Posts for: #Tech

网络安全风险评估已经从几年前阳春白雪的状态，演化为当前企业/组织信息与网络安全建设前期通常会考虑进行的一项工作。但评估的方法、效果比起以往，是否有所提升？

就我所见，当前安全市场上主流的评估厂商提供的服务，大多存在以下几方面问题：

1. 妄谈管理（用户选中安全公司，是因为他们懂安全，而不是因为他们懂管理）；
2. 盲目量化（以为数字能说明一切，自己"定义"了量化标准和算法）；
3. 千人一面（评估与业务脱节，一个评估方案放之四海皆准，甚至一个评估报告也是放之四海皆准）；

因此，这里提出的CWVE方法，实际上与OCTAVE类似，脆弱性评估不变（这是安全公司的核心技术所在），但有以下几个特点：

1. 以业务流为核心，是简单资产盘点的深化；
2. 以事件评估与沙盘推演替代威胁评估，操作起来不再那么虚无飘渺；
3. 简化的顾问咨询过程，结论中以"制度"来推进管理，更具可操作性；

详细的方案在时间充裕时会写出来与大家共享。

没事上 Freemind 的主站看了看，发现又出了新的测试版本了，喜欢尝鲜的兄弟不妨试试。简单看了看，有些新东西，比起0.71稳定版来，多出的功能有：

• 多语言支持
• 支持插入注释（原先有过，但不稳定，在RC2中去掉了，Watercloud喜欢这个功能）
• 日程管理，定时提醒功能
• 支持 Jabber 远程共享与协作
• 支持图形界面配置user.properties
• 加密功能，允许建立加密脑图与脑图中的加密分支
• 简单的版本管理修订记录功能
• Undo 和 Redo 功能
• 强大的导入导出功能，导出为XHTML、png、svg等都很实用
• 更多界面设计上的改进

现在的中文翻译是一位台湾朋友做的，在语言习惯上与大陆有些不同，我反正用惯了，直接调成英文的了，如果哪位朋友有精力，不妨按照 Freemind 开发网站上的介绍，将Resources_zh_CN.properties再改进一下，提交patch，也算造福大众了。

昨天下载回来试了试，感觉相当不错。如果有想用Linux，又懒得做前期复杂配置的，不妨可以用它试试。Hiweed-Debian GNU/Linux 做到了他们网站上声明的那句：免去新手的痛苦，节省老手的时间。

为了方便迁移，现在windows上能用开源软件的都尽量用着，比如，装了firefox、thunderbird、openoffice 1.9、gvim、还有gnuwin32下的所有工具。 前几天遇到个问题： 我在gvim下面写完文章，要处理成html的时候，gvim只是简单地加了

标记，于是浏览器看起来就不换行了。但vi里的tw=78这样的设置又把一串中文当成一个单词来处理，不起作用。 简单点说，就是我希望能够指定在文章的某一列加上换行符，但现在搞不定……

想找解决办法……跟watercloud大牛和yiminggong讨论半天，至少现在在windows下是ok了一小半。

C:>cat a abcdefghijklmnopqrstuvwxy

用sed的方法

C:>sed s/^.{6}/"&“n/g a abcdef ghijkl mnopqr stuvwx y

直接在vi里处理则是用：

:%s/…../&r/g

我在_vimrc里面加了一句：

noremap :%s/.{78}/&r/g

以后按F8就可以直接处理了。但这样又有一个新问题，vi对中英文混排处理上，由于我的encoding用了cp936，于是处理起来，如果一排英文一排中文，会是这样的：

aaaa 我我我我

如果一行里有中文也有英文，那列长又不对齐了，麻烦，难道真得象yiming说的那样，写个脚本来处理？

Tor的全称是“The Onion Router“号称是“An anonymous Internet communicaton system”。 它针对现阶段大量存在的流量过滤、嗅探分析等工具，在JAP之类软件基础上改进的，支持Socks5，并且支持动态代理链（通过Tor访问一个地址时，所 经过的节点在Tor节点群中随机挑选，动态变化，由于兼顾速度与安全性，节点数目通常为2-5个），因此难于追踪，有效地保证了安全性。另一方面，Tor 的分布式服务器可以自动获取，因此省却了搜寻代理服务器的精力。

详见：http://risker.org