naka共享空间: 计算机与 Internet

公司需要我们做什么?

Mon, 28 Jul 2008 05:45:36 GMT

公司需要我们做什么？够所有it人员喝一壶的。。。。

　　要求每台电脑都能接入公司内部网络;办公区的电脑以及分支机构的电脑能接入互联网;库房及生产车间的电脑接入公司的局域网，要求与广域网隔离。

　　公司将会建设自己的ERP、CRM等系统，要求IT基础设施提供支撑;

　　公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，国内外分支机构与总部之间需要经常开会讨论;要求用IT设施来提高效率并节省成本。

　　公司与分支机构之间经常会传输大量的数据与文件，要求IT设施能够最大限度的提高公司与各分支机构之间的数据传输速度，同时保证数据传输的安全性;

　　公司网络安全性、稳定性要求比较高，同时有对公司内部文件的安全保密的需求;

　　公司在国内外分支机构之间不愿意支付大量的话费，要求IT基础设施能提供voip功能;

　　公司希望能够有效控制员工的上网行为，比如：老板不受任何限制，其他按照不同的岗位来区分是否能够浏览所有网站、是否可以QQ，是否可以BT，看电影，看视频等等，上下班时间有不同的上网权限等等;

　　公司希望每个员工根据职位的不同，对内部局域网资源的访问权限不同;

　　公司希望无线局域网覆盖整个办公区域;(不包括各个分支机构)

　　公司部分领导、销售部员工经常出差，有远程接入公司网络、移动办公的需求..............

MySQL是否继续开源

Fri, 25 Apr 2008 09:02:44 GMT

MySQL是目前最受欢迎的数据库之一，这种“民望”一直以来都是得利于庞大的开源社区。但是，现在这个社区的一部分成员对开源MySQL现在的发展趋势表示了异议，并对这个开源数据库将来的发展忧心忡忡。危机和问题都来自于Sun已经给MySQL投资的十亿美金。当社区成员质疑Sun的用意时，MySQL选择坚守阵地，并为同僚辩护。

　　就在上周，Sun的MySQL分部预告了MySQL 5.1的发布计划，这款数据库有望在今年六月份登陆市场。实际的发布时期比原来的计划推迟了好几个月，而距离上一个版本MySQL 5.0的发布已经过了两年半。MySQL同时还介绍了目前已经进入Alpha开发阶段的MySQL 6的一些新特性。其中，MySQL 6最引人瞩目的特性是数据库的在线备份。但是，在线备份特性的一部分功能将不会在MySQL社区版本中出现，而只会提供给商用的MySQL企业版。(MySQL提供了一个免费的社区版和一个付费的商业版)。

　　这一举措已经在一些博客和开源网站Slashdot.org上引发了对MySQL的激烈抨击。这场大爆发的导火索始于MySQL的顾问Jeremy Cole的一个博客帖子，Cole在帖子中声称，由MySQL开始只在企业版数据库提供一些特性可以看出，MySQL正在改变其开发模式。Cole在帖子中是这样写的，MySQL企业版的用户群规模远小于MySQL社区版，这意味着这些重要特性只能由少数客户进行测试。所以，实际上。他们只会将真正的没有经过测试的源代码交给付费的客户，也就说这些特性的源代码将不再为公众开放。

　　Cole的观点引起了很多人的共鸣，包括MySQL的顾问Vadim Tkachenko，他也对MySQL的开放性表示了质疑：记得一年前，MySQL Proxy还只是提供给企业客户使用，没有提供给公众广泛应用。所幸的是，去年的时候MySQL还是全面开放了其源代码。现在，我们又看到MySQL数据库的新特性只提供给企业客户。而事实上，Sun更倾向于在开源协议下开发新软件，但MySQL则决定将“选择性”部分开源，将为下一个版本所开发的新特性“封闭”起来。

　　MySQL前首席执行官，Sun现任高级副总裁Marten Mickos在Slashdot.orgm网站上的一系列帖子中对此进行了辩护，并澄清了MySQL的开源承诺和未来发展定位。

　　MySQL的发言人Steve Curry则在接受媒体采访时证实了Marten Mickos所发帖子的真实性。目前只将高端的增值特性提供给付费用户看起来是一种有益的模式，MySQL的合作伙伴和客户都觉得这样很好。也有很多用户认可这个做法。当然，并不是所有的人都是这样认为的。MySQL当然希望能够让所有人都满意，但事实上恐怕不能做到。

　　Mickos还很坚决的表示，MySQL的技术发布计划以及关闭某些技术功能的源代码的决定并没有受到Sun的影响，他指出，MySQL 5.1和6.0的开发计划及其相关的商业决策都是在被Sun收购之前就已经做出的决定，所以和Sun无关。Mickos指出，事实上，Sun还询问过他公司是否应该将所有备份功能的源代码公开，而他在接下来的几个月里会和他的同僚讨论这个问题。

　　这个事件中所表现的群情激愤在开源社区里并不是什么新鲜的事情，而MySQL只给付费的客户提供特定组分的源代码也不是第一次了。451 Group的分析师Matthew Aslett认为，MySQL以前就曾宣布数据库设计工具MySQL Workbench会有一部分功能的源代码不开放。而在这之前的2006年十月，MySQL也引进了Network Monitoring和Advisory Services的企业版本;此外，在2007年八月，MySQL从社区的FTP下载站点关闭了企业版本源代码的打包下载。

　　MySQL的发言人Curry指出，MySQL无意“闭源”或削减MySQL服务器的功能。无论是在Sun的旗下还是原来的MySQL，其战略都是围绕着在开源GPL许可下提供全功能的MySQL社区数据库服务器。MySQL的社区版是专门为那些具备一定技术擅长自己动手的开发人员，那些会为了省钱而选择花费一定事件自己为自己提供技术支持的开发人员而设计的。而MySQL的企业版本则是为那些希望能通过多花点钱来获得一些额外服务从而节省时间的企业客户而设计的。

　　Curry还指出，MySQL的很多决定还没有最终盖棺定论，而且MySQL仍然希望得到客户和社区的反馈。也就是说，MySQL希望能够大家不要受到少数过激声音的煽动，放下成见，并公正公平的讨论这个问题。

保护DNS服务器十大技巧

Wed, 23 Apr 2008 02:06:41 GMT

DNS软件是黑客热衷攻击的目标，它可能带来安全问题。本文提供了10个保护DNS服务器最有效的方法。

1.使用DNS转发器

　　DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力，把查询请求从DNS服务器转给转发器，从DNS转发器潜在地更大DNS高速缓存中受益。

　　使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话，这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器，而是让它使用转发器来处理未授权的请求。

2.使用只缓冲DNS服务器

　　只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈，它把结果保存在高速缓存中，然后把结果发送给向它提出DNS查询请求的系统。随着时间推移，只缓冲DNS服务器可以收集大量的DNS反馈，这能极大地缩短它提供DNS响应的时间。

　　把只缓冲DNS服务器作为转发器使用，在你的管理控制下，可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器，只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性，因为你不需要依赖你的ISP的DNS服务器作为转发器，在你不能确认ISP的DNS服务器安全性的情况下，更是如此。

3.使用DNS广告者(DNS advertisers)

　　DNS广告者是一台负责解析域中查询的DNS服务器。例如，如果你的主机对于domain.com 和corp.com是公开可用的资源，你的公共DNS服务器就应该为 domain.com 和corp.com配置DNS区文件。

　　除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置，是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险，包括缓存中毒，增加了安全。

4.使用DNS解析者

　　DNS解析者是一台可以完成递归查询的DNS服务器，它能够解析为授权的域名。例如，你可能在内部网络上有一台DNS服务器，授权内部网络域名 internalcorp.com的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时，这台DNS服务器通过向其他DNS服务器查询来执行递归以获得答案。

　　DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用，你也可以让它仅为外部用户服务，这样你就不用在没有办法控制的外部设立DNS服务器了，从而提高了安全性。当然，你也可以让DNS解析者同时被内、外部用户使用。

5.保护DNS不受缓存污染

　　DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前，就保存在高速缓存中。DNS高速缓存能够极大地提高你组织内部的DNS查询性能。问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话，用户就有可能被送到恶意站点而不是他们原先想要访问的网站。

　　绝大部分DNS服务器都能够通过配置阻止缓存污染。WindowsServer 2003 DNS服务器默认的配置状态就能够防止缓存污染。如果你使用的是Windows 2000 DNS服务器，你可以配置它，打开DNS服务器的Properties对话框，然后点击“高级”表。选择“防止缓存污染”选项，然后重新启动DNS服务器。

6.使DDNS只用安全连接

　　很多DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。DDNS能够极大地减

　　轻DNS管理员的管理费用，否则管理员必须手工配置这些主机的DNS资源记录。

　　然而，如果未检测的DDNS更新，可能会带来很严重的安全问题。一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新的DNS主机记录，如果有人想连接到这些服务器就一定会被转移到其他的机器上。

　　你可以减少恶意DNS升级的风险，通过要求安全连接到DNS服务器执行动态升级。这很容易做到，你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。这样一来，所有的域成员都能够安全地、动态更新他们的DNS信息。

7.禁用区域传输

　　区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权特定域名，并且带有可改写的DNS区域文件，在需要的时候可以对该文件进行更新。从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。

　　然而，区域传输并不仅仅针对从DNS服务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变，允许区域传输倾倒自己的区域数据库文件。恶意用户可以使用这些信息来侦察你组织内部的命名计划，并攻击关键服务架构。你可以配置你的DNS服务器，禁止区域传输请求，或者仅允许针对组织内特定服务器进行区域传输，以此来进行安全防范。

8.使用防火墙来控制DNS访问

　　防火墙可以用来控制谁可以连接到你的DNS服务器上。对于那些仅仅响应内部用户查询请求的DNS服务器，应该设置防火墙的配置，阻止外部主机连接这些DNS服务器。对于用做只缓存转发器的DNS服务器，应该设置防火墙的配置，仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。

9.在DNS注册表中建立访问控制

　　在基于Windows的DNS服务器中，你应该在DNS服务器相关的注册表中设置访问控制，这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。

　　HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问，这些帐户应该拥有完全控制权限。

10.在DNS文件系统入口设置访问控制

　　在基于Windows的DNS服务器中，你应该在DNS服务器相关的文件系统入口设置访问控制，这样只有需要访问的帐户才能够阅读或修改这些文件。

　　%system_directory%\DNS文件夹及子文件夹应该仅仅允许系统帐户访问，系统帐户应该拥有完全控制权限。

B2C之中國Vs美國

Fri, 21 Mar 2008 07:38:05 GMT

很有意思的文章,值得看看.查了下,是个newegg的小伙子写的,支持一把:

99%的精力都放在美國市場,以至於在接到中國相關的任務的時候,居然發現自己對中國的B2C幾乎是一無所知.近幾天看了不少報告,騷擾了不少國内的同行,算是對中國的B2C有了一些直觀的認識,感覺和美國的差別還是蠻大的,這裡簡單地列一下,如有失偏頗,請及時指正:

1. 用戶.

其實用戶都是有許多要求和期待的,只是側重點會有一些不同罷了.

美國的用戶,在乎的是五大因素,價格,服務,庫存,速度以及用戶體驗,其中用戶體驗是和前四者緊密相關的,這幾個因素各有比重(價格重要,但只是1/5),而缺少1-2個因素的網站,很難生存.buy.com的價格比較好,web相關的用戶體驗也在持續改進,可是由於它們服務不夠好,所以一直為客戶所詬病,重復購物率比較低;相反newegg.com的價格已經失去過去的優勢,卻還是留下來一大批忠實的客戶.

中國的用戶,似乎沒有美國的那麽嬌氣,也就是說容易被滿足,而他們最在乎的就是價格.甚至,我們可以說,是"高度價格敏感"的.服務,庫存,速度和用戶體驗再好的網站,價格不好,就會流失很多客戶,一個典型的例子就是newegg.com.cn.

因此,便凸現出了B2C企業可能遇到的一個瓶頸:"價格瓶頸",這個瓶頸與幾個方面有關係:

1) 與賣方的議價能力.這取決於Purchaser的能力,經驗,正直,渠道合作夥伴關係的培養,以及Sales Volumn.如果沒有有效的方式去激勵和約束Purchaser,以及適量的引進產品,可能造成進价過高.

2) 公司是否願意在初期對利潤做出讓步,爭取客戶.

3) 正規公司很難逃避增值稅,而同時也不可能賣水貨,而Taobao上的小商傢卻可以,價格上就沒有優勢,這也從一個側面反映了中國C2C大勝B2C的原因(銷售額比大概在3:1,遠遠高於美國).

2. 市場細分.

我們可以從幾個角度去細分市場:商品範圍,商品種類,商傢種類.

首先讓我們來看一個事實,06年美國前500的B2C網站的縂銷售額836億美金,佔縂銷售額的60%以上,而其中前100的又佔到前500的大部分.也就是說,雖然長尾理論是美國人提出來的,而他們的市場更符合80:20規則.中國則不同,一家獨大的局面在中國不明顯,許多垂直的行業網站相對于Joyo,Dangdang這樣的巨頭來説,在某些產品領域反而有不小的優勢.對於垂直領域的網站來説,進入門坎也沒有那麽高,Niche瓜分了市場.簡單分析一下,大而全帶來的是方便與信任,小而全帶來的是專業,那麽,我們是否可以思考一個完美結合的方式呢?

按商品範圍,在美國,銷售額最高的四种商品是General Merchandise(27%),Computer/Electronics(23%),Office Supply(15%),Apparel/Accessories(12%).而中國,根據iResearch的數據,銷售額最高的四种商品是Computer/Electronics(64.7%,其中IT48.2%,家電7.1%,通訊9.4%),General Merchandise(8.9%),數字點卡(7.1%),印刷(5%).主要的銷售額都集中在IT/CE類產品上.General Merchandise/Office Supply的佔有率較低也許和國内消費者的消費習慣有關係,這一塊我個人認爲將來會有很大的市場提升空間.而Apparel/Accessories,在C2C上,銷售額是非常大的,B2C平臺卻少得可憐,我個人推測是不是和價格,以及C2C的交互性更強有關?

美國的商傢主要有幾類:Web Only,Retail Chain,Catalog/CallCenter以及Manufacture,各有一定的佔有率.而中國的廠商和大型零售商似乎對綫上交易的興趣不足,相反,最近Catalog類的公司很火,例如哄孩子,YesPPG,乐友,都拿到了數額不菲的投資.在投遞目錄的同時,還可以很好的做好市場調查和消費者反饋,另外此种方式的靈活性也是中國消費者比較容易接受的.

3. 服務

相比之下,中國B2C公司無論是在客戶服務,送貨,退貨,用戶幫助等方面都全面落後于美國.Joyo和Dangdang都遭遇了信任危機,這是一個需要改善的問題.特別是在業務高速增長的情況下,如何保持一貫的服務,是B2C公司面臨的挑戰.

4. 供應鏈

美國供應鏈的集成做的比中國好一些,也許和零售行業的相關技術比較成熟有關.例如,可以通過EDI,Inventory Balance,SCM等很成熟的技術,做好採購,補貨,分倉,供應鏈的充分信息共享,提高供應鏈的效率.而中國大多數企業沒有重視這一點(實際上也暫時還未成爲瓶頸),供應鏈的相關工作許多由人工完成,這樣降低效率,提高成本不說,還可能出現一些危機.

美國的大部分B2C都會使用Virtual Fulfillment/Dropshipping,即零庫存,從上游供應商直接向客戶發貨,許多大型的批發商/分銷商都支持這類訂單履行的方式,而且也有一些的VAN(增值網絡)來支持,EDI技術也非常普遍和發達.而中國也有部分公司做虛庫,但基本是基於人工的.今天在Joyo的網站上看他們招EDI Evangelist,職責是向供應商推廣EDI,看來他們也開始重視這一塊了.

在物流這一塊,中國也有相應的中國特色.對於美國的B2C公司來説,物流的工作主要由倉儲和配送構成,而一般採取的方式是倉儲自營,配送外包第三方,瓶頸主要在訂單的處理能力上,在配送這一塊遇到的問題不大,這個和美囯成熟的物流配送體系有關.而中國除了這兩個,還有一項很重要的工作,就是終端配送,由於中國消費者往往不相信先款的方式,他們更傾向于選擇貨到付款的方式,放心.我們可以用這個來解釋爲什麽過去newegg.com.cn的客戶主要集中在上海地區.而終端配送的服務質量,處理速度往往成爲了B2C公司的瓶頸,也成爲成本流失和客戶抱怨的主要原因.Dangdang有多次客戶投訴問題就出在這個環節.現階段要解決這個瓶頸,個人認爲最重要就是規範服務體系,做好信息的共享和集成.

5. 信用體系

美國的信用體系已經非常完善,無論是客戶信任度,信用卡,反欺詐,支付安全都做得非常成熟,它基本不會成爲一個瓶頸.而中國則相反,雖然近年來隨著第三方支付平臺的出現而有所好轉,但還是有許多無良商傢欺騙消費者,加上媒體的渲染,導致消費者對電子商務的不信任.

在美國,90%以上的交易是走信用卡網関的,10%來自于Paypal,BML,Google Checkout等第三方支付平臺,但中國則恰恰相反,這和信用卡的普及度和網站/銀行的技術實力也有不小的關係.

美國電子商務網站通常會很重視反欺詐,幾乎每個公司都會有Fraud Protection這個部門,專門負責審核訂單,不僅如此,在支付網関和銀行都會有類似的操作.中國則還沒有重視起來.

根據iResearch的調查,59.1%的用戶不在B2C網站購物的原因是對商傢的不信任.

可見信用瓶頸是一個非常嚴重的問題,它來自于外部,來自于產業本身,是大環境的問題,而不是某一個商傢可以去改變的.信用的建立,一定要構築在行業裏公司的共同努力上.相信信用危機解除的那一天,會是中國B2C飛速發展的那一天.

6. 市場營銷

美國B2C的市場營銷通常會分成以下幾個部分:

1) SEM.搜索引擎管理,即對在搜索引擎投放的收費關鍵字進行監控,維護和優化,提高訂單轉化率.

2) SEO.搜索引擎優化,提高網站在搜索引擎的Rank.

3) Online Ad.在綫廣告.

4) Tranditional MKT.傳統營銷,例如Print Ad,電視廣告,綫下事件營銷等.

5) Affiliate.聯盟營銷,通過Commission的方式,鼓勵affiliate帶來訂單.

6) CSE.比較購物引擎的產品維護,價格維護,轉化率監控.

7) In-site Campagin.

8) Merchandising.幫助品牌做Branding,少數可以賺錢的MKT職能.

9) Rebate.通常分Instant Rebate,Mail-in-Rebate,Combo/Bundle,Coupon等方式.

10) EMail.

對於美國網站,花費最多的通常在1,5和6,而中國的則以廣告和Rebate爲主,目前也有不少網站開始重視Affiliate和第三方購物社區,例如Buyren.

7. 技術

美國B2C公司主要的技術瓶頸集中在三個方面,一個是如何通過Scable的架構去優化訂單處理性能,數據庫讀寫,高可用性,安全性,以應付持續增長的業務;二個是業務流程管理如何盡可能實現靈活性更強的業務邏輯,流程,以及最大化地共享服務;三個是Web端的技術,主要用於改進用戶體驗和優化頁面加載速度.比較流行的一些關鍵詞包括:SOA,Scale-out,SaaS,Webservice,Asynchronous,GRACE,LAMP,Ajax,Mashup等.

而中國公司通常不是很重視技術,也許還沒有遇到瓶頸,許多公司不說業務集成了,連倉庫管理的義務邏輯都不全,甚至沒有辦法提供產品的Datafeed供比較購物引擎使用.早上看了個報告說Joyo在IT的投資少於1000万人民幣/年.比起Amazon的2500名程序員,許多國内公司的技術投入實在太少.整個行業的技術停滯與落後,也許會影響電子商務的發展進程.

此外,美國有許多成熟的第三方服務性解決方案公司或平臺,例如Web Analysis有HBX,Coremetrics;Affiliate有CJ,Linkshare;CDN有Akaimai,等等.這些已經形成了成熟的技術服務產業鏈,也許,不久的將來,我們也可以在中國看到不少這樣的公司,也是我們的機會.

最後要提一個成本問題.這個問題是中國和美囯都會遇到的.B2C這個行業很尷尬,毛利率大多不高,但運營成本卻不低,光是在人力上就是不小的開支,dangdang去年虧損1500万,joyo虧損9000万,其實他們營業額已經很不錯了,算算其實也可以理解,光是在人的環節上,估計都不止花掉1500万,還有大量的市場活動,Joyo還斥資建了物流中心...哎,上次在群裏和張智勇他們開玩笑說,我們請人是做IT的高工資的事情,拿零售的低工資,哪裏請得到人,留得住人?

總之,在中國做B2C,的確是一件很有挑戰的事情,需要有對中國市場和環境的了解,人脈資源,和一股不怕輸的狠勁.但,這塊餅,一定會越來越大,解決了瓶頸,縂有一天春天會來到.

杀毒引擎

Tue, 11 Mar 2008 07:37:40 GMT

需要升级病毒软件版本了，有个问题我搞不太清楚，因此查了一下定义。

杀毒引擎是决定一款杀毒软件技术是否成熟可靠的关键，什么是杀毒引擎呢？简言之，它就是一套判断特定程序行为是否为病毒程序或可疑程序的技术机制，引擎不仅需要具备判断病毒的能力，还必须拥有足够的病毒清理技术和环境恢复技术。很简单，比如一辆车，病毒库等于车轮，引擎就是发动机。只换个车轮，虽然速度有提高，但是毕竟有限。

七大策略保护企业最高机密信息

Wed, 05 Mar 2008 03:17:05 GMT

作者: 杨柳风, 　出处:IT专家网,　责任编辑: 张帅,　

　　每一个企业都有向公众和普通员工保密的机密信息，这些机密文件包括营销战略、产品流程、产品公式等，如何保护这些企业的机密数据？以下七个方面来保护企业信息安全。

【IT专家网独家】每一个企业都有向公众和普通员工保密的机密信息，这些机密文件包括营销战略、产品流程、产品公式以及公司官员的家庭电话号码以及住址。

　　保证这些重要信息的机密是一项重要任务，需要认真地规划和采取多项战略。下面是保护企业机密数据的一些方法：

网络安全：每一个企业都需要有一个网络安全计划防止文件被偷窥。除了常用的软件和硬件保护措施之外，你还需要使用口令保护特别敏感的文件。但是，由于口令能够被盗窃或者破解，因此，你需要把特别重要的信息(也许是不能有规律地访问的数据)放在光盘上，并且至少放在物理上分开的两个安全的地方。

无线安全：一个不安全的无线网络能够提供一个进入你的主要企业网络的网关，把重要的数据暴露给实施驾驶攻击的间谍、员工创建的虚假接入点和其它流行的窃听技术。要保护你的无线网络安全，你可以用WPA或者WPA2技术的形式使用WPA加密。此外，使用AirMagnet和Aruba Networks等厂商的工具能够帮助你迅速找到任何存在的虚假的无线设备。然后，你可以采取措施把那个虚假接入点从你的网络断开或者针对那些虚假的接入点加密网络。

文件加密：加密机密文件是傻瓜都知道的事情。加密能够让拥有“需要知道”权限的人方便地阅读敏感的信息，同时有效地阻止非授权人员看到这个信息。最好的情况是，即使存储了机密文件的一个光盘或者笔记本电脑丢失了或者被盗窃，除了技能高超和意志坚定的人之外，任何人都不能这个加密。主要加密厂商和产品包括PGP (加密宝贝)、开源软件TrueCrypt、DESlock+、FileLock和T3 Basic Security。

设备控制：便携式硬盘、优盘、手机和媒体播放机等设备都能够在眨眼之间获取商业机密。为了阻止轻松地传送文件，拆掉或者密封(使用胶水)你的办公室电脑开放的USB接口和FireWire端口。

文件跟踪：所有的机密文件必须只能通过提供文件跟踪的应用程序访问。这个政策将创建一个可以跟踪的记录，表明谁看过那个文件，哪一天的什么时间看的，是否对文件做过修改等。

物理安全：你的企业的最大的秘密应该不在网络服务器或者台式电脑或者笔记本电脑中。许多机构都把最重要的文件放在银行的保险柜中，只允许少数人接触这些文件。虽然一个办公室的保险柜或者一个上锁的房间也能提供银行保险柜相同的功能，但是，银行保险柜不容易受到窃贼或者不诚实的员工的攻击。请记住，至少要在两个地理上不同的地方存储文件副本，防止一个地方受到自然灾害或者人为的破坏。

政策：员工和企业合作伙伴需要了解企业的安全政策和他们在保护信息安全方面的作用。采用保密协议的方式强制建立安全指南也是一个好方法。这个协议要求签字人对于他或者她主动向非授权方泄露信息的行为承担法律责任。

　　机密能够在一眨眼的功夫内丢失。用户有必要现在就保护好这些不能说的秘密。

有效封堵各种P2P BT软件

Wed, 30 Jan 2008 05:05:55 GMT

　　1、使用注册表禁止P2P下载软件

　　编辑一个名字为KillP2P.reg的注册表文件，内容如下：

　　WindowsRegistryEditorVersion5.00

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

　　"DisallowRun"=dword:00000001[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]

　　"1"="BT.exe"

　　"2"="Thunder.exe"

　　"3"="bitcomet.exe"

　　"4"="………."

　　"5"="………."

　　要想限制哪种P2P软件的运行，只需要将P2P下载软件的可执行文件填写到1、2后面即可。将KillP2P.reg文件导入注册表后，重新启动机器，KillP2P.reg中限制的P2P软件将无法运行了。

　　2、使用组策略禁止P2P软件：

　　如果用户对注册表不是很熟悉，可以使用组策略禁止P2P下载软件。其实，组策略是注册表的另外一种表现形式而已，两者的功效是相同的。使用组策略禁止P2P下载软件的具体做法如下：

　　在“开始”菜单的“运行”中输入“gpedit.msc”就可以启动组策略编辑器。在用户配置“管理模块”中的系统指示框中选择“不要运行指定的Windows应用程序”，然后依次添加需要禁止程序的程序名称，例如BT.exe(BT的客户端)、Thunder.exe(迅雷下载的客户端)、Bitcomet.exe(比特精灵的客户端)，添加完成之后点击确定即可。这样，我们可以禁止本机运行上述列表中的所有软件，这种方法同样适用于禁止其他软件及病毒程序的运行。

　　上述两种方法可以限制常见的P2P下载软件，一旦有新的P2P下载软件出现，必须及时更新禁止软件列表。如果用户将迅雷的可执行文件Thunder.exe更名，迅雷仍然可以使用，这也是上述两种方法的局限。对于这一局限，用户可以通过网络端口限制P2P下载软件在网吧客户机的使用。P2P下载软件只要使用，一定会占用网络协议的端口，因此，我们可以通过网络设置封杀P2P下载软件。

　　3、封堵P2P的工作端口

　　P2P下载软件工作时需要打开端口，只要在路由器和防火墙的设置规则中将P2P下载软件的端口禁用，P2P软件将无法工作。端口被关闭了，P2P下载软件就无法使用了。不过，诸如“比特精灵”这样的P2P下载软件可以由用户自己设置软件的工作端口，这使得“封堵P2P工作端口”的方法有了一定的局限性。在实际应用中，封堵P2P下载软件工作端口的做法的效果还是非常好的，因为很多用户并不懂得如何改变P2P下载软件的端口。

　　4、用流量控制限制P2P软件

　　对P2P下载软件进行限速之后，P2P下载软件对于网络的影响将会被控制。目前，RouteOS及专业的路由器提供了流量控制功能，通过对网吧客户机的流量限制，以此封杀P2P软件。这样不会彻底禁止P2P下载软件，而是限制了P2P的下载速度。

　　通过网络设置，可以从源头上对P2P软件进行控制，不过，用网络设置限制P2P软件的做法有太多漏洞，不推荐使用。由于P2P对网吧网络有着致命性的影响，一些封杀P2P下载软件的第三方软件也应运而生。这些第三方软件，专门为封杀P2P下载软件开发，其效果十分理想。

　　5、用ISAServer控制P2P下载软件：

在ISAServer中的“签名”功能阻止P2P下载软件的使用，在控制台的“防火墙策略”窗口中，单击“允许内网访问外网Web服务”选项，选择菜单中的“配置HTTP”选项里“为规则配置HTTP策略”窗口，选择“签名”选项卡;单击“添加”按钮，显示“签名”窗口，在“名称”文本框中设置名称，如“BitTorrent”;“查找范围”下拉列表中选择“请求URL”选项;“签名”文本框中输入“BitTorrent”，然后单击“确定”按钮。在“HTTP头”文本框中输入“User-Agent:”，在“签名”文本框中输入“BitTorrent”，然后单击“确定”按钮。

　　用ISAServer限制P2P下载软件的方法比较复杂，但非常有效，这是控制P2P下载软件的一种最佳方案。

企业安全新威胁最危险的八大消费端IT技术

Wed, 23 Jan 2008 14:10:17 GMT

在最近接受Yankee集团调查的500名企业用户中,有86%声称,他们在工作场所至少用过一种消费端技术,其目的与进行技术创新和提高工作效率有关.
可遗憾的是,这种趋势也给IT部门带来了不少问题.举例来说,使用这些技术增加了企业的安全风险.另外,用户期望IT人员支持这些设备和服务,一旦他们在公司环境使用过这些应用,更是如此.
但在许多公司,仅仅禁用设备或者禁止员工使用消费端服务有悖于公司文化.与此同时,许多公司也无法完全依靠政策来维持所需的安全级别.

美国佐治亚州迪卡尔布县DeKalb医疗中心的信息安全管理员Sharon Finney说: “我还没听说过哪家公司的员工有时间去阅读及理解与工作环境中计算机有关的每一项政策,他们工作还忙不过来呢.我认为,我的职责就是采取措施来确保安全.”
　　另一些人则等到设备给公司带来问题(譬如安全部门在对付蠕虫或者处理带宽问题)或者设备影响了工作效率时才付诸行动,电信服务提供商环球电讯公司的安全副总裁Michael Miller就是这样.但不管公司决定做什么,应对措施总是需要权衡好这几个方面的关系: 确保员工的工作效率、恪守公司文化、没有占用IT人员的过多资源、确保适合公司的安全级别.
　　Yankee集团的分析师Josh Holbrook说: “技术消费化将成为IT部门的噩梦,因为这带来了维护和支持方面的问题,很快会占用大量的IT资源,除非IT部门采用新方法来管理员工.” Holbrook认为,禁止在工作场所使用消费端技术,这好比“打鼹鼠游戏(指与不听使唤的员工没完没了地较量下去)”.他说,同时,忽视这类技术的采用会导致安全和不安全的应用共存于公司中,这可能很危险.他提议通过内部客户服务协作方式,把控制权交给最终用户.
　　为了帮企业用户确定如何采取对策,下文介绍了已进入工作场所的八种最流行的消费端技术和服务,并且探讨了一些公司如何在安全、工作效率和理智行为之间取得平衡.
　　即时通信
　　人们使用即时通信(IM)软件来处理各种事,从确保孩子们放学后坐车回家,到与同事和业务合作伙伴进行联系等.在Yankee集团开展的调查中,40%的调查对象表示他们在工作时使用即时
　　通信技术.即时通信带来了众多的安全难题,其中包括: 恶意软件会通过外部即时通信客户软件进入公司网络; 即时通信用户在不安全的网络上发送公司的机密数据.
　　对付威胁的一个办法是,逐步淘汰即时通信服务,改而使用内部即时通信服务器.2005年底,环球电讯公司在部署微软公司的Live Communications Server(LCS)时就是这么做的.后来在2006年8月,该公司禁止员工直接使用来自AOL、MSN和雅虎等提供商的外部即时通信服务.如今,因为通过LCS服务器和微软的公共即时消息网络(public IM cloud)来传输,所有的内部即时通信消息都经过了加密,外部即时通信消息得到了保护.
　　采用内部即时通信服务器还让环球电讯公司的安全小组有了更大的控制权.Miller说: “通过公共即时消息网络,我们能够在限制程度或者开放程度方面做出某些选择.我们可以禁止文件传输、限制离开公司网络的信息或者限制某些外部URL进入 (这是传播蠕虫的一个常见方法).这大大减少了恶意活动.”
　　而且还可以采取更强硬的政策.譬如说,DeKalb医疗中心的安全政策就干脆禁止使用即时通信.Finney说: “即时通信主要是聊天类型的流量,不是个人健康信息,但它仍让人感到担心.”作为限制政策的补充方案,她封阻了可以下载即时通信客户软件的大多数网站,不过没有封阻MSN、AOL或者雅虎,原因是许多医生使用这些网站来登录电子邮件账户.她领导的小组还使用网络清查工具,可以查出哪个员工的PC上有即时通信客户软件.一旦发现,就会提醒该员工DeKalb禁止使用即时通信的政策,并告知对方: 即时通信客户软件将被删除.Finney还在考虑各种各样的方法来禁用出去的即时通信流量,不过眼下,她还使用Vericept公司的数据丢失预防工具,以便监控即时通信流量、提醒安全小组有何重大安全威胁.为此,Finney的小组就要关闭大多数互联网端口,这迫使即时通信流量集中到端口80,以便监控.
　　DeKalb医疗中心正在考虑这一想法: 安装IBM公司Lotus Notes的即时通信附件,或者为希望能跨园区进行联系的公司用户安装像Jabber这些使用自由软件的内部即时通信服务.Finney说: “没有什么是绝对的.从生产力和安全性角度来看,即时通信始终是要关注的一大问题.”
　　网络邮件
　　在接受Yankee集团调查的对象当中,50%声称自己使用电子邮件应用程序来工作.像谷歌、微软、AOL和雅虎提供的这些消费端电子邮件服务存在一个问题,就是用户自己并没有认识到使用电子邮件收发信息有多么不安全.之所以不安全,就是因为消息通过互联网传输,保存在电子邮件提供商的服务器和 ISP的服务器上.正是因为没认识到这点,许多人随便就发送敏感信息,譬如社会保障号码、密码、公司的机密数据或者商业秘密,毫无谨慎可言.
　　网络邮件方面加强安全的一个办法就是,借助利用关键字过滤器及其他检测技术来监控电子邮件内容的工具,生成警报信息、提醒可能有安全漏洞,或者只是阻止电子邮件发送.譬如,据WebEx Communications公司的IT基础设施主管Michael Machado介绍,该公司正在考虑扩大Reconnex公司的一款数据丢失预防工具的用途,以便添加电子邮件监控功能.
　　至于DeKalb医疗中心,它借助Vericept公司的工具来处理这个问题: 这个工具可以获取员工发送的每封网络电子邮件(包括文件附件)的屏幕截图,然后进行扫描,查找是否含有公司规定的敏感数据,譬如社会保障号码等.一旦找到,Finney的小组就会接到警报信息,那样就可以对用户采取相应行动,向他们介绍通过互联网发送敏感数据存在的危险.
　　便携式存储设备
　　据有关被调查者介绍,IT管理人员面临的最大威胁之一就是层出不穷的各种便携式存储设备,从苹果电脑公司的iPhone和iPod
　　到闪存设备,不一而足.他们说: “人们可以用这些设备下载大量公司秘密或者机密信息,然后带到别处,而IT人员不希望这样.”
　　信息安全架构师兼《网络安全完全手册》一书的作者Mark Rhodes-Ousley 说: “单单在过去的三周,我就听说了有关闪存驱动器和便携式存储设备带来风险的六个案例.”
　　虽然禁止员工使用PC上的USB端口很容易,但许多安全管理人员认为这种方法不值得推荐.Miller说: “要是有人想从中捣乱,他们会找到别的办法、绕过你所设置的任何障碍.该如何进行限制呢?如果限制USB端口以及带到办公室、可能有数据存储端口的手机,那么也就要考虑限制其他设备和光盘刻录机上的红外端口.这样一来,好多设备都要受到限制.”
　　他说,处理这个问题的比较好的办法是,教育人们如何对待敏感信息的保存.Miller说: “出现的事件大多数是无意的,而不是恶意的,所以这时候教育可以发挥作用,以便用户正确处理、知道为什么这么做很重要.”
　　Machado说,他并不主张在公司内禁用USB端口,主要是因为要是实行这样一种策略,用户很快会要求IT人员给予通融,IT人员就得应对这种通融.他说: “每个人觉得自己得到通融很重要,这会占用IT人员的大量时间.”
　　他补充说,最好就是使用一种工具,向试图把文件拷贝到USB驱动器或者其他未加密存储介质的人发送警报信息,警告他们违反了公司政策.他说: “然后,他们知道自己有权做出决定,但所作所为将会受到跟踪及监控.”
　　另一方面,DeKalb的Finney说,她对封阻技术很有兴趣,正在考虑Vericept工具的这种功能: 阻止某些类型的数据发送到外部存储介质,或者要是有人试图把外来的存储设备插入到PC,就向她发出警报.理想情况下,她倒是喜欢有一款工具还能提醒员工: 公司政策禁止敏感数据存储到外部设备上.
　　同时,美国密歇根州大峡谷州立大学及出过师生丢失存有敏感数据的闪存驱动器事件的其他院校正在考虑将来统一使用采用密码和加密双重保护的USB驱动器,以保护敏感数据.
　　PDA和智能电话
　　如今,越来越多的员工带着某种智能电话或者个人数字助理(PDA)去上班,无论黑莓、Treo手机还是iPhone.但是如果他们试图把这种设备上的日程安排或者电子邮件应用程序与自己PC上的相应程序进行同步,就可能会带来从应用程序出故障到死机蓝屏的种种问题.Holbrook说: “这几种问题并非罕见,正是这样一些常见问题让IT人员都快发疯了.他们不想把时间花在处理这些问题上.”
　　另外,如果员工离开公司或者被解雇,只要PDA或者智能电话归他所有,他就能带着自己所需的任何信息扬长而去.
　　与另外有些公司一样,WebEx公司尽量减小这种可能性的办法是: 统一使用某种品牌和款式的PDA,让员工知道IT部门只支持这一种设备.WebEx对笔记本电脑采取了同样的做法,Machado特别指出,笔记本电脑带来的威胁甚至比PDA还要大,原因是前者的数据存储量更大.如今,未经批准的任何设备都不可以连接到WebEx公司的网络上.
　　拍照手机
　　一名医院员工站在护士站,与护士们闲聊.没人注意到她手里还拿着一个小设备,时不时地摁一下小按钮.这是最新惊险间谍片中的一幕吗?不是,这是DeKalb医疗中心的Finney进行的一项安全测试.
　　她说: “我所做的其中一项测试是,我把手机带到护士站,开始拍起照来,护士们并不知道.我想下载拍下的图片、润饰图片、看看拍到了什么,其实是计算机屏幕或者放在桌子上的纸张显示的病人信息.”
　　结果证明,她没有获得任何个人身份资料,但她确实从所拍计算机屏幕的上方获得了计算机名称(不是IP地址).她说: “这种信息积少成多后形成的线索可与某人从医院其他地方获得的另外信息汇总起来,从而策划攻击计划.”
　　作为后续措施,Finney为DeKalb医疗中心的员工岗前培训和安全意识计划添加了有关这一潜在安全漏洞的信息,那样员工至少认识到机密数据让外人看到(或者可能拍到)有多危险.
　　Skype及其他消费端VoIP服务
　　迅速发展的另一项消费端技术就是Skype,这种可下载的软件型服务让用户可以免费拨打网络电话.实际上,接受Yankee集团调查的对象当中有20%表示,他们使用Skype来办公.
　　Holbrook说,在公司环境下,Skype和类似服务带来的威胁其实与下载到企业PC的任何消费端软件一样.他说: “企业应用程序具有高度的可扩展性和安全性,消费者应用程序的可扩展性和安全性要差一些.所以,只要下载了Skype或者其他类似服务,无异于带来了安全风险,IT人员对此会感到不舒服.”譬如说,这种软件会与PC或者网络上的其他每个应用程序进行联系,可能会影响每个程序的性能.
　　Skype自己已至少发布了四份安全公告,宣布了用户在下载这款软件的最新版本时可以堵住的漏洞.但因为IT人员往往不知道有多少用户安装了Skype,更不用说是谁安装了它,所以他们无力监管这种行为.
　　最安全的办法、也是调研公司Gartner推荐的办法就是,完全禁止使用Skype.Gartner认为,要是公司决定允许使用Skype,那么也应当使用配置管理工具,对Skype客户软件积极实行版本控制,确保它只分发给了授权用户.
　　可以下载的窗口组件
　　据Yankee集团声称,如今消费者使用Q和Nokia E62等设备下载窗口组件,以便可以迅速使用网络应用.这种窗口很容易被转移到PC上,它们因而成了进入IT人员竭力想控制的技术生态系统的另一个入口点.
　　这里的风险在于,这种小程序耗用了PC和网络上的处理能力.除此之外,未经审查就下载的任何软件也带来了潜在威胁.Holbrook说: “这倒不是更有可能感染上病毒,而是这些下载的东西并不是你充分信赖的.”
　　WebEx公司缓解这种风险的办法就是采用了三管齐下的方法: 教育用户认识到软件下载的种种风险; 使用Reconnex来监控安装在用户PC上的软件; 禁用用户的部分默认访问权限,从而限制了下载功能.
　　虚拟世界
　　公司用户正在开始体验像“第二人生(Second Life)”这些虚拟世界,这时候IT人员就要更加认识到随之带来的安全问题.Holbrook说,单单禁止使用这些虚拟世界无疑是短视行为.他说: “人们只是刚刚开始了解这种应用在公司环境下有多大的用处.”
　　Gartner在近期的一份报告中指出,与此同时,使用“第二人生”需要下载大量的可执行代码,并且通过公司防火墙安装上去.另外,实际上没有办法知道居住在虚拟世界的许多化身者的真实身份.
　　Gartner建议采用的一种办法就是,让员工能够通过公司的公共无线网络进入虚拟世界,也可以鼓励他们在家里这么做.还有种办法就是,公司可以考虑采用这样的工具: 可建立自己的虚拟环境,这种环境在公司内部运行,放在企业防火墙后面

CNNIC第21次报告重要数据

Sat, 19 Jan 2008 13:43:49 GMT

网民数：2.1亿，仅次于美国2.15亿。
网络音乐使用率：86.6%。
网络影视使用率：76.9%。
网络游戏使用率：59.3%。
搜索引擎使用率：72.4%。
电子邮件使用率：56.5%。
即时通信使用率：81.4%。
网络购物比例：22.1%，美国为71%。
网民平均上网时长：16.2小时/周
手机网民：12.6%手机用户是手机网民
中国域名总数：1193万个
宽带网民数：1.63亿

naka共享空间: 计算机与 Internet

公司需要我们做什么?

MySQL是否继续开源

保护DNS服务器十大技巧

B2C之中國Vs美國

很有意思的文章,值得看看.查了下,是个newegg的小伙子写的,支持一把:

杀毒引擎

七大策略保护企业最高机密信息

每一个企业都有向公众和普通员工保密的机密信息，这些机密文件包括营销战略、产品流程、产品公式等，如何保护这些企业的机密数据？以下七个方面来保护企业信息安全。

有效封堵各种P2P BT软件

企业安全新威胁 最危险的八大消费端IT技术

CNNIC第21次报告重要数据

　　每一个企业都有向公众和普通员工保密的机密信息，这些机密文件包括营销战略、产品流程、产品公式等，如何保护这些企业的机密数据？以下七个方面来保护企业信息安全。

企业安全新威胁最危险的八大消费端IT技术