FISMA(Federal Information Security Management Act联邦信息安全管理法案)定义了保护政府信息系统的方法，要求所有的政府机构评估安全风险，实施 NIST 制定的安全基线控制措施，并进行测评，由 House Oversight and Government Reform Committee 出具scorecard，等级从A到F。

这看起来不错，但实际上效果并不好。

FISMA 在 risk assessment/control selection/audit processes 方面做的不错，但更侧重 compliance，对 effectiveness 评价不够。

    * 鼓励完成审计，而不是使系统更安全
    * 问题错了，“被认可了吗？” 而不是“安全吗？”
    * accredited systems（被认可的系统），这个名词让人一头雾水。
    * 关注inputs (controls) ，而不是outputs (KPIs, attacks)
    * 在审计员和流程方面花费了大量财力
    * 在攻击、入侵数据分享方面做的不多
    * 与其他负责安全的部门合作不够

Cyberspace Policy Review 建议了10个措施。强调的几点：

    * 承认各部门协作的阻碍太多了
    * 更关注入侵和应急响应，而不仅仅是Checklist
    * 在新的安全技术方面将有更多投资
    * 保证公民自由

可以看出，FISMA 关注 process，Cyberspace Policy Review 关注 outcomes。

对于 Private Sector 来说，应该多进行安全数据分享与信息沟通，提高应急响应和渗透测试的能力。

国内的情况有可能会有所变化。


注：部分内容参考了FORRESTER

新！ 及时知道最新的app security alert，请在twitter上follow @2sec

应用安全漏洞 [选录]
-------------------
2009-5

这个月严重漏洞较多，比如Adobe Reader、Linux Kernel、IIS 6.0的，Joomla和Winamp的漏洞也不少，当然，最猛烈的还是BaoFeng的。

Joomla Component JVideo 0.3.x SQL Injection Vulnerability    29-05-2009
ecshop 2.6.2 Multiple Remote Command Execution Vulnerabilities    29-05-2009
Mozilla Firefox 3.0.10 (KEYGEN) Remote Denial of Service Exploit    29-05-2009
Adobe Acrobat <= 9.1.1 Stack Overflow Crash PoC (osx-win)    29-05-2009
Joomla Component AgoraGroup 0.3.5.3 Blind SQL Injection Vulnerability    27-05-2009
Joomla Component Com_Agora 3.0.0 RC1 Remote File Upload Vulnerability    26-05-2009
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (pl)    26-05-2009
PHP <= 5.2.9 Local Safemod Bypass Exploit (win32)    26-05-2009
Joomla Component com_rsgallery2 1.14.x-2.x Remote Backdoor Vuln    26-05-2009
Safari RSS feed:-- Buffer Overflow via libxml2 Exploit PoC    26-05-2009
Wordpress Plugin Lytebox (wp-lytebox) Local File Inclusion Vulnerability    26-05-2009
Mozilla Firefox (unclamped loop) Denial of Service Exploit    26-05-2009
vBulletin vbBux-vbPlaza <= 2.x (vbplaza.php) Blind SQL Injection Vuln    26-05-2009
Lighttpd 1.4.23 Source Code Disclosure Vulnerability (FreeBSD bug)    26-05-2009
Winamp 5.551 MAKI Parsing Integer Overflow Exploit    26-05-2009
Joomla Boy Scout Advancement 0.3 (id) SQL Injection Exploit    26-05-2009
Winamp <= 5.55 (MAKI script) Universal Integer Overflow Exploit    22-05-2009
Winamp <= 5.55 (MAKI script) Universal Seh Overwrite Exploit    22-05-2009
Winamp 5.551 MAKI Parsing Integer Overflow PoC    22-05-2009
Winamp 5.551 MAKI Parsing Integer Overflow Vulnerability    22-05-2009
Winamp <= 5.55 (MAKI script) Universal Seh Overwrite PoC    22-05-2009
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (php)    22-05-2009
BaoFeng (config.dll) ActiveX Remote Code Execution Exploit    21-05-2009
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Exploit (patch)    21-05-2009
Mac OS X Java applet Remote Deserialization Remote PoC (updated)    20-05-2009
Mac OS X Java applet Remote Deserialization Remote PoC    20-05-2009
Joomla Casino 0.3.1 Multiple SQL Injection Exploits    20-05-2009
Joomla com_gsticketsystem (catid) Blind SQL Injection Exploit    19-05-2009
KingSoft Web Shield <= 1.1.0.62 XSS-Code Execution Vulnerability    19-05-2009
OpenSSL <= 0.9.8k, 1.0.0-beta2 DTLS Remote Memory Exhaustion DoS    18-05-2009
PHP Dir Submit (Auth Bypass) SQL Injection Vulnerability    18-05-2009
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass Vulnerability    15-05-2009
D-Link Products Captcha Bypass Vulnerability    15-05-2009
Joomla Component ArtForms 2.1 b7 Remote File Inclusion Vulnerabilities    15-05-2009
Linux Kernel 2.6.29 ptrace_attach() Local Root Race Condition Exploit    14-05-2009
ipsec-tools racoon frag-isakmp Denial of Service PoC    13-05-2009
Java SE Runtime Environment - JRE 6 Update 13 Multiple Vulnerabilities    13-05-2009
Linux Kernel 2.6.x ptrace_attach Local Privilege Escalation Exploit    13-05-2009
PHP mb_ereg(i)_replace() Evaluate Replacement String Vulnerability    07-05-2009
Joomla Almond Classifieds 5.6.2 Blind SQL Injection Vuln    05-05-2009
Adobe Acrobat Reader 8.1.2 &ndash; 9.0 getIcon() Memory Corruption Exploit    04-05-2009
Solaris 10 - OpenSolaris (dtrace) Local Kernel Denial of Service PoC    04-05-2009
Solaris 10 - OpenSolaris (fasttrap) Local Kernel Denial of Service PoC    04-05-2009

Source: bugsearch.net

establish a top-level office to create and manage the US strategy for securing cyberspace
digital infrastructure will be treated as a strategic national asset
protecting this infrastructure will be a national security priority
ensure these networks are secure, trustworthy and resilient

Source: http://tech.163.com/09/0529/01/5AENLP0J000915BF.html

摘录一些。

在仅为1分钟的GREE项目投资决策委员会上，55秒我都因投资者对互联网投资的不信任而被批评，但最后5秒我顶住压力决定了对GREE的投资。

一位传奇的美国投资人金安佰VC创始人阿兰·帕特里克夫（AlanPatricof）的一句话，日本的公司即使没内容卖空气都可以上市。日本人比全世界其他国家的人都更愿意在虚拟物品上花费。

做为日本新一代传奇风投合伙人，小林雅将自己选企业家的标准定位于两大要点，其一是纯真和有魅力；其二是有工作热情。

如果要选到好菜，方法两种。其一是你自己做过好菜也吃过好菜，你就知道什么是好吃的菜；而另外一种方法就是你吃过很多很多的好吃的菜，然后从中选出好吃的菜。

Source: http://tech.163.com/09/0528/14/5ADHMD8T000915BF.html

摘录一些。

对这位习惯早上7点就到办公室的世界排名数一数二的VC（《福布斯》杂志“2008年度全球VC排名”第二，2006、2007年度排名第一），勤奋积累、保持坚韧和耐心，是做到持续成功的必备特质。

做好VC没有捷径（short-cut），但勤奋的VC很多，真正持续成功者还是少数，除去天赋之类的不均等起跑线和运气之类的不确定外因之外，VC之间的竞争力在于每个人的学习曲线和做决策的逻辑。

相信他（创业者），和他站在一起，帮他补上短板（比如管理团队），要有耐心。

一个公司的DNA在创建之初的18个月内形成……或者还要早

做很多调查，和很多人聊天，问对问题，鉴别消息源

莫里茨曾说，对他影响最大的人是牛津大学时的历史老师西奥多·泽尔丁（Theodore Zeldin）的一句话：事物永远不是表面显现的那样。

要善于发现和鉴别每个人的潜在价值和成长性，而团队之间的协作和帮助，团队成功和失败经验的传递和学习，都可以为前端的判断减少失败的成本。

“做创业者背后的创业者”作为红杉的价值观，印在名片上。

10th Annual Info-Security Event - Hong Kong

Today, the 'network perimeter' is no longer recognizable, Users of endpoint devices like USB drives, and the 'always-on' Internet make [security] more difficult.
网络边界已经模糊，互联网使得获得安全更加困难

-- Stephen Mak, JP, deputy GCIO

Much of our legacy code and systems was designed for a different time. Software communications are fundamentally changing, with many transactions now taking place over the Web—network defenses are covering only a portion of the attack surface. Attacks are becoming organized and profit-driven, and the economic downturn is driving growth and innovation. Entire underground economy has been created, with chat rooms and auction sites. Embrace the attacker and think like him/her to succeed: become a hackernomist.
大多数代码和系统是很久之前设计的，软件通信已经发生了本质的变化，网络边界防护不能阻止全部的攻击。有组织的攻击为了追求利益，在经济危机时不断创新。要想黑客一样思考。

-- Dr Herbert "Hugh" Thompson, chief security strategist for US-based firm People Security

Our world is becoming interconnected, imagine a world with a trillion humans/machines interconnected, The only constant is change, and it takes a dynamic infrastructure to deal with that change. A dynamic infrastructure will enable visibility, control and automation across all business and IT assets. A massive increase in SQL injection is replacing cross-site scripting as the predominant web app vulnerability.
互联世界，不变的是变化。基础设施需要动态化，对业务资产和IT资产要有可视性、控制力、自动化。

-- Kevin Skapinetz, technology strategist, office of the CTO, Internet Security Systems, Global Technology Services, IBM

You need a trusted stack of people/data/software/hardware, this is a long-term vision.
人/数据/软件/硬件可信栈

-- Andrew Cushman, senior director, Trustworthy Computing, Microsoft

Source: http://tech.qq.com/a/20090526/000304.htm

从工程师到AMD大中华区总裁的“芯”路历程———

5月23日下午2点，北京青年报教育大讲堂迎来了第八位主讲嘉宾，AMD全球高级副总裁、大中华区总裁郭可尊女士。郭可尊以“超越自我，成就未来”为主题，与大家分享了她从一名普通的工程师，如何在为科技事业发展的奋斗历程中不断超越自我，最终成为一名跨国公司大中华区总裁的奋斗历程。当天下午，200多位听众坐满了大会议室，聆听这位国内IT领域最具影响力之一的女总裁的“芯”路历程。

“希望我的经验与体会能够给予青年朋友们，尤其是年轻的大学生以及即将走向社会的精英们一些启迪。”没有深奥玄妙的理论，没有雍容华丽的言语，平实、笃定的语气让这位叱诧商界的女总裁从站在讲台的那一刻起，就散发出沉稳而令人信服的气质，深深地抓住了在场听众的注意。

做不了第一，也要做第二

“竞争与竞争对手就在我们的身边，做不了第一，也要做第二，第三也许就失败了。”——郭可尊

“我们生活在一个鼓励与推动竞争的社会。”郭可尊在讲座一开始就鲜明地指出。IT行业是整个经济社会里发展最迅速、竞争最激烈的行业之一。“我很幸运自己能够选择这样一个极具挑战的行业，并能和这个行业一起成长。”郭可尊说道。

然而选择的正确只是第一步，成功之路远不是这么平坦。没多久，郭可尊就对自己所从事行业的竞争性有了强烈的认识。

在美国并行计算机公司工作期间，郭可尊所在的总体设计组正在承担新一代RISC系列计算机的研制工作。一天早上，全体R&D的人员被叫到一起开会。大家像平常那样嘻嘻哈哈地端着咖啡聊天，等待会议开始。

郭可尊讲道，“突然，研制组的头把所有的机器型号用大叉划掉，并宣布，由于设计延迟等原因，这些新型机器不能让我们的产品在市场上有明显的竞争优势。如果我们的新产品不能做第一，也不能做第二，那么第三我们就不做了。因为它不能为公司带来充沛的利润。”

会场突然变得鸦雀无声，所有的人都屏住了呼吸。郭可尊说：“我当时的第一反应是机器都快出来了，我们费了多少的心血，就这样扔了。”

而接下来的两天，残酷的裁员正式开始。第一个端着纸箱走出研发大楼的是RISC的总体设计师，然后是朝夕相处的亲密同事，望着他们远去的身影，郭可尊第一次认识到“市场经济”的残酷与无情。

建立自身的竞争优势

“要在市场经济的社会和行业中取得成功的人，必须要建立自己的竞争优势，只有竞争的实力才能使你成为成功者。” ——郭可尊

郭可尊第一次在美国总部做在华发展战略合作伙伴讲演时说，中国人是一个讲感情的民族，“情”字找不到一个完全合适的英文来表达，但是这个字的左边是一根线连着两颗心，意味着与中国人建立的合作关系，应当是以“心”换“心”的伙伴，是心心相连的生意。“在那次大会上，我以一个中国女性的情结感动了当时在场许多美国高层。”

“要在市场经济的社会和行业中取得成功的人，必须要建立自己的竞争优势，而这需要我们要像攻克每一个碉堡那样去突破自己的弱点，并能够把自己身上的潜能与优势发挥出来。”郭可尊说道。尤其对女性而言，与生俱来的亲和力和在同一时间内同时处理许多事情的能力都是她们的优势。如果每个女性都能够把这个潜能充分发挥在所从事的岗位上，就一定占据着独特的领先性。

敢于超越比自己强的人

“一个人应当敢于去挑战与超越比自己强大很多的竞争对手。在面临强大的竞争对手时，应该不屈不挠，顽强地发展自己的竞争优势。”——郭可尊

一般人在面临比自己强很多的竞争对手时，往往会选择放弃。但郭可尊却提出了相反的观点，“放弃会让你失去许多好的机会。”

她举例说，AMD公司40年的历史就是通过不断推动竞争，不断超越，从一个行业的追随者发展成为挑战者，进而成为行业领导者的过程。为微处理器行业的健康发展，为全球消费者的利益，也为全球信息更快速地发展，做出了杰出的贡献。在当前的形势下，AMD这种的顽强与敢于超越的精神是值得我们推崇和借鉴的。

创新带来独特的竞争优势

“用创新的思路去做事的时候，你经常可以把一件不可能的事情做成可能，你也有可能把一件会失败的事情做成一件成功的事情。”——郭可尊

郭可尊在研究院工作的时候，经常要到全球各地把科研项目拿到中国来做。很多人问她为什么要到中国去做？有什么价值？当时这些问题经常带给大家很多的思考。

郭可尊也在思考，中国研发参与在全球研发中，到底改变了什么？到底对新的研发机制带来什么不同的因素？“我们看传统做研发是按地区和项目来分，一个人按每天八个小时来计算，而当中国的研发参与进来后，研发的模式就已经转变了。所以，我们当时提出全球24小时不间断研发的新模式。”

比如中国早上开始上班，到下午五六点下班的时候，中国实验室把研究成果转给欧洲实验室的研究人员。欧洲实验室研究人员继续研发，等他们下班的时候，又把这个成果转给美国实验室，这样24小时不间断研发，大大缩短了我们对新产品的开发时间，使产品更具市场竞争力，同时更重要的是有效地利用互联网技术与全球化研发所带来的改变推动了科研模式的转变与发展。

“我想说，其实创新并不是很深奥的，或者只有科技人员才要想的事情。我们每个人每天做的事情，都要用一个创新的思路去想，用不同于传统的新办法，这能带来很独特的竞争优势。”

无私才能超越自我

“只是做一个会赚钱的总裁，在今天的高科技时代并不是他成功的标志。一个真正的总裁是把事做好并做好事。”

“我们要做一家优秀的企业，这个企业是真正把‘客户为中心’的理念融入到我们的血脉中去，作客户成功的DNA。我们的企业是有灵魂的，这个灵魂就是：客户是我们所有的中心。”——郭可尊

总裁是一个被无数光环所笼罩的职务，无数人梦寐以求能登上这级高高在上的台阶。

但AMD大中华区总裁的工作却被郭可尊称之为“最困难和最具挑战的一份工作”， “这几乎是一份一无所有，白手起家的艰难创业。”

郭可尊曾碰到许多第一次与AMD进行合作时很犹豫的客户，有个客户高管对郭可尊说：“郭总，你知道吗，如果合作失败了，你只是丢了一份工作，而我却毁了一家中国企业。”

郭可尊说：“他的话震撼了我，因为这不只是一桩生意，还是一种责任，承担着让我们的客户取得成功的重担。我说我也是一个中国人，我会对中国企业负责的。”

这件事改变了郭可尊很多。“从那以后，我对自己说，无论我碰到什么困难，要付出什么样的代价，我们一定要对自己的客户负责，对所有客户、企业负责，要实现我们对他们的承诺。”

20多年来，郭可尊从一位中国科学院普通科研人员成长为Motorola公司的中国研究院院长，再到今天担任AMD大中华区总裁，许多人对郭可尊说，你是一位幸运的成功人士。然而郭可尊却说：“我真正的追求，是通过自己的一切告诉我们所有在中国成长起来的年轻人: 一个有竞争力、有创新和有责任感的人，事业与成功是属于他的！”

Source: http://blog.sina.com.cn/s/blog_475b16640100ezdr.html?tj=1

欧美“糖果实验”。在幼儿园的孩子面前放着他们喜欢的糖果，一盘量多、一盘量少。然后跟他们说，想吃多的这盘就要多等待15分钟或半小时，要是等不及，只能吃那盘少的。跟踪调查发现，那些能够等待的孩子远比迫不及待的孩子有出息，因为他们更有独立性、克制力和忍耐力。

一位澳大利亚的博士发现：80%的中国儿童都不能等待，66%的澳大利亚孩子可以等待15分钟。这是一个警示：中国现在的家庭教育可能会培养出一大批不能等待的孩子。

事实上，一个被过度满足的孩子并不快乐。社会心理学上，有个饱享剥夺理论。当你的需求被过度满足的时候，你的快乐也被同时剥夺。延迟满足，反而会获得更大的幸福。

Source: http://tech.sina.com.cn/t/2009-05-23/01373118434.shtml

摘录一些。

“我喜欢接管陷入困境的公司，并帮其恢复生机”，在接受记者采访时，现任爱立信、联合利华董事长迈克·泰斯库（Michael Treschow)直言道。

1997年接任伊莱克斯总裁时，泰斯库面临的是一个烂摊子。他大刀阔斧地在全欧洲裁减了23个工厂和1.1万个职位，帮助伊莱克斯公司重新聚焦到核心产业上，成功使这个陷入困境的白色家电巨头在2001年的营收达到7.6亿美元。

2002年，他被临危授命，接管当时出现连续亏损、“陷入泥潭的电信巨人”爱立信。泰斯库的重组药方包括实施配股、继续裁员和控制成本、调整管理层，当年全球范围内的裁员幅度达到了6万人。两年之后，爱立信步出困境。

泰斯库仍然强调创新投入对企业的重要性，但不可只有热情没有方法。这意味着企业一要有自己的研究文化，以帮助创新与市场接轨；二要根据公司自身情况进行创新成本的投入，“如果你的公司面临巨大下滑，那么你必须调整包括创新投入在内的成本支出，因为没有道理将40%的收入下滑危险置之不理”。

《21世纪》：经济危机意味着股票市场的下跌和资本市场的紧缩，但也创造了良好的并购机会，创新投入似乎也显得更为重要。如何把握此时的财务管理？

泰斯库：最重要的是对现金流的管理。你要确保公司不会因为外部的糟糕金融环境而出现信贷危机，你要时刻保证需要资金时你的信贷额度够用，因此要保证充裕的现金流。

而对于平衡点的把握，我想这要取决于你所处的商业模式，你所处的行业及你所在的具体公司情况。如果你面对着25%、30%、40%的不同下滑，那么你的选择是不一样的，无法给出一个统一的具体药方。如果你的公司面临巨大下滑，那么你必须调整包括创新投入在内的成本支出，因为没有道理将40%的收入下滑危险置之不理。

《21世纪》：如何看待危机的"低价"环境下的企业收购？

泰斯库：爱立信去年在全球范围内已经完成了一些收购，近期也有几项。当我强调你要保障手中的现金流时，也是在强调你要比平时更加明白你每一个举动的意义和逻辑所在，要对你的行为有更好的理解。因此，你要趁机寻找好的收购机会，也要格外小心。

并购的驱动因素通常与市场准入或者规模经济有关，但这也有其它途径可以达到，比如跟我的经销商去做，或者用公司自己的人员去做。如果业务本身的开展不需要并购，就不要轻易并购，尤其在这种时候。收购是件非常困难及复杂的事，最重要的是事前评估。一方面要看被收购的公司是不是真的像你所设想的那么强，是不是真的能帮助达成规模经济；另一方面，收购完了以后你是不是能经营好，是不是能顺利完成整合。

《21世纪》：1997年您接手伊莱克斯时进行了大裁员，2002年重组爱立信时裁员幅度更达到了6万人。此次全球危机下，裁员成为全球各大公司的普遍行为，这次的裁员计划如何？

泰斯库：首先，我不喜欢裁员，公司只会在找不到合适的地方运用员工时进行裁员。而当一些地方显示出活力时，我们会追加员工。未来一年内，我们会在中国增加1000个左右的工作岗位。

事实上，尽管受制于危机下的成本控制和高效支出，考虑到新兴市场的巨大潜能，我们会对新兴市场追加更多投资。这也是为什么我们在中国开放了更多工作岗位。

《21世纪》：当我们谈及新兴市场，我们知道中国和印度是目前世界最大的两个新兴市场。而印度在去年取代中国成为了爱立信的全球最大市场。怎么看待中印两个市场的差异？对于爱立信来说，哪个市场将得到更多的资源倾斜？

泰斯库：对于爱立信来说，中国始终是一个大市场，并且越来越大。当然，增长的速度会随着我们每年在中国订单量的上下浮动而波动。虽然印度在当下确实是我们业务贡献最大的市场，但你要注意到的是，我们在中国投入了比印度更多的资源、研发中心建设、工厂以及合资企业。

也许某一年我们会在其它国家有更多的投入，但总体来看，我们会将更多的精力用在中国市场，因为资源会被投入在最合适的地方。但我仍旧想强调我们在中国的多个研发中心以及长期维护着的客户关系。对于中国网络运营商的服务，我们有很坚定的目标，会继续投入更多的努力。

《21世纪》：新兴市场本身的脆弱性导致的潜在风险在此次危机中并未减少。那么当加大了对新兴市场的资源投入时，如何更好的管理潜在风险以保障投资安全呢？

泰斯库：我想请你回到三十年以前去看这个问题。三十年前，对于爱立信现在所从事的电信基建及设备事业来说，所有市场都是新兴市场。

我三十多年的商业经历中经过了很多危机，也始终相信经验是最好的老师，爱立信更是如此。我们正是在这三十年间，将曾经的新兴市场变为成熟市场，其中的经验，包括你所提及的风险管理都是我们的财富积累。因此我们有足够的经验去管理并化解新兴市场的风险，我们了解新市场和其中的消费者。

《21世纪》：那么对于新兴市场内部发展不均衡而导致的各细分市场的差距，怎么把握？

泰斯库：比如中国市场，在大城市和沿海地区的电信发展无论从普及率还是新技术应用都堪比发达市场，而西部和广大的乡村地区发展则明显滞后，需求明显不同。

对于后者，我们的重点在于通过低成本、大覆盖网络等方案将电信服务广泛普及到人们中去；而在发达的沿海地区，基本语音业务趋于饱和，战略重点会更多放在更为先进的移动宽带基础设施和创新的增值业务，以及移动多媒体应用上。

但这里有一个问题很关键，中国人口多，因此每一个细分市场仍然有很大的消费者群体。但比如说瑞典，在做细分市场的时候就要非常小心，瑞典人口非常少，因此在做细分市场时就要考虑企业所追求的规模效应。

《21世纪》：随着市场发展，中国本土成长出了像华为、中兴这样的优秀公司，并与你们展开激烈竞争。怎么看待这些竞争对手？

泰斯库：总的来说，在全世界范围内我们都面临着不同的市场竞争和竞争对手。我认为他们都不错，发展得很好，也有自己的战略，因此我将他们敬为实力强大的竞争对手。不仅仅在中国，这些来自中国的竞争者们正在整个世界市场上拿取越来越大的份额。我认为有这样的竞争对手很好，因为这推动我们变得更加强大。

《21世纪》：但现在政府似乎也更倾向于支持本土企业的发展，因此维护并深化政府关系似乎变得越来越难？

泰斯库：我身边的这些人（指身边的中国区主管），他们每天都在这里努力的发展与客户、各地方政府、中央政府的关系。这些努力会继续下去，因为关系网的铺展对我们的业务发展十分有益。

事实上，进入中国市场以来，我们一直不懈地去跟客户、跟影响业务的各个方面加强关系，我们与很多客户都是有几十年甚至更长时间的合作，这是我们的最大优势之一。我的中国员工非常能干，不管环境怎么变化，不管有多少中国公司参与竞争，他们一直都在加强跟客户的关系，而且将一直持续下去。

《21世纪》：你年轻时就设定目标要成为商业领袖么？

泰斯库：我倒没有特别规划一条路。但我觉得首先你要上路，好比航海，你要找到那艘船，登上甲板然后起航。接下来你会面对各种可能性和方向的选择，跟着不同的时间做出最合适当时的选择就好了。

我从未在一开始就想像自己将来会为爱立信或联合利华工作。我只是比较幸运，在合适的时间做了合适的事情，而我所遇到的困难和挑战也刚好是适合我去解决的那一类型，然后，我就被认为是"成功"了。

《21世纪》：我们知道，除了爱立信全球董事长一职外，你还同时担任联合利华集团全球董事会主席，此外还是瑞典工商联会主席，而两年前才刚刚卸任了伊莱克斯集团全球董事长。那么您是如何平衡多个领导力角色的？

泰斯库：就像你说的，我是这些集团的董事会主席，而非执行主席，我不是同时兼任多个CEO角色。尽管电信和快销是两个完全不同的行业，但对于爱立信而言，我不需要成为一个电信专家，而对于联合利华来说，集团内有很多的快销专业人士，我也不需要成为其中之一。但有些基本问题是需要掌握和了解的，例如财报分析，战略方向的把握以及人才管理，其它的则没有什么太大的不同。

《21世纪》：2009年你的最大愿望是什么？

泰斯库：今年的最大愿望就是希望看到信心重回到每个人的身上。这次危机让世界上太多人受到了冲击和伤害并造成了衰退。

《21世纪》：那么对于爱立信今年的最大愿望呢？

泰斯库：对于爱立信来说，要确保我们继续保持市场领导地位，在世界任何地方都要比我们的任何竞争对手更为成功，并且让我们的客户坚信我们能为他们提供最好的服务。但同时我希望成功不要伴随着负面的、不优雅的商业行为，要更谦虚更懂得倾听与理解。

《21世纪》：你在阿特拉斯、伊莱克斯和爱立信都工作过，瑞典企业是否有些商业共性存在？

泰斯库：我想瑞典企业是真正追寻国际化的企业。我们国家的市场很小，因此在100年前，只有50%的业务是在本国，其它的业务都是通过出国、开发新市场来完成的。这也是我为什么说，从一开始，我们就经历了各种新兴市场形态。到最后，这变成了我们的一种优势，因为瑞典企业将这种开拓海外市场的习惯变成了一种自然天性，喜欢在世界范围内巡游，在不同国家工作，成为真正意义上的全球企业。

《21世纪》：瑞典的商业风格是怎样的？

泰斯库：我想我身边的这些人能给到你更客观的看法（指周围的几个中国区主管）。就我个人来看，首先我们拥有着一百多年的长时间和平环境，社会的长期安定在过去一个世纪其实是件奢侈的事情，因此你现在能看到的大多数瑞典跨国公司都有着百年以上的历史。

另外，我们强调跨国经营要做到全球化视野，本地化行动（being global and acting local)。当我们在中国时，我们就用中国人的方式做生意而不依赖于瑞典人的商业习惯，但当我们采取本地策略时也要同时拥有全球化视野。

“只是读美国的书籍和报纸，看美国的电视和电影，听美国的音乐，并不能真正地了解美国。只有居住在那儿，在日常生活中体验其文化的不同，并与欧洲国家做比较，你才能真正了解它，你才能意识到其差异。”

他曾坦言，自己基本不看任何的管理类书籍，因为比起书本，他更信赖从自己经历的商业案例中吸取的胜败经验。

泰斯库坚信只有获取利润才能体现一个公司的成功，而为了重获利润，他实行的是精兵简政和关注核心产业的政策。

斯文凯很快用自己的行动证明了泰斯库准确的眼光：他一方面通过与索尼合资手机业务剥离了爱立信亏损严重的手机部门，从而更好的将业务点集中到基建设备和网络建设上来，并专门成立了“审查小组”来过滤不属于核心层的业务和投资项目。另一方面斯文凯迅速完成裁员计划，尤为突显魄力的是将爱立信瑞典总部人员也从650人锐减为300人，而“动总部的人”通常不是容易做的决定。

最繁忙时期他同时兼任伊莱克斯集团董事长、爱立信董事长、ABB董事会成员、瑞典工商联合会主席等多重职位。

摩托罗拉联席CEO格雷格-布朗（Greg Brown）日前接受《商业周刊》采访，分享了自己的一些经验。


问：刀锋（Razr）手机的成功所带来的傲慢情绪是否是造成摩托罗拉衰落的因素之一？

答：我认为成功是增长的最大障碍之一。它会导致盲目自大。而且还会催生一些过时、传统的做事方法。

问：此话怎讲？

答：想要获得持续的成功就要每天都有所成就。严峻的现实要求我们每天都要开展更多的工作。但有时候，一款成功的产品却会掩盖这一现实。我相信，成功的组织需要的是一种“自外向内”的视角。这些组织可以始终如一的从客户和投资者的角度来审视自己的工作和成果。

问：摩托罗拉如何偏离了这一方向？

答：在摩托罗拉，我们以前看待事情的方式都是“自内向外”，而非“自外向内”。在摩托罗拉的发展历史中，我们有时会滋生一种不健康的自大情绪，这就使得我们盲目的认为自己了解了客户的需求，因此，我们就无法敞开心扉，以不带偏见的方式来听取客户的建议。

问：请举个例子。

答：在手机市场尤其如此。我们本应当把注意力放在用户体验上，而不是过多的关注外形。我们没有适应用户需求。

问：你认为是否存在吉姆-柯林斯（Jim Collins）所谓的“对更多产品的无序追求”，比如“更多的刀锋”？

答：有时，组织会缺乏自由沟通。我们需要速度，不应当对信息进行过滤，而应当让它在组织内水平的自由流动，而不是建立等级制度。我们应当在技术和产品趋势中更快的面对现实。

成功的组织能够注意到来自内部和外部的各种动向。它们并非依赖于水平、等级或程序，而是寻求不同意见，并寻找与用户最为接近的现实需求。他们随时都在观察竞争对手和整个市场的动向，并审视企业内部的执行力和适应力。

问：你们原本有可能采取何种不同的手机战略？

答：我们本应该更快的适应技术和产品趋势。在听取客户意见方面，每个人都能做的更好。伟大的企业能够快速响应，它们拥有适应力而且能够不断进取。它们不会满足现状，而且对偏执有着比较健康的把握。我们应当保持警惕，以确保组织内部的公正和透明。而对于一家运营得当的公司而言，自信和谦逊都是良好的品质。

问：任人唯贤有多么重要？

答：企业的强大与团队息息相关。成功的公司重视员工、人才、深度和培训。你应当确保将正确的人放到了正确的位置，以推动组织向前发展，无论从战略、运营还是财务角度都是如此。

问：摩托罗拉是否曾经错误的任命过手机部门的领导？

答：我只能说，这些业务的表现与其领导力相符。人才很重要。用具有互补技能和统一价值观的人组成一支高效的团队非常重要。

问：你怎么知道自己真的用对了人？

答：你需要不断的审视。你要搜集信息，与客户、合作伙伴和利益相关者交流。你需要不遗余力的了解业务的现状。企业需要拥有商业流程、小组会议，并对运营状况进行审核，不仅要在这一框架内获取信息，同样要在外部获取信息。你要确保能够容忍不同意见，并欢迎有建设性的批评。如果没有批评，你也只能自说自话。

问：你们原本可以怎么做？

答：更加着眼于现实。这样你就更有机会适应趋势，而不是等到事情发生了以后再做反应。我相信，摩托罗拉正在日益强大。企业都会经历周期。这家有着80年历史的企业有着维持下去的韧性，我们会好起来的。从很多方面来看，摩托罗拉已经开始振兴。

问：柯林斯曾对冲动式的复兴提出警告。你如何将摩托罗拉的复兴维持下去？
答：要改变文化，需要几年的时间。众所周知，摩托罗拉拥有质量、技术、能力和创新。我们还会坚持以客户为导向并快速发展。拓展传统价值的基础并融入新鲜的元素，将使得我们的文化更为稳固。我们正在努力，但是还有很多事情要做，永远不会完结。成功只是暂时的，我们要永远怀着不断进取的心态。

《纽约时报》的Adam Bryant近日采访了微软公司首席执行官史蒂夫-鲍尔默。

问：作为一名领导者，还有哪些地方需要改进？

鲍尔默：我很忙。我的大脑时刻不停，即使听完一个人说的事情，但不能真正消化理解这些东西，人们都会认为你没有在认真倾听。有时就是这样，你忙于琐事没法倾听。这就是我大脑工作的方式，它总是在不停的接受、分析、思考、理解、反应。话说回来，如果你真想激励人干好工作，那就必须倾听他们所说，并让他们感觉到你是在倾听。所以说，我的学得适时慢下来，在这方面多做改进。这对我及周围的人都有好处。

问：一个“史蒂夫-鲍尔默”式的会议是什么样子？

鲍尔默：在过去数年中，我对此做了很多改动。微软的会议以前通常是这样：你带着一些大家都没见过的东西走进来，你做演示。你把听众引导到一条“漫长崎岖的路”上，带他们探索、发现。最后你们得出一个结论。

我过去很喜欢采用这种方式，盖茨他也很欣赏这种方式。这看起来的确也是开会的正规方法，因为想要得出结论，就必须先问“这个怎么样？你试过这种办法没有？”人们为了支持自己的观点，会把方方面面都讲到，最后告诉你一个结论。

但我决定不再这么办了。我觉得这不够效率，不够有效。我没有耐心。所以现在开会，你得先把材料给我，我会事先看一遍。然后开会的时候直接说：“对这个东西我有四个问题，不用展示整个过程了。”当然如果我对具体的数据感兴趣，我会直接问他们。这让我们做事更加专注。

问：你用什么方式评估一个应聘者？

鲍尔默：如果应聘者来自内部推荐，最好的办法就是看他过去做出过什么成绩。这不是百分之百的管用，但这是一个合理的方法。对内部推荐人士，仔细分析他的简历相当重要。我不是很相信简历上所写的一切。你总可以找到些人帮你说说好话。但如果多问问题，并涉及各个方面，就会真正了解这个人。

我会找出那些既有激情又有足够智商的人。我直接问他们，“在你过去从事的工作中，什么事最让你感到自豪。”如果你有值得自豪的东西，那么你就该回答出我对此提出的所有问题，至少也可以满足我的好奇心。我能看出你的激情，它或许是种沉寂下来的激情，也或许是种高涨的激情。我可以看出你是不是那种把自身完全投入到某种事情上的人。

问：和十年前比，你需要现在的应聘者具备哪些素质？

鲍尔默：总的来说，标准没有变：他们必须是愿意努力工作的天才，必须有志投身于科技领域，必须在数学与科学上有所建树。不过和10年前比，如今的技术更为复杂，产品与服务以全新的方式影响着人们的生活，我们的业务也更加全球化。所以人们应当跳出自身的圈子，从外部来看事情，并且能够把技术、客户需求、市场这些点用全新的方式结合起来。

问：在你的职业生涯中，最大的挑战是什么？

鲍尔默：找到乐观与现实的平衡。我天性乐观。我总是认为，只要你选择正确并愿意投入精力，就可以获得成功。所以当事情和预计的方案出错时，或是根本无法预测时，我就会感到十分沮丧。我身上现实的那一面告诉自己总会有一些不可预测的东西出现，而乐观的一面会激励我去应对挑战。

问：填空。你希望公司的文化能更加_____？

鲍尔默：更有效率。我选的词是效率。这也是每个企业家希望自己公司文化发展的朝向。看看当前的经济形势，还有衰退可能持续的时间，每个公司都希望能用更少的成本做更多的事，微软也不例外。我们做的不错，但对于一个30年连续增长的公司来说，在更为苛刻的环境下运作并不轻松。

同时，追求效率驱使我们更为专注。专注那些真正能够契合用户需求，并占领市场份额的业务。当然，创新必不可少，但我们也需要效率。

问：有什么管理方面的书你觉得特别有用么？

鲍尔默：Jim Collin写的《Built to Last》。

问：在所有你的演讲中，有没有一段话是你特别喜欢的？

鲍尔默：2月份时我应邀在民主党年会上分享一些有关我们业务的看法。在演讲中，我谈到了我父亲对我说的一番话。这些话很简单，但也的确对我的生活和工作影响很大。

我父亲在福特汽车工作了30年。我小时候，他曾说过：“如果你想干一份工作，就去干。如果你不想干一份工作，那就别干。”我的理解是，如果你真想完成什么事情，就必须执着的投入并找对办法。这是十分普遍的美国式的工作态度，但的确也是我学到的最重要的东西。

问：如果你必须选择另一个职业，你会选择什么？

鲍尔默：可能会是教育。我喜欢和年青人共事，而且我认为激励天才是很重要的一件事。我热爱篮球，所以我猜我会是一个高中的篮球教练。我觉得我所执教的球队肯定会在比赛中取胜。

问：你希望商学院更应该关注什么方面，或是减少对某些方面的注意？

鲍尔默：我觉得强调以一种长远观点看问题的方式很重要。公司总是关注那些短期对业务有促进的事务。而想要创立一个伟大的企业需要耐心，有时候你必须愿意进行长期投资，并持续投资。

问：如果你在商学院教授一门课程，那会是什么课程？

鲍尔默：领导艺术。我加入微软时公司只有30人，而现在全球超过9万名员工，我有机会在公司发展的每个阶段扮演领导者的角色。在这一过程中，我从共事的人身上学到了很多有关领导方式的经验。

我现在认为，想要成为一个伟大的领导者，你必须能把思想、业务与人才管理结合在一起领导。而大部分人只是关注这三者之一。我曾认为管理就是在思想上的领导。也有人认为就是人事管理能力。但事实是，伟大的领导者要结合考虑问题。

在baidu搜索why，排在了第二位。

坚持更新有用的信息。

Source: http://www.secure-enterprise20.org/files/Web%202%200%20Hacking%20Q1.pdf

Secure Enterprise 2.0 Forum 发布报告《Web 2.0 Hacking Incidents – 2009 Q1》

• Web 2.0 服务和站点达到已记录事件的多数(21%)
• 针对 Web 2.0 的攻击大多数是 SQL 注入(21%) 、认证滥用(18%)、跨站伪造请求 CSRF(8%)
• Web 攻击造成敏感信息泄漏(29%)

Source: http://www.megapanzer.com/2009/03/24/nine_ways_how_hackers_propagate_malware_one-2/
        http://www.megapanzer.com/2009/05/06/nine_ways_how_hackers_propagate_malware_one/

1. 邮件附件包含木马
2. 利用浏览器漏洞
3. 可拆卸数据存储设备，如 U 盘等
4. 文件共享
5. DNS 劫持
6. DNS cache 毒害
7. 伪装成网关，如 ARP 欺骗
8. 攻击路由器
9. 匿名代理数据劫持

       

Source: http://www.avertlabs.com/research/blog/index.php/2009/05/05/mcafee-releases-first-quarterly-threats-report/

• 2009Q1 新增 12 million （1200万）僵尸，与 2008Q4 相比增长50%
• Koobface 病毒仅在3月份就超过了800个变种
• 很多俄罗斯政府办公室的计算机系统被网络犯罪团伙控制，其他前苏联国家也是如此
• 垃圾邮件中，男性保健品、处方药、办证和一般广告名列前茅
• 澳大利亚晋级僵尸数量三甲，老大美国、老二中国
• Conficker 言过其实
• Google 成为网络犯罪分子不可或缺的工具
• 每天都会出现新的恶意网站，浏览到哪里，威胁就在哪里

中文报告下载：http://now.eloqua.com/e/er.aspx?s=927&lid=702&elq=
语言优雅、格式漂亮、行文流畅，非常值得学习！

波兰美女黑客Joanna Rutkowska曝光了英特尔CPU一个缓存漏洞，声名大噪。


上海美女黑客YingCracker因为家里并不算富裕，想通过自己的技术赚点生活费。

Source: http://tech.163.com/09/0501/09/587GNDTV000915BD.html

摘录一些。

创新并不意味着只有技术创新，管理体系、激励机制、商业文化甚至创业机制的创新，是更巨大的创新。

我认为制度层面的创新也极其重要。体制、观念和人，是三个最重要的因素。

很多投资人看一个项目能不能成，总是会关注能不能赚钱、能不能退出、硬件系统怎么样。却都忽略了一个重要问题：一个公司需要合格的管理人员。这点在中国尤其如此。

以联想集团而言，这么多年我们无法在技术上有所突破，其中很重要的原因是其他方面还不具备，比如销售能力、资金实力等。整个过程都是瓶颈，即使技术上有所突破也结不出果实来。这样的事当时我们不做，就是等厚积薄发积累到一定程度。

但是一个外国人，怎么肯轻易信服中国人的领导？这就需要过程，要连续打出漂亮的仗，让他们在物质上首先有很大的收益，也意识到领导人确实是说一句算一句的，这种文化慢慢就有可能形成。

什么样的公司才算伟大的公司？第一，时间长度得够长；第二，规模得够，在行业内有影响。对于股东、投资者而言，营业额、利润等财务数字要好；第三，对社会有特殊贡献，技术的、制度的等贡献。

GE事业部的前提就是杰克·韦尔奇的能力大到什么都能做，每一个行业都能亲自去了解、领导和推动。我只能做一般人做的事情，一旦要做点什么，就得请人帮忙、必须放权给别人。我就是用发动机文化给别人创造平台，让别人做，我来帮助选人、提供机会。

子公司模式，根文化要一致，选人则是关键。

企业管理层面的东西都是很直观的。年底要有愿景、路线，分成步骤，要有组织架构。