Source: http://blog.sina.com.cn/s/blog_477131d90100cckf.html?tj=1

摘录一些，

• 感官训练，包括视觉，听觉，触觉，嗅觉和味觉。
• 数字，语言的训练以达到初步的读和写的目的。（没说要训练听和说，大概是英国人家庭的孩子已经会说和听了，不用考虑）
• 创造性训练，包括玩面团，木工活，绘画，用乐高（积木）搭建东西。
• 家政训练，包括做简单的食物，洗衣机，烘干机的使用（在成人看护下），还有扫地抹灰。
• 音乐训练，包括唱歌，乐器的介绍和使用。
• 运动训练，包括拍球，单脚跳，双脚跳，韵律操等。
• 环境体验，包括去市区，森林以及不同的地方散步，远足，去超市购物，去别的幼儿园与其他的同龄小朋友相处等。
• 启发式心理活动训练和道德教育，这个项目是通过场景活动来完成训练，没找着具体资料。

三到四岁的这一年的幼儿园一天只有两个小时，是免费的。如果父母双方都工作，就得送到全日托幼儿园，那一天平均费用是33英镑（各地区不等，3-4岁的孩子可扣除俩小时不交费），相当于一天500元人民币（现在是300多元，经济萧条时期）。

Source: http://tech.qq.com/a/20090224/000325.htm

摘录一些，推荐。


如果你在管理一家发展中的公司，而你的工作非常辛苦，一周工作7天每天16小时将自己的注意力集中到自己的公司上，那你可能没有足够的精力来关注外面的世界，所以我们要告诉他们每个人：看，这些是在我们身边正在发生的事，还有我们觉得将来会发生的。

当你成长，你的对手就会被削弱。当你的竞争对手被迫解雇那些优秀员工的时候，你可以雇佣他们；如果你的竞争对手停止投资于新项目，你就可以进行这些投资。 所以，那些管理优良的、在衰退中能够自足的公司有着巨大的优势。那些最好的公司在走出萧条时总是比它们进入萧条时要有竞争力得多——因为在萧条蔓延的过程 中，竞争对手们都备受打击。

我想这得益于公司的管理者对于公司发展道路的思考、他们在开发新产品时快速的执行，以及他们在各个层面超越了所有竞争对手。我不觉得这是运气。

希望暴富者往往是那些浮于表面的人，那些对深入了解事物缺乏巨大兴趣的人，那些只有太多浅层知识的人，这就是问题所在。

实际上，不论是你投资一家科技公司，或是餐馆，或消费者服务公司，在所有行业里我们倾慕有加的创业者，都是沉浸在各自领域的细节之中的人。

因为一开始，当你只有两三个或者很少员工的时候，未来是非常不明确的。没有人能在只有5个或10个员工的公司就预言伟大的将来。

我们已经做了很多年的投资，见识过很多的航行，甄别过一些好船，一些坏船，那我们是能提供两方面的建议的。第一，如果避开大海上的暗礁；第二，如何能让你的公司跑得尽可能的快。

在思考是否进行一项投资的时候，人们可以讨论它们，但是真正有意义的是把问题集中于产品能提供什么？能够为顾客做什么？这是最重要的问题。创业不是找到一个适合你的时髦词汇，创业的核心问题还是你能为你的客户做什么。

就像登山，你知道最高点、峰顶在前面，这很好，但是首先你必须拥有自己的营地。

如果你太专注，世界的其它部分就对你封闭了。有时候这正如在海滩上享受惬意时光，却不能看到海啸即将来袭。

在互联网上当然有巨大的机会，只是它们大多被既有的网络公司所占据着，你别未做准备就和它们竞争。不管是什么类型的生意，我觉得重要的是你要表现出能够为顾客做一些特别的价值，使他们感觉到独特、感觉到更好的服务。

我们从未见过蓝海。每一个我们投资的领域都充满了竞争。想想谷歌，创立于1999年，那时有成群的竞争对手。思科创立的时候有20个竞争者。雅虎成立时也 是行业的后进入者。我们从没有试过投资于一家没有竞争对手的公司，我想如果你投资了一家从来没有竞争对手的公司，那么这就表示你进入了一个糟糕的行 业。(红海、蓝海)是咨询师的思考方式，不是投资者的。

“哪儿有挑战，哪儿就有机会”，这是千真万确的。这无关你是否身处于一家风投公司，或是管理着自己的企业。你必须辨识和拥抱改变，而不是为之恐惧。别抵抗变化。

因为你需要一个完整的生活，我认为虚构和想象是生活中非常重要的构成。而且，一年中你只有那么些时间用于阅读，因此你必须精心挑选，选择那些你真正感兴趣的。

写的很实在。

Consensus Audit Guidelines - Introduction (Draft 1.0)

* Critical Control 1: Inventory of authorized and unauthorized hardware.
* Critical Control 2: Inventory of authorized and unauthorized software; enforcement of white lists of authorized software.
* Critical Control 3: Secure configurations for hardware and software on laptops, workstations, and servers.
* Critical Control 4: Secure configurations of network devices such as firewalls, routers, and switches.
* Critical Control 5: Boundary Defense
* Critical Control 6: Maintenance, Monitoring and Analysis of Complete Audit Logs
* Critical Control 7: Application Software Security
* Critical Control 8: Controlled Use of Administrative Privileges
* Critical Control 9: Controlled Access Based On Need to Know
* Critical Control 10: Continuous Vulnerability Testing and Remediation
* Critical Control 11: Dormant Account Monitoring and Control
* Critical Control 12: Anti-Malware Defenses
* Critical Control 13: Limitation and Control of Ports, Protocols and Services
* Critical Control 14: Wireless Device Control
* Critical Control 15: Data Leakage Protection
* Critical Control 16: Secure Network Engineering
* Critical Control 17: Red Team Exercises
* Critical Control 18: Incident Response Capability
* Critical Control 19: Data Recovery Capability
* Critical Control 20: Security Skills Assessment and Appropriate Training To Fill Gaps

转 21世纪经济报道 的文章 —— 出谷歌记：离职中国高管成为VC追逐对象
Source: http://tech.163.com/09/0221/09/52LSQ9A4000915BF.html

...

在谷歌内部，会给有潜力的员工做性格测试，其中一个是“四色测试”：金黄色——责任感比较强，做事情非常认真；橙色——喜欢冒险、勇于创新；绿色——聪明；蓝色——文学色彩比较强，多愁善感。一般人群中，金黄色偏多。而在Google，归属于橙色和绿色的尤其高，这意味着，这是一群更不甘寂寞的人。

...

在大航海时代西班牙和葡萄牙国王对待探险者的做法。那时，包括哥伦布和麦哲伦在内的很多航海家都得到了王室的资助。这些冒险者，很多是亡命之徒，其航海的目的并不是为了名垂青史，而是为了实实在在的利益。他们和王室达成一种协议，一旦发现新的岛屿和陆地，则以西班牙或者葡萄牙王室的名义宣布这些土地归国王所有，同时国王封这些发现者为那个岛屿或者土地的总督，并授予他们征税的权力。这样一来，西班牙和葡萄牙王国的疆土就得以扩大。

思科具体的做法是，如果公司里有人愿意自己创业，公司又觉得他们做的东西是好东西，就让他们留在公司内部创业而不要到外面去折腾，而思科会作为投资者而不再是管理者来对待这些创业的人。一旦这些小公司成功了，思科有优先权把它们买回来，思科的地盘就得到扩大。而这些独立的小公司的创办者和员工，又可以得到很高的回报。这样本来想离开思科出去创业的人也就不用麻烦了，接着上自己的班，只是名义上换了一家公司。当然，如果这些小公司没办好关门了，那么思科除了赔上一些风险投资的钱，没有额外的负担。

这种做法不仅调动了各种员工尤其是早期员工的积极性，也避免这些员工将来成为自己的对手或者加入对手的阵营。

...

Web, Mobile, Internet, Security (1)

围绕这四点可以思考很多的东西，会逐渐明白那些 big gaints 的布局倒底是要干什么。
是现在？还是未来？



2月17日，巴塞罗那，GSM世界移动通信大会进入第二天。CEO论坛的主题是“向开放移动生态系统前进”。AT&T CEO拉夫·德拉维加首先开场，给出了目前移动行业的发展情况，全球总共67亿人口中40亿在使用移动通信，到2012年全球将有67亿人开始使用非手持移动设备，这个市场将达到930亿美元，未来移动软件和数据应用方面的存在相当大的良机。

拉夫·德拉维加表示，对于对运营商来说如何保持移动生态系统的开放，拉夫·德拉维加表示，首先运营商需要马上行动起来保护用户的信息安全，其次是要保证手机软件跨设备跨平台的自由性，再次即是勇于接受新的商业模式。

《如何成为今天的我》
—— 梁漱溟  在中山大学哲学会的演讲

梁老提到了八步：

1. 因为肯用心思所以有主见
2. 有主见乃感觉出旁人意见与我两样
3. 此后看书听话乃能得益
4. 学然后知不足
5. 由浅入深便能以简御繁
6. 是真学问便有受用
7. 旁人得失长短一望而知
8. 自己说出话来精巧透辟

“玩家进入一款新游戏，刚开始靠什么吸引他？产生厌倦感了怎么办？策划人员怎样才能满足上千 万不同需求的玩家并吸引他们留在游戏内？”史玉柱向该团队的研发人员表示，玩家对游戏产品的感受和体验不断变化，策划人员需要在三个重要环节下功夫，分别是初期的印象关，几天内的尝试关和几周后的无聊关。

“很多游戏的失败都集中在这‘三关’上，一上来印象不好，玩家会走；缺乏细节的魅力和值得憧憬的体验，玩家不愿意继续尝试；玩了一段时间 ‘审美疲劳’会无聊，这时候没有足够丰富的玩法吸引，玩家依然会流失。”史玉柱针对困扰策划的这些问题给出了他总结出的诀窍。

用一个线将安全相关的东西穿起来很不容易，但是不穿起来很多东西都搞不到一起，也发现不了内部的关系，也就会有无从下手的感觉。先不说这个。


目前国外在 Security 方面综合起来提就是GRC，即 Governance, Risk Management, Compliance。很不错的方法，但是比较抽象一些，理解和实践起来比较难一点。国内在 Compliance, Governance 方面也在逐渐重视，不断强调。这篇 blog 说的是 Anti-malware Proteciton, Compliance, Data protection

安全为业务服务。业务变化，感知风险，保护措施变化。Business Go, Protection Go. Business-driven Security, Risk Aware.
[来自 IBM ISS 的观点]

在业务中，数据是核心。但做好 Data Protection 是非常难的事情，DatalossDB 上的数据会让你大吃一惊。当然，保护数据的措施有很多种，其中一个是身份和访问管理，即 Identity & Access Management 简写 IAM，侧重权限、认证、授权和审计。
[来自 CA 的观点 ]

商业活动、数据需要满足法律法规的要求，所以 Compliance 这块的工作会越来越多，尤其是公共公司。

除了监管机构对数据关心之外，黑客、不怀好意者也对数据感兴趣，他们常用的工具就是 malware，不管是 virus, backdoor 还是 iframe，都可以和 malware 集合起来。在 Anti-malware Protection 方面，有很多保护措施。比如 Microsoft 提倡的 TwC(Trustworthy Computing)，McAfee 基于 Cybercrime 的研究，Symantec 推出的 Reputation-based Security。当然，除了操作系统之外还有网络设备和 Web。Cisco 提出的新网络主打 Web2.0 旗号，想在可信协作方面做出成绩。至于 Google 在安全方面要做的，绝对不仅仅是 Safe Browsing 那么简单，真正的 Cloud Computing 能力会使得 Web Security 做的更多。


注1：今天花了一点时间看了一下 RSA 2009 大会（4月20-24日，美国旧金山）的 Agenda 和 Key Notes，上面就是大概的总结。
注2：RSA 2009 大会有3家中国企业参加，分别是 NSFOCUS, Lenovo Security 和 Shanghai BizSmooth，更多信息请浏览 https://cm.rsaconference.com/US09/catalog/exhibitorCatalog.do

遇到一个事情，考虑如何解决的时候，我经常是先在纸上画，然后总结出步骤，记录在纸上，写上名字和日期。以后再整理出来，虽然不能称为 Best Practice，应该也可以叫 ActionList 了。希望对大家有用途。

解读标准规范6步

1. 机构。要知道标准、规范的发布机构是谁，读者范围，机构是什么情况，与其他机构有什么关系。
2. 目的。了解标准、规范的目的，要做一个什么事情。
3. 要求。提出了哪些要求，有哪些条款，要做什么，不做什么。
4. 方法。有什么系统化的方法在里面，通过什么方法做，怎么做，做到什么程度。
5. 场合。标准、规范起源于什么场合，用在什么场合，在特定场合下怎么用。
6. 结合。要多思考，和自己的实际相结合，把握本质。

2008-11-24  Why

1月28日，游客手举“牛奋”玩具在北京地坛春节庙会上游玩