继续读书笔记
我的手表回忆
小时候邻居叔叔出差给我带了一块电子手表,只要翻开表盖就会自动响起来电子乐儿歌。当时觉得好神奇,至于表是什么颜色的,早已记不起来。只记得人家还没走,我便一个人躲在卧室已经把表摆弄坏了:表盖的塑料卡口断掉,盖子再也盖不上了,手表就一个劲儿的响个不停。当时好害怕老爹骂我,只好把表塞进被子里。最后那块表跟我其他的玩具一样,消失在了儿时的记忆。
小学时候仍旧喜欢带表,尤其喜欢看着电子表上面的“冒号”一闪一闪。那时候流行黑色塑料表带的电子表,印象中好像很便宜,因为每玩坏一块或者没电了一块,老爸都会给我买块新的。在网上翻了很久也没找到那种经典的黑色塑料的电子表照片,很是遗憾。
中学以后带的表基本上都是十来块钱地摊上买的石英表,只要表盘好看走的准,其他的都不在乎,那时候好像对手表没什么兴趣。一直到大学毕业,再戴着一个十来块钱印着“SEIKO”的假货到处逛游实在不雅,那年回家参加哥哥婚礼以后赶飞机回成都走的着急,把那块地摊表忘在了家里,给了自己一个换表的决心。那几年觉得卡西欧就是我能消费起的最好品牌了,在克服了强烈的仇日情绪后,在亚马逊上购入了第一块品牌腕表:卡西欧MQ-24-7B。这块表戴了三年时间,期间换过电池,换过表带,从来没有出过故障。
今年对我来说是个特殊的年份,我的户籍信息从未婚变成了已婚。一直琢磨着除了首饰以外,还需要什么东西纪念自己的婚姻。想来想去还是手表最合适,主意下定后就开始逛各种腕表论坛,爱表族是个不错的去处,传送门:点击这里。
石英表还是机械表?这是个问题。石英表的优势蛮突出的:走时准确,机芯轻薄,携带方便。缺点也很突出:没有任何纪念和收藏意义。当有一天石英机芯损坏了,这块表也就彻底作古了。反观机械表,只要做好保养,戴上个十来年是不成问题的,即便某个零件坏掉了,拿到售后都可以把一个个齿轮卸下来,换个新的上去,仍旧跟新表一样。不过机械表走时不准误差较大的毛病恐怕不是每个人都能忍受的,如果上链不够,动能不足,机械表还会停摆。价格方面机械表也要比同品牌的石英表贵出很多。因为这次选表就是为了纪念,所以毫不犹豫的选择了机械表。
品牌方面,基本分为瑞士表、日本表、国产表三大阵营。先说国产表,飞亚达、罗西尼、海鸥应该是国产表的代表产品了。不过国人对机械表机芯的设计制作能力不足以让我放心,所以国产表首先被pass。日本表知名的有卡西欧、西铁城,话说西铁城的光动能技术还是很先进的,只要照照太阳就能走,这对懒人们来说相当有诱惑力。瑞士表常见入门品牌有天梭、美度、梅花、汉密尔顿,天梭基本上成了街表,只要是机械表十个有七个都得是天梭,不够个性。梅花的造型较为复古,不符合我胃口。汉密尔顿的表盘普遍是42mm尺寸的,我这小细手腕显然不合适。选来选去只剩下了美度这个小众的牌子,恰好也符合我低调的目的,免得跟人“撞表”,多尴尬。
很多人会认为表是奢侈品,花几千甚至上万块买只手表是种浪费,我不这么认为。很多人愿意花四五千块买只iPhone 却不知道雪豹是神马东西,可这只装点门面的iPhone 的寿命不过三到四年。花同样的价格买块机械表,寿命却可以长达几十年,哪个更划算恐怕显而易见了。我建议花自己两个月工资以内的预算买表,基本上不算是高消费。回想父辈年轻时,买只上海手表都要一百二十块,可那时候老爸的工资只有每月三十多块钱。所以这样的花销不能算出格。
美度隶属于SWATCH集团,分贝伦赛丽、完美、舵手、布鲁纳几个系列,设计灵感大多来自于欧洲的知名建筑,我选择的贝伦赛丽系列的设计灵感据说来自优雅的小提琴,详细信息可以去官网查询。媳妇从网上找到图片以后推荐给我,第一眼就喜欢上了这款:M8600.4.14.1 淡黄色的表盘颜色有别于传统的黑色或者白色,仿佛历经沧桑一般经久不衰。三角锥切割设计的刻度和指针尤其另类,据我观察,所有瑞士表只有美度的贝伦赛丽是这样的设计,十分个性。双向上链的ETA2824-2机芯,稳定性极佳,25颗钻石轴承设计确保了误差极小。
目前戴了一周时间,每日误差快4秒左右,这个水准可是天文台认证级别的,媳妇的天梭卡森女款,每日误差也是10秒左右,相当令人满意了。买表当天媳妇其实也看中了美度的贝伦赛丽女款,咖啡色表盘把她给迷住了。可一算价格,打完折也要五千块,媳妇还是不舍得。曾一度表示要取消这次购表计划。经我反复劝说,最后确定了天梭卡森。
郑州几大商场在腕表方面的折扣不同,总的说来百盛还是比较优惠的,逢五一、母亲节这类节日,基本都有八折的活动,要买表的朋友可以关注。
信息安全管理标准,其实是安全底限标准--ISO 27001学习笔记之一
0x01 信息安全管理标准,其实是安全底限标准
信息安全管理目前成熟的标准较多,常见的有ISO/IEC 27000族标准(囊括27001至27012所有标准)、公安部主导的等级保护标准(涉及国计民生的各信息系统均需依照此标准建设信息安全,如政府、教育等行业)、国家保密局主导的分级保护标准(所有涉密系统和涉密单位必须遵守的信息安全标准)、上市公司必须遵守的萨班斯法案等。
看似不同行业需遵从的标准过多,不利于理解和建设,实则本质是相同的。
毕业之初曾有幸参与某国有研究所的分级保护测评项目,对这一密不外宣的分级保护标准有过一定时间的亲密接触。分级保护标准由于其涉密性,除因特殊工作外,这套标准原文只允许在当地保密局借阅。现在开始学习ISO27001之后才发现,其实两套标准的核心是惊人类似的。
归结成一句话即是:信息安全管理标准,其实就是安全底限标准,其核心就是以某种划分依据将信息系统、信息资产分为相应的保护层级,分类设计保护措施和管理流程。所有标准要求的管理流程、管理方法、技术措施,都是对一条底限的不断描述。只要不突破这一底限,信息安全管理就是基本可信的,风险就是处于可控状态。
ISO27001的附录A就是ISO27002的纲要,相当于一个信息安全的最佳实践集合,罗列了133条控制措施,这些措施即是信息安全实践的底线而不是全部。在具体实施过程中可以按照组织特点无限制增加控制措施。一旦缺少了某些控制措施,则信息安全建设体系就不完整,也即某一方面的安全管理存在短板和风险,这样的安全管理体系就不是可信赖的。
0x02 信息安全建设的目标绝不能闭门造车
很多企业的信息安全建设目标,都是安全部门或者IT部门单独设计的。这样的管理在安全建设之初不会有明显问题,但时间久了无法保证安全建设方向与企业要求保持一致。
ISO27001标准明确之初了这一问题。标准在0.2章节描述“过程方法”时指出:
a.理解组织的信息安全要求和建立信息安全方针与目标的需要;
b.从组织的整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;
简单理解就是,信息安全建设的目标必须保持定期与企业管理层(甚至董事长本人)保持沟通确认,从企业发展战略或五年规划/三年规划出发,从IT本身建设方向出发,设计符合这些方针、方向的信息安全目标,确保安全工作有的放矢,方向不乱。同时,也只有企业最高决策层认可信息安全建设目标,才可以确保每年在信息安全方面的投入不被克扣。
ox03 信息安全建设的成果必须可考量
在0.2章节描述“过程方法”中,标准这样说道:“基于客观测量的持续改进”;
这点读起来拗口抽象,但我理解其重要性特别高,甚至可以一定程度上决定安全组织的存在与否。
任何组织的发展都必须保持PDCA循环的持续改进,这样的发展才是健康、有序的。这样的组织,才可以建设可信赖的安全体系。
那么,持续改进的输入是什么呢?零散的问题挖掘可以一定程度上驱动安全体系的改进优化,但零散问题的挖掘并不系统,也不能保证全面性,导致的结果就是改善并不能确保连续性,改善的方向也不能保证科学正确。因此,标准要求必须有客观的后果测量。简单说就是绩效要可衡量。如何衡量一个安全体系的绩效与成果呢?这就要求必须设计有一套完整的KPI体系,比如病毒感染率、网站攻击拦截率、机密级以上文件外泄比率等等,通过一套公式或考核办法,计算出阶段性安全成果,依次来考量安全体系的绩效与成果。这样的考核机制不仅可以提现安全组织的工作成就,也可以显性的识别出安全建设的短板,从而持续改进信息安全体系。
0x04 驳信息安全标准无用论
在乌云论坛看到一位核心白帽子说,标准神马的太死板,没有生命,限制了思想自由,目的是一劳永逸和忽悠老板。
窃以为,这是不理解标准内涵的看法,也是对标准的误解。
诚然,依据ISO27001建设的安全体系也不能保证企业网站永不被攻破,更不能保证企业网络永不被黑客成功渗透。那是否可以以此判断标准无用呢?显然不是。安全标准是行业内多位专家根据不同国家不同行业的成功实践经验,凝结成的管理套路。因此,ISO标准从不限制使用行业,他是普遍适用的。当各行各业的安全建设尚处于无序和盲目的阶段时,只有依据这样规范的、系统的标准来建设信息安全管理体系,才可以确保安全管理工作的完整与可靠。
同时,ISO标准核心的PDCA理念,也是一个企业、一个组织开展任何工作的制胜法宝,这种科学的理念是不容置疑的。
标准是为了让管理更科学、更系统,而信息安全工作历来是管理+技术并重的思路,因此,在管理可靠的基础上还需要引入安全技术的力量。比如安全风险评估、渗透测试等等工作,都离不开技术力量的支持。这时,白帽子们擅长的攻防技术、攻击技术就有了用武之地。
抛开技术谈管理,是纸上谈兵。
离开管理玩技术,是没头苍蝇。
《思科九年》读书笔记之一
这两日在招一个咨询项目的标,从售前沟通到方案准备;从审阅标书到商务谈判,也算是紧紧张张地着实忙了几天。
在这个过程中不免又想起了这本读过最少六次的旧书:《思科九年》。在过往的那些故事里,好像我会是里面的某个角色一般,真实而又朦胧。
又翻出了当年的一些读书笔记,记载了当时的想法,现在看看,仍旧符合现在的心态,姑且炒个冷饭吧。
茶缘
0X01 缘起
最开始喝茶,是刚刚从成都回来的时候。每天上班时间从九点钟突然变成早八点,意味着起床时间整整提前了一个半小时,这对于把睡懒觉当习惯的人来说简直无法忍受。不得已,从家里搜刮来老爸不喝的茶叶,泡来提神而已,谈不上品饮。
中间有一次从柜子里扒拉出来一盒样子很特殊的茶,透明PVC盒的大包装,真空压缩的一个个小独立包装,有点意思。拿到办公室泡了一杯,谁知周围几个同事都说香。现在想来,那应该是第一次和铁观音结缘吧。那股子特殊的香气,吸引我直至现在。
0X02 寻缘
为了买茶,试过很多途径:去超市买过散装观音;去路边的茶店买过几泡高中低档的观音;去淘宝网购过,不过我只在论坛里面口碑好两家店买茶;还托兄弟从厦门买过当地的观音。这中间难免的吃过亏上过当,比如昨天才喝了一泡“香精茶”,就是从路边店淘到的假货。
经验总结:
1.买茶不比买其他,不要以为实体店的东西一定比网店靠谱。反倒是高昂的房租水电费用,逼迫着(我宁愿相信他们都是被逼卖假货的)身旁周围的茶店卖出一泡泡的香精茶和拼配茶。从三醉论坛和茶语清心论坛,寻摸了两家口碑不错的网店(燕子坞和香茶小铺),茶的品质算不上一等,但至少东西不掺假不拼配,价格平易近人,总之一句话,东西对得起价格。
2.不要总觉得喝茶很花钱。我算过一笔帐,咱老百姓一般也就喝两百块一斤的茶,一天一泡来算,一斤可以消费两个多月,平均每个月花费不到一百块。可如果抽烟的话,以三天一包十块钱的红旗渠这种轻量级烟民消费速度来算,一个月也要花掉一百块钱。同样是每月一百块的花费,喝茶带来的健康显然不是抽烟可相提并论的。
0X03 品缘
起初喝茶只为提神,远没有到品饮的阶段。这半年内差不多才慢慢有了点感觉,其实品茶更多的是一份心境,让自己安静下来,没那么浮躁和烦躁,看着金黄色的茶汤,反思自己一天的得失,是一件很惬意的事情。
铁观音作为半发酵的乌龙茶,茶香还是非常丰富的。中档的观音用盖碗来泡,一揭盖就可以闻到很明显的兰花香,再闻杯盖,一股特有的奶香,闻起来十分的舒服。不过我至今仍喝不出来绿茶的香味,曾喝过同事很高档的龙井,除了苦涩外实在没能感知到其他体验,惭愧惭愧。
经验总结:
1.由于茶客对茶香的过分追逐,导致茶商开始在香味上作假。比如我昨天喝的那泡标价560块一斤的铁观音,第一泡下来奶香味十足,一揭盖离着有十来公分就可以闻到冲鼻的香气。但四泡之后,茶汤颜色尚在但十分寡味,好比普通观音八泡之后的味道那般单薄。这种茶十有八九是用香精处理过的,以次充好的代表作。所以切不可过分追求茶香高昂,据说,极品铁观音反而茶香很含蓄,也许就是传说中的以柔克刚吧~
2.香精茶在绿茶中较常见,铁观音这种乌龙茶由于不好存放(一般需要在零下四度冷藏以保鲜),添加香精的手法还不是特别多,反倒是拼配的制假手段特别常见。最初的拼配铁观音,是指的大厂为了保证品牌茶的品质稳定,使用不同产地的观音干茶以固定手法拼配而成,甚至在安溪当地还有拼配大赛之说。这种不是假货,而是行业发展所需,毕竟观音的发酵技术不比普洱有方可循,品质本就不固定。但市面上现在的拼配,更多的是用其他乌龙茶和观音拼在一起以做冒充。比如用本山或毛蟹与少量观音拼在一起,当作低档铁观音出售,这就十分可恶了。
刚入门的茶客几乎无法区分多达几十种的乌龙茶叶,这种拼配茶的口干也是千奇百怪,难以区分。不过从叶底倒是可以看出些许端倪:铁观音的叶片是正椭圆形,上下左右是几乎完全对称的,叶片边缘的锯齿较为平缓。而本山的叶片则无法完全对称,表现是一头大一头小,靠近叶梗的一段明显要瘦小。毛蟹较为矮胖,接近正圆形,而且叶片边缘的锯齿很尖锐,不平滑不说,还特别的无规律。
0X04 杂七杂八
受最近几年炒作影响,喝茶的人几乎都在追捧紫砂壶。好像喝茶不用紫砂壶,就是门外汉。其实不然,紫砂壶这种泥料烧制而成的茶壶更适合泡普洱或红茶,泡铁观音这种香高的乌龙茶,还得是瓷的盖碗才好,更容易体会茶本身的香气。我个人偏好纯白瓷的盖碗和品杯,看起来特别纯净。如果有缘,一个盖碗可以用几十年后传给晚辈,若干年后搞不好也是文物一件呵。反倒是紫砂这种炒作起来的东西,距离我等小老百姓太过遥远。
办公室喝茶显然不允许用盖碗这种功夫茶具了。普通的口杯或保温杯泡绿茶没问题,可泡铁观音就不行了,铁观音每泡最多只能浸泡一分钟左右,时间久了茶汤苦涩,香气也散了。有两种推荐,一是用飘逸杯,方便快捷,可以很轻松的掌握浸泡时间和茶汤浓度。二是用独享杯,目前在办公室我用的就是一屋窑出的玻璃独享杯,杯盖反过来就是杯托,内胆可以取出来放在上面,起到茶汤分离的作用。
糖葫芦和牛--边界安全如何选择
下午和团队讨论边界安全的方案,再次面对着糖葫芦和牛的问题,在这儿唠叨两句。
关键的自我定位--2011项目小节之一
0x01 背景
自2010年十二月起,至2012年春节前,我花费了接近十四个月的时间在这个项目上。这是一个全公司范围的项目,目标是搭建一套几乎所有办公室白领都会接触并使用的IT系统,在满足日常办公需求的同时加强安全管理力度。看似简单却暗藏玄机。
0x02 原则之一:清晰的自我定位
公司几乎所有IT项目的团队结构都很类似:
- 一名开发人员担任技术负责人,解决上至架构下至代码的所有技术问题,出具每一份技术实现方案并为之负责。
- 一名system admin担任系统负责人,搭建该IT系统所需的服务器、数据库、网络通信设备等全部底层资源,并实施必须的监控工作,完成IT系统在底层资源上的部署。
- 根据需要设立的一名或多名应用人员,测试验收系统功能并实施上线,间或有用户培训、答疑等运维任务。
- 最后是一名项目经理,负责项目目标明确与计划设计,项目组日常工作安排与任务验收,确保项目保质按时完成。
在这样的结构中,如果每一位项目组成员都各司其职的话,项目经理其实只需设计好项目计划,拆解完成每日工作计划和交付清单,并协调好所需的全部资源即可,工作单纯而轻松。
但在项目过程中却多次出现职责不明造成的进度延迟、重大问题没有责任人等一系列问题。究其根源还是定位不清晰造成的。例如,系统部署上线过程中出现问题,系统功能无法正常使用。项目经理由于是工程师出身,亲自操刀进行原因分析乃至代码调试工作,技术负责人见势只好退居二线,问题迟迟得不到解决,进度一再延后。同时每个人都感觉自己付出了很多努力却仍旧无法解决问题,团队也形不成合力,没有斗志。
在类似这样的问题中,项目经理只需明确问题重要性后进行恰当的任务分解:技术负责人限期完成代码调试分析;系统负责人提供及时必要的测试环境支持;应用人员设计高效严密的测试清单;项目经理完成最终的验收确认即可。亲自捋胳膊上阵不但于事无补,反而喧宾夺主的抢了别人的责任。
只有明白自己是什么样的定位,时刻清楚的记得自己的职责,不越俎代庖,项目团队才能高效而又协同。
0x03 原则之二:时刻记得项目目标
由于项目实施周期历时十四个月之久,在推进过程中难免因为客观困难干扰或成员间悲观情绪蔓延等因素,造成工作目标不清晰,看不到工作方向,不明白为什么要做这样的工作。
举例:出于安全性考虑,系统某一功能的用户体验设计始终距离用户需求存在明显距离,在多次面对面沟通和用户培训现场,项目组成员都频繁听到用户尖锐的批评和毫不留情面的抱怨。这时有人提出,为了提高系统使用率和客户满意度,有必要重新设计系统功能,减少对用户这一操作的干预,放松对用户的监管和捆绑。
从局部利益和短期效果来看,这一提议无可厚非。但这一提议却恰恰犯了项目大忌:忽视项目目标。这一项目在立项之初就已经确立了“安全至上”的基本原则,任何理由都不应成为挑战这一原则的借口,哪怕是暂时的用户对立情绪或是糟糕的客户满意度。领导层自然会理解并全力支持,可一旦忘记了项目目标,即使取得了一些短期效益,在项目最终验收或结项时,势必会无法自圆其说,留下严重风险。