服务管理标准ISO 20000发布了，基于以前的BS 15000，主要内容也分为两个部分：

- ISO 20000-1: this is the Specification for Service Management. It is this part against which the formal certification scheme operates.
- ISO 20000-2: this is the Code of Practice for Service Management. It offers practical guidance and recommendations, and supports the first part of the standard.
ISO 20000与ITIL的关系如下图所示：

购买的价格还不低，第一部分169美刀，第二部分189美刀，我欲去拿个证出去蒙事，看看国内哪个培训机构主动出击了。

微软公司发言人汤姆·皮拉表示：“今天，我们发现Windows 2000和NT 4.0的部分源代码非法地出现在互联网上。”他警告说，任何第三方传播这些源代码都是非法的行为，微软将对此采取严肃行动。

嘿嘿，这些很多人有得爽了～

不多说什么了，非法！

?

这两天大家在公司的内部论坛上一起讨论对安全的理解，甚是火热，我自上网以来就不大喜欢参与一些比较HOT的讨论，可是心里也有些痒痒，于是在这里独坐一隅也谈谈对安全的理解吧。

首先从个人角度，从事网络安全已经很有些日子了，所谓安全，实际上是对风险管理的最高境界，所有的风险你都给摁住了，你也就达到安全的境界了，这个对个人、对企业、对国家应该都是通用的吧。当然，我们不会去讨论这个角度的安全，我们所需要探讨的只是企业的商业需求需要利用IT来满足时所需要面对的风险即可，既然有了风险，就有了风险应对，我们姑且先按照PMBOK里面的风险应对来进行分类。
1、消极风险或威胁的应对策略
Avoid：通过安全咨询的服务，顾问们可以给出一些方法回避业务系统可能存在的风险，我们的存在是因为我们专门干这个的。
Transfer：对于业务系统而言，风险的转嫁非常困难，我们在这个时候担当的很多时候是责任的转嫁对象，没关系，拿人钱财，替人消灾。
Mitigate：我们的大部分工作都是在这个环节，大部分的安全服务和产品部署都是去减少风险的影响或降低风险发生的概率。
2、积极风险或机会的应对策略
Exploit：
Share：
Enhance：
在安全行业，积极风险似乎非常少，或者是我个人还没有想得太清楚。
3、威胁和机会的应对策略
Accept：基于Cost-Effective分析后，很多人可能都会采取的方式，对于同一个风险，可能使用网络设备的访问控制、防火墙部署、主机加固、补丁安装等方式都能进行管理，但是客户往往缺乏的是综合分析每一个控制手段所带来的其他好处，因为有一些应对措施客户不会去计算Effectives，甚至有一些咨询的专家也未必能说得十分清楚，一套清晰的安全投资决策树系统肯定能协助所有的人。
4、应急应对策略
不是所有的风险都能够控制，于是就有了应急应对策略；诚然，项目管理里未识别的风险是没有放在这个里面，但我们必须考虑，在安全行业，未识别的风险的处理方式应该也是放到应急应对策略里面了吧。

说了这么多，很多人一定认为我跑题了，对于安全的理解，批判一个常见的概念吧。
批判对象：“三分技术、七分管理”
3＋7＝10，也就是安全就分了技术和管理了，从事安全行业的人都推崇备至，我并不去证明到底是3还是7抑或是其分配的比例，而我认为安全仅仅包括技术和管理么？还有更高层面的东西吧－战略层面，业务系统已经意识到安全的重要性了，业务系统的三大需求（Quality、Fiduciary、Security）里已经开始把Security提到了很高的位置了，尤其是在一些金融行业，做安全的怎么去满足这些需求呢？所以从战略、管理、技术层面都应该去满足业务系统的需要，同时也要兼顾其他两个需求，我承认安全有两面性，会让业务系统损失一些Quality，也会让业务系统提高Fiduciary，是不是应该准备一些说辞来满足战略层面的东西呢？难道指望客户去进行分析，而我们不去引导，这样恐怕不是以客户为中心吧。有人也许会说管理就涵盖了我说的这些东西，但管理这词恐怕缺乏方向性的东西吧。
（有戚戚者Comment，不信者免谈）

再跑回来，从公司角度吧，我对安全的理解是战略、管理、技术三个层面的，是建立在业务系统这个主体上的，是对IT资源的安全管理(people,application,technology,facilities,data)，是对于P(people)P(process)T(technology)的安全建设，是P2DR(Policy,Protection,Detection,Response)……这些概念有满足我心中三个层面的，也有满足管理和技术层面的，当然，我自己也有在技术层面的解释，每一个都可以说得上是引经据典，但提取出属于自己的方法论才是有效的，只有自己达到了这个高度，才可以跟客户见人说人话，见鬼说鬼话，而所说的这一切都是为公司的商业目标实现卖力的（当然也不排除发自内心的与客户真诚面对的交流），不同的客户选择的风险应对策略是不一样的，同一客户不同的人员关注的焦点也不一样，“只有变化是唯一不变的”，“以不变应万变”，这都是古人教给我们的好招啊，借助别人的研究成果提升对安全的理解，提炼出自己的方法论，找出自己心中理论的基础，从容面对所有挑战。
最后给公司做个广告，俺们公司是绿盟科技，欢迎来人来函洽谈业务。

想到哪里说到哪里，这里是blog，我自己的天地。
祝福看贴的人身体健康、工作顺利，身体健康>工作顺利。

今天偶然在MS的Download区瞎逛，突然发现Windows 2003的SP1已经出来了，这个SP1相对于2000的SP1时间还是挺长的了，不过一看它的大小，着实吓了我一跳，E文版本的都有337230 KB，现在真是存储变便宜了，MS就开始瞎搞了啊，狠！

看了看安装SP1的Top 10 Reason，都是和安全相关的，吸引住我的只有一个Windows Firewall Policy Management，看起来好像不错的样子，对部分企业打击很大啊。:0

现在还只出了E文和德文版本，大家先别着急去下啊……

相关链接：http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/default.mspx

PortQuery 出2.0了，这次的版本可谓大有改进啊，尤其是对本机的scan，可谓是费尽心机。
该版本仅能在Windows 2000和以后版本上运行，但如果你是用2000的话建议就不要下载了，因为在2000下Port to process mappings会unavailable，我是在2003下才让我觉得需要推荐一下di……

我的老规矩，字数不够，帮助来凑

PortQry version 2.0

Displays the state of TCP and UDP ports

Command line mode:? portqry -n name_to_query [-options]
Interactive mode:?? portqry -i [-n name_to_query] [-options]
Local Mode:???????? portqry -local | -wpid pid| -wport port [-options]

Command line mode:

portqry -n name_to_query [-p protocol] [-e || -r || -o endpoint] [-q]
??????? [-l logfile] [-sp source_port] [-sl] [-cn SNMP community name]

Command line mode options explained:
??????? -n [name_to_query] IP address or name of system to query
??????? -p [protocol] TCP or UDP or BOTH (default is TCP)
??????? -e [endpoint] single port to query (valid range: 1-65535)
??????? -r [end point range] range of ports to query (start:end)
??????? -o [end point order] range of ports to query in an order (x,y,z)
??????? -l [logfile] name of text log file to create
??????? -y overwrites existing text log file without prompting
??????? -sp [source port] initial source port to use for query
??????? -sl 'slow link delay' waits longer for UDP replies from remote systems
??????? -nr by-passes default IP address-to-name resolution
??????????? ignored unless an IP address is specified after -n
??????? -cn specifies SNMP community name for query
??????????? ignored unless querying an SNMP port
??????????? must be delimited with !
??????? -q 'quiet' operation runs with no output
?????????? returns 0 if port is listening
?????????? returns 1 if port is not listening
?????????? returns 2 if port is listening or filtered

Notes:? PortQry runs on Windows 2000 and later systems
??????? Defaults: TCP, port 80, no log file, slow link delay off
??????? Hit Ctrl-c to terminate prematurely

examples:
portqry -n myserver.com -e 25
portqry -n 10.0.0.1 -e 53 -p UDP -i
portqry -n host1.dev.reskit.com -r 21:445
portqry -n 10.0.0.1 -o 25,445,1024 -p both -sp 53
portqry -n host2 -cn !my community name! -e 161 -p udp

Interactive Mode:

Used as an alternative to command line mode

portqry -i [-options]

For help with Interactive mode options:
??????? - run portqry.exe
??????? - then type 'help'

example:
portqry -i -n server1 -e 135 -p both

Local Mode:

Local Mode used to get detailed data on local system's ports

portqry -local | -wpid pid | -wport port [-wt seconds] [-l logfile] [-v]

Local mode options explained:
??????? -local enumerates local port usage, port to process mapping,
?????????????? service port usage, and lists loaded modules

??????? -wport [port_number] watches specified port
?????????????? reports when port's connection status changes

??????? -wpid [process_ID] watches specified process ID (PID)
????????????? reports when PID's connection status changes

??????? -wt [seconds] watch time option
??????????? specifies how often to check for status changes
??????????? valid range: 1 - 1200 seconds
??????????? default value is 60 seconds

??????? -l [logfile] name of text log file to create
??????? -v requests verbose output

Notes:? PortQry runs on Windows 2000 and later systems
??????? For best results run in context of local administrator
??????? Port to process mapping may not be available on all systems
??????? Hit Ctrl-c to terminate prematurely

examples:
portqry -local
portqry -local -l logfile.txt -v
portqry -wpid 1272 -wt 5 -l logfile.txt -y -v
portqry -wport 53 -l dnslog.txt

大家可以去微软下载该工具，推荐一下。

从客户那出来，看看天色尚早，就跑去报考明年3月的PMP考试去了，结果给打了回来，白跑一趟，特意把报考需要带的东西写下来，希望你去报名的时候带齐这些东西。

1、最重要的，Money＝￥3900

2、毕业证、学位证复印件

3、培训证书（报考PMP需要有35个PDU）复印件

4、打印并填好中文报名表（BTW，做这个报名表的家伙word使得还真差，完全不知道格式、排版为何物，希望以后能用InfoPath做表格，hoho）

5、最麻烦的就是6页的英文报名表，前面4页基本还好填，最后2页就是填项目经历，每一个项目得将这2页打印1份，然后填好，而且项目管理的各个阶段的时间的总数能符合前面的总和。

6、免冠1寸照片2张

7、身份证复印件，最好还能带上身份证比较好。

同时把报考PMP的条件copy过来。

国家外国专家局培训中心在2004年将举办四次PMP资格认证中英文对照考试，时间分别为3月27日、6月19日、9月18日、12月18日。有关报名事宜如下：

一、报名条件
（一） 报名考生必须具备35小时以上涵盖美国项目管理知识体系中九大知识领域的项目管理学习、培训经历。　　　　　　　　　　　　　　　　　　
（二）报名考试者必须具备以下两类情况之一。

第一类： 申请者需具有学士学位或同等的大学学历或以上者
　　1.要求和条件
　　PMI要求申请者在五大项目管理过程中（项目的启动阶段、计划阶段、实施阶段、控制阶段和收尾阶段）至少具有4500小时的项目管理经验，并且，在申请之日前6年内，累计项目管理月数至少达36个月。
　　注：在计算项目管理月份时，所要求的36个月是不重叠的、单独的

　　2.需要提交的文件
　　　A. PMI制作的PMP考试中文、英文正式申请表；
　　　B. 身份证、学位证书和毕业证书的复印件，以及培训证书复印件（要求标明培训时间达到35小时以上，涵盖美国项目管理知识体系九大知识领域）；
　　　C. 一张一寸免冠近期彩色照片；
　　
第二类： 申请者不具备学士学位或同等大学学历或以下者
　　1.要求和条件
　　PMI要求申请者在五大项目管理过程中（项目的起始阶段、计划阶段、实施阶段、控制阶段和收尾阶段）至少具有7500小时的项目管理经验，并且，在申请之日前8年内，累计项目管理月数至少达60个月。
　　注：在计算项目管理月份时，所要求的60个月是不重叠的、单独的。
　　

　　2.需要提交的文件
　　　A. PMI制作的PMP考试中文、英文正式申请表；
　　　B. 身份证、学位证书和毕业证书的复印件，以及培训证书复印件（要求标明培训时间达到35小时以上，涵盖美国项目管理知识体系九大知识领域）；
　　　C. 一张一寸免冠近期彩色照片；

注意：www.chinapmp.net上说只要1张照片，到报名的时候又需要2张，记得多带点哦。

XML 是因特网以及近来 Web 服务持续增长和开发的主要支持者。但是，在实现 XML 语言的全部能力之前，还有许多与安全性相关的工作要做。目前，加密整个 XML 文档、测试其完整性和确认其发送方的可靠性是一个简单的过程。但是，越来越有必要对文档的某些部分也使用这些功能，以便以任意顺序加密和认证以及涉及不同用户或发起方。目前，在与 XML 相关的安全性领域方面开发规范的最重要部分是 XML 加密、XML 签名、XKMS（W3C） 和 XACML、SAML（OASIS） 。

呵呵，做完安全评估，做完防火墙、IDS，做完主机加固，咱们也得多多关心一下应用安全了，不然去客户那能侃的就很少了……

来源：IBM的XML安全专题

昨天出去Happy了一下，未曾想眼镜居然给掉了，本来俺眼镜度数也不是很高，摘掉了看看笔记本还是勉强凑合的，只是看不了电视。

本想想逼逼自己的眼睛，没有了眼镜最好能自己恢复到1.5就可以了，没想到啊没想到，今天晚上打开电视一看，居然碰到世界小姐选美，可怜我没有眼镜，只能坐在那里YY了老半天，一狠心，乖乖地去看书去了。

看来不配眼镜还是不行了。

准备参加明年3月的PMP考试，PMI的PMBOK也看了2遍了，可是这个指南可是出其的枯糙，没事也得买点其他的书看看，不然会闷坏掉的，前些日子从Chinapub买了本《PMP成功之路》，觉得还不错，推荐给准备考PMP证书的哥们。

作者： 6σ工作室
书号： 7-111-12460-X
页码： 339
价格： ￥39.00
出版社： 机械工业出版社
出版日期： 2003-08-01

该书包括了考前准备、项目管理的5大标准化过程和9大知识领域、模拟试题，也许这些东西都不怎么值得推荐，最重要的是这本书作者的语言能力还不错，能把枯糙的知识用较为轻松的方式灌输给你，如果你也准备考个PMP玩玩，不妨买本看看。

从moslem那里rob了xbox后，把xbox的硬盘也换了，linux也装上了，也能看divx，rm，DVD了，感觉都不怎么样，还是玩游戏最实际，而xbox上我最喜欢的游戏应该算得上是HALO了，一口气就通关，而且感觉特别好，无论是操作还是画面，我都特喜欢，刚才在neowin看到了即将发布HALO 2的消息，看来moslem想玩xbox又得再等等了，哈哈哈哈

Secunia发布了"Internet Explorer URL Spoofing Vulnerability"，该漏洞理论上并不存在太大的危害，但要求我们在浏览网站时应更加小心了，由于该漏洞利用起来非常简单，估计最近会有一批这种伪造的网站出现，诱惑你输入密码。

打一个比方，如果你在bbs.nsfocus.net论坛中有一个帐号，如果你的帐号有一定的权限的话，我可能会模拟论坛管理员的信箱给你发一封邮件，或者说你的密码即将过期，请前往哪里哪里进行修改，并“好心”地为你做好链接，你点击该链接，IE的url显示的是bbs.nsfocus.net，页面你也非常熟悉（不过已经是经过定制了的），当你输入密码的时候，可能你的用户和密码已经提交到另一个地方去了。

同理，这样的方法也可以适用什么QQ啊之类的玩意，所以以后点击链接前最好多看看连到哪里去了。

以下是一个测试，你访问的是我的blog，但IE的url显示的是http://www.Microsoft.com，仅仅是一个测试，放心地点击试验一下。

今天温习了下项目的范围管理，觉得需要记下一些东西来，于是就记了一些东西下来了，权当做笔记吧

• 项目的deliverable必须是现实的、有形（险些打成了“有型”）的、可核实的；
• WBS＝项目工作内容的完整定义；
• 对项目已完成的deliverable或工作结果应及时进行检查验收；
  在做范围管理的时候，应避免范围爬行（在客户要求下，未经过正常的范围变更控制批准程序，而直接扩大了项目范围定义的内容）和镀金现象（项目团队在工作内容之外主动增加一些工作任务）发生。

先记这么多吧，感觉这几个是我在项目管理中常被忽略的东西和常犯的错误，尤其是最后1点，可是现在客户这么刁钻，做服务行业的不这么做能行吗？不知道到底是按照PMI的标准来做好还是一如既往地好啊～

BTW,有点不大喜欢这个BLOG了，什么东西都会放到首页，感觉自己被扒光了给别人看一般。

在拿到一个项目的时候，也就是公司委任你作为一个项目经理的同时，我首先想的应该是这个项目是干什么的，需要我们完成一个什么样的目标。

总结一下我的项目管理方法和PMI所规定的管理方法的差异，从WBS的制定开始吧

1、得到项目章程或合同；
一般而言，我只负责公司的售后工作，也就是在合同签定后，得到领导的委任；

2、约见有关方面的人员，集体讨论所有主要领域阶段；
现在有的合同跟一本辞海差不多的厚度，首先强迫自己一定要认真看完，然后询问售前工程师和销售仔细询问合同规定的范围，并了解售前工程师或销售是否存在口头承诺（没办法）；

3、分解项目工作；
项目工作的分解在我们公司相对来说比较容易，看了书上说的80hours原则，我想我们如果把工作包都按照80hours来做，PM就基本没有什么用了（在我们公司）；

4、画出看似组织结构图的树状图；
这个东西很容易画，但真正要支配这个图里面的人我想我现在还是没有这个能力的；

5、在上述第4步中，你可以在WBS的较上层次上定义子项目或生命周期阶段；
似乎暂时还没有这个必要的感觉，我们公司的项目是不是也忒小了点；

6、将主要项目可交付成果细分为更小的、易于管理的组分或工作包；
我想我已经做得很细了，不仅规定了每个工作包的可交付物，甚至给出可交付物的模板文件；

7、工作包必须详细到这样的程度，即可以对该工作包进行估算（成本和历时）、安排进度、作出预算、分配负责人员或组织单位，以便顺利完成项目；
俺们这些东西估计不用分解都能作出估算；安排进度也是得看客户的时间；预算嘛，财务还没有实施这个制度；分配人员，也就那么几个人，还有一堆领导，组织单位就更别想分配了……不过项目还是能比较顺利完成；

8、验证上述分解的正确性。如果发现较下层次的项没有必要，则修改组成成分；
什么都是一个人做，验证能找谁？拿个MPP文件如果你就那么几行还真是不敢拿出手，非要写多点我估计最小单位就是30mins了，sigh

9、如果有必要，建议一个编号系统；
绝对有必要，但是现在还没有想好一个合适的编号方案，究竟细分到哪个层次，思考ing；

10、随着其他计划编制活动的进行，对WBS更新或修正。
做了这么些项目，感觉自己修改计划的次数应该不大于5，也许我们的项目实在是太…太…太小了，计划修改完，做一下信息发布，项目已经要验收了，难道是我太懒了？...

发了些牢骚，发现自己轻松了一点，可是再回头看看自己的状态，我需要学习Project Management嘛，一个大大的问号在我的猪头里出现了。

各位大拿给点意见吧……

今天看到Microsoft 更新了Outlook里面的Junk Email Filter，其实现在把垃圾邮件拿出来说已经不是一件新鲜事了，我的信箱每天收到的邮件大概在100封左右，其中有用的信件大概是3－5封而已，这些日子也有客户不断提出解决垃圾邮件的需求，我也测试了一些垃圾邮件的产品，有国外的，也有国内的，也了解了不少的信息，但我觉得值得我推荐的还是一个0，我今天也提出一个垃圾邮件的解决方案，希望对一部分人有用。

这个方案是服务器和客户端相结合的方案，我在此只做一些分析，实现我就不在此讨论了，这里这么多搞开发的大拿，嘿嘿

首先，服务器具备一些基本的防垃圾邮件的措施，如现有的打分系统，比如某客户端每天收到20封邮件，其中18封是垃圾邮件，现有的防垃圾邮件系统可以防范住10封，还有8封可能是无法防止的，那么，我们在客户端收到剩余的8封邮件后，客户端可以有一个很方便的提交方式提交给某个信箱，如公司的专门防垃圾邮件的邮箱，这个方式一定要非常方便，比如Outlook里面的一个按钮。当100个客户端提交了一定量的垃圾邮件（如500封）后，需要有一个非常智能的系统对这500封邮件进行分析（我现在没有发现具备这种功能的产品），有一个非常优秀的算法能自动改进现有的打分系统。而对于自动block的mail，邮件系统能每天发送一份报表给客户端，告诉客户端今天你有哪些邮件被Block掉了，每个Block掉的邮件都会分配一个ID号，有一个url，客户click一下这封被误Block的Email就会回到客户端，服务端对这些操作也应该能够进行智能的分析，这个分析可能是一周一次，用于改进垃圾邮件打分系统。

这个系统最重要的其实是垃圾邮件的分析方法，主题、正文、接收者、发送者、发送者的邮件地址、发送者的domain、发送时间等等信息，基本上邮件的所有信息都应该分开进行分析和进行整合分析，这个还是等专业人员来做吧。

希望我的想法能有人进行一下讨论

最后还是把Outlook 2003的更新地址pub一下

Overview: http://support.Microsoft.com/?kbid=832333

Download: http://download.Microsoft.com/download/a/d/d/addc1a61-68be-45a1-a780-8b4d668bdc09/office2003-kb832333-client-enu.exe

如果你安装了Office System 2003，如Word 2003，你应该会发现Word 2003的工具栏里面多了一个IRM的按钮，你可以使用它创建带限制权限的内容，支持IRM的产品包括了Office System 2003里面的三板斧－－Word、Excel、PowerPoint。

就目前的技术手段而言，敏感信息仅可以通过限制对存储信息的网络或计算机的访问来进行控制。但是，一旦赋予了用户访问权限，就会对如何处理内容或将内容发送给谁没有任何限制。这种内容分发很容易使敏感信息扩散到从未打算让其接收这些信息的人员。Microsoft Office 2003 提供了一种称为“信息权限管理 (IRM)”的新功能，它可以帮助防止敏感信息扩散到错误的人员的手中，而不论是由于意外还是粗心。即使在文件离开您的计算机桌面之后，IRM 也可有效地帮助控制文件。

当然，Office本身也具备一些安全功能，但相应的Crack技术也在不段发展，文档的密码现在已经不能作为信息保密的唯一屏障了，因此，IRM用来做这些工作还是相当不错的，但Office System 2003自带的IRM必须要求你使用.net passport，这样的限制对于企业内部来说要求未免过高，在1个多月前，MS推出了用于在企业内部使用的IRM Server，也就是我今天要说的RMS（Rights Management Server），你可以在企业内部为将访问该内容的特定人员创建具有受限权限的Doc、Xls、Ppt，而且操作步骤也非常简单，你可以设置读取、更改权限，还可以设定到期时间，你可以让某人只能在哪几天内才能访问该文档。

Winnetmag发布了一篇关于如何Deploy RMS的文章—— http://www.winnetmag.com/Article/ArticleID/41191/Windows_41191.html，软件你可以去微软下载。
当然，如果你的企业里面没有Windows 2003，没有SQL Server，没有Office System 2003，那就不要关注了，hoho。

RMS主页：http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx
服务器下载：http://go.microsoft.com/fwlink/?linkid=17673
客户端下载：http://go.microsoft.com/fwlink/?LinkID=18134
相关SDK：http://www.microsoft.com/downloads/details.aspx?FamilyId=2DFCAFB9-3E7B-4F70-B6D3-AECC965CD598&displaylang=en
RMS Toolkits：http://go.microsoft.com/fwlink/?linkid=20760

搞笑啊，前些日子说了一个IE的Spoofing漏洞，这个漏洞已经报告给微软了，不过微软并没有未该漏洞发布补丁，倒是MYIE（一个IE内核的浏览器）倒是很快做了一个更新，今天又看到一个刚开张没多久的网站居然给IE做了个补丁出来了，而且还公布了源码，去看看吧。

咱们也没事给微软做做补丁吧，hoho :>

消息来源：http://www.theregister.co.uk/content/4/34610.html

Patch源码：http://www.openwares.org/downloads/IEpatch.zip?

Patch下载：http://www.openwares.org/downloads/IEpatch.EXE

非官方补丁，风险自担哦（我装了一下，暂时还没发现问题）

DFS 4.1 Dec-31-2003
Fax Services for NTW Dec-31-2003
Routing and Remote Access Services for Netware 4.0 Dec-31-2003
SMS 1.2 Dec-31-2003
Visual SourceSafe 5.0 Dec-31-2003
Windows Media Encoder 7.1 on Windows Millennium Edition Dec-31-2003
Windows Media Player 6.4 on Windows Millennium Edition Dec-31-2003
Windows Media Player 6.4 on Windows XP Home Edition Dec-31-2003
Windows Media Player 7.1 on Windows Millennium Edition Dec-31-2003
Windows Media Player 9 on Windows Millennium Edition Dec-31-2003
WMF SDK 7.1 on Windows Millennium Edition Dec-31-2003
Zero Admin for NT4 Dec-31-2003
Access 97 Jan-16-2004
Excel 97 Jan-16-2004
FrontPage 98 Jan-16-2004
Office 97 Developer/Professional/Small Business/Standard Jan-16-2004
Outlook 98 Jan-16-2004
PowerPoint 97 Jan-16-2004
Word 97 Jan-16-2004
Visual FoxPro 6 Sep-30-2004
Visual Interdev 6 Sep-30-2004
Visual J++ 6 Sep-30-2004

这些产品即将走到尽头，以后即便出现安全问题，MS也不会为其更新……

一切来得太快、太刺激～

今天在学习Time Management的时候做题，发现一句描述“项目进度计划可以有一个以上的日历”

看答案说这个描述是正确的，这个跟前几天上课的讲法有出入，回来仔细琢磨了一下，应该是上课的老师的口误了，记得老师说“项目的日历只有一个，但资源的日历也有多个。”

其实项目的日历应该也有多个才对啊，比如一个实施地域较广的项目，可能为了尊重客户的休息习惯，在某些国家可能会使用不同的日历才对。

嘿嘿，写下来了，以后就不会忘记了……

今天进行了一次项目管理的模拟考试，200道题，用了150分钟，对了121题，还差17分就能过了，嘿嘿

这段时间再努力点，应该搞个一、二十分问题应该不大～

错的题主要是PMBOK上的原话，要努力看书，不能看些其他的东西了，这玩意实在不能走捷径di说～

在下载了 1 月 7 或 8 号的病毒定义后，计算机运行减慢并且 Microsoft Word 和 Excel 无法启动

情形
赛门铁克现在正在调查客户反映的计算机减慢和不稳定问题。该问题看来是与 VeriSign 在 1 月 7 和 8 号收到超乎寻常数量的证书撤销清单（CRL）下载要求有关。
猛增的流量中断了 VeriSign CRL 服务器的通信。基于安全原因，赛门铁克产品一直检查系统组件的完整性，这种检查有时会因为 VeriSign 服务器不可用而接收不到需要的验证。这种情况下，客户计算机会出现延缓和不稳定。赛门铁克以及 VeriSign 的其它客户正在和 VeriSign 一起努力以缓解事态。

解释
要解决这个问题，请下载并安装更新版的 VeriSign's Root Certificate Authority。这个链接含有关于安装过程的详细解释。

如果不能完成上面提到的下载和安装，请使用下面的步骤来暂时解决此问题，直到您可以安装上面的 VeriSign 协议为止。

1. 关闭所有程序。
2. 执行下列操作之一：
   • Windows 95/98/Me/NT/2000，单击 “开始” > “设置” > “控制面板”。
   • Windows XP，单击 “开始” > “控制面板”。
3. 双击“ Internet 选项”。
   

   ---

   注意：打开 Windows XP 的控制面板后，如果看不到“ Internet 选项”，请在左面的窗格中单击“切换到经典视图”，然后双击“Internet 选项”。

   ---

4. 在“高级”选项卡中，将列表框向下滚动到“安全”部分。
5. 取消勾选“检查发行商的证书是否撤销“选项。
6. 单击“确定”并重新启动计算机。

相关来源：赛门铁克中国

在使用Word进行文件保护时，我们经常会使用到窗体保护（工具->保护文档），用窗体保护最为彻底，用户无法编辑，也无法进行Copy&Paste操作，前几天发布的Word文档的漏洞可以让你用很简单的方法去掉这个密码。

我们自己来测试一下：

首先创建一个word文档，使用窗体保护的方式保护文档，工具->保护文档->Check“仅允许在文档中进行此类编辑”->Choose“填写窗体”，此时会弹出一个密码框，输入2次密码（我这里选择123作为word文件密码），这样，该文档就已经被保护起来了。

然后我们来破解它，打开刚才创建的word文档，文件->另存为->选择HTML格式，存为一个HTML文档，用记事本打开该HTML文件，搜索""，你会看到5BCECF7A的字样（如果你的密码是用的123的话）。
接着我们用UltraEdit或其他类似的工具打开最初受保护的Word文档，搜索7ACFCE5B，搜索到后，都用8个0来代替，存盘。
此时的Word文档的密码就被清空了，你就可以自己取消文档保护了，密码就不用输入了，按个回车了事。

MS还没有对这个漏洞提供补丁，我觉得短期可能还无法解决这个问题，建议以后的文档不要用这个东西进行保护了

相关来源：securityfocus

今天看到一个让自己不寒而栗的东西，来源已经不清晰，但这已经不重要：

项目经理忽略权术的后果

1、政治自杀（被免职），而不是政治存活
2、缺少或者根本没有机会对决策产生影响
3、缺少或者根本没有机会掌握权力实施控制
4、资源获取不足或者分配质量不好的资源
5、没有赋予你和你的项目成功和重大信息
6、给你的竞争对手配备充足的资源
7、缺少或没有高层管理者的关注
8、缺少或没有客户的支持
9、成为别人的替罪羊

看来自己在这方面也得重新开始学过了，真不让人活啊……

今天是旧历新年，自从手机开始普及后，短信拜年已经成为一种时尚了，今天一天至少收到了将近50条短信，今年俺决定不用这种方式拜年了，当然，也包括去年。不然咱们的ISP们整天想着就是这个盈利模式了，这将严重阻碍中国互联网事业的发展。

今年过节没短信～

不过我还是祝大家在节日里轻松愉快，好好享受我们祖宗给我们带来的福利吧。

一个故事，实在是比较老了，先转过来，然后谈谈我的新想法。

有一位表演大师上场前，他的弟子告诉他鞋带松了。大师点头致谢，蹲下来
仔细系好。等到弟子转身后，又蹲下来将鞋带解松。有个旁观者看到了这一切，
不解地问：“大师，您为什么又要将鞋带解松呢？”大师回答道：“因为我饰演
的是一位劳累的旅者，长途跋涉让他的鞋事松开，可以通过这个细节表现他的劳
累憔悴.”“那你为什么不直接告诉你的弟子呢？”“他能细心地发现我的鞋带松
了，并且热心地告诉我，我一定要保护他这种热情的积极性，及时地给他鼓励，
至于为什么要将鞋带解开，将来会有更多的机会教他表演，可以下一次再说啊。”

以前看到这个文章后的第一感觉是“先做人，后做事”，大师培养弟子做人，做事可以今后再说。
所以以前也信奉积极的人生态度。

今天又看到这个文章，看过了，又仔细品了一下，有了一些新的想法。

其实，当发现了大师的细节未注意就和发现“权威”的漏洞是一样的，我自己也有很“毒”到（独到）的眼光，也能很发现很多人、很多事的问题，但是，我又真的是发现了问题了吗？抑或那些根本就不是问题呢？尤其是针对掌握了比我资源多的对象，也许对方的行为也是“故意”的，有目的性呢？
所以，新年了，我得学会“先说好的，再说坏的”，学会而且更多时候用“但是”……

微软这招还真不错，说流传出去的代码是从Mainsoft用于软件开发的一台Linux电脑中丢失的。临死还不忘把Linux拖下水，给人的感觉好像是Windows的安全似乎还是很不错的，只是由于Linux的问题导致了放在Linux平台上的文件被窃取了，从中国人角度来讲，微软此次是否有点不仗义了。

去google上search了一把mainsoft，发现了很多头条新闻都是有关这个家伙的，看来这公司一下子火起来了，似乎和前些年流行和名人打官司想出名一样，估计这个公司的网站访问量一下子就飙升了，也还算不错吧……hoho

和微软打交道还真是不错，粉吸引眼球di说……

相关新闻：新浪新闻

Intel will stop selling its 802.11 WLAN products in the People's Republic of China because it refuses to comply with the country's home-grown proprietary encryption technology.
Beijing has mandated that from June, equipment must conform to its own WAPI, or WLAN Authentication and Privacy Infrastructure standard, GB15629.11-2003. The move has been variously interpreted as a measure to protect China's own emerging technology manufacturers and as a national security ploy. It might not cost the US chip giant very much - sober estimates reckon the Chinese WLAN market is worth just $24m right now - but it is the latest installment in which the upcoming superpower is setting the terms of engagement.

也许有人看了觉得出气，权且放着吧

我的感觉有点怪怪的……

新闻来源：NEOWIN

本来是5.1长假，可以陪着父母好好一起度过这些美满的日子的，哪知道刚走到天安门就被客户叫去咨询了，其实一个很简单的蠕虫病毒而已，感觉对网络的影响比不上SQL Slammer，连RPC蠕虫都比这个要强点吧，简直是垃圾中的垃圾，写什么无所谓，最重要的是别放出来吓人啊。

从媒体对网络安全事件的报道来看，现在的市场环境似乎要比以前好多了，不过什么人都来做了，都看好安全服务这个大蛋糕，从安全本身而言，涵盖的东西并不少，勉强一些的话，那些做灾备、集成等都能算是安全厂家了，越来越多的人都从事安全未必不是件好事，只是一直没有看到我期望的行业也步入安全行业来未免有些失望罢了，一直期待着把评估、审计等经济学科的老本行融合到信息安全的行业里，自己也在各个知识领域寻求着结合点，信息安全跟经济、项目管理等学科比起来，还只能算是一个乳臭未干的孩子，我现在认为这个行业是缺乏一个理论基础的行业，停留在帮人扫描下漏洞、安装下补丁是无法满足客户的需要的。

我给自己定下的目标是：让客户知道自己需要什么，让客户知道自己该花多少钱，让客户可以选择自己的花钱方式，让客户知道如何为自己省钱。

当这一切都是缘自于数学、统计的时候，网络安全也许就已经发展到一定程度了，我始终坚信数学是一个知识发展的终点（有些学科例外）。

说远了，本来上月30得知自己的PMP考试PASS了，还顺手中了点小彩票，心情很好的，谁知一个51节才过了2天，居然就被蠕虫闹了2天了，问候蠕虫作者老母1次。

等明天起床，不知道太阳是否依旧灿烂，洗洗睡了……

下载地址：http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&DisplayLang=en

支持XP和Windows2000，中招的哥们可以试下这个。

现在的版本是V5了，可以通过访问http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx?ln=zh-cn&rc1=true来进行测试，以前只支持XP系统，现在Windows系统都能支持了，而且MS用链接的方式“集成”了Office系统的更新，今天俺去测试了一把，把我的v4的update更新了，不过v5的现在还不支持我的简体中文版，还暂时只能用v4了。

期待着SUS 2.0的推出啊，不知道以后这个玩意到什么版本会收费，：）

我的PMP认证经历

2004年3月27日，我顺利地通过了PMP认证考试，分数现在还不知道，我把我的过程给大家简单介绍一下，也许我的方式不一定正确，但我确实是这么过来的。

首先在2003年3月开始，我就已经开始接受PMP推荐的项目管理过程了，当时就已经开始阅读PMBOK2000的英文版本了，但仅仅是简单的翻阅，在SARS期间的时间里对中文版本进行了一次精读，当时以为这个考试较为简单，下载了一套BOSON的题目进行了一下自测，发现简直有如天书，于是乎就放弃了报考PMP的念头，同时也看了一些关于项目管理的书籍，也认认真真对Project的帮助进行了理解和阅读（这很有用，而且是中文的）。SARS过后由于项目任务较多，也没有考虑报考PMP，直到国庆才定下来参加PMP考试，当时考虑报考需要PDU，自己也没有参加过太多的PMP的培训，凑不足35个PDU，但在论坛的zqjcep的帮助下认识了神州巨龙的人员，报了个2004年3月的培训班，当时也是抱着去结识朋友的态度去的，结果没有让我失望。

按照培训班给我们的任务，对老金的模拟题整整做了5遍，肖老师还给了我们一个记录成绩的excel，把每次做错的题都记下来（这个经验也非常好），期间还有同学们和老师不少的讨论，由于这次班上同学不多，我们可以尽情地进行讨论，还是人少好啊，呵呵
当时在做题的同时，按照肖老师对我的劝告（不要看太多），考证的准备工作基本就定在了以下基本参考书：
PMBOK2000中英文版
PMBOK2000的名词解释（请单独去背诵）
如何通过PMP考试
PMP成功之路

学习一段时间后我们用ESI的模拟题进行了自测，我自测的成绩都不尽理想，考前的最后一个星期我基本没有怎么看PMBOK了，只是看看生词表，然后猛做BOSON的题目，而这次考试的题目大部分都是情景题，跟boson的题库有很多类似的地方（别寄什么希望，boson的题目基本和考试题没有什么重复，倒是老金的书上的题和考试题有个10来题是一样的，也就5％而已），但是对我却收益非浅，而且一定要多做几遍。

我的经验未必对大家有用，就当立此存照吧！

前些日子看了一个IT事故管理的计算模型，非常有感触，本来也想blog一下的，信息管理的section都建好了，一时偷懒就放弃了，今天上午刚好去听了听ITIL的免费讲座，讲课的单位也真够抠门的，桌子都不给留一个，就给个后排的凳子在那乘凉，而且在会场还碰到了以前的客户，真给自己和公司丢人的，以后这种活动还是少参与为妙。

不废话了，Paste一下吧，我觉得非常有用，开拓了我的思路，Hope it helps……

用来说服自己的头、说服自己的客户都是很有帮助的。

Based on large UK food retailer with an annual turnover of 26 billion UKP and 300,000 employees.

Assumptions: Average working days per year: 220. Average working hours per day: 8. Reliance on IT: 50%

26 billion UKP / 300,000 = 86,666.66 UKP (av. contribution per employee per year)

86,666.66 UKP / 220 = 393.93 UKP (av. contribution per employee per day)

393.93 / 8 = 49.24 UKP (av. contribution per employee per hour)

49.24 UKP x 50% = 24.62 UKP (lost business productivity per employee when IT not available)

Analysis of recurring incidents for the payroll application being unavailable over a 6 month period reveals 150 incidents (one per user) with an accumulative down-time of 200 hours for all users.?

This is LBP of 4,924 UKP over 6 months for one incident type.

相关来源

btw,今天也学了一招如何讲课了，要做顾问、讲师，就得有IBM、HP、MS的工作经验，而且最好还不要呆在中国办事处，完了每句话里必须带上个把E文单词，这个单词还不能让人听不懂，不然人家会认为你拽，人家听懂了还可以自慰一下自己的外语水平。语间句就不必带E文了，嗯嗯啊啊的中文英文都一样，切记，这将给你收益终生。

Internet Security and Acceleration (ISA) Server 2000 Service Pack 2 (SP2)提供了对于ISA Server 2000的最新更新，同时提供了更高的安全性，可靠性和稳定性。

可以在Windows 2003上跑ISA了，大家都来更新吧。

相关漏洞修补

杰出的经济学家杨小凯先生不幸于2004年7月7日逝世。2004年7月8日9时30分，部分在京中国留美经济学会的会员和北京大学中国经济研究中心部分教员在中国经济研究中心万众楼沉痛悼念杨小凯先生。

借个地方缅怀一下我大学时期－现在最喜欢的经济学家。

姓 名：
?杨小凯?
学 历：
?博士?
毕业学校：
?美国，普林斯顿大学经济学博士?
专 业：
?经济学
?
工作单位：
?澳大利亚MONASH大学?
职称或职务：
?教授
?
E_mail：??
xiaokai.yang@buseco.monash.edu.au??
?
简 历：?
现职: 澳大利亚MONASH大学讲座教授 (January 2000 - present) 哈佛大学国际发展中心研究员 (September 1998 - present) 澳大利亚社会科学院院士学历:美国，普林斯顿大学经济学博士 (1988)
?

新版的项目管理的bible出来了，PMBOK 2004，好久不折腾0day，下本这玩意还真费了我不少功夫，，据权威消息，从2005年9月开始，大家伙就得考这个版本的了（还好早过了，不然又得学习学习了），下回来后赶紧翻了一下，主要看了个大概，发现了一些趋势了。

1、PDCA以前的版本是放在质量管理里讲的，现在把PDCA的图放到Section 3.1了，可见这个玩意已经相当风靡了。

2、关于风险部分与2000版有较大的差别了。

3、还没看那么仔细呢？休息、休息一会儿……

BTW，我的博客堂密码遗失了，费劲千辛万苦才找回啊，那个用邮件找回密码的玩意似乎不好使啊，人家comment我都收得到，就是找回密码无效。

首先声明：这个不是利用GOOGLE找相关的存在漏洞的论坛、CGI页面什么的啊……

这个是俺在浩瀚无垠的互联网上冲浪的时候发现的一个不错的项目－google?hacks，现如今的人可真是创意无限啊，里面的一些项目确实有意思。

给大家转过来看看，或者直接去这里查看。

MS Download网站从6月3日开始发布了一系列的WSUS的相关文档的下载，但似乎下载的链接都是404错误，估计还没有最后发布，不过想着也就是这几天就能看到WSUS了，WSUS跟SUS比还是有了很大的改观了的。

• 支持更多的MS产品了，比如Office,SQL,Exchange（这个估计比较受欢迎）
• 根据不同产品的更新自动下载更新程序（废话）
• 增加了语言支持（估计还是没有中文）
• 使用2.0的BITS
• 可以将更新应用给目标计算机或目标计算机组
• 在更新安装前可以判断是否适用于某台计算机（估计对于重要服务器帮助不会太大）
• 增加了更多的部署选项
• 增加了报告模块
• 灵活的数据库选项
• 数据合并以及导入/导出功能（可以做服务器的备份了）
• 公开API可以进行功能的扩展

让我们拭目以待吧.

补充一下：现在可以下载了(2005-6-7 10:30) http://download.microsoft.com/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe

为了考虑SUS用户的升级，微软给出了一个升级文档（http://www.microsoft.com/downloads/details.aspx?FamilyID=150e795e-ae32-4d47-a6b8-e01f918aae93&DisplayLang=en）。

我简单看了看，可真够复杂的，尤其是以前的SUS装在2000系统上的用户，比重新装一个麻烦太多太多了，估计在这个SUS上升级的用户不会太多的，不过MS的做法偶还是非常认可的。

自netstat增加了o参数后，Win2003 SP1和XP SP2（未测试）又增加了一个新的参数－"b"，还是非常好用的，可以显示出进程名了。

netstat /?

显示协议统计信息和当前 TCP/IP 网络连接。

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

? -a??????????? 显示所有连接和监听端口。
? -b??????????? 显示包含于创建每个连接或监听端口的
??????????????? 可执行组件。在某些情况下已知可执行组件
??????????????? 拥有多个独立组件，并且在这些情况下
??????????????? 包含于创建连接或监听端口的组件序列
??????????????? 被显示。这种情况下，可执行组件名
??????????????? 在底部的 [] 中，顶部是其调用的组件，
??????????????? 等等，直到 TCP/IP 部分。注意此选项
??????????????? 可能需要很长时间，如果没有足够权限
??????????????? 可能失败。
? -e??????????? 显示以太网统计信息。此选项可以与 -s
??????????????? 选项组合使用。
? -n??????????? 以数字形式显示地址和端口号。
? -o??????????? 显示与每个连接相关的所属进程 ID。
? -p proto????? 显示 proto 指定的协议的连接；proto 可以是
??????????????? 下列协议之一: TCP、UDP、TCPv6 或 UDPv6。
??????????????? 如果与 -s 选项一起使用以显示按协议统计信息，proto 可以是下列协议
之一:
??????????????? IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
? -r??????????? 显示路由表。
? -s??????????? 显示按协议统计信息。默认地，显示 IP、
??????????????? IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息；
??????????????? -p 选项用于指定默认情况的子集。
? -v??????????? 与 -b 选项一起使用时将显示包含于
??????????????? 为所有可执行组件创建连接或监听端口的
??????????????? 组件。
? interval????? 重新显示选定统计信息，每次显示之间
??????????????? 暂停时间间隔(以秒计)。按 CTRL+C 停止重新
??????????????? 显示统计信息。如果省略，netstat 显示当前
??????????????? 配置信息(只显示一次)

Sample:
UDP??? 192.168.164.1:123????? *:*??????????????????????????????????? 1524? W32Time? [svchost.exe]

?

都是一些个Bullshit，自己虽然不喜欢，可必须得迎合听众的需求，于是乎就备忘一下，囫囵吞枣地看完了许许多多的类似的玩意，自己也有了一些整合的意思，基本上已经能分出一些层次了，但口中所言涵盖不了心里所想，破秃笔头更记录不下口若悬河啊，无奈无奈。

· COBIT——Control Objectives for Information and related Technology was originally released as an IT process and control framework linking IT to business requirements. It was initially used mainly by the assurance community in conjunction with business and IT process owners. Beginning with the addition of Management Guidelines in 1998, COBIT is now being used more and more as a framework for IT governance, providing management tools such as metrics and maturity models to IT Governance Institute COBIT Mapping complement the control framework.
· ITIL——The IT Infrastructure Library is a collection of best practices in IT service management. It is focused on the service processes of the IT and considers the central role of the user.
· ISO/IEC 17799:2000——The Code of Practice for Information Security Management is an international standard, based on BS 7799-1. It is presented as best practice for implementing information security management.
· ISO/IEC TR 13335——The technical report Guidelines for the Management of IT Security contains information on IT security management not only from the planning perspective, but also from the implementation and maintenance perspectives.
· ISO/IEC 15408—— Security Techniques—Evaluation Criteria for IT Security is used as a reference to evaluate and certify the security of IT products and services.
· TickIT——TickIT provides a scheme for the certification of the software quality management system. It intends to improve the effectiveness of the quality management system and targets customers, suppliers and assurance professionals.
· NIST 800-14——The special publication Generally Accepted Principles and Practices for Securing Information Technology Systems contains information for establishing a comprehensive IT security program.
· COSO——Integrated Framework defines a framework that initiates an integrated process of internal control.

在讨论标准的时候，很少见有人提到过MS的MSF和MOF，MSF没有细看，不过MOF在下倒是十分推崇的，可能对于MS，大家都只记住其霸权主义，留意高管纷纷离职去了，抑或是MS对于已经有人先入的标准，提不起什么兴趣来的缘故吧。
下周准备学Cobit了，对于Cobit，兴趣主要来源于前期自己悟到的一些东西跟Cobit的一些东西很雷同，于是就颇有些神往了，又懒得去看这些没有翻译好的东西，于是乎就去培训培训吧（好像就Cobit这一套东西是最冗长的了，而且还少图）。

再放张图，尽管观点不敢苟同。

COBIT的全称是“Control Objectives for Information and related Technology”，上世纪90年代早期由IT治理协会提出，至今（2005年）已是第三版，COBIT目前已成为国际上公认的IT管理与控制框架，已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效地利用信息资源，有效地管理与信息相关的风险。