★fudushao★

转自： http://blog.xiaonei.com/GetEntry.do?id=245322773&owner=222115205

首先要澄清一个流毒广泛的说法：大学毕业第一份工作不重要。

　　这绝对是极其错误的。它给了广大蒙蒙董董的大学毕业生一个错误的认识，对相当一部分人造成了无可挽回的损失！大学生就业选择，是对一个人十年内的生活产生重大影响的关键决策，是极其重要的。

那么找怎么样的工作比较好？什么样的行业算好？大公司好还是小公司好？如何正确的理解当前工资和未来发展？一系列的问题摆在大学生的面前。下面我首先对要考虑的宏观策略问题进行分析，然后再进行个别具体问题的解答。

一、 中国现阶段职场利益集团划分  
　 　这才是一个大学毕业生首先要知道的大问题。学校的主任不会和你说的，公司招聘时也不会和你说的，因为利益只有少部分人能够分到；你父母也不一定会和你说 的，因为他们很可能也是糊涂的。如果这一部分已经有人很明确的告诉你了，或者你个人已经很敏锐 的感知到了，那么恭喜你！你已经可以关闭这篇文章了，因为你已经是明白人，不需要我浪费口舌。　

（一）5大利益象限  
　　 中国的社会处在重要的转型变化中：由计划经济转向“有中国特色的市场经济”。这个过程是一个利益格局的重新分配的过程。在就业市场上，我们可以按大的方面对各种利益单位归类如下：
　　1． 公务员（含事业单位）
　　2． 垄断行业国企
　　3． 竞争行业国企
　　4． 外企
　　5． 民营企业
　　差不多所有的利益单位都可以在上述归类中找到位置。首先你要明白的是，这不是理论研究，这和你未来的事业、收入、地位、家庭都有直接的联系。你首先要明白的是，在招聘会上准备招聘你的这个公司（单位）到底是属于哪个象限的？
　 　不同的象限拥有的力量和资源是不一样的。这导致了在不同的象限就业获得收入的能力也大不一样。在你选择公司之前，一定要清楚的了解这些。在目前的中国，社会资源高度集中在少数公务员（即官员），以及垄断国企的手中。但是不同的地区，由于社会财富 水平不一样，因此公务员集团的收入相差是很大的。虽然国家规 定的工资待遇大家都一样，但是你到广东、华东一带了解下公务员的实际年收入，你就不难理解为什么那么多你的同龄人在报考公务员了。实际上，即使在经济欠发达地区，公务员在当地人群中仍然属于 高收入群体。而且也许更关键的是，风险非常小。收益和风险成正比，你一定在课堂上学过吧？哈哈，告诉你，那是西方经济 学原理，我们是中国特色的，不一样的。在中国当公务员，风险小，收益大。也许你会说，不对啊，在你们哪个地方，公务员待遇也不怎么样啊？那么我要告诉你：第一，你不能只看表面收入而不看灰色的部分；第二，当前中国允许地区间人员流动，因此由于不同地区经济财富水平差异很大，因此落后地区的公务员确实是比发 达地区的一般白领差的。这也就是利益格局的复杂之处，没有绝对的。

　　 我们再来看一看国企的情况。一说到国企，很多人马上就想到下岗。这种观念也是错误的。首先，解雇员工并不是国企独有，大量的私企每年都在大量解雇员工，并没有任何人给他们补偿，给他们“安置”。同时，也不是任何国企都效益不好，都需要下岗。我们看利益格局，首先要看谁拥有力量和资源。在中国，说白了就是谁拥有力量和行业垄断的权力，想效益不好都难。这不是国企还是私企来简单划分的。例如中国移动、电信、的竞争行业的国企，几乎都是完蛋两个字（不含假装放开的行业）。这里面有个很清晰的发展脉络：在90年代初，只有国企存 在，民营力量非常微弱。而国企长期的低工资、高福利政策，使得闸门打开后第一批进入市场经济的人尝到了“高”工资的甜头；在90年代末，以2000年为分 界线，时局发生了明显的转变。在抓大放小政策下，垄断行业的国企迅速利用其行政资源做市场经济，毫无悬念，他们无往不胜，获得了大量的利润；当前阶段，以 2005年为分界线，则又是另外一个崭新阶段的开始。各地MBO此起彼伏了。在这种情况 下，垄断国企将出现分化，具体发展的预测比较复杂，我将在另外的文 章中专门分析。但无论如何，在当前阶段垄断国企是一个非常强势的高收入集团。要注意的是，即使是现在那些45岁左右下岗破产的竞争行业国企员工，在他们象 你们这么大就业的时候，他们当时的工作仍然是最好的，收入也是最高的。只是现在利益格局已经改变。

　　 再来看下外企的情况。外资企业主要是依靠资金力量、和的关系、以及高水平管理在做事情，可以说是中国第一批真正的企业。但是，他们在中国仍然要遵守中 国的潜规则的。由于能够跨国经营的外企一般都是实力比较雄厚的，因此外企是一个非常强大的利益单位，也是就业的高收入单位。注意，那些中国人海外注册弄的假外企不算，台湾、香港企业算民企。

　　看看民企的情况，民企仍然不占中国经济的主体。他们在力量和占有资源上都相对比较弱。在完全竞争的行业，主要是进去的比较早的一批民企做大了，拥有一定的力量。而大量的民企在充分市场竞争中生活质量都不高。因为中国并非真正的市场机制，有关 的法律法规很不健全，或者有法不依，或者有部分人有权不依，这造成了中国的完全竞争行业“扭曲竞争”的现象；在非完全竞争的行业，民企则主要是依附在某些拥有资源的单位周围生存，这种状态打个比方就是例如吸附在某个树上的虫子，形成了一个又一个的非竞争性关系利益群。由于职业保护的法律型同虚设，以及缺少 工会等代表员工利益的力量，直接造成了民企员工在职场上成为弱势群体。也许你会问，那为什么国家关心国企下岗员工，而没有关注民企解雇员工呢？很简单，因 为国企下岗员工年纪已经大了，无法再找到足以维持原来生活水平的工作了。而中国的市场化进程才刚刚开始，民企员工大多数都是年轻人，社会问题并不明显。

好了，现在清楚些了吧，首先要看你要去的公司（单位）是在上述哪个象限。象限属性从大势上决定了你以后可能获得的收入和地位。而你个人的能力，是在大波浪上翻起的小水花。可以说，判断大势的能力比从事具体事情的能力重要得多。也许你要说，好象哪个象限都有收入高的人啊。是的，可是你不要忘记了，在不同象 限获得高收入和地位的可能性，以及需要付出的努力是不一样的。在一些象限，你只要跟上平均水平，5年以后你就可以很轻易的存上一大笔钱，买上房子和车子； 而在一些象限，你要十分努力，10年以后，你有可能存上一些钱，买上房子和车子，而当你达到这个水平时，在优势象限的和你同时起步的人，已经存上了更多的钱，换上了更大的房子和车子。象限是有优劣差异的，起点相同的人，由于选择了不同的发展通道，同样都很努力，但落到的结果将天差地别。　　
　　其次，光看哪个象限还不足够。因为在同一个象限中，仍然存在着巨大的、人为因素造成的微妙区别！    

二、 转型中的一代  
　　中国的事情要用放大镜看才会清楚，这也是老外永远无法真正了解中国社会的原因。上述人为差别按利益象限的不同也有差异：

　1． 公务员、国企类，正式工和非正式工的差异
　 　工作人员难道也有非正式工？是的，如果你还不知道，只能说明你孤陋寡闻。政 府工作人员分为两类：国家正式编制的公务员以及所谓的“雇员”。在某些地方，特别是经济贫穷的省，这两者收入差距不大；而越是经济富裕的省，这两者的收入差距就越大。雇员要转为国家正式编制的公务员，有很大的难度，没 有关系基本不用想。因此，即使你通过了国家公务员考试，即使你已经被某单位接收了，你一定要打听清楚，你到底是去做公务员，还是去做雇员？
　 　中国所有的国企都有正式工和非正式工的差异。这种制度安排直接来源于计划经济下国家对个人的身份控制。在当年，一般都是“出身好”的人成为正式工，出身差的人自然就是非正式工。现在这种出身制度已经被扫进历史垃圾堆，但所谓的用工制度却遗留了下来，同时被赋予了新的含义。在垄断性的国企，在市场中利用垄断优势尝到了大甜头，自然要更加紧去获取市场利益。这时人力资源就成了问题。一方面，老的正式工就像八旗兵 一样早就失去了打仗的勇气和能力，那么用什么人 去攻打市场呢？另一方面，中央不断要求这些垄断型的国企改制，优化人员结构，降低人员成本，那么怎么优化？怎么降低呢？很简单，大量招聘非正式工。一方面用这些新鲜血液来攻打市场，充当炮灰，解决人力资源问题；另一方面将这些非正式工的工资进行市场化（垄断国企正式工的工资水平大大高于市场水平），这样就 拉低了整个企业的人均成本，完成了国资委布置的改制要求之一，而且不会损害正式工的利益（国企领导层是正式工利益的代表）。这表明了，国企已经蜕变成为了一个市场怪胎，一方面利用国家力量获取市场利益，一方面成为为小部分人谋取利益的工具。但是要注意，当前还是有可能进入正式工群体的，因为正式工是一个松 散的利益集团，这个集团也要不断的吸收新鲜血液的，否则会边缘化，最终丧失其优势地位。非正式工的收入大概是正式工的1/2到1/4。当然，在这里不是进行道义分析，而是要你去了解清楚，你到底是去做正式工，还是去做非正式工？
2． 外企类，大陆工和非大陆工的差异
　　 在外企，差别主要体现在大陆工和非大陆工之间。大陆工工资一般是非大陆工的1/5到1/10。这是合理的。因为外企到中国来投资的90%的理由就是因为你 人便宜，不是因为你是文明古国，也不是因为你有三个代表。人家的要求是合理的。当然，即使是这1/5到1/10的收入，和其他国人相比，仍然是很不错的。 当然，外企工作是很累的，风险和收益成正比。那为什么外企还要招聘非大陆工呢？这里你要清楚的知道，主要是因为3个原因：
第一，需要一些可以信任的人来管 理（受法制国家法律约束的人）；第二，需要一些精通英语的人（能用英语思考）来管理；第三，需要一些具有国际视野的人来管理。那是否你就只能当大陆工了呢？不是的。你应该清楚的一点是，你也是有机会成为非大陆工的。这就是为什么这么多人去美国留学的原因。当然，仅仅留学是不够的，一定要在美国就业并拿到 绿卡才行。现在很多外资企业的CEO，当初就是在美国做体力工混到的绿卡，然后因为精通两边语言的优势，跨国企业需要在中国建立代表处，就找这样的人去做 所谓的“首越来越多，要求也越来越高了，但成为非大陆工，仍然是有可能的。　
3． 民企类，股份工和非股份工的差异
　 　 在民企，差别主要体现在股份工和非股份工之间。股份工主要是哪些有使用股份来吸引人的企业中才有，是最初创业阶段加入的员工。例如华为就有相当多的股份工。非股份工则是那些很后才加入的员工，或者是那些很早加入，但对于公司没有什么价值的员工。在经过了创业阶段以后，企业一般就不再需要用股份来吸引初级 员工了，招聘主要就是填补战斗减员——有人走了，就招新的。期权一般用于高级管理者，由于本文分析的是大学生就业，因此与它无关。中国大部分民企生存环境非常恶劣，自身都难保，员工待遇就可想而知了。当然，创业型民企失败的概率是非常大的。你决定去民企前，一定要了解清楚，是创业扩张型的民企，还是补充战 斗减员型的？
　　 现在的年轻一代，实际上是中国社会转型中的一代，注定要承受付出转型代价的一代。他们的上一代，实际上仍然在吃传统体制的旧饭，并未真正的投入到市场竞争中；他们的下一代，将因为社会的不断进步而获得很大程度的劳动保障；而他们这一代，将注定在20年后的“白领失业浪潮”中变成中国社会最悲惨的人。这是时代的代价，没有办法的。　　
三、 职业生涯设计
　　从整体而言，这一代人注定要承受社会转型的代价。但从个体而言，仍然可以尽力去争取好的结果。这也是本文的意义所在。其实从上述分析，对于职业市场中哪些象限比较好，哪些象限比较差，可以说已经是一目了然了。为了更加清楚的查看，现按优劣程度将其排列如下：
　　1． 外企非大陆工
　　2． 经济发达地区公务员
　　3． 垄断国企正式工
　　4． 民企股份工
　　5． 外企大陆工
　　6． 雇员
　　7． 竞争国企正式工
　　8． 垄断国企非正式工
　　9. 竞争国企业非正式工
　　10. 民企非股份工  

也许你可以举出一些反例，但是要注意，上述情况是对一般情况的总结，不包含一些特殊情况，例如你们那里特别穷，公务员拿不到任何灰色收入等情况。
　 　好了，在你找工作的时候，你要记得的是，尽量往高处走。不要被一些花言巧语所迷惑，不要被一些所谓人力资源专家的“看长远发展”的说法所弄糊涂。你一定要记住，你站的越高，那么你跳的就越远，看长远发展绝对是起点高的跳的远。不要相信专家们所谓的职业生涯设计，那不是真的。

四、具体问题解答
1． 如何辨别正式工岗位和非正式工岗位？
　 　对于公务员，要询问是否进入国家编制。如果不进编制，即为雇员；对于国企，不要直接询问是否正式工，他们会义正言辞的告诉你：“我们这里都是正式员工”。你要注意，这里多了一个字：正式“员”工，里面分为正式工和非正式工。（要记住，中国的国企和央视是一家的，说的话一定要反着听，不然你一定上当） 你最好是找内部人了解下，这样最清楚。如果不认识人的话，你应该看他这个招聘是什么部门在主要操作。如果是某个业务部门自己在招聘，而不是总部人力资源部出面招聘的话，多半都是非正式工了。最后，可以询问多久可以“转正”，如果他们闪烁其词，仍然在解释 “都是正式的”云云，或者他们告诉你3到6个月的“试用期”，那么你基本可以肯定是非正式工了。

2． 要不要在意开始的收入？
　 　很多专家在这个问题上胡说八道。他们认为一开始不要太在意收入，要看长远发展。这是典型的不负责任专家。你可以想象一下，什么东西决定了一个岗位的收入？很简单，在不同公司间，市场形式好的，有长远发展的公司的岗位，要比没有前途公司的同样岗位收入高；在一个公司内部，有长远发展规划的重要岗位要比没 有前途的临时岗位的收入高。开始收入的高度反映了公司对你这个岗位的重要性的看法。你是认为一个重要的岗位有前途，还是认为一个不重要的岗位有前途？
3． 去大公司还是去小公司？
　 　还有一种骗人的说法，是说去小公司更可以锻炼人。这种说法荒谬无比。小公司由于实力不济，往往没有高手级的人才，也无法开展一些需要强大资源才能进行的市场运作。这决定了你无法向真正的高手学习，也无法积累大型市场运作的经验。记住，锻炼打大仗的本领，比锻炼一两个人单打独斗的经验有价值得多。

4． 白领会失业吗？
　 　答案是：“会，而且会大规模失业。”你要知道的一点是，中国是一个人力资源无穷无尽的国家，还有那么多的农民在等待着加入城市就业大军。现在的所谓白领，不过是在吃青春饭而已。等他们40岁左右的时候，大量的新的年轻毕业生能够用比他们低的工资来做同样的工作（估计那时中国的劳工保障法案仍然是不健全的，也没有什么工会来保护他们），那个时候，就会出现中国第一次大规模的白领失业浪潮。
5． 做专业性的工作，还是做销售？
　 　要看个人情况而定，一般情况而言，首先要看自己是否有做销售的潜力；其次，要看是销售的领域是否有技术含量，不要放弃自己的专业而去做没有什么技术含量的销售业务。如果你已经拥有了一个很有技术含量的专业，如医学、法律等等，千万不要放弃，机会成本太高了。你要知道，在这个专业领域，没有多少人能够和你 竞争的（眼睛别只盯住每年毕业的那些医学毕业生），因为你要知道，如果你改行去卖保险，那么将有数千万职高生、失业青年和你竞争，而且很可能你竞争不过他们。但是，如果是在有技术含量的领域，从事市场工作往往是一条捷径。
6． 找工作通过什么渠道比较好？
　　不同的渠道，主要用来发布不同的岗位。例如，招聘网站、是外企招聘大陆工，民企招聘非股份工比较多用的渠道；国企招聘非正式工多用报纸、人才市场；而公务员、国企正式工，则多半要通过内部关系来介绍了。
7． 找什么样的行业比较好？
　 　这里一定要注意了，大学毕业生找工作，主要是找行业，而不是看你学的专业是否“对口”。对行业要有提前预测性。现在好的行业未来不见得好。在中国未来5 年我比较看好的行业是：微电子、金融、建筑、法律、医药、生化。如果你学的专业正好是这几个，那很好；如果不是也不要紧，你可以考研究生，也可以去做这些领域的市场工作。记住，要做Sales，也要做这些有前景行业的Sales，而不要去做超市的Sales.

转自：

1. Google搜索技巧(11):提高精确度的“in”
    In-系列搜索指令是Google搜索中最重要的“位置关键词”查找方式，通过intitle/inurl/intext三个搜索指令定义关键词的位置，分别查找在标题、链接、正文包含搜索关键词的网页结果。

　　不过，这三个搜索指令因为字数较长、而且容易混淆，在实际搜索中往往被普通用户所漠视，事实上，对于目标明确的搜索者来说，In-系列搜索指令往往最为简洁，能够大幅简化搜索结果，提高搜索精确度。

　　1.Intitle--标题搜索

　　搜索热门话题的杀手锏，诸如“NBA赛程”、“GeForce 7800”、“Vista鼠标指针”等具有一定关注度的搜索词组最适合进行标题搜索--这些热门词的使用频率高，搜索结果误差较大，直接通过标题搜索往往能够获得最佳效果。

　　为了获得更佳效果，我们往往用""来对关键词进行完整限定

　　例如:搜索NBA最新赛程，只需输入 intitle:NBA赛程

　　2.Intext--正文检索

　　和标题搜索相比，正文检索的搜索目标更明确，而且适合于一次性搜索同一主题的不同分支内容

　　最简单的例子，我们想要找到GeForce 7800的3Dmark03以及3Dmark05测试成绩，就可以利用intext指令:

　　intext:"GeForce 7800"+3Dmark03+3Dmark05

　　搜索结果将直接把你带入GeForce 7800的3DMark测试结果页面

　　3.Inurl--直攻URL链接

　　inurl是In-系指令中最强大的一个，换句话说，这个高级指令能够直接从网站的URL入手挖掘信息，只要略微了解普通网站的URL格式，就可以极具针对性地找到你所需要的资源--甚至隐藏内容。

　　inurl的应用范围十分广泛，在此我们仅抛砖引玉

　　A.利用inurl搜图片--inurl:photo，搜索所有包含图片的关键词页面结果，如果说Google图象搜索侧重于展示图片，inurl搜索则让你在看到图片之前了解到页面大致的文字内容，更方便判断。

　　利用这一指令，你往往能够找到关键词的组图内容(指令中的photo也可以替代为picture、image等)

　　例:搜索“乔丹经典”图片

　　输入:乔丹经典 inurl:photo，首个搜索结果上便提供了所有值得收藏的乔丹瞬间

　　B.利用inurl搜音乐--inurl:mp3，直接获得包含mp3音乐内容的页面搜索结果，Google中搜索音乐的另一有效方式(MP3可以替换为wma/ogg等)

　　例:搜索T.A.T.U的经典歌曲“show me love”

　　输入:"show me love" inurl:mp3，直接找到这首歌的下载页面

　　C.利用inurl搜软件--inurl:download，直接查找某个软件的下载页面，亦十分方便

　　例:搜索firefox下载页面

　　输入:firefox inurl:download，Google直接送上Mozilla的官方下载页面

　　D:利用inurl当黑客--inurl/intitile/intext三个指令能够直接从网页结构来挖掘信息，很多被Google蜘蛛抓取的隐藏网页内容也无处遁形，从某种意义上，也为我们的“Google入侵”创造了条件。

　　有兴趣的话，你可以试试下面几个指令--纯属学术交流，不许乱用哦

　　intitle:"index of passwd"

　　inurl:service.pwd

　　site:xxxx.com intext:管理

2. Google搜索技巧(10):工具栏想怎么搜就怎么搜

摘要：Google工具栏是一个非常成熟的软件，它有很多的集成功能。我在这里介绍的主要是跟搜索相关的两个技巧。

很多人说不喜欢在电脑上安装工具栏，因为会占据浏览框的空间；还有的人说，对工具栏这样的IE插件，有一种审美疲劳。不过，在我电脑中安装的唯一一个IE插件，就是Google工具栏，这是一个伴随了我很长时间的软件。它让我激动。

　　Google工具栏是一个非常成熟的软件，它有很多的集成功能。我在这里介绍的主要是跟搜索相关的两个技巧。

　　自定义按钮

　　Google的看家本领永远是搜索，Google开始着手做软件时，人们才发现原来搜索技术的应用一直局限于人们的想象力。利用Google的工具栏，搜索者无需打开Google主页就可以在工具条内输入关键字进行搜索。在搜索上，最有用的是它的自定义按钮功能。Google的工具栏本身提供了几个自定义按钮，比如图片搜索，新闻搜索，手气不错等等。

　　比如，在工具条中输入暑期电影“超人归来 ”，

　　点击“手气不错”直接进入新浪建立的“超人归来专辑”

　　点击“论坛”，在各个论坛上，关于“超人归来”的各个话题都被罗列出来了。

　　通过Google工具栏，用户可以在这些Google基本网页搜索，图片搜索，论坛，新闻搜索，以及手气不错之间自由切换，无须另外打开新的页面。效率非常高。

　　按钮自定义的功能非常强大，几乎可以将所有的搜索网页都增加上去，甚至将百度搜索也整合在一起。通过这项功能，我们可以利用Google 工具栏定做自己的搜索大全。真是想怎么搜，就怎么搜！

对于其它非搜索网站也一样，如果你特别喜欢读“华尔街日报”，你现在可以在工具栏上建立“华尔街日报”的按钮，让你可以直接进入和搜索。目前按钮库里选择还是英文的，里面提供了教育、娱乐、体育等 11 种类别。中文用户可以把喜爱的中文网站提交给 Google，Google有专门的人负责把它收到正在建立的中文按钮库。

网络书签

　　我们很多人都有在办公室，家里，酒店，甚至网吧轮番上网的经验。IE收藏夹的东西都保持在本地硬盘上，无法转移。多数情况下，收藏一个好网址的办法，就是把它存在自己的邮箱里，在不同的计算机上打开。

　　网络书签是一个技术上很简单，实际应用却很广泛的网络服务，主要用于解决IE收藏夹无法在不同电脑之间同步更新的问题。

　　使用Google网络书签非常简单。只要再任何一台电脑下载Google工具条，并使用Google账户在工具条上登录（建议使用GMail帐号登录，点击工具条上邮件图标可快捷使用GMail），然后，在访问任何一个网页的时候，点击工具条上的蓝色星形符号，即可将此页加入Google网络书签中。更好的添加方法是点“书签”－“为此页添加书签”，然后会出现一个“添加书签”的对话框，我们可以手动将该网址的分类填写进去，分类可填写多个词，每个词之间使用逗号分割。

　　比如，我们想了解公司慈善方面的东西。在工具条中，输入搜索词“公司 慈善”，我们用“手气不错”来搜索，直接就进入了一个PDF网页，这是中国社科院长达12页的关于“公司慈善和培育中国公司的慈善文化”的一个研究文章。想留下来，好好读吗？打开“书签”，为此页添加书签，就可以了。

　　接下来，不管你在哪里的计算机，只要用自己的帐号登录，就可同步显示自己的网络书签，其显示方式和IE的收藏夹非常相似。不同的是，Google工具栏的书签功能可以把你访问过的网页，查询过的信息存入了Google服务器。

3. Google搜索技巧(9):Google帮你上大学

摘要：下面我们便以绝大多数经济专业都要接触到的《博弈论》(Game Theory)为例，为你展示Google所能提供的课程和学习资源

如果有人告诉我，他仅靠Google搜索数据便自己完成了MBA教程，我不会感到格外惊讶--在内容丰富的Google检索信息中，你可以找到几乎任何以文本、图象、录像、录音形式存在的学习资料，这些共享和“泄漏”的资源，足以媲美任何一个大学的图书馆。

　　想要在Google中“读书”，你需要满足如下条件:

　　1.一台功能完整的电脑

　　2.网络连接

　　3.了解“Google大学”的课程安排

　　下面我们便以绝大多数经济专业都要接触到的《博弈论》(Game Theory)为例，为你展示Google所能提供的课程和学习资源

　　首先，什么是博弈论?学习之前，你需要对博弈论有一个较为全面的概念性了解

　　Google.cn搜索“define:game theory”--来自包括WiKi百科以及Princeton的13条简明英文解释绝对比任何一本教科书的概念都要全面和完整。除此之外，Google还提供game theory有关的关键词列表，我们发现，其中的“glossary of game theory”(博弈论术语表)相关搜索词十分有用--进而找到WiKi百科的《Gossary of Game Theory》页面，提供有非常详尽权威的博弈论术语资料(国内需要代理查看)

　　锁定博弈论网站--对于博弈论这种学科来说，专业性研究网站数量惊人

　　在Google.cn中搜索"game theory"，首先展现在你面前的两个网站便指明了方向--Game Theory.net以及WiKi百科。

　　前者堪称目前最专业的英文博弈论学习教程网站，后者则能够为绝大多数博弈论条目概念进行解释

　　寻找课程提纲

　　Google.cn搜索--"game theory" Syllabus -ebay -amazon (syllabus意为课程提纲，-ebay等是缩小范围的口令，为排除网上商店对搜索结果的干扰)

　　幸运的是，首个搜索结果便为我们提供了美国加州大学2006年春季博弈论MBA教程的课程提纲DOC文档，内涵教程参考书以及学习进度安排等有参考价值的学习资料

　　你也可以通过直接搜索"game theory" Syllabus +doc获得包括普林斯顿大学在内的博弈论课程提纲文档

　　搜索推荐书籍

　　以我们此前搜到的加州大学博弈论课程提纲推荐书目为例，寻找1991年WW Norton出版的《Thinking Strategically 》，作者Dixit, A.& B. Nalebuff

　　这种书籍一般能够找到PDF格式下载，因此在Google中搜索 Thinking Strategically filetype:pdf

　　寻找学习社区

　　在学习中遇到难题不知如何解决?参加相关论坛社区便能解决。

　　Google搜索"game theory forum"

　　一点学习小娱乐

　　书本和文字太枯燥?没关系，网上还有大量博弈论为基础的策略游戏内容，轻松游戏中复习你刚刚学到的博弈论知识

　　在Google.cn中搜索"game theory" Online strategy games，你将找到大量有趣的博弈论游戏内容

　　虽然Google大学没有毕业文凭，但是也免了你大量学费和书本费，而且，最重要的一点--你在Google大学获得的绝对都是真才实学，投入多少，收益更多。

4. Google搜索技巧(8):英文歌曲攻略

摘要：为了遵守版权以及相关法律，Google本身并未提供专用的MP3搜索服务，不过，Google的蜘蛛抓取网页时可谓“不遗余力”，所有“在线音乐”的数据，其实早已被Google巨大的数据库所收录--只看你会不会Google了

虽然绝大多数中文音乐下载可以在国内的搜索引擎上完成，但是，鉴于国内搜索引擎搜索条目的局限性，遇到稍微冷门一点的英文歌曲便束手无策。此时，你唯有求助搜索引起巨无霸Google来帮忙。

　　为了遵守版权以及相关法律，Google本身并未提供专用的MP3搜索服务，不过，Google的蜘蛛抓取网页时可谓“不遗余力”，所有“在线音乐”的数据，其实早已被Google巨大的数据库所收录--只看你会不会Google了。

　　找一个最典型的例子:如果你想要找到Google中所有Beatles的MP3格式音乐下载，你只需在Google中输入:

　　“index of” + “mp3″ + “beatles” -html -htm -php

　　看看你获得了什么?

　　呵呵，Google给你的内容“并不常见”--包含Beatles关键词的所有音乐文件开放目录--来自FTP或其他网络空间的不受保护的音乐文件目录。

　　搜索指令解释:“index of”(目录) + “mp3″(音乐格式) + “beatles”(音乐人名) -html -htm -php(去除html/htm/php搜索结果--这些搜索词往往会带来干扰结果)

　　在上面的指令中，你可以将mp3换成WMA，AVI等格式，Beatles换成任意其他歌手或乐队名，获得类似的搜索结果。

　　如:“index of” + “wma″ + “savage garden” -html -htm -php

　　这个搜索指令语句在Google.com中还可以简略为“index of/mp3”-playlist -html -lyrics beatles获得的搜索结果虽然不同，但是亦十分有效

　　值得一提的是，在Google.com英文搜索引擎中，你如果直接输入"index of /mp3"，将会获得508000个开放音乐文件目录搜索结果，里面保存着来自全球各地的音乐文件目录，在悠闲的时候，随便打开一个目录，随便下几首歌听，也未尝不是一个“开拓新世界”的好方法。

　　笔者就利用这个方法发现好几个开放下载的俄罗斯MP3 FTP服务器，里面的MP3数量的确惊人

　　歌词搜索除了寻找MP3音乐，你还可以利用Google的类似指令找到大量歌词数据例如，输入搜索指令语句:

　　“index of″ -playlist -html beatles lyric

　　你将找到网络上最完整的Beatels歌词库

5. Google搜索技巧之(7):我爱电影

摘要：Google Suggest会自动将每个“字符”关键词下最热门的搜索结果现实出来，让你以最直观的方式找到互联网上最热门的电影，而且这些搜索出来的电影都可以直接从IMDb中获得详细介绍。

作为Google最人性化的搜索辅助功能之一，Google Suggest可以在你进行关键词输入的时候自动按照搜索结果、搜索热门程度提供“联想式关键词补充”-这一功能引申出不少非常有趣的使用方式。比如说，用Google Suggest搜索最热门搜索电影。

　　我是通过著名的IMDb(互联网电压数据库)与Google搜索引擎相结合的方式进行搜索--在Google.com搜索框中以“imdb”作为首个关键词，依次将a-x-1-9一共35个字符作为第二个关键词。

　　发现没有?Google Suggest会自动将每个“字符”关键词下最热门的搜索结果现实出来，让你以最直观的方式找到互联网上最热门的电影，而且这些搜索出来的电影都可以直接从IMDb中获得详细介绍。

　　例如:输入“imdb p”--获得搜索结果《Pulp Fiction》(低俗小说)

　　进入Google.cn，输入关键词imdb pulp fiction，你将直接看到最先排名的《低俗小说》影片介绍以及相关下载--在Google.cn中能够直接搜索到电骡的相关链接，这是英文版Google.com所不具有的。

　　除了电影之外，电影原声也是人们经常在Google上翻腾的东西。这里有什么秘笈吗?

　　进入Google.cn，输入关键词"mp3″ -playlist -html -lyrics pulp fiction　就是《低俗小说》的电影原声音轨。

　　搜索电影图片则简单得多。进入http://images.google.cn，输入“pulp fiction”即可获得一系列海报以及图片。当然，你也可以通过“-novel -comics -ebay pulp fiction”指令来剃除《低俗小说》小说、漫画以及eBay销售的无效搜索结果

　　同样道理，通过Google Suggest选找到“u”字头最热门电影《Underworld》，然后分别通过上边的搜索指令来完成这部电影的内容搜索，原声搜索以及海报搜索。

　　以下是我通过Google Suggest获得的所有“字符”热门电影列表，有兴趣的读者不妨自己按照之前的教程亲自试试。

　　* Aviator--《飞行者》 * Boogeyman--《恶灵空间》 * Constantine--《康斯坦丁》 * Donnie Darko--《死亡幻觉》 * Elektra--《艾丽卡》 * Finding Neverland--《寻找梦幻岛》 * Garden State--《情归新泽西》 * Hitch--《全民情敌》 * In Good Company--《优势合作》 * Jurassic Park--《朱罗纪公园》 * Kill Bill--《杀死比尔》 * Ladder 49--《烈火雄心》 * Million Dollar Baby--《百万美元宝贝》 * Napoleon Dynamite--《拿破仑》 * Office Space--《上班一条龙》 * Pulp Fiction--《低俗小说》 * Queen of the Damned--《吸血鬼女王》 * Ray--《雷》 * Sideways--《杯酒人生》 * Team America--《美国战队》 * Underworld--《黑夜传说》 * Vanity Fair--《名利场》 * War of the Worlds--《世界大战》 * X-Men--《X战警》 * You Got Served--《热力四射》 * Zoolander--《超级名模》 * 007 * 1984 * 24 * 3000 * 4400 * 50 First Dates--《初恋50次》 * 6th Day--《第六日》 * 7th Heaven--《七重天》 * 8 Mile--《8英里》 * 9 Songs--《9首歌》堪称英国主流电影史上最大胆直白的影片 * 10 Things I Hate About You--《对面恶女看过来》

6. Google搜索技巧(6):缩小搜索范围

摘要：似乎很多人都喜欢在Google最朴素的主页上来完成，不习惯去填写高级搜索中一系列的表格。这里讲的一些小技巧是针对如何“缩小搜索范围”的，在Google高级搜索页面上都可以通过填写表格来完成。

Google的搜索原则，其实非常简单，我们所说的很多技巧其实都可以通过高级搜索来完成。不过，似乎很多人都喜欢在Google最朴素的主页上来完成，不习惯去填写高级搜索中一系列的表格。这里讲的一些小技巧是针对如何“缩小搜索范围”的，在Google高级搜索页面上都可以通过填写表格来完成。

　　添加搜索词

　　要想缩小搜索范围，最简单的窍门就是添加搜索词，因为Google 只搜索包含全部查询内容的网页，添加词语后，查询结果的范围就会比原来的“过于宽泛”的查询小得多。不过，Google自动使用 “and”进行，只会返回那些符合全部查询条件的网页，不需要在关键词之间加上“and”或“+”。如果您想缩小搜索范围，只需输入更多的搜索词，并在这些搜索词之间留空格就行了。

　　英文双引号强加搜索

　　Google会忽略最常用的词和字符，这些词和字符称为忽略词。比如“的”，在Google的中文搜索中，经常会被自动忽略。这类字词不仅无助于缩小查询范围，而且会大大降低搜索速度。使用英文双引号可将这些忽略词强加于搜索项，例如:输入“柳堡的故事”时，加上英文双引号会使“的”强加于搜索项中，使搜索更加精确。

　　“-”减除无关资料

　　再就是减除无关资料。如果要避免搜索某个词语，可以在这个词前面加上一个减号(“-”， 英文字符)。但在减号之前必须留一空格。

　　Site命令限制网站

　　Site命令，我们在图像搜索时介绍过，那时是为了搜索某个不设置有搜索功能的网站的图片。当你想缩小范围时，这条命令，显得更加有用，它可以在指定网域内搜索。比如，我想在新浪网上搜索关于世界杯赛程的消息，只需要用Google搜索“site:sina.com.cn 世界杯赛程”即可得到结果。诸如Site这样的命令还有一些，在这些词后面加上冒号，对 Google 有特殊的含义。

　　限制类别

　　利用 Google 目录 也可以根据主题来缩小搜索范围，在某个类别的网页中搜索可以快速找到所需的网页。例如，在 Google 目录的 Science > Astronomy 类别中搜索“Saturn”，可以找到只与 Saturn(土星)有关的信息。而不会找到“Saturn”牌汽车、“Saturn”游戏系统，或“Saturn”的其它含义。这就是按类别搜索。

　　Google的命令触类旁通，除了以上这些外，你还可以试用限制文件类型的filetype。如果，打开Google的高级搜索页面，你也可以排除某个特定网站的网页 ;将搜索限制于某种指定的语言 ;或者给搜索结果以日期限制等等。

7. Google搜索技巧之(5):Filetype

摘要：Filetype是 Google 开发的一个非常强大而且实用的搜索语法。通过这个语法，Google 不仅能搜索一般的网页，还能对某些二进制文件进行检索。

你是一家公司的企划部负责人，上司会叫你写一个本企业的网络营销策划方案;去参加一个论坛，需要准备大量的PPT，要是做公关，则什么都可能被摊上。为了找的东西更快，更有用，我经常使用的就是“filetype”。

　　Filetype是 Google 开发的一个非常强大而且实用的搜索语法。通过这个语法，Google 不仅能搜索一般的网页，还能对某些二进制文件进行检索。目前Google支持的文件格式包括Doc, Excel,Pdf,Ps, PPT,RTF等等，应付日常的职场需要，绰绰有余了。

　　网上office文档资料最丰富，最常见的搜索也是Office文件搜索。举例说，如果我们想搜索包含“新品上市场的PR方案”关键词的Office 文件，在www.google.cn中输入

　　“新品上市PR方案　filetype:doc”

　　用时0.06秒，你可以得到约43项符合新品上市PR方案，它们都是DOC文件，你可以打开来一个一个仔细看。

　　很多情况下，网上流传的PR方案都是PPT文件，我们只要如法炮制，在搜索框中输入: “新品上市PR方案　filetype:doc OR filetype:ppt”，就可以得到95个方案。如此多的资料，足够参考的了。不过每个公司都有一致对外的格式和形象，所有的这些东西都只不过是借鉴一下。Google搜索到的每一项都是一个可下载的文件，点击之后，弹出文件下载对话框，选择打开或者保存。需要注意的是，下载的 Office 文件可能含有宏病毒，要谨慎操作。

　　接下来就是Pdf文件了，Pdf是Adobe公司开发的电子文档格式，现在已经成为互联网的电子化出版标准。目前Google检索的Pdf文档大约有2500万左右。Pdf文档通常是一些图文并茂的综合性文档，提供的资讯一般比较集中全面。

　　我们还是以公关来举例，如果你想了解处理危机的事宜，在www.google.cn中搜索:“危机公关方案 filetype:pdf”，用时0.88，会有5000项结果。这种查询是对PDF内文的检索，“危机公关方案”这个关键字是包含在PDF文档中的。

　　搜索PDF文档还可以用“inurl:”语法，把搜索结果将被限定于那些在URL中包含该字的文件中。比如上例，也可以用“inurl:pdf　危机公关方案”。搜索结果数量大致相同，不过查询结果顺序则略有很大差别。

　　有同事过生日的时候，你也会想着发一个生日的电子贺卡，使用SWF文件搜索就可以了。输入:birthday filetype:swf，你就可以得到网上流传的所有关于生日的flash了。使用“filetype:”语法，你可以搜索到能直接下载的Flash歌曲，MTV，而不必使用专门的搜索下载工具。

　　“filetype”的另一个强大用处是图片搜索，我们已经专门讲过，这里就不啰嗦了。

8. Google搜索技巧(4):Google快讯帮你观察竞争对手
    Google良好的搜索和易用性已经得到了广大网友的欢迎，但是除了我们经常使用的Google网站、图像和新闻搜索之外，它还有很多其他搜索功能和搜索技巧。如果我们也能充分利用，必将带来更大的便利。这里我介绍几个很有用的搜索技巧，在平时搜索中可以结合使用。

　　利用Google快讯，改进工作效率

　　做为一个公司员工，每天都要关注自己公司和竞争对手的最新消息，怎么才能在最短的时间内搜索到最多的信息呢?Google可以帮助你。

　　Google 快讯是Google的新闻定制自动发送，用户可以定制自己需要的内容，Google会在设定的时间内(即时、每天、每周)给用户发送Google最新搜索到的新闻文章，非常方便，我们就可以用这个功能来跟踪自己公司和竞争对手的最新消息。

　　例如我是一家做搜索的开发公司，我需要每天关注自己的竞争对手，因此我只要登录:http://www.google.com/alerts?hl=zh-CN，然后在“搜索字词”中输入“Google”，“频率”为每天，即可每天收到关于Google的最新消息，同样在“搜索字词”中输入“百度”，可以获得百度的最新消息。

　　除了这些，我还想介绍一下，我常用的其它搜索技巧。限定文件类型的技巧，很多人都在讲。我这里说的是，除了最常用的文档文件Word，Excel，PPT)，Flash文件外，Google地图文件，我们都可以使用“filetype”功能来实现。我想搜索关于中国的Google Earth卫星图片，那么就在Google中搜索“filetype:kmz china”即可。

　　此外，Google有一些写作小工具，为我们的日常工作学习提供了很多方便之处。

　　1、翻译工具

　　Google本身带有中英文翻译的功能，只需输入一个关键词(“翻译”或“fy”任选其一)和要查的中(英)文单词，Google会直接显示您要查的单词的英文(或中文)翻译。

　　比如我们想要翻译“香蕉”这个词为英文，那么只需要在Google中搜索“翻译 香蕉”或者“fy 香蕉”，返回的第一条记录就是翻译的结果。

　　2、学术词典工具

　　我们有时候想要知道一个具体词汇的定义，可以使用“翻译”或“define”，接着键入一个空格，然后键入您需要其定义的词。

　　比如，我们想要知道氨基酸是什么意思，只需要在Google中搜索“定义 氨基酸”，就可以找到氨基酸的定义。

　　因此，我们只要灵活掌握和运行Google的搜索技巧，那会给自己的工作和学习带来相当大的提升，使得自己的事业能够更上一层楼。

9. Google搜索技巧(3)：发掘Gmail的隐藏实力

摘要：当你的邮件数量比较可观或者你急于查找某封邮件时，你就会发现Gmail的这个搜索功能会大有用处

Gmail是我最喜爱的邮箱服务。它不但容量极大(超过2.7G)，还具备速度快、界面简洁及会话式邮件自动归档的特色。Gmail的出现彻底改变了世界对电子邮箱的原本定义，它也使收发邮件变成了一件轻松愉快的事情。Google也向世界证明了它不但可以开发出世界上最优秀的搜索引擎，它做的电子邮箱也是一流的，因为Google把自己的强大搜索引擎也加进了Gmail里。这次让我们一起来发掘Gmail的“隐藏”实力——强大的搜索功能。

　　虽然Gmail的界面上方就是一个很明显的搜索栏，但很多朋友平时却没有太多地注意它。这是因为一方面我们在Gmail之前已经形成了长期的使用电子邮箱的习惯，即习惯直接点击邮件标题进行阅读;另一方面Gmail会自动把邮件以会话的形式归档，这使得我们很多时候都不必要再单独地使用搜索功能来管理我们的邮件。不过当你的邮件数量比较可观或者你急于查找某封邮件时，你就会发现Gmail的这个搜索功能会大有用处。下面我举些例子来说明如何使用Gmail的搜索功能。

　　事例一:快速查找指定邮件收发人的邮件。比如你有一个经常联系的朋友名叫KenWong，你就可以在Gmail搜索栏里输入“from:KenWong”(不含双引号，下同)，这样就可以一次性列出所有由KenWong发过来的邮件，非常的方便;类似地，你也可以通过搜索“to:KenWong”来列出所有由你发送给KenWong的邮件。当然，你也可以同时指定两个名字，用这种格式即可:“from:姓名一 OR from:姓名二”或“to:姓名一 OR to:姓名二”。这个搜索命令可以看作是Google会话式自动归档功能的补充和扩展。

　　事例二:快速查找含指定关键词的邮件。比如你几天前曾经和你的同事讨论过关于公司最近招聘的问题，但一时又找不到那封邮件在哪里了。这个时候Gmail的搜索功能又可以派上用场了。你可以直接在搜索栏里输入“招聘”，这样就可以找到所有标题或邮件正文内容含有“招聘”关键词的邮件。当然，如果你记得那封邮件的标题的某些字词，比如“招聘”，你也可以使用“Subject:招聘”来找出所有标题里含有“招聘”的邮件，非常的方便，也节省了手工查找邮件的时间。

　　事例三:快速恢复误删除的邮件。如果你每天都要处理大量的邮件，有时候难免会误删一些邮件，而事后发现它很重要，想找回来。在Gmail里，被删除的邮件会被放到trash(已删除邮件)里。因此我们可以只查找trash里的邮件，以节省时间。在Gmail搜索栏里输入“in:trash from:KenWong”，这样就可以找出你之前删除的所有由KenWong发过来的邮件。类似地，你还可以把“in:trash”命令与事例一和事例二中的命令结合起来使用，比如“in:trash subject:招聘 from:KenWong”，就能找出所有被删除的由KenWong发过来的标题里含有“招聘”的邮件。另外，除了“trash”外，“in:”命令还支持这些值:anywhere、inbox、spam，用来查找不同类型的邮件。找到这些邮件后，只需选中它们，然后点击“Move to Inbox”(移到收件箱)，这样被误删掉的邮件又回来了。

　　事例四:找出所有含有附件的邮件。当你经常发送含有附件的邮件里，你会发现即使Gmail有2.7G容量，也会被填满的。这个时候你可以把自己发送过的含有附件的邮件删除掉，因为它们已经没必要存在了。Gamil的Sent Mail(已发送邮件)就是用来保存你曾经发送过的邮件的地方。我们可以使用“has:attachment from:me label:sent”来找出所有由你自己发送出去的并且含有附件的邮件，这样就可以把这些体积比较大的邮件删除掉，为Gmail腾出更多的空间。类似地，你还可以使用“filename:pdf”来找出所有附件里含有PDF文档的邮件。

　　上面列举的只是Gmail搜索功能的常见用法而已，你可以根据自己的需要，把上面这些命令组合起来使用，以充分体验Gmail的强大搜索功能。记住:聪明的搜索者能得到更好的搜索结果。

10. Google搜索技巧(2)：Google桌面搜索

摘要：当你不记得文件存放位置、也不记得文件名、只记得文章中提到了 “ 王二麻子 ” 、对电脑上笨拙的默认搜索你用了几遍就再也不报期望，你就只能仰天长叹不成了吗?

著名的市场研究公司 Forrester Research 的 CEO 乔治·克勒尼 (George Colony) 曾经说过一句话 :“优秀的产品会让你感觉像魔术一样 ” - 记得我用起 Google桌面搜索的那一瞬，就有同样的感受。

　　自己是个喜欢把电脑上的文件夹分门别类、组织得井井有条的人，因此我在每个层次都有几十个文件夹。总觉得只有这样做了，才能通过自己习惯了的信息组织结构，顺藤摸瓜层层打开文件夹，这样那些文件才永远不会 "丢 " -- 找不到的文件，就相当于是没有了呀! 这是搜索引擎时代的想法。

　　例如要找一次以前去过的旅游酒店的报价，我打开文件夹的顺序可能依次如下: -- 〉我的电脑

　　-- 〉D 盘

　　-- 〉个人 ( 其他同级八个文件夹都和工作有关，真是悲哀 :-( )

　　-- )FUN ( 同级文件夹还有健康、购房、朋友生日... )

　　-- )旅行 ( 同级文件夹还有饭馆、 DVD店电话 ... )

　　-- )价格 ( 同级文件夹还有照片、背景文章、路线攻略 ...)

　　-- )Bingo! 我的文件就安安静静躺在那最后一层啦!

　　这种组织过度的习惯可能不太健康，但这还不是因为文件多多，而以前又有过搜遍电脑也找不到某个文件的经历，才变得超级谨慎。现在想想，完全是在用人脑做电脑的信息组织工作，苦啊!

　　另外一个毛毛燥燥的同事就更惨 - 为了简单快捷，她的所有文件名都是文件 1、文件 2……要找东西时总是翻箱倒柜。我觉得这样的命名方式基本表明她不想再打开这些文件，因为为了打开一个她很可能要打开其他名称 " 疑似 "的五个。

　　所以，当你不记得文件存放位置、也不记得文件名、只记得文章中提到了 “ 王二麻子 ” 、对电脑上笨拙的默认搜索你用了几遍就再也不报期望，你就只能仰天长叹不成了吗?

　　后来是听了当时公司里 IT高手的介绍，第一次装上“ Google桌面搜索 ”工具。听着硬盘轻轻地吱吱作响，我很好奇结果会怎样。那是 “ 桌面搜索 ” 软件在迅速地把我电脑上的文件都捋一遍 -- 文档、 Outlook 邮件、甚至是某些即时通讯工具的聊天记录，都被这个轻巧的工具一一 “看在眼里、放在心上 ” 。

　　打开桌面搜索，界面与我们熟悉的 Google 首页没有多大两样。但当我小心翼翼地输入 “ 王二麻子 ”之后，世界开始变得别有洞天:我在几秒钟之内，找到了自己电脑上提及 “王二麻子 ” 的二十几封邮件，并且可以即刻看到邮件内容全文;还有三个 Excel文件是活动流程，原来 “王二麻子 ” 担任过几个活动的项目经理;还有 “王二麻子 ”同志自己撰写并署名的多个市场策划 Word 文档; MSN聊天记录两次 -- 跟一个 MM提过他，希望给 “ 王二麻子 ” 介绍对象，未遂，否则 MSN 的结果应该更多点吧?

　　克勒尼在去年五月在北京财富论坛的一次访谈中说 : “Google 的优势是个搜索引擎方面。我在用 Microsoft outlook 收取邮件，当我输入我的朋友的名字寻找新邮件时花费了 21 秒钟找到那位朋友的邮件。然后我用了google desktop search ，仅花费了 4 秒种就找到了邮件，比 microsoft 在自己的产品内搜索快了5 倍。 这就是他所感叹的" 像魔术一样 " 的感觉吧?

　　今天的 Google 桌面( http://desktop.google.cn/ )，已经从最初的搜索发展到充满了新概念的、更全面的 Web 2.0工具, 而自己亲身经历着Google每周N个新酷产品的发布速度，好像对桌面搜索这样的老功能已经习以为常。但”搜索自己的电脑”这个最基本而强大实用的功能，似乎周围不少搜索老手也还没有试过呢，值得推荐一下。

11. Google搜索技巧(1)：巧用Google图像搜索
    大部分人在Google上做图像搜索时，都是做最基本的搜索。我的同事经常是在一堆的图像中拔拉来，拔拉去，翻找最想要的东西，这样既费时间，又很破坏人的心情。Google可以检索390,000,000张图片。打开www.google.cn，点击搜索框上边的图片，输入“啤酒”，大约会得到“24,300项符合啤酒的查询结果”。怎么更好的运用图像搜索，实际上还有很多小技巧。

　　搜索前先思考，就会事半功倍!Google图像搜索目前支持的语法包括基本的搜索语法如“ ”、“-”、“OR”、“site”和 “filetype:”。这些都可以从图像搜索的“高级搜索”中，找到相关的对应选项。

　　其实，我们不需要多点击一次，进入图像的高级搜索，在图像搜索的主页上，照样可以实现。其中“filetype:”限定图片的格式，如JPG，GIF，PNG等。如果你想查找乔维怡，那个唱歌磁性十足，人长得成熟知性的重庆超女，而且只想要JPG格式的，只要输入“乔维怡 filetype:jpg”即可得到十几个搜索结果。输入的格式如果是GIF，则没有任何结果。

　　“site”是用来限定搜索的网站的。在很多个人网站或者博客上，并不具备图像搜索的功能，可只要加入“Site”口令，也即可找到这些图片。比如，网络上有一个非常有名的博客，叫“幻灭的麦克风”，他本人并没有在自己的网站上设置图像搜索这一项，但Google的图像搜索一样可以帮助你，翻出他贴过的所有照片来。方法就是，将网址限定在他的页面kenwong.cn，输入“site:kenwong.cn”，一共是240项，还包括他很多可爱的生活照。呵呵，你对谁感兴趣，不妨试试!

　　除了满足人的好奇心外，图像搜索更广泛地运用在职场上。对于很多报纸杂志的编辑，图片搜索是一个雪中送炭式的工具。比如要在某个版面上插一张专题图片，用google的图片搜索功能几秒钟就可以搞定。

　　这里有个小技巧，如果你要搜索的图片是分散在很多网页中的，用“图像搜索”效果比较好;如果是存在图片集合，比如Gallary或Photo中的，则直接用Google网页搜索比较好。

　　举例来说，互联网上本拉登的照片成千上万，但是，它们都是分散的，往往随机的分布于各种新闻报道中。要在Google的网页搜索中，寻找本.拉登的照片，显然是不合适的，因为很少有人专门为本.拉登建一个在线相册。在这个时候，Google的图片搜索就派上用场了，随便一搜，这个被美国人恨的牙根痒痒的阿拉伯人的各种新闻风貌，立刻尽收眼底。但是，周杰伦就不一样了，一定有公司或杰伦迷给他建相册。输入“周杰伦 Gallary”，“Jay周杰伦的相片集”立即乖乖地出来了。

　　Google图像搜索对公司白领一族，照样帮助多多，在做PPT时，经常要插入其它公司的Logo，除了千里迢迢地跑到别家网站去拷贝Logo外，最简单的方法，就是使用图像搜索。输入“Reuters”和“logo”的字样,你立即可以找到各种各样的路透社logo，有白底的，蓝底的，透明的，大图标的，小图标的，应有尽有，随你选用。

转自：

安全职业生涯进阶：92 个简单步骤 "破解" 安全行业

发布日期： 2006年07月12日

作者：Karl Levinson，CISSP，Looking Glass Systems

请参阅其他每月安全 MVP 文章专栏。

这么说您想要获得一份信息安全工作？或者您已经在从事信息安全工作 (infosec)，但想要进一步提高或转到其他信息安全领域？

下面是我所知道的有关在信息安全方面自我提高的常见问题的答案。我在自己的职业生涯的各个阶段运用这些信息成功地实现了学习和提高。我唯一的遗憾是没有人早点向我提示这些信息，否则的话我现在也许已经功成身退，正在某个小岛上悠哉游哉，而不用在这里写文章教您如何抢走我的饭碗！现在言归正传。

认证

您花费时间和金钱取得某些安全认证后，将来的回报是更高的薪水和更好的就业机会。但是，取得认证并不意味着万事大吉。有了认证可以帮助您获得求职面试的机会，但不能保证您获得工作。您还必须在面试中证明自己有实际知识和经验，而这些并不能通过认证来获得。

CISSP 认证

最有价值的安全认证之一仍然是国际信息系统安全认证联合会 (ISC)2 提供的 CISSP 认证。我建议大多数安全专业人员在取得其他类似证书之前，先考虑获取 CISSP 认证。CISSP 认证与其他认证不同，它只需要您通过一次考试。承担不起昂贵培训费用的人可以使用随处可以买到的各种廉价 CISSP 教材。您也可以询问现在的雇主是否可以为您承担费用。

为获得 CISSP 认证，必须有一位现任或前任经理愿意证明您在安全工作方面有四年专职工作经验。（如果您持有批准的认证（比如 Microsoft 认证系统管理员 (MCSA) 或 CompTIA Security+），则可以减去一年。如果您有信息安全方面的大学学位，也可以减去一年。）由于这一要求，CISSP 不会为您获得第一份安全方面的工作，但却可以帮助您获得第二份或第三份工作。(ISC)2 提供了一些不太知名的入门级认证，比如只需要具有一年经验的系统安全认证从业者 (SSCP)，和不需要经验的“(ISC)2 准成员”。这些认证不如 CISSP 那样出名，因此对您的职业生涯不会有同样大的帮助。我建议在可能的情况下直接获取 CISSP。

CISSP 考试费用为 499 到 599 美元，并且通常必须提前一个月甚至更长时间进行安排。您可能需要预测什么时候可以准备好参加考试，然后确保在该日期做好准备。换句话说，不要仓促应考，必须做好准备，然后安排在下一次考试日期参加考试。考试仅在相对较少的几个地点进行，通常是在大城市中。您可能需要旅行一段距离，甚至需要在外住宿，因为考试总是在上午 8:00 准时进行。

在考试过程中，您最多有 6 个小时的时间来解答 250 道多项选择题，其中有些题在措词上可能易于造成混淆。据说考试会根据正态分布曲线进行评分，因此及格分数会有所变化。及格与否的通知会在大约五周后邮寄给您。不会通知您准确的分数。

如果您通过阅读一本 400 页的教材来准备 250 道题的考试，您应阅读并理解每一页，否则就会有答错的风险。我建议您至少要阅读一本学习指南，同时还要阅读 CCCure.org 网站上提供的免费材料。然后应通过 CCCure.org 上提供的测验来测试您是否已做好考试准备。您还应查看免费的 (ISC)2 Candidate Information Bulletin（英文），其中包括考试中可能涉及的主题的列表。在看完这些材料后，如果您觉得对列表中的一项或多项准备不充分，您可以阅读有关这些主题的更多资料。

SANS GIAC 认证

SANS Institute 的 GIAC 系列安全认证也很有价值。SANS 提供的大多数认证和培训均面向有实际经验的计算机安全技术专业人员，这些人员已决定专门从事入侵检测和事件响应等工作。GIAC 提供的部分认证和培训面向审计人员或经理。

SANS 提供的认证培训可以使您增长见识，并可作为工作培训使您获益多多。同时其价格也非常昂贵，为 2,000 到 3,500 美元甚至更高（即使您选择 SANS 自学）。大多数考试都没有廉价的第三方教材，因此，SANS 即使不是唯一的 GIAC 培训来源，也是主要来源。

GIAC 认证分为“白银级”和“黄金级”。黄金级认证要求您在通过考试后撰写并提交一篇论文。如果您以捆绑形式同时购买 GIAC 培训和考试，您必须在完成培训后四个月之内安排进行考试。

如果资金紧张，您可以通过自学来获得 GIAC 认证：研读几本适合的书籍后，参加一次 50 美元的 GIAC 在线实践测试以增强您的信心，然后参加一项认证考试。即便如此，不参加培训的 GIAC 考试也会花费您 800 美元（即使考试未通过）。您可以考虑通过参加 100 美元的考试来获得一个级别较低的 GIAC“证书”。

您还可以从 SANS 技术学院获得理学硕士学位。要获得此学位，您必须通过八次 GIAC 认证考试，为获得“黄金级”认证提交数篇论文，完成分配给您的三个需要在现场住宿完成的“社区项目”，并在毕业时具有三年的工作经验。估计总学费为 29,000 美元左右，与从您所在地区其他学校获得信息安全硕士学位所需的费用相近。理学硕士学位最短可在两年内获得。SANS 有资格授予学位，但尚未经过鉴定。

其他认证

对于大多数技术安全领域而言，虽然 CISSP 和 GIAC 是两种最有价值的认证，但以下一些与安全有关的其他认证也可能有帮助。

某些供应商提供与其产品安全有关的认证，比如与安全有关的 Microsoft 认证专家 (MCP) 考试、安全专业 Microsoft 认证系统工程师 (MCSE) 和 Cisco 的 CCSP（Cisco 认证安全专家）认证。如果您想要或预期在以后使用、管理或设计这些产品，则这些认证对您会有价值。如果您不想或预期不会在以后使用 Cisco 设备，则获得 Cisco 认证对您价值不大。

有时可能需要处于某些职位的安全专业人员了解并支持来自多个供应商的产品。如果您就是这样的专业人员之一，您最好首先获得一个“不特定于供应商”的认证（比如 CISSP），而不要从任何单一供应商获得过多的认证。除非您已经对专门研究某一领域感兴趣，否则建议您对两种或两种以上的操作系统或设备达到半熟练的程度，而不要把时间仅仅用在对一种操作系统或设备获得很高程度的认证。

如果您在简历中列出四种或四种以上的认证，则有些雇主可能会怀疑您将所有时间都花费在了应付认证考试中，他们会怀疑您的真才实学。获得三个以上不同认证当然没什么问题，但建议在您的名下一次不要列出三个以上的认证。

请考虑从您的简历中去除与目标工作不相关的任何认证，或去除您认为自己最不擅长的领域的那些认证。还应考虑去除不太需要的认证。例如，如果您已获得 MCSE 认证，则建议您从简历中去除 MCP。如果您正在积极获取某一认证，则您应在简历中列出这一事实。

CompTIA 至少提供两种可能有价值的入门级认证（Linux+ 和 Security+），这两种认证特别适合于无法获得 (ISC)2 认证的情况。CompTIA A+ 认证与安全不相关，建议在申请与安全有关的职位时将其去除。

书籍

不管您是否对认证感兴趣，总有各种各样的方式可用来提高您的技能和经验。如果您囊中羞涩，无法参加昂贵的培训，自学也是一条出路。各种揭露黑客的书籍是一系列领域的极佳的入门教材。我也参与编写了以下书籍：《Incident Response and Computer Forensics, Second Edition》（英文）；《Writing Secure Code, Second Edition》（英文）和《TCP/IP Illustrated, Volume 1》（英文）。如果企业防火墙是您所要面对的问题，请阅读《Building Internet Firewalls, Second Edition》（英文）。关于网络入侵检测监控，请试试《Network Intrusion Detection, Third Edition》（英文）。(ISC)2 提供了一个最佳安全书籍列表，该列表也与 CISSP 学习相关。

对于资金紧张的人，其中许多书籍（包括 CISSP 学习指南）都可以在 Amazon 以低价购到八、九成新的二手货。您当地的图书馆可能会有一些相关的书籍，或者您可以在 NetLibrary 或从下节引用的网站上查找免费的电子书籍。

网站

Microsoft TechNet 安全中心网站具有 Microsoft 免费提供的大量安全培训和参考信息。该网站还为喜欢听而不喜欢读的人提供了免费的网络广播。例如，请务必请查看《Security Guidance》（英文）、《Learning Paths for Security》（英文）、《Threats and Countermeasures》（英文）、《Understanding Security》（英文）、《IT Pro Security Community》（英文）、《Small Business Security》（英文）和《Security MVP Article of the Month》（英文）。可以说琳琅满目，应有尽有。

美国国家标准技术研究所 (NIST) 出版的《Special Publications》（英文）类似于介绍各种主题的免费培训书籍，其最显著之处在于介绍了现实中的大型企业是如何实现安全性的。您还可以在 SANS Reading Room 中阅读有关安全的短文（由 GIAC 认证应试者编著)。美国国土安全部的 BuildSecurityIn 网站上有一些有关 Web 和编程安全的优秀文章，Open Web Application Security Project (OWASP) 网站也有。另请查看 CERT/CC 的 论文和演示文稿。我自己的 SecurityAdmin.Info FAQ 网站上除了提供本文未列出的其他有用文章、网站和工具链接的长长列表外，也提供了大量安全信息。

技术支持论坛

在网站上的 Internet 支持论坛和在 Usenet 新闻组中发布内容，是获得实际经验的相对简单的途径。尽管这项工作没有报酬，但它却可以展示您在安全方面的天份和奉献精神、您的职业道德和您的写作技能。这也是新手了解最常见的实际问题（及这些问题的解决方法）的绝佳途径。这些信息可帮助您在求职面试中聪明地回答问题。仅仅通过认证往往并不能确切地告诉您如何解决当今最常见的问题。

找到一个与您感兴趣的 IT 安全领域相关的技术支持论坛。首先不要张贴帖子。“潜伏”下来，阅读问题和建议。但要保持开放心态。对有关安全方面的“总是”和“从不”这样的露骨说法要抱怀疑态度。一段时间以后，您可能就会了解并记住您以前所不知道的答案。之后，您即可以开始权威性地解答越来越多的问题。

在论坛中出名后再深入一步。一遍又一遍地回答同一个问题对任何人都不是一件有乐趣的事。如果论坛设有“常见问题”网站，则您可以主动帮助维护该页面。如果没有“常见问题”，您可以自己编写一个并将其发布到 Usenet，或建立您自己的有关该主题的常见问题网站。（FAQ on my site 只是众多常见问题示例网站中的一个。）您还可以向您的网站中添加博客，然后添加有关当前事件、新热点主题等的评论和文章。不管最终结果如何，请务必在简历和求职面试中提及您的成果。

下面是几个流行的安全支持论坛：

•

Microsoft Newsgroups

•

SecurityFocus

•

Google Groups

•

Insecure.org

•

CastleCops Forums

•

Broadband Reports

•

Gibson Research Corporation (GRC)

•

Firewall-Wizards

•

Total Virus Defense Users Group

某些基于 Web 的论坛还可以通过电子邮件或 Usenet 新闻组进行访问。在通过后者进行访问的情况下，您会发现使用新闻阅读器软件（比如 Microsoft Outlook Express 或 Forte Free Agent）直接访问 news:// 服务器，要比使用网页来阅读发布内容更容易一些。

Microsoft MVP 奖

作为一种附加的鼓励机制，如果您经常性地向免费的 Microsoft 技术支持论坛发布可靠的建议，您可能有机会被提名获得 Microsoft MVP（最有价值专家）奖。这无疑会给您的简历增光添彩。Microsoft MVP 奖的其他好处包括教育机会、与 Microsoft 内部和外部的安全专业人员建立沟通的机会以及一些有趣的礼品。Microsoft MVP 还有机会撰写并发表文章供成千上万的人阅读（比如您正在阅读的这篇文章就是）。

MS MVP 奖用于奖励过去的成就，并以此来支持用户社区。Microsoft 通过这个项目来鼓励用户社区中的人坚持不懈地勤奋工作。不要担心，MVP 获奖之后并不需要在言行方面与以往不同。不会要求 MS MVP 成为推行 Microsoft 产品的布道者 — 即使成为布道者也不会有助于您获得 MVP 提名。（如果您不相信，请阅读下一节，我在其中包括了指向 Linux 启动 CD 的链接。）

在 Microsoft 新闻组中发布内容并不是唯一一种赢取 MS MVP 奖提名的方式。人们有时也会因为对其他非 Microsoft 社区（比如我在上文中提及的社区）做出了切实的贡献，或因为其自己的网站或软件，而获得 MS MVP 提名。除 Microsoft 外，其他供应商也可能设有类似的奖励项目。

软件工具

在许多技术安全领域，对 TCP/IP 和至少一种（两种更好）操作系统（比如 Microsoft Windows、Linux、BSD 或 Sun Microsystems 的 Solaris）有渊博的知识，可以使您获得极佳的优势。使用 Wireshark [Ethereal] 嗅探程序、Nessus 漏洞扫描程序、Snort 入侵检测系统 (IDS) 软件或者其他网络安全工具 75 强中的一种或多种工具，是一个良好的开端。使用其中的某些工具可能会违反您的雇主或 Internet 服务提供商的规定，并可能导致被解雇或断线，因此请小心从事，先得到同意。掌握至少一种编程或脚本编写语言（比如 C、C++、汇编语言、Perl、VBScript、JavaScript 和/或 HTML）会有帮助，但并非绝对必需。

如果您仅熟悉 Windows，则熟悉其他操作系统和 Windows 以外的安全工具的有效方法，是使用免费的 Linux 实时启动 CD。下载、刻录然后插入启动 CD，您的计算机很快就会运行 Linux 以及所有相关的实用程序，无需您安装任何内容或进行任何故障排除。Helix 和 Knoppix-STD 是流行的两种与安全相关的实时 CD，其他实时 CD 列于 Darknet 和 KNOPPIX 网站上。其中的某些光盘甚至专门适合于进行渗入测试或论证。其他 Linux 光盘可以使速度缓慢的老式备用计算机成为防火墙。如果您不具备快速访问 Internet 连接的能力，则可以通过邮购方式购买这些 CD。另外还有可放在启动软盘中的较小的 Linux 分发版本。

实时启动盘的优势在于，您可以随身携带这些光盘，并可以在几乎任何计算机上运行这些光盘，而基本上不会出现问题。但除非您受过专门训练并已认真完成过许多任务，否则您会发现仅仅使用一个启动 CD 很难超越“摸索练习”阶段。如果您每天都要支持或使用该软件，您可能需要了解更多信息。在家里通过 IDS 软件对入侵作出响应或监视网络通信量，与在工作中通过实时系统和数据执行此类操作完全不同。

专业化

您可能会考虑专门担任某一特定的安全职位。安全专业职位多种多样，您不可能成为所有职位的专家。

某些领域可能易于让新手进入。例如，IDS 监控是一个安全领域，它需要使用入门级的人员来提供 24 小时监控，以便将监控成本控制在可承受的范围内。专业从事 IDS 监控的信息安全领域新手可以籍此进入该领域（假定您所在地区有从事 IDS 监控的公司）。如果愿意从事一段时间的夜班工作，则将有助于您迈出走向成功的第一步，虽然在日班以外的时间进行学习和提高会更难。

专业从事计算机论证可能会有所帮助，因为对具有论证技能的人才似乎求大于供。不过，此类工作可能并不总是像在电视上看到的那样有趣。

您不太可能找到渗入测试或系统破解方面的实习职位。这些工作很难找到。您可能会找到一些涉及漏洞评估扫描的入门级认证与鉴定 (C&A) 工作，特别是当您住在从事此项工作的联邦政府或其他实体附近时。

求职

某些工作的招聘启事并不会随处张贴，而只在雇主的网站上发布。若要找到安全方面的工作，您可能必须找出并访问您所在地区从事安全工作的雇主的网站。它们往往是大型组织（比如商务公司及联邦和州政府实体），以及为这些大型组织从事安全工作的承包公司（比如我所供职的公司 Looking Glass Systems）。像联邦承包商 100 强名单中前 25 家这样的大型组织往往拥有更多的入门级安全职位，而且以后提高的机会也更多。另外，许多雇主还重视在大型环境中从事安全工作的经验。

您也许还想在有安全职位的公司中担任非安全方面的职位。许多雇主都不愿意冒险聘用他们不了解的人员和没有专职安全工作经验的人员。不过，在对您的工作进行一年的考察后，这些雇主可能会很愿意将您这位爱好安全工作的优秀员工从服务台或服务器团队调到安全工作岗位上。但要当心：如果您在一家新公司的求职面试中声称您想从事安全工作，您往往不会获得这份工作。

面试

为进入 IT 安全领域而需要了解的知识中，有许多都与 IT 或安全无关。求职面试考官不仅会评判您的知识和想法，还会评判您表达思想的方式，以确定您的个性是否适合他们的团队。

和生活中的许多其他事情一样，求职面试也是一种游戏。您必须知道如何玩好这个游戏，这意味着您需要学习和锻炼。可到您当地的图书馆中借阅一两本有关简历和求职面试的书籍。您每发出 100 份简历，不要指望答复您的公司会超过 4 家，最初的几次面试也要做好惨痛失败的准备。如果您担心这些事情，请发出更多的简历，并与有见识且可以给您提供反馈意见的人进行面试演练。

在面试中，夸夸其谈和沉默寡言都不足取。务必要诚实，但要知道什么事该说，什么事不该说。承认不知道答案胜于信口开河和胡编乱造。可以对您过去的经历稍加润色，但如果您凭空说谎，多数人都会识破您的谎言，而不能识破谎言的雇主往往不适合从事严肃的安全工作。如果您加入了这样的一个团队，您会发现团队中可能还会雇用其他不合格的人员，最终您将不得不代劳他们的份内工作，或者所学甚少，甚或在公司面临倒闭时遭到解雇。

把您要问的有关工作、团队和公司的问题列成一个清单。知道何时和如何提到钱的事，并避免先提出金额。在我面试的人当中，我很惊讶地发现似乎许多人都不知道这些原则。

感到困惑吗？好的。由于篇幅有限，我不可能对您需要了解的事宜面面俱到。我希望至少已经让您明白此处所讨论的问题确实存在，并让您产生了探寻更多细节的兴趣。

和大多数其他技能一样，信息安全工作并非只有少数高人才会的秘籍。如果您阅读安全方面的书籍、从事安全方面的工作并乐此不疲，您就会成为行家里手，并可以将此一技之长变为职业生涯。

顺便说一句，阅读本文仅为第 1 步，是否要了解其余的 91 步取决于您了！

转自：http://www.microsoft.com/china/technet/community/columns/secmvp/sv0706.mspx

转自：

[写在前面]
文章写出来之后，引起大家对于信息安全职业的悲观，这是我所不愿意看到的。从行业来说，随着大公司越来越看好安全这块蛋糕，独立的安全公司的生存的确受到一定的威胁。但是作为个人的职业来说，信息安全的前景还是不错的，因为信息安全的重要性一定会随着IT应用的日益增加而增加，所以IT人员需要掌握信息安全知识肯定是一个必然的趋势。只是从长远来说，我们从事信息安全的人员一定要拓宽自己的知识面，不要仅仅满足于了解防火墙、了解加密、了解安全管理，一定要能够用一个更加宽广的视野来思索自己的发展。而我文中对于职位的分析，也比较偏重于公司内部职位的分析，所以大家也不要被我的话限制了思路，其实在乙方的角度上，信息安全的方向分类要更加细致一些，选择余地也多很多。
至于文中我提到劝一些人不要做信息安全，那其实只是针对一些志向远大同时又潜力十足的人来说。毕竟，多少作IT的人中才能产生一个CIO，而多少人中才能产生一个CEO，从这个角度来说，我们做信息安全的人做到CISO的几率反而要大很多。虽然也许我们会觉得目前大多数组织没有CISO这个职位，但是我相信，随着信息安全重要性的日益增加，一定会有越来越多的CISO出现。
另外，我把要不要做信息安全放在第一篇，并不是我自己没有信心，只是我想我们在解决后续的问题之前必须要先明白自己到底要什么？其实我真正希望这一系列文章的重点在后面部分，而不是第一篇所引起的疑惑。当然，如果以前没有想清楚这个问题，趁着这个机会想清楚也不错，免得等你做到了CISO之后才后悔当初不应该做信息安全而导致自己没有机会做CIO、CEO。但是，有一点我想很重要，就是看完第一篇后不管我们决定是不是要做信息安全，这个问题在很长的一段时间内都不要再进入我们的脑海。如果我们每年思考要不要做信息安全这个问题的次数超过一次，那么不是我故作悲观，我们真的很难在这样一种状态下成功。
http://www.i170.com/user/leon321/Article_92688
*** 写了一个周末，终于把这筹划已久的系列文章写出了第一篇，想想还是从Blog上贴过来吧。***
职业发展之惑系列小序
弹指间，在IT的路上已经走过了不少个年头，在信息安全的路上也是越陷越深，回首看来，这样的职业发展之路好还是不好？真的很难回答。不过为了解答自己的疑惑，也为了给他人提供一个参考，试着做出一些分析，希望能够让自己明白一点。
问题一：我要不要做信息安全
要不要做取决于个人追求与外部环境的综合作用，个人追求因人而异，但是外部环境对大家来说却大致相同，在这里我就信息安全能够提供的舞台、信息安全发展的前景等一些外部因素略作分析。
[separator]
1. 信息安全在组织内部的舞台
我们先来看看信息安全在一个公司内部所承担的职责。
信息安全含义很大，就是要保护组织所有信息的安全，保护信息的措施就是我们信息安全从业者的主要工作内容。那么，企业内部的信息现在无非就是电子的和非电子的两种，对于非电子信息的保护方法基本上都是传统的方法，流程优化、人员管理和物理保护等，这些工作基本上都由传统的管理职能实现。物理保护是行政管理部门或者专门的物理安全部门的工作，人员管理教育由人力资源部门，people manager或者还包括法律部门来共同完成，流程则是由相应执行部门和人员来完成，这里面在Operation层面基本上没有信息安全部门什么事。那么还有电子信息的保护方法，基本上就是IT技术和传统方法的结合，虽然传统方法中加入了一些IT的技术，但是实际的操作肯定还是可以由这些传统的管理部门来实现。剩下的就是IT技术本身以及其管理，那么所谓的信息安全主要的工作肯定就要和这一部分联系起来。
那么在这些个IT技术及其管理中，信息安全到底可以做些什么呢？我们就从IT在企业内部的构成来进行分析，看看信息安全到底可以做些什么。一般来说企业内部的IT从功能上来说可以分为基础架构、协同办公以及业务应用程序等几部分，从生命周期上来说可以分为项目建设和日常运维两个阶段。
基础架构主要包括网络、客户端、服务器硬件甚至操作系统层面，在这个层面的信息安全的主要目的是保护一个完整、可用并不易被攻击的网络环境，传统意义上的网络安全也主要是针对这一层面来设计的，防火墙、防病毒、漏洞扫描、入侵检测、甚至是日志分析、SOC等等。这部分内容基本上就是IT Security Operation 团队所负责的主要内容。
协同办公、业务应用程序就千差万别了，各式各样的邮件系统、工作流软件，企业门户、web2.0的推广更是把信息的传播推上了一个全新的高度，制造、流通、公用事业的ERP系统各不相同，金融、电信中的业务系统自成体系，产品研发、制造的产品管理系统更有一套专门的系统，甚至更多的信息都是以office或者专用格式文件的形式存储在我们的客户端或者服务器上。这些信息基本上可以分为两大类，一类是有集中的信息存储地，通过专用的客户端或者是web登陆去访问、使用这些信息，应用系统有自己的帐号、权限管理体系。另一类就是以电子文档的形式存储在客户端或者服务器，文件的访问和控制依赖于操作系统的访问控制功能。那么我们可以看到，保护这些信息的措施最主要的还是依赖于各种各样的访问控制或者数据加密手段，如果我们把终端端口管理也归类于访问控制的话。访问控制和授权的日常管理的最佳人选肯定是业务部门的人员或者是应用系统的管理员，而不是所谓的信息安全人员。数据加密、端口管理以及访问控制中所需的身份管理、甚至是PKI等，我们基本上可以认为它也是为企业的IT应用提供一种公共的服务，而按照惯例，公共服务基本上我们可以把它归于基础设施，这部分IT技术管理也可以是IT security operation 团队来负责或者直接由业务应用系统管理的团队来负责。
在这中间还有一个安全的领域越来越重要，那就是业务应用系统中反映出的业务逻辑、授权等的安全。但是这个部分不是我们这些所谓的信息安全人士的强项，要在这方面有所作为，必须要对业务逻辑等非常熟悉，而这些人就是咨询公司的业务、功能顾问或者是最早被称为系统分析员的那些人。
到目前为止，我们看到的工作基本上都是由传统管理功能和一个主要由网络安全技术人员组成的IT security operation团队来完成的，我们所谓的信息安全管理方面的人士还没有抛头露面呢。不要担心，他们也不是完全没有事情可做，刚才我们讲的很多其实都是Operation层面的工作，那么非Operation层面呢？当然还是有不少工作可做的，这些管理流程的制定，流程风险的评估、日常监督和审核等等，为了体现独立性，这些工作最好是由独立的团队来完成，这个团队就可以由所谓的信息安全管理人员来完成。其实，这个团队的主要工作可以被认为是组织的IT风险管理，而由于其不用承担日常Operation的工作，所以规模也不会很大。
当然，不能忘了BCP和DRP，BCP其实更是一个组织内部所有部门都需要参与的一个总体工作，而DRP其实最主要的工作还是在IT内部完成。
总结下来，目前的情况来说，组织内部需要的信息安全专业人员包括两大类，一类是网络安全的技术专家组成，负责网络安全基础设施的建设和运维，他们承担了大多数信息安全相关的operation工作，有的公司可能把这部分职责直接包括在IT的运维团队中，有的可能是包括在新成立的信息安全团队中，还有的可能是专门的一个IT Security Operation 的部门。另外一类就是主要负责信息安全相关策略、流程的制定和优化，同时对策略、流程的执行情况进行审计和监督。这可能是一个独立的信息安全部，汇报给CIO或者是CEO，也可能是IT部门中的一个团队，不过从理想的角度来看，这应该是一个独立于IT的团队。
所以信息安全在公司内部的发展无外乎就是这两个方向，Security Operation的目标是提供安全的网络基础设施和环境，信息安全管理部门的目标是管理组织的IT风险。什么是基础设施，办公设备、电力供应都是基础设施，信息安全虽然包含很多高新技术，但也不过是高技术的基础设施而已。风险管理对公司来说很重要，但是只有在保证公司的主营业务能够顺畅运行的情况下，风险管理才对公司来说有意义。
所以，信息安全在公司内部的功能肯定是比较局限，只能是一个相对较小的团队和舞台。最高的职位也就是公司的CISO或者IT security 团队的总监，带领最多几十人的团队（这其实已经挺奢侈了）。如果你想成为公司的CIO，带领数百上千人的团队，主导公司内部IT，成为老板甚至是董事会眼中的热门人物，那么还是不要选择信息安全，如果你的终极目标是公司的CEO，那么也请尽早的离开信息安全，去做公司的主营业务。
但是，有多大的舞台并不意味着你就一定有多大的成就，舞台只是提供了你一种可能。
2. 信息安全在乙方
信息安全在组织内部有多大的发挥空间也就意味着在乙方你多大的想象空间，相对来说，乙方的任务更多的集中于IT设施的建设阶段，我们就来看一下在这中间信息安全供应商的发挥空间有多少。从IT Security来说，几乎所有传统网络安全的项目现在已经变成网络构建所必需的一部分组件，防火墙、VPN、防病毒、IDS等等，而掌握这些技术，已经几乎成为系统集成工程师的必修课。终端管理、防垃圾邮件、防DDOS等等也许迟早有一天会变成相应系统工程师的技能。还有一些相对专门的领域，日志分析/SOC，数据加密软件、PKI等等，也许会有一段时间留给这些专门从事信息安全系统集成的工程师和公司。我们也许还能想起来，有一大块是针对应用系统的安全，包括访问控制、身份管理以及相应的审计等等。可是这部分工作我实在不看好我们传统的网络安全厂商能够在其中做些什么，先说目前稍有升温的IDM产品来说，基本上推出产品的公司都是以作企业应用见长的公司，Oracle, Novel, IBM, SUN等等。也很容易理解，企业身份管理现在大家最关注的是企业员工在日益增多的企业应用，像ERP、Web Portal中的认证和授权管理，而和业务关联如此紧密地内容绝非传统安全厂商所长。而具体实施这些产品的工程师，也肯定需要对企业的业务比较熟悉，而这，又恰恰是信息安全专家的软肋。与此类似，我也蛮看好的企业应用审计和欺骗检查(Fraud Dectection)也应该有类似的发展趋势。当然，随着web 应用大行其道，web安全自然也会成为大家关注的焦点，但是从术业有专攻的角度来说，我更加倾向于从事Web程序开发的人员能够在这方面做得更好。
前面这是技术的部分，基本上应对于组织内部IT security 部分的工作，接下来针对信息安全风险管理、BCP等等部分，这些基本上都是一些纯粹咨询或者是像27001那样一些应景的工作。这种工作只有在客户本身已经比较成熟，已经有这样的一些思想的时候才能够顺利的推动下去。
所以比起在甲方，乙方的工作更加不容易，系统集成工程师和业务/功能顾问、应用开发工程师从两头夹击，信息安全技术的专业领域越来越窄，或者是偏移到一些新的领域。而信息安全管理咨询或是IT风险管理咨询面临的又是一片不成熟的市场，客户本身的成熟度还不能够去接受这样一些概念。
3. 信息安全的前景
从总体来看，信息安全的前景应该还是不错，但是到底这个前景以什么样的形式出现，真的还很难预测。为什么这么说呢？
首先看总体前景不错的说法，近些年来，IT应用已经越来越渗透到组织运转的各个方面，从邮件、Web到ERP到BI，从员工到客户到供应商。而眼下，Web 2.0，SOA等新技术也正以雨后春笋之势在各个公司内部蔓延开来。IT技术应用越广泛，信息的传播渠道也就越多，信息保护的难度也就越大。所以信息安全也肯定会越来越被受到重视。
但是深入想一下，我们就会发现这也许是一个美丽的肥皂泡。因为，虽然总体前景不错，但是对于我们个人而言，在里面的机会其实也许并没有多少。如前面所说，系统集成工程师和业务/功能顾问、应用开发工程师从两头夹击，必须要由信息安全专业来做的事情越来越少。也许，信息安全会美好的前景就在于，它越来越成为IT专业人员必备的技术而不是成就一些专门的信息安全人员。所以我们的信息安全专业也许可以让我们在IT的其他方面更具有竞争力而不是让我们成为一个专门的信息安全专家。
做出了这样一个分析，我们是会依然全身心的投入信息安全这个专业，还是毅然决然的放弃，或者犹豫着不知道该做出怎样的选择。其实，怎样的选择都没有关系，关键是做出选择的时候至少要知道两点。第一，你要的是什么？这个问题只有你自己能够回答。第二，还是那句话，舞台只是提供给你一种可能，但并不是舞台越大你的成就越高，能够有多高的成就很大程度上还取决于你的努力。
***今天趁着中午休息，又把第二篇搞定，合并在一起 ***
http://www.i170.com/user/leon321/Article_92803
问题二：怎样的心态才有助于职业发展
当我们经过了仔细的分析，已经确定要做信息安全的时候，这时候摆在我们面前问题是，信息安全内部也有很多分支，职业发展的道路也有很多条。面临如此纷繁复杂的可能性，我们是不是也会感觉的有些手足无措，其实越是年轻，这种感觉也就会越强烈，因为你还是有无限的可能。但是，事情的发展并不是总是能够朝着我们所希望的方向发展下去，在这中间你会经历挫折、面临困难和诱惑以及还有自我挣扎的彷徨时刻。这时候，一颗积极向上的心，一个踏实成熟的态度等等性格方面的因素肯定是对我们职业发展的道路起到一个良好的促进作用。所以，在分析职业发展道路之前，我们可以先看一下自己应该培养怎样的心态。
[separator]
走出校门，我们遇到的第一个挫折就是可能找不到你最理想的工作机会，这种情况十之七八。这个时候怎么办？我要一直等到我想要的工作出现还是先从手中的机会挑一个，边做边寻找机会。我想大多数人的建议是先工作在寻找机会，这是有道理的。很多时候你都不能找到你的最优选择，找工作这样，找老婆也类似，买房子也差不多。。。人生大致都是如此。至于怎么挑选机会，这个取决于很多因素，整个行业情况，公司的情况，个人的兴趣和喜好等等。很多人在这个时候会举棋不定，思前想后，犹豫不决。虽然说选择就意味着失去，失去其他的可能，但是这就是游戏规则，以后的日子里我们还会面临很多这样的时刻，而当机立断应该也是成功人士的一个必备条件。
在忐忑不安中，我们选择了人生的第一个机会，这可能是自己喜欢的，更大的可能是自己不怎么喜欢的甚至是不喜欢的。这就是我们面临的第二个考验，如何在这种困难的局面下前进。怨天尤人可能是大多数人的第一反应，但是这不是成熟的人应该有的。在这种情况下有的人可能会把手上的工作应付了事，而把大多数的精力投入到自己喜欢的事情上去，慢慢的积蓄力量和寻找合适的机会。有的人可能会努力的着手把现在的工作做好，在工作中积极的学习知识和汲取经验，并从中发现自己的兴趣。两种做法各有道理，也许各自适应不同的情况。但是无论怎样，在困难面前我们都不应该消极，而是努力以对，寻找自己的兴趣和机会。
积极学习，努力工作，慢慢的，我们自我感觉在自己的领域内小有成就或者小有名气，或者主动或者被动，我们得到了一些新的工作机会。面临成长中的诱惑该如何以对，这是我们面临的又一个考验。这时的我们已经不是刚出校门的青涩模样，隐约中踌躇满志，隐约中雄心万丈。眼前的机会如何选择，如何去把握，是走是留，要不要转换领域。这个是非常考验智慧的事情，个人的建议是这时候的选择要着眼长远，不要太在乎眼前的利益，能够有个平台让你向着你希望的方向进发，这是这个时候最重要的。做决定时眼光放远一点，做事情时眼光放低一点。决定一旦作出，就不要总是后悔，总是再评估，因为个人感觉跳槽次数越多，越不利于形成一个良好、积极的做事情的心态。当然，后面的老板也不大会喜欢一个Job-hoper。
随着知识、经验、能力的增长，我们也许已经在职位上有了提升，也许已经成为领域内资深的专家。但是，我们也许慢慢的发现自己前进的脚步已经不像几年前那样，技术知识的增加速度已经明显放缓，解决问题的经验也只是在原地踏步中增加次数，管理别人也不像自己冲锋陷阵那么简单…这些可能都在折磨着你那颗曾经好胜的心。度过了快速上升期，当你的职业发展进入一个相对平稳的阶段，传说中的玻璃天花板过早的来到了你的头上的时候，你可能就会在思索着，在彷徨着，也许还在小心翼翼的寻找着新的突破口。这时候，也许是我们在职业生涯发展的过程中必须迈过的一道门槛，怎么样积累能量，怎么样实现新的跨越。这时候，积极务实的态度也许又能够帮助我们度过这个难关，在积极的工作中积累经验，在经验积累中找到新的突破。毕竟，不是每天都是激情四射的创业时刻。
在这个过程中，积极向上的心态是摆在第一位的。每个事物，从不同的侧面会得出不同的结论，如果我们能够总是从积极的一面去看待我们面临的机遇、困难和挑战，我们也许就会得到积极的论断。眼光放长远，脚步放踏实。做出一些重大的决定时一定要放眼未来，不能只盯着眼前的蝇头小利。而决定一旦作出，具体做事情时又要保持踏实、务实的态度，不要再总是患得患失。比如我第一篇里面提到的要不要做信息安全这件事，基本上来说，想这件事的频率不要超过两年一次，越少越好。一旦你评估了之后决定要做信息安全，那就把这个问题放在一边，不要每天吃过了饭都来想一遍。
从个人的经验来说，还有一件事非常重要，虽然我目前还不能做到。那就是要保持一颗平和的心态，不要得陇望蜀。因为除了物质层次的追求，我们还有精神的层面。我愿意相信当物质生活达到一定的程度之后，快乐或者幸福指数很大程度上取决于精神生活。所以，在追求工作的时候不要忘记了享受生活。
其实，我非常愿意相信只要我们努力，我们就可以拥有更好的工作，更重要的是可以创造更好的生活。
***趁热打铁，下班后把第三部分也写了***
http://www.i170.com/user/leon321/Article_92826
问题三：我该选择怎样的职业发展道路
明白了自己应该具有怎样的心态，我们还是希望让自己能够在选择自己的职业发展道路的时候更加明白不同的工作是怎样一回事，各个不同的工作之间有什么不同。那么就让我们逐一来分析信息安全这个类别中可能的职位，当然，还是那句话，由于我个人经验、知识、能力等等因素的限制，分析肯定带有强烈的个人经验色彩，仅供参考。
1． 各类职位略解
信息安全的职位总体来说可以分为依靠具体的安全技术、产品来实施安全建设和运维的安全技术类工作和依靠策略、制度、流程来进行安全管理、监督和审计的安全/风险管理/审计类工作，我们在后面的讨论中就把其简称为安全技术工作和安全管理工作。真正的工作中这些东西可能互有交叉，各个组织内部由于部门设置、组织文化的不同而有所差别，我们只是讨论一些比较理想的状况。
[separator]
安全技术类工作由于和IT技术关系密切，我们可以先从整个IT看起。前面说过，整个IT从功能上来说主要包括基础架构、协同办公以及业务应用程序等几部分，从生命周期上来说可以分为项目建设和日常运维两个阶段。纵横切割之后，基本可以分为基础架构建设，基础架构运维，应用程序开发和建设，应用程序维护（可能有的公司会有专门的IT流程管理和IT审计部门，这个我们暂时不讨论）。我们来看看这中间有多少和安全相关的职位，传统网络安全的防火墙、VPN、IDS等设备基本上都可以放在基础架构建设和运维中，基础架构运维中负责主机部分的工程师一般要负责主机操作系统层面的安全，基础架构或者协同办公运维的工程师还要负责员工账号的管理，基础架构运维中的helpdesk分支基本上还要负责客户端防病毒等安全性的管理。应用程序开发和建设的工程师要保证开发出来应用程序的安全性，应用程序运维的工程师要管理应用程序中的员工账号和权限。在甲方来说，这些工作基本上都不属于专门的信息安全工作人员，而是IT工程师在安全方面应该承担的一部分安全的职责。
所以，在甲方工作的IT基础架构工程师如果能够掌握更多的网络安全的知识，那么就会在自己的领域内具有更好的竞争力，而如果我们只是单纯的了解一些网络安全的知识，而对整个系统没有全面地了解，就很难在甲方的基础架构部门立足。在乙方来说，相应安全产品的工程师其实和其他IT产品的工程师一样，负责支持自己熟悉的产品和技术领域。所以我们即便只是在某个特定的领域或者产品方面有自己的特长，我们也照样可以在安全产品的供应商中谋得一席之地。但是，如果我们的乙方是给客户提供综合的信息安全技术解决方案和服务，那么我们就需要在网络、主机、数据库、应用等各个领域以及相关的安全领域内都有所涉猎。
那么是不是我们在甲方的信息安全人员就没有位置了呢？也不是。从运维角度来说，随着SOC概念的兴起，有的组织已经把防火墙、IDS、SOC等等集中到一个团队来进行集中管理和响应，这个团队主要是负责安全设备的集中管理和安全事件的集中响应，同时有的还负责相应安全事件的后续调查。当然，对于这些人员的综合能力要求也会相对比较高一些，既要对IT的各个领域都有所涉猎，又要对于安全设备比较熟悉，同时还要有网络攻防这方面的知识。
从系统开发和建设的角度来说，有的组织会有专门的团队来进行应用程序上线前的安全性测试等等。这部分工作就需要技术人员对应用程序开发语言比较熟悉，能够熟练的运用各种渗透测试技术。这些工作和黑客工作有同工异曲之妙J 对于数据加密、终端管理等等这样的项目在甲方来说如果没有信息安全部的话，一般也会由负责基础架构项目建设的团队来完成。
其实在一些信息安全作的比较好的公司，技术方面可能还会有信息安全架构师的职位，主要是设计公司的总体信息安全技术架构，参与评估各种IT新项目中系统架构设计的安全性等等。
到这儿安全技术类的工作基本上可以告一段落，那么安全管理类的工作有哪些呢？一方面需要有人制定信息安全方面的策略，一方面需要人有管理这些策略的日常执行，一方面需要有人审计这些策略是否执行到位。这些工作可以定义为风险管理，也可以定义为信息安全管理，也有人定义为信息安全审计。但是不管是做什么，我们有一点很清楚，我们做的这些事十有八九还是和IT相关，做这些事的人十之八九还是需要有比较强的IT基础和信息安全技术基础。当然，在这之上，这些人还需要具有一些流程、管理等方面的知识和经验。
当然，具体到每个公司，可能有的会把安全管理类工作和安全技术类工作放在同一个部门，有的信息安全部可能只是负责安全管理类工作和安全技术类中项目建设的部分，具体的运维还是由各相应的IT运维部门负责。但是，作为从业人员，我们的专业技能基本上也就是这样几个方面。在工作中，我们可能根据自己的工作经历、兴趣、机会等各种因素有选择的发展。
2． 道路选择中的几个矛盾
a. 安全技术VS安全管理
在工作的时候，我们可能会面临一些疑惑，到底是从安全技术方面做起还是从安全管理、审计、流程制度等方面做起？其实我觉得都没有关系，如果想能够在这条道路上走的更远，两方面的知识和经验都会对你有所帮助。问题的关键在于，在工作的过程中，一方面积累自己的专业知识，另一方面要积累对于业务需求的理解。为什么这么说？回到问题的本质，我们做信息安全的目的是为了保护组织的信息，同时信息对于组织有价值是因为它能够促进组织的业务。所以我们一定要理解组织的业务模式，理解信息对于组织的作用和价值，理解信息安全在中间的作用和工作机理。因为这对于我们和其他业务部门打交道，对于我们和老板打交道，更是对我们的职业生涯的发展有非常重要的意义。
b. 甲方VS乙方
我们经常会困惑于甲方还是乙方的选择，其实很简单。甲方的主要工作是日常运维（甲方专门的项目建设部门除外），乙方的主要工作是负责IT项目建设（Managed Service除外），我们在这两个阶段需要的能力和获得的能力都不太一样。日常运维来说，需要的能力比较全面，因为一，多数情况下我们要负责维护多个不同的系统，二，我们要解决日常碰到的可能各种各样的问题。这样，通过不断的解决问题你就会对所负责领域的知识有更加深入地了解，同时由于运维工作很多时候比较贴近用户所以能够获得对于组织业务和流程的更好的理解。
项目建设来说，又分为多种不同的角色，售前和售后是两个基本的分类，售后工程师的基本要求相对低，只要能够对你负责的领域内的产品比较熟悉，基本上就可以胜任。在工作的过程中可以不断积累对于该领域和产品的知识和经验。售后实施中如果是大项目的话，项目经理的角色就非常重要，综合要求比较高，但是实施过程中获得的经验也往往非常宝贵。说一句题外话，像终端管理、文件加密等等和用户关系密切的项目，一般都需要比较好的项目管理，不然，项目的客户满意度就很难保证。售前要求的综合素质比较高，但是我们除了可以提高自己的沟通能力、presentation能力之外很难在专业方面有所收获，那些厂商工程师的经验积累多半是在售后支持的时候获得的。
明白了各个不同的职位需要什么样的能力，自己能够获得什么样的收获，我相信每个人都可以得出自己的判断。
http://www.i170.com/user/leon321/Article_92975
职业发展之惑系列之四 -- 我的一点经验和体会
昨天和高中同学聊天，回顾自己从上大学开始所走过的路，发现自己一路跌跌撞撞的走来，也收获了一些经验与体会，对与不对暂且抛开不管，写在这儿算是对这一系列文章做一个结论
1． 沟通之重要
把这个放在第一位来讲，是觉得这个真的很重要，同时也觉得自己在这方面的也做得远不够好。记得刚刚开始做技术工程师的时候，觉得自己很拽，根本不愿意或者甚至是不屑于和其他部门的人打交道，觉得只要自己能把问题搞定，就算你是公司老总我也不买你的帐。工作了很多年之后才明白，IT部门是一个服务部门，客户满意度是服务部门非常重要的一个衡量指标。而客户满意度不仅仅取决于你的最终结果，能不能帮助客户解决问题，还在于你的过程，过程中是否很好的与客户沟通并让其及时了解进展。
[separator]
那个时候另外的一件事也让我记忆深刻，有一次客户的一个应用出了问题，我发现其实并不是我们的问题，而是其他一些方面的原因造成的。于是我就洋洋洒洒并且图文并茂的写了一封邮件解释了一通技术细节，然后说这个不是我们的问题，我们无能为力。客户那边没有反应，我觉得很开心，以为事情就此结束。没想到第二天销售就发飚了，回了一封邮件给我，同时抄送我老板还有我们事业部的老大，说，如何解决,客户不一定会理解,问题没有解决,客户始终还是要投诉.客户需要最终解决。大老板接着也表态，说不仅仅是这件事，今后我们在处理其他客户问题的时候也一定要明白，客户需要的是解决问题，需要的是解决方案，而不是解释。虽然当时似懂非懂，但是这个概念还是烙在了心里。当后来每每遇到类似问题的时候，觉得这样的思路还是非常有帮助。
也许有人会说，不是每个问题都有解决方案，但是我遇到的情况是，即便同样解决不了问题，但有的人还是能够让客户满意，而有的人让客户牢骚满怀。这个就是具体沟通技巧的问题了，因为客户在投诉或者是请求支持的时候，不可避免的会带有一些感情因素在里面，如果我们能够理解客户的这种情感，能够和客户在感情上贴近一些，那么也许我们能够得到更好的沟通效果。这个从理论上也可以说明，有一种理论认为，沟通传递的信息可以分为几大类，一是事实，一是意见，还有就是感受。我自己的经验是只有我们在专门关于感受的沟通中才会想到对方的感受，而事实上我们在工作中经常进行的是前两项的沟通，事实和意见，但我觉得往往在这两者的背后，都会有个人的感受在里面，只是它躲在语言背后，我们不加注意感觉不到而已。
除了感情的因素，在沟通中我们还要注意理解对方的立场，这在售前的时候比较容易体现。我记得在做安全技术集成的时候，向客户介绍产品时往往都会突出自己卖的产品有哪些优势哪些优势。当我们唾沫横飞，讲得正酣的时候客户突然提了一个问题，而这个恰恰是我们的产品所不能满足的或者恰恰是你们的弱项。这时候常见的两种反应是，逃避这个问题，视而不见听而不闻，一种就是据理力争，力图说服客户这个功能根本不重要，因为我们知道这个正好是某个竞争对手的强项而对方多半是被他们洗脑过。其实是不是这样并不重要，最关键的是要能够试图去理解对方为什么会有这个问题，而不是本能的反击。我觉得有句话说得挺好，客户的需求永远是有道理的，或者说有原因的。
前面所说的都是在说怎么样试图理解别人，沟通是双向的，我们还需要让别人明白我们的想法和观点，这个就是表达的技巧。方法可能有很多，每个人都有自己习惯的方式，我自己的感受是金字塔式的表达。《金字塔原理》这本书中所阐述的表达逻辑对于技术工程师来说应该是挺有启发意义的，至少我很喜欢这本书，也从这本书中受益良多。
有倾听，有表达，沟通中也少不了争论。解决争论有的时候是需要智慧的，我自己的经验是钻得进去，跳得出来。钻得进去是能够有开放的心态，试图用理解的心态找到对方想表达的观点，明白对方的立场，明白这个表达所处的限定条件。原则上来讲，任何论断都有一定的限定条件，而任何论断在一定的限定条件下都有可能是正确的。跳得出来，就是要能够站在整体的角度去看待这个论断，能够看到所争论的问题所处的整体环境，如果我们能够看到整体，也许就能看到自己和对方只是站在大象的两侧。
经过了很多的摸索之后发现，其实我们从小就在两个错误观念的引导下为自己建立了一个错误的方法论。一个认为这个世界非对即错，另一个就是所谓的辩证两分法。在这两种观点的引导下，我们往往简单的把这个世界用一条线划分为黑白两半，或者用两分法来标榜自己的客观。其实真正的世界是七彩斑斓，不是简单的一分、两分能够解决的。开放的心态也许对我们能够有所帮助。当然，我不是提倡没有对错，大是大非面前还是不能半点含糊，但是我们在工作生活中遇到的问题有多少是大是大非的问题呢？
当我们逐渐远离具体的技术，走上管理岗位的时候，才发现沟通几乎就是工作的全部，这么说有点夸张，但我的经验是良好的沟通绝对是管理岗位所必需的。这个话题写的太长了，其实说一千，道一万，最重要的还是实际应用。所谓运用之妙，存乎一心，不正是说这个么？
2． 专注与关切
经常在和朋友的聊天中听到抱怨，说说自己工作中的困难，说说面临的人事处境，自己在工作的几番浮沉中也经历很多。前面说过要有积极的心态，其实除了心态之外，我们总是要着眼于具体要做些什么，不能光喊着口号，我要积极，我要积极。那么这时候要做些什么呢？就是做那些你能做的事情，而抛开那些你不能控制的事情。这是史蒂芬博士的理论，但是我觉得还是从中受益良多。我曾经有这么一段工作经历，刚入职时老板觉得我还是比较年轻，很多事情还是不太放心放手让我一个人去做，虽然自己觉得自己应该完全有能力作得更多。但是这个时候我就想，抱怨和空想都没有用，我还是看看我能做些什么吧，于是就把自己经手的每一件事都做到非常好，从会议组织到项目计划，从方案撰写到项目谈判，虽然不能做出超过自己能力的事情，但总会力争在自己力所能及的范围内做到最好。慢慢的这种超出他期望的事情一件一件的发生之后，他显然还是开始对我另眼相看。
其实，不管什么时候，把手放在自己能够直接控制的事情上，就是凭借自己的力量就能够做到的事情，你的影响就能够慢慢扩大。对于不能直接控制的事情，比如别人的看法，就试着改变自己嘴角的线条。也许有人说，我也不是想不通，就是觉得不公平，凭什么自己干了这么多，还@#$%^ 。其实只要能够跳出来，看看整体的状况，想想自己的问题出在哪儿，不是说别人没有问题，而是因为只有自己的才是我们真正可以控制和修正的。实在还是想不通，怎么办？参考第三条精神的追求
刚才说了专注的东西，我们需要把手放在自己能控制的范围内，但是我们的眼界还是需要放宽一点，世界很大，IT很小，信息安全更小，我们所从事的具体的专业领域就更加小。不论多么忙，经常抬起头看一看天。但是心要能收的回来，不要因为眼界开阔了，就开始这山望着那山高，手还是专注在自己能控制的事情上。好复杂，我自己都有点晕，但是这个世界就是这样，我们需要在这个复杂的世界上很好的保持平衡，不是么？
3． 精神的追求
我在自己的blog上写过几篇相关的小品文讨论占有、付出、放弃以及朝三暮四等等，其实开始自觉地思考这些问题主要是觉得自己整个生活的重心几乎都放在了工作的追求上，工作几乎成了自己唯一的精神支柱，工作热情高涨时，即便很忙，整个人的状态也非常积极向上。工作不顺心时，整个人的状态就非常低迷。后来发现其实问题的关键也许在于自己没有明确的精神追求和信仰，于是开始学习中国的古文化。不断的学习之后发现自己的精神世界真的是荒芜太久了，在这方面补一下功课虽然不能让自己赚得更多，但是也许能让自己拥有更加美好的生活。正在努力的路上，也许以后会有更多的感受。
4． 小马过河
记得刚刚工作的时候，每每有机会都会向一些前辈们请教经验，也经常去BBS去了解一些成功人士的成长历程，但是从不同的人口中往往都会听到不同的答案，甚至有的会截然相反。有的人告诉你要去学网络，有的人告诉你要去做研发，有的人说考个CCIE很好使，有的人说CCIE不过是个高级工匠。听得多了，后来忽然有一天想到了小马过河的故事，觉得原来在很小的时候就接受过很深刻的哲学教育，只是那时候不懂。老牛和青蛙根据自己不同的经历，给了小马不同的建议，谁对谁错？没有人错，只是每个人的位置不同，经历不同，最后得到的结论也就迥然相异。但是到底什么才是适合自己的呢？也许就想小马那样，自己试了之后才知道。
5． 考证、理论与实践
个人的经验考证并不能一定能够给带来更好的工作机遇，但是肯定有助于帮你整理自己的知识体系。我的经验时当我们想进入某个领域的时候，考证或者读书可以帮助我们很快的拥有这个领域的一些理论知识，而且这些知识往往都是比较系统，我自己当初进入IT的时候就是通过考取一系列的IT技术方面的认证提高了自己在这些方面的知识。然后更加幸运的是这些知识就用到了随后的工作中，工作中积累的经验往往都是书本上学不到的，但是书本上的知识可以为我们的工作指引方向和道路。
另一种情况就是你在实践中已经积累了很多的经验，然后想到需要去考一个证书，我觉得这时候带给我的价值会更大一些，因为你在日常工作中已经积累了很多知识和经验，但基本上都是比较零散的，通过一个认证考试前的学习可以把这些东西串起来，使我们的知识系统化和体系化，这是一个帮助我们思考的过程。像我考CISSP就是这样，因为没啥动力，所以差不多在接触安全这个领域将近4年后才去考CISSP。
还有一种情况就是一边实践一边考认证，这个也不错。我考PMP的时候就是在这样一个状态下面，虽然当时很忙，但是因为每天你都在处理这些事情，项目计划，状态监控，进度汇报。。。反而两边可以相互促进。
总结起来说呢，考证还是有必要的，可以系统化你的知识，但是理论一定要和实践相结合才能产生最美妙的火花。想到前几天一个讨论，可以用来作为这段体会的一个总结。读书—〉实践—〉思考 –〉实践 –〉思考—〉读书，这是一个不断升华的过程。
6. 知易行难 （11月3日补记）
今天坐在窗台上晒着太阳，听着音乐(是不是老年人的典型症状？喜欢晒太阳，喜欢说当年，啰嗦 ，哎，老了，秋冬季节阳光明媚的周末我最喜欢的事情之一就是坐在卧室的窗台上晒着太阳，听着音乐发呆)的时候忽然想到我几乎忘记了最最重要的一件事情，知易行难。这几乎是我工作了5年之后才真正体会的一句话，同时也几乎是对我以后的生活造成的影响最大的一句话。随着工作时间的推移，我们的技术知识可能是成倍成倍的增加，但是为人、处世、沟通等等一些软技能的增长速度却是相对缓慢的。
为什么？这些软技能并不是仅仅知道“应该”怎么做就够了的，因为从这些东西从我们的知识到变成我们自己的技能其实还有很长的路要走，这就是知易行难。很多时候，我们以为看了几本处世技巧、沟通能力的书，参加了几次领导力、管理能力的培训之后就觉得自己已经是专家了，其实我们还差得很远。我相信如果每件事都能够用我们理性的大脑和相关知识库的仔细分析之后再决定怎么做的话，我们肯定比现在要做得好很多。但不幸的是，我们没有那么多的时间，研究表明，每个人每天的活动中有90%甚至更多都是需要我们在几秒钟、几分钟内就做出反应的。在这么短的时间内，我们肯定是按照自己最习惯、最顺手的方式去处理这些事情，而根本不会想到这个事情适用于什么道理，需要运用哪个定理。
只有我们能够把“应该”变成“习惯”，这个技能才真正成为我们自己的，这就是我对知易行难的理解。我觉得这也是为什么大家的知识相近，但是结果却相差很大的原因之一。
再扯远一点，如果大家注意观察，就会发现人类有文字的几千年历史中，自然科学的知识发展突飞猛进，而关于人类自身认识的人文科学却变化不大。把老祖宗们在两千多年前甚至更加久远的著作翻出来看看，其实关于人性的认识发展到现在也不过如此。所以，这个东西最关键的也许并不是知识，而是行动，不是你知不知道应该怎么做，而是你能够做到多少。
后记
趁着老婆出差的这段间隙，终于在熬了几个晚上之后把这一系列文章写完了。其实在写这篇文章的过程中，心中总是泛起要不要写的疑问。因为一是自己写的这些东西其实也不是什么新鲜的见解，不说同行中的高人，就是和朋友聊天时也经常听到更精彩的言论，后来想想虽然是言者不如知者墨，但是总要有人说话吧，就把自己这点家底那出来晒晒了。二是觉得即便写出来，对于别人可能也没啥帮助，因为总想到以前一个朋友说过的话，无论你给出什么样的建议，除非他自己真正领悟，不然不会有任何帮助的。后来想想就当作自己的一个总结吧，不说对于别人，至少对自己来说是有好处的。在忐忑中终于写完了工作之后最长的一段总结报告 ，算是对自己有一个交待，好坏对错也就留给别人评说吧。
--------本帖迄今已累计获得49安全币用户奖励--------
最后进行编辑的是 leon on 2007-11-03 13:18, 总计第 13 次编辑

返回页首

leon
高级用户

注册时间: 2004-02-26
论坛影响指数：9
帖子: 220
来自: 上海
3024 安全币

发表于: 2007-10-30 10:08    发表主题:

昨天仔细想了一下，其实觉得自己文章的基调强烈的受到自己的见闻、经历、追求等方面的影响，所以仅仅是供大家参考。如果因为看了这些言论而对信息安全的前景失去了信心，那么我可是真的承担不起这个责任
我想我们看任何东西都应该既保持一种开放的心态，又要有自己的判断，尽量从别人的文章、言论中吸取可信的事实，理解说话的人所处的立场，在这个基础上得出自己的判断，而不要轻易的被别人的判断所左右。
所以我这个东西的目的只是希望能够提供一家之言，说出一些从我的眼里看到的“事实”。而得出如何的结论，权力在你自己的手中。
--------本帖迄今已累计获得25安全币用户奖励--------

返回页首

terry_yu
初级用户

注册时间: 2003-11-14
论坛影响指数：3
帖子: 59
571 安全币

发表于: 2007-10-30 10:39    发表主题:

未经动摇和反复，就不知什么是坚持
未经迷茫和困惑，就不知什么是明白
--------本帖迄今已累计获得37安全币用户奖励--------

返回页首

Robin
版主

注册时间: 2003-11-17
论坛影响指数：10
帖子: 283
来自: Shanghai
3886 安全币

发表于: 2007-10-30 11:08    发表主题:

leon
怎么考虑问题的思路越来越窄了呢，你的职业目标应该是CSO这样的角色，主要处理的问题也就是协调沟通这样的管理问题。你有这个基础啊。附上CSO应该考虑的工作内容供参考。
摘自安言咨询的培训材料：
Information Security Officer / Chief Security Officer
信息安全官应该确保所有业务信息资产得到妥善保护，防止其遭受故意或无意的损坏、泄漏、篡改和破坏。通常没有直接可用的资源来实施其职能，需要依靠组织中其他人员来实施并执行保护信息的策略、程序、标准和指南。扮演的是组织内部信息安全协调和促动的角色。
信息安全官应该理解组织的业务目标，引导风险管理过程，并向高管代表进行有效传达（避免技术细节，侧重业务需求和成本收益分析），确保在业务操作和可接受风险之间达成恰当的平衡。
具体职责包括：
为信息安全活动做预算。确保策略、程序、基线、标准和指南的开发。开发并提供安全意识程序。评价安全事件并做出响应。开发安全合规性程序。建立安全度量机制。参与管理会议。协助内部和外部审计。

返回页首

chinadoors
超级用户

注册时间: 2004-08-03
论坛影响指数：6
帖子: 325
来自: 北京
1479 安全币

发表于: 2007-10-30 13:22    发表主题:

认真看过了，也有一点感慨，随便发发，记得以前一个同行哥们打过一个比喻，作信息安全的就是作防盗门的，很多装修公司都发财了，但是卖防盗门的恐怕都没办法发大财。
从1999年开始作PKI，到后来作SSL VPN，中间也做过一段时间的集成和咨询服务，感觉安全这个领域确实竞争越来越激烈，全国就那么多家庭装修，您能卖出去几个防盗门？更何况信息安全的暴利时代基本已经结束，现在的用户越来越精明，为了一点点利润，而付出艰苦努力的事情现在太常见了，而且价格竞争最后成为了赤裸裸的决斗，这是中国市场的特点。
所以，现在看看信息安全市场，真正有一些技术特色的小公司在夹缝中求生存，而一些掌握大规模渠道和客户资源的厂商，通过兼并和OEM快速扩充产品线和市场份额，最终行程若干寡头均分天下的局面。
这就是现在安全的现状，有钱的用户或者行业，被寡头占据，而那些真正广阔的中小企业市场，又因为没钱或者没意识，而难以大规模开发，那这些从业人士到底出路在哪里？
1、作技术的，真正扎实的掌握一部分所谓核心技术，把产品做好，O给或者卖给大厂商
2、作服务的，从大厂商那里外包一些CASE，也许还能够养家糊口
3、乙方作累了，跳槽吧，找个广阔一点的甲方平台，踏踏实实做点脚踏实地的工作
4、有决心的，改行干别的去
5、不符合以上条件的，老老实实打工吧，如果跟社会的其他行业比起来，这个行业好歹是个白领阶层，谋生还马马虎虎
一点经验是，决定事业成败，不能仅仅从技术的角度看待问题，不仅要脚踏实地，还要注重各优势资源的整合，人可以把信息安全做的很专业，但是如果想作大作强，最好还是去卖砖头和水泥，卖防盗门，没戏。
--------本帖迄今已累计获得37安全币用户奖励--------

返回页首

leon
高级用户

注册时间: 2004-02-26
论坛影响指数：9
帖子: 220
来自: 上海
3024 安全币

发表于: 2007-10-30 14:22    发表主题:

Robin 写到:

leon
怎么考虑问题的思路越来越窄了呢，你的职业目标应该是CSO这样的角色，主要处理的问题也就是协调沟通这样的管理问题。

呵呵，每个人的理想不同，我说了，以CISO为最高目标的人可以放心大胆的继续作安全，想做CIO或者CEO的人就不要在安全这个行当里继续混下去。 这是俺那段原话

leon 写到:

最高的职位也就是公司的CISO或者IT security 团队的总监，带领最多几十人的团队（这其实已经挺奢侈了）。如果你想成为公司的CIO，带领数百上千人的团队，主导公司内部IT，成为老板甚至是董事会眼中的热门人物，那么还是不要选择信息安全，如果你的终极目标是公司的CEO，那么也请尽早的离开信息安全，去做公司的主营业务。

其实从我个人而言，觉得作一个公司内部安全管理的职位也不错，至少我目前的感受来说也挺享受这种状态，工作不忙，压力也不大。只是偶尔你会觉得，其实你本来能够有机会赚得更多，但是目前的这个舞台限制了你的发展的时候，你就会想要换一个环境。也许，最美的东西永远在你没有得到的那个里面

返回页首

leon
高级用户

注册时间: 2004-02-26
论坛影响指数：9
帖子: 220
来自: 上海
3024 安全币

发表于: 2007-10-30 15:47    发表主题: 职业发展之惑系列之二 --- 怎样的心态才有助于职业发展

此贴已经合并到第一贴，不好意思

返回页首

liting
新手

注册时间: 2007-08-15
论坛影响指数：1
帖子: 11
101 安全币

发表于: 2007-10-30 17:46    发表主题:

信息安全的前景，我觉得一定会发展而且有新的东西：
信息安全始终围绕着使用信息的人、工具（电脑、网络等）和与其相关创造的价值。
中小公司为什么看上去不重视安全或者说没有安全意识，其实主要是以为他们面临的主要问题是生存（赚钱的业务），在大公司的夹缝中生存。
随着各个公司的成长、扩大和遇到不同的安全事件（信息安全问题威胁到他的生存）时，他就会考虑安全（chinadoors的“防盗门”的例子太形象了，当然“防盗门”的成本也很重要）。所以，备份系统，防病毒软件，访问控制系统等等一步一步（一个一个新的领域）逐渐被大多数公司重视和使用，这是一个过程，而且是个发展的过程。
至于“系统集成工程师和业务/功能顾问、应用开发工程师从两头夹击”，我觉得和心态有关。非常同意LEON说过的“有多高的成就很大程度上还取决于你的努力”，所以如果在信息安全领域不断加深的同时了解其他相关领域（在工作中一定会不断遇到的），以信息整体安全的角度（咨询）来考量，就会不断体现你的价值。
我很多年前也作过开发工作，现在也经常接触应用开发的工程师，他们大部分主要关心的是防盗版（他们自己的生存），针对信息系统安全考虑的相对很少，也不完整。所以，信息安全有很多东西可以学习、实践和发展。
本人没有当CIO的胸襟，自然眼光自然比较短浅，但看到这个标题也禁不住想“抒发”一下，呵呵。
--------本帖迄今已累计获得31安全币用户奖励--------

返回页首

gordon
高级用户

注册时间: 2003-12-17
论坛影响指数：4
帖子: 174
595 安全币

发表于: 2007-10-30 22:50    发表主题: