爱看电影,爱做梦

        据国外媒体报道，Google在线安全博客近日表示，软件开发商应该在60天内修复安全漏洞，否则安全研究员将公开漏洞信息。
　　Google安全团队表示，安全界一直遵从的“漏洞披露责任”（responsible disclosure）政策并不符合最终用户的最佳利益。根据这项政策，安全漏洞信息应该被密码报告给开发商，开发商修复安全漏洞后，安全研究员才可以向公众披露漏洞信息。Google在线安全博客写道：“我们发现，很多开发商会援引‘漏洞披露责任’政策来拖延漏洞修复时间，甚至有拖延数年的情况出现。在拖延时间内，安全漏洞经常会被一些不法分子通过同样的工具和方法发现。”Tavis Ormandy是参与此次签名活动的Google员工之一。据悉，Tavis Ormandy于今年6月份向微软报告Windows XP存在的一个重大安全漏洞，5天后Ormandy便公布了漏洞分析报告和概念验证攻击代码。

http://qnote.blogbus.com/logs/65308599.html

前程无忧，前程堪忧，读了财报，发点牢骚。
一不思进取，
截至2010年3月31日，前程无忧持有的现金和短期投资达到人民币12.742亿元（约合1.867亿美元），
截至2009年12月31日为人民币12.147亿元。
这3个月，12亿现金，啥也没干，只是吃了点儿银行利息。

二靠天吃饭，
前程无忧一季度净利739万美元同比增436%，不是自己干的好，命好，竞争对手干的贼差。
真实原因有三：
1．互联网繁荣带来的自然增长：
更多中小企业采用网络招聘，排名第一的51JOB,自然分享了一部分投入。第一季度独立雇主数量达112245万个，
同比增长76.3%；但独立雇主平均贡献收入同比减少8.8%。因为，51JOB的服务没啥增值，不需要加大投入。
2．合理避税：
获得高新技术企业资格后，前程无忧2010第一季度有效税率降为22.8%，而去年同期是39.5%，税率降低了近一倍！
3．对手亏损：
智联招聘，2009年亏损9280万元人民币，连续亏损3年。
竞争对手这个怂样，前程无忧自然不用太搞市场和高薪挖人。
所以，2010年Q1，前程无忧的成本是1259万美元，居然同比下降了8%。
三抱残守缺
前程无忧，成也报纸+网站，败也报纸+网站。
中国互联网已经进入开心网和新浪围脖时代，而51JOB的营收依然坚持报纸与网站并重，不敢越雷池一步。
前程无忧今年一季度印刷广告业务收入为1353.2万美元，环比增长43%，同比增长31%，在总收入中的比重约为36.3%。
在线招聘业务收入为1607.3万美元，环比增长12.8%，同比增长60.9%，在总营收种的比重约为43.1%。
如此，左手倒右手，左脚向前，右脚向后，必然自乱阵脚，给颠覆者造反的机会。
四死守简历
简历和真人秀，那个更有前途呢？
51JOB定位在白领找第2份工作，比较合适。
人人网定位在大学生从上学那天起就开始找第1份工作，合适。
新浪围脖招聘定位在自由猎头和毛遂自荐，很合适。
地区招聘网站，定位在本地人才流动，更合适。

1)错误都是自上而下

当事情出现混乱的时候，人们总是寻求寄托于Process的制定，很多的管理者，觉察到事情的失控，却不明白根源所在，总是想制定、发明很多的流程、考核 制度，通过强制、固化、硬推这些流程，来扭转局面，把底层的员工，当做贼来防范、看待，结果是错上加错，人心散乱，局面更加不可收拾。

一个简单的思维逻辑就是，衣服扣错的时候，一般都是扣第一个扣子的时候，而不是你发现扣错的那个扣子。

所以正确的思维顺序应当是：成事在人，先有人，后有process，后有流程、考核、制度，出现错误，肯定是人犯了错，再美好的3P(Plan、Process、Project), 如果没有合适的人才支撑、实施、贯彻执行，都是没有用的花架子。

混乱永远都是自上而下，而不是从下面传染给上面，可惜很多的管理者都持有与此相反的混帐逻辑。

我的经验告诉我，大凡一个好的IT公司，必有一个牛逼的、有个人魅力的CTO(首席技术官)，大凡一个烂公司，必有一个昏庸无能、圆滑世故、东郭先生的CTO。这个规 律，大家可以从外企Microsoft、Google 到本土的阿里巴巴，淘宝看起，然后再看看自己所曾经任职的公司，就会有一个判断。

2)CTO要有技术魅力

CTO ，第一，首席技术官，技术要摆在第一位，很多人动不动就扯淡到商业远见之类的一边去了，现在讨论的是首要条件，没有技术，还不如叫CEO好了。

我现在还是很喜欢我的第一个公司，公司的CTO影响了我的以后的发展道路，我这几年一直始终不渝的走技术路线，都是受他的影响，这个公司的CTO有以下特点：

经常钻研技术，头发稀少，一门心思的走技术路线，由于在96-2000年间， 技术变化很快，从VB、PB、DELPHI、Java、DotNet，公司的历次重大技术架构转型，都是他带领下完成的，从上层就根本性的保证了没有歪门 邪气、勾心斗角这一说。
对技术的理解很深，对技术人才的理解非常深刻，选拔人才，组建研发团队，都是亲历亲为，所以选拔的PM、TL，自然不用说，不可能是庸才。接近他的 人，更不能是溜须拍马之徒，在公司发展很快的时候，项目越来越多，需要的PM、TL、PL也越来越多的时候，大量、快速涌入的人才，在经历过他和他的高层 技术团队这道铁闸门的时候，不至于冲毁公司的技术底蕴和文化氛围。
有个人魅力，坦诚，虽然脾气不好，但是同样会处理Politics, conflict, 而且就像农村门上的尉迟敬德门神一样，威慑了小人的兴风作浪。
我这几年起起伏伏的技术管理经验和大量Consultant的经验，使我见过、亲身经历过很多的公司兴衰成败，很多人觉得我对CTO的理解很肤浅，那反而是他们一错再错的根本原因。

我觉得CTO最重要的是热爱技术、理解技术、选拔技术人才，知人善任。至于后面的所谓的执行力、战略眼光、制定计划、精通各种Process、leadership，那是后话，只有前因才能促使后果。

我在深圳的一家大型电子商务公司做PM的时候，我得到了很多的东西，我在给传统企业做培训的时候，总是以他为案例。这个公司两年内经历三个阶段：

成立：公司在成立时，只有几十人，CTO是一个40多岁的从香港过来的，背景不清楚，初次印象是和蔼可亲，很有亲和力，由于母公司很有钱，所以公司靠着烧钱，扩展很快，一年半公司总人数已经达到了2000多人，技术团队快速的扩展到100多人。
混乱：这个时候，经过快速的扩张，公司已经彻底的乱掉，由于CTO不懂技术，根本不可能选拔到好的技术人才，只能依赖于猎头、HR，所以下面的部门经理，可想而知，一环套一环，他们和快速涌入、没有经过真正技术选拔的中层技术团队，构成了一副世间乱象。
改革：当出现混乱的时候，无论是再昏庸的人，也想恢复秩序，特别是团队中还存在有一些好的、有良知技术中坚分子，率先想扭转局面，规划配置管理，构建 架构师团队，组建测试团队，构建测试体系，根据电子商务网站特色，引入合理的从用户需求到开发、测试、上线的发布体系，虽然这些都是底层的措施，不能从根 本上改变局面，但毕竟是从局部给开发者、跟用户一个新的气象。但是混乱还是在继续肆虐，高层的领导有引入了很多的所谓的擅长流程改进的管理人才，由技术派 提议组建的CTO架构师团队，由没有技术把握能力的CTO亲自担纲主抓组建，主架构师是原来给华为做外包的一个工程师，最后直接造成公司的新版本，一个 80多人的开发团队，一年半才上线。所以改下不改上，必然要失败。
这个公司在母公司的支撑下，换了一个CEO，还在顽强的生存着，我时不时的都要到网站上转一圈，我还能看到那些是我的心血，真的是无奈又无奈啊，我曾经下定决心要干一辈子的公司，我真的非常希望他们能走出困境。

3)招募CTO，不要贪图名气

我想对所有招募技术人才的负责人说：

不要招募自称擅长流程改进的纯管理人才，没有技术经验的支撑，根本就是赵括谈兵，浮沙盖楼，这是铁血经验，不服气的尽可以去招募这些人对公司进行自杀式攻击。
招募CTO，不要招募什么海归派、博士、大企业的高层管理者，骗人的概率在5成以上，即使是大企业的管理者，他们对技术早已经麻木，长期的莺歌燕舞， 天下太平，对于技术的感觉已经丧失殆尽，实际上已经变成了寄生于庞大组织架构之上脑满肥肠之徒，离开了这个环境，根本就生存不了多长时间。现在他们最擅长 的不是技术，反而是Relationship，对于圆滑世故、公司政治、客户公关、开会讲话、太极推手、妥协、平衡术之类的东西，已经是炉火纯青。最可怕 的是已经没有敏锐的判断力、果敢的决策力了。
如果你需要CTO，尽量从公司内部寻找，寻找那些正直热血、愿意公司向好、有良知的、有思想视野开阔的、追逐技术的的人。如果确实没有，再向外撒网。
崇尚大牌，一般都是自取灭亡。土生土长的好处是，实用、务实、谦虚、从水深火热中出来，对问题的理解比较深刻，不激进，不冒进，不烧钱，不会动不动就来个翻天覆地的所谓的大变革、大手笔。
4)只有懂技术的CTO才能处理好技术与管理的因果关系

非常讽刺的是，鄙视技术和敬畏技术的人和公司，总是一体的，总是会让技术给搞的头破血流，把技术和管理搞的一团糟总是同时出现的：

我经常给中小企业做技术咨询，我发现很多传统企业的老板，把自己几百万元的家底投向IT时，被组建的IT团队哄的团团转，最后血本无归。
很多的外资企业很有钱，但公司内的IT项目，每年的预算达千万，但却很少成功，全流向了外包公司的腰包，不要说国企存在乱花钱上项目，花了很多钱上了 后没人用，外企业一样，做好的项目历经磨难上线后没有人用的现象，层出不穷。像HP、索尼之类的跨国企业内，遗留项目多如牛毛。HP曾经新上任的CIO， 曾经大刀阔斧的砍掉遗留系统，也没见出什么人命，这其实就是生态链，没有用户需求的肆虐，就没有外包的蓬勃发展。
由于技术混乱造成的管理成本，远远大于市场上拿到一个新单所带来的收益。
很多老板只知道从办公耗材、卫生纸的节省上来降低运营成本，却永远都意识不到技术改进，所带来的增效减员、成本降低的威力所在。在IT当中，最大的投 入、最大的成本就是人。企业运营的第一目的就是为了Productivity, 而提高Productivity，首当其中就是改进人，改进人对技术理解的思想意识。
推崇管理的人，竭力想摆脱对技术的依赖，结果却发现，认为懂技术，就一定不懂管理，懂管理，可以不要技术的思想是多么的Stupid.
想正确的处理好管理和技术的因果关系的有识之人，都可以研究外包公司的运营状况，以他们做案例，我曾在一家外企做架构师、咨询师、BA的工作，负责对外包企业发包。全流程的跟踪项目，使我近距离的接触到了外包企业，我发现：

需要技术却非常蔑视技术的技术公司，是外包公司
技术人员不喜欢技术，自轻自贱，自己看不起自己的现象最严重的也是外包公司
最崇尚流程管理、流程制度最多最严酷的而管理最混乱、最龌龊的也是外包公司，
每年人才流动率最高的也是外包公司，
外包公司中流动人才中站绝大多是的是技术人才。
外包公司中绝大多数的工程师的梦想是做管理职位的PM。
最后的结果是，外包公司中最有技术含量的职位，CTO、BA、QA、Achitect、TL，是技术上很平庸、对技术理解很肤浅的人。
有讽刺、有矛盾意味的是，外包公司的高级技术职务，给的薪资很高，一两万都是正常的，远高于传统软件公司中货真价实的技术人才的薪资。
5) 好的CTO有识别人才的能力

很多人曾经雄心壮志的说，有一天我有一个好的Idea, 然后驱动一批人，去实现这个Idea, 事实上VC那里，每年都有成千上万的项目，都号称有一个很好的Idea, 现在只缺钱，别的什么都不缺。

事实上错的离谱，VC考察的不仅仅是你的项目，还要考察你的团队。正确逻辑的应当反过来，Idea不缺，钱也不缺，缺的是人才，你有一个好的Idea, 你有没有能力、有眼光、有判断力去找到人呢，即便你找到了，你也不想一想，你凭什么认为他是个高端的人才，那些高端的人才为什么要到你的小庙里来，你有这 个判断力吗。

所以我说，技术人才的选拔是从CTO开始，而CTO最重要的职责，就是网罗合理的技术人才。仅仅从大牌、知名度、学历上衡量CTO，太肤浅了。选拔 CTO，多一点务实、清醒的判断，多了解一些好的CTO是怎么成长起来的。阿里巴巴、淘宝的CTO、COO都是从做网页出身的，一步一步起来的，一行一行 代码写出来的，根本不是满口Large-scale、High-Performance、Distributed、UML、CMM、Architect之 类的没有写过几行代码的秀才出身。

当然现在阿里巴巴、淘宝架子大了，现在的架构师中，假的、不入流的也很多，这世界没有阳春白雪，判断力是最重要的。

随着第三方软件安全威胁的加大，微软明年将会加大软件安全开发生命周期在中国的推广力度。
“我们有一个统计数据表明，出现的所有的安全漏洞里面，整个比例中，跟操作系统有关的漏洞应该是少于9%，我记得在08年的时候，这个比例是6%，与此同时，和应用软件相关的这个漏洞占了90%到94%。”微软大中华区战略安全官裔云天说。

裔云天解释说，大的操作系统厂商在安全性方面投了很多的精力，对于很多黑客来说，攻击操作系统变得越来越困难，他就把这个目标转移到应用软件，因为应用软件的开发是由很多的第三方来开发，而这些第三方开发者往往缺乏对于安全性的考虑。

为提升产品安全性，微软在产品开发中引入了软件安全开发生命周期(SDL)这一概念。裔云天说“它一共分为10个阶段，这10个阶段，从它的设计，包括它里面有一个最重要的一点，叫威胁建模。我们在网站提供了一个软件，当你设计软件的时候，你可以用那个威胁建模的软件来评估一下，您这个软件可能有的安全威胁在哪里？然后，针对这个安全威胁，你后面设计你的软件整个流程的时候，应该怎么做？”

裔云天透露，微软目前也正跟CC国际标准组进行合作，把SDL能做为其中一个重要部分，使其成为一个标准。

在美国、英国等地，微软已经展开了SDL的培训计划。在中国已经有很多大的机构已经采用SDL，但是，因为没有大规模地进行推广。”“我们可能会通过软件园培训等多方面进一步推广SDL，这也是我今年工作的一个重点。”裔云天说。

1.去掉apache不必要的模块

2.修改apache的连接数默认配置

3.开启gzip压缩

4.使用memcache

5.使用最新版本的内核

6.修改系统的网络内核参数 优化网络性能

 安装虚拟机后，在同一个网络的真实机器可以监听到 虚拟机和其它机器交换的数据包。

很多企业都将虚拟机当做测试机器，如果被人利用，很容易获取到很多有用信息。 这是一个很大的风险。

安全软件厂商卡巴斯基实验室发布了2010年网络威胁预测，对明年的安全状况的性质提出了6项预测。
第一，卡巴斯基预测来自文件共享网络的攻击将增长，网络攻击将从通过网站和应用程序转向通过文件共享网络。
第二，通过P2P网络传播的大规模恶意软件感染将增长。这个预测指出TDSS和Virut在2009年采取了这种攻击方式，预计这种攻击方式会更广泛地利用。

第三，僵尸网络拥有者建立的半合法的、灰色市场计划的增长。这些所谓的合作伙伴计划能够让僵尸网络拥有者在没有明显犯罪的情况下从发送垃圾邮件、实施拒绝服务攻击或者发布恶意软件中获利。

第四，假冒的杀毒软件程序将减少买，如Conficker蠕虫。假冒的杀毒软件市场现在已经饱和，犯罪分子的利润已经下降，

第五，犯罪分析将利用“Google Wave”作为攻击工具，首先发送垃圾邮件，然后通过钓鱼攻击或者传播恶意软件继续实施攻击。

第六，对于iPhone和Android平台的攻击将增长。这篇报告称，Android平台特别容易受到攻击。运行Android操作系统的手机的日益流行以及缺少对保证第三方软件应用程序安全的有效的检查将导致出现许多引人瞩目的恶意软件爆发。

网友预测：第七，卡巴斯基将持续自己巨卡的风格，继续卡，永远地卡下去。。。

每个人都有自己从业的小故事！每个平凡的人，都有不平凡的故事！

逛论坛时日尚短，常见不少《淡信息安全的职业发展》《再淡》此类的文章，这都是大牛们才有此类的感触。咱小白一个，没啥可写。就想谈谈怎么走上这条道的，在这个路上发生的小故事，有趣的故事。故事最能教育人，我可不教育别人，纯当自娱自乐。

有一哥们，签名档永不变的是“少壮不努力，长大做IT”，虽无一杆子打一船人之意，但至少我是切肤之痛。

一、当我们填报高考志愿时

手拿一本厚厚的《高考志愿填报指南》翻了个稀巴烂，MS也找不到信息安全专业。俺当年就读是文科，选的专业是神圣的法律，畅想着做一个匡扶正义的法官。读了几年法律，才发现我们国家的法律是多么烂，大环境是多么地差，一点不比信息安全的大环境差，甚至有过之而不及。

二、混在大学

嘿嘿，俺不代表所有的同志们，俺是混在大学。法学专业上的都理论，也边社会实习，哇，社会黑暗啊。

因为家里有个学计算机专业的老哥，我在高中时，99年左右就开始接触电脑了。在暑假里愣是用小霸王学习机，把标准的键盘指法练会了，把王码五笔学会了。大学里学计算机的老哥，都不会五笔，自此小脑袋里，认为自己对计算机灰常有天赋。接下事就是杀红色警戒，后来就聊OICQ（Oh,I Seek You）聊OICQ有个好处，指法熟了，五笔熟了，打字快了。为什么呢？因为我打字不快，没有女孩跟我说话。

进大学了，混到02年，OICQ也摇身一变成了QQ，这一年腾讯公司也开始限制申请QQ号，要卖钱，好像2块钱一个号。同学们都没有QQ号，俺在班里乃至系里挑起这个重担，负责给同学申请QQ号。经过几个晚上的通宵，仍能申请到的号，僧多粥少。就到网上搜索（好像那时没有百度，我当时用的是雅虎搜索。现在有一个视频是范伟给雅虎拍的广告，很搞笑）得出的结论是，要致富，必有横财！从此走上我盗QQ之路。一开始在学校里的机房里装木马，而盗来盗去，都是校友的QQ号，居然有一次，我正在修改盗来的QQ号密码，旁边有一同学，雷吼一声“操，哪个混蛋偷了我QQ号”震得耳鸣三日，那吼声绕梁三日而不绝。此后未敢踏入机房。

转换阵地，我坐上公交车，找了一个离学校N远，且我校学生必不会去的网吧，种下可爱的木马。大的问题又来，可恨的美苹、万象怎么破？网吧分有盘系统、无盘系统怎么破？经过几个彻夜不眠，攻克难题，我成了法律系的英雄人生，计算机高手，很多的同学，GGJJMMDD，都来找俺预订QQ号，那网吧也争气，生意出奇地好，总是不断有人来上网，QQ号和密码源源不断地发送到我的信箱里，也源源不断地到了同学们手中。
其中不乏有些好号码，5位，6位，7位。俺截留在手中，可是狗日的TX没多久，都给俺收回了。

这算不算，俺第一次接触信息安全。虽然那时并不懂它为何物。同时也对网吧系统产生了兴趣。

三、札在电脑城

此后，法律课堂上，少见我的身影。混在了电脑城，开始是好奇，好学，后来慢慢发现买电脑同学越来越多，而且他们都不懂，都被电脑城里的人忽悠。我就自告奋勇做顾问，帮同学们装机。不法JS开始诱惑我，说我若带一个同学在他那装机，给我100左右小费。在03年，04年里百元大钞相当有魅力，革命的立场开始动摇了，但却本质不变，保证同学的电脑是新货好货，并在学校里承担里这些DIY机的售后服务，另一头JS按服务单据一台电脑一次给10块钱的服务费。当年俺小发一笔，常请室友下馆子。

另一方面，初进电脑花600块，给自己攒了台二手机，配置如下：赛扬667,内存128M,硬盘20G，15寸CRT，还有一对小音箱。就是这台电脑，给我们寝室带来欢笑，室友买黄碟，居然趁我不在时，邀三哟五地来看片，那个扎堆的人啊……，不堪压力，在学校张贴告示，忍痛割爱，卖了电脑。
但俺是以1000元的价格出售，最后好像是900成交的。把电脑抬他寝室去时，开机还点不亮，内存报警响个不停，当场我折下内存，用橡皮擦了下，重新装回，开机点亮了，“嘿嘿，没事的，刚才搬动时，撞着了”

哇，人生的第一桶金啊

四、临近毕业

转眼在电脑城混了两年，也临近毕业了。虽偶尔也去计算机系的课堂上客串下，但终归是法学毕业，将来方向何在？面临同学们一个个考研，考公务员，考司法的，我不听家人劝阻，毅然进了IT行业，在电脑城找了家公司是讯宜分部，很多硬件产品总代。在那个DIY的时代，炒货的时代，老板大发横财，俺最大的成就是成了刷BIOS高手，自豪地将自己的相片刷进主板BISO，开机眼前一亮。臭美的人！

敏锐的老板开始嗅到DIY的没落，学生最大的市场消退。初生牛犊不怕虎，我大胆给Boss建议：地区品牌电脑。利用总代的优势，直接将组装好的电脑卖给学生，用料好，拷机，包装统一LOGO，刷主板BIOS开机统一标识，连操作系统XP都统一带公司LOGO，配送自制系统GHOST光盘（后来我也做过一份，因好玩），发展学校网点的售后服务。05年的时候，品牌机还未在我们内陆城市洪水泛滥。可BOSS未采纳（现在一直认为当时想法，有眼光，唉，可能……）对于有些大牛来说，05年已经开始做安全了，俺是自愧不如，拜服！

一怒之下，恨转做网吧系统，VOD系统和酒店管理系统，也慢慢接触网络了。在斯普林系统占据市场的情况下，要突破它。自行掌握了网络克隆技术，曾有两次以此赚外快，代人网克几百台电脑。曾一段时间与人开了个黑网吧，在一个小小的城市，在网吧流行的年代，可谓是日进斗金。俗话说，朝中无人，不好办事，政府的扫荡黑网吧，费用心机，散尽钱财，无奈官证办不下来，忍痛割爱，转战大都市。

五、转战大都市

我在江湖，江湖却没有我的传说。出来才知道俺太渺小了，太无知了，山外有山啊。拿着CCNA证书，无法找工作。得有幸进了一家IT乙方公司，从事信息安全。除了学习还是学习，一切变得中规中矩，毫无建树。各个厂商的证书倒是考了一些，都是基于产品的。如Juniper JNCIA，TrendMicro，Checkpoint CCSA，没往高处考，因为无知！这期间的工作内容，大牛也是再熟悉不过了，就不再描述。

干了三年，思考着换了家安全厂商，接触面又更多一点，老老实实再干了二年，碌碌无为。

六、信息安全的职业方向

下一步方向是哪？方方面面的因素，大牛都讨论过了，小白的我，不敢多言。就个人而言，我想还是根据马斯洛的需求理论来，再结合各人要求来定，应该比较好。