不停歇的脚步

新年上网留点神

互联网暴了一个还没有补丁的漏洞--Windows GDI32.DLL WMF 渲染引擎代码执行漏洞，涉及2000，XP，2003，后缀为WMF的图像由系统的GDI32.dll解析，可以导致图像文件中的数据当作代码来执行，漏洞的通用性很强，可以构造出对各个版本windows系统都可以有效利用的代码，而且不仅仅是IE，对于Oprea、Firefox，最终还是会调用这个dll的PlayMetaFile（）函数来处理，如果有人构造一个WMF放到网上，你的机器就有可能被控制，甚至部分看图软件也会受影响（如XNView）。

临时解决方案可以反注册 shimgvw.dll,在命令行里执行：
??? ASSOC .wmf=""
??? ASSOC .emf=""
??? regsvr32 /u shimgvw.dll

更多详情可以访问绿盟科技紧急通告。

信息来源：绿盟科技网站

posted on 2005-12-31 10:32:00 by adam  评论(0) 阅读(3886)

生日快乐

今天是我的阴历生日，对于生日，传统的我向来只过阴历的，也不知是哪根筋不正常，一大早就睡不着了，早早地爬了起来，到公司后就发现天上已经飘起了雪花，这应该是北京今年最大的一场雪了，记得我妈曾经跟我说过，当年我出生的时候也是一场大雪，在南方居然积雪可以没过鞋子是十年难遇了，算了下来，不管愿意还是不愿意，在2005年的最后一天，正式踏入中年人的范畴，可还是感觉自己还是那么地不愿意变老呢。

矫情了半天，辞旧迎新，新年应该有个新的气象，在此祝福自己生日快乐，并祝福自己在新的一年轻轻松松，突破瓶颈。

posted on 2005-12-31 09:21:00 by adam  评论(29) 阅读(7485)

ISO 20000 has published.

服务管理标准ISO 20000发布了，基于以前的BS 15000，主要内容也分为两个部分：

- ISO 20000-1: this is the Specification for Service Management. It is this part against which the formal certification scheme operates.
- ISO 20000-2: this is the Code of Practice for Service Management. It offers practical guidance and recommendations, and supports the first part of the standard.
ISO 20000与ITIL的关系如下图所示：

购买的价格还不低，第一部分169美刀，第二部分189美刀，我欲去拿个证出去蒙事，看看国内哪个培训机构主动出击了。

posted on 2005-12-18 23:45:00 by adam  评论(2) 阅读(7675)

信息安全行业不需要你——蓝海“战略”

《蓝海战略》一书和作者在今年9月来到了中国，之后立马被炒得沸沸扬扬，这本书中的战略学、管理这些关键字对于在信息安全产业红海（书中将市场分为红海和蓝海，红海代表已知市场空间，蓝海则是未知市场空间）中的我似乎诱惑力不大，并非我对战略、管理这些关键字不敏感，缘于我也是常人，对于新生事物也总是有种与生俱来的抵触，加上我个人对如世今的畅销书并没有太多的好感。焉知种种机缘巧合，我一李姓同事在读完此书后对该书大加赞赏，我于是也无法免俗，借阅了该书，在此对让我节省人民币38元的同事表示感谢。

说了一些妄自菲薄的话后，也无法不对该书作者例行地褒扬一番，在下书也是曾读过几本的，但在读完书后觉得需要写一些东西的还是少数，大抵是因为懒的缘故罢，这本书我还是觉得需要blog下我现在的状态，好等过些时日再来回味的。

对于战略和管理，我现今的状态是无法对这些概念妄加评断的，但在进行阅读工作的时候，我经常是带着对号入座的状态进入的（所以对于小说题材的文字本人向来不太感冒），这本书证实了我的一些想法、做法（大师能列举甲乙丙丁，而我这样的学徒只能根据甲乙丙丁来嗯嗯啊咦一气）。准确地说，我是一口气把这本书……没有看完的，看完第一章我就发现自己已经带着比较抵触的心去阅读后面的文字了，“新瓶装旧酒”是我的第一印象，里面提到的方法也好，原则也好，与传统的管理其实是没有太多差异的，书的精妙之处在于给出了许许多多鲜活的例子，作者作为工商管理学院的教授，应该也参与了不少企业的咨询工作（或是辛勤的资料收集工作），书中每一个论点都拿出了一个象样的企业进行评点，这都是畅销书所使用的惯例，也是咨询师们最值得去show的长处了，案例的数量众多可以满足今天快餐文化流行的口味，也是该书畅销的一个重要原因罢。

写了这么多，该有人辱骂我了，下面我就按照该书的大致结构对本人所处的信息安全行业谈一些自己的看法吧。

IT行业已经慢慢开始摘掉了新兴行业的帽子，而信息安全行业则离成熟行业还具有很长的一段路，但就国内的环境来看，似乎已经是万里江山一片红了，而蓝海战略的触发是否是花开正当时呢？我没有国外的从业经历，但国内开始关注行业战略层面的人此时开始进行蓝海的扬帆实在是为时过早啊，所以我在标题的战略二字上标上了一个引号，但在其他层面上，蓝海的试航一定要紧锣密鼓了，至少试航是需要资源的啊，因此我认为国内的信息安全现阶段更多的是需要成熟化，借助IT行业发展给知识的攫取带来的便利，飞速发展、稳步前进，立足于红海，培养出优秀的大副、水手，打造出坚固的船只，并为将来蓝海的发展派出精良的侦察员，我希望我就是这个侦察员，退一步，至少我现在正在培养自己在做一个侦察员，所以书中的很多内容我还是很赞同的，这个标题只是学学人家搞搞噱头而已，阁下不是已经看到这里来了么，说明我的方法是有效的嘛。

来来，我们对对书本，这本书还是有很多值得看的地方的，首先谈到的是开创蓝海，其基石是“不以竞争对手为标杆，因为我的目标不是打败竞争对手，而是为自己和客户带来更大的价值”，对号入座一下，这句话真给了我平常不大关注同业状态的一个很好的理由了。

第二章是分析工具和框架，跟以前谈到的企业价值链和市场细分基本类似，不过他提出了四个步骤，对于价值元素进行剔除、减少、增加、创造，不正是市场细分、市场创新里面谈到的东西一样么？书中所谈到的例子都已经假设了红海中企业的价值曲线趋于平缓，然后拉低几个元素，拔高几个元素，企业就成功地驶入了蓝海了，完全忽略市场细分、市场创新工作的难度，搞得不少人已经摩拳擦掌，跃跃欲试了，感觉信息安全行业还处于元素的比重都没有清晰的状态，这种”高效“的方法还真是很难操作啊，反倒对于一些个案（项目、客户），这个方法更能奏效一些。

第三章是重建市场边界，文中提到的六种方法我倒是的确嗯嗯啊咦了一番，于我心有戚戚啊。
1、跨越他择产业
本来看的是中文版本，“他择”是翻译的“alternatives”一词，属于功能和形式都不同而目的相同的产品和服务，俺们倒是在一些客户身上已经开始了类似的工作了，不能多说，不然蓝海又要成为红海了。
2、跨越战略集团
对于一个企业而言，战略是需要保持统一的，而到我这个层次就应该以实现目标为目的了，因此Overall Cost Leadership、Differentiation、Focus这三种方法我可能都要用上，虽然跨越战略集团谈不上，但意思差不多啊。
3、跨越买方链
说到这个，我只能说尽力了，方法初步想到了，但缺乏必要的资源和条件，而且跨越买方链可能会与现有的企业战略出现偏差，理想和现实啊。
4、跨越互补性产品和服务项目
大了看，这个似乎是营销的概念了，落在我身上，这个和跨越他择就有一些类似了，个人对自己的这块还是颇为满意的。
5、跨越针对卖方的功能与情感导向
这个在我这个层面谈无法影响更多受众，还是爬到战略高度来谈这个事情吧。
6、跨越时间
这个层面我还需要更多努力一些才行，预测的精准度和有效性还要等待时间来证明。

第四章是注重全局而非数字，感觉内容基本就是借用＋修改罢了，没什么新意。

第五章是超越现有需求，这个基本就是换个座位来讲第三章，对我个人而言是这么认为的。

第六章是给我们设计蓝海战略的顺序，买方效用->价格->成本->接受障碍，这个流程大家不看书基本都能画出来吧，书上在这章给出了一些表格和工具，看得出这章应该是在某个咨询公司工作的作家小组的大拿写的，不大象学校里教授的风格。

后面就是执行战略了，PDCA，P完了D，D完了C，C完了不要忘记了A，差不多就这些东西了，我就不在此赘述了。

尾声：
为发blog起了个早，估计骂我的人还不少，要骂的后面排队，别插队，谢谢合作

posted on 2005-12-16 07:37:00 by adam  评论(4) 阅读(6674)

从PDCA说起

在我所涉及的很多知识领域中，PDCA都是一个被人津津乐道的工具，很多时候，我都不敢说自己真正了解这个模型，今天就在此对PDCA做一个分析吧，用我仅有的知识，来对PDCA做一个简单的解剖。

这个循环并不是我们通常所说的戴明提出的，而是由其导师休哈特（Shewhart）最早提出的（20世纪30年代），之前是PDSA（计划、执行、研究、行动），后来戴明演绎成PDSA（计划、执行、研究、行动）-SDCA（标准化、执行、检查、调整）循环，直至现在的PDCA（计划、做、检查、行动）循环，戴明博士也把这个工具归功于其导师休哈特。

前面的话有一些学究气了，其实个人觉得PDSA从字面意思上来说比PDCA更加贴切一些，Check给我的感觉经常是非自动的，但是现在这个大环境我跟别人说PDSA就有点特立独行了，我自认自己还没那么前卫，还是来边查资料边学习，争取尽量把PDCA搞得更加明白一点吧。

1、P（Plan）--计划，确定方针和目标，确定活动计划；
2、D（Do）--执行，实地去做，实现计划中的内容；
3、C（Check）--检查，总结执行计划的结果，注意效果，找出问题；
4、A（Action）--行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个PDCA循环。

说道戴明，很多情况下是和质量管理相关的，现在把它拿到各行各业肯定也有其原因，在此我不做考究，但需要说清楚这个PDCA不是“一个简单的平面环”（这个词俺总结得还真不错，把这个循环的几个特点都含进去了）。
1、首先解释PDCA不是一个环，它是大环套小环，就如同项目管理的项目管理过程一般，在各个层面上都应该参照这个循环，并组成一个大的循环。
2、再来说说PDCA不是一个平面环，它是阶梯式上升的，这个循环走完一遍应该就已经解决一部分问题，取得一部分成果，到了循环的下一个周期，在范围上就应该产生了变化，所以说它不是一个平面环。
3、最后看看PDCA的不简单，在循环中有应有一系列的工具和方法来辅助PDCA的进行工作和发现、解决问题。

信息安全的PDCA循环是在7799里提出来的，信息安全的PDCA对应的是ISMS的建立、实施和运作、监控和检查、维护和提高，我们再来看看咨询行业里面常见的方法论：我们的目标何在、我们现在所处的位置/状态、我们如何达到目标、如何知道我们是否到达目标，其实，方法论都是差不多的，站的角度不同，对不同环节的重视度不同，就有了不同的学派、学说，到了我们这些具体干活的人呢，名词是不管用的，所以个人并不赞成去熟读所有标准的，那样只会浪费自己的时间，当然，这么做对了解各个管理学派的侧重点是有帮助的，但对于我们而言，照准一种最佳的方法，那种方法往往是能够被所有标准所认同的，因此我认为，世界上只有一种轮子啊。站在客户的角度，用你最熟悉的方法，协助客户建立好自己的安全体系，还要注意的是尽管自己的屁股是坐在安全行业上，但一定要使用Rightsize（刚学的一词）的方式来管理风险，不要吓唬客户，也不要因为客户意识不够就放弃你的忽悠，替客户思考，从长期的角度来看，于人于己都是好的。

似乎又跑题了，没事，咱们再回过头来说PDCA，我们将PDCA的四个阶段的八个步骤写下来，再来看看我们怎么来实施。
Plan阶段：
1、分析现状，找出问题。此时可以使用的方法就是风险评估了，不要在乎风险评估方法是否完备，我们并非指望靠这个找出所有问题，也不必要找出一个完整的风险列表，Rightsize就好。
2、分析各种问题因素或原因，这个阶段工作靠的是群策群力，因为我们可以使用因果图。
3、使用排列图和相关图找出主要影响因素，在信息安全行业使用排列就差不多已经到位了，排列图是Pareto发明的，还不知道的话，你就理解一个二八法则就好了，这个图不象因果图，不是拍脑袋拍出来的，因为这个涉及到你应该告诉客户他最需要解决的是什么问题，而不是象现在行业里的有什么就上什么，但从商业的角度，如果我们只解决20％，我们可能就没有钱赚了，粮食是很现实的问题啊。
4、针对主要原因，制定措施计划。这个就是考验你良心的时候了，大多数的信息安全售前都是从这个阶段开始介入的，可见咱们信息安全能发展到这个阶段已经是非常不错了。定计划就用5w1h方法就ok了，为什么制定这个措施，达到什么目标，在哪里执行，有谁负责完成，什么时候完成，怎么完成，只要你能说清楚子丑寅卯，客户不是傻子，个顶个的都比你强。

Do阶段：
5、执行、实施计划，这个没什么好说的，计划啥就做啥，做到什么程度就依靠乙方的项目管理能力和技术水平了。

Check阶段：
6、检查计划执行结果。每个标书其实都会写到验收标准，其实为了提高执行力，借用人力资源管理里的方法，如果乙方能自己对自己的目标结果和过程结果都重视起来，提高就会很明显的，在关注结果的同时更关注一下质量该有多好呢，我更喜欢一句话的前半句——“质量是计划出来的”。

Act阶段：
7、总结成功经验，制定相应标准。前面这个傻子都知道非常重要，将成功经验固化，提高工作效率。后面这个制定相应标准这块，我自己有一些想法，有的时候真的很希望有足够的魄力来限制自己的项目，为乙方来制定一合适的SLA来限制我自己，相关的东西也想了很多，但国内的奖励合同似乎在我们这个级别用得太少了，我们现阶段有这个必要么？
8、把未解决或新出现问题转入下一个PDCA循环。这里就算over了吧

我也就写这么多了，时刻提醒自己在这个浮躁的行业里保持清醒，明天还要上班呢，Good night。

posted on 2005-12-05 00:25:00 by adam  评论(38) 阅读(25764)

台式机故障排除（续）

自己的台式机修好后，也去Google继续找原因，灰尘、静电都是可能的原因，到了晚上，有邻居来电话说机器显示器不亮了，好心的跑过去协助处理，开机正常，显示器没反应，我一下子就想到了下午的事情，二话没说，开箱，把显卡和内存拔了下来，拿布擦了擦（在人家那里拿肉手指擦就显得太不专业了），重新接上，一切OK了。

我自己都有点不敢相信……

Admire自己一下，在处理一些事件的时候（只要不发生在自己头上），不管是客户还是朋友，感觉自己都处理得特别好，已经被3个客户称为“福将”了，而且很多东西都似乎是超出了我自己的能力水平，我是不是福气太好了，而且这个福气能伴随我多久呢，得居安思危了。

posted on 2005-12-04 21:54:00 by adam  评论(8) 阅读(3869)

台式机故障排除

本来想一边写文档，一边开个视频学习，突然发现一打开电影文件只有声音没有画面，关闭MPC后机器立马就死了，机器可是刚经过了劫难的啊，nnd，换了个播放器，换了视频文件，显卡驱动，DirectX……都没辙，Google了一下，看到了不大可能的结果“内存重新插一下”。

打开机箱，内存拔出来，拿个刷子刷了刷灰尘，也不是特多灰啊，金手指就拿我的肉手指擦了擦，重新插回，开机，居然就好了……

这个世界有太多不明白的事情了，现在居然连这些技术也开始嘲笑无知的我了。

?

posted on 2005-12-04 16:06:00 by adam  评论(7) 阅读(3957)