最近事太多了，加上自己的一些事情！

一周要分析21个地市的安全域划分，晕啊！

Blog这两天顾不上更新了，先缓一缓再说。

上周去郑州参加同学聚会，没时间写纪念，但是要补上的。改天再说！

今天无意中在CHINACISSP上看到了driftergu的一篇文章，感受很深，现转贴过来，供自己参考：

六年如逆旅，我亦是行人   ------  一个顾问的六年安全从业经历

前言

在屏幕上敲下这行改自苏轼原诗的句子，就觉得心中突然少了点什么，虽然不至于说是丢掉了清白，但起码应该是少了某种良好的习惯，就象呆惯了阴暗的房子，现在决定要走到太阳底下去。实际上我心里也明白，写这篇东西就等于是开始说话，从此就不再是沉默的大多数中的一员了。用电影行话来说，走出这道门，那从此就是江湖中人了，生死由命、富贵在天。

为什么还是要写这篇东西呢？仔细想来，倒不是自觉道行够了，可以开口说话——恰恰相反，正是认为自己一个人在路上摸索久了，才希望能有伙伴能交流一下，这是其一。其二来源于前段时间一件小事，有个朋友毕业要找工作，是信息安全专业的研究生，他就对安全这个行当（对于从业者而言，安全是个“行当”profession，我一直是这么觉得的；说是“行业”industry，明显不妥，电信、金融才是行业）不甚了然，希望能得到过来人的指导。我那时就觉得有必要把自己的心得拿出来分享一下。想当年，2001年的我新入行时，也是倍感迷茫。

既然决定开口了，那到底说什么呢？安全行业的过去现在和未来？本人一直是干活的，没机会高屋建瓴来俯视、剖析，恐怕写不来；信息安全的前世今生？无数的专家学者及业内大牛已经阐述过，已经细致到了某个标准、某项技术、某类产品、某个行业，一个顾问甚至都不敢谈上自己“懂”这些标准技术产品行业，更加写不来。那最后只剩下个人的从业经历了，这个好！既不涉及精深的领域，又俨然业内人士；藏着可以说是敝帚自珍，拿出来可以说是个人“愚见”、“所得”，真是居家旅游两相宜。正所谓，“演员圈里说相声，相声界里做演员”。

      SOX法案共11章，其中1-7章主要涉及对会计职业及公司行为的监管，8-11章主要涉及如何界定和追究公司白领犯罪的刑事责任。

      从IT的角度看SOX法案，主要有4款与IT部门有关，分别是302条款、404条款、409条款和1102条款，其中影响最大的是302条款和404条款。

• SOX 302：公司对财务报告的责任。
  • 要求企业的CEO/CFO必须就内部控制的缺陷和重大变动向审计委员会进行汇报，302条款已于2002年7月30日生效。
• SOX 404：管理层对内部控制的评估。
  • 会计机构在其编制和发布的公司财务报告中必须出具该公司管理层的关于内部控制效力的证明和汇报。针对不同的企业类型，404条款的生效时间不尽相同，针对$75M以上的美国企业是2005年12月15日生效，其它的原计划2006年7月15日生效，但最近又有变化，已经推迟。

这几天图书在打折，昨天偷闲去海淀图书城的第三极去买了几本书：

• 《赢》：管理类的书只需要此一本。很久之前都零星看过，路过很多盗版书摊，一直坚持没买的。这次买了本精装的，以收藏；
• 《水煮三国》：也是看电子本好久了，买一本闲的时候看看吧；
• 《易中天品三国》：易中天的旋风确实是够大的，有人说品三国就是品人性，果然是如此；
• 《华为真相》：又一本描述狼文化的书。之前对华为的了解甚少，所以买来一看；
• 《IT服务管理、控制与流程》：科索路咨询出的书。无意中看到的，作为知识的汇集与入门还是不错的，想看他们的第二本：《IT风险管理与内部控制》，让书店的人找了找，没有，估计还没出版。

      上周内部培训时，向产品支持部门的工程师介绍几重要信息安全标准，都是一些比较简洁的、总结性的语言,在每一标准之后，尽量用一句总结与BS7799的差异。主要内容如下：

• BS7799系列（ISO/IEC 27000系列）
• ISO/IEC TR 13335系列
• SSE-CMM
• ITIL和BS15000
• CC
• CoBIT
• NIST SP800系列

之前站点用的一直是800×600的分辨率，因为考虑到当前主流的分辨率是1024×768，所以800×600分辨率的网站看着还行。

但自从买了T60后，我的标准分辨率就变成了1400×1050了，所以800×600就看就非常不爽，想到以后大家的分辨率会越来越高，所以就将原站点的800×600改成1024×768（其实是比1024×768还小一点）。

今天没有时间了，以后我会改成自动根据用户的分辨率来决定用哪一种方法显示。