在长沙呆了两个月，中途去了趟乌鲁木齐。乌鲁木齐不错，羊肉串很好吃，就是天黑得太晚了，有点适应不了。最近的几个项目都有点郁闷……突然有一种恐慌感。

厦门，一个不错的地方。比较适合生活。来了两周了，和Lee研究了下悠游图，因为时间有限，线路也比较难确定。就只是去鼓浪屿玩了一下午，喝了好多海水。哈哈，赚大了。前两天入手了一台canon IXUS 80 IS，暂时用这还不错，有个牛X的功能“颜色交换”。可以把海水变成红色的，出来的效果就是在一片血水中。推荐一下，作为入门级的机器还可以。

今天去和Lee一起去买了两套正装，跟老板娘忽悠半天也没给我们打折，NND，魅力不够啊。明天去廊坊，听CC说那边还不错，不过好像不能上网，所有赶紧先扯扯淡。JS和CC都已经在那边了。

实在自己都不知道写什么。乱写一点凑数算了。希望全国的朋友，认识我的朋友、网友、商业上的合作伙伴，都他妈的好。每天都是数着钱、抱着MM睡觉。

悠游厦门，正在计划中。

继续出差中

刚从贵阳到长沙。

长沙的电视只有五个台，搞得一同事连球赛也没法看。还好还好。

从上海--北京--上海--昆明--成都--贵阳--成都--贵阳--上海--武汉--长沙--乌鲁木齐--长沙--怀化--贵阳--长沙。不知道下一站是哪里。呵呵。继续出差中。

前天晚上刚到的武汉。

唉！好长时间没回武汉了。工作的地方可以看到东湖，确定不错。呵呵

在JS的老婆那看来的。

1、工作
工作狂基本上都是70后的。
80后拒绝加班！90后拒绝上班！

2、KTV
70后唱K的时候只会张学友和刘德华的，然后就拼命拉着你喝酒，不让你唱。麦霸一般都是80后；90后不只会唱，还会跳！

3、话题
70后的话题除了工作就是股票。
80后的话题更多，有英超、魔兽......
90后的话题都很Q，如QQ等级，QQ秀......

» 阅读全文

iso27001信息安全管理和内控体系是个交集，关于两者的不同点，考虑了一些，如下：
1.1 iso27001与sox内控的主要不同点
1、目的和关注点不同，内控涉及的信息系统范围和内容比安全管理体系(iso27001)小。
安全管理依据iso27001是国际标准，是为了保障组织系统安全，关注整体信息系统的完整性、保密性、可用性。
内控是为了满足美国证监会对上市公司财务报表数据真实性的要求，主要是针对与财务相关的系统，关注点在数据的真实性。

from:http://www.4v1.org/thread-487-1-1.html

» 阅读全文

在安全管理领域，最神秘的事情之一就是入侵者的行为方式。入侵者会做什么事情？以及他们是如何来做的？同所有重大的秘密一样，它也让许多人产生了浓厚的兴趣，同时也解释了关于实际网络攻击的书籍和教程大受欢迎的原因。如果你不具备所有正当访问权限的话，抛开违反法律不谈，对网络进行攻击可能令人乐趣无穷并且增长见识，然而事实却是，我们当中的绝大多数人并不需要知道如何去进行攻击。坦率地说，成为一名优秀的渗透测试人员仅仅需要参加一个多星期的课堂教育。而此外还需要信守承诺、奉献精神、直觉及对技术的良好悟性，不用说，还有对做事情的规则及正当方法的公然漠视。在许多情况下，这些技术并非绝大多数安全管理员能够具备，或者说必需的。在绝大多数时候，雇佣一些这样的人来实施网络渗透测试，这样做成本低廉并且能够达到更好的效果。职业渗透测试人员发现问题的能力将会高人一筹，同样还能清晰地找出导致这些问题的根源。那么，为什么那些讲述网络攻击的书籍或课程如此受到欢迎呢？嗯，坦率地说，这主要归咎于网络攻击的神秘性和其认知难度。同样地，如果一名系统管理员有能力实施基本渗透测试的话，那么他的价值将会得到提升。然而，本章的侧重点稍有不同。对于具体网络攻击如何发生的细节，我们的叙述也许并非一清二楚，但首先我们需要对导致问题的那些操作实践有相当清醒的认识。这是经过深思熟虑的做法。其中至关重要的部分并不是展示如何来对某些东西实施攻击，而是展示入侵者如何利用你犯下的错误。这使得你可以通过避免犯这些可能被入侵者所利用的错误，来保护你的网络。

» 阅读全文

第一：我希望家人，朋友平平安安，健健康康。

第二：希望工作能更上一层楼。

第三：希望2008年咸鱼翻身！努力努！

第四：希望天灾人亡的事件减到最低，也希望世界和平。

第五：希望每一位朋友飞黄腾达。

第六：希望。。。希望，不懂还有什么愿望。。愿大家开开心心。。

079ba6eb

明天又要去北京了。启明的项目。

这次又不知道要多长时间了，上次去北京忙得不行

没怎么和朋友联系，这次有机会有大家联系联系

juan_5515 北京

反思一下当前的安全标准热：
因为中国的信息安全发展目前相对落后，缺乏标准和理论体系，所以大家都把眼光投到国外，于是从Rainbows 到CC,从bs7799到iso13335 ，SSE -CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ，加拿大的，澳大利亚的 ...,一时间大家纷纷大谈标准，以及各种基于标准的认证，尤其是在安全服务领域，有一部分人还对各种国外标准盲目迷信和崇拜，似乎不谈标准就什么也干不成，不谈标准就不够专业，纷纷找来五花八门的东西，一方面还得借助英汉词典读着这些艰深晦涩的东西。

» 阅读全文