先说一下“不可量化”的：

• 健康状况好一点：老生常谈之锻炼身体，2007年要养成一种锻炼身体的习惯吧，无论是羽毛球、跑步或者是游泳；
• 英语口语要提高：英语学习实际也是老生常谈，我困惑的主要是口语，没有环境也要找到一个学习口语的方法，年底要上个档次吧；
• 专业能力要提高：这个是最虚的，我现在连学什么都还不知道，主要看07年的业务和项目进展情况，可能要在审计方面下些功夫，而从长远的职业规划来看，财务、金融知识是我需要大量补充的。具体的内容就从CISA、CoBIT、SOX入手吧……

再说一点实际的：

• 制造下一代产品：这是今年的重头戏，意义无需多讲！
• Apple iPhone：这个一出来我就喜欢的东西，可能5月份会在国外上市吧，计划到年底时弄一个替换掉我现在的Dopod D700。

       

在Gartner的Magic Quadrant for Enterprise Antivirus, 2006中，对魔方图里的几个防病毒公司都有一些Comments，我摘录一些要点：

1、Symantec

• 仍在忙于在整合Veritas；
• 开始在SAV 9和SCS 2中整合anti-spyware的功能；
• 2005年在企业桌面安全（Enterprise Desktop Secuirty Businiess）方面有两个动作，即整合Sygate和WholeSecurity：
  • Sygate gives Symantec a best-of-breed PFW, policy enforcement, on-demand functionality...
  • WholeSecurity's offering is a unique form of intrusion prevention that will be incorporated into Client Security...
• Symantec虽然在桌面和企业防病毒市场取得重大的成功（50%以上的market share），但从长远看，SMTP和HTTP的恶意软件防护才是市场增长点，但Symantec的E-Mail安全网关表现令人失望，且没有HTTP恶意代码防护的产品；
• Managed Services and Software as a service will become major growth opportunities for the enterprise, SMB, SOHO and consumer markets...

2、Trend Micro

• Trend Micro继续的亚太地区（Asia/Pacific）保持高速增长；
• 和Symantec的Sygate和McAfee相比，Trend Micro缺乏一个企业级的PFW产品。到目前为止，Trend Micro没有HIPS（Host-based IPS）的产品或功能模块，而且的计划中也没有类似安全套装（a converged security client）的产品。Gartner认为，未来针对于防范未知恶意代码的产品是非常重要的；
• Trend Micro在维持与Cisco的关系方面投入了太多的精力。Gartner甚至警告说不要将鸡蛋放在一个篮子里（Trend should be careful not to put all eggs in the Cisco basket...），因为Cisco完全有能力随时并购另一家防病毒公司；
• Gartner认为微软进军防病毒市场对Trend Micro的影响最大，因为Trend Micro的主要市场是基于Exchange的防病毒产品和InterScan Web Security Suite(IWSS)，而整合了Sybari的Exchange，结合微软的市场优势，将会使Trend Micro失掉这个市场。

3、McAfee

• McAfee成功的阻止了竞争对手对其市场的侵蚀；
• McAfee重视与ISP的合作，发布了Falcon这个和Norton 360、Live OneCare相竞争的MSS产品；McAfee的Total Protection Solutions包含了anti-spyware、PFW、intrusion prevention和policy enforcement模块，以及一些网关防病毒、防垃圾邮件产品等；
• McAfee的主要技术优势是它的ePolicy Orchestrator(ePO)和Host-based Intrusion Detection。McAfee的管理平台 - ePO，由于能够整合Foundstone的Vulnerability detection功能而得到用户的期待；而其PFW也功能强大，但和Symantec Sygate相较仍有不足。

经过漫长的、比蜗牛还慢的速度，终于将Movable Type 3.34从sixapart上拖了下来，升级了一下，没发现有什么改变。

这几天连接国外的速度还是有点奇怪，时快时慢。记得从上周五下午开始，连接速度开始变快，周六在家通过ADSL连接我的后台，觉得速度飞快。没想到今天一上班，速度又降了下来，现在的速度尚还可以忍受。

MT 3.34我放到这里了。

-EOF-

将站点迁移到BlueHost后，速度一直很慢，登录到页面发布Blog是一个很痛苦的事情。所以想装一个Blog的客户端发布工具，从网上搜了一下，Zoundry和Windows Live Writer挺好，所以就试一下：

• Zoundry：互联网上对它的评价是最好Blog客户端发布工具，但我安装挺不顺利，设置我的Blog时，可能是由于速度的原因吧，进程死掉好几次。好不容易配置好了，但觉得不适应；
• Windows Live Writer：配置很方便，能够识别出来我后台使用的是Movable Type，所以一路顺利。发布界面也是WYSWYG，不需要预览的。所以这篇文章就是用WLW写的。

安装过程中解决的问题：

• 口令问题：配置客户端发布的用户名和口令并不是MT登录时的口令，而是MT提供的Web Services接口口令，缺省的口令需要在用户Profile配置里Reveal查看，或者修改成你想要的；
• Tag问题：WLW支持很多知名的Tag，也可以自定义。我不知道MT内置的Tag怎么自定义，但我之前安装了KeywordsAsTags这个插件，而WLW持Keywords！所以我的支持MT内置Tag的问题解决了！

尚未解决的问题：

• Basename问题：我的单篇文章归档用的是category/entry_basename.html这种方式，但我在WLW里还没有找到如何设置文章的basename的地方，很是郁闷！总不至于我在WLW里写，还要到MT后台里改吧？
• Extended Entry问题：我写文章的习惯是将比较长的内容分别写在Entry Body和Extended Entry里，这样在首页里就不会太长了影响阅读。但在WLW里我还没有找到如何分割文章的方法。

-EOF-

看到了公司的PPT里引用了一份Gartner有关企业防病毒的魔方图，在互联网上很容易的找到了它，下图就是这个Report的核心内容：

         
Gartner对2006年企业防病毒的市场主要定义是：防病毒是个很成熟的市场，20.9亿($2.09 billion)的市场总值中，80%的市场份额被Symantec、McAfee和Trend Micro瓜分；2006年市场总体增长率下降到10%，Gartner称之为一个稳定的(stable)数值；大部分的增长来自于网关市场和一些如MSS这类新形服务，当然，消费者市场和SMB市场仍然是重要的增长领域。

虽然防病毒是个成熟市场，但Gartner认为在未来的5年，也有一些因素可能导致市场发生轻微变化：

• 当前主流厂商对一些新型威胁（如rootkits、spyware、spam等）的响应速度较差、服务和支持不理想、对原有用户的续购策略过于强硬等都会给竞争者带来机会；
• 当前防病毒技术正处于由传统的基于特征码的病毒防护(signature-based)向更新智能的、具有预知功能、主动防御(proactive defenses)等过滤的时期，这也会给市场带来变化的可能。Gartner在报告的后续部分也一再强调了这一观点；
• 过去的防病毒市场基本上有面向消费者市场和面向企业市场这一明显区别，但随着互联网及技术的发展，这一区别将不再很明显，因此，新型的面向消费者市场价格体系、策略等将会毫无疑问的影响到企业市场；
• 当前主流厂商的对基于E-Mail和Web威胁的防护都不很重视，或反应速度比较慢，因此会给一些小的厂商带来机会；
• 来自小厂商的竞争将增多等。

下面我将分析一下在Gartner的报告中，突出表现的几个观点：

有个朋友的朋友托我看看他的朋友的网站存在什么问题，好象被攻击了。电话打过去一聊才知道是网站最近经常Down机，找到系统管理员沟通一番，才知道不是被DoS，而是长久以来就一直不稳定，3天2头重起（听起来怎么这么熟悉？），后来找人弄了一下后，可能稍好了一点。

让他告诉我域名，上去看了一下：ASP系统，有BBS。找个工具简单扫一下，结果让我大吃一惊，FTP、IIS、pcAnywhere、BBS全都存在严重漏洞，随便一个IIS的漏洞都能获得最高权限。BBS也是一个国内常见的系统，数据库路径、名称全部为缺省值，直接可以下载下来………这个汗啊！

这个朋友的朋友的朋友创业已经好几年了，他的网站上线业已经3年多。他从事的行业竞争也相当激烈、众多的竞争对手，天天都会发生互挖墙角、互相拆台的事情；他的网站不仅仅是一个宣传门脸，也承担着一部分的业务流程，而且这个业务流是必须的…………这样的一个网站，竟然能够在裸奔中度过了这么多年，真的不容易啊！

虽说我现在是做安全的，但我不是黑客出身，不懂很深奥的黑客技术，更不像一些黑客们有事没事就在网上扫来扫去，所以也真不知道现在的互联网就是这个样子。看来那些流氓软件、恶意木马等之所以能够泛滥流行是因为他们有如此肥沃的土壤啊…………

在信息安全领域，Due Care实际上是说一个企业要制定各种各样的策略、规程和标准等，用来对企业信息资产的保护，也就是企业应该做的事情；而Due Diligence则是要保证Due Care要做的那些事情要一直保持在最新状态（being continually maintained and operational）。

下面这一道来自互联网的题比较有助于理解：

Which of the following would violate the Due Care concept?

A. Security policy being outdated
B. Data owners not laying out the foundation of data protection
C. Network administrator not taking mandatory two-week vacation as planned
D. Latest security patches for servers only being installed once a week

根据上面的解释：

A - Due Diligence：制定Security Policy是Due Care,但没有更新就是Due Diligence
B - Due Care: 必须要保护数据安全，这个是Due Care,如果你制定了要保护数据安全，但没有做，就是Due Diligence.
C - Due Diligence：要求定期的休假是Due Care,但没有去休假就是Due Diligence
D - Due Diligence：要求打Patch是Due Care；而每周打一次，不能保证时刻保持系统为最新，违反了Due Diligence.

Due Care就是应该做的事情，有点像计划；Due Diligence则要保证Due Care在执行。

      新换了BlueHost服务，没想到速度会这么慢，海底电缆的影响现在还存在吗？直接访问Blog，可能是因为全部是静态页面吧，速度倒还可以，但配置站点、更新文章时候的速度到了难以忍受的地步。比DreamHost的主机要慢很多，真是出我的意料之外。

      一直没有搞过WEB编程，MT的配置似乎又很复杂，大量的功能需要使用Plugin来实现，各种各样的折腾是必然的了。看来，需要在本机上搞个测试站了。前两天将我的机器又升级了一根内存，现在是1.83G的双核T60，装备2GB RAM，终于可以运行多个虚拟机了！

      先拿Ubuntu开刀吧：

• 安装和配置Ubuntu
• 配置WEB服务
• 安装配置Movable Type

事先将MT及常用的Plugin上传到/home/duecare目录下。下面是一些操作命令记录：

cp mt-3.33.tar.gz /var/www/cgi-bin
tar zxvf mt-3.33.tar.gz
mv MT-3.3 mt
mv mt/mt-static ../mt-static
cp mt/mt-config.cig-original mt/mt-config.cgi

修改mt-config.cgi文件内容如下：

##          Movable Type configuration file                   ##
######## REQUIRED SETTINGS #############
# The CGIPath is the URL to your Movable Type directory
CGIPath    http://domain-name/cgi-bin/mt/

# The StaticWebPath is the URL to your mt-static directory
StaticWebPath    http://domain-name/mt-static

#=========== DATABASE SETTINGS =============
##### MYSQL #####
ObjectDriver DBI::mysql
Database blod_db_name
DBUser blog_db_user
DBPassword blog_db_pwd
DBHost localhost

登录phpMyAdmin配置如上内容的数据库，注意数据库名称和用户名，BlueHost上的数据库名和用户名缺省都在前面加上系统的帐号名作前缀。

配置完成后检查确认：http://domain-name/cgi-bin/mt/mt-check.cgi

如果检查通过即可进行初始化：http://domain-name/cgi-bin/mt/mt.cgi

剩下的是Step-by-Step了。

1、安装Apache

sudo apt-get install apache2

详细安装配置的这里就不再说了，很复杂也很简单，复杂的请参考手册，简单的比如像我配的，只更新了域名和CGI目录。需要了解的有以下几个：

缺省的Apache2配置文件是/etc/apache2/apache2.conf
缺省的虚拟主机配置文件是/etc/apache2/sites-available/default
缺省的DocumentRoot是/var/www
缺省的CGI目录是/usr/lib/cgi-bin

如果要配置一个新的虚拟主机或站点，在同一目录中将拷贝该文件并将新文件重命名为所想要的文件名，如：

sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/duecare

配置完成后重起：

sudo /etc/init.d/apache2 restart

2、安装MySQL

sudo apt-get install mysql-server mysql-client

一旦安装完成，MySQL服务器应该自动启动。可以在终端提示符后运行以下命令来检查 MySQL 服务器是否正在运行：

sudo netstat -tap | grep mysql

缺省状态下，管理员密码是没有设置的。所以安装完成了MySQL后的第一件事就是配置MySQL的管理员密码：

sudo mysqladmin -u root password newrootsqlpassword
sudo mysqladmin -u root -h localhost password newrootsqlpassword

可以编辑 /etc/mysql/my.cnf 文件来进行基本设置 — 日志文件、端口号等。

配置完成后重起：

sudo /etc/init.d/mysql restart

3、安装PHP等其它组件

后面的这些安装都是傻瓜式操作，我也没进一步配置，所以一并写到这里了：

sudo apt-get install php5
sudo apt-get install libapache2-mod-auth-mysql
sudo apt-get install php5-mysql
sudo apt-get install php5-gd
sudo apt-get install phpmyadmin

安装完成后再将Apache2重起一下：

sudo /etc/init.d/apache2 restart

OK，所有的准备工作都完成了。登录测试一下吧。

      安装Ubuntu比安装容易之极，傻瓜都会。之前从网上下载的Ubuntu 6.10 x86 Desktop，700MB左右吧。我安装的时候直接选择了简体中文，所以完成后的界面就已经是简体的了。安装后的一些基本配置：

1、更新源

sudo cp /etc/apt/sources.list /etc/apt/sources.list_backup
sudo gedit /etc/apt/sources.list

 有很多更新服务器列表，我使用的是亚洲官方更新源：

deb http://cn.archive.ubuntu.com/ubuntu edgy main restricted universe multiverse
deb http://cn.archive.ubuntu.com/ubuntu edgy-security main restricted universe multiverse
deb http://cn.archive.ubuntu.com/ubuntu edgy-updates main restricted universe multiverse
deb http://cn.archive.ubuntu.com/ubuntu edgy-backports main restricted universe multiverse
deb http://cn.archive.ubuntu.com/ubuntu edgy-proposed main restricted universe multiverse
deb-src http://cn.archive.ubuntu.com/ubuntu edgy main restricted universe multiverse
deb-src http://cn.archive.ubuntu.com/ubuntu edgy-security main restricted universe multiverse
deb-src http://cn.archive.ubuntu.com/ubuntu edgy-updates main restricted universe multiverse
deb-src http://cn.archive.ubuntu.com/ubuntu edgy-backports main restricted universe multiverse
deb-src http://cn.archive.ubuntu.com/ubuntu edgy-proposed main restricted universe multiverse
deb http://mirror.lupaworld.com/ubuntu/ubuntu-cn edgy main restricted universe multiverse

这个据说是杭州电信的线路，我的北京网通速度还可以。将以上内容替换掉sources.list里的全部内容，存盘退出，执行以下命令更新：

sudo apt-get update
sudo apt-get dist-upgrade

不过第一次更新的内容太大了，我的网速又不快，所以是在以后让它自己慢慢更新的。

一、Blog与网站的历史：

      从2004年开始写Blog，最早的时候用一些免费的BSP。Blogchina、Donews、MSN Spaces上都有我的帐号，但只有和讯真正用过一段时间，后来就中止了。

      06年时网络上看有人推荐DreamHost，新用户一年只需要22.4美金，所以就注册了一个帐号。没怎么想，也不知道目的，用自己的名字注册了个域名：SHENCB.NET，我也有独立的域名了。断断续续的写了一年，确实没有找到感觉。

      07年DreamHost要续费了，两个原因决定我要新换个用户注册：一是在原有基础上续费没有折扣；二是原有域名感觉不好。于是DueCare就诞生了。

二、换域名的周折：

      在DreamHost上看到有个‘9999’的Promo Code，可以折掉99美金。于是我就注册了DueCare.Info的域名（DreamHost不支持.BIZ域名，.COM和.NET已经被人注册），谁知道在注册的时候忘记输入Promo Code，结果信用卡立马刷掉了我119美刀，FAINT！立即去了封邮件取消交易，还好DH回复也很快，冻结了我的帐号，但refund至今还没有完成。

      更加郁闷的是，DueCare.Info再不允许我用别的帐号交易了，除非我重新起用那个没交易成功的帐号。于是乎我要么放弃DueCare.Info，要么放弃我那119美刀，或者就是放弃DreamHost的服务！或许是对DreamHost服务人员给我的答复不满，我最终选择了后者！

      又从网上查了很多美国的主机托管商的资料，好象也只有DreamHost才给新用户这么大的折扣！比较了一下，决定用排名第一的BlueHost吧，1年95.4美金。从决定注册，到用北京网通ADSL可以通过DueCare.Biz域名访问，一共只用了10分钟！我很疑惑DNS更新怎么会如此之快，连BlueHost都告诉我至少需要1个工作日的。

三、下一步的计划：

      Due Care是个意义很广的词，详细的意思可以参考这里。在CISSP All-in-One这本书里有这样三句话：

• A company practices DUE CARE by developing security policies, procedures, and standards. Due care shows that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, tis resources, and employees from possible risks.
• DUE DILIGENCE is practiced by activities that make sure that the protection mechanisms are continually maintained and operational.
• If a company does not practice Due Care and Due Diligence pertaining to the security of its assets, it can be legally charged with negligence and held accountable for any ramifications of that negligence.

      由此可以看出，在这里我将主要指信息安全领域。安全咨询将会是今后这个站点的重点，我将原有栏目作了些调整，同时还将原网站的两个主要目的互换了一下位置，变成：

• 安全咨询技能的积累；
• Web 2.0技术实践平台。

      希望这是一个好的开始吧。