道，已经千疮百孔，工资都快发不出来了。一次我的同事在寻找不到一位高管的时候（我们怀疑他有意躲避我们的审计），恰好投资方的一个负责人来现场检查工作，这个人很快就利用了我们的证词，拿那位高管开刀，掀起了一场风波；后来我们向经理报告了事情的经过，经理用很中立的态度表明了我们的立场。这件事，给我很大的教训，就是做审计，不能任意作主观的判断；只需客观事实做陈述，自己的分析也不能随便发表；否则，很容易成为政治集团内讧的工具


还有一件事，就更加敏感；一个很土很土的企业，居然因为某政府高官拍了脑袋想上市，该企业的老大就硬着头皮往上冲。集团上上下下当作政治任务来抓，审计师要什么资料给什么，配合态度倒是蛮好，问题是企业的管理水平还停留在很初级的水平，好像一个死活要上战场的军队，只配备了木头枪。
安然事件之后，各证交所对内部控制的要求已经到了草木皆兵的地步，读一读SOX404的条款，就知道要改善内控是要真金白银地投入、要付出时间和改革的，不是单纯地补充一些文件就可以做到的。在这样一个硬性条件当前的情况下，我们国内的一些企业真的要做好功课，才能达到上市的要求，否则就是自讨苦吃。但是我们负责开疆拓土的marketing人员不这么认为，他们衣着光鲜，穿着西装打着领带，四处忽悠，一旦签了审计业务约定书，就把接力棒传给我们这些把他们的甜言蜜语的proposal变成现实的人。
所谓的政治，其实只要有人的地方都有；也就是人们常说的江湖，不仅大公司里有，小宫里有，连家庭大了也会有，没听说过深宅大院，豪门恩怨么；可见人性就是如此，我把政治理解为，人们通过委婉间接的方式各取所需。

扯远了，在上述例子里，我遭遇的现实就是，企业希望审计师给个结论，说企业不符合上市条件，以此为由拒绝那位高官的一厢情愿；审计师当然不愿意充当如此武器，按照我们的逻辑，所有的证据都要来源于企业的实际情况。在这样的前提和目的下，双方展开了旷日持久的大型猫捉老鼠的游戏，谁都不愿意成为最终的那个借口，就要拼命捉住对方的证据作为理由。这个项目，最终成为很多人在四大的终点站，其中也包括我和我的AIC，MIC。后来想想，签署业务约定书的合伙人对风险的判断及控制能力是非常重要的，否则，这种非战斗减员十分没有意义，但是也非常的残酷。


四大的人性化
对四大的人性化，其实有很大的讨论空间。

[回复本楼]
4楼 作者：yczm 发表于：09-07-09
在我的第一个Job上，我的senior是一个刚刚secondment回来的女孩子，她很优秀，人也非常nice，但绝对是个工作狂，一整天一句废话没有，除了分配工作就是自己狂作working paper；这个job是她回来后的第一个星期，我们干的十份拼命，每天每个人吃饭时间加在一起不超过半个小时，晚上还要高效工作到2：00左右，周三周四我都是3点多才睡，每天早晨7：00就要起床，真的是恶梦一样的生活。全部的现场工作几乎都在星期五的下午4点钟左右结束了，因为我的senior希望我们大家周末可以回去休息，跟家人团聚。可就是这天下午4：30左右，她收到了公司的一通电话，告诉她她被派到徐州的一个项目上，周六下午的飞机就要出发。我们看到一直坚强的她接电话的背影僵直，过了不一会儿，就传来隐隐的啜泣，这个女孩子，离家1年多了，刚刚回来，还没有来得及去看她的母亲，就这样又被派出去了，没有人事前通知你，也没有人去体谅你的此时此刻的处境，我第一次深刻体会到了四大的残酷.......
后来，这种事情变得十分平常，我的一个同事的时间表被公司安排在前一天还在A市盘点第二天就是B地的项目，完全没有在工作日排出旅途时间，这个同事就自己一个人提着大箱子（行李和工作底稿）连夜坐船赶到B地，整个人筋疲力尽。报加班的时候，B地项目的经理chanllege道：你的路途时间怎么能算到我的项目上？
我一直坚持不在JOB上请病假，不是因为我没病过，而是我很清楚，这份工作说白了就是一个萝卜一个坑，每个人连自己分内的工作都很有挑战性，如果TEAM里有人请了病假，那简直是雪上加霜，对你的同事和AIC都十分残忍。所以，我在N记得三年多里，从来没有在项目上请过一天病假，我爱我的兄弟姐妹，我不能容忍我给别人带来痛苦。
不仅仅是我，一次下着大雨的早晨，我们各个分公司的field in charge正要出发，我发现另一队的leader西西，肚子疼得蹲在门口，我问她要不要紧，她说没事。到达开发区后，我们分头行动。晚上回了酒店，我看到西西手上贴着胶带（下午去打吊瓶），晚饭也没吃，还在工作......后来听说是因为前一天吃的螃蟹导致的急性肠胃炎，Rex十分羡慕，问西西，你们家还有吃剩的螃蟹么.......如果你是四大的人，你会理解这种希望自己生场大病的心理实际是一种对压力的逃避，真正生病的人，并不一定能够解脱...
其余类似的事情不胜枚举，一个女孩子一直想到淡季请假照婚纱照，经理始终不批......一个长期两地分居的同事，大年初5就被派上了项目，只能忍痛离开自己的伴侣....某地一个IPO，据传很多人想请病假回上海，理由已经十分具有创意：办理离婚；腰间盘脱出；.....统统不批，最绝的是一个女孩子，不知道从哪里搞到了一张流产的医院证明，要休小产假！----众所周知，她连男朋友都没有！
这些例子，可能很多人都已经听说过，并因此视四大为魔窟。其实，这是有原因的，我们的审计工作最重要的就是Planning，在Planning阶段，要确定审计风险，进一步计算所需的时间和人员，一旦确定下来，就很难更改，而staff的休假往往不在planning考虑的范围内，也就是说公司的假定是他雇用的所有的人都是健康的人，并且都不会生病。所以，我常常在想，符合这一假定的其实只是机器人。正常人都是有身体感受的变化的，即使你还年轻。公司对员工作机器人的假设和员工实际遇到的生理生活需求，形成了一对矛盾，并在忙季和IPO这样的大项目上激化成很多人辞职的导火索。
还有很多很多的例子，不仅仅对员工，我们的老板、经理，级别越高，承受压力越大，所有的人都像搬移泰山一样地工作着......所以，你会听到老板在凌晨两点对员工慈祥地说，回去吧，早晨交给我就可以啦......
并不能据此武断地下断言，四大缺少人性。只能说，四大对人的关怀和包容，在急剧扩张的中国市场面前，变得如此软弱无力.......
四大更善于用金钱补偿员工，我们的尾牙、outing都十分令人期待，欧洲七日双飞；1克拉的钻石......相信我，这在其他的世界500强企业都是很难见到的，不是所有的外企都这样慷慨。
四大的人性化，还体现在老板与员工的紧密沟通。四大的很多original的经理都是从staff升上来的，因此，跟员工的接触更像学校里师兄弟的关系。大家都很真诚，你的经理和senior很可能让你觉得他比你以前在学校里认识的朋友更加了解你，更能帮助你认识自己。日夜奋战在一起，对自己和他人的认识也跟正常人的工作有很大不同。（我们把四大的人之外的人成为正常人）。
说说四大的美女帅哥
其实，说到底，审计还是服务业范畴，因此对相貌的要求还是有的，换而言之，职业形象也是非常重要的。奉劝想进四大的小朋友，尤其是男孩子，记得最好是穿西装打领带，给老板一个未来的职业形象预期。

[回复本楼]
5楼 作者：yczm 发表于：09-07-09
对公司每年招进来的帅哥美女，我总是有一种幸灾乐祸的不健康心理：谁不是头光颈亮地进来的啊！重要的一年以后你还能保持你那如花似玉的皮肤，容光焕发的气色么？很罕见。Roy特别喜欢给别人看自己工作证上的那张大学时候的照片，小伙子神采飞扬，明眸皓齿，再看看现在的本人，经常几天不刮胡子，眼角的皱纹透露了严重缺觉的生活习惯；Lisa揽镜自照时，说过一句话：我们这么熬夜，用什么眼袋（眼霜，次女经常口误，已经被传为经典）也没有用！我见过美女，天生丽质，熬夜数日之后，面色蜡黄，早晨用香皂随便洗洗脸就出门了，如果不拿手提电脑，不被人误解成民工才怪啊
为什么离开四大
很久没有续写我的帖子，好友来这里看过，支持我继续写下去。离开已经有一段日子了，但是久久没能适应外面的环境，外面的人。总觉得现在的清闲是偷得浮生半日闲，自己终究属于四大，属于那个精彩的世界，属于那个忙碌的人生。
每个人离开都有自己的理由。但是，每个离开的人不会后悔自己曾经来过这里。
如果给离开的理由排个名次的话，我想身体原因大概可以排在第一位，然后呢是看不到出头之日，然后是家庭原因，比如结婚生小孩，然后是事业与生活的平衡，还有你对公司的失望程度，以上原因如果你占了3条，你铁定离开。
身体原因：年轻的时候，很多人以为自己可以不理会，但是在四大做得越久，就越会感到力不从心；每次做到下半夜2、3点的时候，我对着镜子里自己浮肿的脸都不会有什么好心情。每每听说那个同事病了还请不到病假坚持工作，心里总有兔死狐悲的感伤。你去调查一下，很多人有颈椎病、腰肌劳损、高血压、低血压、胆囊息肉、长期便秘......四大超强度的工作加重了你发病的几率。女孩子就更惨了，熬几个通宵，花容失色事小，赶上period，元气大伤啊！
说看不到出头之日，是你以为熬过今年忙季，你就会看到曙光，可是IPO打碎你的幻想；你以为熬到升经理，可以会不同，可是做经理有经理的压力；很多人发现，无论怎么做都没有尽头。我发现可以一直坚持下去的有三种人：一种是赶上了好时机，在比较闲得前几年，完成了从JUNOIR到SENIOR甚至经理的艰难蜕变，在IPO大潮涌来之前，已经能够得心应手了；第二种是会混的人，不追求完美的人，Technical不一定很强，就是会混，底稿报告差不多就发，用人的时候心狠手辣， 不信你看看，四大这种经理比比皆是；第三种是真正有热情，对理想能够坚持，无家庭琐事之后顾之忧，无身体健康之种种阻挠，生性乐观，善于苦中作乐的人，这种人不多，但是这样的人对事务所太有好处了，因为他们能够影响别人，感染别人，鼓舞士气，如果合伙人能够发现你的staff有这种特质，一定要好好珍惜，不要在junnior的时候摧残了他们的斗志。

对还没有进四大的朋友，我的建议是：
一、好好锻炼身体，打下一个好的基础，至少能撑个3、4年；坚持锻炼身体的话，一直做下去也没问题；
二、女孩子最好先找男朋友，四大的生活让你无暇旁顾，无论你有多么优秀；
三、保持对生活的热情，对理想的执著，让消极的情绪远离你，永远不说让自己泄气的话，这是一种积极的生活态度，无论你做什么，你会发现，这一点将是你终生受益。
四、要始终自信，绝对自信，对经理、老板的批评坚持是对事不对人的。忘掉你在学校学习的虚伪的虚心学习别人的长处之类的教诲，扬长避短，发挥自己的长处才是正道。你要有一个强大的自我，才能在作决定的时候坚定稳妥。
五、把自尊面子之类的东西暂时放到一边，对你会更有好处。太爱面子的人走不了很远。
对还在四大坚守的人，我想说的是，能坚持就坚持，能跑多远就跑多远，一旦出来，你很难再想回去，尽管那里给了你很多宝贵的东西

[回复本楼]
6楼 作者：yczm 发表于：09-07-09
感谢大家的支持！
寒谭最近好像人气不旺，这个很正常，我在四大的时候也没有时间来这里闲逛。
刚刚考完CFA的level I，才有空出来冒泡泡。
在北京遇到西西，催我快点上来更新，呵呵，算是答谢她吧。

上次说到我的偶像，实在写不下去了，因为她的个案实在很典型，说出来很多人会认出来。简而言之，她后来重病一场，卧榻两年之久，性格大变，原来是不折不扣地效率型女超人，现在心态十分平实，只想拥有健康的身体、普普通通的生活...公司也算没有很亏待她，每年也都续约，算是对她的补偿。
四大，不只是为梦想打拼的舞台，也是个名利场。

再说西西到了COMMERCIAL之后，发现工作内容无聊之及（可以理解她计算机一样的脑袋无法忍受每天做加减法的工作），不久辞职重返四大，不过不再是审计工作，衷心为她高兴。西西说，最大的区别就是：审计部的经理认为你加班实属正常，别的部门可不会。

我在Commercial里每日朝九晚五，过得也算悠哉，每天能敲锣打鼓地准时下班，回家见到亲爱的人，有那么多的自由时间可供支配，觉得人生理当如此。可是，工作实在很无聊，我的激情无处发泄，只好找点考试打发时间。

我深爱自己的第一份工作，希望别人能够走得更远，看得更多！


哈楼，各位强者，我是一名HH
主要是公司接了一单寻找财务经理的活，要求有四大背景，实属无奈，上来瞧瞧，
有哪位四大的故人或目前正奋战在四大急于解脱者可联系我，
TL:39795897，MSN：talenthr04@hotmail.com.
我们会严格遵守职业操守，对于人选的资料严格保密，
请原谅我的冒昧，谢谢


写的很朴实，也很真实，用审计报告的术语"在重大方面公允地反应了四大人员的生活，信息披露真实，准确，完整，无虚假记载，误导性陈述或重大遗漏"！

重新进入职场

重新进入职场，有些事情得注意一下：

公司绝不会告诉你的20大秘密
时间：2010-04-14 10:38:12 用户：l_m 专业度： 3040

职场如战场，这句话可能大家都知道，而且大多数时候其实这句话是正确的。在职场里面都会有一些潜规则，都有一些"千万不能做的事情LIST"，这些可能大家都知道，但是还有一些大家不知道的事情，对于这些事情公司不会明说，但是这将会成为你晋升、涨工资的一个标准。以下是酷啡生活总结的一些工作经验，大家可以讨论一下。

首先，说明一下我不是HR,但是由于我的工作性质，我了解到很多老总或领导们的真实想法。而且08年的时候读过一本叫做"公司绝不会告诉你的50大秘密"（韩文版），今天发现中文版也出版了，当时看的时候这本书真是写出了公司不会告诉你的一些内部潜规则，下面我要跟大家共享的"公司绝不会告诉你的 20大秘密"是根据这本书的内容还有加上我个人工作经验的感受总结出来的，如果大家感兴趣可以直接去卓越购买这本书。

1. 入职时的工资高低不重要，只要你努力工作你会得到相应待遇的
我估计几乎找过工作的人都听过这句话，当我们确定被聘用跟公司谈工资时，他们都会说"如果以后你业绩突出、努力工作，你的报酬也会相应增加的"，特别是当第一次找工作的时候大多数人会相信这些话，但是千万～～别相信。
刚入职时，你的工资就是你的全部（当然有一些岗位，比如销售或弹性工资的岗位除外），而且你入职以后大部分待遇都会跟着你的工资而浮动，工资调整也是按你目前的工资乘于一定的百分比，保险、公积金也跟工资有关系，当你的基本工资低的时候你今后的报酬增长空间也不大。
所以，找工作时千万不要心软，多争取一些基本工资，因为这个是你的所有。
我第一次找工作时就是犯了这个错误，当时心软没要求更高的工资，觉得基本工资比别人低几百块钱无所谓，但是后来才发现它有一个杠杆作用，尽管以后每年你工资涨幅比别人大，但是工资还是比别人低。
比如你入职时的基本工资为4000，第二年涨幅为20% （一般的企业极少数人能涨20%），那第二年工资为4800；如果你的同事入职时基本工资为4500，第二年涨幅为10%（一般涨幅），那他第二年工资为4950。是不是看到差距了？请记住，入职时工资就是你的全部，一定不能心软。


2. 人事部不是你的倾谈对象
我在公司看过很多员工找人事部经理谈话，而且人事部员工可能会定期找员工谈话，问员工在工作中有没有遇到什么问题？ 有没有人事部需要帮员工解决的事情？
但是请你记住， 公司人事部并不是你的倾谈对象，人事部的首要任务不是去帮助雇员，而是保护公司利益不受雇员损害，这才是最为重要的。 可能很多人认为人事部门是自己的朋友，有时甚至连对公司、对老板的真实态度都会告知于人事部门。
无论人事部的人员表现得何等友好，你均要认清，你跟他们的谈话内容，他们必然会与决策部门分享这些信息，例如你的老板、经理、主管及首席执行官。人事部门的职责就是（有时也是合法的）告知公司决策部门你那些所谓的" 秘密"。
比如你对你不喜欢你目前的工作内容、或与老板的关系处理的不好，你千万不能找人事部抱怨，你应该直接跟你的老板沟通。可能当时谈话时人事部的员工会给予同情，说自己像上司反映这个情况，但是大多数情况下人事部门会将你与他们的对话原封不动地转达给你的老板，而你的老板对此是绝对无法原谅的，出现问题首先不去找老板解决，而是直接找到人事部门，这样你的处境就很被动了，有可能被迫离开公司了。


3. 你的能力并不能确保你的安全
很多公司在招聘员工或对外宣传时说我们公司注重员工的能力，提倡员工能发挥自己的主观能动性（确实有一些公司是提倡创新的，但是极少数，大部分都只是打打口号而已）。对于刚入职的员工来说可能都会有一种心理，那就是向同事或领导展示你的才华、展示你的能力，但是请注意：公司或你的领导倒希望先看到你的忠诚，而不是显摆自己的能力。不管你的目的是什么，这个并不重要，如果你一贯展示你的能力，很有可能上司觉得你卖弄小聪明、是一个不值得信赖的人，或他会感受到威胁，如果他认为你在威胁他的位置，他才不管你有多聪明，他宁愿要一个愚笨但对自己忠诚的人。
所以，当你刚入职或刚调到一个新部门的时候，千万不能先自作聪明，你首先要做的是熟悉环境熟悉上司同事的性格，即使你是一个专家也要先摆低姿态，当然必要的是关键时刻也需要显示自己的能力，让别人觉得你是深藏不露。
韩国有一个俗语说"要想让婚姻生活幸福，就要当3年聋子，3年哑巴，3年盲人" ，因为以前在韩国婆婆对媳妇很是虐待，你必须是装聋作哑才能熬过去（当然现在已经不是这种情况了），我说这个的目的是新来乍到，你应该学会作哑装聋，刚开始多听、多学，听到闲言碎语要装聋。


4. 报销单是公司测试你的一个工具
看到这个题目或许你会纳闷？报销单也能测试员工？是的，我们平时不以为常的报销单也是公司或领导测试你的一个工具。
大部分公司都会有月底报销（餐费、交通费、电话费等）或出差报销吧？
你让你的领导在你的报销单上签字的时候，他有没有说过什么？或他有没有做过什么表情？ 请注意，其实大部分情况下领导们都会看你报销的金额，而且如果他们愿意的话财务部门可以随时提供每个人的报销明细。
以前看过一些在公司里面贪小便宜的人，餐费、交通费里总是放着一些自己私人用的（而不是为了公司业务）费用，或许这些费用只有100元，但正是这些小钱会坏了你的前程。
我认识的一个老板跟我说过这样一句话："某某员工哪天报了业务餐费，但是那天明明是我付款了。"或许这位员工太大意了。
但是我认识的老板当中也有一些人，他连你打的票上面的时间也核对，然后把属下每个员工的每月费用都记录下来，或许你报销的时候他可能不会说什么，但是到时候你丢掉的并不仅仅是金钱。


5. 在工作场合中透露私事很危险
现在我们大部分人有太多时间跟同事一起过，我们跟同事在一起的时间有时甚至超过跟家人在一起的时间，这种情况使我们有时分不清公事和私事，有时候觉得跟同事的关系像亲人一样，跟同事分享自己的私事，孩子养育问题，个人健康问题，经济上遇到的一些困难等，但是请记住，职场就是职场，你这样做很危险。
我的一位同事经常在工作场合说他儿子现在是青春期，跟我们描述怎么怎么叛逆，由于儿子的叛逆，每天回家以后家里的氛围都很紧张，有可能他是想通过倾述减少来自家庭的压力，但是最近公司开始了一个重大的项目，他一直以为自己是最佳候选人负责这个项目，但是结果令人意外，公司领导层选了其他人选，为什么呢？因为公司领导层觉得"他家里的事情已经够多了，估计他没有余力做这么重要的项目"或讲得更冷静一点就是"你连自己家里的事情都解决不了，你还能负责这么重要的项目吗？"

如果你自己身体不太好，不需要把自己的健康情况告诉同事或上司，因为对上司来说你不健康说明你不能百分之百投入或有可能影响工作，这样你的上司会不安，他甚至会提前想对策或再额外招人，这样的话到时候即使你的身体恢复了，你有可能会面临失去自己位置的尴尬局面。


6. 如果你与老板作对，必然会被逐出公司大门
在公司里有一个对你产生很大影响的人，如果没有他的支持你不能得到公司的认可，晋升也很难甚至有可能丢掉你的工作，他就是你的顶头上司。

或许你的上司没有你聪明、没有你能干，你或许对他并不服气，但是请记住，他就像是一个守门人一样，你想绕开守门人，但最终的结果是你也失去了给你敞开的一扇机会门。或许你觉得如果你自己足够有能力，公司领导层会让你绕开你的上司直接让你晋升或给你另外的机会，但是不要做白日梦了，公司往往会站在你上司的角度想一个组织的稳定性，跟自己的上司斗99%受伤的都是你自己。

或许你的上司能力没有你强，但是既然他能上升到那个位置就说明他必然有一些其他方面的能力，领导力或组织管理能力或对公司的忠诚，当上司和你产生冲突时公司会站在你上司这一边，请你记住这一点。

我的一个同事很有能力，当他调到一个新部门的时候发现上司根本没有能力而且往往做不了决定，所以很多情况下他绕开自己的上司直接跟总经理沟通，而且在业务上总经理也认可了他，这让他很得意以为自己能力强上司不能拿他怎么样，但是有一次，上司说他工作太辛苦了，让他去马尔代夫休假（公司出钱），当他从马尔代夫回来以后发现，他不在的时候公司发了一个人事调令，把他调到一个无关紧要的部门。
所以，不管碰到什么样的上司，如果你还想呆在这个部门，呆在这个公司，你需要配合你的上司，这样他会帮你打开一扇机会的门。


7. 按了发送键？ STOP~~ 公司邮件很危险
如果我说你用公司邮箱收发的邮件都被你的上司所看到，你是不是觉得天要塌下来了？如果不是的话，那就说明你很光明正大。其实很多人都不知道公司或上司能看到你的邮件，而且公司也绝不会给员工发个警告，说要注意互相往来的E-mail，如果你用公司邮箱给朋友发私人邮件，或跟同事用邮件谈论上司或公司的政策，一定要睁大眼睛看一下：公司邮箱很危险。
（1）你利用公司邮箱收发邮件时，你一定要想着有可能公司某人正在看这封邮件，因为真的有些公司会定期检查一下邮件内容（当然是不告知于员工的情况下），我不知道之前我任职的公司是不是也这样，但是我听过一些国际知名公司会定期查员工的邮件。
（2） 邮件会永远留在公司服务器： 你或许不知道，就算有些邮件发完了你后悔了马上删除了，可能在你的邮箱里面是已经没有了，公司服务器永远记录这封邮件的。
（3）按发送键的时候一定要三思：你或许通过邮件给人事部或你的上司提一些建议或者对公司制度做一些评论，一定要注意，这些邮件在一些重要时刻会成为呈堂证供，很多情况下往往对你不利。
在公司里面我经常收到一些群发的搞笑的邮件，如果以前你给同事群发过这些邮件，我建议你以后不要再发了。因为你经常发这些会让别人觉得你整天没事做，所以才发这种邮件。或许收到这些邮件的他（或她）把这个邮件转发给一些领导了，或许他也是为了让领导搞笑、高兴，但是领导们可不会这么想，你在领导的眼里会变成整天无所事事的人的。


8. 我努力工作公司会给我加薪？No，你必须要求！
对于工资，公司和员工之间永远都不能达到双赢，很多人对自己目前的工资并不满意。那么怎么办呢？ 等着公司给你加薪？很多人认为如果我做好自己的事情，我出业绩了，公司肯定会给我加薪，是的，公司会给你加薪，但是～～ 加薪的幅度肯定不能满足你的期望。

我在公司里看过很多案例，很多人都幻想"到时候"公司会给我加薪，或害怕自己提要求以后老板有什么想法所以不敢提出来，但是如果你不敢提出加薪，公司给你的可能就是一个平均值或略高于平均值的薪水，它不是你所期待的。
当然你想要求加薪，首先你要弄清楚你的"价值"，而且必须是站在公司的角度想，如果公司认为你没有"加薪的价值"还提出要求，那你很有可能会被裁掉的。
（1）证明你的"价值"：如果你在公司整天无所事事，那公司肯定不会给你加薪的，在要求之前你必须要证明你的"价值"，让你成为公司不可缺少的人才。
（2）提要求：像前面所说的一样，公司每天都想着怎么削减成本，如果你不要求公司觉得这是一件好事情，除非你要求了，公司绝不会自愿给你涨很多工资的。不要想着哪天会出现奇迹，如果你觉得你有价值，就要求吧，如果上司认可你，他会倾听你的话语的，并且千万不能让你老板成为你的敌人，交流的最后一定要强调我还是尊重你的决定，因为有些时候由于客观的原因老板也有身不由己的时候。
（3）不要威胁上司：如果你还想待在公司，在要求加薪时，千万不要威胁上司，比如不加薪就离开公司或跟上司说谎说已经拿了别的公司的OFFER等，你的立场必须是"我很喜欢这个公司还有目前的业务，但是我觉得目前的工资跟我实际做的工作有差距，我希望工资能体现我的价值"等，你威胁的结果很有可能是得打包走人。
（4）不要抱怨：即使最后的结果不是很好，比如不给你加薪或加了很少一部分，通过主动出击你可能明白了自己的短处或老板对你的看法，也让老板明白了你不满足于现状。如果你没有打算离开这个公司，你就要现在开始弥补自己的短处或提高自己的业绩，下次再用更强烈的事实来证明，可能这次没有成功，但是你离下次成功就不远了 。

我知道跟老板提加薪要求很难，因为你害怕"如果我要求提工资，老板会炒我或以后他对我不给好脸色怎么办呢？"，但是大多数情况下那些你想像的最坏的情况并 没有发生，大多数是happy ending。而且即使有一些副作用，公司或老板很健忘的，因为如果这个公司的OWNER不是你上司的话，钱不是从他口袋里出来，过一两个月他就会忘掉这件事情的。

这个我可以很肯定的告诉你，因为我曾试过。


9. 加薪必须要求，那晋升呢？ NO,千万要管好自己的嘴巴～～
既然说加薪必须要求，那晋升呢？这个千万不能要求，一旦你申请或要求晋升机会，它就会与你失之交臂，晋升不是要求的，而是上司通过认真考虑之后给予你的。

上司还没有确信你能不能成为管理人员之前你先要求，这就像是你不从大门进，而是要跳过墙进到内部。因为如果上司还没有确信你是一个当领导的料，但你先提出来，他会觉得你还没有成熟或认为你比起公司的利益更在意自己的私利。
领导们在决定晋升人选时除了业绩、工作能力之外，还会考察很多其他能力，比如领导能力，组织能力，对公司的忠诚度等，而且作为管理人员应该要沉得住气、该谦虚的时候需要谦虚，你事先提出来会破坏你的形象的。

难道要坐等吗？当然不是，你可以主动负责一些重要的项目、要提出帮助其他部门面临的棘手的项目等，一定要抓住机会让上司看到你的能力，看到你的热情。


10. 如果遇到新上司要积极配合他
现在的公司经常会发生人事变动，一般来说遇到新上司属下的员工都会有一点被别人侵入的感觉，特别是当你和前任上司关系非常好的时候这种感觉更强烈。但是如果你想在公司继续混下去，你要尽快配合新上司，熟悉他的工作作风。

很多时候新上司赴任以后下属员工都期望新来的上司适应部门原来的工作方式，但是这种事情不会发生的，大部分新上司都会对目前的工作方式进行变更，这种时候千万不要带头抵触或提意见，所谓新官上任三把火，这时候你要做的是积极配合他，如果别的员工有不满情绪，你应该要中间周旋一下，这样新上司会觉得你是站在他这一边的，这个第一印象特别重要。同时，新上司刚来时，你觉得新上司还不懂部门的情况，所以就出面给他一些忠告或建议，就算你是为了新上司好，千万不要提忠告或建议，这是一个禁忌。如果他主动问你，你可以说，但是～～这种时候也尽量说事实，不要涉及到你个人的意见或负面的信息，你要让你的上司根据这些事实自己做出决定。况且新上司问你的意见或建议，是想测试你们的忠诚，想知道你们对公司或同事的真实想法，这很有可能是一个圈套。

在这里你要记住一点的是，新上司来了熟悉业务的时候对你来说是一个很好的表现自己的机会，记住，少说，默默配合新上司的工作，他会把这些都会记在心里的。

11. 想成为公司中最有价值的员工？那你就必须停止说"我做不了"而主动请缨是不是人人都想成为公司的MVP? 那你必须要停止说＂我做不了＂而主动请缨，每次上司给你分配任务的时候你是不是说 "我没做过这个，我做不了这个"或"我现在没时间这个"？。就算是你觉得这个任务对你来说有点难，你觉得你有可能完成不了, 这种时候很多人可能条件反射地说"这个我做不来", 千万不要这样说. 其实领导给你分配这个任务, 他肯定是考虑过你的能力,而且可能这件事情即使没做好他也有后路的. (一般领导不会给你安排很重要而且如果搞砸了没有后路的事情) 这种时候即使你完成的不够好可能也不会损失什么, 这种时候你的态度应该是＂ 这个我做起来有些难, 但是我会试试的" . 然后就得通宵加班或使上你全身力气把问题给解决. 如果你做的过程中发现按你现在的能力完成不了, 你一定要在deadline之前提交给领导(不要在最后一天提交完成度不高的答案, 领导最讨厌这种人),让他有更多时间来修改。如果你习惯性的说＂我做不了＂，过一段时间以后他会觉得＂给你任务你肯定说做不了＂，所以干脆不给你指派任务．如果你们部门里有所有人都不想做的项目或任务，如果你主动请缨接收这个＂烫山芋＂，那领导会对你刮目相看，给予你很好的评价的，当然这种烫山芋不需要太多，只要一个就可以．


12. 想要脱颖而出？让领导感到150％满足感在 职场成功的一个秘诀, 不要只干领导让你做的事情,。如果你只是按照领导说的话100% 执行, 那你永远也无法脱颖而出。在公司做领导给你分配的任务的时候,一定要多长一个心眼, 除了他布置的任务以外, 你可以提出你的建议或者是一些改善意见, 而且完成度不能是100%, 而是要达到150%."做女人要像希拉里一样"中希拉里用的战略中一个很重要的战略就是: " 让雇佣我的人或者是接受我提供的服务的人感到200%的满足感", 这样看希拉里的目标更高.很多人都觉得你只要做好领导分配的任务让你的领导满足100%, 做好自己分内的事情就可以了,但是如果这样做, 你在职场永远不能混好.


13. 你们公司允许言论自由吗？职场没有言论自由或许当你第一天上班的时候人事部的人会对你我们公司很OPEN，而且在很多时候开会的时候总经理会说"大家畅所欲言吧，我会尽力满足你们的要求、尽量解决你们所提的意见"，千万不要陷进这个陷阱。大多数时候公司是没有言论自由的，特别是当你对公司的政策，环境或制度说出了真实的想法，在公开场合上反对公司的政策制度，公司会视你为影响公司氛围的反动派，他们觉得你很危险所以通过一些方法让你打包走人的。我不知道有些真的开放的公司是不是有言论自由，但是我看到的版本是每当总经理跟员工面谈时都会让他们畅所欲言，但是等他们真正说出了真实想法，马上他就失去了公司的信任。

还有一点，我经常看到一些人在电梯里跟同事或朋友说公司里面的事情，这个是一个很不专业的行为，因为不管你是在你办公室的电梯还是在客户公司电梯，跟你一起乘坐电梯的人有可能是你上司的朋友，重要的客户，你称赞公司可以，但是反对或不满的话语千万不要在电梯里面说，不然到时候你都不知道自己为什么死得这么快了。


14. 你的办公桌专业化吗？
现在大部分外企的办公桌都是一格一格的小格子，或许你认为办公桌是我私人的地方，我想放什么就放什么，但是请注意，办公桌也是体现你价值的地方，所以要让你的办公桌也变得专业化。

那怎么样的办公桌才是专业化的呢？（1）不能太乱，我在公司里看到很多人的办公桌都是乱七八糟的，各种各样的文件摆在那里，太乱的话很容易给别人这个人工作没有条理的印象。（2）不能太整洁，如果你办公桌上什么都没有太整洁了，那别人会觉得你根本没事做。（3）不能有太多装饰品。现在80后追求个性，办公桌上面放着各种各样的东西，曾经我的同事中有一个人的办公桌可以看作是一个礼品店，各种各样的娃娃还有各种小东西，可能自己觉得这样很有创意，但是别人都在背后说她。 （4）跟业务无关或跟你的调不符的书籍千万不要放在让人看到的地方。

总的来说，我觉得白天你可以把你的文件或资料放在桌上，但是下班的时候一定要整理，那些重要的资料一定要放在抽屉里（最好是锁着），这样可以显示出你做事很专业。而且现实生活中有些上司习惯下班以后转一圈看看下属的办公桌，一是看看你的桌上有没有公司重要的资料敞开着，二是通过你办公桌上的东西看看你最近的动向（如果你桌上有"8个方法教你找好工作"之类的书，那你应该是有跳槽的打算了吧？^^）


15. 业绩考核结果跟你的业绩不相符？业绩也需要进行宣传大部分公司每年都会进行1到2次（或4次）的业绩考核，业绩考核结果会影响到你的奖金/晋升等，但是很多员工发现业绩考核结果跟自己想象的完全不一样，这是为什么呢？因为业绩考核中你主观性的判断根本不重要，重要的是你的上司怎么判断你的业绩。如果你做的工作是拿数据说话的，像销售等，可能还好一点，但是我们很多人做的工作可能没有具体的数据来支持，这种时候你平时也要对自己的业绩进行宣传了。
我看过很多人平时都不怎么跟上司沟通，但是一到年底对考核结果不满，就找上司透漏不满，这种做法无法改变什么，你需要做的是
（1） 要跟上司做定期的沟通：跟自己的顶头上司定期沟通是很重要，因为通过这种沟通你可以让上司知道你正在做的工作，同时你也可以了解上司到底想什么，对你期待什么。按自己的标准来做事在公司里是站不住脚的，如果想要获得好的绩效评价，你必须要满足上司的期待和标准。
（2）对自己的业绩进行宣传：大家肯定会问这个怎么宣传啊？上司不都在看着吗？但是很多时候你做的一些事情上司还真不知道，不管你多么努力工作，如果上司不知道的话就没用，所以必要的时候一定要把一些工作进展的情况CC给上司，或我一般是采取定期把自己正在做的工作列个目录，详细描述进行情况发给上司，上司在进行绩效考核的时候可以参照这些书面的东西。
（3）即使上司给了你一个不好的评价，你不能透漏不满。因为上司这样做肯定是有他的理由的，而且他有权力给你不好的评价。你需要做的是让上司说出来他的意见，你要根据上司的意见来进行改正，因为你有义务迎合上司的工作方式、工作作风，谁让他是你的上司呢？


16. 你是不是公司里的"好好人"？如果一味地讨好他人，你便会失去他人的尊重每个公司都会有好好人，他们对于所有人都笑眯眯，对于所有人的要求都不会说"NO"。如果你是新进入公司的员工，可能刚开始要得到其他同事的信任，需要讨好别人，当然这个是需要的，但是请你不要搞混"谦虚、摆正态度"和 "没有自己主见的好好人" 。如果你一味地讨好他人没有一点自己的主见，你会失去他人对你的尊重，在工作中别人也会把你看作是没有真学问的空瓶。我知道这个说起来简单做起来难，有些时候是需要讨好人，但是面对重要的事情或重要的业务时，如果你认为你的想法是正确的，你应该坚持，不能一味同意别人的观点，要有自己的主见。以前听朋友说他们公司有一个人，对于任何人拜托他的事情他都说好，结果到后来公司里的所有杂事都摊到他那里去了，他自己是为了这些琐事而整天忙碌，但是别人在后面则会笑话他。当时听的时候我想，他的同事们怎么这样啊？但是一想，估计这些事情都是他咎由自取的。对于不合适的工作或拜托，或对工作的正确的意见，如果你认为正确的话，你都应该要提出来，不能做个"好好人"，这两者的度怎么掌握，那还是看个人所处的环境或性格了。^^


17. 不要隐藏自己的失误

我们在工作中难免会犯一些失误，所有人都有一种心理，那就是想在别人不知道的情况下隐藏自己的失误。但是有一点请注意，如果你所犯的失误涉及到你们部门或你的上司，你一定不能隐藏，因为很多时候隐藏自己的失误带来的是更大的失误，正所谓越遮越丑，就算你犯的是一个很低级的错误，你也要告知部门负责人或相关人员。

我刚开始工作的时候犯了这个错误，刚开始写企划案的时候修改的次数会比较多，因为上司和我之间来来回回的版本比较多，所以最后把最终版本发给上司以后自己发现有一些数字错了，因为是刚开始负责企划案，不想让别人知道我的疏忽，我就偷偷改了这些数字，因为第二天上司跟老总开会时我会把资料打印出来给他们。第二天当我把打印出来的资料递给上司，上司瞅了几眼，正好看到了那些数字，他就大发雷霆。他发火不是因为我出现了失误，因为每个人都难免会失误，问题是我想偷偷隐藏这个失误，并没有考虑上司的立场。如果当时他没发现这个，到时候给老总报告时发现了，老总正好也对这个数据有印象（因为资料是提前发给老总的），而他自己不能自圆其说的话会有什么样的后果。

这件事情对我的启示很大。我并不是说所有的失误都要公开，如果这个事情不涉及到别人，你自己一个人就解决的话你就不用公开。但是如果这个失误会波及到你的上司或组织，一定要提前告知他们，并想办法解决。所有人都会失误，如果你非常负责地处理你所犯的失误，它不会让你难堪，反而会给你加分的，因为领导们觉得你很诚实而且有责任心。但是请注意，事情过去以后同样的错误你不能再犯一次。


18. 休了病假或产假吗？你需要注意了病假和产假是一个很好的福利制度，最近发现公司里怀孕的人比较多，大多数人认为法定的"病假或产假"是严格受法律保护的权利，但是你一定要注意，这有可能会把你陷入两难境地。当然，当你休长期病假(法定的）或产假还有哺乳期间公司是不能解雇你，但是如果这段期间你处理不好的话，一旦过了这个时期你就会上"黑名单"上。因为公司的员工数基本上是固定的，一旦你休几个月的假，这段期间你的工作会分到别人的头上或公司要额外的招人，过了几个月以后当你回来很可能已经没有你的位置或让你做的工作了。
那么怎么样才能防止这种情况呢？
（1）假期期间，持续跟公司的联系，特别是跟你上司的联系：我知道对于刚生孩子休产假的人来说这个应该很难，因为有太多事情让你操心，但是我还是希望你能定期抽时间跟上司或同事联系，聊一下工作的事情，或有重要的项目时如果可以的话你也可以给一些建议，但是这些，必须要让你的上司。
（2）一定要与时俱进，不能丢"业务感觉"。我们学外语的时候语感很重要，但是一旦你放了很久，你就没有语感了，这样你整个外语水平就会下降。工作也是一样的，你必须对你的业务保持那种"业务感觉"，如果可以的话在家里也看一下相关资料（当然是在你的身体允许的情况下），因为你一旦上班，公司或上司会有一段时间"观察"你，看你的工作能力或效率是不是跟以前一样。

我朋友的一个同事就是刚生完孩子上班之后状态特别不好，其实这个是情有可原的，因为小孩晚上闹精神状态就不太好，肯定会影响白天上班。但是公司不能接受她不能集中精力工作，休完产假以后过了1个月后，上司就慢慢不给她工作，而且把她手头上的工作也慢慢分给别人，最后是那个同事自己受不了无所事事就提出辞职了，这个可能就是公司所愿意的。如果她没有主动提出辞职，估计过了哺乳期以后公司也会用各种理由裁她的。


19. 劳动法并不能保护你可能很多人会觉得现在随着法律的完善，特别是随着劳动合同法的修订等，劳动法会保护我们，但是不要对劳动法抱有幻想，它并不能保护我们。因为正所谓"上有政策下有对策"，公司的人事部或外部的人事机构会巧妙的绕过法律，保护公司的利益。举一个例子，从新劳动合同法第39条中明确规定劳动者有下列情形之一的，用人单位可以解除劳动合同，如"严重违反用人单位的规章制度的"，用人单位的规章制度很多样化，我们公司以前制定一个"公司员工手册"时，我们看到光是工作纪律这块就列了100多条^^ 几乎你所想到的或没想到的都列了出来，到时候如果公司真的要辞掉你，很简单，在这么多条当中肯定适用于你的。而且一般公司想裁你会通过一些措施来让你"主动辞职"，比如上司经常给你分配你无法完成的任务，或上司对你的态度很冷淡让你无法忍受，你的办公桌移到非常不好的位置，给你一个很短的期限完成一个根本不可能完成的任务，给你很低的评价等，如果有这种征兆的话，你应该好好考虑自己的职业规划并做打算才行。


20. 赢才是硬道理说了这么多，或许给一些即将进入社会或刚进入社会的师弟师妹们一种恐惧的心理，想着公司怎么都这样啊。或许这个不是适用于所有的公司，因为我也碰到过好的公司，好的上司。但是不怕一万就怕万一，我希望大家都提前准备能保护自己的武器，可以绕过这些陷阱。如果你有才能，你必须要充分发挥出来并让别人知道，并让他们给你打开一扇机会之门。我们的人生就像是一场赌博，职场更是一场赌博，你可以选择你出的牌，从而决定自己的输赢。在职场无望的等待天上掉馅饼不是明智之举，你应该积极地占据主动位置，学会"赌博"，学会扭转局势，因为赢才是硬道理。

关于安全上的疑惑

在会上听了多位嘉宾的精彩演讲，受益匪浅。也把自己作为技术的几个疑惑记录一下：

我做了10多年网络安全服务，中间做过开发、管理、安全集成、应急、咨询等，做过的项目比较多，感觉一直比较疑惑：客户这边工作做了许多，以前也由其它安全公司做了大量安全项目，标准也用了很多，体系、设备、人员，所有的东西，看上去看上去完美了，但最后我来一查，仍然有大量问题。而且有些风险，可能会对客户产生非常大的损害。是因为体系不够健全，还是理解不透，还是缺乏贯彻的技术细节呢？所有这些问题的根结在哪儿呢？为什么安全项目做了一期又一期，不断地折腾，仍然有那么多的问题呢？

另一方面，国内的IT设施，新东西新产品特别多，购买IT基础设施时，投入都很大，但相对应地，产生的效益却没那么理想，尤其对政府机关一类的IT投入，每次做单，感觉真有钱啊。但产生的效益呢？。所以，我一直想的，如何利用现有(老旧)的机器，提高"效益"呢？

另外一点，你提到的"数据大集中"，其实这个大集中，还是和过去的那种集中到大型服务器中的"大集中"不一样。google那样的模式越来越流行了。现在都是将数据集中到一块中，而不是一个点中，这个块中，可能是一个机房，或多个高速相连的机房，形成的整体可用的计算能力存储能力。云计算就是这种模式的进一步的发展形式。所以，我个人理解为"块计算"，或"块集中"，呵呵。

个人理解，欢迎交流。呵呵

TrueCrypt可能是CIA的后门程序

TrueCrypt可能是CIA的后门程序


假如一个你常用的加密软件，开源、免费，最终被发现是CIA的后门程序。你有什么感觉？

看cnBeta的这个新闻评论：

热门评论
匿名人士 发表于 2008-07-05 22:53:06
这个软件很好，一直用它来加密一个盘放片片。
绝对不比其他的商业软件差。
回复 支持(52) 反对(2) 举报

匿名人士 发表于 2008-07-05 23:01:52
非常好用! 我一直用它保hide 我的运动 秘籍。
回复 支持(10) 反对(0) 举报

匿名人士 发表于 2008-07-05 23:05:58
非常好用! 我一直用它保存我的FWC秘籍。
回复 支持(7) 反对(0) 举报

匿名人士 发表于 2008-07-05 22:44:25
免费吗？
回复 支持(5) 反对(0) 举报

匿名人士 发表于 2008-07-05 23:00:49
每个盘都有片子，正缺个加密的工具
回复 支持(5) 反对(0) 举报

在看看reddit上最近掀起了对TrueCrypt的一些质疑。

No one knows who wrote TrueCrypt. No one knows who maintains TC. Moderators on the TC forum ban users who ask questions. TC claims to be based on Encryption for the Masses (E4M). They also claim to be open source, but do not maintain public CVS/SVN repositories and do not issue change logs. They ban folks from the forums who ask for change logs or old source code. They also silently change binaries (md5 hashes change) with no explanation... zero. The Trademark is held by a man in the Czech Republic ((REGISTRANT) Tesarik, David INDIVIDUAL CZECH REPUBLIC Taussigova 1170/5 Praha CZECH REPUBLIC 18200.) Domains are registered private by proxy. Some folks claim it has a backdoor. Who Knows? These guys say they can find TC volumes:
http://16systems.com/TCHunt/index.html
For these reasons, I won't use it. Encryption is important and TC looks great and makes great claims, but TC should be more transparent.

TrueCrypt的虽然是开源软件，但是很奇怪的找不到任何CVS/SVN/GIT/Hg源码托管和版本控制。虽然可以下载到源码包，但是版本很旧，你自个儿编译的话，由于系统版本、内核版本、编译工具的细微差别，99%的可能性你编译出来的和官方发布的二进制版本不一样。而且有这样一个故事

Let me tell you a little story. In 1983, during his Turing Award lecture, Ken Thompson admitted to a back door in the UNIX kernel which enabled him to log in. Because UNIX was distributed as source, he was concerned about being discovered. So instead he wrote the C compiler to recognize that it was compiling the kernel, and to insert the relevant code into the binary during compilation. But because the C compiler was also distributes as source, he wrote the compiler so that it would recognize it was compiling a copy of itself, and then insert the relevant recognition code into the new C compiler. The result: a back door installed in an operating system distributed entirely as source code (without the back door).
So I don't think your claim is valid.
http://cm.bell-labs.com/who/ken/trust.html

有人给出了替代方案：FreeOTFE

假如，仅仅是假如TrueCrypt是CIA的邪恶 后门程序，不得不说这帮淫太smart ass了。在Windows里留后门？风险太大被曝光了肯定轰动全世界。但是做一个李鬼式的开源的、免费软件，恰恰能够收集很多绝密资料。开源软件有几个 hidden的属性，首先是不适用反垄断法。微软的浏览器真的很烂吗？真的很烂。为什么不做一个很好的呢？因为要反垄断。你真的认为微软没有实力去把XP默认的画图做成photoshop吗？Ubuntu就不同。开源，所以一切bad ass的好软件都可以统统集成到系统里,而且司法部没话说。其次，开源是免责的。顾客买了你的软件，你就得为软件负责吧。免费的软件呢？FLOSS软件有一句很著名的话

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND

就算是CIA的后门，你也没得话说。你自己情愿去用这个软件的。因为这个东西恰好利用了人们的心理学缺陷，逻辑非常精明：见不得人的东西才会加密，加密的东西肯定都是有一定情报价值的。其次，普通大众对开源有一种近乎愚昧的迷信，认为开源就是阳光透明的，开源等于安全吗？

至于中国，情况就更加特殊了。软件传到中国，一般都是在天空、华军甚至多特这样的地方下载的汉化版，"开源"只不过又是一个金光闪闪的牙防组标志罢了。跟普通二进制闭源发行的软件包没有任何区别。企业内部、个人对TrueCrypt这样的软件的盲目信任，对开源软件默认开绿灯white list，不得不说有一定风险那。。。

--------------------#鬼仔注：摘了下面两个评论---------------------

Izual_Yang:
确 实很可疑，不过更奇怪的是那个tchunt网站吧，就俩预览图，还是trial version。其实我是想等高手来解释一下什么地方最容易做手脚，第三方的加密算法中能不能夹带私货――可惜大部分都是没有实质内容，因为软件以外的原 因指责软件不安全的评论。那跟单纯的truecrypt黑有啥区别？简直让我想起这个帖子： http://www.derkeiler.com/Newsgroups/comp.security.misc/2005-11/0327.html

poco :
没有cvs/svn的确很可疑。搜了一下，好像很早就有人怀疑它了。
甚至有传言居然说作者早就跑了(http://groups.google.com/group/comp.security.misc /browse_thread/thread/95d13057488da241/11a409a92002b980?lnk=gst& q=truecrypt#11a409a92002b980)，wikipedia上也有相似的说明(http://en.wikipedia.org /wiki/Truecrypt#Controversy)这么可疑，马上卸了～
Tags: CIA, TrueCrypt, 后门

内网安全技术与标准

此文只作为收藏自用，请勿转载

1.内网安全现状概述

进入21世纪后，随着国内信息化程度的快速提高，内网信息安全越来越多受到关注，内网安全产品和厂商短短几年内大量涌现。但是，令人担忧的是，虽然众多的产品和厂商都以内网安全的概念在提供服务，但其中包含的实际技术和内容却千差万别。这样的情况，一方面对市场和用户形成了误导，不利于解决用户的实际内网安全问题，造成投资浪费；另一方面也不利于创造良性的竞争环境，阻遏了内网安全市场的发展。

鉴于此，有必要对内网安全进行成体系的理论探讨，形成统一的共识和标准，这样才能让内网安全产品和厂商真正满足用户的需求，解决用户的实际问题，推动国家信息化的发展。

2.内网安全问题的本质探讨

2.1.内网安全问题的形成原因

内网安全问题的提出跟国家信息化的进程息息相关，信息化程度的提高，使得内部信息网络具备了以下三个特点：

1）随着ERP、OA和CAD等生产和办公系统的普及，单位的日程运转对内部信息网络的依赖程度越来越高，内网信息网络已经成了各个单位的生命线，对内网稳定性、可靠性和可控性提出高度的要求。

2）内部信息网络由大量的终端、服务器和网络设备组成，形成了统一有机的整体，任何一个部分的安全漏洞或者问题，都可能引发整个网络的瘫痪，对内网各个具体部分尤其是数量巨大的终端可控性和可靠性提出前所未有的要求。

3）由于生产和办公系统的电子化，使得内部网络成为单位信息和知识产权的主要载体，传统的对信息的控制管理手段不再使用，新的信息管理控制手段成为关注的焦点。

上述三个问题，都是依赖于内网，与内网的安全紧密相连的，内网安全受到广泛的高度重视也就不以为奇。

2.2.内网安全问题的威胁模型

相对于内网安全概念，传统意义上的网络安全更加为人所熟知和理解，事实上，从本质来说，传统网络安全考虑的是防范外网对内网的攻击，即可以说是外网安全，包括传统的防火墙、入侵检察系统和VPN都是基于这种思路设计和考虑的。外网安全的威胁模型假设内部网络都是安全可信的，威胁都来自于外部网络，其途径主要通过内外网边界出口。所以，在外网安全的威胁模型假设下，只要将网络边界处的安全控制措施做好，就可以确保整个网络的安全。

而内网安全的威胁模型与外网安全模型相比，更加全面和细致，它即假设内网网络中的任何一个终端、用户和网络都是不安全和不可信的，威胁既可能来自外网，也可能来自内网的任何一个节点上。所以，在内网安全的威胁模型下，需要对内部网络中所有组成节点和参与者的细致管理，实现一个可管理、可控制和可信任的内网。由此可见，相比于外网安全，内网安全具有以下特点：

1）要求建立一种更加全面、客观和严格的信任体系和安全体系；

2）要求建立更加细粒度的安全控制措施，对计算机终端、服务器、网络和使用者都进行更加具有针对性的管理；

3）要求对信息进行生命周期的完善管理。

3.现有内网安全产品和技术分析

自从内网安全概念提出到现在，有众多的厂商纷纷发布自己的内网安全解决方案，由于缺乏标准，这些产品和技术各不相同，但是总结起来，应该包括监控审计类、桌面管理类、文档加密类、文件加密类和磁盘加密类等。下面分别对这些产品和技术类型的特性做了简单的分析和说明。

3.1.监控审计类

监控审计类产品是最早出现的内网安全产品， 50％以上的内网安全厂商推出的内网安全产品都是监控审计类的。监控审计类产品主要对计算机终端访问网络、应用使用、系统配置、文件操作以及外设使用等提供集中监控和审计功能，并可以生成各种类型的报表。

监控审计产品一般基于协议分析、注册表监控和文件监控等技术，具有实现简单和开发周期短的特点，能够在内网发生安全事件后，提供有效的证据，实现事后审计的目标。监控审计类产品的缺点是不能做到事情防范，不能从根本上实现提高内网的可控性和可管理性。

3.2.桌面管理类

桌面管理类产品主要针对计算机终端实现一定的集中管理控制策略，包括外设管理、应用程序管理、网络管理、资产管理以及补丁管理等功能，这类型产品通常跟监控审计产品有类似的地方，也提供了相当丰富的审计功能，

桌面监控审计类产品除了使用监控审计类产品的技术外，还可能需要对针对Windows系统使用钩子技术，对资源进行控制，总体来说，技术难度也不是很大。桌面监控审计类产品实现了对计算机终端资源的有效管理和授权，其缺点不能实现对内网信息数据提供有效的控制。

3.3.文档加密类

文档加密类产品也是内网安全产品中研发厂商相对较多的内网安全产品类型，其主要解决特定格式主流文档的权限管理和防泄密问题，可以部分解决专利资料、财务资料、设计资料和图纸资料的泄密问题。

文档加密技术一般基于文件驱动和应用程序的API钩子技术结合完成，具有部署灵活的特点。但是，因为文档加密技术基于文件驱动钩子、临时文件和API钩子技术，也具有软件兼容性差、应用系统适应性差、安全性不高以及维护升级工作量大的缺点。

3.4.文件加密类

文件加密类产品类型繁多，有针对单个文件加密，也有针对文件目录的加密，但是总体来说，基本上是提供了一种用户主动的文件保护措施。

文件加密类产品主要基于文件驱动技术，不针对特定类型文档，避免了文档加密类产品兼容性差等特点，但是由于其安全性主要依赖于使用者的喜好和习惯，难以实现对数据信息的强制保护和控制。

3.5.磁盘加密类

磁盘加密类产品在磁盘驱动层对部分或者全部扇区进行加密，对所有文件进行强制的保护，结合用户或者客户端认证技术，实现对磁盘数据的全面保护。

磁盘加密技术由于基于底层的磁盘驱动和内核驱动技术，具有技术难度高、研发周期长的特点。此外，由于磁盘加密技术对于上层系统、数据和应用都是透明的，要实现比较好的效果，必须结合其它内网安全管理控制措施。

4.构建完整的内网安全体系

从前面的介绍可以看出，上述的内网安全产品，都仅仅解决了内网安全部分的问题，并且由于其技术的限制，存在各自的缺点。事实上，要真正构建一个可管理、可信任和可控制的内网安全体系，应该统一规划，综合上述各种技术的优势，构建整体一致的内网安全管理平台。

根据上述分析和内网安全的特点，一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据保密和监控审计四个方面，并且，这四个方面应该是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全内网的效果。

身份认证是内网安全管理的基础，不确认实体的身份，进一步制定各种安全管理策略也就无从谈起。内网的身份认证，必须全面考虑所有参与实体的身份确认，包括服务器、客户端、用户和主要设备等。其中，客户端和用户的身份认证尤其要重点关注，因为他们具有数量大、环境不安全和变化频繁的特点。

授权管理是以身份认证为基础的，其主要对内部信息网络各种信息资源的使用进行授权，确定"谁"能够在那些"计算机终端或者服务器"使用什么样的"资源和权限"。授权管理的信息资源应该尽可能全面，应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。

数据保密是内网信息安全的核心，其实质是要对内网信息流和数据流进行全生命周期的有效管理，构建信息和数据安全可控的使用、存储和交换环境，从而实现对内网核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样，所以要求数据保密技术必须具有通用性和应用无关性。

监控审计是内网安全不可缺少的辅助部分，可以实现对内网安全状态的实时监控，提供内网安全状态的评估报告，并在发生内网安全事件后实现有效的取证。

需要再次强调的是，上述四个方面，必须是整体一致的，如果只简单实现其中一部分，或者只是不同产品的简单堆砌，都难以建立和实现有效内网安全管理体系。

5.结论

内网安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程中，我们有理由相信，随着用户对内网安全认识的加深，用户内网安全管理制度的晚上，整体一致的内网安全解决方案和体系建设将成为内网安全的主要发展趋势。

Pwn2Own黑客大赛带来的两大安全警示

本周CanSecWest安全大会在温哥华如期开幕，其中该盛会的内容包括年度Pwn2Own黑客大赛，安全研究人士将纷纷展示自己的黑客技能，来实现入侵安装了最新补丁的系统。从往年的经历来看，这些安全人士往往有惊人之举。通过分析今年的黑客大赛，安全专家托尼？布拉德利（Tony Bradley）对用户提出了两大安全警示。

　　在今年的黑客大赛中，两名安全专家已经成功在数秒内实现了对全补丁版iPhone 3GS的入侵，这是iPhone 2.0首次被入侵。在过去两年中因攻破苹果笔记本而成名的查理？米勒（Charlie Miller），再次完成了该任务。另一名安全专家则绕过了ASLR和DEP等微软安全控制，攻破了64位Windows 7系统。

　　通过今年的黑客大赛，企业至少可以得到两个安全警示。首先，使用苹果的硬件和软件并非安全的免死金牌。尽管人们通常认为Mac OS X操作系统天生比Windows更安全，但Mac系统不被攻击的真正主要原因是，对于恶意软件开发者来说，在选择攻击目标时，拥有92%市场份额的平台，显然要比拥有5%市场份额的平台更具"投资回报率"。

　　具有讽刺意味的是，尽管Mac OS X平台上确实没有真正的恶意软件威胁，这使得Mac用户把自己的系统当作不受威胁的避风港，从而面临着其它方式的安全威胁。许多Mac用户非常确信自己的系统不会被攻破，因此对安全防护问题完全无视。不幸的是，钓鱼攻击和身份信息盗窃更像是一门社会工程学功能而非安全技术，缺乏安全意识让Mac用户身处险境。

　　来自Pwn2Own黑客大赛的第二个警示是：浏览器已经成为安全的新"阿喀琉斯之踵"，这和硬件或软件平台无关。安全专家利用Safari手机浏览器中一个未知的漏洞攻破了iPhone。米勒也是通过Safari浏览器控制了操作系统。而64位 Windows 7操作系统被攻破的罪魁祸首则是IE8。

　　虽然有人曾呼吁用户放弃IE浏览器转向更安全的网络浏览器，但最近的一项研究却证明，在防范社会工程学攻击方面，IE8的表现明显要好于其它浏览器。运行浏览器的操作系统也对浏览器的安全具有重大影响。


　　今年黑客大赛得出的第一个警示并非说明哪一个平台更安全，或者哪一个浏览器会被更快速的攻破。重要的是，对于一个具有专注精神病掌握了足够资源的攻击者来说，所有平台和浏览器都是不安全的。

　　今年早些时候在中国发生了"极光行动"（Operation Aurora）攻击事件，多数人存在一种误解，认为如果被攻击者当时不是使用IE浏览器，或许可以避免黑客的入侵。

　　这种误解认为，攻击者发现了IE浏览器中的一个安全漏洞，然后对其利用它对那些使用IE作为默认浏览器的用户进行了攻击和入侵。这种逻辑看似合理，毕竟它或多或少符合恶意攻击的传统模式。

　　但是，一次有针对目标的攻击则是另外一种情况，攻击者确定目标后，研究其使用的操作系统、应用程序和网络浏览器，找出其安全漏洞从而有针对性的制定出攻击方法。

　　因此，即使他们使用的是Mac OS X系统而非Windows 7，或者使用的是谷歌Chrome浏览器而非微软IE，也无法避免一个专注黑客发起攻击。

　　当然，这并非说用户毫无应对良策而简单的放弃安全防护，而是需要牢记，不要把任何事物当作安全的"尚方宝剑"，它不是选择合适的操作系统，也不是选择合适的网络浏览器。

　　无论你选择哪一个操作系统和浏览器，安全意识依然是保证你安全的决定性因素。在今年的黑客大赛上，iPhone和苹果笔记本的被入侵，都是借助于诱惑用户访问一个恶意网页，然后实现攻击。如果用户意识到安全风险，不去点击未知或可疑的链接，此类攻击或许不会那么容易得手。

　　不过，苹果或许应该同意Opera迷你网络浏览器进入iPhone，这样用户在选择浏览器时，能够拥有另外一个可能更安全的选择

web安全评估

对于一些大型网站来说，通常拥有一整套已经执行了的WEB站点安全防范解决方案，但是，为什么一些网站还是会被攻击者挂载木马?其中一个最主要的原因是已经实施的WEB站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或漏洞，以便能够成功绕过网站当前的安全防范措施来实施挂马攻击。针对这样的一种WEB站点安全现状，最好的方式就是在部署相应的安全防范安全解决方案的同时，还必需采取与攻击者相同的手段，也就是在网站的运营过程中，不断对它进行安全评估，以此来找到网站中可能存在的弱点和漏洞。

　　对WEB站点进行安全评估是WEB安全防范处理过程中非常重要的一个环节，它应当贯穿站点的整个生命周期。对WEB站点实施安全评估的目的就是指安全评估人员，使用相应的评估工具和技术，经过一系列恰当的方法，对WEB服务器本身、服务器系统、后台数据库系统及网络中已经实施的安全机制，进行全面的检测和评估，以此来检测整个WEB系统是否还存在弱点，以及验证实施的安全机制是否有效。并根据最后的评估分析结果，对现有的安全策略进行修订，对实施的安全机制进行补充。

　　一、制定WEB站点安全评估方案

　　对WEB站点进行安全评估，为了能够达到最终的效果，事先先制定一个切合实际的安全评估方案是十分有意义的。当然，对于一些个人网站，或者只进行一次WEB站点弱点检测来说，也可以跳过制定安全评估方案这个环节，直接使用系统或WEB弱点检测工具对WEB站点所在的系统和其本身进行详细的弱点检测即可。

　　如果需要对一个WEB站点进行全面的安全评估，或者你需要一个安全评估方案来指导你完成相应的WEB站点弱点检测任务，那么，我们可以按下列列出的内容，来构建一个适合自己实际需求的WEB站点安全评估方案：

　　1、为WEB站点安全评估确定一个最终目标，也就是为什么要这么做，这样做需要达到什么的目的。

　　2、为WEB站点的安全评估指定安全评估人员。

　　3、确定安全评估时具体的评估对象。

　　4、为WEB站点的安全评估制定具体的时间计划表，如果没有什么特殊情况，我们应当严格按照这张时间表规定的时间对WEB站点实施安全评估。

　　5、为WEB站点的安全评估指定具体的评估工具，并要求评估人员对这些工具进行相应的学习，以达到训练掌握它们的目的，还必需规定评估人员按时对这些评估软件所依赖的评估漏洞库和软件本身进行不断的更新。

　　6、规定是将安全评估工具安全装在目标WEB服务器进行安全评估，还是在专门的硬件设备(例如笔记本电脑)上安装评估软件，然后在使用时再接入目标网络实施评估任务。

　　7、明确具体的安全评估方法

　　8、明确安全评估过程中需要注意的操作事项;

　　9、明确安全评估的规章制度和评估人员责任;

　　10、规定安全评估结果的记录方式，以及评估报告的上报、存档和检索方式。

　　WEB站点安全评估方案应当根据实际的网络环境，以及站点的具体内容和功能，经过详细的调查和分析后，再由安全评估参与人员共同完成。当然，一个实际的WEB站点安全评估方案，所包括的内容可能比上述所列出的内容要多得多，也详细得多，在这里只是对它们做了一个简单的说明，具体的内容还需要大家根据实际情况做具体的补充。

　　二、WEB站点安全评估的具体实施方式

　　WEB站点安全评估的具体实施涉及到四个最关键的因素，它们是安全评估人员、评估工具、评估方法和评估对象。

　　1、安全评估人员

　　安全评估人员，应当包括WEB站点所有者、管理员及安全评估实施人员。安全评估实施人员的技术和经验，以及工作态度在一定程度上决定了评估的效果和可信性。

　　有时，一些WEB站点不得不将安全评估任务外包给一些具有安全评估资质的第三方机构来完成，这也是一些没有具体的WEB站点管理员的中小企业WEB网站经常使用的方式。

　　还有一些WEB站点，所有的工作都是由站点管理员一个人来完成，对于这样的WEB站点安全评估报告，通常只会被他自己所接受，也就是用来对站点当前的安全状况进行一次简单的体检，以此来做到心中有数。

　　2、安全评估工具

　　安全评估工具需要根据所要评估的具体对象来选择，不同的评估对象，所使用的评估工具是不相同的。这是由于有些安全评估工具只是针对某种服务或软件，有些是针对整个主机或网络的;有些安全评估工具只能在某种操作系统平台下运行，而有些安全评估工具却能在许多流行的操作系统平台下运行;一些安全评估工具是软件方式的，还有一些是以独立的硬件方式存的;有些安全软件是免费的，而有一些是商业的。由此，要找到一款合适的安全评估工具还真的不是随便选择几样这么简单。并且，一些其他人认为非常好用的安全评估工具，对于我们自己来说并不见得会很喜欢，因此，有时我们不得不经过不断的试用才会知道哪几款评估软件才是最适合我们自己的。

　　幸运的是，现在还是已经有许多功能强大的评估工具可以供我们选择，这些工具有：

　　(1)Nmap

　　Nmap是一个网络探测和安全扫描程序，我们可以使用它来扫描WEB站点所在系统或整个网络，并以此来得到WEB站点所在系统正在运行及提供什么样的服务，开放了什么样的端口，使用什么样的操作系统等信息。Nmap支持包括UDP、TCP connect()、TCP SYN()、ICMP、FIN及ACK等扫描方式，其中有许多扫描方式还可以用来检测防火墙及IDS/IPS等设备的回应情况。

　　Nmap能够在类UNIX系统及Windows系统的终端下以命令方式运行，它的命令执行格式为：nmap [Scan Type(s)] [Options]。我们可以从http://insecure.org/网站上下载到它的最新版本，以及得到它的详细说明文档。



　　图1 Nmap扫描结果示意图

　　(2)Nessus

　　Nessus同样是一个功能强大的安全检测工具，它允许用户使用插件对它进行功能上的扩展。Nessus使用一个频繁更新的漏洞库作为安全检测的依据。我们可以到www.nessus.org网站上下载到它的免费版本Nessus3，以及得到它的详细的使用文档。现在大部分的安全人员都使用它来对网络或主机系统进行全面安全检测。



　图2 Nessus3主界面

　　(3)Nikto

　　Nikto是一款开放源代码、功能强大的WEB弱点扫描评估软件，它能对WEB服务器的多种安全项目进行测试，能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto使用LibWhiske漏洞库，Nikto已成为WEB站点管理员必备的WEB安全检测工具之一。

　　可以到http://www.cirt.net/ 网站上下载Nikto的最新版本。Nikto是基于PERL开发的程序，所以需要PERL环境。因此，当Nikto需要在Windows系统下使用时，要同时下载并安装ActiveState Perl环境。当需要Nikto使用SSL的安全方式对WEB站点进行安全扫描时，还会用到Net::SSLeay PERL模式，此时必须保证系统中安装有OpenSSL。它们的具体安装和使用细节可以参考它们的帮助文档。

　　另外，还有一个与Nikto相似的WEB弱点扫描工具Wikto，它不仅具有Nikto同样的功能，还提供GUI图形界面，但只能在Windows系统下运行。它可以到http://www.sensepost.com/research/wikto/下载。。

　　(4)N-Stealth

　　N-Stealth是ZMT公司出品的一款商业的WEB站点安全扫描软件，同时也有可以免费使用的版本，只是功能没有商业版本的多，漏洞库也不支持自动更新。我们可以到www.nstalker.com网站上下载它的最新版本，它可以在win98/ME/2000/XP/2003系统下运行。



　图3 N-Stealth启动后的主界面

　　(5)ISS Database Scanner

　　ISS的数据库扫描器(DataBase Scanner)是一个针对数据库管理系统进行风险评估的检测工具。它可以自动识别数据库系统中各种潜在的安全问题，产生通俗易懂的报告来表示安全风险和弱点，并对违反和不遵循数据库安全策略的弱点和漏洞提出修改建议。

　　Database Scanner 可以扫描的数据包括Microsoft SOL Server 6.x 或7.x、Sybase Adaptive Server 11.x和Oracle 8i, 8.0 或 7.3。它能通过网络快速、方便地扫描数据库，去检查数据库中可能存在的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。



　　图4 Database Scanner的主界面

　　除了上面介绍的安全扫描软件以外，还有一些软件也有可以用来进行安全检测工作，包括X-scan3.3、WebInject1.41和 Acunetix WVS Free Edition，以及一款功能全面且性能强大的商业安全扫描软件ISS Internet Scanner等。

　　另外，在使用任何评估工具之前，要先对其漏洞库进行升级更新。这是由于现在大多数安全评估工具都是利用漏洞特征库来进行弱点检测的，只有保证它们的漏洞特征库为最新状态，才有可能发现WEB站点及所依赖的系统上可能存在的最新漏洞。

　　3、安全评估方法

　　安全评估方法就是具体的安全评估实施方式，它主要涉及到下列五个具体的方面：

　　(1)由外向内测试

　　这种安全评估方式就是以攻击者的角度从WEB站点所在网络结构中的外部，对它进行安全扫描工作，以此来检测WEB站点防范来自互联网远程攻击的能力。此种测试方式可以使用上述评估工具中的N-stealth、X-Scan和WebInject等工具来进行。

　　(2)由内向外测试

　　由内向外的安全检测方式是指从WEB站点所在网络结构的内部，对它进行安全扫描工作。这种安全检测方式主要用来检验WEB站点对来自内部的攻击防范能力，以及检测对用户权限分配情况和内部数据传输过程中的安全性。此时可使用一些操作系统内部网络命令，例如Netstat，以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具来进行完成检测任务。

　　(3)模拟攻击测试

　　模拟攻击测试是指在实际的测试过程中并不对WEB站点所在服务器系统及WEB应用程序、网络设备进行真正的攻击事件。这种测试方式并不会对WEB站点的性能产生影响，平时大部分的安全评估工作应当使用模拟攻击的测试方式。

　　(4)真实攻击测试

　　当使用模拟攻击测试不能真正检验到网站的安全状况时，就可以使用真实的攻击测试。由于攻击是真实的，因此会对WEB站点的性能造成影响，因而这种方式最好在WEB开发的最初阶段，以及没有WEB业务的时候进行。现在有很多的网站都会请一些专门的黑客来对自己的站点进行真实的攻击，以便最大程度地检测出WEB站点中存在的安全漏洞问题。

　　(5)社会工程攻击测试

　　有许多人认为社会工程只是攻击者用来进行攻击的一种手段，却不知它也是一种很好的检测企业内部员工及站点管理员反社会工程攻击能力强度的评测工具。我们可以通过电话、手机短信及电子邮件的方式对评测的人员实施与攻击相同的社会工程攻击测试。同样，我们还可以通过直接接触的方式对被评测者进行相应的社会工程攻击测试评估。当我们决定进行社会工程方式的安全评估工作时，最好让可信的第三方来进行，这样才可以达到最好的评估效果。

　　4、评估对象

　　评估对象就是指评估过程中具体的评估实施目标，包括WEB服务器主机操作系统、WEB应用程序框架、数据库系统及网络基础设施等。

　　这四个因素是WEB站点安全评估工作中缺一不可的，缺少任何一个或任何一个出现问题，都会使整个评估工作中断或使评估结果不可信。还有就是评估工具的使用并不一定得一次只使用一种工具，我们可以根据所要评估的对象和评估的内容进行组合应用。毕竟，有时一种工具只在某一个方面比较有效，而且，评估软件还存在误报和漏报的问题，组合使用工具，再加上评估人员自己经验的判断，就能将评估结果的有效性提高到最高水平。

　　当WEB站点安全评估工作完成后，我们还应当根据安全评估结果，对安全策略进行相应的修订，同时对实施了的安全机制进行相应的补充。WEB站点的安全评估工作，在站点没有真正投入运行前，可不断地重复进行检测，直到我们认为已经修补了所有已知的漏洞为止。同时，我们还必需在WEB站点运营过程当中进行安全评估，以此来发现潜在的安全威胁。

　　不能忽略的一点，如今攻击者善于主动分析并发现新的漏洞，这样就对现有的漏洞扫面系统造成了一定的瓶颈，并不能完全解决网站被挂马攻击这种威胁。因此，我们在使用它的同时，还必需使用其它的方式来补充它的不足。

　　因此作为Web站点的管理者而言，需要通过不断对WEB站点进行安全评估，以便能先攻击者一步来发现网站中可能存在的弱点，然后才能在攻击没有发动前就修补好这些漏洞，这样才有可能最大限度地减少网站被挂马的风险。为了更好地了解安全趋势，我们还可以到www.cert.org及www.securityfocus.com订阅最新的安全漏洞的邮件列表，让我们可以及时了解每天的安全漏洞信息。

API TRACING

　对木马类程序处理多了，就渐渐觉得静/动态手工分析过程在很大程度上都是重复劳动。总要先花半个钟头了解程序特性，手工分析时还生怕漏掉某项隐蔽的关键操作，导致最终清除不彻底。其实只要在主动安装木马的时候将API调用序列及相应参数做完整记录，就能极大减轻分析和清除木马的工作量。

　　以前曾写过一个利用 API HOOKING 原理记录可疑程序对文件、注册表、服务和网络操作的小工具。API HOOKING 方式的优点在于，当调用 CreateFile 时可将文件名与句柄关联，等调用 WriteFile 对句柄操作时便能轻易取到文件名，对 hKey、socket 等句柄操作亦是如此。但该方式的缺点也显而易见，首先必须为每个感兴趣的 API 函数编写代码，"体力工作"繁重；其次我们不可能 HOOK 所有的 API 函数，由于缺乏完整的 API 调用序列作参考，在分析日志时很可能漏掉某些小动作。
　　另一种思路是采用调试技术，在所有被引入的 DLL 的各函数入口处预先设置断点，调试期间再通过堆栈信息获取参数。IDA pro 和 OllyDbg 都可用于动态调试，同时还提供了脚本/插件功能。上周在北京开会的时候，我利用酒醒的时间写了一个简单的 OllyDbg 插件，仅从 CALL 指令处通过 ESP 指针获取8个函数参数，不对函数返回后的 EAX 及堆栈内容进行记录，在对普通（未加壳）程序的测试中效果还算理想。只要先在"Search for -> All intermodular calls"窗口中执行"Set breakpoint on every command"设置断点，再运行插件的"Fast trace"功能即可。日志文件片断如下：

　　-------------------------------------------------------------------
　　004099EC: CALL DWORD PTR DS:[<&KERNEL32.GetModuleFileNameA>] (kernel32.GetModuleFileNameA)
　　-------------------------------------------------------------------
　　　　ESP+00 (0012F704): 00000000
　　　　ESP+04 (0012F708): 0012F824　　　　""
　　　　ESP+08 (0012F70C): 00000104　　　　00000104 ???
　　　　ESP+0C (0012F710): 0012FA6D　　　　""
　　　　ESP+10 (0012F714): 00000001　　　　00000001 ???
　　　　ESP+14 (0012F718): 00000000
　　　　ESP+18 (0012F71C): 575C3A43　　　　575C3A43 ???
　　　　ESP+1C (0012F720): 4F444E49　　　　4F444E49 ???
　　
　　-------------------------------------------------------------------
　　00409A00: CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>] (kernel32.CopyFileA)
　　-------------------------------------------------------------------
　　　　ESP+00 (0012F704): 0012F824　　　　"E:\trojan.exe"
　　　　ESP+04 (0012F708): 0012F71C　　　　"C:\WINDOWS\system32\trojan.exe"
　　　　ESP+08 (0012F70C): 00000000
　　　　ESP+0C (0012F710): 0012FA6D　　　　""
　　　　ESP+10 (0012F714): 00000001　　　　00000001 ???
　　　　ESP+14 (0012F718): 00000000
　　　　ESP+18 (0012F71C): 575C3A43　　　　575C3A43 ???
　　　　ESP+1C (0012F720): 4F444E49　　　　4F444E49 ???
　　
　　-------------------------------------------------------------------
　　00409A94: CALL DWORD PTR DS:[<&ADVAPI32.OpenSCManagerA>] (ADVAPI32.OpenSCManagerA)
　　-------------------------------------------------------------------
　　　　ESP+00 (0012F704): 00000000
　　　　ESP+04 (0012F708): 00000000
　　　　ESP+08 (0012F70C): 000F003F　　　　000F003F ???
　　　　ESP+0C (0012F710): 0012FA6D　　　　""
　　　　ESP+10 (0012F714): 00000001　　　　00000001 ???
　　　　ESP+14 (0012F718): 00000000
　　　　ESP+18 (0012F71C): 575C3A43　　　　575C3A43 ???
　　　　ESP+1C (0012F720): 4F444E49　　　　4F444E49 ???
　　
　　-------------------------------------------------------------------
　　00409ACF: CALL DWORD PTR DS:[<&ADVAPI32.CreateServiceA>] (ADVAPI32.CreateServiceA)
　　-------------------------------------------------------------------
　　　　ESP+00 (0012F6DC): 0014F9C0
　　　　　　F8 F9 14 00 98 BA DC FE 00 00 00 00 B4 F9 CC 53　　 ...............S
　　　　　　82 6C FC 42 BF 8C 55 14 00 44 14 F4 AB AB AB AB　　 .l.B..U..D......
　　　　　　AB AB AB AB EE FE EE FE 00 00 00 00 00 00 00 00　　 ................
　　　　　　20 00 07 00 09 07 18 00 58 FA C3 77 EF CD AB 89　　　.......X..w....
　　　　　　00 00 01 00 01 00 00 00 00 00 00 00 00 00 00 00　　 ................
　　　　　　00 00 00 00 00 00 00 00 05 00 00 00 01 00 00 00　　 ................
　　　　　　00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00　　 ................
　　　　　　06 00 00 00 0A 00 00 00 00 00 00 00 30 FB 14 00　　 ............0...
　　　　ESP+04 (0012F6E0): 0042008C　　　　"trojan"
　　　　ESP+08 (0012F6E4): 004200C0　　　　"Back door for testing"
　　　　ESP+0C (0012F6E8): 000F01FF　　　　000F01FF ???
　　　　ESP+10 (0012F6EC): 00000120　　　　00000120 ???
　　　　ESP+14 (0012F6F0): 00000002　　　　00000002 ???
　　　　ESP+18 (0012F6F4): 00000001　　　　00000001 ???
　　　　ESP+1C (0012F6F8): 0012F71C　　　　"C:\WINDOWS\system32\trojan.exe -start"
　　
　　　　......

　　这种简单粗糙的日志对我来说已经够用了。若希望以更友好的形式显示参数信息，就必须有一些数据文件来描述各 API 函数的调用方式、返回值类型、参数个数等内容。比如这样：

　　int LoadLibraryA([in] char *lpLibFileName);
　　int LoadLibraryW([in] wchar *lpLibFileName);
　　void *GetProcAddress([in] int hModule, [in] char *lpProcName);
　　int GetModuleFileNameA([in] int hModule, [out] char *lpFilename, [in] int nSize);
　　int GetModuleFileNameW([in] int hModule, [out] wchar *lpFilename, [in] int nSize);

　　编写一个简单的词法解析模块直接解析 VC 自带的 .h 文件，对使用者来说就更省事了。经过参数类型解析后的输出信息会好看很多：

　　------------------------------------------------------
　　004099F2 -> GetModuleFileNameA(
　　　　int　　　　　　　　　　　　 hModule: 0 (unsigned = 0 / hex = 0),
　　　　char*　　　　　　　　　　lpFilename: [0012F824] = "",
　　　　int　　　　　　　　　　　　　 nSize: 260 (unsigned = 260 / hex = 104),
　　　　　13 << results
　　　　int　　　　　　　　　　　　 hModule: 0 (unsigned = 0 / hex = 0),
　　　　char*　　　　　　　　　　lpFilename: [0012F824] = "e:\trojan.exe" in stack of Thread,
　　　　int　　　　　　　　　　　　　 nSize: 260 (unsigned = 260 / hex = 104)
　　);
　　------------------------------------------------------
　　00409A06 -> CopyFileA(
　　　　char*　　　　　　lpExistingFileName: [0012F824] = "e:\trojan.exe" in stack of Thread,
　　　　char*　　　　　　　　 lpNewFileName: [0012F71C] = "C:\WINDOWS\system32\trojan.exe" in stack of Thread,
　　　　int　　　　　　　　　 bFailIfExists: 0 (unsigned = 0 / hex = 0),
　　　　　 1 << results
　　　　char*　　　　　　lpExistingFileName: [0012F824] = "",
　　　　char*　　　　　　　　 lpNewFileName: [0012F71C] = "",
　　　　int　　　　　　　　　 bFailIfExists: 0 (unsigned = 0 / hex = 0)
　　);
　　------------------------------------------------------
　　00409A9A -> OpenSCManagerA(
　　　　char*　　　　　　　　 lpMachineName: [00000000] = (null),
　　　　char*　　　　　　　　lpDatabaseName: [00000000] = (null),
　　　　int　　　　　　　　 dwDesiredAccess: 983103 (unsigned = 983103 / hex = F003F),
　　 1374656 << results
　　　　char*　　　　　　　　 lpMachineName: [00000000] = "",
　　　　char*　　　　　　　　lpDatabaseName: [00000000] = "",
　　　　int　　　　　　　　 dwDesiredAccess: 983103 (unsigned = 983103 / hex = F003F)
　　);
　　------------------------------------------------------
　　00409AD5 -> CreateServiceA(
　　　　int　　　　　　　　　　　hSCManager: 1374656 (unsigned = 1374656 / hex = 14F9C0),
　　　　char*　　　　　　　　 lpServiceName: [0042008C] = "trojan" in main image (.data),
　　　　char*　　　　　　　　 lpDisplayName: [004200C0] = "Back door for testing" in main image (.data),
　　　　int　　　　　　　　 dwDesiredAccess: 983551 (unsigned = 983551 / hex = F01FF),
　　　　int　　　　　　　　　 dwServiceType: 288 (unsigned = 288 / hex = 120),
　　　　int　　　　　　　　　　 dwStartType: 2 (unsigned = 2 / hex = 2),
　　　　int　　　　　　　　　dwErrorControl: 1 (unsigned = 1 / hex = 1),
　　　　char*　　　　　　　lpBinaryPathName: [0012F71C] = "C:\WINDOWS\system32\trojan.exe -start" in stack of Thread,
　　　　char*　　　　　　　lpLoadOrderGroup: [00000000] = (null),
　　　　int*　　　　　　　　　　　lpdwTagId: 00000000,
　　　　char*　　　　　　　　lpDependencies: [004201C4] = "" in main image (.data),
　　　　char*　　　　　　lpServiceStartName: [00000000] = (null),
　　　　char*　　　　　　　　　　lpPassword: [00000000] = (null),
　　 1370392 << results
　　　　int　　　　　　　　　　　hSCManager: 1374656 (unsigned = 1374656 / hex = 14F9C0),
　　　　char*　　　　　　　　 lpServiceName: [0042008C] = "",
　　　　char*　　　　　　　　 lpDisplayName: [004200C0] = "",
　　　　int　　　　　　　　 dwDesiredAccess: 983551 (unsigned = 983551 / hex = F01FF),
　　　　int　　　　　　　　　 dwServiceType: 288 (unsigned = 288 / hex = 120),
　　　　int　　　　　　　　　　 dwStartType: 2 (unsigned = 2 / hex = 2),
　　　　int　　　　　　　　　dwErrorControl: 1 (unsigned = 1 / hex = 1),
　　　　char*　　　　　　　lpBinaryPathName: [0012F71C] = "",
　　　　char*　　　　　　　lpLoadOrderGroup: [00000000] = "",
　　　　int*　　　　　　　　　　　lpdwTagId: 00000000,
　　　　char*　　　　　　　　lpDependencies: [004201C4] = "",
　　　　char*　　　　　　lpServiceStartName: [00000000] = "",
　　　　char*　　　　　　　　　　lpPassword: [00000000] = ""
　　);
　　......

　　dumbug 是一个开源的 API TRACING 工具，但被设计为仅对 trace 文件中定义的 API 调用进行跟踪。要想通过原始的 dumbug 获得完整 API 调用序列，工作量一点也不比 API HOOKING 方式小。而且就分析木马程序来说，我们并不需要记录 kernel32.dll 等系统链接库内部的 API 调用序列，所以还应根据 EXE 和 DLL 的入口地址、代码段长度进行过滤，最大限度减少冗余信息。在 dumbug 中，只要为 Tracer 对象的 ActivateTraces() 方法添加一些代码，并在其他地方也做相应的小修改，就可以输出上面的结果了。

　　附1 - dumbug 的源代码可以从这里获得：

　　http://www.phenoelit.de/dumbug/dumbugVegasRelease.zip

　　附2 - 简单的 ApiTracing-plugin for OllyDbg 源代码：

　　// ApiTracing.c
　　
　　#define STRICT　　　　　　　　　　　　　// Avoids some type mismatches
　　#include <windows.h>
　　#include <stdio.h>
　　#include <dir.h>
　　#include "plugin.h"
　　
　　#define VERSIONHI　　　 1　　　　　　　 // High plugin version
　　#define VERSIONLO　　　 0　　　　　　　 // Low plugin version
　　#define LOG_FILENAME　　"TraceApi.log"　// Log filename
　　
　　static HINSTANCE hinst;　　　　　　　　 // DLL instance
　　static BOOL bFastTracing = TRUE;
　　static BOOL bStartTrace = FALSE;
　　
　　int Execute(char *text,char *answer);
　　
　　
　　BOOL WINAPI DllEntryPoint(HINSTANCE hi, DWORD reason, LPVOID reserved)
　　{
　　　　FILE *fLog;
　　　　if (reason == DLL_PROCESS_ATTACH) {
　　　　　　hinst = hi;　　　　　　　　　　 // Mark plugin instance
　　　　　　fLog = fopen(LOG_FILENAME, "w");
　　　　　　if (fLog) {
　　　　　　　　fprintf(fLog, "API tracing plugin v%i.%02i, written by glacier_at_xfocus.org\n",
　　　　　　　　　　VERSIONHI, VERSIONLO);
　　　　　　　　fclose(fLog);
　　　　　　}
　　
　　　　}
　　　　return 1;　　　　　　　　　　　　　 // Report success
　　}
　　
　　// Report plugin name and return version of plugin interface.
　　extc int _export cdecl ODBG_Plugindata(char shortname[32])
　　{
　　　　strcpy(shortname, "API tracing");　 // Name of command line plugin
　　　　return PLUGIN_VERSION;
　　}
　　
　　extc int _export cdecl ODBG_Plugininit(int ollydbgversion, HWND hw, ulong *features)
　　{
　　　　// This plugin uses some newest features,
　　　　// check that version of OllyDbg is correct.
　　　　if (ollydbgversion < PLUGIN_VERSION)
　　　　　　return -1;
　　
　　　　return 0;
　　}
　　
　　extc void _export cdecl ODBG_Pluginmainloop(DEBUG_EVENT *debugevent) {
　　}
　　
　　// Function adds items to main OllyDbg menu (origin=PM_MAIN).
　　extc int _export cdecl ODBG_Pluginmenu(int origin, char data[4096], void *item)
　　{
　　　　if (origin != PM_MAIN)
　　　　　　return 0;　　　　　　　　　　　 // No pop-up menus in OllyDbg's windows
　　　　strcpy(data, "0 &Fast trace,1 &Slow trace|2 &About");
　　　　return 1;
　　}
　　
　　// Receives commands from main menu.
　　extc void _export cdecl ODBG_Pluginaction(int origin, int action, void *item)
　　{
　　　　char szLine[MAX_PATH] = {0};
　　　　if (origin != PM_MAIN)
　　　　　　return;
　　
　　　　switch (action) {
　　　　case 0:　　　　　　　　　　　　　　 // Fast tracing
　　　　　　bFastTracing = TRUE;
　　　　　　bStartTrace = TRUE;
　　　　　　Sendshortcut(PM_MAIN, 0, WM_KEYDOWN, 0, 0, VK_F9);
　　　　　　break;
　　　　case 1:　　　　　　　　　　　　　　 // Slow tracing
　　　　　　bFastTracing = FALSE;
　　　　　　bStartTrace = TRUE;
　　　　　　Sendshortcut(PM_MAIN, 0, WM_KEYDOWN, 0, 0, VK_F7);
　　　　　　break;
　　　　case 2:　　　　　　　　　　　　　　 // "About", displays plugin info
　　　　　　sprintf(szLine, "API tracing plugin v%i.%02i",
　　　　　　　　VERSIONHI, VERSIONLO);
　　　　　　MessageBox(0, szLine, "API tracing", MB_OK|MB_ICONINFORMATION);
　　　　　　break;
　　　　default: break;
　　　　}
　　}
　　
　　// User opens new or restarts current application.
　　extc void _export cdecl ODBG_Pluginreset(void)
　　{
　　　　bStartTrace = FALSE;
　　}
　　
　　extc int _export cdecl ODBG_Pluginclose(void)
　　{
　　　　return 0;
　　}
　　
　　extc void _export cdecl ODBG_Plugindestroy(void)
　　{
　　}
　　
　　// 记录二进制内容
　　void LogBinToFile(char *szFileName, const char *pBuf, int nSize)
　　{
　　　　FILE *fLog;
　　　　int i, j;
　　　　unsigned const char *ptr = (unsigned const char *)pBuf;
　　
　　　　fLog = fopen(szFileName, "a+");
　　　　if (!fLog) return;
　　
　　　　if (nSize == 0)
　　　　　　nSize = strlen(pBuf);
　　　　for (i=0; i<nSize; i=i+0x10) {
　　　　　　fprintf(fLog, "\t\t");
　　　　　　for (j=i; j<i+0x10 && j<nSize; j++)
　　　　　　　　fprintf(fLog, "%02X ", ptr[j]);
　　　　　　fprintf(fLog, "\t");
　　　　　　for (j=i; j<i+0x10 && j<nSize; j++) {
　　　　　　　　if (IsCharAlpha(ptr[j]) || (ptr[j]>=0x20 && ptr[j]<0x7F))
　　　　　　　　　　fprintf(fLog, "%c", ptr[j]);
　　　　　　　　else
　　　　　　　　　　fprintf(fLog, "%c", '.');
　　　　　　}
　　　　　　fprintf(fLog, "\n");
　　　　}
　　　　fclose(fLog);
　　}
　　
　　// 格式化记录日志
　　void LogToFile(char *szFileName, char *szFmt, ...)
　　{
　　　　FILE *fLog;
　　　　char buff[1024];
　　　　va_list arglist;
　　　　va_start(arglist, szFmt);
　　　　_vsnprintf(buff, sizeof(buff), szFmt, arglist);
　　　　va_end(arglist);
　　
　　　　fLog = fopen(szFileName, "a+");
　　　　if (!fLog) return;
　　
　　　　fprintf(fLog, "%s", buff);
　　　　fclose(fLog);
　　}
　　
　　// 检查是否为ASCII字符串
　　BOOL CheckCharAlpha(char *szLine)
　　{
　　　　int i = 0;
　　　　while (szLine[i]) {
　　　　　　if (!IsCharAlpha(szLine[i]) && (szLine[i]<0x20 || szLine[i]>=0x7F))
　　　　　　　　return FALSE;
　　　　　　i++;
　　　　}
　　　　return TRUE;
　　}
　　
　　extc int _export cdecl ODBG_Paused(int reason, t_reg *reg)
　　{
　　　　char szSrcDec[1024] = {0};
　　　　char szLine[1024] = {0};
　　　　unsigned long uEsp = 0, uAddr = 0, uTemp = 0;
　　　　int nSize = 0, i = 0;
　　
　　　　if (!bStartTrace) return 0;
　　　　if (!reg) {
　　　　　　ShellExecute(0, "open", "notepad.exe", LOG_FILENAME, NULL, SW_SHOW);
　　　　　　return 0;
　　　　}
　　　　
　　　　// 读取断点处指令
　　　　nSize = Readcommand(reg->ip, szLine);
　　　　if (nSize > 0) {

　　　　　　t_disasm disasm;
　　　　　　
　　　　　　// 反汇编二进制指令
　　　　　　Disasm(szLine, nSize, reg->ip, szSrcDec, &disasm, DISASM_ALL, 0);
　　
　　　　　　if (strstr(disasm.result, "CALL ")) {　 // 若为CALL指令
　　　　　　　　LogToFile(LOG_FILENAME, "\n%s\n",
　　　　　　　　　　"------------------------------------------------------");
　　　　　　　　LogToFile(LOG_FILENAME, "%08X: %s (%s)", reg->ip, disasm.result, disasm.comment);
　　　　　　　　LogToFile(LOG_FILENAME, "\n%s\n",
　　　　　　　　　　"------------------------------------------------------");
　　
　　　　　　　　uEsp = reg->r[4];
　　
　　　　　　　　// 由ESP读取8个堆栈参数
　　　　　　　　uTemp = uEsp;
　　　　　　　　for (i=0; i<8; i++) {
　　　　　　　　　　Readmemory(&uAddr, uTemp, sizeof(uAddr), MM_SILENT);
　　　　　　　　　　LogToFile(LOG_FILENAME, "\tESP+%02X (%08X): %08X", i*4, uTemp, uAddr);
　　
　　　　　　　　　　if (uAddr == 0) nSize = 0;
　　　　　　　　　　else nSize = Decodeascii(uAddr, szLine, sizeof(szLine)-1, DASC_ASCII);
　　　　　　　　　　if (nSize > 0 && CheckCharAlpha(szLine)) {
　　　　　　　　　　　　LogToFile(LOG_FILENAME, "\t\t%s\n", szLine);
　　　　　　　　　　}
　　　　　　　　　　else {
　　　　　　　　　　　　memset(szLine, 0, sizeof(szLine));
　　　　　　　　　　　　nSize = Readmemory(szLine, uAddr, 128, MM_SILENT);
　　　　　　　　　　　　if (nSize > 0) {
　　　　　　　　　　　　　　LogToFile(LOG_FILENAME, "\n");
　　　　　　　　　　　　　　LogBinToFile(LOG_FILENAME, szLine, nSize);
　　　　　　　　　　　　}
　　　　　　　　　　　　else
　　　　　　　　　　　　　　LogToFile(LOG_FILENAME, "\n");
　　　　　　　　　　}
　　　　　　　　　　uTemp += 4;
　　　　　　　　}
　　　　　　}

　　　　　　// 继续执行
　　　　　　if (bFastTracing)
　　　　　　　　Sendshortcut(PM_MAIN, 0, WM_KEYDOWN, 0, 0, VK_F9);
　　　　　　else {
　　　　　　　　if (strstr(disasm.result, ".0")) {
　　　　　　　　　　Go(0, reg->ip, STEP_IN, 1, 0);
　　　　　　　　}
　　　　　　　　else {
　　　　　　　　　　Go(0, reg->ip, STEP_OVER, 1, 0);
　　　　　　　　}
　　　　　　}
　　　　}
　　　　return 0;
　　}

针对企业的安全风险评估

当前，无论是政府还是企业，对于自身的信息安全都非常关注。因此，企业信息安全风险评估再一次引起了业界的关注。那么，此类评估有什么标准？对企业的价值又体现在何处呢？

认识存在的风险
长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。厂商在安全技术和产品的研发上不遗余力，新的技术和产品不断涌现；消费者也更加相信安全产品，把仅有的预算也都投入到安全产品的采购上。
但实际情况是，单纯依靠技术和产品保障企业信息安全往往差强人意。复杂多变的安全威胁和隐患靠产品难以消除。"三分技术，七分管理"这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。
根据信息产业部披露的数字，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的。其技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。
不难看出，属于内部人员方面的原因超过70%，而这些安全问题中的95%是可以通过科学的信息安全风险评估来避免。
可见，对于一个企业来说，搞清楚信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，将是企业实施安全建设必须首先解决的问题，也是制定安全策略的基础与依据。
目前，国内众多部门和行业都开始投入精力进行风险评估或者风险评估规范的制订。据悉，信息产业部、公安部等都推出了各自的风险评估规范，而电信、金融等行业则已经开始进行风险评估工作，将评估推向了实践。
专家指出，风险评估的意义在于对风险的认识，而风险的处理过程，可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类的风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低风险评估的成本。





标准决定过程
Gartner的风险评估报告指出，未来企业信息化的发展关键在于：关键资产数字化、高速无线网络、网络空间获取、生物访问控制、复杂应用系统、分布系统网络互联、全球化生产等方面。为此，Gartner建议企业的信息安全风险评估，重点在于如何评估复杂的分布式系统和如何保障复杂应用系统的安全两个方面。
从国内的实际情况看，复杂应用系统已经初步呈现，许多企业的核心业务系统安全性较弱，且网络建设与安全建设不协调，已经给企业用户带来了极大的挑战。针对这些挑战，主流安全厂商提出了动态安全评估标准。
此标准针对现有安全需求进行评估和分析，定义安全策略，建立安全框架，实施安全方案，得出合规性报告，确定目前的安全基线，并随着业务的发展，进行周期性的再评估，保障信息系统的安全。
针对风险评估的工程实现，SSE-CMM、OCTAVE等标准和方法对评估过程给予了较好的指导。常规的风险评估方法包括以下阶段：项目准备阶段、项目执行阶段、项目维护阶段。
为保障评估的规范性、一致性，降低人工成本，目前国内外普遍开发了一系列的评估工具。其中，网络评估工具主要有Nessus、Retina、天镜、ISS 等漏洞扫描工具，依托这些网络扫描工具，可以对网络设备、主机进行漏洞扫描，给出技术层面存在的安全漏洞、等级和解决方案建议。
管理评估工具主要有以BS7799-1（ISO/IEC 17799）为基础的COBRA、天清等，借助管理评估工具，结合问卷式调查访谈，可以给出不同安全管理域在安全管理方面存在的脆弱性和各领域的安全等级，给出基于标准的策略建议。

六大评估方法
定制个性化的评估方法
虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行"基因"重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

安全整体框架的设计
风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架，至少应该明确。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

多用户决策评估
不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户"决策"过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户"决策"评估，也需要一个具体的流程和方法。

敏感性分析
由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病"根"，开出有效的"处方"。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

集中化决策管理
安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等"基因"的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。

评估结果管理
安全风险评估的输出，不应是文档的堆砌，而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统，但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统，使用它来指导评估过程，管理评估结果，以便在管理层面提高评估效果。


相关链接：国际主流风险评估标准

关于风险评估理论标准，国际上较为认可的有ISO/IEC 13335IT安全管理指南、AS/NZS 4360风险管理标准、BS7799-1（ISO/IEC 17799）基于风险管理的信息安全管理体系等几种，他们均对风险评估给予了明确的定义和指导。
与风险评估相关的标准还有NIST SP800，其中，NIST SP800-53/60描述了信息系统与安全目标及风险级别对应指南，NIST SP800-26/30分别描述了自评估指南和风险管理指南。
另外，COBIT、ITIL等逐渐引起人们的关注。目前业内使用的评估方法，基本是由这几类标准演化而来。

KFC的防火墙 项目

400台防火墙打入肯德基
――KFC中国连锁经营店网络安全项目实施

2004年9月，肯德基（KFC）连锁经营店网络安全项目正式启动，首期项目肯德基（KFC）浙江公司和肯德基（KFC）广东公司根据项目的具体要求采用了NETGEAR公司防火墙产品，总计购买NETGEAR ProSafe 防火墙近400多台，部分地区已经过几个月的试运行，整体设备运行稳定，得到了用户的认可和赞同。目前以在进行大规模的安装实施阶段。

应用需求分析
肯德基连锁经营店随着大量的业务及内部的供应链优化和外部的市场竞争要求,需要企业对市场的供应价格及销售的分析能有快速的反应, 结合企业业务系统和电子商务系统来加强内部信息的沟通，以实现经营管理共享性和时效性, 发掘管理效率。实现管理、经营、决策的统一性，沟通畅通和协调管理。 从而最大可能地达到内部和外部资源的最优利用。

现实情况是, 肯德基(KFC)在中国的销售规模的不断扩大，各省市、地区分公司、连锁店纷纷开张，每个连锁经营店都以拨号线路的方式通过互联网与各自省、市公司进行业务信息的传输、查询。由于各店的业务人员对计算机的知识和维护技术能力有限，再加上业务主机通过拨号连接互联网后，将直接面临来自互联网的病毒和黑客的攻击。曾经发生过某几个连锁店的主机受蠕虫病毒和黑客的攻击，主机系统崩溃，导致当天无法进行营业的严重后果。

针对肯德基（KFC）连锁经营店目前的现状和所面临的问题。NETGEAR公司做了认真的调查，并率先和肯德基（KFC）浙江公司的技术人员一起仔细研究了可实现的各项解决方案的可能性、可行性和真实环境的测试。最终肯德基决定选择了NETGEAR公司的ProSafe FR114P防火墙的设计方案。

整个项目设计要求最大可能地保证其所有的网络设备和系统的正常运行，并且可以获得良好的管理，能够完全控制与IT基础结构相联系的安全风险。实现的总体目标是在不影响集团公司网络系统当前业务的前提下，实现对KFC各公司和经营店的网络的安全、高速、稳定的实时连接。NETGEAR公司的ProSafe FR114P防火墙经过对互联的业务数据传输的稳定性、数据包时延、安全性、管理和维护性等各项性能参数进行收集、分析，结果满足了肯德基（KFC）中国连锁店关于该部分网络的设计要求。

表：
NETGEAR公司ProSafe FR114P方案能确保实现以下功能：
1. 支持各种宽带类型线路（ADSL、Cable Modem和以太网接入）；为各连锁店提供了方便、灵活、经济的通讯方式的选择。
2. 内置4个10/100 Mbps局域网端口，可直接连接计算机或连接原有局域网的交换机。并且每个端口都自识别正反线的连接。
3. 使用简单，省去了原有拨号上网的繁琐，使用者只需打开计算机，运行业务软件，就可以直接连接公司的数据服务器。
4. 内置先进的SPI防火墙+NAT机制, 具有DoS保护(拒绝服务攻击保护)、入侵检测等安全特性，能安全的抵御来自于互联网的侵害；

6. 能够根据IP地址、协议端口、服务、关键字以及时间段提供内外双向的安全控制机制. 特别是象对互联网上蔓延的"蠕虫"的防护。
7. 内置打印服务器功能，对一些需要共享打印机的连锁店来说，使用更方便。
8. 具有支持动态IP域名（DDNS）的功能；便于统一远程维护和管理。
9. 广域网IP更改通告功能，当各连锁店的FR114P重新获得动态IP时，能及时将更改的信息通过E-MAIL的形式告知公司网管。以防止DDNS发生异常后，管理员无法远程维护。
10. 支持受攻击和异常情况E-MAIL通告，管理员可以及时获知连锁店防火墙设备的安全情况。
11. 设备安装设置简单方便。内置智能安装向导，能全过程辅助连接设置，并且能自动识别各种广域网线路类型。
12. 内置UPnP自动端口映射(UPnP TM)技术，未来可以提供来自于互联网的语音（VOIP）和视频服务的支持，并且能和其他基于以太网的设备提供更好的互操作性。
13. 网络扩展简单，每开家新店，只需添加一台FR114P防火墙。并且也节省了新店的投资成本

linux上使用开源软件做入侵检测

一、入侵检测系统分析
1.1 什么是入侵检测系统

所谓入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的行为。而入侵检测，顾名思义，便是对入侵行为的发觉。它通过从计算机网络或系统中的若干
关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的 行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可 以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全地运行。

1.2 入侵检测系统的分类

按检测所使用数据源的不同可以将IDS分为基于主机的IDS和基于网络的IDS。
基于主机的IDS使用各种审计日志信息（如主机日志、路由器日志、防火墙日志等）作 为检测的数据源。通常，基于主机的IDS可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，IDS将新的记录条目与攻击标记相比 较，看它们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。
基于网络的入侵检测系统使用原始网络分组数据包作为数据源。基于网络的IDS通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。一旦检测到了攻击行为，IDS的响应模块就会对攻击采取相应的反应，如通知管理员、中断连接、终止用户等。

1.3 入侵检测的检测方法

入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，从检测方法上分为两种：误用入侵检测和异常入侵检测。
在误用入侵检测中，假定所有入侵行为和手段都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。误用入侵检测的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。其优点是误报少，局限性是它只能发现已知的攻击，对未知的攻击无能为力。
在异常入侵检测中，假定所有入侵行为都是与正常行为不同的，这样，如果建立系统正常 行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常入侵检测的局限 是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。
对比这两种检测方法可以发现，异常检测难于定量分析，这种检测方式有一种固有的不 确定性。与此不同，误用检测会遵循定义好的模式，能通过对审计记录信息做模式匹配来检测，但仅可检测已知的入侵方式。所以这两类检测机制都不完美。就具体 的检测方法来说，现在已经有了很多入侵检测的方法，但任何一种方法都有它的局限性，都不能解决所有问题。因而对于入侵检测方法的研究仍然是当前入侵检测研 究的一个重点。

二、Linux下的实现

在对入侵检测技术研究的基础上，我们在Linux系统下设计并实现了一个基于网络的入侵检测系统。

2.1 系统的组成结构

该系统的组成结构如图1所示。数据采集模块负责从网络上收集原始的网络数据流，在经 过一定的预处理后，这些数据被送到数据分析模块，由数据分析模块进行分析，以便判断是否有违反安全策略的入侵行为发生。并及时将分析结果送到告警模块，由 告警模块向控制台产生告警信息。用户可以通过用户界面与控制台交互，通过控制台，一方面可以对各个模块进行配置，另一方面也可以接收告警信息。






图1 系统的组成结构

2.2 系统的功能描述

该系统实现了入侵检测的主要功能，包括数据采集、数据预处理、入侵分析以及告警。具体来说，可以完成以下功能：
● 捕获符合指定条件的网络数据包。
● 进行IP重组，提供IP包数据。
● 重组TCP流，提供TCP流数据。
● 重组应用层数据流，提供HTTP数据流。
● 实现基于规则的入侵检测方法。
● 向控制台提交分析结果。
● 接受控制台的配置和管理。
由于该系统功能的实现主要体现在数据采集模块和数据分析模块中，所以下面将对这两个模块加以详细说明。

2.3 数据采集模块

数据采集是入侵检测的基础，入侵检测的效率在很大程度上依赖于所采集信息的可靠性和 正确性。在基于网络的入侵检测系统中，数据采集模块需要监听所保护网络的某个网段或某几台主机的网络流量，经过预处理后得到网络、系统、用户以及应用活动 的状态和行为信息。数据采集需要在网络中的若干关键点进行。
具体来说，数据采集模块需要监听网络数据包，进行IP重组，进行TCP/UDP协 议分析，同时也要进行应用层协议数据流分析。采集到的数据要经过预处理才能提交给数据分析模块。由于不同的分析方法所需要的数据源是不同的，所以预处理也 会有很大的不同。但是，一般来说，分析模块所分析的数据都是基于某个网络协议层的数据信息，或是直接采用这些数据的某些部分。因此在该系统的设计中，数据 采集模块除了采集数据外，还要对这些信息进行协议分析。协议分析是指将网络上采集到的基于IP的数据进行处理，以便得到基于某种协议的数据。在本系统中主 要是针对TCP/IP协议族的分析。
网络数据采集是利用以太网络的广播特性实现的，以太网数据传输通过广播实现，但是 在系统正常工作时，应用程序只能接收到以本主机为目标主机的数据包，其他数据包将被丢弃。为了采集到流经本网段的所有数据，我们需要首先将网卡设置为混杂 模式，使之可以接收目标MAC地址不是自己MAC地址的数据包，然后直接访问数据链路层，截获相关数据，由应用程序对数据进行过滤处理，这样就可以监听到 流经网卡的所有数据。
在进行数据捕获时，我们采用的是libpcap，libpcap是一个与实现无关 的访问操作系统所提供的分组捕获机制的分组捕获函数库，用于访问数据链路层。该库提供的C函数接口可用于需要捕获经过网络接口数据包的系统开发上。这个库 为不同的平台提供了一致的编程接口，在安装了libpcap的平台上，以libpcap为接口写的程序，可以自由地跨平台使用。
Libpcap在网上捕获到的是数据帧，我们还需要对数据帧进行协议分析，协议分 析的处理过程为：首先根据预先定义的过滤规则从网络上获取所监听子网上的数据包，然后进行TCP/IP栈由下至上的处理过程，主要是IP重组和 TCP/UDP层协议处理，最后进行应用层协议分析。
协议分析的工作在每个操作系统里都有，在这里，我们选择了libnids函数库。 libnids是在libnet和libpcap的基础上开发的，它封装了开发网络入侵检测系统的许多通用型函数。libnids提供的接口函数除了可以 监视流经本地的所有网络通信、检查数据包外，还具有重组TCP数据段、处理IP分片包的功能。而且它同样具有很好的移植性。

2.4 数据分析模块

数据分析是入侵检测系统的核心。各种分析方法各有利弊，但基于规则的检测方法因为事先将各种入侵方式表示为规则存放于规则库中，因此在规则库比较完备的基础上，可以有很好的检测效率，所以我们在该系统的实现中主要考虑了基于规则的检测方法。
基于规则的检测方法是误用检测的一种。入侵检测系统需要从以往的攻击入侵活动中，归纳识别出对应的入侵模式，并将这些入侵模式存放于规则库中，然后将系统现有的活动与规则库中的规则进行模式匹配，从而决定是否有入侵行为发生。
每一种基于规则的入侵检测方法都需要一个确定的入侵模式库，即规则库，其中存放着描 述入侵方法和行为的规则。在我们的系统中，采用了SNORT的入侵行为描述方法。SNORT是一个开放源代码的轻量级的基于网络的入侵检测系统。这种描述 方法简单、易于实现，能够描述绝大多数的入侵行为。由于其简单，因此检测速度比较快。
规则库中的每条规则在逻辑上分为两部分：规则头部和规则选项。规则头部包含规则的操作、协议、源IP地址和目标IP地址及其网络掩码和端口。规则选项包括报警信息及需要检测的模式信息。规则的一般格式为：
<规则操作><协议><源主机IP>< 源端口><方向操作符><目标主机IP><目标端口>（<规则选项1：值1>；<规则选项 2：值2>；…；<规则选项n：值n>；）
在圆括号前的部分是规则头部，在圆括号中的部分是规则选项。规则选项部分中冒号前 面的词组称为选项关键字。规则选项不是规则的必需部分，它只是用来定义收集特定数据包的特定特征。一条规则中不同部分必须同时满足才能执行，相当于"与" 操作。而同一个规则库文件中的所有规则之间相当于一个"或"操作。
以下是一个例子：alert tcp any any -> 192.168.1.0/24 111 (content:|00 01 86 a5|; msg: mountd access;)。该条规则描述了：任何使用TCP协议连接网络192.168.1.0/24中任何主机的111端口的数据包中，如果出现了二进制数据 00 01 86 a5，便发出警告信息mountd access。
规则操作说明当发现适合条件的数据包时应该做些什么。有两种操作：alert和log。如果是 alert，则使用选定的告警方法产生警报，并记录这个数据包；如果是log，则只记录该数据包。
协议指明当前使用的是何种协议。对于IP地址和端口，关键字"any"可以用来定义 任何IP地址。在IP地址后指定网络掩码，如/24指定一个C类网络，/16指定一个B类网络，/32指定一个特定主机。如192.168.1.0/24 指定了从192.168.1.1 到 192.168.1.255的一个范围的IP地址。
IP地址有一个"非"操作。这个操作符号用来匹配所列IP地址以外的所有IP地 址。"非"操作使用符号"！"表示。例如任何由外部网络发起的连接可以表示为：alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111。
端口号可以用几种方法指定：用"any"、数字、范围以及用"非"操作符。 "any"指定任意端口。指定端口范围用"："它可以指定一个范围内的所有端口。如：log udp any any -> 192.168.1.0/24 1:1024。该条规则记录任何从任意主机发起的到目标网络任何主机上的1～1024端口的UDP协议数据包。
方向操作符"->"规定了规则应用的数据流方向。其左边的IP地址为数据流的起点，右边为终点。双向操作符为"<>"，它告诉系统应该关注任何方向的数据流。
规则选项形成了检测系统的核心，一个规则的规则选项中可能有多个选项，不同选项之间使用"；"分隔开来，他们之间为"与"的关系。选项由关键字和参数组成，每个关键字和它的参数使用冒号"："分隔。这些关键字主要包括：
● msg：在警报和记录的数据中打印消息。
● logto：将数据包记录到一个用户指定的文件中。
● ttl：检测IP数据包的TTL域。
● id：检测IP数据包的分段ID域是否等于特定的值。
● nocase：设定搜索中使用与大小写无关的方式。
● dsize：检测数据包的有效荷载是否等于特定的值。
● content：在数据流中搜索特定的模式串。
● offset：设定content中的起点。
● depth：设定content中的终点。
● flags：检测TCP数据包的标志是否等于特定的值。
● seq：检测TCP的顺序号是否等于特定的值。
● ack：检测TCP的应答域否等于特定的值。

三、实例分析

下面结合入侵检测的实例来介绍该系统是如何检测入侵的，这里以WEB攻击为例来进行 介绍。WEB攻击是入侵的一大类，它是指利用CGI、WEB服务器和浏览器等存在的安全漏洞来损害系统安全或导致系统崩溃的一类入侵方式。由于WEB的广 泛使用，关于它的各种安全问题不断地发布出来，这些漏洞中的一些漏洞甚至允许攻击者获得系统管理员的权限而进入站点内部。因此，WEB攻击的危害很大。
虽然WEB攻击种类繁多，但是分析一下，还是具有如下几个特点：
● 都是通过HTTP数据流来进行的，所以可以通过HTTP数据流来进行检测。
● HTTP是无状态的协议，一般都是通过一次请求来实现，或者包含有一次具有典型的入侵特征的请求，所以利用一次请求信息就可以实现检测。
● 一般都是通过构造别有用心的请求字符串来实现的，所以可以采用基于规则的方法。
在我们的系统中可以检测出100多种WEB攻击方式。例如规则：alert http $EXTERNALNET any -> $HTTPSERVER 80 (content:/maillist.pl; nocase; msg: WEB-CGI Maillist CGI access attempt ;) 。该规则规定了检测从外网的任意端口到内网的WEB服务器的80端口的数据流。检测条件为请求中包含"/maillist.pl"字符串，匹配不分大小 写，告警名称为"WEB-CGI Maillist CGI access attempt"。这里利用了两个自定义的变量$EXTERNALNET和$HTTPSERVER，分别表示外网和WEB服务器。

四、结束语

本文在对入侵检测系统进行分析的基础上，在Linux系统下实现了一个基于网络的入 侵检测系统。实践表明，该系统对于检测一些常见的入侵方式具有很好的效率和性能。同时，该系统提供了完整的框架，可以灵活地应用于各种环境并扩充。当然， 本系统还有很多不足的地方：数据源比较单一，还应该加入日志数据源；而且现在对于应用层协议只实现了HTTP协议分析，以后还可以加入其他协议分析，如 TELNET、FTP等。这些都需要今后进一步完善。未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。同 时，网络安全需要纵深的、多层次的防护。即使拥有当前最强大的入侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。只有将入侵检测系统与 其他安全工具结合起来，才能构筑起一道网络安全的立体防御体系，最大程度地确保网络系统的安全。

绿盟风险评估流程

　一、 风险评估的定义

　　信息系统的安全风险，是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估（本文以下简称"风险评估"），则是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
　　信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。

　　二、 风险评估的目的

　　风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。分析网络信息系统的安全需求，找出目前的安全策略和实际需求的差距，为保护信息系统的安全提供科学依据。通过合理步骤制定适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。
　　风险评估是一个组织机构实现信息系统安全的必要的、重要的步骤，可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过风险评估，他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点；哪些威胁出现的可能性较大，造成的影响也较大，哪些威胁出现的可能性较小，造成的影响可以忽略不计；通过保护哪些资产，防止哪些威胁出现，如何保护和防止才能保证系统达到一定的安全级别；提出的安全方案需要多少技术和费用的消耗；更进一步，还会分析出信息系统的风险是如何随时间变化的，将来应如何面对这些风险。
　　风险评估为后期进一步安全防护措施的实施提供了严谨的安全理论依据，为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。

　　三、 客户背景介绍

　　XX公司拥有XX系统等大型的网络核心业务系统，这些关键业务系统使得XX公司为客户长期提供优质服务。由于网络安全的动态性特点，通过专业、持续的安全服务来解决应用系统日常运行维护中的安全问题，改善企业的信息安全状态，成为降低安全风险、提高网络系统安全水平的一个重要手段。
　　为了及时、准确的掌握信息系统的安全现状，绿盟科技对XX系统进行全面的风险评估，以便下一步对存在的风险进行有效的管理，对信息系统当前的某些安全问题（如普遍存在的问题、突出的问题、需紧急解决问题等）进行实际的解决。同时，根据信息系统的安全现状报告，提出相应的系统安全方案建议。

　　四、 风险评估的工作流程

　　1. 第一阶段为确定风险评估范围阶段。调查并了解客户信息系统业务流程和运行环境，确定风险评估范围的边界以及范围内的所有信息系统，明确如下内容：
　　* 评估的业务或应用
　　* 信息资产（如硬件、软件、数据）
　　* 人员
　　* 环境（如建筑、设备位置）
　　* 活动（如对资产进行的操作、相关的权限等）
　　* IP地址信息（如IP范围、网段信息等）
　　此阶段成果为《XX系统风险评估资产列表》。
　　2. 第二阶段为资产的识别与估价阶段。对风险评估范围内的所有资产进行识别，并调查资产可用性、完整性和保密性破坏后分别可能造成的影响大小，根据影响的大小为资产进行相对赋值。将资产的权值分为0－4五个级别，由低到高代表资产的重要等级。资产估价是一个主观的过程，考虑资产对于组织的商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。
　　此阶段成果为《XX系统风险评估资产价值列表》。
　　3. 第三阶段为安全威胁评估阶段。即评估资产所面临的每种威胁发生的严重性和可能性，并计算威胁值。严重性和可能性，两者取值均为相对等级0－4，4为最严重或最可能。
　　此阶段成果为《XX系统威胁严重性评估结果》、《XX系统威胁可能性评估结果》。
　　4. 第四阶段是脆弱性评估阶段。包括从技术、管理、策略方面进行的脆弱程度检查，最终综合计算脆弱性值。在资产脆弱性调查中，首先进行管理脆弱性问卷的调查，发现整个系统在管理方面的弱点，然后对评估的所有主机和网络设备进行工具扫描和手动检查，对各资产的系统漏洞和安全策略缺陷进行调查。最后对收集到的各资产的管理和技术脆弱性数据进行综合分析，根据每种脆弱性所应考虑的因素是否符合，确定每种资产可能被威胁利用的脆弱性的权值。参照国际通行作法和专家经验，将资产存在的脆弱性分为5个等级，分别是很高（VH）、高（H）、中（M）、低（L）、可忽略（N），并且从高到低分别赋值4－0。
　　此阶段成果为《XX系统脆弱性评估结果》，包含《XX系统工具扫描报告》、《XX系统手工检查报告》、《XX系统渗透测试报告》等。
　　5. 第五阶段为风险的分析阶段。即通过分析上述阶段所获得的数据，进行风险值计算，区分、确认高风险因素。
　　此阶段成果为《XX系统风险评估结果》、《XX系统安全现状分析》。
　　6. 第六阶段是风险的管理阶段。这一阶段主要根据风险分析的结果，制定相关风险控制策略，实施风险控制措施。风险评估的结果就是为风险管理提供依据，因此在风险管理阶段要明确风险的处理方式（避免、降低、接受、转移），并且采取什么样的技术和管理措施来对风险进行处理，如何把安全措施与风险等级进行联系。
此阶段成果为《XX系统风险安全方案建议》。
http://www.securitycn.net/img/uploadimg/20060919/1422000.gif


　　五、 风险评估过程中使用的一些方法

　　1. 安全工具扫描
　　在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种，前者主要关注软件所在主机上的风险与漏洞，而后者则是通过网络远程探测其他主机的安全风险与漏洞。
　　2. 人工安全检查
　　系统扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等方面进行漏洞的扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。
　　信息系统人工安全性评估应主要考虑以下几个方面：
　　* 是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则。
　　* 内外网之间、重要的网段之间是否进行了必要的隔离措施。
　　* 路由器、交换机、主机等设备的配置是否最优，是否配置了安全参数。
　　* 安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行。
　　3. 渗透测试
　　渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。在测试过程中，用户可以选择渗透测试的强度，例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。
　　4. 安全审计
　　安全管理机制定义了如何管理和维护网络的安全保护机制，确保这些安全保护机制正常且正确地发挥其应有的作用。绿盟科技评估遵循ISO17799信息安全管理标准的要求，通过问卷调查和顾问访谈等方式对信息系统的安全管理状况进行调查，并进一步与国际信息安全管理标准进行差距分析。
　　5. 安全策略评估
　　安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能回答整个网络中与安全相关的所有问题，例如，如何在网络层实现安全性？如何控制远程用户访问的安全性、在广域网上的数据传输实现安全加密传输和用户的认证，等等。对这些问题做出详细回答，并确定相应的防护手段和实施办法，就是针对整个网络的一份完整的安全策略。策略一旦制订，应当作为整个网络安全行为的准则。
　　这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估，它也包含了技术和管理方面的内容，具体包括：
　　* 安全策略是否全面覆盖了整体网络在各方面的安全性描述。
　　* 在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效。
　　* 安全策略中的每一项内容是否都得到确认和具体落实。

sql注入的基本检测与防范

下面介绍了SQL注入式攻击的原理。在前人提出的“对用户输入信息实施过滤”的技术基础上，建立了一个针对SQL注入攻击的检测/防御/备案通用模型。该模型在客户端和服务器端设置两级检查。对于一般性用户误操作和低等级恶意攻击，客户端的检查将自动做出反应;考虑到客户端检查有可能被有经验的攻击者绕开，特在服务器端设定二级检查。在文中还提出了对高等级恶意攻击的自动备案技术，并给出了相应代码。

互联网上的安全问题越来越严重，入侵检测(IDS)也因而显得尤为必要。MS　SQL　Server作为数据库市场的主要产品之一，研究针对他的SQL攻击处理方案，建立一个通用的SQL注入攻击防御、检测、备案模型，对于加强安全建设具有积极的意义。

1、SQL注入攻击简介

SQL注入攻击源于英文“SQL Injection Attack”。目前还没有看到一种标准的定义，常见的是对这种攻击形式、特点的描述。微软技术中心从2个方面进行了描述:

(1)脚本注入式的攻击。

(2)恶意用户输入用来影响被执行的SQL脚本。

Stephen Kost给出了这种攻击形式的另一个特征，“从一个数据库获得未经 授权的访问和直接检索”。

SQL注入攻击就其本质而言，他利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞。“当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。

由于SQL注入攻击利用的是SQL语法，使得这种攻击具有广泛性。理论上说，对于所有基于SQL语言标准的数据库软件都是有效的，包括MS SQL Server，Oracle，DB2，Sybase，MySQL等。当然，各种软件有自身的特点，最终的攻击代码可能不尽相同。

SQL注入攻击的原理相对简单，易于掌握和实施，并且整个Internet上连接有数目惊人的数据库系统(仅在中国，截至2003年3月的统计就有82 900多个)，在过去的几年里，SQL攻击的数量一直在增长。

2、SQL注入式攻击的检测及跟踪

2.1SQL攻击检测/防御/跟踪模型

针对SQL攻击的防御，前人做过大量的工作，提出的解决方案包括 :

(1)封装客户端提交信息。

(2)替换或删除敏感字符/字符串。

(3)屏蔽出错信息以及。

(4)在服务端正式处理之前对提交数据的合法性进行检查等。

方案(1)的做法需要RDBMS的支持，目前只有Oracle采用该技术;方案 (2)是一种不完全的解决措施，举例来说明他的弱点，当客户端的输入为“…ccmdmcmdd…”时,在对敏感字符串“cmd”替换删除以后，剩下的字符正好是“… cmd…”;方案(3)的实质是在服务端处理完毕之后进行补救，攻击已经发生，只是阻止攻击者知道攻击的结果;方案(4)被多数的研究者认为是最根本的解决手段，在确认客户端的输入合法之前，服务端拒绝进行关键性的处理操作。方案(4)与(2)的区别在于，方案(4)一旦检测到敏感字符 /字符串，针对数据库的操作即行中止，而方案(2)是对有问题的客户端输入做出补救，不中止程序后续操作。方案(2)虽然在一定程度上有效，但有“治标不治本”的嫌疑，新的攻击方式正在被不断发现，只要允许服务端程序使用这些提交信息，就总有受到攻击的可能。

因此，本文中针对SQL注入攻击的检测/防御/备案模型即基于提交信息的合法性检查，在客户端和服务端进行两级检查，只要任一级检查没有通过，提交的信息就不会进入query语句，不会构成攻击。在客户端和服务端进行合法性检查的函数基本相同。客户端检查的主要作用是减少网络流量，降低服务器负荷，将一般误操作、低等级攻击与高等级攻击行为区分开来。技术上，客户端的检查是有可能被有经验的攻击者绕开的，在这种情形下，提交的数据被直接发往服务端，通过在服务器端设定二级检查就显得十分必要。由于正常提交到服务端的数据已经在客户端检查过，因此，服务端检查到的提交异常基本可以认定为恶意攻击行为所致，中止提交信息的处理，进行攻击备案，并对客户端给出出错/警告提示。对应模型简图如图1所示。





2.2检 测

对提交信息的检查，主要包括数据类型检查、数据长度检查和敏感字符过滤。前两项可利用函数直接办到，敏感字符过滤则需要应用开发方做相应开发。经过总结，对语句时必须用到的，因此可以针对这些敏感字符，设定过滤函数，在把这些上传的参数结合到查询语句之前对他们进行过滤。下面的2个函数即过滤模块的主要代码:









提交非法字符的人，都有可能是SQL注入攻击者。但考虑到用户在正常使用中的误操作也有提交非法字符/字符串的可能，因此客户端的一级检查无论对用户误操作，还是一般性攻击，所做出处理措施只是中止信息提交，给出友好的出错提示。在经过一级检查以后提交到服务器端的信息中仍然包括非法字符/字符串的，惟一的可能是攻击者绕开了客户端的一级检查。对于这种危险的信号，服务器端将从收到的提交信息数据包中提取攻击源的IP地址，存入数据库备查，同时中止针对数据库的操作。http://www.securitycn.net/html/Plan/Project/1337.html 












3、结语

由于SQL注入攻击针对的是应用开发过程中的编程不严密，因而对于绝大多数防火墙来说，这种攻击是“合法”的。问题的解决只有依赖于完善编程。专门针对SQL注入攻击的工具较少，Wpoison对于用asp，php进行的开发有一定帮助。本文中的DDL模型作为一个整体解决方案，对代码稍加变动也可用于SQL Server以外的关系数据库。已经将该模型应用于某单位的Web数据库开发，取得了良好的效果。本文中给出的代码在Windows 2000 Server+SQL Server 2000环境测试通过。

安全体系设计原则

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

计算网络面临的威胁

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：

1 人为的无意失误：

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

2 人为的恶意攻击：

这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

3 网络软件的漏洞和"后门"：

网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的"后门"都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦"后门"洞开，其造成的后果将不堪设想。

计算机网络的安全策略

1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。

1 入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的"证件"、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问"资费"用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

2 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表 来描述。

3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。

4 属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、、执行修改、显示等。

5 网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

6 网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

从威胁到策略

随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

计算网络面临的威胁

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三：

1 人为的无意失误：

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

2 人为的恶意攻击：

这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

3 网络软件的漏洞和"后门"：

网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的"后门"都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦"后门"洞开，其造成的后果将不堪设想。

计算机网络的安全策略

1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

抑制和防止电磁泄漏（即TEMPEST技术）是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

2 访问控制策略

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。

1 入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。

用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。

网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的"证件"、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问"资费"用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

2 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：（1）特殊用户（即系统管理员）；（2）一般用户，系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表 来描述。

3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限（Supervisor）、读权限（Read）、写权限（Write）、创建权限（Create）、删除权限（Erase）、修改权限（Modify）、文件查找权限（File Scan）、存取控制权限（Access Control）。用户对文件或目标的有效权限取决于以下二个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。

4 属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、、执行修改、显示等。

5 网络服务器安全控制

网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

6 网络监测和锁定控制

网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。

中小企业抗DDOS攻击的一些基本招式

不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是拒绝服务攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。

　　一，拒绝服务攻击的发展:

　　从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击 方式。而DdoS(Distributed Denial of Service，分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公 司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说 以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难， 如何采取措施有效的应对呢?下面我们从两个方面进行介绍。

　　二，预防为主保证安全

　　DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。

　　(1)定期扫描

　 　要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此 对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

　　(2)在骨干节点配置防火墙

　　防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

　　(3)用足够的机器承受黑客攻击

　 　这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等 用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。
　　(4)充分利用网络设备保护网络资源

　 　所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重 启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载 均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

　　(5)过滤不必要的服务和端口

　 　可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的 CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策 略。

　　(6)检查访问者的来源

　　使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户， 很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

　　(7)过滤所有RFC1918 IP地址

　 　RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员 工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

　　(8)限制SYN/ICMP流量

　 　用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量 时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了， 不过仍然能够起到一定的作用。

　　三，寻找机会应对攻击

　　如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。

　 　(1)检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再 找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP 地址在服务器或路由器上过滤掉。

　　(2)找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。

　　(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。

　　总结:

　 　目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施 也仅仅能起到降低攻击级别的效果，Ddos攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话，收到的效果还是非常显 著的，可以将攻击带来的损失降低到最小。

COBIT 4.0

COBIT4.0简介(Control of Information and relaetd Technology)
[摘要]COBIT提供了一个IT管理框架以及配套的支撑工具集，这些都是为了帮助管理者通过IT过程管理IT资源实现IT目标满足业务需求。COBIT 建立了一个包含7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标的IT管理框架，通过控制度、度量、标准三个纬度来度量IT过程能力。

[关键词]COBIT，IT管理，IT过程，控制管理目标，度量模型，过程能力

1 COBIT

COBIT是Control Objectives for Information and related Technology（信息及其技术的控制管理目标集）的简称。
COBIT是一个IT管理框架，同时也提供了一个支持工具集，来帮助管理者弥合控制需求、技术问题、业务风险之间的差距，并与利益干系人沟通控制级别。（COBIT is a IT governance framework and supporting toolset that allow managers to bridge the gap with respect to control requirements, technical issues and business risks, and communicate that level of control to stakeholders.）
COBIT是IT最佳实践的集合体（integrator），也是IT管理的伞状框架，它能帮助理解和管理与IT相关的风险和收益。

1.2.1 支持工具集

为了达成"通过IT过程管理IT资源，实现IT目标满足业务需求"的目的，COBIT认为首先需要有一些控制管理目标来定义正在实施的政策、流程、实践的最终目的，从而保证业务目标能够被达成且不会有不期望的事件发生。但是光有这些控制管理目标是不足够的，还需要建立标准，用来评判现状是理想的还是需要改进的。要和标准进行比对，就必须能够对现状进行度量，这又要求必须有一套度量现状的方法。

因此，COBIT提供了三个工具：

1、Benchmarking of IT process capability expressed as maturity models, derived from the Software Engineering Institute's Capability Maturity Model;（标准 Scales）

2、 Goals and metrics of the IT processes to define and measure their outcome and performance based on the principles of Robert Kaplan and David Norton's balanced business scorecard;（度量 Measures）

3、Activity goals for getting these processes under control, based on COBIT's detailed control objectives.（控制管理目标 Indicators）

COBIT采用SEI的能力成熟度模型来描述IT过程能力，以此作为IT过程能力度量标准；基于业务平衡记分卡这种度量方法，COBIT采用 Goal（KGI关键目的指标）来度量IT过程输出，采用Metrics（KPI关键绩效指标）来度量IT过程绩效；最后，用COBIT控制管理目标来定义IT过程的活动目的，这是COBIT的精华和独创部分。

COBIT的Dashboard就是它的框架（下一节会介绍），而控制管理目标就是Dashboard上面的Indicators。这有点象中医里面的经络图，COBIT框架（Dashboard）就是那张图，控制管理目标（Indicators）就是经络图上的穴位。那张图，除了告诉你全身（IT管理）有多少个穴位以外，还告诉你哪个穴位可以治什么病（业务需求）。有了这张图你就知道，扎针扎在这儿可以治头疼，扎在那儿可以治脚疼，扎别的地方除了疼什么都治不了。但它没告诉你扎针应该扎多深。Benchmarking给的就是这个扎针的深度，治脚疼要扎三分，治头疼要扎一分。但没告诉你这个 "分"到底是怎样量出来的。Scorecards给的就是一个记分的方法。三样隔一块儿就可以保证这一针扎下去一定有效。所以，COBIT也是这样，必须三样都齐备才能保证IT管理的有效。

1.2.2 COBIT框架

COBIT框架包括：一个索引（穴位在哪里），三张关系匹配图（每个穴位治什么病）。

COBIT框架提供了一个索引。

COBIT定义了100多个控制管理目标，如何组织这些目标，需要一个框架。因此，COBIT借鉴了一些业界研究成果，将IT活动归纳到34个过程4个过程域中，控制管理目标通过定义IT活动目的被组织在这个框架里。度量和标准都是针对控制管理目标的，找到了控制管理目标就找到了相应的度量方法和标准。

1.3 COBIT文档系列

为了说清楚这些内容，COBIT工作小组开发了一系列文档，分成不同的小册子，主要是为了适应不同层面的读者需求。不同层面的读者，职责不同需求不同，只要看与自己的职责需求相对应的部分即可，并不需要全都了解得一清二楚。这些独立分开的小册子提供了这种便利。

这些文档面向三类用户：
1、公司高级执行长官和董事会：（红色部分）
2、业务和技术管理层：（深蓝色部分）
3、管理、保证、控制和安全专家：（浅灰色部分）

方框里的是文档名称，分别和各类用户相对应。

提供给大家的COBIT4.0只包括其中的三部分内容，其余部分需要成为ISACA的高级会员才能拿到。

1.4 如何使用COBIT4.0

COBIT4.0一共有209页，囊括了7个业务需求、20个业务目标、28个IT目标、34个IT过程、100多个控制管理目标，针对每个IT过程还定义有专门的度量方法和能力成熟度评估模型（5个级别，每个级别有专门的定义描述）。这让熟悉COBIT的每个细节成为不可能。

那我们该如何使用COBIT呢？这里有个三步曲：

第一步：明确你的工作目的。我是要实现某个IT目标，还是业务目标，或者是业务需求，甚至可以只是要对某个IT过程进行评估。总而言之，你需要首先确定好你的工作目的。（知道要治什么病）

第二步：通过COBIT框架找到支撑你工作目的的IT过程。COBIT提供了一个很好的框架，通过这个框架，你很容易就能定位到支撑你工作目的的IT过程。（找到治病穴位的大方位）

第三步：找到支持这个IT过程落实的控制管理目标、度量方法和标准。COBIT从28页开始就以IT过程为单位逐一论述每个过程的控制管理目标、度量方法和标准。因此，有了IT过程就有了支持这个过程落实的一系列工具（控制管理目标、度量方法和标准）。然后，照着这个去做就可以了。（知道穴位在哪里，扎针该扎多深，也知道该怎么量）

这样，COBIT就真正成为支撑我们工作的工具了。

2 相关知识点

2.1 IT资源、IT过程、业务需求

下图表达两方面的内容：
1、IT资源、IT过程和业务需求各部分的基本内涵；
2、三者之间的关系。

2.2 控制

Control is defined as the polices, procedures, practices and organizational structures designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected.

什么是控制？COBIT认为控制是那些被定义成政策、流程、实践和组织结构的内容，它们的设计目的是为了提供合理的保证，以使得业务目标能够被达成，且能阻止、发现、纠正不期望的事件。

An IT control objective is a statement of the desired result or purpose to be achieved by implementing control procedures in a particular IT activity.

那IT控制管理目标是什么呢？是预期的结果，或者是实施控制的目的。

如何实现控制呢？下图提供了一个方法。



从这张图里，我们可以看到控制是一个收集，比较，纠正的过程。那收集什么？如何收集？和什么进行比较？这三个问题又引出了控制三要素：控制管理目标、度量方法、标准。

西方管理学有句名言：你不能管理你不能度量的。控制管理的逻辑充分体现了这句话

IT资源
IT资源包括应用、信息、基础设施和人员。这里的"应用"，概念比我们惯常理解的范围要大一些，它除了指处理信息的自动系统外，还包括人工流程。因此，它特别指出应用控制的运行管理和控制管理职责不是由IT部门承担的，而应该是由业务部门的Owner来承担。（注意：这里说的是管理职责不是执行职责）

业务需求
COBIT描述业务需求的方法很有意思，它提供的是一个基于信息的需求模型。所以，大家可能会觉得里面的很多东西很熟悉，例如：保密、完整、可用。它在此基础上增加了效果、效率、遵从和可靠。COBIT称之为"Information Criteria"（信息标准）。

IT过程
IT过程在结构上分三层，从上至下是过程域（也叫过程组）、过程、活动。COBIT定义了34个过程，分为四个过程域。这四个过程域分别是：
1、Plan and Organize：包含10个过程
2、Acquire and Implement：包含7个过程
3、Deliver and Support：包含13个过程
4、Monitor and Evaluate：包含4个过程

乍一看，和PDCA模型有点像，不过不完全一样。

三者关系
还是那句话：IT资源被IT过程管理，实现IT目标满足业务需求。
.3 度量模型

能力、绩效、控制度是度量过程的三个纬度。

3 COBIT和信息安全

表面看来，COBIT似乎和信息安全并不直接相关。34个过程中，只有PO9"评估和管理IT风险"和DS5"保证系统安全"直接和信息安全相关。所以，研究COBIT对我们有什么帮助呢？

在回答这个问题前，我们先来看几个信息安全领域的术语定义。

风险（Risk）：某一特定的威胁利用某资产或某一群资产的弱点致使该资产受到损失或损坏的潜在可能性。（The potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss of/or damage to the assets.）一般是通过威胁发生的可能性和它造成的结果进行组合来衡量的。（It usually is measured by a combination of impact and probability of occurrence.） 【参考ISO/IEC TR 13335-1和BS 7799-2:2002】

风险处置（Risk Treatment）：选择和实施修正风险的控制的过程。（Process selection and implementation of controls to modify risk.）【参考BS 7799-2:2002】

控制措施（Safeguard）：降低风险的实践、过程或机制。（A practice, procedure or mechanism that reduces risk.）【参考BS 7799-2:2002】

再和控制的定义比较一下，会发现两者本质上是相同的。所谓的安全，实际上就是控制，将风险控制在可以接受的范围内，这就是安全的本质目的。所以，COBIT的逻辑和方法在信息安全领域实际上也是适用的。这就是对我们工作的帮助意义。

金融领域unix的管理策略

一.UNIX系统的基本安全机制

1.用户帐号

用户帐号就是用户在UNIX系统上的合法身份标志，其最简单的形式是用户名/口令。在UNIX系统内部，与用户名/口令有关的信息存储在/etc/passwd文件中，一旦当非法用户获得passwd文件时，虽然口令是被加密的密文，但如果口令的安全强度不高，非法用户即可采用"字典攻击"的方法枚举到用户口令，特别是当网络系统有某一入口时，获取passwd文件就非常容易。

2.文件系统权限

UNIX文件系统的安全主要是通过设置文件的权限来实现的。每一个UNIX文件和目录都有18种不同的权限，这些权限大体可分为 3类，即此文件的所有者、组和其他人的使用权限如只读、可写、可执行、允许SUID和SGID等。需注意的是权限为允许SUID、SGID和可执行文件在程序运行中，会给进程赋予所有者的权限，若被入侵者利用，就会留下隐患，给入侵者的成功入侵提供了方便。

3.日志文件

日志文件是用来记录系统使用状况的。UNIX中比较重要的日志文件有3种：

(1)/usr/adm/lastlog文件。此文件用于记录每个用户最后登录的时间（包括成功和未成功的），这样用户每次登录后，只要查看一下所有帐号的最后登录时间就可以确定本用户是否曾经被盗用。

(2)/etc/utmp和/etc/wtmp文件。utmp文件用来记录当前登录到系统的用户，Wtmp文件则同时记录用户的登录和注销。

(3)/usr/adm/acct文件。此文件用于记录每个用户运行的每条命令，通常我们称之为系统记帐。

二.UNIX系统和安全防范

金融系统应用的UNIX网络系统一般均采用客户/服务器方式。系统前台客户机运行并向后台系统发出请求，后台服务器为前台系统提供服务，系统功能由前后台协同完成，典型的应用如：前台运行银行界面输入输出、数据校验等功能，后台实现数据库查询等操作。由于UNIX系统设计基于一种开放式体系结构，系统中紧密集成了通信服务，但存在一定程度的安全漏洞，容易受到非法攻击，通过多年的实践证明，加强安全防范，特别是针对一些可能的网络攻击采取一定的安全防范措施，UNIX网络系统的安全性就可以大大提高。

1.网络攻击类型

(1)猛烈攻击(Brute－force Attack)。此攻击的目标是为破译口令和加密的信息资源，当试图入侵者使用一个高速处理器时，便可试用各种口令组合(或加密密钥),直到最终找到正确的口令进入网络，此法通常称之为"字典攻击"。

(2)社会工程攻击(Social－engineering Attack)。此攻击也是最难防备的一种攻击方式。网上黑客通常扮成技术支持人员呼叫用户，并向用户索要口令，而后以用户的身份进入系统。这是一种最简单同时也是最有效的攻击方式。

(3)被动攻击(Passive Attack)。非法用户通过探测网络布线等方法，收集敏感数据或认证信息，以备日后访问其他资源。

(4)拒绝服务(Denial－of－Service)。此攻击的目的通常是指试图入侵网络者采用具有破坏性的方法阻塞目标网络系统的资源，使网络系统暂时或永久瘫痪。如入侵者使用伪造的源地址发出TCP/IP请求，阻塞目标网络系统的资源从而使系统瘫痪。

2.网络安全防范策略

网络系统的攻击者可能是非法用户，也可能是合法用户，因此，加强内部管理、防范与外部同样重要。可实施以下策略进行防范。

(1)加强用户权限管理。为了保护UNIX系统资源安全，即使是对合法用户也必须采用最小权限法，即给每个用户只授予完成特定任务所必需的系统访问权限。通常可以采用给每一个用户建立请求文件和资源访问许可权的程序，给定每个用户要处理的任务权限及任务的持续时间等。

(2)加强用户口令管理和更新。口令通常是较容易出现问题的地方，即使口令被加密，也容易在非法入侵者的"猛烈攻击"下被攻破。金融系统通常是一个群体工作环境，工作中经常存在各种授权，银行的柜台活动也处在电视监控之下，口令泄露机会较多。因此，一方面要强制使用安全口令(使用非字母字符、大小写字母混用、规定口令最小长度不得少于6位数，最好8位数、使用强加密算法等);另一方面系统管理员要主动定期使用口令检查程序(如:Crack)对口令文件进行检查，若口令不合乎安全规范，则需及时更换口令。还可以采用一定的技术手段，增加 "字典攻击"的难度，如改变口令加密算法中的加密参数，然后加密口令，这样除非攻击者同样改变了此参数，否则就得不到正确的口令。加强监控室及监控录象带的管理，对各类授权活动最好采用刷卡方式进行。

(3)设置防火墙。将网络系统内部分为多个子网，分级进行管理，这样可以有效地阻止或延缓入侵者的侵入。通常防火墙设置在内部网络与外部网络的接口处，防火墙从功能和实现机制上分为数据包过滤、代理服务器两大类，两者在安全防护上各有特点，因此，一个比较完善的防护隔离体系就是将两种防火墙结合起来，形成屏蔽子网体系结构，此举可大大提高内部网络的安全系数。但是，防火墙只能防护外部网络对内部网络的攻击，无法防护由内部网络发起的攻击或者拥有合法访问权限的内部人员从外部发起的攻击，并且防火墙无法防护内外网络之间有其它不通过防火墙的通路。总之，防火墙需要与其它机制配合才能适应新的威协。

(4)建立实时监视系统。使用ISS的RealSecure实时监控系统对网络系统的运行过程进行实时监视和审计，对内部或外部黑客的侵入及一些异常的网络活动能够实时地进行识别、审计、告警、拦截。RealSecure还能和防火墙产品配合，及时切断"黑客"与信息系统的连接，形成一个动态的安全防护体系。ISS软件信息可访问http://www.iss.net。

(5)定期对网络进行安全漏洞检测。网络安全是千变万化的，所以保护措施也应该是动态的，没有固定的模式可循，作为UNIX系统的管理人员,也要尝试定期对网络服务器进行攻击测试，这样既可以分析和探索试图入侵者的攻击思路，同时又可以及时发现系统安全保护机制中的潜在问题，及时进行有效防范。

(6)制定相应的灾难恢复计划。没有一种安全策略是十全十美的，因此根据可能发生的情况制定相应的灾难恢复计划是非常有必要的。一是定时对网络系统上各个计算机的系统文件、数据库文件进行备份。二是对网络系统和通讯系统备份，在系统万一遇到恶意攻击、软件故障、硬件故障、用户错误、系统管理员错误等灾难后，可以及时采取相应的对策，恢复系统的正常运行，尽可能将损失减少到最小程度。

3.加强网络系统服务的安全手段和工具

(1)直接配置检查。使用COPS(Computer Oracle Password and Seurity System)从系统内部检查常见的UNIX安全配置错误与漏洞，如关键文件权限设置、ftp权限与路径设置、root路径设置、口令等等，指出存在的失误，减少系统可能被本地和远程入侵者利用的漏洞。COPS软件信息可访问http://www.jordanpan@163.net。

(2)使用记录工具记录所有对UNIX系统的访问。大多数现成的UNIX应用系统可以通过Syslog来记录事件，这是UNIX系统提供的集中记录工具。通过每天扫描记录文件/var/adm/messaged，并可通过配置 Syslog，把高优先级的事件及时传送给系统安全员处理。另一个有用工具是TCP Wrappers，应用此软件可以解决UNIX网络系统安全监视和过滤问题，本软件将所有TCP连接试图(无论成功与否)，都记录到一个文本文件里，文本文件具体内容包括请求的源地址、目的地址、TCP端口和请求时间等。通过监视TCP Wrappers记录，查看所有未遂连接试图，并可以通过配置，由TCP Wrappers来根据某些因素，如源或目的TCP端口、IP地址等接受或者拒绝TCP连接。TCP Wrappers软件下载地址为ftp://ftp.win.tue.nl/pub/security。

(3)远程网络登录服务。此服务是我们使用最频繁的，UNIX系统提供了telnet和 ftp远程登录，当使用telnet或ftp登录时，用户名和口令是明文传输的，这就可能被网上其他用户截获。入侵者也经常使用telnet或 ftp对网络系统发动"猛烈攻击"。入侵者可较容易地编写一个脚本，通过破译不同的口令来试图和远程服务器建立连接，而telnet精灵进程在多次连接试图失败之后会产生一定的延迟，延迟时间和未遂的注册次数成正比，从而防止入侵。还有一种加强telnet或ftp服务口令安全的方法，就是每次使用不同的密码，这可通过S/KEY工具实现。S/KEY系统建立在一次性用户口令的基础上，生成一系列口令，用户可以使用这些口令与UNIX服务器进行远程访问，且不需要特殊的客户机软件。S/KEY的认证算法使得入侵者无法预测用户下一个口令的内容。由于ftp功能与telnet类似，为此可以修改 /etc/ftpusers文件，指定不允许通过ftp进行远程登录的用户。使用匿名ftp服务，任何人都可以随意注册下载或上载文件，如果不需要匿名 ftp服务，可以把username ftp从/etc/passwd文件里删除掉；如果必须提供匿名ftp服务，可以把它安装在本网络之外被称为停火区(DMZ)的服务器中。同时，我们建议使用安全的远程访问工具SSH，其安全性强于telent和ftp。SSH具有强力远程主机认证机制，可以有效降低入侵者通过DNS或者IP地址欺骗手段模仿客户机的可能性，同时SSH还支持多种端到端的加密协议，如DES、Triple－DES、IDEA和Blowfish等，从而更有利于保证整个通讯系统的安全。使用SSH时应禁止使用telnet、ftp和rlogin服务。S/KEY信息可访问http://yak.net/skey。

(4)NFS(Network File System)服务。此服务允许工作站通过网络系统共享一个或多个服务器输出的文件系统。早期的NFS协议使用RPC(Remote Procedure Call)进行客户机与服务器数据交换，由于用户不经登录就可以阅读或更改存储在NFS服务器上的文件，使得NFS服务器很容易受到攻击。为了确保基于 UNIX系统的所有NFS服务器均支持Secure RPC，Secure RPC使用DES加密算法和指数密钥交换技术验证每个NFS RPC请求的身份。当用户登录到某台工作站时，login程序从NIS(Network Information System)数据库中获得一个包含用户名、用户公钥以及用于用户口令加密的用户私钥三项内容的记录（在Secure RPC4.1以上版本中，私钥被保存在内存中的 Keyserver进程中），而工作站和服务器用自已的私钥和对方的公钥产生一个Session Key。随后工作站产生一个56位随机Conversation Key,用Session Key加密后传给服务器,登录时均使用Conversation Key进行加密。在数据传输过程中，服务器通过以下推理确认用户身份是否合法，首先用户传送的包是用Conversation Key加密的；其次只有知道用户的私钥才能产生Conversation Key;最后必须知道口令才能解开加密的私钥。使用NFS还应注意以下几点：尽可能以只读方式输出文件系统；只将必须输出的文件系统输出给需要访问的客户，不要输出本机的可执行文件，或仅以只读方式输出；不要输出所有人都可以写的目录；不要输出用户的home目录；将所有需要保护的文件的owner设为 root，权限均设为755(或644),这样即使工作站上的root帐号被攻破，NFS服务器上的文件仍能受到保护；可使用fsirand程序，增加制造文件句柄的难度。

(5)NIS (Network Information System)服务。这是一个分布式数据系统，计算机用它能够通过网络共享passwd文件、group文件、主机表和一些类似的资源。通过NIS和 NFS，整个网络系统中所有工作站的操作就好象在使用单个计算机系统，而且其中的过程对用户是透明的。但在NIS系统中，用户可以编写程序模仿 ypserv来响应ypbind的请求，从而获取用户的口令。因此，NIS客户最好使用ypbind的secure选项，不接受非特权端口(即端口号小于 1024)的ypserv响应。

(6)finger服务。通常使用finger命令是为了查看本地或远程网络系统中当前登录用户的详细信息,但同时也为入侵者提供了成功入侵系统的机会。所以，最好禁止使用finger。

3.结束语

只有针对UNIX网络系统存在的漏洞采取相应的安全保护措施，才能遏制金融计算机犯罪率。但在客观上要完全消除UNIX网络系统的安全隐患非常困难，一是因为UNIX系统本身是一种非常复杂的系统，二是因为UNIX系统数年来在各领域的广泛使用，使得它成为被研究得最透彻的系统之一。通常入侵者发动的攻击形式是极其复杂的，保护UNIX系统安全的关键是针对入侵者可能发动的攻击制定出一系列切实可行的安全防范策略，使各种攻击在多样化的安全防范措施面前不能轻易得逞。在对IP级安全实施加固之后(如设立安全IP包、过滤防火墙等)，还必须对传输层和应用层的安全进行加固，同时要在金融系统内部建立一整套网络系统安全管理规章和防范措施，经常进行监督检查，使安全管理规章和防范措施落到实处。要使每一位员工都有防范金融计算机犯罪的概念，了解其作案的手法及产生的危害，提高全员主动防范意识，这样才能真正有效地预防金融计算机案件的发生。