jump to navigation

现代汉语文本的词语切分技术 一月 17, 2006

Posted by wansion in 计算机与 Internet.
add a comment
北京大学计算语言学研究所  孙宾

一、引言

1、汉语自动分词的必要性

    汉语自动分词是对汉语文本进行自动分析的第一个步骤。可以这样设想汉语自动分词过程的困难:如果把某个英语文本中的所有空格符都去掉,然后让计算机自动恢复文本中原有的空格符,这就是词的识别过程,此过程的主要问题是对大量歧义现象的处理。

    切词体现了汉语与英语的显著的不同。英语文本是小字符集上的已充分分隔开的词串,而汉语文本是大字符集上的连续字串。把字串分隔成词串,就是自动分词系统需要做的工作。

     词是最小的、能独立活动的、有意义的语言成分。计算机的所有语言知识都来自机器词典(给出词的各项信息)、句法规则(以词类的各种组合方式来描述词的聚合现象)以及有关词和句子的语义、语境、语用知识库。汉语信息处理系统只要涉及句法、语义(如检索、翻译、文摘、校对等应用),就需要以词为基本单位。例如汉字的拼音-字转换、简体-繁体转换、汉字的印刷体或手写体的识别、汉语文章的自动朗读(即语音合成)等等,都需要使用词的信息。切词以后在词的层面上做转换或识别,处理的确定性就大大提高了。再如信息检索,如果不切词(按字检索),当检索德国货币单位’马克’时,就会把’马克思’检索出来,而检索’华人 ‘时会把’中华人民共和国’检索出来。如果进行切词,就会大大提高检索的准确率。在更高一级的文本处理中,例如句法分析、语句理解、自动文摘、自动分类和机器翻译等,更是少不了词的详细信息。

 

2、汉语自动分词中的困难

    在过去的十几年里, 汉语自动分词工作虽然也取得了很大成绩,但无论按照人的智力标准,还是同实用的需要相比较,差距还很大。我们首先需要对这一工作的困难有充分的认识。

    1).分词规范的问题

    (1)汉语词的概念

     汉语自动分词的首要困难是词的概念不清楚。书面汉语是字的序列,词之间没有间隔标记,使得词的界定缺乏自然标准,而分词结果是否正确需要有一个通用、权威的分词标准来衡量。分词标准的问题实际上是汉语词与语素、词与词组的界定问题,这是汉语语法的一个基本、长期的问题。它涉及到许多方面:

    ·核心词表问题:分词需要有一个核心(通用、与领域无关的)词表,凡在该词表中的词,分词时就应该切分出来。对于哪些词应当收进核心词表,已提出各种收词条件,但这些条件本身难以操作,目前尚无合理的可操作的理论和标准。

    ·  词的变形结构问题:汉语中的动词和形容词有些可以产生变形结构,如“打牌”、“开心”、“看见”、“相信”可能变形成“打打牌”、“开开心”、“看没看见”、“相不相信”等。可以切分出“打打/牌”,但“开开/心”就不合理。“看/没/看见”说得过去,“相/不/相信”就说不过去了。又如大量的离合词 “打架”、“睡觉”等可以合理地变形为“打了一场架”、“睡了一个觉”。对这些变形结构的切分缺少可操作而又合理的规范。

    ·词缀的问题:语素’者’在现代汉语中单用是没有意义的,因此’作者’、“成功者”、’开发者’内部不能切开。依据这个标准, “作出了巨大个人财产和精神牺牲者”、’克服许多困难而最终获得成功者’、’开发中国第一个操作系统软件者’也不能切开,但这样复杂的结构与词的定义相矛盾。又如职务名称’教育局长’, 语义上理解为’教育局之长’,切成’教育/局长’、’教育局/长’、’教育/局/长’或不予切分,都会有人提出异议。

    · 非词语素问题:一些汉字在古代汉语中是词,演变到现代汉语时成了非词语素,例如“民”。现代的书面汉语并非纯粹的’现代汉语’,其中夹杂着不少文言成分,如“为民除害”、’以逸待劳’、’帮困济穷’等等。探寻白话文中夹杂文言成分的规律,是中文信息处理需要解决的一大问题。

    (2)不同应用对词的切分规范要求不同

    汉语自动分词规范必须支持各种不同目标的应用,但不同目标的应用对词的要求是不同的,甚至是有矛盾的。

    · 以词为单位的键盘输入系统:为了提高输入速度,一些互现频率高的相互邻接的几个字也常作为输入的单位,如:“这是”、“每一”、“再不”、“不多”、“不在”、“这就是”、“ 也就”等。

    ·  校对系统:校对系统将含有易错字的词和词组作为词单位,如许多人“作”、“做”分不清。计算机自动判别时,若把它们当作单字词也不好区分,但在同前后文构成的词或词组中往往可以有确定的选择,故应把有关的词和词组都收进词库,如“敢做”、“敢作敢为”、’叫做’、“做出”、’看作’、’做为’等。校对系统要求分词单位较大。如把’勇斗’、’力擒’、’智取’等分别作为一个分词单位并划归及物动词参与上下文检查。’张老师’、’五分之三’、’北京中医学院’ 也应分别作为分词单位,并分别归类作为人、数字、机构名,再参与上下文检查。

    · 简繁转换系统:’干’的繁体形式有“乾”和“幹”,它的简繁转换是非确定的。但在词和词组的层面上,它的转换常常是确定的。比如“幹部”、“幹事”、“乾净”、“乾燥”等。为了提高简繁转换的正确率,简繁转换系统把这类词或词组收进词表。

     · 语音合成系统:语音合成系统收集多音字所组成的词和词组作为分词单位,如“补给”、’给水’,因为在这些词或词组中,多音字’给’的音是确定的。

    · 检索系统:检索系统的词库注重术语和专名,并且一些检索系统倾向于分词单位较小化。比如,把’并行计算机’切成“并行/计算机”, ‘计算语言学’应切成 “计算/语言学”,使得无论用’并行计算机’还是用’计算机’、“计算语言学”或是“语言学”检索,都能查到。分词单位的粒度大小需要考虑到查全率和查准率的矛盾。

 

    2).分词算法的困难

    要将汉语文本的字序列切分成词的序列,即使确定了一个合适的分词标准,要实现这个标准也还存在算法方面的困难。

    (1)切分歧义

     汉语文本中含有许多歧义切分字段,典型的歧义有交集型歧义(约占全部歧义的85%以上)和组合型歧义。只有向分词系统提供进一步的语法、语义知识才有可能作出正确的决策。排除歧义常常用词频、词长、词间关系等信息,比如“真正在”中,“真”作为单字词的频率大大低于’在’作为单字词的频率,即’在’常常单独使用而“真”作为单字词使用的可能性较小,所以应切成’真正/在’。有时切分歧义发生在一小段文字中,但为了排除歧义,需要看较长的一段文字。如’学生会’既可能是一个名词,指一种学生组织,也可能是’学生/会’,其中’会’为’可能’或’能够’的意思。在“学生会主席”中只能是前者,在’学生会去’中只能是后者,在“学生会组织义演活动”中歧义仍然排除不了,则需要看更多的语境信息。

    (2)未登录词识别

     未登录词即未包括在分词词表中但必须切分出来的词,包括各类专名(人名、地名、企业字号、商标号等)和某些术语、缩略词、新词等等。’于大海发明爱尔肤护肤液’需要切分成’于大海/发明/爱尔肤/护肤液’,并需要识别出’于大海’是人名,“爱尔肤”是商标名,’护肤液’是术语名词。专名中还包括外族、外国名的汉译名,如’斯普林菲尔德是伊里诺州首府’,’丹增嘉措70多岁了’,其中的美国地名、藏族人名都需识别。未登录词的识别对于各种汉语处理系统不仅有直接的实用意义,而且起到基础性的作用。因为各种汉语处理系统都需要使用词频等信息, 如果自动分词中对未登录词识别不对,统计到的信息就会有很大误差。比如,一个分词系统若不做中外人名识别,分词后进行词频统计,可能会发现’张’、’王’、’李’、’刘’、“尔”、“斯”的频率比’却’、’如’、’你’ 的频率还要高,用这样的统计结果做汉语处理,其效果肯定有问题。又比如校对系统,如果系统不具备生词识别能力,就无法判断句子中大部分词的使用是否合理,也就不能检查真正的错误所在。

 (3) 分词与理解的先后

    计算机无法像人在阅读汉语文章时那样边理解边分词,而只能是先分词后理解,因为计算机理解文本的前提是识别出词、获得词的各项信息。这就是逻辑上的两难:分词要以理解为前提,而理解又是以分词为前提。由于计算机只能在对输入文本尚无理解的条件下进行分词,则任何分词系统都不可能企求百分之百的切分正确率。

 

3、分词系统的目标

    汉语自动分词系统达到怎样的水平才能适应信息处理的要求?我们认为可以从以下几个方面来衡量,即准确、高效、通用及适用。

    1).准确性

     准确率是分词系统性能的核心指标。现在有些分词系统的准确率达到98%,似乎已经很高了,其实不然。若这种分词系统被用来支持句法分析、汉-外机器翻译系统,假定平均每句话有10个汉语词,那么10句话中会错切2个词,含有切分错误的2句就不可能被正确处理。因此仅仅由于分词阶段的准确度不够,语言理解的准确率就会减少20%。可见,分词系统的准确率应达到99.9%以上才能基本满足上层使用的要求。

    2).运行效率

    分词是各种汉语处理应用系统中共同的、基础性的工作,这步工作消耗的时间应尽量少,应只占上层处理所需时间的一小部分,并应使用户没有等待的感觉,在普遍使用的平台上大约每秒钟处理1万字或5千词以上为宜。

    3).通用性

     随着Internet的普遍应用,中文平台的处理能力不能仅限于我国,仅限于字处理,仅限于日常应用领域。作为各种高层次中文处理的共同基础,自动分词系统必须具有很好的通用性。自动分词系统应支持不同地区(包括我国的香港、台湾、澳门,以及新加坡和美洲、欧洲、澳洲的华语社区)的汉语处理;应能适应不同地区的不同用字、用词,不同的语言风格,不同的专名构成方式(如港澳台地区一些妇女名前冠夫姓,外国人名地名的汉译方式与我国人名地名很不一样)等;支持不同的应用目标,包括各种输入方式、简繁转换、语音合成、校对、翻译、检索、文摘等等;支持不同领域的应用,包括社会科学、自然科学和技术,以及日常交际、新闻、办公等等;应当同现在的键盘输入系统一样成为中文平台的组成部分。为了做到足够通用又不过分庞大,必须做到在词表和处理功能、处理方式上能灵活组合装卸,有充分可靠和方便的维护能力,有标准的开发接口。同时,系统还应该具有良好的可移植性,能够方便地从一个系统平台移植到另一个系统平台上而无需很多的修改。当然,完全的通用性很难达到。

    4).适用性

    汉语自动分词是手段而不是目的,任何分词系统产生的结果都是为某个具体的应用服务的。好的分词系统具有良好的适用性,可以方便地集成在各种各样的汉语信息处理系统中。

 

 

二、自动分词算法的分类

 

    我们可以将现有的分词算法分为三大类:基于字符串匹配的分词方法、基于理解的分词方法和基于统计的分词方法。

 

1、 基于字符串匹配的分词方法

这种方法又叫做机械分词方法,它是按照一定的策略将待分析的汉字串与一个“充分大的”机器词典中的词条进行配,若在词典中找到某个字符串,则匹配成功(识别出一个词)。按照扫描方向的不同,串匹配分词方法可以分为正向匹配和逆向匹配;按照不同长度优先匹配的情况,可以分为最大(最长)匹配和最小(最短)匹配;按照是否与词性标注过程相结合,又可以分为单纯分词方法和分词与标注相结合的一体化方法。常用的几种机械分词方法如下;

1) 、正向最大匹配

2) 、逆向最大匹配

3) 、最少切分(使每一句中切出的词数最小)

还可以将上述各种方法相互组合,例如,可以将正向最大匹配方法和逆向最大匹配方法结合起来构成双向匹配法。由于汉语单字成词的特点,正向最小匹配和逆向最小匹配一般很少使用。一般说来,逆向匹配的切分精度略高于正向匹配,遇到的歧义现象也较少。统计结果表明,单纯使用正向最大匹配的错误率为1/169,单纯使用逆向最大匹配的错误率为1/245。但这种精度还远远不能满足实际的需要。由于分词是一个智能决策过程,机械分词方法无法解决分词阶段的两大基本问题:歧义切分问题和未登录词识别问题。实际使用的分词系统,都是把机械分词作为一种初分手段,还需通过利用各种其它的语言信息来进一步提高切分的准确率。

    一种方法是改进扫描方式,称为特征扫描或标志切分,优先在待分析字符串中识别和切分出一些带有明显特征的词,以这些词作为断点,可将原字符串分为较小的串再来进机械分词,从而减少匹配的错误率。

    另一种方法是将分词和词类标注结合起来,利用丰富的词类信息对分词决策提供帮助,并且在标注过程中又反过来对分词结果进行检验、调整,从而极大地提高切分的准确率。

    对于机械分词方法,可以建立一个一般的模型,形式地表示为ASM(d,a,m),即Automatic Segmentation Model。其中,

      d:匹配方向,+1表示正向,-1表示逆向;

      a:每次匹配失败后增加/减少字串长度(字符数),+1为增字,-1为减字;

      m:最大/最小匹配标志,+1为最大匹配,-1为最小匹配。

例如,ASM(+, -, +)就是正向减字最大匹配法(即MM方法),ASM(-, -, +)就是逆向减字最大匹配法(即RMM方法),等等。对于现代汉语来说,只有m=+1是实用的方法。用这种模型可以对各种方法的复杂度进行比较,假设在词典的匹配过程都使用顺序查找和相同的计首字索引查找方法,则在不记首字索引查找次数(最小为log<汉字总数> ? 12~14)和词典读入内存时间的情况下,对于典型的词频分布,减字匹配ASM(d, -,m)的复杂度约为12.3次,增字匹配ASM(d,+,m)的复杂度约为10.6。

    另外,还可以证明,早期曾流行一时的“切分标志字串”预处理方法是一个毫无必要的技术,它增加了一遍扫描“切分标志词典”的时空复杂性,却并没有提高分词精度,因为所谓的切分标志其实都已经隐含在词典之中,是对词典功能的重复。实际上“切分标志”也没有标记歧义字段的任何信息。因此,在近来的分词系统中,已经基本上废弃了这种“切分标志”预处理方法。

 

 

2、基于理解的分词方法

    通常的分析系统,都力图在分词阶段消除所有歧义切分现象。而有些系统则在后续过程中来处理歧义切分问题,其分词过程只是整个语言理解过程的一小部分。其基本思想就是在分词的同时进行句法、语义分析,利用句法信息和语义信息来处理歧义现象。它通常包括三个部分:分词子系统、句法语义子系统、总控部分。在总控部分的协调下,分词子系统可以获得有关词、句子等的句法和语义信息来对分词歧义进行判断,即它模拟了人对句子的理解过程。这种分词方法需要使用大量的语言知识和信息。由于汉语语言知识的笼统、复杂性,难以将各种语言信息组织成机器可直接读取的形式,因此目前基于理解的分词系统还处在试验阶段。

 

3、基于统计的分词方法

     从形式上看,词是稳定的字的组合,因此在上下文中,相邻的字同时出现的次数越多,就越有可能构成一个词。因此字与字相邻共现的频率或概率能够较好的反映成词的可信度。可以对语料中相邻共现的各个字的组合的频度进行统计,计算它们的互现信息。定义两个字的互现信息为: ,其中 是汉字X、Y的相邻共现概率,  、 分别是X、Y在语料中出现的概率。互现信息体现了汉字之间结合关系的紧密程度。当紧密程度高于某一个阈值时,便可认为此字组可能构成了一个词。这种方法只需对语料中的字组频度进行统计,不需要切分词典,因而又叫做无词典分词法或统计取词方法。但这种方法也有一定的局限性,会经常抽出一些共现频度高、但并不是词的常用字组,例如“这一”、“之一”、“有的”、“我的”、“许多的”等,并且对常用词的识别精度差,时空开销大。实际应用的统计分词系统都要使用一部基本的分词词典(常用词词典)进行串匹配分词,同时使用统计方法识别一些新的词,即将串频统计和串匹配结合起来,既发挥匹配分词切分速度快、效率高的特点,又利用了无词典分词结合上下文识别生词、自动消除歧义的优点。

 
三、几种典型的自动分词系统评介

 

    衡量自动分词系统的主要指标是切分精度和速度。由于切分速度与所运行的软、硬件平台密切相关,在没有注明运行平台时,切分速度只是一个参考指标,没有可比性。另外,所注明的切分精度都是开发者自测试的结果。

(续)
附:第二稿补充或改动的内容

      1、汉语自动分词的一般模型;

      2、北京师范大学自动分词专家系统;

      3、清华大学分词标注系统CSegTag;

      4、哈工大统计分词系统;

      5、杭州大学改进的MM分词系统;

      6、自动分词的“生成—测试”方法与语委文字所基于句法分析技术的

   汉语自动分词系统;

      7、Microsoft Research 汉语句法分析器中的自动分词;

Advertisements

整合COBIT,ITIL,ISO/IEC17799和PRINCE2 构建善治的IT治理机制 一月 13, 2006

Posted by wansion in Life.
add a comment
 

 

整合COBIT、ITIL、ISO/IEC17799和PRINCE2
构建善治的IT治理机制(上)

孙强 李长征

 

  善治的IT治理架构是确保IT资源与公司战略目标保持一致的基础,同样也能确保IT服务满足组织对优质、可信和安全的信息需要。采用标准的IT治理(IT Governance)架构可以给企业带来诸多收益。如美国堪萨斯州把COBIT标准作为虚拟政府策略的一部分,结果降低了运营成本,并为它的客户和委托人提供了很高质量的服务。Proctor&Gamble在采用ITIL标准的四年里,节省超过5亿美金的预算。同时Procter&Gamble内部财务和IT部门的调查显示,其运作费用降低6%~8%,而技术人员的人数减少15%~20%。ISO/IEC17799是成为国际标准最快的一个标准, ISO/IEC17799的前身BS7799是卖出拷贝最多的管理标准,目前已有二十多个国家引用BS7799-2作为国标,各大信息安全公司也都以 BS7799为指导向客户提供信息安全咨询服务。近年来Prince2在Prince的基础上迅速席卷包括IT项目在内的项目管理,PRINCE 2 已风行欧洲与北美等国。Sun、Oracle等将PRINCE2作为实施项目的标准管理方法;香港特别行政区政府资讯科技署将PRINCE作为政府项目管理的标准指南。

  何为IT治理
  IT治理是IT、经济学及管理学界中一个新的概念,用于描述企业或政府是否采用有效的机制,使得IT的应用能够完成组织赋予它的使命,同时平衡信息化过程中的风险,确保实现组织的战略目标。其主要使命是:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,适当管理与IT相关的风险。具体而言如下:
  * IT战略目标必须与企业战略目标保持一致,IT对于来说组织非常关键,也是战略规划的重要组成部分,甚至直接影响到战略竞争机遇。
  * IT治理包含治理委员会、治理结构、治理流程和企业文化等。
  * IT治理使风险透明化,从而保护利益相关者的权益。
  * IT治理可用来指导和控制IT投资、机遇、收益及风险。
  * IT治理通过引导IT战略,并建立标准的信息基础架构,来实现业务增长。
  * IT治理对核心IT资源做出合理的制度安排,这将成为进入新的市场、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障。

  四种基本的IT治理支持手段
  * COBIT—— 信息及相关技术的控制目标(Control Objectives for Information and related Technology,COBIT) ,是IT治理的一个开放性标准,由美国IT治理研究院(IT Governance Institute)开发与推广,现已更新为第三版。IT业务流程是COBIT关注的焦点,对每一个IT业务流程,COBIT提出了一系列的控制目标、相应的实现这些控制目标的控制程序,评价这些控制程序是否存在,并被有效执行的一系列审计程序。该标准为IT的治理、安全与控制提供了一个普遍适用的公认标准,以辅助管理层进行IT治理。目前已在世界一百多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。 COBIT模型如图1所示。

图1 COBIT模型

资料来源:ISACA

  COBIT架构的主要目的是为业界提供关于IT控制的清晰策略和良好典范。该架构的四个域分别是:PO(Planning & Organization)、AI(Acquisition & Implementation)、DS(Delivery & support)和 Monitoring。进一步细分为34个IT处理流程。如表1。

  表1 COBIT域

1.规划与组织(PO,Planning and Organization) 3 交付与支持(DS ,Delivery and Support)
PO1制定IT战略规划
PO2确定信息体系结构
PO3确定技术方向
PO4定义IT组织与关系
PO5管理IT投资
PO6传达管理目标和方向
PO7人力资源管理
PO8确保与外部需求一致
PO9风险评估
PO10项目管理
PO11质量管理
DS1定义并管理服务水平
DS2管理第三方的服务
DS3管理绩效与容量
DS4确保服务的连续性
DS5确保系统安全
DS6确定并分配成本
DS7教育并培训客户
DS8为客户提供帮助和建议
DS9配置管理
DS10处理问题和突发事件
DS11数据管理
DS12设施管理
DS13运营管理
2.获得与实施(AI, Acquisition and Implementation) 4 监控(M ,Monitoring)
AI1确定自动化的解决方案
AI2获取并维护应用程序软件
AI3获取并维护技术基础设施
AI4程序开发与维护
AI5系统安装与鉴定
AI6变更管理
M1过程监控
M2评价内部控制的适当性
M3获取独立保证M4提供独立的审计

  资料来源:ISACA

  COBIT产品家族分类如图2所示。

图2 COBIT产品家族

资料来源:ISACA

  ①管理指导方针(Management Guidelines)其中:成熟度模型(Maturity Models)是用来决定每一个控制阶段和期望水准是否符合标准规范。关键成功要素(Critical Success Factors)是用来辨认在信息化过程中实现有效控制所必需的最重要的活动。关键目标指标(Key Goal Indicators)是用来定义关键目标的绩效衡量标准。关键绩效指标(Key performance Indicators)用来测量IT控制程序是否能达到目标。以上管理方针都是为了确保企业能成功和有效地整合业务流程与信息系统。
  ②执行概要(Executive Summary)提供了让管理层了解COBIT关键概念和原则的综合性简介,还概述了COBIT四大领域的体系架构。
  ③架构(Framework)详细描述了的34个控制目标,并指出了企业对信息标准的要求和在IT资源上的需求是如何融入控制目标中的。
  ④审计指导方针(Audit Guidelines)提供了关于34个控制目标的审计步骤,以协助信息系统审计师检验IT程序是否符合控制目标,并提供管理上的保证和改进的建议。
  ⑤控制目标(Control Objectives)为IT控制提供了一个用来明晰策略和实施指导的关键方针,包括控制目标的详细说明。
  ⑥应用工具集(Implementation Tool Set)包括管理意识(Management Awareness),IT控制诊断(IT Control Diagnostics),应用指导(Implementation Guide),常见问题及(FAQs)等。这些新工具主要是设计让COBIT的应用更容易,让组织能快速且成功地从教材中掌握如何在工作中应用 COBIT.
  需要指出的是,COBIT可具体应用到几乎所有企业信息系统中。目前ISACA也提供相关专业人士的认证服务,经认证的专家可在一百多个国家执行信息系统审计业务。
  * ITIL—— IT基础架构库(Information Technology Infrastructure Library, ITIL)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订,现由英国商务部OGC(Office of Government Commerce)负责管理,主要适用于IT服务管理(ITSM)。20世纪90年代后期,ITIL的思想和方法,被美国、澳大利亚、南非等国家广泛引用,并进一步发展。2001年英国标准协会(British Standard Institute,BSI)在国际IT服务管理论坛(itSMF)年会上,正式发布了基于ITIL的英国国家标准BS15000。2002年, BS15000为国际标准化组织(ISO)所接受,作为IT服务管理的国际标准的重要组成部分。目前,ITSM领域正成为全球IT厂商、政府、企业和业界专家广泛参与的新兴领域,对未来的IT走向和企业信息化,将会产生深远的影响。其内容描述的是IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL的核心内容包括服务支持和服务交付,共11个流程。如表2。其架构模型如图3所示。
    表2 ITIL工作流程

服务支持(Service Support) 服务交付(Service Delivery)
* 服务台
* 事故管理
* 问题管理
* 配置管理
* 变更管理
* 发布管理
* 服务级别管理
* 成本管理
* 持续性管理
* 可用性管理
* 容量管理

     资料来源:OGC

图3 ITIL的架构模型

  * ISO/IEC17799——信息安全管理的国际标准。在信息时代,信息资产已经成为最有价值的资产,因此需要恰当地保护它。具体而言,通过信息安全管理,可以保护信息不受广泛威胁地损害,确保业务的持续性,将商业损失降至最小,使投资收益最大并创造新的战略机遇。
  1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准BS7799- 1:1995《信息安全管理实施规则》,作为企业和政府组织实施信息安全管理的指南。1998年,英国又制定了第一部《信息安全管理体系认证标准》 BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或和部分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给ISO。2000年12月,ISO/IEC正式采纳BS7799-1:1999做为国际标准ISO/IEC17799:2000。
  ISO/IEC 17799包含10个管理要项,分别是:安全方针、安全组织、资产分类与控制、人员安全、物理与环境安全、计算机与网络管理、系统访问控制、系统开发与维护、业务持续管理及合规性。ISO/IEC 17799模型如图4所示。

图4 ISO/IEC 17799模型

资料来源:PWC

  需要强调指出的是,ISO/IEC 17799不是一篇技术性的信息安全操作手册,作为一个通用的信息安全管理指南,其目的并不是说明有关“怎么做”的细节,它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明,它是“制定一个机构自己的标准的出发点”,并不是说它所包含的所有方针和策略都是放之四海而皆准的。作为对各类信息安全问题的高级别概述,ISO/IEC 17799有助于人们在高级管理中理解每一类信息安全主题的基础性问题。它广泛涵盖了几乎所有的安全议题,主要告诉管理者关于安全管理的注意事项和安全制度,这些规定一般单位都可执行。因此,需要建立信息安全管理体系的单位可以此为参照,建立自己在这方面的体系,并在别人经验的基础上根据自身情况进行设计、取舍,以达到对信息进行良好管理的目的。
  * PRINCE2——受控环境下的项目(Projects IN Controlled Environments),一种对项目管理的某些特定方面提供支持的方法。
  项目管理向来就是一个充满挑战的管理,管理人员必须在事先确定好的人力、物力、财力、时间基础上产出预期质量的项目结果。项目管理中的失控一直就是官、产、学界关心的热点问题。
  早在20世纪70年代,英国政府就要求所有政府的信息系统项目必须采用统一的标准进行管理。1979年CCTA采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在PROMPT项目管理方法的基础上,20世纪80年代年英国政府计算机和电信中心(CCTA)(后来并入英国政府商务部(OGC))出资研究开发PRINCE,1989年PRINCE正式替代PROMPT成为英国政府IT项目的管理标准。
  1993年,OGC又将注意力转移到PRINCE新改版PRINCE2的开发。通过整合现有用户的需求,同时提升该方法成为面向所有类型的项目的、通用的、最佳实践的项目管理方法。在OGC的组织下,大量项目管理的专家和学者组成设计和开发团队,超过150家公共和私人组织参加评审委员会,并为开发工作提供有价值的反馈意见。开发工作于1996年3月正式结束。
  PRINCE2是基于过程(Process-Based)的结构化的项目管理方法,适合于所有类型项目(不管项目的大小和领域,不再局限于IT项目)的易于剪裁和灵活使用的管理方法。每个过程定义关键输入、需要执行的关键活动和特殊的输出目标。
  该方法描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。依据项目的大小、复杂度和组织的能力,该方法描述了项目中应涉及到的各种不同的角色及其相应的管理职责。Prince2的项目计划是以产品导向的,也就是说项目计划强调项目按预期交付结果,而不是简简单单计划在何时该做何事。
  一个PRINCE2项目由业务状况(Business Case)进行驱动,业务状况用于描述启动和继续一个PRINCE 项目的信息。它给出了项目的动机,且回答了“ 为什么”。它在整个项目的若干关键点处被更新。业务状况往往和项目进度相结合,来确保项目目标的实现,尽管这些项目目标可能在整个项目周期中会有所变化,但仍能很好地被满足。
  PRINCE2提供从项目开始到项目结束覆盖整个项目生命周期的基于过程的结构化的项目管理方法,共包括8个过程,每个过程描述了项目为何重要(Why)、项目的预期目标何在(What)、项目活动由谁负责(Who)以及这些活动何时被执行(When)。如图5所示。

图5 PRINCE2模型

资料来源:OGC

  PRINCE2为管理项目提供了最本质的原理,它集中于项目管理的战略层次,同时它是一种通用的架构。它用8个过程(其中6个过程为项目管理的流程,指导项目(DP)与计划(PL)在项目整个生命周期中支持其他6个流程)指明项目管理应该做什么,但是没有描述如何做?至于如何做?企业应求助于咨询公司或其他公司的案例,然后结合自身的情况。对于每个过程,PRINCE没有提供具体实现技术和工具,用户可根据实际需要,使用有益的任何工具,如甘特图,关键路径法、项目管理软件等。PRINCE2提供的8个过程也仅仅作为参考过程,企业在具体实施时,必须依据项目的规模和需要对这些过程进行剪裁。

哪个标准更好?
  有趣的是,关于四个标准之间的对照研究似乎成了许多国际组织热衷的研究项目,我们认为与其研究这四者之间并不太多的重叠之处,倒不如深入探讨这四者之间的互补关系。

  * COBIT和ITIL的比较
  COBIT基于已有的许多架构,如SEI的能力成熟度模型(CMM)对软件企业成熟度5级的划分,以及ISO9000等标准,COBIT在总结这些标准的基础上重点关注企业需要什么,而不是企业需要如何做,它不包括具体的实施指南和实施步骤,它是一个控制架构(Control Framework)而非具体如何做的过程架构(Process Framework)。COBIT的“目标听众”是信息系统审计师,企业高级管理人员以及高级IT管理人员,如CIO。
  ITIL基于企业的最佳实务(Best Practice),OGC收集和分析各种组织解决服务管理问题方面的信息,找出那些对本部门和对英国政府其它部门有益的做法,最后形成了ITIL。它列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,但没定义范围广泛的控制架构。它关注方法和实施过程。由于它关注IT服务管理(ITSM),它的视野相对COBIT来说狭窄,但它对IT服务的提供和支持定义了更为详细和更易理解的过程集。它的“目标听众”是IT人员和服务管理人员。
  尽管两个标准有着许多的不同之处,但在COBIT和ITIL背后却有着非常一致的指导原则。信息系统审计师通常综合使用COBIT和ITIL的自评估方法,去评估企业IT服务管理环境。COBIT为每一个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs)、关键成功要素(CSFs),这些指标与ITIL过程相结合,可以建立ITIL过程管理的基准。在实际应用中,某些企业综合两个标准提出了更易理解的适用于本企业环境的IT治理和运行架构。
  很多COBIT的过程特别是交付与支持(DS)域的很多过程如DS1、DS3、DS4、DS8、 DS9和DS10与ITIL的过程有着很好的映射关系,如服务级别管理、成本管理、可用性管理、事故管理、问题管理、配置管理、发布管理、容量能力管理。同样AI6变更管理过程与ITIL中变更管理和其他服务支持过程如发布管理形成了较好的对应关系。(对比表1、2)

  * COBIT和ISO/IEC 17799的比较
  ISO/IEC 17799强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。其最大特点就是广泛但不深入,而且仅作参考之用。
  与ISO/IEC 17799不同,COBIT完全基于IT,其IT准则反映了企业的战略目标,IT资源包括人、系统、数据等相关资源,IT管理则是在IT准则指导下对IT 资源进行规划处理。COBIT在PO、AI、DS、M四个方面确定了34个处理过程以及318个详细控制目标。此外对每个过程还有评审工具。如图1 COBIT原理所示。

图1 COBIT原理

资料来源:PWC

  * COBIT和PRINCE2的比较
  PRINCE2为包括IT项目在内的项目管理提供了通用的管理方法,内置了在项目管理实践中已证明成功的最佳实践,通过为所有参与者提供的通用语言,便于被广泛理解和接受。PRINCE鼓励对项目责任正式的确认(谁具体负责什么),强调项目交付什么(what)、为何交付(why)、交付时间(when)、为谁交付(whom)。PRINCE能给项目带给:
  * 可控的组织良好的开端、过程、结尾
  * 在决策关键点(Decision Point)时重新审视项目计划和业务状况
  * 自动管理和控制对计划的任何偏离
  * 股东和高级管理者只是在恰当的时机介入项目
  * 在项目组、项目管理层、组织的其他人员间搭建畅通的交流通道
  COBIT从战略、战术、技术等层面给出了如何有效管理IT项目。在PO10中专门给出了项目管理的方法论,详细定义了13个具体控制目标:项目管理架构;用户方参与项目启动;项目团队身份及其职责;项目定义;项目批准;项目阶段批准;项目主要计划;系统质量保证计划;保证方法计划;正式的项目风险管理;测试计划;培训计划;实施后的评审计划。除给出项目管理具体控制目标外,COBIT还给出了与项目管理相关的关键成功要素(CSFs),其定义了最重要的面向项目管理的实施指南,以达到对IT项目过程内外部的控制;关键目标指标(KGIs),定义了一些尺度,便于在项目关键点(或里程碑),告诉管理者某个IT项目管理过程是否实现了其业务需求;关键绩效指标(KPIs),定义的是IT项目管理过程在促使项目目标达成时履行得有多好的尺度。
  从两者的比较我们可以看出,COBIT重点在于对13个“控制目标”的管理上,PRINCE2典型的在于对8大“流程”的管理上。虽然二者从不同的角度出发认识IT项目管理,但二者有许多共同之处。COBIT的项目中主要计划,系统质量保证计划,保证方法计划,测试计划,培训计划,实施后的评审计划等控制目标映射到PRINCE2的计划(PL)流程;项目管理架构等映射到PRINCE2的指导项目(DP)流程;PRINCE2的开始项目(SU)和启动项目(IP)流程对应着COBIT的用户方参与项目启动,项目团队身份及其职责,项目定义;项目批准,项目阶段批准,正式的项目风险管理则较好的被其它几个PRINCE2流程所包含。当然,在COBIT管理指南中我们不能明确看出对PRINCE2中结束项目(CP)流程相关的控制目标,但COBIT的其他控制目标以及审计指南等隐含包括了该流程的控制。
  PRINCE2从流程的角度对项目管理中各个活动进行管理,比较便于项目管理的具体实施,而COBIT从控制目标的角度阐述项目管理“应该怎样,应该达到什么目标”,这样便于企业控制和评审项目管理整体过程的执行情况。同时COBIT给出了项目管理成熟度模型,便于组织自评估或第三方评估企业项目管理的成熟度,从而不断改进项目管理的执行过程。如图2所示。

图2 项目管理成熟度模型

资料来源:ISACF

  当然PRINCE2和COBIT的视野并不仅仅限于对具体项目的管理。它们不仅包括项目级的管理,而且涵盖了在组织范围对项目的管理,目的在于企业级的项目管理(Enterprise Project Management, EPM)或者称为项目治理(Project Governance)。从企业长期发展战略的高度来规划项目管理。如图3所示。

图3 项目治理机构模型

资料来源:ISACF

  同时,对于每个过程和控制目标,PRINCE2与COBIT仅仅指明了“该做什么”,至于“如何做”,二者都没有提供具体实现技术和工具,用户可以根据实际需要使用有益的任何工具,如甘特图,关键路径法、项目管理软件、风险管理软件等。PRINCE2提供的8个过程与COBIT提供的13个控制目标也仅仅作为参考过程和控制目标,企业在具体实施时,必须依据项目的规模和需要对这些过程和控制目标进行适当的剪裁。

  * 四个标准间的相互联系
  为了更有效地实现股东的价值,IT需要在既定的时间内支持企业业务的发展,提高服务质量、有效控制风险、锐减服务成本以及缩短产品交付周期。如图4所示。

图4 IT与企业战略

资料来源:PWC

  为了实现上述目标,需要做到对IT组织结构和角色、量度、过程、技术、控制以及人员等方面进行管理。如图5所示。

图5 IT管理要素模型图

资料来源:PWC

  COBIT、ITIL、ISO/IEC17799和PRINCE2在管理IT上述各方面各有优势,如图6所示。具体分述如下:
  * COBIT重点在于IT控制和IT度量评价
  * ITIL重点在于IT过程管理,强调IT支持和IT交付
  * ISO/IEC17799重点在于IT安全控制
  * PRINCE2重点在于项目管理,强调项目的可控性,明确项目管理中人员、角色的具体职责,同时实现项目管理质量的不断改进。

图6 IT管理要素与四个标准映射图

资料来源:PWC

  总之,四个标准架构发展过程尽管并不一致,但本质上这四者并不相互排斥,通过整合COBIT、 ITIL、ISO/IEC17799和PRINCE2,在企业中实施善治的IT治理战略,将对企业IT战略发展和企业战略发展有莫大的帮助。

  剪裁与实施
  今年以来,官、产、学及媒体对信息化建设进程中存在的深层次的问题,诸如“IT与业务的融合”、“信息系统工程监理向何处去”、“信息中心的转制与走向”、“IT治理、公司治理及企业治理的关系”、“信息主管、CIO的治理结构”、“信息系统审计对IT投资有效的监督和控制作用”、“规范、标准化的 IT服务管理流程的重要性”等,展开全方位的、深度的探讨,以期重新认识IT的定位、作用和价值,共同促进建设有效益的、可持续发展的信息化。 COBIT、 ITIL、ISO/IEC17799和PRINCE2作为全球公认的辅助IT治理的工具,或许给我们探索以上难题提供了一条新道路。
  在组织中具体应用这些标准时,我们的建议是:
  1、 要专注于解决组织信息化过程中最大的问题。因为对于任何一个组织而言,采用整套标准都是不可行的,相反地,应该从最大的问题着手;
  2、 通过对模型的剪裁找出最适合本企业环境的实施方案;
  3、 先完成培训再进行组织变革,并在单一领域内(如培训经验)取得一定成绩后,再转向其它有问题的领域。
  4、 在开始项目之前,评估一下目前的环境,这样就有利于评测出进展的效果。
  此外,组织在具体实施的过程中,其他组织成功实施的案例、培训机构和第三方咨询机构都可以提供很好的帮助。

  总结
  COBIT、 ITIL、ISO/IEC17799和PRINCE2都是IT治理领域全球公认的辅助工具。采纳何种标准的关键在于:发掘你的真正需求,对标准进行剪裁制定最适合的实施方案,然后持续改善。这将给组织带来诸多益处,这其中就包括当前业界普遍关心的提高IT投资回报率难题。


Lemon tree 一月 12, 2006

Posted by wansion in Life.
1 comment so far

I’ll sitting here in a boring room,
It’s just another rainy sunday afternoon,
I’m wasting my time I got nothing to do,
I’m hanging around I’m waiting for you.
But nothing ever happens and I wander.

I’m driving around in my car,
I’m driving too fast I’m driving too far,
I’d like to change my point of view,
I feel so lonely I’m waiting for you,
But nothing ever happens and I wander.
I wander how I wander why
yesterday you told me about blue blue sky;
and all that I can see is just a yellow lemmon tree,
I’m turning my head up and down
I’m turning turning turning turning turning around
and all that I can see is just another lemmon tree.
see,dalada,diladada…

I’m sitting here I miss the power,
I’d like to go out taking a shower,
but there’s a heavy cloud inside my head,
I fell so tired put myself into bed,
but nothing ever happens and I wander.
I solation is not good for me,
I solation I dont want to sit on a lemmon tree .
I’m stepping around in adesert of joy,
baby anyhow I’ll got another toy,
and everything will happen and you’ll wander.
I wander how I wander why ?
yesterday you told me about blue blue sky,
and all that I can see is just a another lemmon tree;
I’m turning my head up and down
I’m turning turning turning turning turning around
and all that I can see is just yellow lemmon tree,
and I wander wander;
I wander how I wander why,
yesterday you told me about blue blue sky,
and all that I can see ,
and all that I can see,
and all that I can see
is just yellow lemmon tree.

Telecom Acronyms 一月 12, 2006

Posted by wansion in Technology.
1 comment so far

Telecom Business

  • EBITDA: Earnings Before Interests, Tax, Depreciation, and Amortisation
  • ARPU: Average Revenue Per User = ARPM x MOU 每用户营收
  • ARPM: Average Revenue Per Minute 每分钟营收
  • MOU: Minutes of Usage, 平均用户通话分钟数
  • NOPAT: Net Operation Profit After Tax
  • WNP: Wireless Number Portbability

Telecom Networking Tech

  • AAA-Authentication Authorization Accounting
  • ACL-Access Control List
  • API-Application Programming Interface
  • APN-Access Point Name
  • ASBR-Autonomous System Boundary Router
  • AUC: 鉴权中心;存放用户的密钥Ki(在用户使用IMSI接续的时候,Ki被授予给用户);为完成鉴权过程,AuC要负责生成随机值RAND;AuC中还存放了鉴权算法A3以及数据加密密钥生成算法A8
  • BGP-Border Gateway Protocol
  • BOSS :: 中国移动业务支撑系统
  • C-Note: Cisco Network Service Notification Engine (Cisco的大容量故障信息采集服务器)
  • CAR: Committed Access Rate 承诺访问速率,非常适用于网络的边缘,对数据包进行分类标记和流量整形
  • CBWFQ-Class-based Weighted Fair Queuing
  • CDR: Call Detail Record 呼叫详单
  • CE-Customer Edge
  • CG-Charging Gateway
  • CIC:Cisco Info Center (Cisco故障处理和报警)
  • CoS:: Class of Service
  • CTG-MBOSS :: China Telecom Group – Management/Business/Operations Support System, 中国电信2005年发布的、关于中国电信集团IT发展规划方面的纲领性文件。同时也成立了CTG-MBOSS发展论坛,邀请了多家业界主导性供应商参加。
  • DCN:: Data Communication Network, 原中国电信为了共享若干个支撑网(如SS7, 同步网, 网管,等)的网络资源而建设,现在成为中国电信、中国移动、中国网通最为重要的支撑网络。按照规划,OA/MIS/ERP/BOSS/NMS/BI等所有支撑系统都将成为DCN之上的应用。在有些场合下,中国移动的DCN又称为MDCN
  • DHCP-Dynamic Host Configuration Protocol
  • DNS-Domain Name Server
  • DPT-Dynamic Packet Transport
  • DSCP-DiffServ Code Points
  • DSMP: 中国移动的数据业务管理平台
  • DTMF: dual-tone multi-frequency (DTMF)
  • DiffServ-Differentiated Services
  • DoS-Denial of Service
  • EAI: Enterprise Application Integration 企业应用集成
  • EBGP-Exterior Border Gateway Protocol
  • FCIP: Fiber Channel of IP(IP光纤通道)
  • FRTS-Frame Relay Traffic Shaping
  • FR-Frame Relay
  • FTAM: File Transfer and Management, OSI体系中的应用层文件传输协议
  • GGSN-Gateway GPRS Support Node
  • GRX-GPRS Roaming Exchange
  • GTP-GPRS Tunneling Protocol
  • GTS-General Traffic Shaping
  • Gi-GGSN/PLMN interface to IP network
  • Gn-Intra-xGSN(SGSN/GGSN) interface
  • HLR: Home Location Register 归属位置寄存器
  • HSRP-Hot Standby Router Protocol
  • HSTP: 信令转接点
  • IAD :: Integrated Access Device,  综合接入设备
  • IBGP-Interior Border Gateway Protocol
  • ICMP-Internet Control Message Protcol
  • IDS-Intrusion Detection Sensors
  • IMSI(International Mobile Subscriber Identity)国际移动用户身份,存放在AuC(鉴权认证中心)
  • IOS-Internet Operating System, 思科公司网络设备的操作系统
  • IPFR-IP Frame Relay
  • IPSec :: IP Security
  • IPX-International Packet Exchange
  • IP-Internet Protocol
  • ITP-IP Transfer Point
  • L2TP-Layer 2 Tunneling Protocol
  • LDAP-Lightweight Directory Access Protocol
  • LLQ-Low Latency Queueing
  • LSR: Label Switch Router (标记交换路由器)
  • MDCN::Mobile Data Communication Network, 中国移动的DCN网络
  • MN::Mobile Node
  • MPIC(Mobile Personal Information Center):移动个人信息平台
  • MPLS :: Multi-Protocol Label Switching, 当今最为重要IP网络技术之一。现在主要的骨干IP路由器都支持MPLS。通过MPLS可以提供大量的VPN用以增强IP网络的业务提供能力,同时 MPLS还提高了流量工程(Traffic Engineering)能力。
  • MS-Mobile Station
  • NMS-Network Management System
  • OLAP: 在线分析处理
  • OSPF-Open Shortest Path First
  • PDP-Packet Data Protocol
  • PE :: Provider Edge, MPLS网络架构中运营商网络部分的边界路由器
  • PLMN: Public Land Mobile Network:公用陆地移动网
  • PSTN: Public Switched Telephone Network: 公用交换电话网
  • POS-Packet Over Sonet
  • PVC-Permanent Virtual Circuit
  • QoS-Quality of Service
  • RADIUS-Remote Authentication Dial-In User Service
  • RSA: 远端服务模块
  • SCE: 业务生成环境
  • SCP: 业务控制点
  • SESM-Subscriber Edge Service Manager
  • SEO: Search Engine Optimization. SEO is the art of making your site attractive to the automated spiders that Google and other search engines send around theWeb.
  • SGIP:短消息网关系统接口协议
  • SGSN-Serving GPRS Support Node
  • SLA-Service Level Agreement
  • SLB-Server Load Balancing
  • SMG: 短消息应用网关
  • SMP: 业务管理系统
  • SMPP: 协议为短消息点对点协议,是扩展短消息实体(ESME)连接短消息中心(SMSC)的一种协议规范,可以基于TCP/IP,也可以基于X.25网。
  • SMS-Short Message Service
  • SNMP-Simple Network Management Protocol
  • SSG-Service Selection Gateway
  • SSP: 业务交换点
  • TCP-Transmission Control Protocol
  • TDM-Time Division Multiplexing
  • TMSI: 临时移动用户身份
  • TOD-Time of Day
  • ToS-Type of Service
  • UM:Universal Messaging (统一消息)
  • VLAN-Virtual Local Area Network
  • VLSM:Variable Length Subnet Mask (可变长子网掩码技术)
  • VNO-Virtual Network Operator
  • VPDN-Virtual Private Dial-up Network
  • VPN-Virtual Private Network
  • VTMS-Versatile Traffic Management System
  • VoIP-Voice over Internet Protocol (IP)
  • WAN-Wide Area Network
  • WFQ:Weighted Fair Queue (加权的公平队列)
  • WRED: Weighted Random Early Detection (加权的拥塞控制算法)

最近失眠 一月 12, 2006

Posted by wansion in Life.
add a comment

最近三天连续失眠,也不知怎么回事,晚上一合眼就开始过电影,头脑异常清醒,早上又醒得很早,基本上六点多就醒了,搞得每天上班无精打采。

Security Acronyms 一月 11, 2006

Posted by wansion in 技术.
add a comment

Security Acronyms

International Organizations and Standards

  • ACTS :: RACE的后续计划
  • BXA :: 美国商业部出口管理局
  • CASPR :: Commonly Accepted Security Practices and Recomendations
  • CCEVS :: 通用准则评估和认证体系
  • COBIT :: 信息及相关技术控制目标(Control OBjectives for Information and related Technology).COBIT按3个层次将IT治理架构的控制对象分为4个控制域,34个高级控制对象(流程),318个具体控制对象。
  • CSE :: 加拿大的通信安全法规
  • DPI:: Deep Packet Inspection, 深度包检测, 许多防火墙厂家提出的一种概念,类似思科的NBAD,在网络层识别应用层信息,以便细化安全策略。
  • EAD:: Endpoint Admission Defense, 端点准入防御, 华为3Com公司提出的类似思科NAC的一种终端集成防御体系。
  • EAR :: 出口管理条例
  • EESSI :: 欧洲电子签名标准化倡议
  • FIPS :: 联邦信息处理标准
  • FISMA :: 联邦信息安全管理法案Federal Information Security Management Act
  • FRAP :: 便利的风险分析过程(Facilitated Risk Analysis Process)。这是一种高效的,严格的过程方法,主要为了保证业务运营的信息安全相关风险能得到考虑并归档。FRAP的主要过程包括:信息收集(会谈,自动化工具,交互操作等方式),信息整理,信息分析,风险计算。整个过程涵盖技术、管理、运行三个方面的内容。
  • GAO :: General Accounting Office
  • IANA :: Internet Assigned Number Authority
  • ICTSB :: 欧洲信息和通信技术标准委员会
  • IDMEF :: Intrusion Detection Message Exchange Format, 即入侵检测消息交换格式,RFC标准,还处于草案阶段。Sourceforge上有一个为Snort开发IDMEF接口插件的项目。但是普遍来说,主流商业产品对IDMEF的支持不够好。
  • IDXP :: Intrusion Detection Exchange Protocol, 即入侵检测交换协议,an application-level protocol for exchanging data between intrusion detection entities. IDXP supports mutual-authentication, integrity, and confidentiality over a connection-oriented protocol. The protocol provides for the exchange of IDMEF messages, unstructured text, and binary data. 用以实现IDMEF通信过程的协议。同样处于RFC草案阶段
  • iMAAP: Identity Management, Authentication, Authorization, Protection, 德勤Deloitte公司在安全咨询方面的一个方法论。
  • IPS :: Intrusion Prevention System, 入侵阻断系统,从名称上可以看出来,相比IDS,IPS更加强调“实时阻断”,它在线工作的特点也给它带来了不利的变数 - 无法接受的误报。
  • ISACA :: 信息系统审计和控制协会(Information System Audit and Control Associates)
  • ISC2: The International Information Systems Security Certification Consortium, Inc., or (ISC)², is a non-profit organization, incorporated in the Commonwealth of Massachusetts, based in Palm Harbor, Florida.
  • ISL :: InterSwitch Link (Cisco proprietary protocol)和802.1q是实现Trunk的两种基本方式
  • ITGI :: IT治理协会(IT Governance Institute)
  • ITIL :: Information Technology Infrastructure Library信息技术基础设施库
  • ITSEM: ITSEC的评估方法论
  • ITSMF :: IT Service Management Forum
  • NAC::Network Admission Control, 思科公司提出的一种网络安全体系,倡导网络终端与网络设备的联动来保障基础设施,形成统一完整的安全防御体系。有防病毒厂家、终端安全等多家大公司加盟。
  • NIAP:国家信息保证联盟(PAIN的逆序)由NSA和NIST共同组建
  • NBAD: Network Based Anomaly Detection, 基于网络的应用识别,思科公司用于在其网络设备上面动态识别应用层信息的一种技术,正被大量用于BT, eDonkey等P2P应用的治理。
  • NIST: 美国国家标准和技术局National Institute of Standards and Technology
  • NSA:国家安全局
  • OASIS:Organization for the Advancement of Structured Information Standards.
  • OCTAVE: Operationally Critical Threat, and Vulnerability Evaluation
  • OMG:对象管理组织
  • OWASP:Open Web Application Security Project
  • PKI/PKA: PKI/PKI Enabled Application
  • RACE: 欧洲先进通信研究
  • RIP: 英国的调查权法案
  • SAML: Security Assertion Markup Language, OASIS标准,主要用于完成Web-based应用 or Web Servivce环境下的认证和单点登录。
  • SCIP: the Society of Competitive Intelligence Professionals
  • SCSSI: 法国国防部计算机安全部
  • SCSUG: 法国灵巧卡安全用户小组
  • SCC: Security Command Center, 安全总控中心,与安全管理中心相比更加强调“控制”能力,即状态监视和指令部署的能力。
  • SDN: Self-Defending Network, 自防御网络,Cisco公司提出的一种安全防护架构,重在IP骨干网的安全
  • SOC: Security Operations Center, 安全管理中心是一种技术组织形式,集中地、统一地管理、监视一个企业或组织范围内的网络信息安全元素和安全策略。
  • SOD: Segregation of Duties, 职责分隔是一种减少偶然或故意行为造成安全风险的方法。企业或组织应分散某些任务的管理、执行及职责范围,以减少误用或滥用职责带来风险的概率。
  • SOG-IS: 信息系统安全高级官员小组
  • SPML: Security Provisioning Markup Language,成为安全供应标记语言,或者安全配置标记语言,用于Web-based 应用or Web Service环境下的用户帐号管理。
  • SPN: Security Penetration Network, 安全渗透网
  • STP:Spanning Tree Protocol
  • TISPAN: Telecommunication and Internet converged Services and Protocols for Advanced NetworkingTISPAN 在ETSI 中负责目前未来融合网的标准化,包括VoIP、和NGN 的标准化。TISPAN 的成立不仅把ETSI 有关NGN 的工作进行了合并,而且大大加强了ETSI 在标准化方面的领导地位。
  • TMF: 国际电信管理论坛
  • UTM: Unified Threats Management, 统一威胁管理, 新近兴起的一种安全产品形态,组合多种安全要素于一身,通常会包括防火墙、VPN、反病毒、IDS、反垃圾邮件等功能。目前,按照IDC的统计, Fortinet公司的产品暂时领先这一市场。也有其他场合称为United Threats Management, or Universal Threats Management.
  • XACML :: Extensible Access Control Markup Language, 可扩展访问控制标记语言,OASIS标准,定义了一种通用的用于保护资源的策略语言和一种访问决策语言,帮助访问控制模型的实现。
  • XMPP :: Extensible Messaging and Presence Protocol, Jabber.org发展的一种标准协议
  • WfMC:工作流管理联盟”(Workflow Management Coalition,简称WfMC)
  • WSC: World Semiconductor Consortium

Certificates

  • CBA :: Certified Bank Auditor
  • CCP :: Certified Computing Professional
  • CIA :: Certified Internal Auditor
  • CISA :: Certified Information Systems Auditor
  • CISSP :: Certified Information Systems Security Professional
  • CPIM :: Certified in Production and Inventory Management
  • SNIA :: Storage Network Industry Association
  • SSCP :: Systems Security Certified Practitioner

Telecom Acronyms 一月 11, 2006

Posted by wansion in Life.
add a comment

Telecom Acronyms

Telecom Business

  • EBITDA: Earnings Before Interests, Tax, Depreciation, and Amortisation
  • ARPU: Average Revenue Per User = ARPM x MOU 每用户营收
  • ARPM: Average Revenue Per Minute 每分钟营收
  • MOU: Minutes of Usage, 平均用户通话分钟数
  • NOPAT: Net Operation Profit After Tax
  • WNP: Wireless Number Portbability

Telecom Networking Tech

  • AAA-Authentication Authorization Accounting
  • ACL-Access Control List
  • API-Application Programming Interface
  • APN-Access Point Name
  • ASBR-Autonomous System Boundary Router
  • AUC: 鉴权中心;存放用户的密钥Ki(在用户使用IMSI接续的时候,Ki被授予给用户);为完成鉴权过程,AuC要负责生成随机值RAND;AuC中还存放了鉴权算法A3以及数据加密密钥生成算法A8
  • BGP-Border Gateway Protocol
  • BOSS :: 中国移动业务支撑系统
  • C-Note: Cisco Network Service Notification Engine (Cisco的大容量故障信息采集服务器)
  • CAR: Committed Access Rate 承诺访问速率,非常适用于网络的边缘,对数据包进行分类标记和流量整形
  • CBWFQ-Class-based Weighted Fair Queuing
  • CDR: Call Detail Record 呼叫详单
  • CE-Customer Edge
  • CG-Charging Gateway
  • CIC:Cisco Info Center (Cisco故障处理和报警)
  • CoS:: Class of Service
  • CTG-MBOSS :: China Telecom Group – Management/Business/Operations Support System, 中国电信2005年发布的、关于中国电信集团IT发展规划方面的纲领性文件。同时也成立了CTG-MBOSS发展论坛,邀请了多家业界主导性供应商参加。
  • DCN:: Data Communication Network, 原中国电信为了共享若干个支撑网(如SS7, 同步网, 网管,等)的网络资源而建设,现在成为中国电信、中国移动、中国网通最为重要的支撑网络。按照规划,OA/MIS/ERP/BOSS/NMS/BI等所有支撑系统都将成为DCN之上的应用。在有些场合下,中国移动的DCN又称为MDCN
  • DHCP-Dynamic Host Configuration Protocol
  • DNS-Domain Name Server
  • DPT-Dynamic Packet Transport
  • DSCP-DiffServ Code Points
  • DSMP: 中国移动的数据业务管理平台
  • DTMF: dual-tone multi-frequency (DTMF)
  • DiffServ-Differentiated Services
  • DoS-Denial of Service
  • EAI: Enterprise Application Integration 企业应用集成
  • EBGP-Exterior Border Gateway Protocol
  • FCIP: Fiber Channel of IP(IP光纤通道)
  • FRTS-Frame Relay Traffic Shaping
  • FR-Frame Relay
  • FTAM: File Transfer and Management, OSI体系中的应用层文件传输协议
  • GGSN-Gateway GPRS Support Node
  • GRX-GPRS Roaming Exchange
  • GTP-GPRS Tunneling Protocol
  • GTS-General Traffic Shaping
  • Gi-GGSN/PLMN interface to IP network
  • Gn-Intra-xGSN(SGSN/GGSN) interface
  • HLR: Home Location Register 归属位置寄存器
  • HSRP-Hot Standby Router Protocol
  • HSTP: 信令转接点
  • IAD :: Integrated Access Device,  综合接入设备
  • IBGP-Interior Border Gateway Protocol
  • ICMP-Internet Control Message Protcol
  • IDS-Intrusion Detection Sensors
  • IMSI(International Mobile Subscriber Identity)国际移动用户身份,存放在AuC(鉴权认证中心)
  • IOS-Internet Operating System, 思科公司网络设备的操作系统
  • IPFR-IP Frame Relay
  • IPSec :: IP Security
  • IPX-International Packet Exchange
  • IP-Internet Protocol
  • ITP-IP Transfer Point
  • L2TP-Layer 2 Tunneling Protocol
  • LDAP-Lightweight Directory Access Protocol
  • LLQ-Low Latency Queueing
  • LSR: Label Switch Router (标记交换路由器)
  • MDCN::Mobile Data Communication Network, 中国移动的DCN网络
  • MN::Mobile Node
  • MPIC(Mobile Personal Information Center):移动个人信息平台
  • MPLS :: Multi-Protocol Label Switching, 当今最为重要IP网络技术之一。现在主要的骨干IP路由器都支持MPLS。通过MPLS可以提供大量的VPN用以增强IP网络的业务提供能力,同时 MPLS还提高了流量工程(Traffic Engineering)能力。
  • MS-Mobile Station
  • NMS-Network Management System
  • OLAP: 在线分析处理
  • OSPF-Open Shortest Path First
  • PDP-Packet Data Protocol
  • PE :: Provider Edge, MPLS网络架构中运营商网络部分的边界路由器
  • PLMN: Public Land Mobile Network:公用陆地移动网
  • PSTN: Public Switched Telephone Network: 公用交换电话网
  • POS-Packet Over Sonet
  • PVC-Permanent Virtual Circuit
  • QoS-Quality of Service
  • RADIUS-Remote Authentication Dial-In User Service
  • RSA: 远端服务模块
  • SCE: 业务生成环境
  • SCP: 业务控制点
  • SESM-Subscriber Edge Service Manager
  • SEO: Search Engine Optimization. SEO is the art of making your site attractive to the automated spiders that Google and other search engines send around theWeb.
  • SGIP:短消息网关系统接口协议
  • SGSN-Serving GPRS Support Node
  • SLA-Service Level Agreement
  • SLB-Server Load Balancing
  • SMG: 短消息应用网关
  • SMP: 业务管理系统
  • SMPP: 协议为短消息点对点协议,是扩展短消息实体(ESME)连接短消息中心(SMSC)的一种协议规范,可以基于TCP/IP,也可以基于X.25网。
  • SMS-Short Message Service
  • SNMP-Simple Network Management Protocol
  • SSG-Service Selection Gateway
  • SSP: 业务交换点
  • TCP-Transmission Control Protocol
  • TDM-Time Division Multiplexing
  • TMSI: 临时移动用户身份
  • TOD-Time of Day
  • ToS-Type of Service
  • UM:Universal Messaging (统一消息)
  • VLAN-Virtual Local Area Network
  • VLSM:Variable Length Subnet Mask (可变长子网掩码技术)
  • VNO-Virtual Network Operator
  • VPDN-Virtual Private Dial-up Network
  • VPN-Virtual Private Network
  • VTMS-Versatile Traffic Management System
  • VoIP-Voice over Internet Protocol (IP)
  • WAN-Wide Area Network
  • WFQ:Weighted Fair Queue (加权的公平队列)
  • WRED: Weighted Random Early Detection (加权的拥塞控制算法)

This is wangxin`s Blog 一月 11, 2006

Posted by wansion in Uncategorized.
add a comment

It is very nice, but very slow now, and this is a test message.

First page 一月 11, 2006

Posted by wansion in Uncategorized.
1 comment so far

This is my test page, this bog site is wonderful, but too slowly.

萨班斯来了 一月 10, 2006

Posted by wansion in Life.
add a comment
 
 

近期,在美国上市的国内企业意识到,他们又将面临一个新的考验,考验来自一个棘手而严厉的“美国规则”——

 

萨班斯法案。

2002年7月30日,美国总统布什在签署“萨班斯法案”的新闻发布会上曾称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。萨班斯究竟何为?2001年12月,美国最大的能源公司——安然公司,突然申请破产保护;次年6月,美国世界通信爆发会计丑闻事件,诸多上市公司治理结构不平衡和外部监督缺失,美国资本市场诚信岌岌可危。为此,美国国会和政府加速通过萨班斯法案。它犹如一记重拳,有力地规范了企业的财务制度,并通过加强内部控制,改进了公司的治理状况。

萨班斯法案是美国自20世纪30年代颁布财务规则以来,最为严厉和企业必须严格遵守的财务法则。事实证明:触犯萨班斯法案,企业高管就有可能面临监禁等法律制裁,公司声誉下跌,投资人失去信心,企业失去再融资能力,最后不得不被迫退市。

资料显示,截至今年3月底,内地和香港一共有70余家公司在美国上市,其中包括我国四大基础电信运营商:中国电信、中国网通、中国联通中国移动。要在美国资本市场运作,构建萨班斯法案要求的内控系统,IT内部控制系统构建及评审就是无法绕过的坎。其中,最难操作、最复杂、成本最高的是该法案中对企业要求的完善内部控制,即404条款。有分析家指出,萨班斯法案404条款严格的约束使得内控制度相对薄弱的欲在美上市的大型国企望而却步。

作为美国资本市场一项极具严格约束力的法案,萨班斯法案对已在美国上市的我国四大电信运营商同样举起了法槌。普华永道环球风险管理部合伙人季瑞华表示,如果中国企业的财政年度为6月30日,第一年要作内控报告的是2007年的财政年度。但大部分企业当年财经年度的结束日期为12月31日,所以事实上,第一个年度是从2006年开始遵守。按照萨班斯法案要求,明年的7月15日,国内四大在美国上市的基础电信运营商都将面临萨班斯的严格审核,提交财务报表内控报告。

萨班斯来了,我们怎么顺应其潮流,使企业治理更加完善。相信这是业内更为关注的问题。作为萨班斯法案中最重要的条款之一,404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。有专家认为,中国企业遵守萨班斯法案的难点在于内控指引框架,依照法案所推荐和要求对照的美国COSO报告的理论体系,建立内控体系。据COSO的研究成果,企业内控体系包括控制环境、风险评估、控制活动、信息与沟通、监督等五要素。对于已经在美国上市的国有企业来说,他们需要做的则是利用延期的机会,加强内控,改善企业治理结构,力争在规定的时间内达到404条款的要求。

目前,许多国内在美国上市的企业已在着手对公司治理结构的相关环节进行完善。提升财务管理水平,提高企业内部的控制能力迫在眉睫。以中石油为例,公司在今年3月17日就按照404条款的规定启动了内控体系建设工程,包括控制环境、风险评估、控制活动、信息与沟通、监督等要素,涵盖了公司的各个层次,同时还专门成立了内控体系建设项目组,以期在今年12月31日前达到404条款的有关要求。中国诚通集团总会计师徐震透露,国内的几大能源企业、国有商业银行等,正在加紧建设内控IT体系,从而使企业内部管理更加符合纳斯达克的要求。

四大电信运营商对萨班斯高度重视。中国电信总经理王晓初在2005年集团工作会议上强调,要进一步健全企业诚信体系,完善诚信制度,对照萨班斯法案,强化依法治企,加强财务管理、审计监督和内控建设。中国移动已经在四省市进行应对萨班斯法案的试点工作。中国网通和中国联通同样在致力于完善内控制度,以达到萨班斯法案的要求。

虽然404条款对上市企业提出了很高的要求,不过专家认为,从另一个方面来讲,它却为提高企业信息化乃至增强IT治理提供了一个很好的机会。ForresterResearch在调查了800多家北美公司后发现,将近1/3的调研对象表示将增加IT支出,其中为遵守萨班斯法案而进行的投入是一个重要项目。

究竟萨班斯能给我们带来什么?如何完善内控制度,建立应对萨班斯的“长久之计”?本期《管理创新》将带大家走近萨班斯,并与业内相关专家一同探讨应对之策。(肖卓 张萍 人民邮电报)