所以，现在企业可能有两种文化 - 其一是结果导向，不管你使用了什么方法和过程，结果是成功，you did a great job，反之，算你失败; 其二是流程导向，不管你结果如何，只要你follow公司的流程、体制，就OK了。前者更为现实，后者并非完全没有道理，高质量的过程之然会产出高质量的结果，公司通过控制流程和过程来控制结果。

要过年了，没有想到项目还是铺天盖地，还都是急活。或许从新闻上关注到了联想最近的一些市场动作，国外的、国内的都不少。咱们做IT的都是冲在前面的，逢山开路，遇水搭桥，这就是甲方的艰苦之处了。乙方的朋友现在多是总结年终业绩，笑眯眯数钱了吧，呵呵。

刚刚注意到，这个博客的访问量超过100万了，心里很惶恐，承蒙这么多同行关心，可是现在由于工作忙的要死，所以博客的更新的频率很慢很慢，维护两个博客就更加艰难了。所以，以后的更新我将主要放在http://sbin.cn/blog那里，并且中英文都放在一起。目的只有一个，减少维护成本，稍微省些时间在内容上。呵呵，希望大家就不要见怪了。

笼统看，PCI 数据安全标准（DSS）共有6组12大要求，覆盖了从建设、到运营和策略的很多方面。相对于BS7799/ISO7799/ISO27001和CoBiT等，它的要求显得很朴实直接、具有很高的操作性。下面就是那6组12大要求，中英文对照：

[separator]

Build and Maintain a Secure Network
建设维护一个安全的网络
Requirement 1: Install and maintain a firewall configuration to protect cardholder data
要求1：安装并维护防火墙以保护持卡人数据信息
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters
要求2：不使用厂家提供的口令以及其他安全参数方面的缺省配置

Protect Cardholder Data
保护持卡人数据信息
Requirement 3: Protect stored cardholder data
要求3：保护存储的持卡人数据信息
Requirement 4: Encrypt transmission of cardholder data across open, public networks
要求4：在公众、 开放的网络上传送持卡人数据信息时，需要加密

Maintain a Vulnerability Management Program
维护一套脆弱性管理程序
Requirement 5: Use and regularly update anti-virus software
要求5：使用并定期更新反病毒软件
Requirement 6: Develop and maintain secure systems and applications
要求6：开发并维护安全的系统和应用

Implement Strong Access Control Measures
部署严格的访问控制措施
Requirement 7: Restrict access to cardholder data by business need-to-know
要求7：按照“按需知道”的原则严格限制对持卡人数据信息的访问
Requirement 8: Assign a unique ID to each person with computer access
要求8：对计算机访问的所有人都分配专有唯一的帐号ID
Requirement 9: Restrict physical access to cardholder data
要求9：严格限制对持卡人数据信息的物理访问

Regularly Monitor and Test Networks
定期的监视和测试网络
Requirement 10: Track and monitor all access to network resources and cardholder data
要求10：跟踪并监视对网络资源和持卡人数据信息的所有访问
Requirement 11: Regularly test security systems and processes
要求11：定期地测试安全系统和流程

Maintain an Information Security Policy
维护一套信息安全策略
Requirement 12: Maintain a policy that addresses information security
要求12：维护一套旨在解决信息安全问题的策略

从其适用的范围看，标准中明确提出只有存储、处理和传输PAN的相关系统才适用PCI-DSS.
PCI DSS requirements are applicable if a Primary Account Number (PAN) is stored, processed, or transmitted. If a PAN is not stored, processed, or transmitted, PCI DSS requirements do not apply.

* These data elements must be protected if stored in conjunction with the PAN. This protection must be consistent with PCI DSS requirements for general protection of the cardholder environment. Additionally, other legislation (for example, related to consumer personal data protection, privacy, identity theft, or data security) may require specific protection of this data, or proper disclosure of a company's practices if consumer-related personal data is being collected during the course of business. PCI DSS; however, does not apply if PANs are not stored, processed, or transmitted.
** Sensitive authentication data must not be stored subsequent to authorization (even if encrypted).

These security requirements apply to all “system components.” System components are defined as any network component, server, or application that is included in or connected to the cardholder data environment. The cardholder data environment is that part of the network that possesses cardholder data or sensitive authentication data. Adequate network segmentation, which isolates systems that store, process, or transmit cardholder data from those that do not, may reduce the scope of the cardholder data environment. Network components include but are not limited to firewalls, switches, routers, wireless access points, network appliances, and other security appliances. Server types include but are not limited to the following: web,  database, authentication, mail, proxy, network time protocol (NTP), and domain name server (DNS). Applications include all purchased and custom applications, including internal and external (Internet) applications.

关键词： NEC Packard Bell 联想收购 EMachines PC厂商

Packard Bell曾是日本电气公司(NEC)旗下的欧洲品牌公司，2006年，NEC将其卖给了以前的合作伙伴eMachines。

Packard Bell公司总部设在荷兰，目前是西欧第四大台式机销售商和第六大笔记本电脑销售商，在当地市场占有率约10%。在葡萄牙，法国和英国等市场拥有较强地位。目前，Packard Bell正向东欧、中东和拉美等市场扩张。

Packard Bell规模相对较小，所产电脑和消费电子产品的销售市场主要集中在西欧国家。该公司所有人是华裔美国商人许立信(John Hui)，他于去年从NEC手中买下了Packard Bell。

[separator]

微软称Vista在华已成主流 计划提升XP地位
http://www.sina.com.cn 2007年07月26日 00:41 北京晨报

　　晨报讯 (记者 张黎明) 在微软历史上最强大的操作系统Vista发布半年后，昨天，微软在中国发布了销售业绩。微软Windows客户端产品部总监韦青强调，Vista在中国已 经成为主流，业绩高于预期，有70%以上的主流机型安装，在暑促期间的增长甚至好于全球市场。根据微软给出的数据，截至今年5月，Vista已经在全球售 出超过4000万套，这在微软看来是令人骄傲的成就。

　　但不可否认的是，即使最华丽的技术也要面对消费者的挑剔眼光。在发布之后不到1个月，中国用户发现流行的互联网通信工具QQ无法在Vista上运行；随后，关于Vista兼容性的拷问占据着各大网站技术论坛的显著位置。

　　昨天，兼容性也成为微软着重澄清的问题，几乎所有电脑厂商发来的贺词中都提及对兼容问题的攻关，微软甚至安排工程师当场演示，包括QQ、网上炒股、网上银行等软件已经能在Vista上正常运行，“有超过2000种关键应用通过了兼容性测试”。

　　微软认为，日渐成熟的Vista将赢得更多的用户。不过，消费者在面对全新操作方式时仍然存在犹豫，“这本来就需要一个过程。”韦青说。不过， 来自PC业界的观点显然不客气，世界第四大PC厂商宏基的全球CEO吉安弗兰克·兰奇抱怨说，Vista对电脑销量的拉动“让整个行业感到失望”。

　　实际上，在新财年的计划中，微软已经重新提升了XP的地位，这更为Vista的前途增加了悲观论调。对此，微软方面解释说，调整销售计划，主要是为硬件厂商留出更多的适应时间和开发空间。

　　此外，微软也回应了对Vista安全性的质疑。此前，一位美国科学家称Windows系统被加上秘密“后门”，以便美国国家安全局可以随意进入。微软方面则回应说，绝不会在操作系统中故意留下“后门”，“那是自毁长城的事情”。

请访问我的英文博客

[separator]

这次看似简单的误杀，给安全经理们出了一道难题，甚至说将安全经理们放到了一个窘迫的境地。通常，我们都会努力引导用户提高安全防范意识，保证安装 反病毒软件并及时升级代码库，遵从安全指令。可是，这次事故让最遵从安全策略、最具有安全意识的企业员工们无所适从。让执行效率越高的企业桌面信息系统承 受越高的损失。

作为对国内用户的安抚，Symantec据说要在国内建设SRC，以提高对国内病毒样本的响应速度和查杀比例。另据说Symantec因为此次事故，还特意修改了内部流程，将原来全自动的病毒代码发布流程又改回到以前带有人工确认的环节。

零日攻击促使我们不断地加快补丁发布和安装速度，促使我们实现实时的病毒代码库升级，“作为欧洲领先企业安全软件提供商，提供世界最强杀毒引擎，拥 有三十万级的病毒特征库，每隔一个小时自动更新病毒库。”这是市场上较为常见的宣传材料了，巨大的病毒库和快速自动更新显然是其中两个最招人惹眼的广告用 语。

这样的快速和自动化带来了安全吗？还是带来了更多的风险？我们宁愿相信这次是Symantec的一次偶然事故。因为我们现在别无选择，只能将自己的 企业网络的安全寄托在这几个厂家的可信度上，寄托在他们内部的流程成熟度上，期望他们内部的管控持久而有效，不会出现报复员工恶意植入后门逻辑炸弹… 作为一个企业，这样做事出无奈，然则可以接受。但是，从国家安全的层面，物种的多样性看来是安全进化的必要环境了。

欢迎访问http://sbin.cn，欢迎大家关注我的英语博客

[separator]

• The ISA firewall cannot be as secure as Blue Coat proxies because it runs on a general purpose server that has ongoing security vulnerabilities
• The ISA firewall is unable to inspect traffic inside an SSL tunnel
• The ISA firewall is unable to inspect and manage peer-to-peer, instant messaging and multimedia connections
• The ISA firewall has limited support for granular access control
• The ISA firewall’s network performance is inferior to Blue Coat’s proxy performance

• 对于喜欢硬件方案的朋友来说，BlueCoat清一色的盒子，安装运行维护都简单，看着清爽，感觉上性能也不错。
• 喜欢软件方案的朋友，觉得可以按照自己企业的Server标准进行按需升级，完全纳入企业的Server运行维护，成本较低，性能可控。

[separator]

Microsoft SpyNet 社区

Microsoft SpyNet 是一个在线社区，专门帮助计算机用户选择以如何应对潜在的间谍软件威胁。 该社区还帮助阻止新间谍软件感染的扩散。

当 Windows Defender 检测到尚未进行风险分类的软件所做的更改时，您可以看到其他成员应对此警报的方法。 反过来，您采取的操作也可能帮助社区的其他成员选择如何应对。 您的操作还将帮助 Microsoft 选择对哪个软件进行调查以确认潜在的威胁。 您可以选择发送有关已检测到的软件的基本或附加信息。 附加信息有助于改进 Windows Defender 的工作。 例如，即使有害软件已被删除，该技术也可能包括在计算机上检测到的项目的位置。 在这些情况下，Windows Defender 将自动收集信息并将此信息发送到社区。