爱看电影,爱做梦

2007年10月13日

忽悠体系认证 (zz)

类归于：信息标准 — kermit @ 13:46

呵呵，这个可以忽悠的地方太多了，最近刚刚写了篇忽悠的文章，贴出来供参考：?

最近在体系认证在国内掀起高潮，大有扎堆生孩子的趋势，笔者结合自己的认识，谈点自己的感受。我认为理解体系认证，需要有如下的这些认识：
1.分类文明。“人类的文明是从分类开始的！”这是我还在读书的时候，讲授CC课程的一位老教授说的，给我的启示很多。面对复杂的东西，最简单的办法就是“分而治之”。其实分类的概念起源也在我国，早在2000年前的春秋战国时期，孙子就在军事中实施这种方法了。把队伍排成方队，看一下余数就得到了总数，2000年后的美国巴顿还在数“one two three….”呢。可惜的是我国的分类用在了对付人身上。分类无处不在，网络结构如此，软件工程如此，风险评估也是如此，就是体系文件结构也是分层的。分类是一种方法学，是马克思的哲学思想，“抓主要矛盾、找矛盾的主要方面”，分类也是一种方法。有了分类，人类就有了解决复杂系统法宝，但是分类的接口就显得很重要了，网络安全的关键点在“飞地”，体系文件的关键点在SOA。
2.深度防御。美国文明提出的IATF框架，是理解安全的一个高屋建瓴的思想，见下图。

这个模型给了我如下几点启示：
(1)“没有绝对的安全”。既然安全是相对的，如何去防御？看看中国的紫禁城就知道了，长城－护城河－外城－内城－禁宫，护林军－大内高手－太监……，要想神不知鬼不觉地通过这些防御，我想只有神了，真不知道吕四娘是如何取下雍正的头颅的。
(2).安全是技术和管理的结合体。这是众所周知的事情了。人操作技术实现组织目标，同样人也可以通过技术破坏组织计划，不管是有意还是无心。
(3).安全是个层次结构。这就是分类思想的体现，不多罗嗦了。
(4).安全需要一个成熟的组织架构。没有一个好的组织架构，就没有一个有效的管理，更谈不上安全了，体系认证更是无从说起。
(5).安全的木桶原理。安全水平以最短的积木为准。“小问题大隐患”就是这个道理。
3.“人是危险的”。小的时候看恐怖片，并不害怕鬼神，我看“画皮”的时候没有害怕，可是回家的路上被迎面而来的老太太吓晕了。国外的法律也好，标准也好，出发点就是“人是危险的”，小心枕边人。不管你是“厦大”的还是“电大”的，都要承认这个事实。所以在这个假想敌的前提下，提出体系枷锁。一句话就是“控制＋审计＝业务连续性＋信誉”。
还是2000年前，中国也发生了儒家和法家之争，最后还是儒家占了上风，统治了中国2000年，我游览孔府的时候，还看到那个用黄布裹着的巨型柱子，听过比紫禁城的还粗，由此可知孔子对中国的影响力有多大。中西文明的碰撞又一次降临到体系认证的身上，请问您站在哪一边？
4.体系认证是以“风险管理”为核心的。这就是为什么一提安全就讲“风险评估”的原因了。其实这个早在2000年的中国也有这种思想了，“知己知彼百战不殆”。如果都不知道自己要保护什么、威胁是什么、弱点在哪里、风险有多大，怎么搞体系认证呀。这是地球人都知道的道理。
5.理解企业是关键。赵本山说的小品中有一句很有意思的话：“好人我给他忽悠瘸了”，这就是售前干的事情。很多企业都是在N多的售前忽悠下，把自己的先前目标忘记了，“俺到底要干什么来着？”。有个资深顾问说的好“访谈是最有技术的活！”，还原企业先前愿望，考验着每个顾问的智商。如果连企业的目标都没有搞清楚，那事情就危险了。同样在实施过程中如何理解企业的组织架构、人员角色、业务目标、文化特点等决定着体系认证的成败。
6.体系认证是知识传递的过程。大家都在讲“授人以渔”，如何授就有难度了。大到企业的管理水平跟不上，组织结构不合理、人员角色分工不明确，小到安全意识的培养、文件体系的建立等等。如果有人跟你说，“认证就是写好文档show给人家看”，那我建议你直接去做个假证给人家看得了，没有什么区别。
7.体系认证是全员得活动。如果仅仅把体系认证看做是IT部门的事情，那就没有办法做了。全员中最重要得是两端，没有高层得支持，就没有资源，无法协调和沟通；没有底层的执行，就无法落地、实施和运行。
8.体系认证是个花钱的买卖。不要说咨询费用了，认证费用也挺费银子的。如果是国家认监委能够把体系认证国产化，那能为国家节省多少费用呀。都加入WTO了，这点还是应该容易办的。其次就是企业实施这个认证是否值，如果不能从认证中获取效益，那么认证也只是一纸空文。
9.多种体系认证齐头并进。以安全为核心，推进企业的IT服务等领域。特别是在中国目前的状况下，外包是个大蛋糕，也是国家发展的重点。所以能够在安全的带领下，同时实现IT服务、等级保护、国内法律法规的合规性等，是个一举多得的好事。
10.体系认证本身也是有风险的。都说“外来的和尚好念经”，确实如此，毕竟企业自己是“雾里看花”，第三方咨询和认证可以以一个独立性的角色直击企业缺点，但是这有点象红楼梦中的晴雯，是否能承受的了虎狼之药还是个问题，企业是否能经受“僵化、优化、固化”的考验？另外体系实施过程中的信息泄密、评估的风险、安全事件泄漏对企业形象的影响等，都是要仔细考虑的问题。
有了这些认识，剩下的就是按部就班的去作了，对照标准流程来吧。啰里八嗦的讲了一大堆，俺在讲什么？您是否有被忽悠的感觉呢？！

2007年10月6日

婚外情

类归于：偶尔感慨 — kermit @ 22:55

并不是发生婚外情的男人或者女人本来就有这种想法，很多情况下是一种氛围，一种流动在两个人之间的那份暧昧气息，这种状况犹如一张纸早晚会捅破。

当然这不是任何出轨的借口。

2007年08月31日

昨天公交车上母女的对话

类归于：偶尔感慨 — kermit @ 20:28

?母女由孩子表姐的男朋友谈起….

母：找个有钱的…
孩: 愿意找有钱的你自己去找
母沉默了一会：他有房子吗？
孩不耐烦：有
母：现在你不听以后你就后悔了
孩：我和我姐最反感你说找有钱的
母：有你们后悔的那一天
孩: 只要不找我爸那样的就行

2007年08月5日

摩根大通银行IT风险管理经理的一天

类归于： IT新闻 — kermit @ 20:29

When you’re a security executive for one of the world’s largest financial institutions, it’s never a 9-to-5 workday. Here’s a look at the typical day for Anish Bhimani, managing director of IT risk management for New York-based JPMorgan Chase.

For Anish Bhimani, Tuesdays are his busiest days, and he tries to work from home on Fridays whenever possible. But his work week never really ends as he continues to keep up on e-mails throughout the weekend and take calls from the operations group when necessary. It’s a tough job, day in and day out, but the JPMorgan Chase managing director of IT risk management is up to the challenge.

Between 4:00 to 4:45 a.m.: Wakes up and gets ready for work.

5:30 a.m.: Leaves his New Jersey home and begins his morning commute.

6:00 a.m.: Catches the ferry to Manhattan.

6:30 a.m.: Arrives in his New York City office. Checks e-mail, reviews expense reports and tackles other administrative tasks for the first 30 minutes of the day.

7:00 a.m.: Takes the subway to another JPMorgan Chase building in midtown Manhattan.

7:30 a.m.: Attends a weekly senior management metrics meeting, where production and control issues from the previous week are discussed with business CIOs and senior executives.

9:30 a.m.: Attends an IT risk staff meeting, where budgets are reviewed, and HR and communication issues are discussed. The meeting breaks around 11:30 a.m.

11:30 a.m. to 1:00 p.m. Catches up on e-mail and returns phone calls. Eats lunch at his desk. (Lunches often involve one-on-one meetings with staffers.)

1:00 to 2:30 p.m.: Participates in a privacy committee meeting.

2:30 to 3:30 p.m.: Attends a meeting to discuss the response to a regulatory exam.

3:30 to 5:00 p.m. Leads a monthly review on security initiatives.

5:00 to 5:15 p.m. Reads his e-mail; answers staff and colleague inquiries.

5:15 p.m.: Leaves the office to catch the ferry. Reviews documents on the ferry.

6:30 to 9:00 p.m.: Arrives home, spends time with his wife and two children.

9:00 to 10:30 p.m.: Participates in conference calls with business associates in Asia and elsewhere.

10:30 to 11:00 p.m.: Goes to bed.

2007年07月25日

伪装成Google Bot突破收费网站页面

类归于：技术文档 — kermit @ 22:13

为什么有的网站能够被Google搜索到，点击链接进去以后却显示“未注册”、“还不是会员”呢？这是一种网站专门针对对搜索引擎优化的技术。

那么我们也可以伪装成搜索引擎来进入这些页面。我们需要的是修改浏览器的User-Agent值。下面以Internet Explorer为例说明：

把下列代码保存为 ua.reg，双击导入到注册表中：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent]
@=”Googlebot/2.1″
“Compatible”=”+http://www.googlebot.com/bot.html”
这样我们就可以突破一些被封锁的收费内容页面了。

Firefox用户可以去下载一个名字为 Agent-Switcher的插件，把User-Agent修改成 Googlebot/2.1 (http://www.googlebot.com/bot.html) 就行了。

转载的 . 觉得这还是有一定创意的.

2007年07月22日

八戒的西游心路

类归于：电影与梦想 — kermit @ 11:15

一样的黄昏,一样的山头,不知道山后面是不是一样埋伏着新鲜出炉的麻辣妖怪.

我不知道师傅他们也不知道.沙师弟经常傻忽忽地问;二师兄,西天什么时侯到啊?我总是呵呵的回答;小鸡长大了变成了鹅;鹅长大了,就变成了羊;羊长大了,就变成了牛;等牛长大了,西天就到了.

每到黄昏,我们会找个阴凉的地方落脚.然后,大师兄照例出去化斋,沙师弟照例背他的GRE2000，我照例躺下来想我的女人，而师父却躲在一边发邮件向观世音菩萨汇报考察心得，随便打我们的小报告，这是我学会黑客后偶然偷窥到的。我鄙夷地砸了他几个白眼；长得帅又怎样，我很丑，可是我很男人！

有妖怪的地方一定有麻烦，有麻烦我们就有生意。花什么时间开是有季节的，妖怪什么时间到，却没有人知道。因此我们4人精神高度紧张，药王菩萨诊断我们处于亚健康壮态。针对除妖工作，师傅的指导鲜明；有条件要上，没有条件创造条件也要上。

每逢这种场合，大师兄总是冲得最快，搞得我和沙师弟很没有面子。很快，我就怀疑他是主动寻死，为了紫霞仙子，那是一滴留在他心里的泪。让一个人死，最痛苦的方法就是杀掉他的最爱。有些人离开之后才发现立刻的才是自己的最爱。所以，大师兄生不如死。

以前没有事情的时侯，我会望向广寒宫；现在没有事的时间，我会望向高老庄。那时幼稚，后来才明白嫦娥姐姐就跟那些明星一样，只有香港的霍家和李家公子才配得上。高老庄那个，才是和我生群胖娃娃相亲相爱白头偕老的人。

那次，唐一个人去化斋，我就觉得不对。当我第二天进入盘丝洞看见他和那些蜘蛛精还在巫山云雨时，我第一次发现这个白面书生的精力真好，我的第二反应是退到洞口。让领导发现我抓住他的小辫子，可不是一件好事。

过了半天，唐仓皇地跑了出来，看见我说；八戒后面有妖怪追我。成功者和失败者最大的区别，就是成功者能够抓住身边的机会，而我抓住了，从那以后，唐再也不骂我了，这一点饱守紧箍咒的大师兄既羡慕又妒忌。他当年大闹天宫的霸气已经荡然无存了。是他改变了世界，还是世界改变了他，答案一目了然。

人生啊，人是人生的人，生是人生的生。。。。。。。。

2007年03月15日

设置 DX3650 Cache和AppRule

类归于：技术文档 — kermit @ 12:31

常用的PHY:

http_reply_code equals “200″ and reply_header “Content-Type” equals “text/css” then cache “3600″
http_reply_code equals “200″ and reply_header “Content-Type” equals “application/x-javascript” then cache “3600″
http_reply_code equals “200″ and reply_header “Content-Type” equals “application/x-shockwave-flash” then cache “300″
http_reply_code equals “200″ and reply_header “Content-Type” contains “image”? then cache “3600″

2007年03月14日

今天做青蛙实验,才知道自己被骗了13年

类归于：历史 — kermit @ 22:13

发信站: 生命玄机 BBS (Fri Mar ?9 12:05:50 2007)，WWW信件

中学时候,老师告诉我说把一只青蛙放在开水里,它会马上跳出来,而把它放冷水里,再
把冷水慢慢烧开,青蛙就会因为察觉的晚,而来不及反应,会被烫死在里边.
以这个寓言,告诉我们要保持革命主人翁的艰苦奋精神,不要被资本主义的腐朽思想麻
痹,而我一直以为是对的
但今天我给学生真的做这个实验的时候才知道,根本不是这么回事,我把青蛙丢开水里
的时候,青蛙一下去就翻肚皮死翘翘了,而先把青蛙放在冷水慢慢烧,那水温度一变化,那青
蛙跳的比谁都快
害的我被我的学生狂笑,郁闷。

2007年02月27日

Cisco 2950 升级 IOS

类归于：技术文档 — kermit @ 21:35

flash_init
load_helper
set BAUD 115200
copy xmodem: flash:c2950-i6q4l2-mz.121-22.EA9.bin

conf t
boot system? flash:c2950-i6q4l2-mz.121-22.EA9.bin
exit
write
reload

2007年02月11日

信息安全国家标准目录（2007年1月31日更新

类归于：信息标准 — kermit @ 09:26

http://www.cesi.ac.cn/datumview.aspx?sort=5&id=5091

序号
标准号
标准名称

2002年前制定的信息安全标准21项

1.
GB/T?15843.1-1999
信息技术?安全技术?实体鉴别?第1部分:概述

2.
GB?15843.2-1997
信息技术?安全技术?实体鉴别?第2部分:采用对称加密算法的机制

3.
GB/T?15843.3-1998
信息技术?安全技术?实体鉴别?第3部分:用非对称签名技术的机制

4.
GB/T?15843.4-1999
信息技术?安全技术?实体鉴别?第4部分:采用密码校验函数的机制

5.
GB?15851-1995
信息技术?安全技术?带消息恢复的数字签名方案

6.
GB?15852-1995
信息技术?安全技术?用块密码算法作密码校验函数的数据完整性机制

7.
GB?17859-1999
计算机信息系统?安全保护等级划分准则

8.
GB/T?17901.1-1999
信息技术?安全技术?密钥管理?第1部分:框架

9.
GB/T?17902.1-1999
信息技术?安全技术?带附录的数字签名?第1部分:概述

10.?
GB/T?17903.1-1999
信息技术?安全技术?抗抵赖?第1部分:概述

11.?
GB/T?17903.2-1999
信息技术?安全技术?抗抵赖?第2部分:使用对称技术的机制

12.?
GB/T?17903.3-1999
信息技术?安全技术?抗抵赖?第3部分:使用非对称技术的机制

13.?
GB/T?17964-2000
信息技术?安全技术?n位块密码算法的操作方式

14.?
GB/T?18019-1999
信息技术?包过滤防火墙安全技术要求

15.?
GB/T?18020-1999
信息技术?应用级防火墙安全技术要求

16.?
GB/T?18238.1-2000
信息技术?安全技术?散列函数?第1部分:概述

17.?
GB/T?18238.2-2002
信息技术?安全技术?散列函数?第2部分:采用n位块密码的散列函数

18.?
GB/T?18238.3-2002
信息技术?安全技术?散列函数?第3部分:专用散列函数

19.?
GB/T?18336.1-2001
信息技术?安全技术?信息技术安全性评估准则?第1部分:简介和一般模型

20.?
GB/T?18336.2-2001
信息技术?安全技术?信息技术安全性评估准则?第2部分:安全功能要求

21.?
GB/T?18336.3-2001
信息技术?安全技术?信息技术安全性评估准则?第3部分:安全保证要求

信安标委成立后制定的信息安全国家标准33项

22.?
GB/T?19713-2005
信息技术?安全技术?公钥基础设施?在线证书状态协议

23.?
GB/T?19714-2005
信息技术?安全技术?公钥基础设施?证书管理协议

24.?
GB/T?19715.1-2005
信息技术?信息技术安全管理指南?第1部分：信息技术安全概念和模型

25.?
GB/T?19715.2-2005
信息技术?信息技术安全管理指南?第2部分：管理和规划信息技术安全

26.?
GB/T?19716-2005
信息技术?信息安全管理实用规则

27.?
GB/T?15843.5-2005
信息技术?安全技术?实体鉴别?第5部分：使用零知识技术的机制

28.?
GB/T?17902.2-2005
信息技术?安全技术?带附录的数字签名?第2部分：基于身份的机制

29.?
GB/T?17902.3-2005
信息技术?安全技术?带附录的数字签名?第3部分：基于证书的机制

30.?
GB/Z?19717-2005
基于多用途互联网邮件扩展（MIME）的安全报文交换

31.?
GB/T?16264.8-2005
信息技术?开放系统互连?目录?第8部分：公钥和属性证书框架

32.?
GB/T?19771-2005
信息技术?安全技术?公钥基础设施?PKI?组件最小互操作规范

33.?
GB/T?20008-2005
信息安全技术?操作系统安全评估准则

34.?
GB/T?20009-2005
信息安全技术?数据库管理系统安全评估准则

35.?
GB/T?20010-2005
信息安全技术?包过滤防火墙评估准则

36.?
GB/T?20011-2005
信息安全技术?路由器安全评估准则

37.
GB/T?20269-2006
信息安全技术?信息系统安全管理要求

38.
GB/T?20270-2006
信息安全技术?网络基础安全技术要求

39.
GB/T?20271-2006
信息安全技术?信息系统通用安全技术要求

40.
GB/T?20272-2006
信息安全技术?操作系统安全技术要求

41.
GB/T?20273-2006
信息安全技术?数据库管理系统安全技术要求

42.
GB/T?20274.1-2006
信息安全技术?信息系统安全保障评估框架?第一部分：简介和一般模型

43.
GB/T?20275-2006
信息安全技术?入侵检测系统技术要求和测试评价方法

44.
GB/T?20276-2006
信息安全技术?智能卡嵌入式软件安全技术要求（EAL4增强级）

45.
GB/T?20277-2006
信息安全技术?网络和终端设备隔离部件测试评价方法

46.
GB/T?20278-2006
信息安全技术?网络脆弱性扫描产品技术要求

47.
GB/T?20279-2006
信息安全技术?网络和终端设备隔离部件安全技术要求

48.
GB/T?20280-2006
信息安全技术?网络脆弱性扫描产品测试评价方法

49.
GB/T?20281-2006
信息安全技术?防火墙技术要求和测试评价方法

50.
GB/T?20282-2006
信息安全技术?信息系统安全工程管理要求

51.
GB/Z?20283-2006
信息安全技术?保护轮廓和安全目标的产生指南

52.
GB/T?20518-2006
《信息安全技术公钥基础设施数字证书格式》、

53.
GB/T?20519-2006
《信息安全技术公钥基础设施特定权限管理中心技术规范》

54.
GB/T?20520-2006
《信息安全技术公钥基础设施时间戳规范》

Pages: Prev 1 2 3 ...22 23 24 25 26 27 28 29 30 31 32 Next

« 较近文章 — 早前文章 »