Jordan转载了一篇文章Estimate the true cost of a new security control，看完颇有感触：无论是中立的咨询顾问还是产品厂商，在与客户交流的时候，能把这些信息给客户交代清楚，一则尽责，二来其实也可以提高印象分 :) 简单翻一下，文章大意如下： 部署一款新的安全产品，需要考虑的成本大致包括以下几类： 1、采购成本 各种软硬件及服务的直接成本（可能还包括需 …

这个标题真有气势，哈。其实这只是三部小说的名字。 这些日子很喜欢看小说，上面列的三部，是这星期看完的（有些玩物丧志了，甚至还有点想为安全圈子里的一些人和事为素材，也练练笔法呢，有空再说吧……）。 《国家干部》里有一段话，是一个随波逐流的区委书记对一位刚正不阿的副市长说的：“其实啊，在这个世界上，像你这样的人是极少数，在干部队伍里，象你这样的领导也一样是极少数。而像那种无恶不作的坏人恶人，像那种贪得 …

铁卷所号称的内核级的透明加解密究竟是怎么回事呢？说白了，就是应用软件（例如Word）压根不晓得什么加不加密、解不解密的事儿。 铁卷躲在核心里，悄悄地做了个二传手。当Word打开加密doc前，铁卷先将加密过的文档解密了，交给word，这时候word接收到的是一个标准的、符合doc文档格式规范的文件，自然就能解开。但如果是用notepad试图打开这个doc，铁卷一看进程不对，便不做解密，于 …

等级保护的核心 对信息系统分等级、按标准进行建设、管理和监督。 如何分级 a) 第一级为自主保护级 b) 第二级为指导保护级 c) 第三级为监督保护级 d) 第四级为强制保护级 e) 第五级为专控保护级 等级认定流程 企业根据信息系统具体情况等自主定级，由所在地公安分局转报等级保护办公室（等保办），如果等保办认为定级合适，转测评机构进行测评；等级确认后备案，每年审核。 安全公司能够起到的帮助 定 …

看到一个颇具所谓 web 2.0 味道的投票网站：http://vote.hellocity.cn/，觉得做得很棒，推荐一下，也试着创建了一个投票：您的单位是否发生过严重的电子文档泄密事件？欢迎投票 :) 投票的结果应该会在下图实时显示出来。 在写完这个 blog 的时候，突然想起今天看书读到的一句很有意思的话：“民主集中制，就是听大多数人的意见，跟少数人沟通，一个人做决定。” 其实很多时候，我们 …