2015年5月31日 星期日

商業智慧

1.  經理人永遠要記住一句話:反對只能在變革醞釀期,一旦變革方向確立,不論方向與方法經理人有多麼不贊同,都要全心全意徹底遵守。在變革醞釀期,可以充分表達不同反對意見,就算措辭強烈也無妨,因為討論就是要正反並陳,徹底找出各種可能,不可預設立場,這樣才能找出真正的方向。 而當確立變革方向,並進一步研議執行步驟時,此時經理人就應收斂反對立場,不能再提不同意見,除非執行方案有明確的窒礙難行,但提出的也不是反對意見,而是正面的解決方案。  - 何飛鵬

2015年5月27日 星期三

執行力的修練

1. 真正的執行力是做困難但對企業未來有重大影響的事情,而不是做安全且容易的事情。

2. 人們不清楚目標是什麼、對目標不投入、不知道為了達成目標必須採取哪些行動,也沒有為目標進度與達成當責(accountability)。這些都是執行之所以失敗的最明顯原因。

3. 「最後發現水的是魚兒」 (Fish discover water last)。執行失敗或成效不佳的根本問題一直都在眼前,無所不在,就隱藏在明顯可見之處,以至於我們視而不見。

2015年5月24日 星期日

Software Assurance Maturity Model (SAMM)


Risk Management Concept Flow


High Availability Requrements


Six Sigma

Sigma in statistics is used to represent deviation from the norm. It can beused for process improvement by measuring if a production(software) or service is near perfect in quality by eliminating defects.

For process to be certified as having Six Sigma quality, it must have at the maximum 3.4 defects per million opportunities (DPMO).

The key sub-methodologies by which Six Sigma quality can be achieved are

  • DMAIC (Define, Measure, Analyze, Improve and Control) -
    which is used fore incremental improvement of existing processes that are below Six Sigma quality
  • DMADV (Define, Measure, Analyze, Design, Verify) -
    which is used to develop new processes for Six Sigma products and services. It can also be used for new versions of the products service when the extent o changes are substantially greater than what incremental improvements can address

2015年5月23日 星期六

非常潛力股

1. 企業各項主要營運活動中,以研究發展領域的成本效益差距最大。即使管理最優良的公司,彼此的差異,比率可高達二比一。這個意思是說,有些經營良好的公司,花在研究上的每一塊錢,最終獲得的效益,是其他公司間兩倍之多。把經營普禿的公司納入,則最佳和普通公司間的差異更大。

2. 一些高階管理人員喜愛的「緊急」(crash)計畫,偶爾可能有其必要,但往往過於昂貴。緊急計畫所以發生,在於研究人員一直著手的專案突然叫停,轉而集中心力在新的任務上。就那時候來說,新任務可能比較重要,但往往不值得因為它們,使原來的專案受到干擾而中斷。成功的商業研究的精隨,是只選報酬金額可望達研究成本好幾倍的任務。

3. 聰明的投資人不應光因價格便宜的買普通股,而必須在有大賺的可能性時才買。

4. 即使是真正的便宜貨,便宜的程度畢竟有其極限,往往需要很長的時間,價格才能調整到
反映真實的價值。技巧最純熟的統計數字逢低承接者最後獲得的利潤,和運用普通智慧,買進管理優異的成長型公司股票的人比起來,實在是小巫見大巫。

5, 對偏愛幾年後獲得高額收入,而不求今天擁有最高報酬的投資大戶和小額投資人而言,最好記住,過去三十五年,各金融機構做過無數研究,比較了兩種做法的結果:所買普通股提供高股利收益率,以及所買股票的收益率低,公司著眼於未來的成長和資產再投資。就我所知,每一份研究都指出相同的趨勢:五年或十年期內,成長型股票的資本增幅遠高於另一種股票。
   更叫人驚訝的是,同一時段內,這類股票通常會提高股利,雖然和那時已經上漲的股價比起來,報酬仍然偏低,但和當初只看收益率挑選出來的股票相比,這時它們的原始投資股利報酬率比較高。換句話說,成長股不只是在資本增值方面表現出色,一段合理的時間內,因為公司不斷成長,股利報酬也有同樣不俗的演出。

6, 願意深入表層去觀察真正發生什麼事情的人,能以便宜的價格,買到價格會上漲好幾年的股票。投資人應買進的公司,是在非常能幹的管理階層領導下做事的公司。他們所做的一些事情可能會失敗,其他事情偶爾遭遇始料未及的問題,之後才否極泰來。投資人心理應該十分清楚,曉得這些問題都屬暫時性質,不會永遠存在。接著,如果這些問題導致股價重跌,但可望在幾個月內解決問題,而非拖上好幾年,則考慮在這個時候買進股票可能相當安全。

7. 管理階層應堅持以十分審慎的態度提高股利,而且只在很有可能繼續下去的時候,才提高股利,這樣的股利政策,最受有眼光的投資人激賞。同樣的,只有在最糟的緊急情況中,才能降低股利。很多企業財務主管同意偶爾一次大幅提高股利,這種做法很叫人驚訝。這種出乎意料加發股利的行動,幾乎未能對股票市值產生永久性的影響。

8. 想要挑到出色股票的人,對股利一事的關心,應降到最低,不要花太多心思。股利這件人們討論甚多的問題,最奇特的地方,或許在於最少煩惱它的人,最後卻得到最高的股利報酬。這裡值得再說一次:五到十年的一段時間內,最高的股利不是來自股利率最高的股票,而是來自股利率最低的股票。能力突出的管理階層經營的事業獲利可觀,雖然繼續維持原本的股利率,但因盈餘不斷上升,整體股利卻比高股利率的股票來的高。

9. 一家公司有優秀的管理階層,投資它的普通股才能獲得可觀的利潤。

2015年5月19日 星期二

Security Design Concept

1. Least Privilege
2. Separation of Duties
3. Defense in Depth
4. Fail Secure
5. Economy of Mechanism
6. Complete Mediation
7. Open Design
8. Least Common Mechanisms
9. Psychological Acceptance
10. Weakest Link
11. Leveraging Existing Components

2015年5月17日 星期日

CSSLP Resources

1. 考題練習 (Free)
http://free-online-exams.com/Pages/Exams/DumpsQA.aspx?d=isc&c=CSSLP&q=1

2. 考題練習
http://www.examfull.com/csslp.html

2015年5月10日 星期日

Phish Site Collection

https://www.phishtank.com/

STRIDE, DREAD

STRIDE -用於威脅分析

威脅 定義 對應的安全屬性
Spoofing 偽裝 冒充他人身分 認證
Tampering 竄改 修改數據或代碼 完整性
Repudiation 抵賴 否認做過的事情 不可抵賴性
Information Disclosure 信息洩漏 機密信息洩漏 機密性
Denial of Service 拒絕服務 拒絕服務 可用性
Elevetion of Privilege 提升權限 未經授權獲得許可 授權

DREAD-用於風險分析

等級
Damage Potential 獲得完全驗證權限;執行管理員操作;非法上傳文件 洩漏敏感信息 洩漏其他信息
Reproducibility 攻擊者可以隨意再次攻擊 攻擊者可以重複攻擊,但有時間限制 攻擊者很難重複攻擊過程
Expoitability 初學者在短期內能掌握攻擊方法 熟練的攻擊者才能完成這次攻擊 漏洞利用條件非常苛刻
Affected users 所有用戶,默認配置,關鍵用戶 部分用戶,非默認配置 極少數用戶,匿名用戶
Discoverability 漏洞很顯眼,攻擊條件很容易獲得 在私有區域,部分人能看到,需要深入挖掘漏洞 發現該漏洞及其困難

大秦帝國

1. 楚莊王屆連兵抗戎之機,陳兵洛陽郊外,像東周王朝的勞軍使者王孫滿挑釁,問洛陽九鼎輕重幾多?那時候,九鼎可是天子王權的象徵,問鼎天下等於是向天子的王權挑戰。王孫滿回答:「周德雖衰,天命未改。」 楚莊王也只好悻悻而歸。從此之後,楚國對中原的野心大白於天下,惹來與中原王室及諸侯國的種種麻煩。

2015年5月3日 星期日

The importance of Security Metrics

Not so long ago, in the time when regulations and compliance initiatives did not mandate secure software development, the case to have organizations adopt secure software processes as part of their software development efforts  was always a challenge.
The motivators that were used to champion security  initiatives in software  development  was  fear,  uncertainty  and  doubt  (FUD),  but this was not very effective. Telling management that something disastrous  (fear) could happen that could cause the organization great damage (doubt)  anytime (uncertainty) was not often well received and security teams earned  the  reputation  of  being naysayers  and  traffic  cops,  impeding  the business.
Organizations that were willing to accept high levels of risk often ignore security in the SDLC and those which were more paranoid sometimes ended up with  overly excessive implementations of security in their SDLC. Metrics takes the  FUD out of decision making and provides insight into the real state of security. Metrics also give the decision makers a quantitative and objective view of what
their state of security is.

Monitoring

The premise behind monitoring is that what is not monitored cannot be measured and what is not measured cannot be managed. One of the defender's dilemma is that the defender has the role of playng vigilante all the time while the attacker has the advantage of attacker at will anytime. This is where continuous monitoring can be helpful.

Verification and Validation (V&V)

Trust, but always verify.
  • 驗證(verification):是在特定開發階段中,評估軟體是否符合階段開始前所定義條件(Criteira)的程式(IEEE-STD-610)。 => Do the thing right
  • 確認(validation): 是在開發階段後,評估軟體是否符合規格需求(Requirement)的程式(IEEE-STD-610)。 => Do the right thing

Reference: http://zh.wikipedia.org/wiki/%E8%BB%9F%E9%AB%94%E9%A9%97%E8%AD%89%E5%8F%8A%E7%A2%BA%E8%AA%8D

It is important to recognize that merely completing checklists with proper verification of existence and validation of proper implementation is insufficient to ensure software assurance. Checklists may help with compliance but they don't necessarily secure.All items in the checklist used that address the functionality and assurance aspect of the software must be verified and validated.

2015年5月2日 星期六

Defense in Depth

The mantra for dense in depth commonly referred to as the SD3 initiatives for software security ensure that the software is not only secure in design and by default but also in deployment.

2015年5月1日 星期五

智慧型股票投資人

1. 在多數的時候,投資者必須體認持有股票存在著「投機成分」。投資者的任務是將此投機成分控制在合理的範圍內,並在財務上與心理上準備因應長期或短期的不利變動。

2. 最不智的投機行為:(1) 從事投機卻認為是投資;(2) 以嚴肅而非消遣的態度從事投機,卻又不具備相關的知識與技巧; (3) 投機所涉及的金額超過承擔虧損的範圍。

3. 防禦型投資者必須將持股侷限在主要的公司,它們擁有長期的盈餘紀錄與穩健的財務狀況。積極型的投資人可以購買其他類型的普通股,但絕對要根據智慧的分析從事選股。

4. 過去20年來,道瓊成分股盈餘的所有大幅成長都是源於投入資本的劇增,而且是來自未分配盈餘的再投資。 如果通膨可以視為個別的有利因素,則其效果會產生在增加原先既有資本的「價值」;這又會提升原有資本的獲利率。

5. 我們必須對投資提出警告,「在你介入之前,必須確定它是你的領域」。

6. 我們主要基於兩項理由而支持普通股。第一,它們能夠保障投資者的資金,使其價值免於通貨膨脹的侵蝕,債券則沒有這方面的功能。普通股的第二項優點在於其長年來的高平均報酬率。一方面是其平均股息收入高於優良債券的殖利率,另一方面則是未分配盈餘的再投資,使股價長年以來具備升值的傾向。但是,如果投資者以過高的股價購買普通股,則可能無法獲得上述兩個利益。

7. 選擇普通股所需遵守的法則
    (1) 普通股的投資組合必須做出充分但不過度的分散投資。
    (2) 所選擇的股票應該屬於大型、傑出而且舉債保守的企業。
    (3) 每家公司應該有長期持續發放股息的紀錄。
    (4) 投資者必須就本益比訂定某種限制,盈餘可以採用過去數年,例如過去七年的平均盈餘數字。就平均盈餘來說,我們建議25倍的本益比;若以最近12個月的盈餘來說,則本益比不超過20倍。 在這項限制下,則幾乎所有漲幅最可觀而且最熱門的股票都將排除在投資組合之外,明確地說,這項限制幾乎完全禁止買進「成長型股票」,而它們近幾年來正是投機客與機構投資者所偏愛的股票。

8. 所謂「成長型股票」是指其過去的每股盈餘成長率遠高於一般普通股,而且預期未來仍將如此(若干權威人士認為,真正的成長型股票其每股盈餘在十年內至少成長一倍,換言之,其每年複利成長率應該超過7.1%)。顯然地,這類股票非常值得買進並持有,只要價格不高。當然,問題正發生在價格上。畢竟以當期的盈餘來衡量,成長型股票的股票長久以來均明顯偏高,若以過去的平均盈餘來衡量,其本益比更是嚴重偏高。這使得成長型股票沾染了相當程度的投機色彩,而這類股票在操作上也顯得困難。

9. 投資者所購買的有價證券種類與所期待的報酬率並非取決於投資者的財力,而取決於其為金融方面的知識、經驗與個性。

10. 真正的投資者不會只是因為其所持有的證券價格下跌而遭逢虧損;因此,價格下跌的可能並不鰾是遭受了真正的虧損風險。如果一組經過慎選的普通股,在相當年數的期間而呈現令人滿意的整體報酬率,則這組投資就是安全的。在此期間,其市場價值勢必波動,甚至可能低於買進成本。

11. 普通股的價格經常出現大幅波動,智慧型投資者應該考慮從這些價格擺動中獲取利潤。為了達成目標,投資者可以運用兩種可行的方法:一是掌握時效 (timing),一是掌握價格 (pricing)。所謂掌握時效乃是預期股票市場的行為─ 當投資者判定未來走勢趨升,則買進持有;走勢趨跌時,則賣出或不買進。所謂掌握價格是指在股票價格低於其合理價值時買進,而在股票價格高於其合理價值時賣出。掌握價格的消極方式在於確定買進股票所支付的價格不太高,其立場強調的是長期投資。
    我們相信智慧型投資者不論以何種方式掌握價格,都可以獲得理想的績效。我們也同樣確定,如果他強調時效──指預測行情而言,結果他將成為投機客,並因此享有投機客的財務績效。 我們相信,人們介入華爾街越深,將愈懷疑行情預測或掌握時效的可信度。

12. 幾乎所有多頭行情都有明確的共通特色如:(1) 歷史新高價位,(2)本益比偏高,(3)股利率偏低 (相對債券殖利率), (4)融資買進的投機風氣盛行, (5)品質低劣的新上市普通股充斥。

13. 股票市場上任何的賺錢方法,只要非常容易了解而且為許多人所遵循,則其單純與方便將無法持久。(ex: 道式理論)

14. 嚴肅的投資者不應該相信,股票市場每天、甚至每個月的波動,將使他變得更富有或更貧窮。但是如果期間更長、幅度更大,則又如何呢? 在此,實際問題非常明顯,心理層面的問題則相當複雜。一大段漲勢勢必會成為心滿意足的正當理由,也會成為謹慎憂慮的原因,也可能誘發莽撞的行動。
     你的股票上漲了,很好!你比以往更富裕了,很好!但是,股價是否漲得過高了? 你是否應該考慮賣出? 或者,你是否應該捶首頓足沒有在低價買進更多股票? 或者──最糟者──你是否應該伏首於多頭氣勢之下,感染一般大眾的激情、過度自信與貪婪,而投入更多資金並承擔更高的風險呢? 最後一項問題的答案顯然是否定的,但即使是智慧型投資者也需要相當的意志力才能免於追隨群眾。

15. 真正的投資者甚少被迫賣出持股,而在其他時候,則無需在乎當時的市場價格。他需要注意價格,據此採取行動,但必須符合其個人的意願。因此,所投資者因其持股價格不合理地下跌,容許自己陷入恐慌或不當的憂慮,無異於將其根本的優勢轉變為根本的劣勢。對於這類的人來說,如果股票完全沒有報價,或是對他們更有利,因為其他人的錯誤判斷不會再令其憂慮。

16. 許多上市的高評等公司債,雖然其發行公司財務狀況極佳,但債券市價大幅挫跌,使持有者相信自己顯然愈來愈貧窮。債券價格雖然下跌,持有者實際上卻處於更有利的地位,除非他們希望或被迫將債券拋售(或許是籌措資金從事更廉價的投資),否則,他們可以合理地忽略市場行為,是其為短暫而無意義的現象。

17. 對真正的投資人來說,當他持有上市的股票,可以利用市場每天的報價撿便宜,或置之不理,完全取決於個人的判斷與意圖。他必須認知價格波動的重要性,否則便缺乏判斷的依據。理論上,價格變動提供了一項警訊,要求他小心為妙──換言之,因為價格已經下跌,他應該賣出以避免事態惡化。根據我們的觀點,這類訊號的誤導作用不亞於所提供的幫助。基本上,價格波動對於真正的投資者只有一項明確的意義。價格劇跌時,它們提供明智買進機會,價格大漲時,則提供明智的賣出機會。在其他的時候,他應該忘卻股票市場的一切,只專注在股息的報酬與企業的營運績效

18. 投資者擁有合理的股票投資組合,便應該期待其價格有所波動,而且不應該因為重跌而憂慮,也不應該大漲而興奮。他必須永遠銘記在心,市場報價只是為了方便,投資者可以利用它們,也可以忽略它們。記取價列簡單的座右銘,將不至於鑄下大錯:在劇漲之後決不可以立即買進股票;在重跌之後,也絕不可以立即賣出股票。

19. 追求卓越績效的投資基金,可能涉及特殊風險。截至目前,所有金融方面的經驗都顯示,管理健全的大型基金,其長期績效最多只能夠稍高於大盤的表現。如果管理不健全,或許可以暫時得到傑出而虛幻的績效,之後將不可避免災難式的虧損。然而,確實有些基金的績效能夠長期地,如十年或以上,優於指數。但是,它們屬於罕見的例外,大多數在特定的領域中操作,並且嚴格地控制其基金規模,而且不積極推銷給投資大眾。

20. 我們認為投資者所能取得的產業分析報告,多半沒有實用價值。這類研究大多是ㄧ般大眾耳熟能詳的事,且其影響力已經充分反映到市場價格上。我們甚少發現某經紀商的研究報告能夠以令人折服的事實指出,某個繁榮的產業將趨向衰退,或某個衰退的產業將趨向繁榮。華爾街的長期觀點一向惡名昭彰,這也必然是用於它對各個產業獲利預測所做的重要調查工作。

21. 防禦型投資組合的七項條件:
     (1) 足夠的規模:年營業額不可低於1億美元
     (2) 強勁的財務狀況:公司負債不可超過股東權益的兩倍
     (3) 過去20年來的股息發放未曾間斷
     (4) 過去10年不曾發生虧損
     (5) 每股盈餘在10年間至少成長三分之一 :分別採用期初與期末三期的平均數
     (6) 股票價格不超過淨資產值的1.5倍 :若本益比低於15,則股價淨值比可以稍高。根據經驗,我們建議本益比與此項比例的乘積不可超過22.5。
     (7)股票價格不高於過去3年平均盈餘的15倍

22. 選擇「最佳的」股票基本上是極具爭議性的問題,我們在此建議防禦型投資者,無須從事這方面的追求。分散投資的重要系遠超過對個股的選擇。

23. 市場對現金股利政策的評估 ,大致上是朝下列方向發展:如果市場焦點不在於企業的成長,則這類股票便被視為「收益型股票」,股利率將維持一貫的重要性,成為影響股價的主要因子。另一方面,如果市場公認某家公司屬於快速成長的類型,股價主要決定因素則是未來,例如十年的預期成長率,現金股息就比較不重要。

24. 支付過高的價格買進績優股雖然具有實際的風險,卻不是一般證券購買者所面臨的主要威脅。根據多年的觀察,投資者的主要虧損來自於在景氣繁榮期買進品質低劣的證券。購買者將當期的良好盈餘誤認為是「盈餘能力」,並認定繁榮與安全是同一件事。

25. 四個重要商業原則:「」
    (1)第一項,也是最明顯的原則是:「了解你在做什麼 ─ 了解你的生意。」就投資者來說,這意味:不要試圖從證券買賣中獲取「商業利潤」 ─ 及正常利息與股息之外的超額報酬 ─ 除非你對證券價值的了解,就如同你經營買賣或從事製造時,對商品價值所了解的程度。
    (2)第二項商業原則:「不要讓其他人經營你的事業,除非你能夠鉅細靡遺地監督其績效,或你有不尋常的強烈理由完全信賴他的品格與能力。」
    (3) 第三項商業原則:「不可貿然地做生意  ─ 換言之,製造或買賣商品  ─ 除非經過周詳的考量,認為該筆生意會產生合理的獲利機會。尤其要避免獲利有限而虧損甚大的生意。  」
    (4) 第四項商業原則比較具有積極性:「必須有勇氣運用知識與經驗。如果你根據事實形成結論,如果你了解你的判斷是穩健的,則依指示行動 ─  雖然其他人的看法不童或遲疑。」