Posts for: #Life

可怜的glacier，又让人给卖了 🏅

晚上手欠，又折腾起家里的台式机了，仍然是Ubuntu，这回是6.10。

回忆起2000年时尝试过用Linux及FreeBSD做桌面，还是走了些弯路的，每次装好机器后都需要花费半天功夫做各种各样的中文化、美化工作，然后很开心地跟朋友们展示自己美奂美仑的桌面。使用过程中，还时不时会遇到一些应用程序中文支持不好或容易崩溃……

刚装好的这个Ubuntu，看起来已经非常适合普通的计算机用户使用了，从安装到使用，一点也不比Windows复杂，甚至还要简单些。而且，对中文用户 的亲和度也更高了，如果安装时就选择了简体中文，则安装程序会自动下载所需要的简体中文字体及相关程序。安装完毕后，从界面到输入法，一应俱全，完全不用 再做任何配置了。

如果不是现在公司的所有产品都是基于Windows平台，我真想把笔记本也装上Linux 😳

本文转载自HuangMin’s Blog，原文参见链接。

在AberdeenGroup 2006年8月的“The Messaging Security Benchmark Report”报告中，超过70%的被调查者认为内部信息泄漏对于他们的组织是巨大的风险。

在《Loose Lips Sink Ships: Messaging Information Leak Prevention Matters》这份研究报告简报中，指出了通讯信息泄漏防护(Messaging Information Leak Prevention)方案应该考虑的因素，并对各厂商产品作出了如下的比较：

本文转载自David Shen’s Weblog，原文参见链接。

每年的CSI/FBI报告我是必看的，今年的在这里。我们还是先来看一下安全损失和安全技术应用的情况，这次不是TOP10，而是TOP20了。:)

I. Dollar Amount Losses by Type

排在安全损失前四位的（1）病毒；2）未授权访问；3）笔记本或移动设备硬件被窃；4）资产信息被窃等，共占所有损失的四分之三（74.3%）；

对比2005年：

• 病毒的危害依然是最强劲的；

  • 笔记本和移动设备被盗上升迅速！ 对比2004年：

• 拒绝服务在2006年没有大规模的发生过 II. Security Technologies Used

在安全技术应用上，2005年与2004年基本上没有改变，但在2006年有较大的变化，我们来看看：

• 防间谍软件正式成为一个独立的技术应用出现，而且占据着第3位， 也就是长期以来是IDS占据的位置；防间谍并非新出现的技术，之前我想一般都归在防病毒类吧。记得以前公司里将防间谍单独拿出来说时，我还不置可否，因为 我认为现在的病毒种类是繁多的，应该将所有的恶意程序（病毒/蠕虫/木马/间谍软件/拨号器/流氓软件等）都归在防病毒这个大类里，现在看来，国外确实将 它们单列了。

  • IDS的部署及应用已逐步下降了；这可能和IDS越来越不能满足用户的投资预期有关吧。反正我个人并不看好IDS。

  • Log management software和Forensics tools正式在安全技术应用里出现了。这正好印证着我不看好单纯部署IDS的原因（我认为IDS预警的功能有限，倒是在日志取证方面有些用途），日志管理和取证工具倒是可以和IDS是相辅相成。

  • 数据在传输中的加密和存储中的加密越来越受到用户的重视。数据在传输中的加密我想不仅仅是指VPN这种通道式的加密吧，也应该包含一种对数据（或文档）本身的加密。这种加密与数据在存储中的加密类似，都是针对具体的数据或文档这种客体。近年来涌现出的一批做文档加密的公司看来还是很有前景的。

III. Effect of Sarbanes****Oxley Act

除了以上两个是我每次看CSI/FBI报告必看的内容外，这次我还注意了SOX法案在信息安全方面的影响：

• 在电信、零售、金融、制造业这四个行业里，60%以上认为萨班斯法案提升了对信息安全的关注度；（Compliance with the SarbanesOxley Act has raised my organizations level of interest in information security.）

• 在电信、金融、零售行业里，有50%以上的认为萨班斯法案让组织对信息安全的认识从过去的技术层面转移到公司治理层面。（The SarbanesOxley Act has changed the focus of information security in my organization from technology to one of corporate governance.）

可怕的互联网！

刚才一位兄弟给我发了个GOOGLE搜索的链接，一看，果然很吸引眼球，内容是《涉嫌财务造假 天融信美国上市扑朔迷离》，全文如下：

众所周知，天融信在2005年就开始准备上市工作，打算到美国纳斯达克。业内大家都知道，天融信接受了日本软银的投资，现在软银获得投资回报，因此天融信 上市就成了必要的步骤。也就如此，天融信开始大规模引进具有外籍背景的人员，安置到各个重要岗位，以满足上市所需要的要求。

根据上市要求，每个上市公司要保持上市前3年盈利逐渐增加，软银要想脱身还要保证上市后，2-3年内也要盈利。按照天融信新增的大量高级人才，光每年的人员支出就要增加很多，如何保证盈利就成了重要的问题。

大家都知道，现在网络安全行业的利润已大为减少，天融信在没有接受软银投资之前能保持40%左右的利润，尤其是在2002-2005年时天融信发展的最好 几年，每年的利润都有4000-6000万左右，但同一时期，天融信并没有太多的花费，因此，利润总额就很可观了。既然要上市，又需要每年有盈利的要求， 软银自然就将念头动到这上面了。

天融信有两个公司一个是天融信网络安全技术有限公司，一个是天融信科技有限公司。网络安全公司就是准备上市的公司，当然根据惯例已全部转换为外资背景，由某个在某某群岛注册的公司全面控股， 这也是国内公司去美国上市一贯做法。根据上市要求，软银方面牵头找了一家专门进行上市运作的公司，开始进行美国上市准备，其中最重要的就是进行帐务调整， 就是做假账。当然，此处的做假账并不是无中生有，而是进行帐务利润调整，以保证上市前到上市后账面上都有良好的财务反映。他们借用了天融信的2个公司，进 行帐务调整，以保证要上市公司帐面的盈利。

但美国佬也不是傻子，中国到纳斯达克上市 的也不是1家公司了，中国公司这种说好听的是帐务调整，实际就是财务造假，已经不能隐瞒住美国人了，自然而然，造假暴露就成了必然的结果。据知情人透露， 2005年10月天融信内部高层人士已知道到美国上市彻底失败了，但当时天融信处于搬家的过程中，为了保证人心稳定，并没有进行宣布。而后，金玉丹的到 来，使软银又一次的开始努力，为的是到香港上市，为此还找来原来Netscreen的韦文作技术总监，希望能实现Netscreen的ASIC防火墙的成 功，以保证到香港上市的成功。

但香港上市是一件更复杂的事情，香港的相关审查更加严格，但软银已别无退路只有上市才能脱身了，因此，软银不断催促此事情，据悉在软银的支持下，金玉丹已大权独揽，在天融信内已大肆清洗与自己不相合的人员，多个重要人员均已离职或被架空。从2006年4月，天融信宣布到香港上市至今已8个月了，但上市的影还没有呢，据内部获得的消息，香港上市步履并不轻松，估计还需要6个月才能有结果。不过，我个人认为，失败的可能性非常大，就凭天融信在美国上市未获批准的事情，世上没有不透风的墙，相信香港人也会知道的一清二楚，肯定会知道财务造假的事情，对于这样的企业肯定会被拒绝的。

据统计，去年到今年，由于市场竞争激烈和人员投入的大幅增加，天融信的利润已远不如前了，天融信现在的办公场所虽然是买的，但是天融信是通过银行贷款购买的，天融信已将所有利润都投到上市中了，如果上市失败，天融信将会受到重大挫折，内部人员很可能会走之一空，天融信从此一蹶不振也很有可能。

但愿天融信一路走好，估计明年的春节前后就会有具体消息了。 但我也注意到些有趣的细节：

1、所有这些报导中，都没有直接写明出处，多数写的是“出自论坛”、“转载”、“佚名”等；

2、“但美国佬也不是傻子”、“我个人认为”这样的话，显然不是出自记者的正规笔法； 安全圈，真不安全呀 😆