论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 171 篇帖子 ]  前往页数 1, 2, 3, 4, 5 ... 12  下一页
作者 内容
 文章标题 : 反思一下安全标准热
帖子发表于 : 2005-03-02 16:57 
离线
高级用户

注册: 2004-03-02 13:51
最近: 2016-01-08 11:41
拥有: 1,634.60 安全币

奖励: 10 安全币
在线: 3190 点
帖子: 145
地址: 北京
反思一下当前的安全标准热:
因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从BS7799到ISO13335
,SSE-CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ,加拿大的,澳大利亚的 ...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。
可是这些标准究竟能给我们带来什么呢?无庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推广?
举几个标准做例子:
1 .BS 7799。首先BS7799源自英国,自然也深受英国文化和法律体系的影响,而安全不仅是技术问题,同时还是社会和法律问题,简单说,安全不仅是个人的事,还是国家的事,对BS7799 -1:1999投票的时候,西方7国除了英国,其他都极力反对,赞成的基本都是英联邦国家,或英国的文化殖民地,就说明了这一点;比如某些国家就指出,ISO17799的隐私部分就同他们的法律存在冲突,而隐私问题是一个十分敏感的问题;
BS7799中包含的控制措施并不一定是你需要的,BS7799中不包含的也并非是你不需要的,而且BS7799是非过程的 ,并不具备严格的理论模
型,只是对各个领域最佳安全实践的高级别概括,BS7799中包含的最佳实践并没有被安全专家证明。你费了九牛二虎之力通过复杂的BS7799认
证并不一定能保证安全,当您按照BS7799生搬硬造的设计checklist和安全政策时,是否能认真的想一想;
2 “得标准者得天下”也适用于信息安全,谁都想控制整个世界,标准也是一部分,占领了标准也就占领了制高点,可以抬高自己,打压别人
,借以占领市场,信息安全事关国家利益,自然格外重要,标准是不发达国家抵抗发达国家信息侵略的最后一道门槛,这个门槛一旦丢了,你也就没有安全可言了 ,你用的是按国外标准研发测评的产品,经国外标准认证的系统,你还能做什么呢?
3 .NIST的FIPS 140-2是业界公认的密码模组标准,据说将来也会成为ISO标准,美国巴不得将FIPS推向世界,这样他们就知道你的系统采用的标准,算法强度,弱点,将来可以从容攻破;
4 .AS/NZS4360 1999是做风险评估的人讲的较多的一个,那它是否是一个适合信息安全的标准呢?首先看起源,AS/NZS4360来自于澳大利亚商业部等十几个部门为对抗组织风险而制定,并非专为信息安全风险评估制定,自然也谈不到如何适合于信息安全,例如它对风险评估的介绍泛泛,也没有建立评估模型,可操作性同样不强;
其次制定AS/NZS4360的时候比较早,那时候还没有太多风险管理标准,所谓先入为主,自然引起关注,同时由于受到其盟国如新西兰、英国等的极力吹捧,导致AS/NZS4360扶摇直上,我就看到过多个安全厂商在其方案里直接引用或模仿此标准,至于作用,似乎大家都懒得去想,反正是外国标准,总会比没有强吧?
5 .从沟通交流的角度说,最好全世界只有一个标准,从国家安全的角度说,最好所有的标准都和国外的不同,就像中国和俄罗斯之间的铁路一样,轨距是不同的。标准意味着开放,互通,弱点公开,如果你自豪的宣称你的系统达到了CC EAL4安全级别,那就意味着你同时也具有EAL4级缺陷,采用EAL5分析方法就可以解决你;
6 .认证和检测机构可以信赖吗?
首先不谈那些做秀的商业测评,那根本是在用金钱收买;
那么那些官方或半官方的机构呢,看看他们的所谓测评依据,要么是等同采用国际标准,要么是自己闭门造车,自相矛盾,五花八门,固然有历史原因,但同时也反映出他们不可信赖,“5万买证”,“两万买证”并非空穴来风,他们同样也是赢利机构,他们需要靠出售XX证来养活自己;
一些值得深思的观点:
1 严格遵守安全标准就会安全;
2 经过认证的系统就会安全,不认为安全认证存在陷阱;
3 所谓第三方的认证检测机构可以信赖;

以上只是个人观点,想到哪就说到哪,希望能抛砖引玉,欢迎大家指正,深入讨论。


--------本帖迄今已累计获得211安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : 兄弟分析得有道理
帖子发表于 : 2005-03-02 18:07 
离线
超级用户

注册: 2003-12-17 16:05
最近: 2014-05-20 18:03
拥有: 2,751.30 安全币

奖励: 487 安全币
在线: 5011 点
帖子: 320
强顶啊!


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-02 20:59 
离线
超级用户

注册: 2003-11-13 14:03
最近: 2014-04-09 15:53
拥有: 5,289.50 安全币

奖励: 160 安全币
在线: 6372 点
帖子: 397
地址: Shanghai
楼主的见解很有张力呀!有道理,但如果从中庸的角度讲,也有些极端。所谓师夷长技以治夷呀。对了,明晚(周四)我们临时在北京搞一次cissp朋友聚会,你要来吗?凑凑热闹,都是些圈子里顶事的朋友。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-03 10:58 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
好,不错,楼主的有些见解还是很深刻的,可以说是一针见血,但是有些内容也未免失之偏颇。小生从管理的角度来予以一一阐述,仅是一家之言,难免也有疏漏,还望大家海涵。


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : 转贴一高人帖,呵呵
帖子发表于 : 2005-03-03 11:02 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
象眼一闭,忽地看到信息安全界的一大恶俗:卖弄。

之一:如何成为信安专家

1:最早似乎是PDR还是CC象无法考证了,反正从PDR卖弄了一堆东西出来了:P2DR、PDRR、...;CC那张著名的图(记得是图4.1)也衍生出了很多四不像的姐妹图。
2:SSE-CMM,其实那里面也有几张好图,不过这个过程稍嫌短了些;去年年底到今年是IATF,不过IATF技术东西稍微多了些,概念稍微少了些,好像很多人感觉有些怯怯的,没太敢大动,因此经常还见保留“飞地”这等中国人难以理解的字样。
3:然后是13335那几张著名的图(一般是图2图3)也被“创新”。目前是17799正被热抄/炒(不过好像好像没图)
4:预测:下一个被卖弄的一定是NIST SP800系列,已经见到迹象了。

那些目前还自觉不是信安专家的兄弟不要自惭形秽,没关系,我们有捷径:先从SP800看起:800-30,800-37,800-53,800-60,800-59,800-26,800-61,。。。,
如果有时间或下苦功夫的话,再查找并牢记一些相关的背景和知识知识,比如FISMA,OMB-130,NIST,FIPS,那就牛大发了,赶紧了。
看家明白了?其实专家还是蛮容易的!之二:如何让别人觉得你像信安专家

让别人觉得你像专家还是有一定技巧的,尤其是成为一个真正的专家还很困难的时候。
1:用词:用词一定要讲究,尽量避免什么立体安全、主动安全这种普通人都能脱口而出的用语,显的不专业。要用纵深防御、深度防御之类的,一个是一般人说不出来,其次是让大家知道你对IATF很熟。再比如说NIST SP800-53只说53就可以了,ISO/IEC 17799简化为7799等。
2:统计:对一些正热炒的东西,除了了解其内容以外,还要对其中一些数据加以统计,比如7799里有10个控制要项、36 个控制目标和127 个控制措施这些数据要张口就能来,当然如果知道7799新版有什么变化,一定要补充提到。
3:背景:对热点不能限于表面了解,必须挖据其背景,比如monitor reference model 是谁什么时候再什么文献里提出的。PDR同样如此。Fisma那张图了解了什么37、53、18、30就齐活了。
4:要对什么热点中的概念、图稍作改动(一般不会出问题),再找个什么场合“交流”一下。日后就可以大对人讲,我当年/时第一个提出。。。,当然说话要自然。这招好像坛子里已经有人用过。
5:如果有机会自己在那个信安的会上的PPT被哪个老人家索走(确实有老人家喜欢这个),那你就可以大讲了,谁谁谁专家很重视认可你的这个观点了,当年/时他。。。
。。。


之三:信安专家要参加哪些活动?

光了解了那些标准并会说了一些行话外,要成为信安专家还得参加活动,建立人脉。
1:初期一定要多参加各种各样的大会,了解大家都在炒作什么。这种会现在比较多,尤其在京沪广地区,如果是其它地方这个机会就少了,不过没关系,坛子里好像有雷锋们将这些讲稿都放进来了。回家后赶紧按照象一象二篇消化实践。
2:一个阶段后重点注意大专家们的观点,比如何院士、沈院士、赵战生老师、崔书昆老师、曲成义老师、屈延文老师、贾颖禾老师、杜虹、景乾元、宁家骏等大家、国家信息中心、国家测评中心、。。。等人在说什么,一定要细发掘,比如你可以看到测评中心那帮人天天就是CC、培训,因为他们靠这些挣大钱,信息中心在谈评估等等。要尽量能和他们认识,技巧和能力就靠个人了。坛子里有些主的确修炼到这份了。
3:参加相关机构的各种课题和项目组,比如编本书、起草个标准什么的,这在北京不算太难的事。因为这些机构缺人又不想花钱,一招呼就会有各个公司忙不迭地跑去自掏钱地参与,如果你有幸在这些公司并傍进去了,以后就可以在外面吹吹什么的,哪怕心里明白在里面自己其实啥也不是。有时这还要用到第二点的人脉,比如跟那些老师表达你多么多么想参加这些课题等等的,这些老师心地都满善良的,耳朵有的也挺软的。
4:无论如何不能让别人知道你在这些项目组里的真实状况,包括你的老板、同事什么的。一定要牛XX的那样。
5:要经常不经意地在其它人面前提到你是在什么什么课题项目组里的专家成员,如果偶尔在表露出你可以推荐推荐他们,那你就成他们眼里的神了,其实说说而已。
6:写些玩概念、标准、模型的文章,没关系,信息安全就是模糊美,不用担心别人说你不懂,当然涉及密码技术你就不要谈了,你要真懂密码,那就不用看我这些速成指南了。


之四:信安专家做哪些研究?

做信安专家当然要有研究,否则还只是停留在中级。但是研究也得选个好的题目,要选得有聊头还得不把自己给搁进去。因此涉及到确定的、能搞出点真效果的千万不要沾,因为我们是在速成,那样的东西没点真本事不花点时间是出不来的。象哥可以建议一下但不限于以下几个方向:
1:SOC之类的东西,与此相关的有安全审计平台、事件关联等等,这类东西所讲的理想目标目前事不可能实现的,它们的基础支撑理论,即人工智能技术,目前是不会有什么突破的。因此这个方向基本是人有多大胆,它就有多大。。。,充分发挥您的想像,实现上嘛可以用什么syslog,snmp等收集的信息一放就可以了。数据简化、关联、挖掘、可视化这些个概念出了多少博士、教授,还在乎我们这些速成专家码?
2:风险评估。牢记R=f(V,T,P,I),当然这个函数是可以如象二中加以积极修改的。然后7799、13335、30一把,必要的话可以加上前面回复贴中的那些补充标准。因为这行没人敢说它出的东西有什么用(象哥调查过),因此您就大胆地研究。在这个研究中,一定要充分实践象一、二、三的建议。
3:等级保护。27号文出来以后开始火起来了,按照国家要求,三年是一个阶段,在这个阶段里您还有充足的时间,相关的文档可以参考18、30、37、53、60、59,TCSEC、CC也可以参考一下。千万注意,不要去傻读苦读这些标准,那就上了专家的大当了,我们哪有那么多时间?但一定要搞清楚它们的结构、目的、相互关系,并按照象一、二要求牢记一些重点词汇、内容,尤其要注意的是,一定要记准文档名字(要不就只记准编号),否则就让人乐不可支了。有些机构就是把7799、IATF、SSE-CMM直接剪贴就成了等级保护,参考某著名权威测评机构。
4:多听其它专家的报告,要与时俱进。


--------本帖迄今已累计获得113安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 反思一下安全标准热
帖子发表于 : 2005-03-03 11:13 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
juan_5515 写道:
反思一下当前的安全标准热:
因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从BS7799到ISO13335
,SSE-CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ,加拿大的,澳大利亚的 ...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。
可是这些标准究竟能给我们带来什么呢?无庸讳言,国外先进的标准和体系对信息安全建设有良好的促进和指导作用,适当的参考也无可厚非,可是当您在各种场合讲到或用到外国安全标准的时候,是否想过这些标准是否真的适合中国,他们究竟能起到什么作用,或者说他们的实际作用是否真的如我们想当然的认为的那样?他们是否值得你花费时间去看,去讲,去推广?

关于标准的滞后问题我有这么几个想法:
1、从本质上来说,标准都是相对滞后的。这和大学里面的学到的知识一样,因为既然称之为标准,必然是经过实践检验之后的理念,那么相对而言,标准肯定是落后的。
2、从政府机构的不作为说起。上次(似乎是去年10月吧)参加国家信息安全产品测评认证中心召开的CC标准的一个推广会(我们公司还参加了呢,在那里做了一天的台『展台』),会上一个老头(年纪挺大、嗓门特高)在那里痛心疾首的叱责公安部采用的17859标准,并建议采用CC标准,说是那个标准(从彩虹系列而来)是美国80年代中期的标准,而某些所谓的专家、权威居然还奉为葵花宝典,真是可悲、可怜、可叹啊。其实目前国外的N多标准都是由政府出资由有关的职能团队开发而来的,等等,而目前我国在标准的制定及参与方面都有待于进一步的加强。一个标准的出台要酝酿好几年,最终成为国际标准,至少需要3年多的时间,等成为国际标准后,国家正式决定采标,再进行翻译,然后正式出版,又大概需要2年的时间。所以大家纷纷研究国外的标准也就不奇怪了。大家可以想想,IT行业发展多么迅速,如果你在标准方面就一直落后,那么如何赶超呢?那么赶超只是痴人说梦而已。还有,现在的国标买的贼贵,那里是卖啊,纯粹是抢钱啊,薄薄的一本标准,居然要160多,呀的比抢银行的都赚。


--------本帖迄今已累计获得53安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-03 11:21 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
可是反过来思考一下,我们为什么只能是一味的跟在国外的屁股后面跑呢,当然了,我认为创新或超越的前提是借鉴和学习,但是一味的只是借鉴,那么永远不可能超越。学习的目的好比colababy所言“师夷长计以制夷”,可是我们如果只是师的话,恐怕永远只能是受制于人吧。因此,我们需要创新,不仅仅是技术上的,也需要是标准上的。


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 反思一下安全标准热
帖子发表于 : 2005-03-03 11:27 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
juan_5515 写道:
1 .BS 7799。首先BS7799源自英国,自然也深受英国文化和法律体系的影响,而安全不仅是技术问题,同时还是社会和法律问题,简单说,安全不仅是个人的事,还是国家的事,对BS7799 -1:1999投票的时候,西方7国除了英国,其他都极力反对,赞成的基本都是英联邦国家,或英国的文化殖民地,就说明了这一点;比如某些国家就指出,ISO17799的隐私部分就同他们的法律存在冲突,而隐私问题是一个十分敏感的问题;
BS7799中包含的控制措施并不一定是你需要的,BS7799中不包含的也并非是你不需要的,而且BS7799是非过程的 ,并不具备严格的理论模
型,只是对各个领域最佳安全实践的高级别概括,BS7799中包含的最佳实践并没有被安全专家证明。你费了九牛二虎之力通过复杂的BS7799认
证并不一定能保证安全,当您按照BS7799生搬硬造的设计checklist和安全政策时,是否能认真的想一想;

关于BS7799标准和13335标准的关系,我想就不再赘叙了。如果仅仅从标准或理论的角度来说的话,7799是无法和13335相提并论的,并且在以前的讨论中colababy也进行了深入的讲解。但是因为13335不具有可认证性,因此目前只能是退而求其次,采用7799标准了。
7799标准的风行与BSI的努力是分不开的,毕竟目前国内市场上流行最广泛的标准还是BSI的ISO9000系列标准,并且二者之间具有较好的兼容性。
另,任何事情都是相对的,没有任何标准可以放之四海而皆准,在理解了标准所阐述的理念后,可根据组织的业务特点来进行调整。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 易水兄见解深刻!
帖子发表于 : 2005-03-03 13:23 
离线
高级用户

注册: 2004-03-02 13:51
最近: 2016-01-08 11:41
拥有: 1,634.60 安全币

奖励: 10 安全币
在线: 3190 点
帖子: 145
地址: 北京
几位斑竹的评论极是,其实我对这些标准也挺崇拜的,毕竟您不能拒绝先进的东西,可是我就是看不惯那些言必谈某国XX标准、7799、SP-XXX...的行为,而且盲目崇拜,胡乱引用,好像不谈就不能证明他们不够潮流、不够“专家”一样;
国内的许多标准都是在权衡各方利益的基础上达成的一个妥协而已;究竟他们是否真正在按流程和信安国情做就不得而知了;
对此colobaby、易水兄的见解极为深刻;
个人也认为ISO13335更优秀,例如:
13335对安全及风险的描述比7799要深刻得多,独特的力学模型深刻的揭示了资产、弱点、保护措施、威胁、风险之间的关系;
对安全管理的过程描述详细而且可操作;
对风险分析有非常细致的描述,其中提到的4种评估方法被广泛接受;
开放,还在不断的 完善和补充;

之所以想到这些,是因为安全也需要创新,论坛中有好多资深的安全界人士,完全有能力改善这种局面。能否少些浮光掠影的引用,而多些理性的思考和创造。


--------本帖迄今已累计获得58安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : 一点不同的体会
帖子发表于 : 2005-03-04 13:56 
离线
高级用户

注册: 2004-09-09 12:50
最近: 2012-07-02 08:57
拥有: 1,653.80 安全币

奖励: 15 安全币
在线: 3058 点
帖子: 199
地址: 北京
易水老弟调侃的非常经典,我自己倒是有一些不同的体会:

国外的标准和规范等东西固然都有不适合中国国情的地方,也存在着偏颇之处,但反过来说,国内真正有我们自己原创或独创性的标准及规范指南之类的东西也不多,为什么?

我认为至少有一个原因:国外信息化建设比我们要领先若干年,许多我们目前碰到的问题,特别是那些需要用标准规范指南来解决或指导的问题,他们都已经碰到过了,所以他们根据他们的情况提出了解决方案或是制定了相应的标准规范指南,而信息化除了有国情、行业等的特殊性规律外,也有普遍和一致的规律,因此对这些带有普遍性的东西,我们直接引用国外的东西也是道理的,这也算是一种站在别人的肩膀上看我们自己的路吧。


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : 我晕我倒
帖子发表于 : 2005-03-08 15:38 
离线
中级用户

注册: 2004-06-08 14:12
最近: 2014-07-03 13:37
拥有: 377.10 安全币

奖励: 0 安全币
在线: 2562 点
帖子: 97
我惭愧,易水好像就是在说我,我要面壁反思了,今晚不吃饭了,可是易水你也说说怎么改呀,我好持续改进呀。

不行了不行了,真的不行了,老牦牛,易水绝非调侃,这是事实,我承认!!!


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 我晕我倒
帖子发表于 : 2005-03-08 16:20 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
saburina 写道:
我惭愧,易水好像就是在说我,我要面壁反思了,今晚不吃饭了,可是易水你也说说怎么改呀,我好持续改进呀。

不行了不行了,真的不行了,老牦牛,易水绝非调侃,这是事实,我承认!!!

哎哎,千万别这么说,你要不吃饭,饿坏了怎么办啊,祖国的花朵啊,可不能就这么凋零了。
其实也没什么好改的,大形式如此。
不过我有几点想法,也许不成熟,仅供大家参考吧:
1、我们要尊重权威,但是不迷信权威。其实国内的很多权威的水平实在是不敢恭维;
2、扎扎实实的学点东西,其实也没有必要非要学那么多的标准。一句老话”一艺通百艺通“,标准说来说去本质上没啥大的区别;
3、更多的从企业的角度来考虑问题,而不是从安全公司或者咨询公司的角度来考虑,考虑标准或方法的可行性,考虑他们的需求。。。。
4、不断烦死,不断学习,不断总结,从而可以不断的来充实自己,这才是最重要的。嘿嘿,个人见解。


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-08 16:20 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
虽然大家都在这里骂标准,不过我们谁也离不开标准,回过头还要苦读 :lol:


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2005-03-08 16:26 
离线
版主

注册: 2004-04-27 09:21
最近: 2013-08-23 12:15
拥有: 17,095.10 安全币

奖励: 73503 安全币
在线: 23375 点
帖子: 2280
地址: 北京
phrack 写道:
虽然大家都在这里骂标准,不过我们谁也离不开标准,回过头还要苦读 :lol:

米啊,谁骂了啊,呵呵。
其实呢,我觉得没有必要过于偏颇,骂骂也就算了,呵呵。
就象COLABABY说的一样,管理其实就是中庸。任何组织都是在受限的条件下来实现组织的目标。IT管理也不例外。
此外,没有任何一种标准、方法可以放之四海而皆准,组织还是要领会标准的核心思想,将思想结合组织的实际情况来加以实施。GE管的好吧?可是他的很多管理方法在中国就行不通。中国有中国的国情,有中国自己的文化,每个企业也有不同的文化,所以,我们只能是把GE的管理理念引入进来,根据组织的实际情况加以删减,不可能完全照搬啊。


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 反思一下安全标准热
帖子发表于 : 2005-03-08 16:56 
离线
新手

注册: 2005-03-07 08:55
最近: 2006-01-26 10:33
拥有: 120.00 安全币

奖励: 0 安全币
在线: 365 点
帖子: 4
中国是从来不走与别人一样的路的,从历史上,当西方社会进行工业革命,我们继续我们自给自足的封建社会,然后中国进入了半殖民地半封建社会,之后直接进入社会主义社会,现在是有中国特色的社会主义,这是世界上唯一的社会形态,这也充分说明了中国人民的创造性,所以,我们也不必担心中国人会把国外的东西直接拿过来抄袭,其实中国人是不屑于做这种事的,这个反思也正是例证。
一点拙见,见笑了!


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 171 篇帖子 ]  前往页数 1, 2, 3, 4, 5 ... 12  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012