zhaol's blog

原文：安全管理与执行力

其实，执行力是个管理学上的普遍问题。高的执行力并不一定带来理想的、正确的效果。例如文革时期，毛泽东利用自己的绝无仅有的影响力促使很多看起来虚无飘渺的、不切实际的命令被无条件的执行，全国范围的。不过，准确的说，这不是执行力的错。执行力是指形成的决议可以得到有效的执行，而没有涵盖前面形成决议的过程。那个阶段如何民主、如何分析、如何达成科学的、正确的决议是另外的管理学问题。

但是，对于网络安全工作来讲，重要的是很多基础的工作都没有做好，普遍性的、常识性的一些安全措施都没有做到位。在这种情况，安全主管的挑战就是执行力，如何将这些基础措施和安全策略实施下去。

春节在杭州过的，有机会到杭州周围的名胜古迹游览一番，像西湖周围的南高峰、北高峰、雷锋塔，还有附近的乌镇、绍兴的鲁迅故居、东湖等，江南水乡的精致、文化的沉淀厚重、还有那怎么也听不懂的江南方言给我留下非常深刻的印象。

知道三乌文化吗？感兴趣的请参见详细介绍百度知道中的答案。简单说，就是指：乌篷船、梅干菜、黑毡帽。其实对我印象最深的是船工使用脚来划船，船工轻松自得的动作还透着一种对家乡的自豪。中间有个小插曲，船工的乌毡帽听好看的，轮到我们上船时却发现船工没有带，心里稍微有些失望。我觉得不能让老婆孩子失望，就故意和船工搭话：您的毡帽很漂亮呀！ 没想到船工非常体贴游客，立刻用绍兴家乡话说：好，我带上给你们看看。让我心里很是得意、高兴了一阵子。

<绍兴东湖的竹林>


<三乌文化>

欢迎参观我的相册A@Flickr.com，水平较低，看到感兴趣的记下来，好记性比不上烂笔头吗。
我现在使用的是Kodak V550数码相机：

http://www.flickr.com/photos/zhaol

北邮MBA新年论坛　阚教授PK五嘉宾　刀刀见血 by 通信世界网

阚凯力PK吕廷杰：
阚凯力问你一直坚持上3G，请问3G从什么地方挣钱？
阚凯力PK闻库：
阚凯力问中国政府对WIMAX技术到底处于什么样的态度？
阚凯力PK鲁向东：
阚凯力问WIMAX上马之后，在WIMAX实施VOIP等业务，是不是直接对中国移动造成威胁。
阚凯力PK赵治国：
阚凯力问信息产业部推动电信改革，但是却分为南电信、北网通，这个问题是不是阻碍改革。
阚凯力PK张继平：
阚凯力问，你所说的电信转型到底为谁在转型？

给东东讲成语故事，我们大人本来觉得非常熟悉、常规的逻辑被东东问了很多问题，出人意料之余，每每体会到Think-out-of-box的震撼。

“掩耳盗铃” ：用手捂住耳朵偷铃铛。刚讲完，东东问“哪怎么偷呀？”，我一开始没有理解，还能怎么偷呀，就取拿呀，东东说“手去捂耳朵了，还怎么偷铃铛呀？”。

“亡羊补牢”：第一天羊跑了，邻居劝补上篱笆，这个人不听邻居的话，结果第二天又跑了羊，只好补上，这叫“亡羊补牢”，东东追问“那跑了的羊怎么回来呀？”

“一箭双雕”： 两只大雕在抢一块肉吃，一只箭就将两只大雕都射下来了，这叫一箭双雕。东东问“那块肉掉哪里了？”

“司马光砸缸”，小朋友掉到水缸里，水缸很高，小朋友们都没有办法，司马光急中生智，搬起一块石头砸将过去，小朋友得救了，大家一起夸司马光聪明。故事讲完了，东东很奇怪的问“那个小朋友怎么爬上去的呀？”

淅淅沥沥的小雨和阴沉沉的脸孔中间夹杂着短暂的几个小时的慵懒的阳光，感觉总是在不自觉地收缩着身体来减少散失的热量，这就是今年杭州春节的感受之一。

呵呵，说说我儿子的趣事吧，很长的故事，先从咸鸭蛋的故事开始。

一个问题：“鸭蛋和鸡蛋有什么不一样？”
东东很快地、很一本正经地说：“当然不一样了，鸭子的蛋是咸的”。

东东对音乐还是很喜欢的，记得很多着名音乐家和音乐的名字。告诉他“海顿和莫扎特都死了，到另外的世界去了”。东东问：“为什么会死？” 妈妈说：“要不这个世界上人就太多了”。东东就立刻说：“那么另外那个世界不就人越来越多了。”

有句成语“成也萧何，败也萧何”，讲的是成事因萧何而成，败事也因萧何而败。有月下萧何追韩信的佳话，成就了汉家四百年江山，但是也因为对萧何的信任，也让运筹帷幄、叱咤风云的大将军束手就戮，屈死乱刀倒下。虽说前有彭越、英布的故事，但是，如果不是因为萧何，韩信不会轻易被杀。

萧何和BT有什么瓜葛吗？有！BT就是电信运营商业务发展的“萧何”。

以老大BT为代表的P2P宽带下载成就了固网运营商风风火火的ADSL装机热潮，拉动固网业务增长的两位数百分比。同时，华为、阿尔卡特、港湾、UT、中兴等也赚得眉开眼笑。想看电影吗？盗版盘多不方便，可能还读不出来，下载，各种清晰度的都有，什么片子都有。国内版权控制的失位、以及VCD/DVD红火多年背后的消费习惯对此贡献良多。120元包月下来，干什么？上网查论文吗？MSN/QQ聊天？所以，不能否认，BT们在月下给运营商们拉来了白花花的银子。

另外一面，城域网和骨干网怎么扩容也跟不上带宽需求的火箭上升速度，“带宽扩容增加是线性的，BT消耗带宽是指数增加的”，所以，永远也跟不上。这种担忧深深地萦绕在管理者和一些决策者地脑海里。于是出现了众多将BT们“一封了之”的声音，似乎只有那样，才能保证宽带网络的健康发展。

看了前面一段“成也萧何”，我们清醒地知道，封是封不得的。于是江苏电信、广东电信推出流量计费，打破了多年的宽带按时计费、包月计费的传统。另外，内容计费随着3G的到来成为热门的Buzz word。流量管理和内容管理成为打破BT威胁的另一出路。

运营商受到最大的威胁其实不是BT，因为毕竟你可以扩容，客户还是你的，该打的电话照打，多出来包月的120元价格可是大大高于现在固网运营商的平均ARPU。

最大的威胁来自于Skype们，它会直接杀向运营商当前收入的主体，抢夺运营商钱包里的钞票,并且对流量计费免疫。国内、国际上沸沸扬扬的Skype现象、封堵Skype引起的争议、国内民间和运营商两种声音的对抗其实才应该是媒体关注的“最强”。

第一次出差到北国冰城，虽然已是初春料峭，可是心里还是有些不同的感觉。从太平国际机场出来后，出租车在高速公路上飞驰，简单几句的交谈，出租车司机已经让我感觉到北国的爽快。突然间，我看到高速中间的隔离带中站着一位交通警察，站的笔直，在寒夜中笔直地站着，心里立刻充满的敬意又立刻被惊奇代替，呵呵，你能猜出来是为什么吗？

安全经理，或者称为首席安全管，安全主管，这里指的是在企业组织中负责网络安全工作的经理，通常是一位中层领导，他还主管着信息系统的其他方方面面，例如运行维护，或者项目建设等。安全经理在企业组织的安全管理活动处于非常关键的地位，承上启下，分解高层对于网络安全的观点和使命，管理控制具体的安全运行和建设维护，他负责决定实际实施的技术路线和方案选型，抽象总结实际的安全工作的问题和由于其所处的位置为中层，就像“三观论”中的“中观”，企业组织的信息系统安全水平很大程度上取决于他个人对于网络安全的理解、重视与否和执行程度。

我经常对自己的愚钝、以及管理过程中的错误进行反思，看看是否可以找到一些方法来避免自己的愚钝和疏忽、固执，或者能够帮助面临自己同样境地的人。每个人都有每个人的困境，这里没有“银弹”。下面列出的不可忘记的五件事供您参考，或有一用，则善莫大焉。

咨询的价值 － 读温伯格（Gerald M. Weinberg）先生的《咨询的奥秘》- 成功提出和获得建议的指南. 本文最新版在Telecom,Security and P2P.
The Secrects of Consulting, by Gerald M. Weinberg

该书原版是1985年出版的，由李彤和关山松翻译，2004年清华大学出版社出版版。读后感觉该书的前四章（1 为什么咨询如此艰难、2 培养似非而是的四位框架、3 当你不知道自己在做什么时要有成效、4 看看那里有些什么），以及最后四章（11 经营你的服务、12 在你的脑门上贴上标签、13 怎样获得信任、14 让客户听从你的建议）更有趣，诙谐幽默中带来很多思考和收获，中间的5、6、7、8、9、10六章却没有留下什么印象。温伯格先生是一个思考大师，卓越的顾问。这也是一本近些年来唯一一本从头看到尾的书。为了不辜负花去的时间，把读后的一些感受和大家分享一下。

本文最新版在【Telecom,Security and P2P】

有朋友称“联想网御的动荡”为中国2005年最后的网络安全风波，时至今日，动荡的主要轮廓已经展现在了我们的面前：联想网御的原高管俞兵和任增强等离职，其中俞兵已经接到新职 － 阳光传媒的董事，而任增强则加入（或创建？）了让人充满猜测的新公司 新联网御，而亚信方面则任命了齐舰接替担任联想网御的新当家人，并且推出新措施用以留住准备辞职的员工，恢复士气。其间更有传说在俞和任带领的大规模辞职之前，联想网御已经悄悄与大量员工解除了“竞业禁止”协议，目的就是为了这个刚浮出水面的“新联网御”，随机而来的就是联想网御的预期收入大降云云。

本文最新版在【Telecom,Security and P2P】.

    时间如白马过隙，匆匆忙忙中2005年就结束了，现在2006年的时针转的似乎比去年更快。有朋友提醒说总该回首一下、前瞻一下，拖了一段时间，总算写下几段文字，也算对自己和朋友有个交代。

    2005年不能算是安全市场的丰收年，写下 战国七雄的文字后，未料到其中已有玩家遭遇“宏智”-like的不幸，我自认不是乌鸦嘴，这事肯定与我无关，:(

     还是看看后面的技术发展吧。我借用了Gartner公司的新技术发展曲线，将若干我想到的安全技术都拎出来，给他们找了个位置。欢迎大家批评、评论。

请看：

将【Telecom,Security and P2P】站点的文档汇编了一下，RAR压缩的mht格式，里面含有从 2005年9月份到2006年1月11日之前的大部分文档，点击下载。

据媒体报导，安全巨头Symantec昨日宣布购并即时消息管理软件公司IMLogic. IM/P2P对企业边界的影响非常深远，对企业网络边界的侵蚀是潜移默化的，逐步消融的，需要企业IT经理认真对待。Gartner的2005年6月份和7月份等的“Talking Technology”中诸位专家多次谈到IM/P2P的管理，这里不仅仅是安全管理，还有身份管理，流量管理、档案管理、符合性等多方面的考虑。

IMLogic和 FaceTime, Akonix, SurfControl, BlueCoat, 等是当前业界主要的即 时消息IM/P2P方面的管理和安全供应商。这次收购将会成为后面类似公司市场价值的标竿，并且可以预计将会“哄抬物价”，提高这一市场的进入门槛。

相信这次收购对CA/IBM/HP也会产生相当的触动。IM/P2P的管理，包括识别、控制、计费、质量等可能成为下一代信息系统管理四大家Big Four（IBM/HP/CA/BMC）的基础性构件。虽然当前这块市场不是很大，按照IDC的估计IM管理软件市场将会从2005年的3.15亿美元增加到2009年的7.36亿美元。但是具有战略意义，关乎各家的“比较优势”。

另外这次收购对于MaAfee/CA/TrendMicro等反病毒、反垃圾邮件等厂商也会有 相当影响。前些时候已经出现了利用IM/P2P应用传播的蠕虫。预计后续收购行动将会很快出现。

——————

赛门铁克的收购狂欢2006年没有显露放松的迹象。1月3日，赛门铁克宣布了收购企业即时消息客户端软件提供商IMlogic的计划。
IMlogic是前微软高级官员Francis deSouza在2001年成立的，公司在马萨诸塞州沃尔瑟姆。IMlogic销售帮助企业保护和管理即时消息通信的软件。收购预计2月初完成，财务细节没有被披露。

据赛门铁克安全产品高级副总裁Enrique Salem说，赛门铁克计划今年把IMlogic的安全和内容检查功能集成到自己的反垃圾邮件和反病毒软件以及自己的安全专用设备中。

赛门铁克还将把即时消息存储和管理功能添加到自己的Enterprise Vault存档软件里，这个软件是2005年赛门铁克收购Veritas时获得的。
以前赛门铁克和IMlogic在安全研究上合作过，而且2002年以来Enterprise Vault一直和IMlogic IM Manager软件集成。当时Enterprise Vault是Veritas开发的，去年赛门铁克收购了Veritas。

据Gartner研究总监Peter Firstbrook说，赛门铁克收购IMlogic意义重大。他说：“这的确非常合适，双方的产品几乎没有重叠。”

据Firstbrook说，即时消息安全市场目前较小，年销售收入在3000万美元左右，但这个市场每年增长超过100%，受到 McAfee和趋势科技等安全软件大厂的关注。他相信随着电子邮件和即时消息产品纠缠在一起，其他即时消息安全厂商，如FaceTime Communications和Akonix Systems将成为重要的收购目标。

IMlogic有90名左右的员工。赛门铁克的Salem没有透露收购完成后是否会裁员

本文原文在 Telecom,Security and P2P

新年元旦假日，和正值追星岁月的外甥女胡乱谈起当前的星星们，莹莹大谈周杰伦，说特看不上“朴树”，我们大人都说还可以，然后就开始讨论他的姓是念 “Piao”还是念”Pu”，最后总结说原来人家希望自己的艺名是”朴素的树“，但是姓名中的”朴“却念”Piao“，于是他就成了”Piao”树。

说道”朴素“时，我的心里突然有一种异样的感觉，原来如此普遍、如此通用、在中学作文中使用频率绝对在Top10之内的一个词，当今为什么有那么陌生，恐怕现在各种媒体岁中都鲜有提及了。

莫非现在的“时尚”只有”奢华“，而”朴素“的流行却已“黄鹤西去”？

我只记得“朴素”曾经是我们的“时尚”，不仅现在的中学生们不认识了，恐怕社会的精英们、国家的高管们也都不忘记了。

注：本文原文在Telecom,Security and P2P

随着萨班斯法案符合性、在COSO、PCAOB、ITGI等的推荐下，原本就在IT治理大潮中惹人注目的CoBIT更加鲜亮。 前不久，CoBIT发布了新版本4.0，让我们来看看有什么样的新变化。

资源的改变：IT资源由原来的Data（数据）-Application System（应用系统）-Technology（技术）-Facility（设施）-People（人），变为Application（应用）-Information（信息）-Infrastructure（基础设施）-People（人），即技术和设施融合成了基础设施，包括硬件、操作系统、数据库、网络、多媒体，以及物理环境等。