两天前写了个2006年的InfoSec Hype Cycle，因为是参考Gartner的曲线，所以容易被人误解为Gartner的作品，这里作出说明：完全是个人对中国信息安全市场的理解，内容也是一家之言，谨慎参考。

      为了不至于“混淆”大家的视听，我这里搬出Gartner原版的Hype Cycle，呵呵，不要高兴太早，原版Hype Cycle可是US$495块大洋，偶是买不起的，所以手头也没有完整版，这里奉上的也是在Gartner网站可以找到的文字摘要。

      几天前转了一篇关于05年安全市场预测的老文章，本来想展望一下06年的安全市场，一直未找到权威的专业报告，借着赵博士的创意，参考Gartner公司的技术发展曲线，根据这几年对安全市场的理解，做了个Information Security 2006 Hype Cycle。

      在我们的服务体系里，最主要的服务是安全运维服务。服务的内容就是通过专业的安全服务方法（咨询、评估、加固、检查、响应、培训等），协助客户建立高效的安全运维中心，提高安全管理能力，实现可管理的安全服务体系。

      为什么我们将安全运维服务作为我们服务的重心来做？实际上，在整个IT产品的生命周期中，运营阶段占了整个时间和成本的70% - 80%，其余的时间和成本花费在产品开发（或采购）上面。因此，具有良好效果（Effect）和效率（Efficiency)的IT服务管理对于IT的成功运用至关重要。同样属于IT服务中的安全服务也是类似。

      那么今天我们先不谈以上所说的安全运维服务的详细内容，而是从更广的概念上，了解一下有关IT服务的一些基本概念和服务管理的要素。

      Web 2.0 正在让互联网逐渐找回Internet的真正含义：平等、交互，去中心化。你不应该只是互联网的读者，你也应该是互联网的作者；

      你不该只是在互联网上冲浪，你本身就是波浪制造者。Web 2.0 之于Web 1.0 ，如同分布式计算之于集中式计算，网格之于大型主机。

---- 摘自ZDNet上陈许的一篇文章

      我在站点信息里说明，设立本站的目的之一就是想作为我Web 2.0技术的实践平台，而上面的那两句话是我认为对Web 2.0与Web 1.0区别的最佳诠释。

      昨天写了一篇“我们该卖些什么？”，里面相当多的思想是基于个人对整个信息安全市场发展的理解。于是想起了在04年底时我写过的一篇文章，发在之前的Blog上，现在将原文转贴如下：

      通过对《信息安全服务体系》PPT的介绍来讨论：

• 当前的信息安全市场状况及2005年的发展认识；
• 2005年销售部门及技术部分重点方向；
• 实现重点发展方向的思路讨论；
• 讨论我们的信息安全服务体系、服务实施方法（服务概念，服务方法）

说明：一家之言，仅供参考。

      最近一段时间逐步完善我的Blog系统。两天前注册了del.icio.us，今天准备在flickr上创建一个自己的相册，可结果却让自己非常郁闷！

      准备注册ID的时候，跳转到Yahoo的注册界面，虽然知道flickr已经被Yahoo收购，没想到这么快也将注册整合到了一起。要命的是，目前我使用的ID无论是shencb还是scb99在Yahoo上都已经注册！

      我很少使用Yahoo的服务，无论是邮箱还是搜索。印象中在我刚接触互联网的时候（大约98年），在Yahoo上注册过帐号，很有可能这些ID都是我自己注册的，时间隔得这么久了，密码自然早就忘得一干二净！可气的是，Yahoo ID的密码找回还要填什么Zip Code，鬼知道我当初填的是什么！想尽了一切办法，用了九牛二虎之力，还是没能够找回这两个ID的密码！

      最近一段时间，我们花了较多的精力在讨论方法论的问题，即如何从最初的客户问题及需求落实到最后的解决方案及产品等。在这里，我不再对方法论的问题进行讨论，而是根据自己对安全产品和解决方案的理解，针对一些具体规模或类型的客户，谈一下我公司可以提供的产品或解决方案。

      如非特殊说明，在以下的内容中，产品和解决方案选择均来自于三个方面的综合：

• 客户的问题（需求）；
• 市场成熟解决方案；
• 我公司优势解决方案。

      以上三个方面是个统一的整体，不能抛开这三个因素的任何一个来谈我下面所说的内容。当然本文纯粹为一家之言，所以听者谨慎。

      BS7799-2于2005年10月正式成为ISO标准。标准号为ISO 27001。
 
      BS7799-1即ISO 17799:2000也正式更新为ISO 17799:2005，更新后的17799涉及了11安全控制章节，如下：

• 安全策略（Security Policy）
• 信息安全的组织结构（Organizing information security）
• 资产管理（Asset Management）
• 人力资源安全（Human resources security）
• 物理和环境安全（Physical and environmental security）
• 通信和操作管理（Communication and operations management）
• 访问控制（Access control）
• 系统采购、开发和维护（Information system acquisition, development and maintenance）
• 信息安全事件管理（Information security incident management）
• 业务连续性管理（Business continuity management）
• 符合性（Compliance）

      相对与2000版本，新版的变化较多，增加了事件管理（Incident Management），同时原有的几个章节也更加符合当前信息安全的定义。名称的描述也更贴切。

      上午又去了趟驾校，刷了2个小时的时间，仅练了一把车，学了侧方位停车和百米加减档，一共就20来分钟，却付出了一天的时间和20块打车钱。

      学车真是个麻烦事，花钱倒是个小事，主要是没有时间和精力。

      我是04年9月报的名，学了10个小时后，就再也没去过驾校，直到05年底，觉得再不学就过期了，所以春节时又去学了几把，陆陆续续地把时间刷得差不多了。40多个小时后把杆给考了，虽然不理想，但磕磕碰碰地也过了。

      昨天上网查了一下MBA的分数，竟然已经下来了。

      总分162分，其中英语59，综合103。总体来说有两点意外：

• 英语分数超出预估

      考试完后，根据初期公布的答案（非标准答案，是MBA英语教师所做的答案），主观题60分中我只能得32分左右，这比考前的预期差了很远。因为我英语的强项在主观题中的阅读，而根据答案我的阅读40分中竟然只能得24分左右，真是大跌眼镜，不过答案中的某些选项我认为是不合理的；而客观题的40分里，英译汉20分我自认为翻译的还可以，除最后一道完全没理解外，其它基本都正确。而作文，虽然事先我对作文的命题完全猜中（看图作文），但没有时间背范文，写得可谓一塌糊涂！所以我的最终估分大概在49 - 55分之间。

      从最后的结果来看，比我的最高估分还高了5分左右，可以说明两个问题：1）阅读部分我对初期答案的质疑是正确的；2）作文的评卷可能比较松。

      今天测试了一款BroadWeb公司的IDS/IPS产品，折腾了一个下午，电话也打了好几个，竟然没有搞通，比较郁闷。很久没有“亲自”动手测试东西了，没想到竟然一下午没结果，难道真是“动手能力”下降了？

      公司一直没有比较理想的主推IDS/IPS产品，年前郭峰介绍了一个台湾的IPS厂商，想让我测试一下，由于春节前事稍多些，结果一拖就是现在。上周和那个厂商联系了一下，到公司来介绍了一下产品，据说在台湾自99年开始便开始IDS/IPS研究，并且是世界范围内最早出IPS产品的一家。