如果这次地震发生在2008奥运会[随笔]

引文：电信网通证实台湾地震影响内地访问国际网站

今天早上上班后就感觉网络有点问题，很多网站都打不开，偶然间从国内的网站上了解到昨天台湾地震影响到了中国互联网的国际出口，中国国际海底光缆网络如下图所示：

从这幅图可以大致看出，中国到美国的两条海底光缆分别位于台湾的北部和南部，这两个出口分别在香港和上海。
如果这次互联网事件发生在2008年奥运会，那会是什么样的情况呢？后果不堪设想，北京奥运会将是奥运会史上最失败的一次，在中国的外国记者无法通过互联网与总部通信，无法完成正常的工作，国外奥运迷们无法即时了解北京奥运会的状况。随之而来，中国的国际名声将受到前所未有的挑战。
我们试问，中国互联网做好了2008年奥运会抵抗自然灾害的准备了吗，业务连续性真正的做到位了吗，在一次不大不小的地震面前，中国国际网络如此不堪一击。具了解，作为2008北京奥运会赞助商之一的中国网通正在积极建设从青岛到美国的网络出口，似问，这一出口似乎也会受这次地震的影响，因为这一条光缆和已经存在的光缆是那么的接近。
中国国际网络出口是否做好了应对这种物理安全的准备，相应的业务连续性和应急计划是否达到我们所期望的目标，似乎还有很多工作需要完成，我们期待2008北京奥运会成功举行。

参考：中国网通铺设新海底光缆 拟建独立国际出口
阅读全文...

2006年全球信息安全状况调查研究分析[转贴_摘录]

　　各种威胁对网络安全的影响指数
　　请估计以下安全威胁对您企业网络安全造成的影响？
　　特洛伊木马、病毒、蠕虫以及恶意代码(无关源程序) ………… 50%
　　间谍软件 ………… 45%
　　垃圾软件 ………… 44%
　　员工失误(无心的) ………… 39%
　　应用程序漏洞 ………… 37%
　　数据被员工或商业合作伙伴窃取 ………… 27%
　　黑客 ………… 36%
　　内部人员蓄意损坏 ………… 30%
　　无线LANs ………… 30%
　　新技术的部署(如无线LANs，远程访问) ………… 27%
　　商业合作伙伴的失误(无心的) ………… 24%
　　不属竞争对手和网络恐怖主义范畴的无意入侵者、员工或合作伙伴 ………… 20%
　　网络恐怖主义 ………… 19%
　　不能遵循政府调整命令 ………… 16%
　　竞争者派来的间谍 ………… 15%

查看全文
阅读全文...

IT服务管理实施案例参考[转帖]

2000年左右，工商银行开始建设全国数据大集中系统；2002年10月份，其数据集中到南、北两大中心；2004年10 月份又集中到了上海一个中心，所谓的全国数据大集中真正形成。从全国统一布局来看，工商银行的IT战略是逐步形成数据中心集中系统运营，和一级分行分控区 域管理的扁平化运维体系。从战略定位来讲，其最终目的是实现端对端的一体化管理、集约化管理。而要安全、稳定地运行如此庞大的集中式系统，原有的运维管理 方法和经验俨然已经无法适应。
2003年，工商银行开始尝试把国际领先的ITIL理念引入IT运维，并购买了一套IT工具作为运维管理的技术支持平台。

随后，结合ITIL的问题管理、变更管理、事件管理、容量管理等流程，吕仲涛又带领IT部门进行了大量二次开发，终于打造出工商银行独具特色的ECC（企业总控中心）管理平台。
在 过去，如果一级分行（省分行）发生系统故障，总行一般要通过分行文件或电话上报才能了解；总行对问题的严重程度和处置意见，往往无法及时了解和协调回复； 有时甚至媒体公开报道了，总行还不甚了解。现在，通过ECC管理平台，总行就能及时监控系统的问题，并主动通过问题管理流程和变更管理流程协调问题的及时 解决。
目前工商银行的IT运维实现了分级管理、全网监控。据介绍，数据中心有很多集中监控系统，一旦有问题，系统就自动报警，并标识出是什么问题，以便及时处理。
目前工商银行所有的计算机资源都可以在系统中看到。每台设备都有一个编号，当要查看该设备的配置情况时，只用输入其编号，立刻就会弹出一个界面，清晰地标明该设备的购买日期、合同号、具体位置、使用情况、各项配置等。
一旦需要进行系统变更，主办部门首先要在系统中提交一个变更请求，该变更请求自动提交给有关人员并等待审批，审批完毕，如果同意，即可变更。
系统还能显示哪些问题已经得到处理。对于处理过的问题，还能以报表形式进行统计分析和显示。每个月，工商银行通过这个系统会统计出全行所有的问题。如果想查看某个问题，只用在系统中点击问题单，就可以看到详细内容。

目前，多数企业的IT部门无法有效管理分散在各业务部门的IT系统，因此，经常发生IT部门和业务部门在IT运维服务责任和质量上的矛盾，工商银行目前怎样解决这个问题？
这种情况在工商银行同样存在，但通过这几年的努力，情况已有了根本性转变，主要是通过强化专业化IT管理来实现的。
具体来说，一方面通过系统的整合和集中，将原先分散在业务部门的IT系统集中到 IT运行中心管理。另一方面，提供明确的服务管理流程、标准规范作为IT运维的保障，为业务部门提供及时可*IT服务。目前工商银行已经有一本厚厚的运行制度手册。
ITIL的一个核心理念是强调流程管理。但是，如果好的流程得不到执行，就没有意义。流程的执行面临着诸多挑战，比如习惯。
为了落实流程的全面执行，工行信息科技部采取铁腕政策，取消了大量的书面审批程序，决策数据直接让系统的统计数据产生，如果系统报表出了错误，就一定要找到具体的责任人，让他付出成本，最后逼着他们做正确。
除此之外，通过每天的各中心集体参加生产运行电视例会和每月的全行信息系统运行通报和考核，统一各级科技人员IT运维的管理思想，使大家最终达成共识并自觉按管理流程办事。所幸的是，经过很长时间的推动和努力，员工已经逐渐习惯用这个系统。

转自:http://www.simaone.org/forum/dispbbs.asp?boardID=19&ID=1018&page=1
阅读全文...

了解IT服务管理[转贴]

IT服务管理，简称ITSM（Information Technology Service Management）。它是一种以流程为导向、以客户为中心的方法，它通过整和IT服务与组织业务，提高组织IT服务提供和服务支持的能力及水平。

它的核心思想是，IT组织，不管它是企业内部的还是外部的，都是IT服务提供者，其主要工作就是提供低成本、高质量的IT服务。

由于服务的无形性、不可分离性、易变性和随时间消失性等特性使得服务难于被标准化。因此，IT服务管理虽然很早就有人提出，但没有人重视。直到人们采用“最佳实践”的方法，它才得到很大发展。“最佳实践”就是指业界认可的、有效的做事方式，每个企业都可以发、开发自己的最佳实践。英国商务部 开发的ITIL最被业界认可，它是最佳实践的结晶。

ITIL与ITSM的关系：

1、先有ITSM，后有ITIL；

2、因为有了ITIL，ITSM才得以发展；

3、ITSM的发展，不仅仅需要ITIL。

综合众位网友的意见和建议，整理了一部分基本概念，希望这些会对大家阅读相关文章与浏览本站信息有所帮助。

转自http://www.simaone.org/forum/dispbbs.asp?boardID=19&ID=78&page=1
阅读全文...

从P2DR模型看信息安全管理[nEo原创]

根据目前流行的P2DR安全模型，安全技术覆盖三个方面，Protection（保护）、Detection（监测）、Response（响应）
安全管理包括两个方面，一是Policy（策略），另外一个是信息安全活动的生命周期闭循环，如何来进行这个循环，可能要就要借助于风险管理。
个人认为这个模型是最简洁，其它很多模型都是在这个模型的基础上演化来的。

阅读全文...

ISO/IEC 27000标准体系[nEo原创]

ISO27000系列标准于2005年正式推出，初步考虑制定将近10个标准全面规范信息安全管理体系（ISMS），下面把截止到目前已经发布或正在计划中的7个标准列出来，供大家分享。
ISO27000——Information security management system fundamentals and vocabulary(NP)：通过整合改写13335得到的，主要用于阐述ISMS的基本原理和词汇，预计2008年11月发布。
ISO/IEC 27001——Information security management systems——Requirements(信息安全管理体系要求)：源于BS7799-2，主要提出ISMS的基本要求，于2005年10月15日正式发布。
ISO27002（ISO/IEC17799）——Code of practice for information security management(信息安全管理实用规则)：源于ISO/IEC 17799：2005，给出了11个安全域39个安全控制目标和133个安全控制措施，于2005年6月15日正式发布了。
ISO27003——Information security management systems implementation guidance(信息安全管理系统实施指南)，目前还在开发中，预计2007年发布。
ISO27004——Information security management measurements(信息安全管理度量)：阐述信息安全管理的过程度量和控制度量，预计2007年发布。
ISO27005——Information security risk management(信息安全风险管理)：主要阐述风险评估和风险处置，以2005 年底刚刚推出的BS7799-3（基于ISO/IEC 13335-2）为蓝本，预计2007年发布。
ISO27006——Information security management certification & authentication(信息安全管理认可认证)。
ISO27007——27009为其它可能的信息安全管理标准预留。

注：该文通过研讨会上的专家发言整理而成，进一步了解请参见官方网站：www.iso.org
阅读全文...

CISSP证书,多灾多难！

提交的CISSP申请书第二次被打了回来，真是郁闷死了
第一次是要求提交Plain Text类型的邮件，而我提交了一个压缩包
第二次是RESUME里的工作年限不够（要求4年，我只有3年多），还要求我提交学位证书，以便可以弥补1年的时间，可是我的证书现在还在济南，想想真是不顺
这也不能怪我，谁叫ISC2的邮件不说清楚呢
不过吃亏的还是自己，还是想办法先回一趟济南，把事情都搞定再说吧，真是受不了！
阅读全文...