zhaol's blog

原 文章:怎么“不负责任”

所以，现在企业可能有两种文化 - 其一是结果导向，不管你使用了什么方法和过程，结果是成功，you did a great job，反之，算你失败; 其二是流程导向，不管你结果如何，只要你follow公司的流程、体制，就OK了。前者更为现实，后者并非完全没有道理，高质量的过程之然会产出高质量的结果，公司通过控制流程和过程来控制结果。

原 文章:请访问sbin.cn

要过年了，没有想到项目还是铺天盖地，还都是急活。或许从新闻上关注到了联想最近的一些市场动作，国外的、国内的都不少。咱们做IT的都是冲在前面的，逢山开路，遇水搭桥，这就是甲方的艰苦之处了。乙方的朋友现在多是总结年终业绩，笑眯眯数钱了吧，呵呵。

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

PCI的全称是Payment Card Industry, 是信用卡相关的一项符合性标准。目前我尚不清楚到底有多少个国家实施了这个标准，北美是要求的。这个标准在硬盘里休息了很长时间，今天在飞机上终于有时间将它打开读了起来。我手里的版本是2006年9月份的。 

笼统看，PCI 数据安全标准（DSS）共有6组12大要求，覆盖了从建设、到运营和策略的很多方面。相对于BS7799/ISO7799/ISO27001和CoBiT等，它的要求显得很朴实直接、具有很高的操作性。下面就是那6组12大要求，中英文对照：

虽然收购规模比IBM PCD不可同日而语，但是对于IT和安全又不是一件小事情，后面预计又要更忙了。

新闻背景：欧洲PC厂商Packard Bell简介一览
作者： CNETNews.com.cn， 2007-08-08 16:20:25

关键词： NEC Packard Bell 联想收购 EMachines PC厂商

Packard Bell曾是日本电气公司(NEC)旗下的欧洲品牌公司，2006年，NEC将其卖给了以前的合作伙伴eMachines。

Packard Bell公司总部设在荷兰，目前是西欧第四大台式机销售商和第六大笔记本电脑销售商，在当地市场占有率约10%。在葡萄牙，法国和英国等市场拥有较强地位。目前，Packard Bell正向东欧、中东和拉美等市场扩张。

Packard Bell规模相对较小，所产电脑和消费电子产品的销售市场主要集中在西欧国家。该公司所有人是华裔美国商人许立信(John Hui)，他于去年从NEC手中买下了Packard Bell。

读到下面的新闻，微软讲Vista在华已成主流，可是背后很多的企业用户还会安装回Windows Xp，因为企业里解决不了兼容性的问题。按照前些时候我们的测试，将近半数的企业应用不能在Vista上面运行。这种情况下，怎么能让Vista成为企业 的标准操作系统呢？从这里点上看，Vista的推出是不成功的。全面占领市场还需要很长时间。

5/18 早晨给我们留下了深刻的记忆，由于Symantec公司病毒代码库2007.5.17 rev 18的错误，sav将简体中文版Windows XP的两个关键的系统文件c:\windows\system32目录下的netapi32.dll和lsasrv.dll误报为 backdoor.haxdoor病毒, 并提示用户推荐删除该文件。用户当然服从命令听指挥，系统也就在重起时隔离这两个文件,导致无法正常重起,出现蓝屏。

想大家推荐一篇国外的文章，关于VoIP安全威胁的总结。相关内容参加我的英文博客。

在我的英文博客上，贴上了两篇评论，分别是：

关于使用Skype作为家庭视频监控系统
以及Skypekiller的评论

欢迎批评讨论。

今天2007.4.18 是CCClub 召集的中国信息安全专业人员高峰论坛（北京），地点在北京新世纪日航酒店。我有个简短的发言，发言使用的资料附上，大家如果感兴趣就下载看看，欢迎批评讨论。企业信息安全管理之细节决定成败＃

Check out my post on this conference in my english blog#

联想在购并IBM PCD后，在艰苦的业务重组的背后是艰辛的IT重构。从大的方面看，这些挑战体现在如何重构原来中国的IT平台使之能够支撑全球的业务，如何迁移原来IBM的Legacy应用和系统，将对原有业务和客户的影响降到最小。IT部门付出了巨大的努力，这些努力也得到了非常可观的回报。具体到基础设施，全球骨干网正在紧锣密鼓的建设中，越来越多的海外公司和分支机构正在迁移在新的骨干网和IT平台之上。艰苦的工作在意料之中，没有料到的是其中相当部分的精力时间资源被花在了“manage vendors"上面，一言难尽...

下面转贴一份王敬宜的文章”“二变一”的缠斗：基础篇“， “二变一”的缠斗：迁移篇”

现在经常要和AT&T打交道，有时候会有怪怪的感觉，世间轮回，有过于此乎。转贴下文(AT&T百年离合史)， 回眸一下AT&T带给我们的电信业重组历史...

晚上刚刚看到一则新闻，讲的是咱们安全业界鼎鼎大名的人物－ISS公司创始人Christopher Klaus重新创业的故事。大家都知道前不久IBM以13亿美元的价格购并了ISS. 创建的企业卖掉了， 接下去的路应该怎么走？ NetScreen卖掉后又出现了几家新的安全Startup, 可是这次Chris没有，他选择了一条道路“改行” － 做3D游戏了。参见新闻... 大家有什么感想？

我相信不少安全经理们都琢磨过如何使用安全代理来加强互联网出口的安全控制。总结来看，主要的安全威胁，我个人认为，是病毒及其衍生威胁，以及内部的滥用和误用。前者是从基础设施的角度来看，后者是从应用和数据的角度来看。那病毒的威胁又从哪里来呢？病从口入 ！ 互联网绝对是一个不容忽视的威胁来源。控制用户下载文件、使用MSN/QQ/其它P2P/IM软件交换文件、被钓鱼等，更进一步安全经理还想将互联网的访问定位到每个用户，以便计费或者审计。这些都需要强有力的安全代理的支持。可是，代理如何选择呢？ Jason向我推荐了一个网页，我觉得讨论的非常精彩。Thomas Shinder和网友AntiShinder各舒己见，分别为微软ISA软件方案和BlueCoat硬件方案进行了很有说服力的论证。

论战起源于BlueCoat的一个白皮书，总结了BlueCoat的5大优势：

• The ISA firewall cannot be as secure as Blue Coat proxies because it runs on a general purpose server that has ongoing security vulnerabilities
• The ISA firewall is unable to inspect traffic inside an SSL tunnel
• The ISA firewall is unable to inspect and manage peer-to-peer, instant messaging and multimedia connections
• The ISA firewall has limited support for granular access control
• The ISA firewall’s network performance is inferior to Blue Coat’s proxy performance

• 对于喜欢硬件方案的朋友来说，BlueCoat清一色的盒子，安装运行维护都简单，看着清爽，感觉上性能也不错。
• 喜欢软件方案的朋友，觉得可以按照自己企业的Server标准进行按需升级，完全纳入企业的Server运行维护，成本较低，性能可控。

Windows Vista是当前的一个热门话题，我也经常被问到公司什么时候将桌面标准升级到Vista。对于一个小组或者个人，这不是个问题。但是对于一个大型企业，问题就很多了。先不说Vista自身的稳定性，单说当前硬件有多少需要升级，多少桌面计算机需要淘汰，老应用软件有多少兼容，对于不兼容的老应用如何处理，企业当前是否有预算，等等，这些还不仅仅是一个钱的问题，很不容易轻易作出决定。另外，从实际操作上看，Helpdesk和技术支持方面还需要有大量的测试和技术储备，以应付升级过程和升级后的大量可以预见的用户Calls。有没有同行或者其它朋友了解到除了微软外，还有那家大型企业开始了Vista升级行动？

今晚看到一篇Vista的安全指南，没有时间全部看完，觉得写的内容不错。下面有一段官员SpyNet，有些疑惑，不知哪位朋友了解，多介绍几句。先谢过！

转贴下面的这则报导，放松一下。;)

电脑病毒激发网络创作热情 熊猫烧香也遭恶搞
http://www.sina.com.cn 2007年02月13日 07:27 新闻晨报