今天在securityfocus看到一份最新的统计数据，在接受调查的企业中，有64%报告了在最近一年内发生了信息安全相关事件，比上年统计数据提升了14%。有29%的企业报告遭受了DoS，比上年增加了8%。平均每个企业的年损失降至$235,000，比上年降低了19%。也就说在目前的大环境中，攻击的数量和种类更多了，但造成的损失却降低了。

    细探下去就是企业在单个事件上的损失降低，企业通过系列的安全建设对常规性的安全攻击有了更好的防御和应对措施，并将浮在表面上的问题几乎都已经磨灭。但为什么企业还是会对信息安全感到惶恐，个人认为这种感觉由于2个不确定性所导致的：

1.对业务核心防护能力的不确定性，如上所诉安全建设往往磨灭的是表面，而越是贴近业务的安全越是薄弱，但对企业而言那种深层安全才是业务支撑的核心，因此主管IT业务领导越是担心，因为他依稀能感觉业务系统的问题，然而安全建设往往只徘徊在这些问题的周围。对此类问题个人认为企业只能依靠自身，循序渐进的去做，因为依靠目前的国内安全公司（包括IBM,HP外包的公司）很难完成这个任务，他们不是没有能力去完成，而是做这类型的事情投入很大，往往通过很简单的手段就可以解决75%以上的问题，对企业收益是非常巨大的。但这个却对安全公司创造的短期利润就相形见拙，归根结底他们还是以营利为主要目标，以销售产品为主要手段的，现状反而变成自己发现的问题自己却没有很好的产品进行对应。而在目前的市场环境中企业也不会给大量的费用去支撑这个行为，因此最好的方式就是自己去做，腾讯就是最好的一个例子。

2.对已有安全设备防护能力的不确定性，企业每年都在购买安全产品，建设安全体系。但目前的防护能力，监控能力和应急能力是否达到建设的设想，是否可以抵御企业自认为可以抵御的攻击，出现问题是否可以真正的在预设的时间内进行恢复，这些问题很老土，但却在管理层中一直是一个谜。在企业安全意识的不断提高，目前已经可以看到在一些先进的企业开始就上述问题进行了一些单点的咨询工作，以测试其安全的应对能力，而这些是与常规化的应急演练所不同的。

3.对未知攻击防护能力的不确定性，和传统风险理论类似，导致安全问题的根源是类似的，但其信息安全的表现形式是非常多变的，也在不断推陈出新。从目前外部攻击趋势去看更多的是 针对WEB的攻击，DDoS，社会工程或者多种攻击的组合。作为企业应关注国外和专门针对国内的攻击类型，并根据自身的情况进行安全建设即可，没有必要麻木恐惧和麻木悲观。

RISK:effect of uncertainty on objectives

1.这种结果是与期望相违背的--正面或者负面的

2.对象可以有多个层面，例如金钱，健康和个人目标等。对象也可以应用在不同的层面，如战略层面，组织层面，系统层面，项目层面，产品层面和流程层面

3.风险通常以可能的事件，后果，或者其相结合作为其特征。

4.风险往往使用事件的结果以及其关联的可能性来表示。

5.对事件的后果和可能性理解的不确定性是与其状态，事件不完整，信息不足有关系的。

   凉水测试

   圣斗士

   这几年真的过得好快，经历了好多，却始终没有什么特别的里程碑，我什么时候可以真正的做到:

   知道我是谁？

   知道我要什么？

   知道我要去哪里？

   周日下午晒着懒散的阳光，啥都不相干，听着音乐，品着菊浦，看着自己，想着将来，盼着明天

制度所对应的英文单词“SYSTEM”或“INSTITUTION”，远远超出了我们习惯上的对制度理的解范畴。在这里我们也许需要从中文制度的起源去了解其含义，从而才能不至于在现实中困惑于制度和业务流程之间的概念冲撞。“制度”一词，在中国思想史上久已有之。《商君书》中就曾有过这样的叙述：“凡将立国，制度不可不察也，治法不可不慎也；制度时，则国俗可化民从；治法明，则官无邪”；按《辞海》解，制度的第一含义便是指要求成员共同遵守的、按一定程序办事的规程。汉语中“制”有节制、限制的意思，“度”有尺度、标准的意思。这两个字结合起来，表明制度是节制人们行为的尺度。

业务，个人或某个机构的本行业本职工作

质量：一项产品或服务所具有的能够满足客户明示的和潜在需求的能力的综合特性 -ISO8402

服务：由某一可交付件、组织或个人完成的安全过程或任务

    一直重复的听着这两首歌，深深的被他们的歌词吸引。更有意思的是，这两首歌竟然使用相同的编曲，似乎从来没有遇到这样的境况，或许也是因为这样才会越发喜欢吧。

     刚开始听的时候，分别品尝着两首歌的意境，体会藏在歌词后的那一丝剩余的感觉

     渐渐地，就开始思量作词人再写第二首歌词时的情景，结论是曲同意反，虽然常见但依然欣赏那种细腻。

     一遍一遍的听下去，突然发现或许这两首歌讲的是同一个故事。未见，思念，遇见，已变。

   熟悉的那一条街，只是没了你的画面，我们回不到那天
   你会不会忽然的出现，在街角的咖啡店，我会带着笑脸 回首寒暄
   和你坐着聊聊天，我多么想和你见一面
   看看你最近改变，不再去说从前，只是寒暄
   对你说一句，只是说一句，好久不见

   越渴望见面然后发现，中间隔着那十年
   我想见的笑脸只有怀念，不懂怎去再聊天
   像我在往日还未抽烟，不知你怎么变迁
   似等了一百年忽已明白，即使再见面
   成熟地表演，不如不见

1.现状

2.目标

3.过程

   最近连输3个项目，这3个项目溃败中均含有一个共同因素“缺乏特点”。在我们所谓成熟的服务的，我提供给客户的服务越来越趋向同质化。在面对IBM,HP，甚至启明的时候，同质化的输出只有死路一条。解决这个问题或许就只有一个办法“创新”，创新需要做什么？

   1.认识危机，彻底刨除坐井观天，自我感觉良好的劣根性，定期反思。

   2.深入项目，事实证明从项目中创新是最有效的方式。

   3.努力学习，收集别人的先进经验，在生活中保持一颗时刻思考的心。

   4.寻觅伙伴，多了解别人是怎么看这种问题的，别人是怎么应对的。

  但现在的公司是否可以给我这个环境呢，哪里又可以给我这些呢。