Worth Mining

虚拟鸡和虚拟鸭

2008-03-30T07:04:00.000-07:00

说起虚拟技术呢，首先当然要提这一领域的四大天王，他们是：VMware、XEN、MS Virtual Server、Virtuozzo和OpenVZ。
（哄噢～有人不识数喔～）
听我慢慢说啦！OpenVZ是用Virtuozzo全套源码的一个开源项目，所以技术上说，Virtuozzo和OpenVZ是一家，就像CentOS和 Red Hat的关系一样。当然CentOS和Red Hat实在太相像了，而Virtuozzo和OpenVZ还是稍微有点区别的。比如Virtuozzo能支持Windows，而OpenVZ就不行； Virtuozzo有很多图形节目的管理工具，OpenVZ目前还只能用命令行。

叙述的有点乱，还是逐个介绍一下四大天王先。

首屈一指的当属VMware公司。这个公司在虚拟主机方面的产品贼丰富，技术也贼成熟，顺其自然的，其看家护院的产品——ESX Server——卖的也就贼贵贼贵的。

这个ESX Server是直接安装在裸机上的，不需要安装任何操作系统，或者说，ESX自己就是个特殊的操作系统。因为ESX的安装界面很像RedHat，里面的指令和服务也很像，所以有些人误以为ESX = RedHat + VMware Server，其实不是酱子滴。

ESX里的大部分底层驱动都由VMware重新写过，而且还内带好多咚咚，比如SAN文件共享和多路径冗余。VMware为了表示自己的确干了好多活，就把这个kernel命名为VMkernel。
而整个ESX基本可以看作VMkernel + Console。这个Console基本就是RedHat AS3的改版，可以看做是个特殊的虚拟机。

本人觉得VMware最酷的技术是VMotion，就是能让虚拟机活着搬家。我曾伙同另外一个家伙测过VMotion的效率，在虚拟机从一台服务器搬家到另外一台服务器的过程中，持续ping这台虚拟机的IP地址，结果发现整个过程中只有一个ping响应略有延迟。厉害！

当然喽，要实现VMotion，就肯定需要后端有一个共享SAN文件系统。ESX里面带的SAN文件系统叫VMFS，实现的功能跟SANergyFS和 ADIC StorNext FS差不多，不过VMFS是对称式的。也就是说，安装ESX的时候，不需要给VMFS指定MDC。

ESX里集成的多链路功能也不错，主流光纤卡都能支持（要求太低了点儿吧～）
还有，多链路聚合和切换是在驱动层完成的，不是靠device-mapper或MD。也就是说，在双卡的机器上安装ESX之后，在/proc/scsi/scsi里看到的，就已经是合并之后的设备，不需要像powerpath那样再搞东搞西的。

另外ESX还支持iSCSI和NFS，用来连接IP-SAN和NAS（咦？这回居然没人呕吐，那我再大声说一遍，“IP-SAN和NAS～”OK，我爽了，你慢慢吐先。）
其实ESX里面是有Samba Client的，而且我试了试，访问一般的Windows共享没啥问题。但是VMware的官方文档里，目前还没有对CIFS的支持，也许是人家对自己严格要求吧。

VMware产品系列中，除了ESX以外，还有两个虚拟引擎——VMware Server（也就是原来的GSX），VMware Workstation以及最近即将发布的VMware Fusion。
Sorry，这回真的数错了，是三个，三个产品。Server、Workstation和Fusion。
与ESX相比，这三个产品运行的层次要高一些，都是要安装在操作系统上的。Server和Workstation运行在Windows和Linux上，Fusion运行在苹果的Mac OS上。

为了配合这些个虚拟引擎，当然主要是为了配合ESX，VMware还有一些管理软件和工具。比如Virtual Center、Importer、Convertor、P2V、Player等等。
这些工具中很多是免费的，也有些如Virtual Center这样的工具，是跟ESX打包在一起卖的。ESX + VC的组合叫Virtual Infrastructure，简称VI。

顺便提一下，虚拟技术世界里，简称VI的咚咚好多，一不留神就容易搞混。比如有家公司叫Virtual Iron，而且其产品也叫Virtual Infrastructure，另外在InfiniBand交换技术里还有个协议层叫Virtual Interface。下次有人跟你说VI的时候，最好问清楚是哪个VI，免得最后驴被马性骚扰。
类似的重名现象还有VDI这个缩写。VMware有一个包叫Virtual Desktop Infrastructure，Virtual Iron公司也有个名字完全相同的产品包。当然里面的咚咚是完全不同的啦。

造成这严重的重名现象至少有两种可能：
一是这些公司在起名字的时候太缺乏创意，哪像咱存储界的厂商，明明东西一样，名字也起得五花八门。
二是人家故意把名字弄得一样，以表示说“对啦，我就是跟你竞争的！”

事实上Virtual Iron也确实是VMware的一个有力竞争者。咱们要说的第二个天王，XEN，确切的说不是一个人在战斗，而是一个庞大的阵营。其中就包括Virtual Iron公司。

XEN本是一个剑桥搞的开源项目，最近几年发展得超级迅速，目前几乎所有的Linux版本都搭配了这个咚咚，就连一些Unix也开始考虑勾搭之。XEN的技术特点是Para-virtual，即“并行虚拟”也叫“半虚拟”技术，就是说XEN能让虚拟机中的某些程序直接访问硬件。

打个比方说，VMware ESX像是穿在服务器硬件上的一层衣服，这层衣服把硬件包裹得很严实。ESX中的虚拟机所看到的硬件资源，100%都是由ESX虚拟出来的。虚拟机中的操作系统，是不能直“接触”摸到真正的硬件资源的。
而XEN呢，则像是穿在服务器硬件上的性感的比基尼泳装，虚拟机不仅可以看到，而且可以直接摸到……
同学～你口水流出来啦！赶快擦擦。

记得早些年间要在XEN上装Linux的时候，还需要手工改内核。现在Intel和AMD在CPU里提供的新的虚拟技术之后，XEN不仅可以不改内核直接安装Linux，还可以支持Windows虚拟机。技术的进步真是快啊！

啥？你问Intel和AMD是啥技术？别急，我后面会说到。本来我脑子就乱，你这一打岔，我就更乱了。
咳～咳～刚才说到哪了？
噢，对了，是说XEN阵营。

这里面的两大主力是Virtual Iron和XenSource公司。这个Virutal Iron公司原本是有自己一整套从软到硬的虚拟产品，不过近来发现XEN年轻貌美，便放弃了自己半老的旧引擎，全套采用XEN为其核心。早年记得 Virtual Iron还有些基于InfiniBand交换的硬件虚拟技术，现在在他的网站上也看不到了。看来告别过去的决心有够坚决。

XenSource公司没有什么旧关系的瓜葛，就是靠的XEN的发展而发展起来的。现在业界使用最广泛的XEN商用版本就来自这个公司。 XenSource发布的商用版本一共有三个……等会儿，让我再数一遍。OK，没问题，的确是三个：XenEnterprise、XenServer、 XenExpress。

虽然在XEN的阵营中，XenSource提供了类似VMware的P2V和Importer工具，Virtual Iron提供了集中管理工具，但是总体来说，XEN的管理软件和工具还是远不如VMware完整和成熟。好在XEN阵营还在日益扩大，除了各大Linux 厂商、Sun和IBM，听说最近微软也来凑热闹，跟XenSource谈起了合作。如此看来，XEN真是前途不可限量啊！

说到微软，也就是咱们要认识的第三位天王，总是让人想起IE、Media Player等“经典”之作，虽然他不是第一个做出来，而且技术也不见得更好，但是一旦开始免费的捆绑在Windows里面，对手的日子就难过了。如今微软在虚拟技术上的手段，也是如此。

到目前为止，微软一共推出了四个咚咚，安啦～不会再数错啦，Virtual PC 2004、Virtual PC2007、Virtual Server 2005、Virtual Server 2005 R2。这些咚咚的工作层次跟VMware Server和Workstation的层次相同，都是需要安装到操作系统上。当然了，用胳膊肘都能猜出来，微软的咚咚只能安装在Windows上喽。不过微软对虚机系统的支持倒是显得比较现实，声称在未来会支持Linux虚拟机。

让对手最害怕的是，微软号称在Windows 2008里面要开始捆绑他的虚拟产品。这可吓坏了VMware，尽管MS VSR现在做得很土，基本不具备任何实用性可言，VMware还是忙不迭的把自己的VMware Server变成免费产品，以免被微软打个措手不及。

由此也可以看出微软这三号天王也非浪得虚名，虽然东西做得不咋地，但至少可以隔山打牛。最终受益的还是咱们用户，可以免费使用功能性能都不错的VMware Server。
啥？你说你原本也可以免费使用？拜托～用盗版就不要这么大声嘛！

这四号天王，就是前面被打岔时说过的Virtuozzo和OpenVZ。这两串勾勾文都是产品的名字，背后的公司名字叫SWsoft。如前面已经说过的那样，Virtuozzo OS Virtualization和Virtuozzo Server Virtualization是SWsoft公司的商业版产品，OpenVZ是采用SWsoft源码的开源项目。

与前三个天王的产品相比，SWsoft的产品运行在更高的层次上。用业内行话说，Virtuozzo和OpenVZ属于Application Container——应用程序的容器。好像有点难懂，咱们用点通俗的话说，不过你放心，这里没有比基尼什么事。

VMware、XEN、MS VSR这些咚咚所虚拟出来的，都是一个个“硬”的主机，你得在这些虚机上再装操作系统。而Virtuozzo和OpenVZ所虚出来的，是一个个已经装好系统的主机。
也就是说，VMware、XEN、MS VSR所虚拟的是硬件资源，而Virtuozzo和OpenVZ所虚拟的是操作系统环境。

所以Virtuozzo和OpenVZ里面没有VM（Virtual Machine）这个概念，取而代之的是VE（Virtual Environment）或称VPS（Virtual Private Server）。而进到VE/VPS里面，看到的就是一个现成的操作系统环境。
等着听比基尼故事的人失望了～

具体来说。比方说Windows下安装某个程序，要改注册表是吧？还有创建目录和文件是吧？Virtuozzo能把这些动作统统截获，并且偷偷在其它地方执行，而不真正修改原来的系统环境。这样程序自以为万事OK，很Happy的运行，殊不知却是被Virtuozzo给骗了。

Virtuozzo这个有所不同的机制，对资源管理更为灵活，某个虚拟环境只有活动的时候，才会被分配资源。因此在相同的硬件资源下，Virtuozzo 可以配置出更多的虚拟环境。一般VMware和XEN只能在一台服务器上跑几十个虚拟机，而Virtuozzo号称可以一台机器支持5000个虚拟环境！

当然Virtuozzo也有很明显的不方便之处，就是Linux上只能虚拟Linux，Windows上只能虚拟Windows。而且像VMware或Xen那样在服务器之间挪动虚拟机，也是异常困难的。
650) this.width=650" onclick="parent.zJ_PopPic(this.src)" style="cursor: pointer;" width="650">

说完了虚拟界的四大天王，再来说说四小天鹅。

第一天鹅是Sun公司。
好像把这么大的公司算做小天鹅有点那个，不过在虚拟界Sun的影响确实不如前面那几位大嘛。没办法，暂时委屈一下喽。
Sun以前就有个很类似Virtuozzo的软件，叫Solaris Container。从名字就能看出来，这咚咚也是个应用容器。最近Sun在虚拟技术方面的热情很高，新推出了一个叫做Logical Domain的咚咚，简写的模样很怪异——LDoms。

第二天鹅是Parallels公司。
这家公司跟前面提到的SWsoft其实是姊妹公司，幕后投资人就是SWsoft的大老板。所以你在SWsoft的主页上还能找到Parallels的链接呢。
Parallels主攻的方向是桌面虚拟，在Windows、Linux和Mac OS上都有产品。以Parallels掌握的技术，完全可以实现，在Windows上运行Mac OS程序，在Mac OS上运行Windows程序。但是目前的产品只支持后者，因为苹果公司的授权条约限制了前者的合法性。
苹果真是够“独”，居然禁止别的平台运行自己的程序！

第三天鹅是InnoTek公司。
这家公司非常识时务，发现自己无论如何也打不过VMware等对手，就干脆把自己的VirtualBox做成开源项目。现在大家可以在网上任意下载VirtualBox来玩。
这一招还真管用，刚开源没多久的时间，VirtualBox的用户，当然主要是玩家型的用户啦，就迅速增加。看来还是免费的午餐更好吃啊！

第四天鹅是Thinstall公司。
这家公司其实不属于传统虚拟主机这个圈子，从名字就能猜出来，它更多的是和一些所谓“瘦终端”厂商勾搭。但是它的产品却从名字到功能，都不折不扣的属于虚拟范畴。
它的产品叫Thinstall Virtual Suite，运行起来的效果跟Virtuozzo差不多，也是蒙骗应用程序，不让应用改动系统环境。

虚拟技术世界里，除了这四大天王和四小天鹅，还有很多配套工作。比如前面提到的Intel和AMD的新技术，就是配合这些虚拟软件滴。

Intel的虚拟技术叫Intel-VT，其中VT是Vanderpool Technology的缩写。嘿嘿，不好意思，我刚开始看到的时候还以为是Virtual Technology的缩写呢。这个技术的效果就是把一个CPU分成若干分区，然后把指令的执行范围限定在分区内。简单点说，就是在硬件上，把一个CPU 虚拟成几个CPU。

按照Intel的设想，将来都不需要什么虚拟软件了，它自己的CPU直接就能同时运行多个操作系统。不过现阶段这只是个梦，Intel-VT技术还是要搭配VMware或者XEN才能起作用。当然啦，VMware和XEN都是很给面子的，Intel-VT刚刚发布没几天，这两个天王就都纷纷支持了。至于 Virtuozzo这样的“应用容器”，由于主要是跟操作系统和应用打交道，暂时还不用搭理CPU里面的这些技术。

AMD的虚拟技术正式名称叫AMD-V，但也有很多人喜欢称呼原来那个内部用名，Pacifica。跟Intel-VT一样，AMD-V技术的原理也是在CPU上划分区，同时隔离指令。
对用户来说，让人有点不爽的是Intel-VT和AMD-V互相是不兼容的。目前VMware和XEN都是要专门针对两个技术分别做工作。
啥？你说没关系？那下次跟你谈薪水的时候，咱们说美元，发钱的时候数字不变，票子变成日元试试看。

Intel和AMD这边虚拟得热火朝天，IBM和Sun也怕落后，在新的PowerPC和SPARC处理器里，也弄了一堆虚拟技术。不过相比x86上的虚拟成分要“软”很多，我的意思是说要更多的依靠软件，不要想歪哦！

其实，虚拟技术，说到底就是一个字——骗。
Virtuozzo对应用程序说：“来吧，来搞我吧，我就是操作系统。”
VMware和XEN对操作系统说：“来吧，来弄我吧，我就是主机硬件。”
Intel-VT和AMD-V对操作系统说：“来吧，来x我吧，我…我…我…还是x86 CPU。不过我是好几个CPU哦，你想x哪一个？”

这些技术虽然在骗，但是骗得都不够狠。虚拟技术里，有一类狠角色，真是说瞎话不眨眼。
N久以前有个名叫Bochs的骗子，他就可以在任何CPU上运行，来模拟IA-32环境。可惜这个骗子的寿命不长，M久以前就翘辫子了。

跟Bochs几乎同时代的还有个PearPC开源项目，他可以在任何CPU上模拟PowerPC。也就是说，你可以在家里的PC上安装Linux，然后编译PearPC代码，然后运行PearPC，然后在模拟出的环境中安装AIX或者老版本的Mac OS！酷吧？！

可惜PearPC也寿禄不长，2005年底弄出模拟G4的0.4.0版之后，就再没动静了。后来另外一个叫做CherryOS的开源项目接过PearPC 衣钵，又折腾了一年多时间，到处对人说他可以在PC上安装Mac OS，结果却一再推迟发布日期。后来人民群众不爱搭理他了，他也就如烟般散去了。

这些项目虽然最终不了了之，但是他们为后来的大骗子遗留下很多宝贵的骗术遗产。今天业界知名的大骗子——QEMU就还一直沿用着Bochs遗留下来的BIOS模拟技术。
当然QEMU比他的前辈们出息多了，他已经发展成一个家族。用句文言文说，QEMU家族可谓NB得不得了。

他们可以平台无关的模拟x86、ARM、PowerPC、SPARC环境，而且速度非常快。据说效率可达80%，当然，俺也不知道这个80%是意味着什么，反正肯定不是送过去100个指令，最后只执行80个。

只要不太傻的人都知道，光有CPU是P也干不了的。还得有总线、I/O之类的外部环境。还好今天的QEMU已经可以完整的模拟一个主机环境，让你可以在Linux上模拟出IBM或Sun的小机工作站，甚至能模拟一个阵列控制器。

当然了，NB的事情总是高难度的。使用QEMU可不像使用VMware或者XEN那么容易，对各种真实硬件的支持也很不到位。可以原谅嘛，人家才是0.9版，而且还是个免费的开源，都是靠雷锋们为QEMU添砖加瓦。也不容易啊！

如果你只对商业软件感兴趣，可以关注一下Transitive这家公司。他们的产品叫QuickTransit，可以让Unix的程序在x86 Linux上运行。而且据说效率也很高。
现在QuickTransit可以支持的跨平台方式有：
SPARC Solaris到x86/x86_64 Linux；
SPARC Solaris到x86 Solaris；
PowerPC或MIPS到x86 Linux

前面说操作系统虚拟的时候，忘了提一个挺酷的咚咚，在这打个补丁。
ReactOS是一个开源项目，目标是模拟一个Windows环境，让你的Windows程序可以直接运行在这个不花钱的操作系统上。

说Virtuozzo的时候没想起来ReactOS，是因为这两个软件虽然都是模拟操作系统环境，但是模式还是明显的不同。Virtuozzo是安装在操作系统上的软件，省不下买Windows的钱，而ReactOS本身就是一个完整的操作系统。不过ReactOS不能像Virtuozzo那样以一当十，只能起到女扮男装冒名顶替的作用。
对！有点像花木兰，不过Windows可不是ReactOS他爹，一点亲戚关系都没有。

有了ReactOS，你就可以理直气壮的运行那些原本只能在Windows上安装运行的程序，比如Office 2003，而不必担心查盗版的警察叔叔来敲门了。当然，要想不被警察叔叔带走，还有两个前提：
一是Office 2003本身不是盗版；
二是警察叔叔听说过ReactOS这个咚咚。

看来这两条都有点难，而且ReactOS目前还没做到那么好，暂时还不能支持Office 2003（昏倒！），只能运行Mozilla FireFox和部分Open Office组件。况且ReactOS目前支持的硬件也很有限，如果不想看到它启动中出现蓝屏，最好的办法就是用VMware或QEMU的虚机启动。
可以原谅嘛～雷锋们做的开源，而且还仅仅是0.3.1版本而已，已经很不错啦。

哦，对了，还有个补丁……Stop扔ing西红柿！
不怨我这个蹩脚裁缝，实在是虚拟产品和技术太多，而且变化太快。CU上曾经有个2005年的帖子，给出过一些虚拟引擎的链接，今天再看的时候，90%以上的链接都已经实效了。

对于习惯了产品比较的坛友来说，下面这个链接也许能有点用。
链接出处
这里总结了将近50个虚拟引擎，全面虽然谈不上，但还算是收录的比较多了。

前面颠三倒四的说了“操作系统环境虚拟”、“主机资源虚拟”、“CPU模拟器”等等，这些并不是虚拟世界的全部，还有很多……
你说啥？虚拟存储？拜托～大家都是医生，就没必要互相开药方了吧。
我要说的是一个比较新的提法——“服务虚拟”。
当然这个名词跟其它很多新名词一样，只是个新瓶子，里面装的是新旧混杂的鸡尾酒。

所谓“应用流”（Application Streaming）、“应用虚拟”（Application Virtualization）、“桌面虚拟”（Desktop Virtualization）、“Thin Provisioning”（中文不知道咋翻，难不成叫“瘦供应”？多容易听成“瘦肉供应”啊！）还有“服务共享”（Shared Services）、“网络计算”（Network Computing）甚至“瘦客户机”（Thin Client）等等这些新老技术，统统都属于“服务虚拟”的范畴。

别诧异，诸如远程桌面一类的老技术跟“虚拟”这个时髦的概念扯上关系又不是什么新闻。还记得VNC是哪三个单词的缩写吗？对了！Virtual Network Computing，虚拟网络计算。瞧，这不就是虚拟家族的吗！
你肯定还是不服气：“如果仅仅是跨着网络登陆一下别人的机器也算虚拟，那我存到NAS上的，是不是要算虚拟文件啊？！”

听我慢慢说啦～
其实主机虚拟也好，服务虚拟也罢，都是通过引入第三者，来打破传统的一夫一妻制，从而建立起更为灵活和先进的走婚制度。（如果不知道走婚为何物，找个云南人问问就晓得了。另外，严禁向我老婆透露这篇文章！）
主机虚拟技术，拆散的是主机和操作系统之间的婚姻。而服务虚拟技术，泛泛的来讲，分离的对象是应用程序和其所提供的服务。

看下面这个图。（光看服务虚拟那层就可以了，至于Broker的概念，后面会解释）
650) this.width=650" onclick="parent.zJ_PopPic(this.src)" style="cursor: pointer;" width="650">

也许我还没说明白，就举一个最直接的例子。
办公室里十个人，每人一台笔记本。如果大家都想使用MS Office，最正常的做法就是每个人在自己的笔记本上安装一遍Office。
而如果有了服务虚拟引擎，则可以只在一台电脑上安装一遍Office，其它人只需要安装一个小小的客户端软件，就OK了。而且，大家可以同时运行Word或Excel，却是编辑各自不同的文档。

听起来是个不错的咚咚嘛～这下可以明目张胆的一份软件大家用，也不用担心警察叔叔来找了。不过除了这个没出息的想法，服务虚拟还能有啥用哩？
用那些美国大忽悠的话说，服务虚拟可以实现“应用集中”（Application Consolidation）。

看来美国人，至少美国IT人士，真是很喜欢Consolidation这个词。自打SAN那会儿，就有Storage Consolidation之说，后来的主机虚拟技术又带来了Server Consolidation的概念。其实服务虚拟技术里面除了这个Application Consolidation之外，后面还会介绍到一个Desktop Consolidation的咚咚。
反正这集中来集中去的，最后全世界的IT预算就都集中到美国人手里了。

话扯远了。对应现实的状况，如果你负责维护某个单位里的100台机器，而计算机用户又基本都是无组织无纪律的电脑白痴，想象一下你的境遇会有多痛苦。
如果有服务虚拟引擎，你就可以把应用程序集中的安装在一台服务器上，而只把服务交给那些用户，维护工作显然会容易很多。实际上，在很多组织纪律性要求比较高的系统中，诸如ERP系统、财务系统等，服务虚拟引擎的应用是非常广泛的。

要想实现一个程序大家用，光有网络连着肯定是不够的，还要有专门的网络计算协议。就如同光有SAN并不能实现文件共享一样。
目前网络计算协议总共有4个：RDP、ICA、VNC和NX。

RDP用得最广泛，因为这是Windows内嵌支持的。微软对RDP一直都挺重视，不停的在升级。Windows 2000里面是RDP 4.0版本，到了Windows XP/2003里便升级成RDP 5.0（新版Windows 2003里是RDP 5.2），在最近的Vista里面RDP已经是RDP 6.0了。
不过，毕竟RDP最初的设计目标太低，仅仅是为了实现远程桌面，所以至今为止，对远程应用的支持还不太灵光。

ICA是Citrix公司的专利技术，性能比RDP好N多倍，而且支持的功能模式也多很多。所以在大型的系统中，尤其是高端的应用中，ICA的优势还是挺明显。事实上Citrix基本就是靠着这个ICA发展起来的，他的所有产品都围绕着这个技术。
今天Citrix公司俨然是远程应用和桌面这个市场的老大，公司市值大概6B左右，超过了我们熟悉的McAfee、BEA、Red Hat这些公司。

VNC是来自剑桥的一个开源项目（又是剑桥！）。因为是免费的，所以用户增长飞快。现在到处都可以下载到RealVNC、UltraVNC、TightVNC……
很多Linux也把VNC作为缺省安装服务，甚至连VMware的Server、Workstation和ESX里面都内建了VNC服务。
可惜VNC的性能效率不高，跟RDP的性能基本一样。所以在高端应用中，还暂时没有得到认可。

NX是NoMachine公司的技术。跟前三个协议相比，NX的用户量不算多，不过在瘦客户端那个领域里面，NX还是有点名气的。
其实NX的性能要比RDP和VNC好很多，没有普及开来的原因我推测有两条：
一是只支持Linux和Solaris，没支持Windows；
二是收费。
NoMachine大概也这么想，于是偷偷的做了一个开源项目，叫FreeNX，希望籍此能扩大些影响。
不过我感觉NoMachine做开源的心意不够诚恳，那个FreeNX只是个玩具级别的咚咚，基本没法用在实际环境中。

使用Rainbow tables和Ophcrack的组合工具破解Windows密码

2008-01-21T10:51:00.000-08:00

本文为寻找人生的起点(http://blog.cn-ic.org/)原创，如需转载，请注明出处，并保留原文链接。

从前面的两篇文章（得到WindowsXP管理员权限的有效方法，John/bkhive/samdump, 在Linux下破解SAM密码）可以看出我对Windows系统权限突破的兴趣。由于目前的压迫尚未推翻，所以反抗还在继续。这次讨论的是采用Rainbow Table与Ophcrack结合的另外一种暴力破解机制。这里假设的前提是你已经得到加密hash。如果你还没有办法得到hash，请参考上面提到的两篇文章。

说实话，google上关于rainbow tables的相关说明并不多。相信最全的解释可以通过这个链接了解。但是wiki的，英文的，除非有特别必要的需求之前我还没有打算细细研究。但是据我目前的了解，作如下解释，不确切之处还请指出：

Rainbow tables是一些表，它可以是指定字符的各种组合以及这些组合经过MD5或LM或NTLM等加密手段加密后的对照表。所以可想而知，这些表是相当庞大的。当你得到这些表后，破解hash密码实际上相当于字典破解了，速度相对普通的暴力破解会大大增加。下面让我告诉你著名的基于Rainbow tables的开源破解软件Ophcrack的帮助文档里面描述的表有多大吧：
针对LM密码的Rainbow Tables:

1.包含所有字母和数字1-7位组合的Table分成有两个 Alphanumeric SSTIC04-10k(388MB)和Alphanumeric SSTIC04-5k(720MB)，从我查得的资料表明这两个Table在密码组合个数上是一致的。但是Alphanumeric SSTIC04-5k文件更大一倍，如果有1G以上的内存的话，破解速度快4四倍(为什么会有这种诡异的差异，没有查到)。他们包含800亿个hash, 由于LM加密对大小写不敏感，所以能破解2^83个1-14位的LM密码。
下载地址： http://lasecwww.epfl.ch/~oechslin/projects/ophcrack/

2.LM延伸表，包含所有字母＋数字＋33个特殊字符（!”#$%&’()*+,-./:;<=>?@[\]^_`{} ~）的96%的1-7位组合包含7万亿个hash,能破解2^92个LM密码。大小7.5G
获取方式：目前没有官方下载，可以通过ophcrack的网站购买DVD，价格$240,地址：http://www.objectif-securite.ch/en/products.php
另外我找到freerainbowtables.com的bt下载，号称更大，33.8G(http://www.freerainbowtables.com/tables/lm.php),或者下载软件自己生成（生成方式见本文后面）。
针对NTLM密码的Rainbow Tables:
1.NT hash table: 包含1-6位的字母+数字+33个特殊字符组合，7位字母+数字组合，8位小写字母+字符组合;包含7万亿个hash,能破解7万亿个密码。大小8.5G
获取方式：目前没有官方下载，可以通过ophcrack的网站购买DVD，大小就是上面描述的8.5G，价格$240,地址：http://www.objectif-securite.ch/en/products.php
同样可以上 freerainbowtables.com看看（地址：http://www.freerainbowtables.com/tables/ntlm.php），有很多选择，最大的1-9位小写字母＋数字组合有123G，小心你的磁盘。
从上面的内容我们可以看到Rainbow tables都相当庞大。而实际上这些东西从某种意义上来说都只是字典文件而已。当然它跟传统的字典是有区别的，它是一个庞大的字符加密hash与字符加密前的对照表，使用相应破解工具在破解过程中进行的只是对比的工作，省却了将字符加密计算的过程，从而大大节省了时间。
如果上面提到的Rainbow Tables的获取有困难，或者不满意他们的组合方式，也可以自己生成，这里有一个开源工具：
RainbowCracK：http://www.antsight.com/zsl/rainbowcrack/作者可能是个叫Lei Shuang 的国人。
目前最新版本：rainbowcrack-1.2
提供Windows二进制码（rainbowcrack-1.2-win.zip）和可用于所有平台（Windows/Linux/Unix等）的源码（rainbowcrack-1.2-src.zip）
提供自定义组合字符，
提供lm,md5,sha1以及自定义组合加密方式。如果加一个补丁（ Algorithm patch for RainbowCrack 1.2）还提供NTLM,MD2, MD4 and RIPEMD160加密算法
如果你打算使用工具自己生成的大Table的话，你需要做好心理准备，需要强劲的CPU，大的磁盘可用空间，以及大量的时间（使用单台PC以年为单位的时间）。所以该工具的主页上也有一些Table提供下载。

讲了半天，上面提到的还只是Rainbow tables的各种表，至于如何使用这些表，还需要一个工具。这里推荐大名鼎鼎的Ophcrack:
Ophcrack主页：http://ophcrack.sourceforge.net/
最新版本：Ophcrack-2.4.1,提供Windows二进制文件包（ophcrack-win32-installer-2.4.1.exe ）和可用于所有平台(Windows/Linux/Unix等）的源码(ophcrack-2.4.1.tar.gz)
使用该软件破解需要两个条件
1.需要另外提供Rainbow tables,就是上面提到的
2.要求已经得到密码的hash,方法可参考John/bkhive/samdump, 在Linux下破解SAM密码，所以主页还提供了 bkhive-1.1.1.tar.gz和 samdump2-1.1.1.tar.gz。
另外Ophcrack还提供一个Live CD,最新版本1.2.2，下载地址：ophcrack-livecd-1.2.2.iso
ophcrack-livecd 基于一个叫SLAX6的小Linux 系统，整个系统包括SLAX6,ophcrack for linux 以及一些小的字母+数字的Rainbow tables。大小477M
所以只要可以通过光盘启动，无需安装就可以开始破解了。
关于Windows密码的LM加密和NTLM加密：
LM又叫LanManage，它是Windows古老而脆弱的密码加密方式。任何大于7位的密码都被分成以7为单位的几个部分，最后不足7位的密码以0补足7位，然后通过加密运算最终组合成一个hash。所以实际上通过破解软件分解后，LM密码破解的上限就是7位，这使得以今天的PC运算速度在短时间内暴力破解LM加密的密码成为可能（上限是两周），如果使用Rainbow tables, 那么这个时间数量级可能被下降到小时。而这种脆弱的加密方式在Windows2003还在使用。当然我们也可以通过设定注册表参数禁用LM加密，代之以 NTLM方式加密（默认生成LM以及NTLM两种方式的加密hash）.方法如下：
1. 打开注册表编辑器；
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa；
3. 选择菜单“编辑”，“添加数值”；
4. 数值名称中输入：LMCompatibilityLevel ，数值类型为：DWORD，单击确定；
5. 双击新建的数据，并根据具体情况设置以下值：
0 - 发送 LM 和 NTLM响应；
1 - 发送 LM 和 NTLM响应；
2 - 仅发送 NTLM响应；
3 - 仅发送 NTLMv2响应；(Windows 2000有效)
4 - 仅发送 NTLMv2响应，拒绝 LM；(Windows 2000有效)
5 - 仅发送 NTLMv2响应，拒绝 LM 和 NTLM；(Windows 2000有效)
6. 关闭注册表编辑器；
7. 重新启动机器
在Windows NT SP3引入了NTLM加密以及Windows2000以后逐步引入的NTLM 2.0加密解决了这个问题，让我们在短期内破解长度超过8位的密码成为一种运气。但是LM加密方式默认还是开启的，除非通过上面的方法刻意关闭它。

揭密征途赚钱模式：史玉柱在赚谁的钱

2008-01-01T11:03:00.000-08:00

史玉柱已经变成了无法再扼制的巨大财富象征。在保健品市场，“脑白金”与“黄金搭档”已经压倒了其他声音，以致无论何时何地，只要你打开电视，就无法躲避那遮天蔽日、令人生厌的“今年过节不送礼呀，送礼就送脑白金”。史玉柱的野心当然不限于“脑白金”与“黄金搭档”，陈天桥卖《传奇》暴富后，他就敏锐地意识到，这可是一个比保健品圈还要广阔的财富场。《征途》是他将自己放进市场调研的结果，迎合了普罗大众在现实生活中需要各种刺激的急迫欲望，与“脑白金”、“黄金搭档”一样，对他所蛊惑的特定消费者构成了某种一旦进入就无以摆脱的诱惑。史玉柱的产品其实都有赖这种蛊惑的酝酿。这款越来越疯狂的游戏自然引发了人们对财富道德的争议，但史玉柱从不在意这些争议，他需要它们，它们本身就是他运用蛊惑的一部分。

　　8月，刚刚做完激光手术的史玉柱摘掉了戴了多年的眼镜。许多年来，他一直没离开过这副纯金边框眼镜，除了有一天晚上，作为赌注，他输掉了它—— 他的一位下属一口气喝了近一瓶48度白酒没被醉倒。不过据说，他后来又用重金把眼镜赎回来了。史玉柱现在打算给《征途》的营销渠道做一次大手术，他宣称， 3年内《征途》的营销要扩充到2万人，以抢占日益增长的二三级城市网游市场。这个已经为销售“脑白金”、“黄金搭档”创造出巨大财富的团队，本来就是史玉柱精心培育的一支“军队”。这支“军队”被他指挥以“从农村包围城市”，“最大幅度地宣传鼓动大众”，本来2000多人的规模，现在正以每月近300人的速度壮大。

　　史玉柱于是又一次，通过一个产品构思，赢得了超乎寻常的财富。上海市广电局的一份统计报表显示，去年《征途》网络已经创造了6.26亿元的营业额，今年随着营销深入，月运营收入已经超过1.6亿元。这部分收益还不包括过去4年、频繁的股权投资给史玉柱带来的惊人赢利。

　　10年前，他还是一个四处躲债的著名失败者，他从20世纪末的那场几乎可以让任何生意人一蹶不振的打击下活过来崛起的速度令所有人惊讶。“甚至可以说，他根本上没有意识过自己的失败。”一名接近史玉柱的人士称。实际上，从“脑黄金”到“脑白金”，他由失败到重新成功所依赖的产品，只不过顺应了人们将“黄金”改成“白金”的喜好。这个财富传奇，看起来多少带有浓烈的嘲讽意味。史玉柱在安徽统计局农调队时的领导朱家功曾在巨人集团倒塌、史玉柱最失意落魄的时刻去珠海看他，朱家功说他当时看到，史玉柱一直在他的电脑上忙碌，“脑白金”已经在谋篇布局。朱家功说，他当时曾不解地提出疑惑:“‘脑黄金’刚失败，‘脑白金’怎么行？”那位“穿格子衬衫、短裤”，“每天闭门不出，在400平方米空空荡荡的房间里踱来踱去”的年轻人的回答简直就是一个胜利者，而非一个3.5亿元的负债者:“他当时就坚决地对我说‘花不了多少钱，肯定行’。”

　　怎样再看史玉柱已经成就了的这个超级传奇呢？不要小看他那些产品的命名:“脑黄金”、“脑白金”卖健康;“黄金搭档”卖聪明;《征途》卖权力与欲望;就概念而言，它们确实构成了坚实的民众需求基础。“脑白金”真能给人健康？“黄金搭档”真能给人聪明？《征途》真能使人拥有理想中无法无天的权力？它们只作为一种概念而具备供需基础。但对于史玉柱和他的营销团队而言，只要将这个空洞概念忽悠得深入人心，就能将概念变成真正的黄金。这就是中国特色的 “零风险套现”的超级资本魔术，卖什么产品对史玉柱来说从来不重要，重要的是如何最大幅度地调动社会金字塔底层的消费者中隐藏的需求，这个社会群体人数最庞大、最没有理性思维的磨炼、最缺少信息支持，因此也就最容易被具有蛊惑性的宣传所鼓动、所支配。史玉柱清醒地意识到:得到了最广泛民众的支持，就会获得最广泛的财富来源。他的一次次产品营销策略的实施，也就是一场场最广泛群众运动的发动过程——人民群众调动起来，就成为他从无到有、取之不尽财富的汪洋大海。从他积累财富的策略中,最深刻映现出，广大无意识消费者就这样轻易成就了一个中国富豪的暴富。

　　《征途》是怎样赚钱的

　　史玉柱最擅长这样的心理战术:先给玩家一点好处，今天发工资，明天送红包，让他们以为占到便宜，可以获利，待玩家进一步增加投入后，很快就将获利的途径堵住。

　　现实经济中没有上帝，但虚拟经济中有上帝，史玉柱就是上帝。

　　记者◎陈赛

　　月盈利850万美元纪录

　　“在《征途》里，我们所做的一切都是为了装备，一切装备为了杀人，一切装备反映了钱，体现一个人有钱没有，在社会上是否吃得开。”玩家“战神V”这样总结《征途》。

　　这位25岁的青年，过去一年里，为一个《征途》账号陆续投入7万元人民币，不算最夸张的，他所在的服务器内，一个账号值十几万元的大有人在。他所在的南方小城里，像他这样的有钱少爷也不少，父辈开工厂，生意做到海外去，后辈则在家中享福，住几百万元的房子，开几十万元的车子，一份闲职拿两三千块钱的工资，父母每月还往银行账户上汇钱。

　　这些人证明了《征途》的商业模式何等精准——“赚有钱人的钱”。世上无聊的有钱人何其多？

　　不过，几个有钱人扛着最生猛的装备互相砍来砍去，有何乐趣可言？

　　“养100个人陪1个人玩。”史玉柱说。

　　因此，在他的设计中，《征途》里只有两类玩家。一类是有钱人，他们有钱到花几万元人民币买一套虚拟装备可以连眼睛都不眨。史本人是最佳代表，他曾在很多场合说过自己玩《传奇》的故事，如何如何就花掉了5万元人民币，这段《传奇》经历成了后来他做《征途》的直接灵感。另一类是穷人，没什么志气的穷学生，二三级小镇里无所事事的青年，钱虽不多，但每天有大把大把的时间不知如何消磨。一听有免费游戏玩，已觉得拣到大便宜，《征途》开始发工资之后，更加趋之若鹜。

　　对玩家这样简单粗暴的分类，注定了《征途》这款游戏格调不高，但符合史玉柱一贯做生意的风格。对他来说，只有赚钱是重要的，虚名骂名一概置之脑后。2004年底，他刚入网游行业时，很多业内人觉得他做保健品的来做这个，不靠谱，又过于张扬，惹人反感。但才两年时间，《征途》月盈利达到850万美元，同时在线人数超过100万，仅次于网易。一方面痛心疾首大骂《征途》，另一方面认真学习《征途》的赚钱秘术，是这两年中国网游业人士最热衷的两件大事。毕竟，这是一个没有纪律、成王败寇的行业。做游戏的人为适应环境而挣扎，“利”字当头，谁会为迁就不相干的道德标准而牺牲金钱？

　　有史以来最烧钱的装备系统

　　对《征途》玩家来说，装备是游戏中一切活动的中心。富玩家一掷千金，穷玩家辛苦赚钱，无非为了在游戏中置办一套好装备，能杀人，能自卫，即使不能横行天下，至少安全行走江湖。

　　《征途》的装备系统是国产网游中最烧钱的。与《传奇》等老网游不同，《征途》并不直接卖装备，而是卖材料。一套装备12件，包括衣服、项链、头盔、盾牌、鞋子、护腕、腰带、戒指……每件装备先由各种原始材料合成不同等级的打造材料，方可打造完成。

　　史玉柱开发《征途》时，将材料等级设为九等，等级越高，价格越贵。原始材料分两类，一类是低级材料，包括棉线、软皮料、玉石、铁矿、檀木料等，与之对应的高级材料包括丝线、硬皮料、水晶石、银矿、乌木料等。5个原始材料可以合成一个一等的打造材料，5个一等合成一个二等，以此类推。目前《征途》的材料只开放到六等，单价约300元，五件六等材料合成一个七等装备，至少1500元。若要打造一整套，还要乘以12，各位可以自己计算一下账目。

　　材料凑齐整了还不够，《征途》在装备上设置了极其繁琐的升级系统。装备每升一级就会多一颗星星，升到12颗星星时，全部星星会变成太阳。再从一颗太阳继续升级，升到14颗太阳。从一颗星星到14颗太阳，每升一级都是一大笔人民币。这还算不得最花钱的地方，最后还要看升级的成功率。升级一旦失败，则前功尽弃，还得重新改造，又是一大笔钱……如此这般下来，一套装备做完，几万块钱轻轻松松送给《征途》。据一位玩家计算，若有一日，《征途》的材料开放到第九等，一套九等装备价位将高达百万元以上。

　　这样疯狂的追求顶级装备，是因为在《征途》里，装备价格与杀伤力成绝对正比，级别反而不重要。没有好装备，160级的玩家打不过100级的玩家;装备好到一定程度，则一夫当关，万夫莫开，说夸张点，“一个人能把一个国家给灭了”。

　　当然，这样的奢侈游戏只有极少数有钱人玩得起。为了吸引更多的非人民币玩家进入，《征途》为他们提供了不少赚钱的方法。智力答题、运镖、采集、种植、骑自行车、泡澡、跑迷宫、组织团队和帮会，都可以升级。玩家也可以通过打怪、采矿获得装备材料，但基本上只能得到垃圾材料，四等以上的好材料获取几率很低，因此常常逼得穷玩家也得花钱购买。

　　其实，如果心态平和，又有足够的技巧与耐心，并非不能在《征途》中慢慢混到很高的段数，《征途》经常热情宣传一些玩家如何分文不花当上了某国的国王，煽情如主旋律报告文学。但若真有这样的清平智慧，实在没必要在《征途》中混。《征途》是一个不容人心平气和的地方，它时刻都在刺激你的欲望。

　　乱世征途：杀人无罪，抢劫有理

　　“经过千辛万苦、熬更守夜，终于换来一身太阳装，还没从陶醉里清醒过来，突然来一黑点，自己已被斩于马下。”

　　这在《征途》里叫“秒杀”，一秒钟之内杀人于无形。

　　鼓励杀人，是《征途》的特色。传统网游里，杀人是要加红名的(一种游戏中的惩罚措施)，但《征途》里，杀人不仅不会变红名，还可以得到“功勋值”，如果你想打造高级装备，升级，都必须有功勋值，而且越高越好。每杀一人，还会被系统通告天下，很有成就感。

　　中国的网络游戏一向热衷于制造乱世，因为乱世不仅出英雄，更重要的是刺激欲望:血海深仇，王霸雄图。而《征途》是乱世中的乱世——10个对立的国家终日混战不休，游戏屏幕上方的滚动条一直在刷新战地新闻:

　　“有外国人在周围，袭击我国国民，请去支援。”

　　“风雪真人在周国边境成功击败进攻者。”

　　…………

　　记者问“战神V”:

　　“征途里最开心是做什么？”

　　“杀人呗。打得跟狗屎一样，对骂倒是有，骂死为止。好玩啊。”

　　“除了杀人呢？”

　　“抢劫啊。最爽是去外国抢劫。闯过边境，镖车一到，一拥而上，多爽。”

　　鼓励抢劫，是《征途》的另一特色。《征途》中有一项经验值最高的任务——运镖，玩家要交银子给系统做押金，一天可以运5次，每次平均交2锭银子。如果镖车半路被人打劫，则押镖人的银子被系统没收，劫镖人反而可以得到一定的银子。

　　“战神V”骑着赤兔马，一身白色太阳装闪闪发光。这套衣服光改装费就是4500元，贵过真实世界里的高级西服。他对记者的虚拟分身——一个叫 “猴妖”的女战士说，“跟我来，带你见识一下”。不知为何，在他的虚拟地盘上，连键盘上敲个方块字，都有指点江山的味道。自我感觉如此良好，难怪那么多富人玩家沉迷其中。

　　那是一个押镖车队经过的危崖，高头大马驮着金箱银箱经过，几百个红男绿女的虚拟分身骑马在眼前闪过，天空飞着叫不出名字的召唤兽，根本分不清楚哪些是押镖的，哪些是抢劫的。只是当鼠标变成血淋淋一把小尖刀，便说明对方是敌国玩家，可以格杀勿论。

　　莫名其妙杀了几个人，又糊里糊涂被杀了几次，却连个人影都没看清楚，头昏脑涨之余，记者跟“战神V”告别，退出《征途》。天知道，名字已被系统列入多少陌生人的仇人名单，仇人名单里又列了多少陌生人的名字？

　　这么轻易就结下仇怨，真不值得。但这就是游戏规则，若没有杀人的快感与被杀的怨愤，《征途》如何刺激玩家对高级装备的欲望？

　　一个几百号人劫镖的小场面已经如此夸张，数万人混战的万人国战会是什么样子？

　　据说万人国战中很多高手都是征途公司安排的枪手，他们的装备和级别都是最高的，不仅起到极品装备推销员的作用，更重要的是挑起各种矛盾，在玩家之间撒播复仇的种子。要报仇么？花钱吧。

　　稍微理智一点，就离开这个游戏了;有幽默感一点的，会想:“这些钱，买真人的命都够了，游戏里杀个把人算什么？”但是不，大部分人是知耻而后勇的。在《征途》中，穷玩家被杀红了眼睛，一时冲动起来，拿出真金白银与对方拼，冲个几百一千元的，多如牛毛。不过，他们很快会发现，《征途》是个无底洞。金钱决定一切的世界里，穷人永远斗不过富人。

　　拿真实的金钱换虚幻名利

　　“战神V”并不认为游戏里的“杀人”、“抢劫”可以与现实世界中的行为对应起来，“但《征途》的确抓住了人的弱点，我们的好胜心、虚荣心，还有不可救药的斗富心理”。你一身绿，我也一身绿，你一身完美，我也一身完美，你身上四个灵魂锁链，我再加六个，你开1000个宝箱，我就开1万个，比的就是钱多，拿真实的金钱换虚幻的名利。

　　为了保持游戏的公平性与平衡性，以往的游戏会自觉约束高手中有钱人的比例，比如玩《魔兽世界》，你不可能买到所有装备，除非出天价，99%的人要靠自己练级得到装备。但《征途》的游戏规则是金钱万能，谁有钱，谁就有好装备，谁杀人杀得最爽，抢劫抢得最痛快。或许，这就是《征途》玩家追求的终极快感——将众人踩在脚下？国家第一不行，世界第一也不行，跨服务器远征，总之，要做天下第一。

　　“别以为《征途》里的有钱人个个都像我这么游手好闲，有不少是私企老板，平时很忙的，他们花多少钱无所谓，就是享受这种号令四方、一呼百诺的感觉。工厂里，他能指挥几个人？在这里，上万号人都得听他的。”人就是这样，老大做久了，容易上瘾，变本加厉。

　　物质上压迫你，精神上刺激你，给你虚幻的名利，来来去去无非为了诱惑你花更多的钱来玩游戏。这样的诱惑，无论富人穷人，都没有免疫力。富人求名，穷人求利，人类进化了这么多年，仍自愿为“名利”二字套牢，喜怒哀乐都逃不过它的大手。

　　德国哲学家伽达默尔曾说过:“游戏的世界构成了一个独立的、超凡脱俗的世界，一旦进入这个世界，就会忘却世俗的烦恼，享受一种了无挂碍的生活，游戏的人才是真正的人。”但是《征途》恰好相反，人们明知《征途》是个比现实世界更加残酷的名利场，仍然趋之若鹜，自寻烦恼。

　　“利益”是最好的社区黏合剂

　　今年5月，《征途》宣布同时在线人数超过100万，相当于一个中型城市的人口。

　　“网游最大的吸引力在社区，在玩家之间的互动。人一多，游戏里必然会形成一个复杂的稳定的社会结构，里面会有他的朋友和敌人，他会舍不得离开，即使离开了，总还会回来。”

　　史玉柱很清楚，对一个社区来说，“利益”是最好的黏合剂，尤其是网游中的社会系统，如家族、帮会、国家，只要嵌入其中，就很难退出，因为彼此利益休戚相关。

　　《征途》中有“推荐人制度”，即你带一个新玩家进来，新人每升一级，系统都会付给你钱。这样的“带号”性质与传销相似，因为利益驱动，牵动身边人际链条，玩的人便越来越多。到后来没有新人可以带了，就自己注册若干小号，自己带自己玩，赚几两银子，也是很普遍的现象。《征途》对玩家的这些小骗术十分宽容，因为贡献了更多的“同时在线人数”。

　　运镖是《征途》中最符合“高风险高利益”的一项任务。因为一个人不可能完成，玩家们很自然会联合在一起，采取“人多势众”的战略，现在《征途》陆续开放了家族运镖、国家运镖系统，参与者都能获益，而人的行为是很容易被收益所强化的。

　　万人国战也是如此。《征途》这种大规模的国战在一般网络游戏中很少见，更绝的是，《征途》设计了“国战竞猜”的项目，类似于赌马。下注的玩家本身就是比赛的一方，因为自己可以控制胜负，于是加倍出死力，不断增加装备投入。

　　史玉柱很懂得人多的好处:人多的地方，恩怨就多。所以，《征途》的服务区合并非常频繁——几个小服务区合并成一个大服务区。“战神V”说自己所在的服务区一年内已经合并了4次。“本来一个国家运转很正常，一合区，原来的环境和秩序就被打破了，利益冲突就产生了，城主要重新安排，国王要重新争王位，大号和大号之间要重新争夺排名。”

　　“上帝”史玉柱

　　在一些大赌场里，庄家会免费送新赌客一些筹码玩，人一旦上瘾，欲望就是刚性的。《征途》的策略也是如此。《征途》入门上手很容易，但越到后来，升级越难，需要投入越来越多的时间金钱，越来越多的机制让你不愿意退出。

　　在《征途》里，史玉柱最擅长这样的心理战术:先给玩家一点好处，今天发工资，明天送红包，让他们以为占到便宜，可以获利，待玩家进一步增加投入后，很快就将获利的途径堵住。

　　现实经济中没有上帝，但虚拟经济中有上帝，史玉柱就是上帝。

　　前段时间闹得很大的“保险绑定案”就是如此。2006年11月，《征途》推出了“5倍增值保险服务”，玩家购买“保险”后，在游戏中的角色每提升10级，系统就返给投保人丰厚的金币(游戏中的虚拟货币)作为红利。半年后，征途官方在没有任何公告的情况下，把玩家的保险进行了绑定——将玩家保险红利的60%打入了游戏的“工资账户”上，只能在游戏里的道具商店中购买商品，购买后的商品也被绑定了——被锁定在玩家固定的ID账号上，不允许交易和转让。这样玩家手中虚拟货币大部分成了代金券。一个名为阿叛的网友不甘心，将征途公司告上法庭。目前此案还在调查过程中。

　　不久前，在网上看到一个苦哈哈的玩家细诉在《征途》中赚钱的辛酸史，令人忍俊不禁。此人自称在《征途》玩了8个月，没花一分钱，也没骗过一分钱，所有挣的钱，全凭技术加头脑，再加上无限多的上网时间换来的。先是蹲点专杀BOSS，靠BOSS爆出的技能书，赚了点小钱，但一次《征途》更新之后，杀BOSS得的装备大部分都成了绑定的，不能再摆摊交易。后来《征途》干脆自己开了书店，书价大跌，立时断了这位仁兄的财路。

　　给玩家“发工资”也是一样的道理。所谓“工资”，其实是游戏币，对《征途》来说，一点成本都没有，属空手套白狼，改个参数就是了。而对成千上万冲着工资涌入《征途》的玩家来说，要拿100元的虚拟工资，必须先花费10倍、几十倍的现实金钱或时间。征途对领工资制度有非常详细的规定:每月一个账号角色必须达到4800点荣誉值以上才可以领工资，必须带50级以下的账号才可以获得荣誉值。不仅如此，《征途》还规定凡每月在线时间少于60小时的账号都拿不到工资，而只有每月在线超过120小时才有可能拿到价值100元的“全额工资”。

　　照理说，无论是发工资、卖保险还是国战竞猜，都是平白无故在流通领域增加虚拟货币，势必造成通货膨胀，物价飞涨。在一定范围内，通货膨胀越严重，玩家越有动机用人民币消费，而不是在游戏里打怪赚银两，因为用时间换取的成本太高了。这固然符合《征途》的利益，但若是超过限度，可能造成大量非人民币玩家的流失，更严重时会导致虚拟经济体崩溃。不过史玉柱是虚拟经济里的金融高手，长袖善舞，比起其他的网络游戏，《征途》的通货膨胀问题反而得到了较好的控制。

　　“以前的网游都有规则，但规则不是法律，可以打破。”对他来说，只要法律不限制的地方，到处是赚钱的机会。彩票、赌博等问题在网络游戏中已然泛滥，但一直缺乏政府监管。《征途》中的“密银宝箱”就是典型的彩票。每个周末，《征途》游戏里都会刷出一批名叫“吉祥三宝”的怪物，杀掉怪物后玩家有 100%几率得到“密银宝箱”，打开宝箱有可能爆出好装备，但开宝箱的钥匙只有在网络商店里才能买到，1把钥匙1元钱。人性好赌，一些有钱玩家一天竟开掉 1万多个宝箱。《征途》今年2月推出“密银宝箱”，3月的财务报表就显示营业额为1.8亿元，专业人士估计最起码1/3的收入来源于开宝箱。

　　老玩家、史东家和新规则

　　我们希望裘新这样的中国游戏老人评判一下目前中国网络游戏的底线是否被拉低了，他回答:“网络游戏还是存在着道德底线的，我的判断标志很简单，当一个游戏的玩家在下线以后厌恶这个游戏，但下次还不得不玩时，这个游戏就已经触及了道德底线。”

　　主笔◎尚进

　　“我不是一个合格的企业家，也不是一个合格的投资家，但我是一个合格的乃至优秀的玩家，我玩游戏已有21年时间。”这是2006年8月史玉柱在上海推广《征途》时的公开说法，实际上，1985年史玉柱还没到深圳大学读研究生，当时所玩的游戏也不过是移植自FC游戏机的《挖金子》。史玉柱真正迷恋电脑游戏，还是1996年以后，当时“脑黄金”已经处于销售高潮期，而巨人大厦已经出现了资金危机，拿“脑黄金”输血巨人大厦直接拖累了整个巨人集团，将近一年半的时间史玉柱都在忙着为巨人大厦的资金解困。

　　媒体爆出“巨人”出现资金危机后，那些购买了楼花的投资者纷纷上门，搞得史玉柱无法正常办公。正是这段时间，关起门来的史玉柱真正将电脑游戏当成了唯一的放松娱乐。回合制策略游戏《魔法门》，以及EA出品的《命令与征服:红色警戒》和微软《帝国时代》这两款即时战略游戏，都是当时史玉柱的最爱。

　　《征途》出现之前，中国的网络游戏市场已经高速成长了3年，网络游戏规模从2001年的3.7亿元，直接蹿升到了2003年的25.5亿元。史玉柱正式决定投身网络游戏业的2004年，市场规模已经达到了39.1亿元，玩家数字呈几何级别扩大，三四级城市的乡村少年成为新生力量。而2004年，华义国际运营的《石器时代》，日资背景的史克威尔·艾尼克斯运营着《魔力宝贝》，网易的《大话西游》，盛大代理运营的《传奇》，韩国Gravity公司开发的《仙境传说》，这几款老网游都渐渐进入了生命周期的末端。加之早期很多游戏都是引进日、韩开发的现成产品，运营商都需要背负昂贵的版权包袱;图谋自主开发还仅仅是盛大陈天桥和网易丁磊;而以《魔兽世界》为代表的欧美高质量网络游戏还没被引入运营;老网游更倾向研究如何延长自己的运营周期，好多贩卖点游戏时间点卡。史玉柱进入网络游戏业恰在这个青黄不接的过渡期。

　　2004年以前，不论游戏玩家玩《大话西游》还是《传奇》，每个月花费50元人民币基本上就够了，当时的网络游戏商业模式还参照国际通行惯例，主要收取玩家登陆游戏的时间费用。不少网络游戏为了争取大量同时在线玩家，甚至直接设计了68元的包月不限时点卡。在2003年，只要一款新运营的网络游戏保证公开测试能吸引来10万人以上，并在正式收费时候能保证5万人的忠实用户，基本上这款游戏就肯定赚钱。像史克威尔·艾尼克斯2001年底开始公开测试运营的《魔力宝贝》，一度吸引了20万人同时在线，北京晶合软件公司独家代理了其点卡渠道的销售权，提成比例只有10%，拿代理提成就实现了3000万元以上的年利润。甚至有人当时帮《魔力宝贝》计算过，2002年3月15日正式收费运营后，150天就收回了服务器等全部硬性前期投入，运营250天以后基本上就是干拿纯利润了。此后《魔力宝贝》又保持了近2年的热度，整个项目3年时间至少拿到了200%以上的收益。这种行业规则一直延续到2005年，尽管包括金山、搜狐、TOM在线等众多大级别的软件和网络公司加入网络游戏行业，提高了网络游戏运营的资金和成本门槛，引发了不少小公司的倒闭崩溃，但收取几十块钱点卡费，一款游戏赚个两年钱的行业规律，并没有本质变化。

　　史玉柱的《征途》，则打破了以往的行业平衡。2002年末，史玉柱开始玩盛大自己研发的《传奇世界》，他当时还抱着玩家心态，并没有表露出要自己运营网络游戏的倾向。玩了一年多《传奇世界》后，一款同样是盛大运营的《英雄年代》震动了史玉柱，在他看来，《英雄年代》是当时国内设计最出色的网络游戏，很大程度上超过了韩国开发的同类型网络游戏，可这个游戏有些设置还是不够合理，有些应该修改的地方总是没人管。于是史玉柱侧面打听了一下，原来《英雄年代》的研发团队与运营商盛大的合作并不舒畅，《英雄年代》的研发团队成为史玉柱心目中看中的人手，对于到底有没有从盛大挖人，史玉柱的回答始终是模棱两可。他承认其中有些被他挖的人当时还在盛大上班，而另一些人已经离开了盛大。可盛大的老板陈天桥却并不这么认为，他始终对史玉柱挖走《英雄年代》研发团队耿耿于怀，并且多次在私下抱怨，这是自己犯的一个引狼入室的大错误。按照游戏圈内流传的说法，当时史玉柱通过四通公司段永基，想去同在上海的盛大办公室参观，而陈天桥在创业初期曾找过段永基做投资，尽管没有拿到段永基的钱，却始终保持着良好的关系。于是陈天桥送了一个顺水人情，他并没想到玩保健品的史玉柱居然会图谋上了网络游戏。

　　2004年7月，史玉柱曾在上海召开过一次私人酒会，庆祝巨人公司成立15周年，不少有贡献的巨人老员工被请到上海，四通总裁段永基是当时嘉宾中仅有的两位非巨人元老之一。当时史玉柱在包租的游船上已经私下透露，将再去做软件，这曾引来巨人汉卡时代不少老臣的掌声，谁也没想到，史玉柱保密中的软件会是网络游戏。实际上，2004年春节后史玉柱就已经下决心要做网络游戏了，当时召集了一些巨人时代就打天下的老人，包括副总裁刘伟，以及后来征途网络副总经理陆永华和汤敏等人，讨论的焦点就是一个，2004年再投入网络游戏行业晚不晚，实际上这种讨论更接近史玉柱说服大家同意他个人的决断。于是挖人，成为史玉柱转入网络游戏的敲门砖。毕竟史玉柱在90年代有过运营IT公司的经验，他手下也曾有过姜巨满这样的汉卡关键人物，蒋涛这样的手写技术精英，以及后来独立开发出《超级解霸》的梁肇新。毕竟史玉柱自己也动手用汇编语言写过代码，他很清楚这些程序员到底需要什么。对游戏开发者的待遇，史玉柱颇为大方，具体额度并没有经过他手，他对征途公司副总经理汤敏的指示只有一条，重点技术人员不设待遇上限，只要技术能力值得，就不怕付高待遇。老牌游戏人、梦工厂软件创始人裘新与这个研发团队有过接触，他说:“《征途》的团队其实就是原来盛大《英雄年代》的团队，《英雄年代》并不成功，史玉柱本人是经历过大起大落的，他很清楚成败都是暂时的，关键是下一个，所以他用了一个当时并不成功的团队，用卧薪尝胆的激将法，真的了不起。”这场人才争夺直接导致了中国网络游戏圈整体薪资的上调，盛大更是在今年7月宣布公司全体员工平均加薪20%以上，并在今年chinajoy游戏展之前，拍出了1亿元，将并不知名的成都锦天科技收于囊中。锦天科技年仅25岁的创始人彭海涛，一夜之间就成为网络游戏巨头人才竞价中的幸运儿。

　　实际上，在投身网络游戏的决定之前，史玉柱已经敲定将自己的脑白金项目75%股权转手给四通，这样他手头已经拿到了6.36亿元现金。另一方面是2003年，史玉柱从四通和首钢股份很巧合地买到了1.4亿股华夏银行IPO上市前的原始股份，并在每10股转增2股后，持有了华夏银行1.68亿股。再有就是民生银行，当时万通实业要上市，冯仑打算清理非地产业务以外的资产。从1994年泰山研究院认识以后，冯仑始终跟史玉柱算是朋友，于是他以极低价格拿到了冯仑手上1.43亿股民生银行国内法人股。手握接近5亿现金和稳赚不赔的银行原始股，史玉柱开始了自己在巨人集团和健特公司之后的第三个转折性项目。

　　最初史玉柱有过财务分析，网络游戏投入两亿元就足够了，但在测试了几个月后，他发现，网络游戏根本不需要那么多资金投入。除了服务器和人员工资，没别的什么成本。据估计，《征途》最初只破费了7000万元就运转起来。一切的分水岭都是在2005年的11月28日，盛大突然宣布自己最火爆的《传奇Ⅱ》全面免费，不再收取任何时间点卡费用。纳斯达克的分析师们当时都傻了，纷纷打电话询问盛大是不是糊涂了。其实陈天桥并没有糊涂，他的免费策略是直接冲着史玉柱的《征途》来的。11月15日，《征途》开始了内部测试，盛大的一位副总探听到了《征途》将在测试后直接免费的事情，了解到《征途》将采取游戏内部道具盈利的商业模式，陈天桥几乎是在3天内做出应对史玉柱的决断，整个中国网络游戏的历史就此改写。

　　不再计较玩家时间点卡的那几十块钱的月收入，《征途》在游戏内做文章的商业模式，直接刺激了整个网络游戏业，从市场收入就能看出端倪。2006 年网游市场规模突然跃升到了78亿元，远远超过了2005年的55.2亿元和2004年39.1亿元的常态增长率，这个数字甚至在2007年预计接近90 亿元。“2005年底确实是一道分水岭。”梦工厂软件创始人裘新在接受采访时说，“从商业模式讲，从延长点卡时间长度，到包月模式，再到贩卖道具模式的转变，史玉柱使网游的商业性越来越社会化，盛大、网易、九城，原本这3家公司上演的‘三国演义’，已经彻底被史玉柱的《征途》搞成了战国群雄的状态。尽管在《征途》刺激下让大多数新游戏开发品质有所提高，但有限的技术进步根本无法与市场收入暴涨相比。”

　　对于史玉柱和他的《征途》，大多数网络游戏圈内人都是诚惶诚恐，一面拼命学习《征途》模式，如何将用户免费变成日进斗金的模仿精髓，另一面频频摇头《征途》打破了很多国际网络游戏界公认的规则。裘新认为:“以前单机游戏时代中国有几千万玩家，行业产值还不如惠普打印机喷墨孔增大0.5毫米所增加的产值大，这就是商业模式的威力，它远比玩家玩《仙剑奇侠传》掉眼泪的力量大。商业模式其实比产品本身更重要，这也是我在这几年才理解到的，估计史玉柱 10多年前就理解透了。《征途》如果有危机，一定会在《征途》本身上，但它的成败不会影响行业，史玉柱也没这么大的能量。”而对于饱受批评的商业底线问题，史玉柱并不回避，甚至自嘲认为如果给网络游戏分级，他的《征途》将直接申请为三级游戏，只给成年人玩。反倒是面对《征途》的突然冲击，那些原本坚守传统网络游戏规则的公司找不到自己的底线。这种局面就如同2004年互联网上流氓软件大爆发时候，很多人都将雅虎旗下3721的插件作为道德底线一样。《征途》的出现实际上也产生了类似效应，不少正在开发中的网络游戏被迫回炉修改，巨大的经济利益驱使正在发酵。

次级贷款与贝尔斯登

2007-12-17T12:39:00.000-08:00

次级贷款CDO：美国的合法宝药党
　　次级房贷和ALT-A贷款这两类资产毒垃圾的总额为2万亿美元。这些资产毒垃圾必须从美国银行系统的资产账目表上剥离掉，否则后患无穷。怎样剥离呢? 就是通过我们经常讲的资产证券化。华尔街有句名言，如果要增加未来的现金流，就把它做成证券。如果想没有经营风险，就把它做成证券。其实，金融创新的本质就是，只要能够透支的，都可以在今天就想办法让它变现。美国人什么都炒了，不但炒房地产，还炒房地产债券，而这些债券被加入了杠杆效应，风险被放大了上百倍。这就是贝尔斯登炒做的房地产抵押证券之所以会突然成为垃圾的原因。
　　本来以次级房贷为抵押品的MBS债券是易生成，难脱手，因为美国大型投资机构如退休基金，保险基金，政府基金的投资必须符合一定的投资条件，即被投资品必须达到穆迪或标普的AAA评级。次级房贷MBS显然连最低投资等级BBB也不够，这样一来，许多大型投资机构就无法购买。但是，正规机构不能买，并不等于没有人买，相反，正是因为其高风险，所以回报也比较高，华尔街的一些从事高风险的投资银行──例如高盛等一眼就看中了这些资产毒垃圾的潜在高投资回报。于是，一些投资银行开始介入这一高危的资产领域。投资银行家们首先将“毒垃圾”级别的MBS债券按照可能出现拖欠的几率切割成不同的几块 (Tranche)，这就是所谓的CDO (Collateralized Debt Obligations)债务抵押凭证。其中风险最低的叫“高级品CDO”(Senior tranche，大约占80%)，投行们用精美礼品盒包装好，上扎金丝带。风险中等的叫 “中级品CDO” ( Mezzanine，大约占10% )，也被放到礼品盒里，然后扎上银丝带。风险最高的叫“普通品CDO”(Equity，大约占10%)，被放到有铜丝带的礼品盒里。经过华尔街投资银行这样一番打扮，原先丑陋不堪的资产毒垃圾立刻变得熠熠生辉光彩照人。

　　当投资银行家手捧精美的礼品盒再次敲开资产评级公司大门时，连穆迪标普们
都看傻了眼。巧舌如簧的投资银行大谈“高级品”如何可靠与保险，他们拿出最近几年的资料来证明“高级品”出现违约现象的比例是如何之低，然后亮出世界一流数学家设计的数学模型来证明未来出现违约的几率也极低，即便是万一出现违约，也是先赔光“普通品”和“中级品”，有这两道防线拱卫， “高级品”简直是固若金汤。最后再大谈房地产发展形式如何喜人，按揭贷款人随时可以做“再贷款” (Refinance)来拿出大量现金，或是非常容易地卖掉房产然后套得大笔利润，生活中活生生的例子信手拈来。

　　穆迪标普们仔细看看过去的数字，没有什么破绽，再反复推敲代表未来趋势的
数学模型，似乎也挑不出什么毛病，房地产如何红火大家都知道，当然，穆迪们凭著干这行几十年的直觉和经历过多少次经济衰退的经验，他们明白这些花样文章背后的陷阱，但也深知其中的利益关系。如果从表面上看礼品盒“无懈可击”，穆迪标普们也乐得做顺水人情，毕竟大家都在金融江湖上混，穆迪标普们也要靠著投资银行的生意才有饭吃，而且穆迪标普们彼此也有竞争，你不做别人也会做，得罪人不说还丢了生意。于是穆迪标普们大笔一挥， “高级品CDO”获得了AAA的最高评级。

　　投资银行们欢天喜地地走了。

　　形象地说，这个过程类似不法商贩将麦当劳倾倒的废油收集起来，再经过简单的过滤和分离，“变废为宝”，重新包装一下又卖给餐馆老板炒菜或煎炸油条。作为毒垃圾承销商的投资银行们拿到CDO评级之后，又马不停蹄地来找律师事务所建立一个 “专用法律实体”(SPV，Special Purpose Legal Vehicle)，这个“实体”照规矩是注册在开曼群岛(Cayman Island)以躲避政府监管和避税。然后，由这个“实体”将资产毒垃圾买下来并发行CDO，这样一来投资银行可以从法律上规避“实体”的风险。这些聪明的投资银行有哪些呢? 它们是: 雷曼兄弟公司、贝尔斯登、美林、花旗、Wachovia、德意志银行、美国银行(BOA)等大牌投行。
　　当然，投资银行们决不想长期持有这些毒垃圾，他们的打法是迅速出手套现。

推销 “高级品CDO”因为有了AAA的最高评级，再加上投资银行家的推销天赋，自然是小菜一碟。购买者全都是大型投资基金和外国投资机构，其中就包括很多退休基金、保险基金、教育基金和政府托管的各种基金。但是“中级品CDO”和“普通品CDO”就没有这么容易出手了。投行们虽然费尽心机，穆迪标普们也不肯为这两种“浓缩型毒垃圾”背书，毕竟还有个“职业操守”的底线。如何剥离烫手的“浓缩型毒垃圾”呢？投行们煞费苦心想出了一个高招，成立对冲基金!
　　
　　“资产毒垃圾”生产链

　　投资银行们拿出一部分“体己”银子敲锣打鼓地成立了独立的对冲基金，然后
将“浓缩型毒垃圾”从资产负债表上“剥离”给独立的对冲基金，对冲基金则以
“高价”从“本是同根生”的投行那里购进“浓缩型毒垃圾”CDO资产，这个“高价”被记录在对冲基金的资产上作为“进入价格”(Enter Price)。于是投资银行从法律上完成了与“浓缩型毒垃圾”划清界限的工作。

　　幸运的是2002年以来美联储营造的超低利率的金融生态环境滋生了信贷迅猛扩张的浪潮，在这样的大好形势下，房地产价格5年就翻了一翻。次级贷款人可以轻松得到资金来保持月供的支付。结果次级贷款拖欠的比率远低于原来的估计。高风险对应著高回报，既然高风险没有如期出现，高回报立刻为人瞩目。CDO市场相对于其他证券市场交易量要冷清得多，“毒垃圾”很少在市场上换手，因此没有任何可靠的价格资讯可供参照。在这种情况下，监管部门允许对冲基金按照内部的数学模型计算结果作为资产评估标准。对于对冲基金来讲，这可是个天大的好消息，经过各家自己“计算”，20%的回报率不好意思说出口，30%难以向别的基金夸口，50%难登排行榜，100%也不见得能有爆光率。

　　一时间，拥有“浓缩型资产毒垃圾”CDO的对冲基金红透了华尔街。

　　投行们也是喜出望外，没想到啊没想到，持有大量“浓缩型毒垃圾”的对冲基金成了抢手货。由于抢眼的回报率，越来越多的投资者要求入夥对冲基金，随著大量资金涌入，对冲基金竟然成了投行们的生财机器。

　　对冲基金的基本特点就是高风险和高杠杆运做。既然手中的“浓缩型毒垃圾”CDO资产眼看着膨胀起来，如果不好好利用一下高倍杠杆也对不起对冲基金的名头。于是，对冲基金经理来找商业银行要求抵押贷款，抵押品嘛就是市场正当红的“浓缩型毒垃圾”CDO。

　　银行们对CDO的大名也是如雷贯耳，于是欣然接受CDO作为抵押品，然后发放贷款继续创造银行货币。注意，这已经是银行系统第N次用同样的按揭的一部分债务来 “偷印假钱”了。

　　对冲基金向银行抵押贷款的杠杆比率为5到15倍!

　　当对冲基金拿到银行的钱，回过头来就向自己的本家投行买进更多的CDO，投
行们再乐颠颠地完成更多毒垃圾MBS债券到CDO的“提炼”，在资产证券化的快速通道中，发行次级贷款的银行于是更快地得到更多的现金去套牢越来越多的次级贷款人。

　　次级贷款银行负责生产，投资银行、房利美和房地美公司负责深加工和销售，
资产评级公司是质量监督局，对冲基金负责仓储和批发，商业银行提供信贷，养老基金、政府托管基金、教育基金、保险基金、外国机构投资者就成了资产毒垃圾的最终消费者。这个过程的副产品则是流动性全球过剩和贫富分化。
　　
一个完美的资产毒垃圾生产链就这样形成了。

　　国际清算银行的统计是:2007年第一季度发行了2500亿美元的CDO，2005年全年是2490亿美元，2004年全年是1570亿美元。
　　
　　“合成CDO”: 高纯度浓缩型毒垃圾

　　在某些情况下，投资银行出于“职业道德”和增强投资人信心的广告目的，自己手中也会保留一些“浓缩型毒垃圾”。为了使这部分剧毒资产也能创造出经济效益，绝顶聪明的投资银行家们又想出一条妙计。

　　前面我们提到华尔街的一贯思路就是只要有未来的现金流，就要想办法做成证
券。现在，投行们手中的“浓缩型毒垃圾”资产尚未出现严重的违约问题，每月的利息收益还算稳定。但未来很有可能会出现风险。怎么办呢? 他们需要为这种不妙的前景找条出路，为将来的违约可能买一份保险，这就是信用违约掉期(CDS，CreditDefault Swap)。

　　在推出这样一种产品之前，投行们首先需要创造一种理论体系来解释其合理性，他们将CDO的利息收入分解成两个独立的模组，一个是资金使用成本，另一个是违约风险成本。现在需要将违约风险模组转嫁到别人身上，为此需要支付一定的成本。

　　如果有投资人愿意承担CDO违约风险，那他将得到投行们的分期支付的违约保险金，对于投资人来说，这种分期支付的保险金现金流与普通债券的现金流看起来没有什么不同。这就是CDS合约的主要内容。在这个过程中，承担风险的投资人并不需要出任何资金，也不需要与被保险的资产有任何关系，他只需要承担 CDO 潜在的违约风险，就可以得到一笔分期支付的保险金。由于资讯不对称，普通投资人对违约风险的判断不如投行们更准确，所以很多人被表面的回报所吸引而忽视了潜在的风险。

　　这时候，虽然“浓缩型毒垃圾”在理论上还留在了投行的手里，但其违约风险已经被转嫁给了别人。投行既得了面子，又得了里子。

　　本来到此为止投行已经“功德圆满”了，但人的贪婪本性是没有止境的，只要还没出事，游戏就还会用更加惊险的形式进行下去。
　
　 2005年5月，一群华尔街和伦敦金融城的“超级金融天才们”终于“研制成功”一种基于信用违约掉期(CDS)之上的新的产品:“合成CDO” (Synthetic CDO)这种 “高纯度浓缩型毒垃圾”资产。投资银行家们的天才思路是，将付给CDS对家的违约保险金现金流集成起来，再次按照风险系数分装在不同的礼品盒中，再次去敲穆迪和标普们的大门。穆迪们沉思良久，深觉不妥。拿不到评级一切都是空谈。这可愁坏了投资银行家们。

　　雷曼兄弟公司是“合成CDO”领域中的当世顶尖高手，它麾下的“金融科学家”们于2006年6月破解了“高纯度浓缩型毒垃圾”中最有毒的“普通品合成 CDO”(EquityTranche)的资产评级这一世界性难题。他们的“创新”在于将“普通品合成CDO”资产所产生的现金流蓄积成一个备用的“资金池”，一旦出现违约情况，后备的“资金池”将启动供应“现金流”的紧急功能，这个中看不中用的办法对“普通品合成CDO”起到了信用加强的作用。终于，穆迪们对这一“高纯度浓缩型毒垃圾”给出了AAA的评级。

　　 “合成CDO”投资的吸引力达到了登峰造极的程度，它是如此光彩迷人，任何
投资者都会有天使降临人间一般的错觉。想想看，以前投资CDO债券，为了得到现金流，你必须真金白银地投钱进去，而且必须承担可能出现的投资风险。现在你的钱可以不动，仍然放在股市里或其他地方为你继续创造财富，你只要承担一些风险就会得到稳定的现金流。比起CDS来说，这是一个更有吸引力的选择，因为这个投资产品得到了穆迪和标普们AAA的评级。

　　不用出钱就能得到稳定的现金流，而且风险极小，因为它们是AAA级别的“合成CDO”产品。结果不难想像，大批政府托管基金，养老基金，教育基金，保险基金经理们，还有大量的外国基金踊跃加入，在不动用他们基金一分钱的情况下，增加了整个基金的收益，当然还有他们自己的高额奖金。

　　除了大型基金是“合成CDO”的重要买主之外，投资银行们还看中了酷爱高风险高回报的对冲基金，他们为对冲基金量身定制了一种“零息债券”(Zero Coupon)的“合成CDO”产品。它与其他“合成CDO”最大的区别在于，其他产品不需要投入资金就可以得到现金流，但致命的缺点是必须全时限地承担所有风险，这就有赔光全部投资的可能性。而“零息债券”型产品则是投入票面价值的一部分资金，而且没有现金流收益，但是等CDO时限一到，将可得到全部足额的票面价值，但要除掉违约损失和费用。这种本质上类似期权的产品将最大风险来个“先说断，后不乱”，对冲基金最多输掉开始投入的一部分资金，但万一没有出现违约，那可就赚大发了，这个“万一”的美好憧憬对对冲基金实在是无法抵御的。投行当然是洞悉了对冲基金经理的内心活动，才能设计出如此“体贴入微”的产品，投行的角色就是刺激和利用对方的贪婪，自己却几乎永远立于不败之地，而对冲基金就得看自己的运气了。

华尔街金融创新的想像力似乎是没有尽头的，除了CDO，CDS，合成CDO，他们还发明出基于CDO之上的“CDO平方”(CDO^2)，“CDO立方”(CDO^3)，“CDO的N次方”(CDO^N)等新产品。

　　 Fitch的统计显示，2006年信用类衍生市场达到了50万亿美元的惊人规模。从
2003年到2006年，这个市场爆炸性地成长了15倍! 目前，对冲基金已经成为信用类衍生市场的主力，独占60%的份额。

　　另外，BIS统计显示2006年第四季度新发行了920亿美元的“合成CDO”，2007年第一季度发行量为1210亿美元的“合成CDO”，对冲基金占了33%的市场份额。谁是这个高纯度浓缩型毒垃圾市场的主力呢? 令人惊讶的结果表明是包括养老保险基金和外国投资人在内的“保守型基金”，而且这些资金居然是集中投在“合成CDO”之中最有毒的“普通品合成CDO”之中。
　　
　　资产评级公司：欺诈的同谋

　　在所有的次级贷款MBS债券中，大约有75%得到了AAA的评级，10%得了AA，另外
8%得了A，仅有7%被评为BBB或更低。而实际情况是，2006 年第四季度次级贷款违约率达到了14.44%，今年第一季度更增加到15.75%。随著接近今明两年2万亿美元的利率重设所必然造成的规模空前的“月供惊魂”，次级和ALT-A贷款市场必将出现更高比率的违约。从2006年底到现在，已经有100多家次级贷款机构被迫关门。这仅仅是个开始。美国抵押银行家协会近日公布的调查报告显示，最终将可能有20%的次级贷款进入拍卖程式，220万人失去他们的房屋。被穆迪、标准普尔等资产评级公司严重误导的各类大型基金投资人，以及监管部门纷纷将评级公司告上法庭。2007年7月5日，美国第三大退休基金 ━ 俄亥俄员警与消防退休基金(Ohio Police & Fire Pension Fund)严重亏损的消息爆光，它的投资中有7%投在了MBS市场上。俄亥俄州的检察官马克。德安(Marc Dann)怒斥“这些评级公司在每笔次级贷款MBS生成的评级中都大赚其钱。他们持续给这些(资产毒垃圾)AAA的评级，所以他们实际上是这些欺诈的同谋。”
　　
对此，穆迪反驳道，简直荒谬。“我们的意见是客观的，而且没有强迫大家去
买和卖。” 穆迪的逻辑是，就像影评家一样，我们称赞“满城都是黄金甲”并不意味著强迫你去买票看这部电影。换句话说，我们只是说说，你们别当真啊。当不透明的产品而言，市场信赖并依靠评级公司的评价，怎可一推六二五，完全不认账呢? 再说，如果没有AAA这样的评级，大型退休基金，保险基金，教育基金，政府托管基金，外国机构投资基金又怎会大量认购呢?

　　一切都建立在AAA的评级基础之上，要是这个评级有问题，这些基金所涉及的
数千亿美元的投资组合也就危在旦夕了。

　　其实，资产评级推动著所有的游戏环节。
　　
　　贝尔斯登掀开的只是序幕

　　最近，华尔街五大投行之一的贝尔斯登旗下从事次级房贷的两只对冲基金出现
巨额亏损。High-Grade基金在2007年前四个月下跌5%，而同期 Enhanced Leverage基金下跌约23%。由于这两只基金都亏损促使追缴保证金和投资者赎回情况发生。贝尔斯登在这两只基金的投资不过4000万美元，从公司外部筹集的资金则超过了5亿美元。利用财务杠杆，两只基金举债90亿美元，并控制了超过200亿美元的投资，大多为次级抵押贷款支持债券构成的资产毒垃圾 CDO。

　　其实，在贝尔斯登出事之前，就有许多投资者和监管部门开始调查投资银行和对冲基金持有资产的定价问题。“金融会计标准协会”(Financial AccountingStandard Board)开始要求必须以“公平价格”计算资产“退出价格”(Exit Price)而不是“进入价格” (Enter Price)。所谓“退出价格”就是出售资产的市场价格，而目前投行和对冲基金则普遍使用的价格是内部设计的数学公式化“推算”出来的。由于CDO交易极为罕见，所以非常缺乏可靠的市场价格资讯。投资人向5个中间商询问CDO报价，很可能得到5种不同的价格。华尔街有意保持该市场的不透明，以赚取高额的手续费。

　　当大家有钱赚的时候，自然是皆大欢喜，一旦出事，则争相夺路而逃。此
时，西方社会平常的谦谦君子将撕下各种伪装。贝尔斯登与美林的关系就是如此。贝尔斯通的两大对冲基金据报导是在“次级MBS市场上押错了宝导致巨额亏损”，正确是解读应该是它们在高纯度浓缩型毒垃圾“合成CDO”中扮演了不幸承受违约风险的一方而“站在了历史错误的一边”，而转嫁风险的一方也许就是包括它的本家在内的投资银行们。截至今年3月31日，贝尔斯登的两只基金控制的资产还高达200亿美元以上，7月初两只基金的资产已缩水 20％左右。由此，这些基金的债权人也纷纷谋求撤资。

　　最大债权人之一的美林公司在反复讨债不果的情况下急火攻心方寸大乱，悍然
宣布将开始拍卖贝尔斯通基金持有的超过8亿美元的贷款抵押债券。之前美林曾表示，在贝尔斯登的对冲基金宣布调整资本结构的计画之前，不会出售这些资产。几天后美林拒绝了贝尔斯登提出的重组方案。贝尔斯登又提出增资15亿美元的紧急计画，但并未得到债权人的认可。美林准备先出售常规证券，然后还计画出售相关的衍生产品。同时，高盛、摩根大通和美国银行等据称也赎回了相应的基金份额。

　　让所有人惊慌的是，公开的拍卖上只有1/4的债券有人询价，而且价格仅为票面价值的85%到90%。这可是贝尔斯通基金最精华的AAA评级部分了，如果连这些优质资产都要亏15%以上的话，再想到其他根本没有人问津的BBB-以下的毒垃圾CDO简直就魂飞魄散，整个亏损规模将不堪设想。

　　严酷的现实惊醒了贝尔斯通，也震动了整个华尔街。要知道，价值7500亿美元
的CDO们正作为抵押品呆在商业银行的资产负债表上。他们目前的伎俩就是将这些CDO资产转移到表外资产(Off Balance Sheet)上，因为在这里这些CDO能够以内部数学模型计算价格，而不必采用市场价格。

　　华尔街的银行家们此时只有一个信念，决不能在市场上公开拍卖! 因为这将把CDO的真实价格暴露在光天化日之下，人们将会看到这些泡沫资产的实际价格非但不是财务报表公布的120%或150%，而很可能是50%甚至 30%。一旦市场价格被爆光，那么所有投资于CDO市场的各类大小基金都将不得不重新审核它们的资产账目，巨额亏损将再也难以掩盖，横扫整个世界金融市场的空前风暴必然降临。
　　
到7月19日，贝尔斯登的两个下属对冲基金已经“没有什么价值残留了”。

How to Set Up Your Own Hedge Fund

2007-10-31T22:56:00.000-07:00

By Hannah M. Terhune, Esquire 2006©

Capital Management Law Group, PLLC, Washington, D.C.

By and large there seem to be two groups of people in circulation these days: those who want to run a hedge fund and those that want to invest in them. For many, the dream of running a hedge fund is realized once they move beyond the bounds of cocktail party chatter and investigate for themselves what is required to set up a hedge fund. Luckily for Main Street, the answers from Wall Street are amazingly simple. Today, pretty much anyone with $15k or thereabouts can start a hedge fund. What money cannot buy is talent, courage and entrepreneurial drive.

Traders and money managers often dream about one day running their own hedge fund, managing large sums of money, and competing toe-to-toe with the world’s top traders. For the uninitiated, the first step toward setting up a hedge fund is getting a better grasp on what exactly a hedge fund is and what it is not.

Not a Mutual Fund. Unlike a mutual fund, a hedge fund is not open to any and all investors and it cannot advertise for investors. Unlike a mutual fund, a hedge fund can use any means necessary to make money. The SEC does not allow a mutual fund manager to use derivatives or employ shorting strategies to make money. As a mutual fund manger is limited to taking long positions in stocks and in bonds, there is more risk to investing in the typical mutual fund than investing in the typical hedge fund. Unlike a mutual fund manager, a hedge fund manager can use long and short positions and is better positioned to make money in good and bad markets.

A mutual fund manager is paid on the basis of the amount of assets under management and makes money even when he or she loses money for investors. Unlike a mutual fund manager, a hedge fund manager is paid primarily for results. Unlike a mutual fund manager, a hedge fund manager often invests significant amounts of his or her own money into the funds that they manage.

Unlike a mutual fund manager, a hedge fund manager must aggressively preserve capital and make money for investors. Hedge fund managers cannot afford to be “gunslingers” and take uncalculated risks since, as the old adage states, “it takes money to make money.” For these reasons, hedge funds are far more attractive to investors than mutual funds. It is widely agreed that the best minds in the money management business have moved from mutual funds and brokerages to the world of hedge funds.

Hedge or Hedged Fund? The term “hedge fund” was reportedly coined by Alfred Winslow Jones in the 1940s. Hedge funds are private investment pools of money. Originally, a hedge fund invested in equities, used leverage, and actually had to “hedge” and protect itself against market swings by taking long and short positions. Only a hedging fund was actually called a “hedged fund.”

A hedge fund is structured as a limited partnership structured to give the general partner (e.g., the fund manager) a share of the profits earned on the limited partner’s (e.g., the investors) money. The profit sharing (e.g. called a “performance fee” if referring to an offshore fund or an “incentive allocation” if referring to an onshore fund) is typically 20 percent of the fund’s profits. It is believed that probably about the time when the powers that be on Wall Street changed the term from “hedged fund” to “hedge fund,” it added on management fees. Management fees – typically 1 to 2 percent of assets under management -- are paid to support the cost of day-to-day fund operations. From an investor’s standpoint, management fees are unfortunate in that they cause fund managers to focus on asset gathering rather than fund performance. The best hedge funds are those that actually engage in arbitrage and employ hedging strategies and duck or minimize management fees.

As noted, a genuine hedge fund has a manager that engages in arbitrage and employs hedging strategies.

So-called “hedge fund managers” that use traditional, long-only equity strategies and do not hedge in fact operate a type of mutual fund, and an expensive one at that. A hedge fund manager that uses large amounts of leverage to take long positions but fails to use short positions to protect against market bottoms will most likely fail.

Though they represent a very small portion of the U.S. financial markets, hedge funds are (reportedly) rapidly increasing in number and pose a threat to world financial markets (allegedly). Whatever growth in the industry exists, it is fueled by increased interest from both the top and bottom levels of the investing public. At the top level, hedge funds attract a mix of institutional investors, pension plans, funds of hedge funds, endowments, and foundations seeking to diversify their portfolios. At the bottom level (under $200 million in assets), hedge funds attract the working wealthy and their IRAs, high net worth investors, family offices, and small businesses looking for superior returns. This growth has not escaped the notice of the SEC, which has expressed concerns about the retailization of hedge funds and its potential impact on the securities markets.

Getting Started

It is very easy for people to join the hedge fund industry. Setting up a hedge fund gets easier every year. By networking, some of the best legal and financial services talent in the business is either a click or a phone call away. Brokerages, lawyers and accountants team up in order to provide a one-stop shop approach to developing and launching a hedge fund. Much of the consultation work (if not all of it) is conducted over the phone or Internet.

Key items needed to start a hedge fund are the following: money, a lawyer, a prime (or introducing) broker, office space (or a home office), and eventually, an accountant.

Money. The first people hedge fund managers tap for seed capital money are friends and family members. It is hard to attract institutional investors to a new fund. The first investors in a new fund are usually the fund manager’s close associates and family members who know and trust the fund manager. As noted, all hedge funds have some if not most of their manager’s wealth invested in them.

Legal Services. The legal development process normally begins with a planning consultation. This is when important issues (e.g., investment adviser registration, location of the hedge fund and its management, reliance on safe harbors and exemptions, etc.) are addressed and resolved. A good legal consultation will expose areas (outside the legal process) that need further planning. Once the course is charted, the legal development process begins. The fund and management company entities are first formed in their appropriate jurisdictions. This enables the fund manager to begin the process of opening bank and brokerage accounts and preparing for the administrative needs of the hedge fund. After the entities are formed, the legal team gathers the necessary information to form the operating agreements for the entities and then the offering documents, first in draft stage and then finalized for distribution to prospective investors.

Prime Broker Services. Once the lawyer is engaged, the hedge fund is organized, and the offering documents are drafted, the next thing needed is a relationship with a prime (or introducing) broker. An introducing broker is a registered broker/dealer that has an agreement with a prime broker to use that firm’s custody and clearing services. A good prime broker or introducing broker will provide marketing and capital introduction services. Conventional advertising and marketing of hedge funds is not allowed but workarounds have been developed by brokers so that good fund managers get the right kind of investor attention. When setting up a hedge fund, it is best to stay away from the retail brokerage firms since they are not geared toward hedge funds and the needs of hedge fund managers.

Office Space. Advances in technology and the proliferation of information have made investment research and trading convenient as well as efficient. One can work from any location where there is high-speed Internet service. As everyone knows someone starting a hedge fund these days, the industry cannot not keep track of all the hedge fund managers and their business operations, whether based at home or at a hedge fund hotel. There is no stigma to running a hedge fund from home. Hedge fund managers — the best in the business — can and do work from home. Enough said.

Hedge Fund Mechanics. To start a hedge fund, the aspiring hedge fund manager needs to set up the hedge fund entity and the management company. In the United States, the hedge fund is typically established as a limited partnership and in some cases as a limited liability company. With hedge fund start ups, the management company will also function as the hedge fund’s general partner and is set up as a limited liability company or, in some special cases, as a corporation.

The lawyer is responsible for drafting the offering documents. Some fund organizers try to draft their own set of documents or use a family member who is a lawyer with experience in a specialty other than securities law. In most cases, it will be obvious to the potential investor that proper legal counsel was lacking. A poor set of offering documents is a mark against the hedge fund manager.

One document that is of particular importance is the private placement memorandum (PPM), since potential investors generally rely heavily on the information that the PPM provides. The PPM is an extensive document individually created for each hedge fund. Although there are no specific disclosure requirements for the PPM (provided the offering is made solely to accredited investors) and a lot of boilerplate language is used, basic information about the hedge fund’s manager and the hedge fund itself is disclosed. The information provided is general in nature, and it normally presents in broad terms the fund’s investment strategies and practices. For example, disclosures generally include the fact that the hedge fund’s manager may invest fund assets in illiquid, difficult-to-value securities, and that the hedge fund manager reserves the discretion to value such securities as he believes appropriate under the circumstances. Also often included is a disclosure about the hedge fund manager having discretion to invest fund assets outside the stated strategies. PPMs tend to be very protective of the hedge fund manager. As a fallback measure, the PPM will list every type of security, commodity, or futures contract in the financial market to provide the hedge fund manager with freedom and latitude to make money.

The PPM usually provides information about the qualifications and procedures for a prospective investor to become a limited partner. It also provides information on fund operations, such as fund expenses, allocations of gains and losses, and tax aspects of investing in the fund. Disclosure of lock-up periods, redemption rights and procedures, fund service providers, potential conflicts of interests to investors, conflicts of interest due to fund valuation procedures, “side-by-side management” of multiple accounts, and allocation of certain investment opportunities among clients may be discussed briefly or in greater detail, depending on the fund. The PPM also may include disclosures concerning soft dollar arrangements, redirection of business to brokerages that introduce investors to the fund, and further disclosure of how soft dollars are used. Copies of financial statements may be provided with the PPM.

Fiduciary Audits. In theory, the investment policy and strategy sections of the PPM exist to help investors evaluate the hedge fund as an investment opportunity. Therefore, PPMs should be written with accountability in mind. Consider the PPM that states that “the goal of the fund is capital preservation.” Unless capital preservation is clearly defined in terms of asset allocation, one might expect that all of the fund’s assets consist of principal protected investments with specific maturity dates as such investment would most likely preserve capital. Given this, PPMs should not state capital preservation as a goal unless the fund invests in items that return the principal investment. When used in a PPM, the terms “capital preservation,” “liquidity and marketability,” “risk aversion” need to be defined (and adhered to by the hedge fund manager) with a future audit in mind.

In the future, there may be a trend toward investment policy audits (at the top levels of the hedge fund industry). An investment policy audit evaluates whether the hedge fund manager is in compliance with the statements made in the investment policy and investment strategy section of the PPM. An asset allocation audit examines whether the fund’s portfolio is within the range of a PPMs stated asset allocations percentages.

Time Line. The legal process of setting up a hedge fund usually can be completed within 60-90 days, though registration as an investment adviser, specialized circumstances, or delays in providing information can lengthen the fund launch process.

“Accredited Investors” and Due Diligence. Offerings made to “accredited investors” exclusively are exempt from disclosure requirements under Rule 506. If the offering is made to accredited investors only, issuers are not required to provide any specific information to prospective investors. The term “accredited investors” is currently (see below) defined to include:

· Individuals who have a net worth, or joint net worth with their spouse, above $1,000,000, or who have income above $200,000 in the last two years (or joint income with their spouse above $300,000) and a reasonable expectation of reaching the same income level in the year of investment, or who are directors, officers, or general partners of the hedge fund or its general partner; and

· Certain institutional investors, including banks, savings and loan associations, registered brokers, dealers and investment companies, licensed small business investment companies, corporations, partnerships, limited liability companies, and business trusts with more than $5,000,000 in assets; and

· Many, if not most, employee benefit plans and trusts with more than $5,000,000 in assets.

Of course, the hedge fund may wish to allow non-accredited investors into the fund, in which case it will not be exempt from disclosure requirements. Moreover, even if the fund will only open to “accredited investors,” those investors will want information about the fund before buying into it. Indeed, prospective investors will often subject the fund and its managers to an extensive process of due diligence. Investors often spend significant resources, frequently hiring a consultant or a private investigation firm, to discover or verify information about the background and reputation of a hedge fund adviser. Prospective investors may gain access to brokers, administrators, and other service providers during the initial due diligence process, verifying most information contained in the PPM (including the adviser’s history). Since the PPM usually is the starting point for those conducting due diligence, it remains a crucial document, even for offerings made exclusively to “accredited investors.”

Proposed Change to Accredited Investor Standard. In mid-December of 2006, the SEC voted to propose several new rules that are intended to provide additional protections to investors in hedge funds. One of the proposals would define a new category of accredited investor that would be used for offers and sales of securities issued by hedge funds and other private investment pools to natural persons (e.g., individuals). The proposed definition would include any natural person who (a) meets either the net worth test or income test specified in rule 501(a) or rule 215, as applicable, and (b) owns at least $2.5 million in investments, as defined in the proposed rules. The SEC states that rule proposal to increase accredited client standards reflects its concerns over the retailization of the hedge fund industry and desire to protect unsophisticated investors.

The foregoing SEC proposed rule change, if adopted, would not affect hedge fund managers with less than $30 million under management, unless the state in which the hedge fund manager is based in adopts some form of the proposed the SEC rule (not a likely event outside of California).

Another rule proposal would create an anti-fraud rule that would have the effect of looking through a hedge fund to its investors. The proposal would make it a fraudulent, deceptive, or manipulative act, practice, or course of business for an investment adviser for a pooled investment vehicle to make false or misleading statements or to otherwise defraud investors or prospective investors in that pool. The rule as proposed would apply to all investment advisers for pooled investment vehicles, regardless of whether the investment adviser is registered with the SEC.

Investment Adviser Registration. In some cases (subject to a state-by-state determination), a hedge fund manager will have to register with his or her state as an investment adviser if he or she has less than $25 million under management. If the fund manager has more than $30 million under management, he would need to register with the SEC as an investment adviser once he has 15 clients.

In August of 2006, the U.S. Court of Appeals vacated the SEC’s rule that required more fund managers to register as investment advisers via an expanded definition of a “client” under the Investment Advisers Act of 1940. The expanded definition of a “client” imposed a look through rule counting every investor in a hedge fund as a client of the fund manager. The SEC did not appeal the decision of the court to nix this expanded definition of a client.

As a result, for purposes of SEC (not state) investment adviser registration, any hedge fund manager with $30 million or more under management that has had fewer than 15 clients in the past 12 months and does not hold himself out as an investment adviser can avoid registration. For investment advisers based outside the United States, only U.S. clients are counted.

As a practical matter, “holding out” would seem to be a moot question in the case of the hedge fund manager that acts to increase funds under management by seeking additional investors, and registration should be considered seriously on those grounds alone once the fund manager has more than 15 investors in the fund he or she manages. If the fund manager is actively adding investors to its hedge fund, it is hard to believe that the fund manager is not “holding out” his services as an investment adviser (despite the view of some that hedge fund investors are spontaneously generated without any effort at all).

For those hedge fund managers with less than $30 million under management, state investment adviser registration issues are relevant. It is impossible to make a blanket statement pertaining to registration requirements and exemption options, except to say that they vary by state and fund structure. In general, the strictest states are located on the West Coast, with the state of Utah and Colorado being the most hostile toward hedge funds and hedge fund managers. Texas and Arizona are strict states, but very fair in their approach to regulating hedge fund managers. California is one of the slowest states to process investment adviser registration. On the East Coast the toughest states in which to base hedge fund management, due to strict approach to regulating of investment advisers, are New Hampshire, Connecticut and Massachusetts.

In those states where the fund manager must register as an investment adviser, the Series 65 (or its equivalent) is required, unless the state is satisfied with some other credential, such as that of a Certified Financial Planner. No sponsor is needed to take the Series 65 exam.

Side Letters. Investments in a hedge fund are subject to the fund’s offering documents (PPM, limited partnership agreement, etc.). A hedge fund manager may enter into a separate agreement (e.g., side letter) with an investor in the hedge fund. Typically, seed capital investors and large institutional investors seek preferential terms from a hedge fund’s manager in a side letter. A side letter provides preferential treatment to the investor that obtains the side letter. Other investors in the fund do not benefit from the terms of the side letter. Side letters cover a range of topics. They may provide the investor with reduced fees or impose limits on the expenses that can be charged to the hedge fund. Side letters may grant the investor special redemption rights (e.g., no “claw back,” a percentage of the amount redeemed that is held back from the investor for a specified period of time) and modify the lock-up period (e.g., a time period during which an investor cannot redeem money from the hedge fund) or notice period for withdrawals from the hedge fund. Some side letters provide the investor with daily or weekly net asset values for the fund and information on levels of leverage and risk. They may also grant to an investor “most favored nation” status. This status automatically provides an investor the most favorable terms or conditions granted to other investors through side letters.

The problem with side letters is that they may create a new share class in the fund and/or cause a breach in the hedge fund manager’s fiduciary duty to the hedge fund. Fiduciaries of a hedge fund owe an identical obligation to each investor in the fund. Should a side letter favor one investor at the expense of another, legal complications could arise. In some cases, the terms of a side letter may be so unique that the investor is arguably, in legal and economic senses, a separate client of the fund manager rather than just another investor in the fund.

Incubator Hedge Funds

There is an alternative approach for hedge fund managers who want to test the waters before spending $15k or more to set up a hedge fund. Setting up an incubator hedge fund allows a hedge fund manager to develop a track record which will assist in attracting investors later in time.

An “incubator” can be created by breaking down the hedge fund development process into two stages and isolating the first.

Stage One. The first stage sets up the hedge fund and management company, and creates the required operating documents and resolutions. Completion of the first stage allows the hedge fund to begin trading and developing an auditable performance record. The incubator fund, in nearly all cases, is seeded with the fund manager’s money. By trading under this structure, the hedge fund manager develops a track record, which, once audited by an accountant, can be marketed legally to potential investors through the offering documents which are developed in the second stage.

Stage Two. In the second stage, the offering documents are developed and an audit of the fund is completed by an accountant. The offering documents, with the financial statement of the hedge fund, is circulated to prospective investors.

Starting out with an incubator method affords the opportunity for those with a skill for trading (often in their personal accounts) to break down the hedge fund development process into a cost manageable undertaking. One of the caveats of the incubator approach to launching a hedge fund is that the aspiring fund manager is not paid for trading his own money. The acceptance of third party money (and whether this is permitted depends on the state or country where hedge fund management is based), creates a fiduciary obligation and risk for which the hedge fund manager is not paid. Acceptance of third party money into an incubator fund, in the rare case when allowable, is not recommended, given the legal exposure it creates for the hedge fund manager.

Offshore

Hedge funds are set up as offshore or onshore funds to allow for different groups of investors. U.S. based hedge fund managers who have significant potential investors outside the United States and/or U.S. tax-exempt investors typically create offshore funds. Many hedge fund managers use offshore hedge funds to provide privacy to investors. In those cases where complete investor confidentiality and privacy are necessary, an offshore fund should not accept U.S. investors and the fund manager should not be based in the United States.

Confusing to some is the use of onshore and offshore funds in a master/feeder structure. The master/feeder structure allows a hedge fund manager to manage money for a broad spectrum of investors. The master fund, structured as an offshore corporation (but treated as a partnership for U.S. tax purposes via a “check-the-box” election), engages in all trading activity. A hedge fund manager will pool money and “feed” it in to a master fund and allocate trading gains and losses back to the onshore and offshore feeder funds based on the percentage assets under management in each feeder fund. A master/feeder structure typically includes (in addition to the master fund company) a U.S. limited partnership or limited liability company as the feeder fund for U.S. taxable investors and a foreign corporation as the offshore feeder for foreign investors and U.S. tax-exempt investors.

If U.S. taxable investors invest in or effectively control an offshore hedge fund, some complex U.S. tax rules applicable to controlled foreign corporations, foreign personal holding companies, or passive foreign investment companies (PFIC) need to be addressed. However, these rules are manageable when knowledgeable tax advisors are on board.

An offshore fund is set up outside of the United States in offshore financial centers (“OFC”) and is usually managed from a low or zero tax jurisdiction. OFCs are countries that cater to the establishment and administration of mutual and hedge funds. Offshore funds generally attract the investment of U.S. tax-exempt entities, such as pension funds, charitable trusts, foundations, retirement plans and accounts, and endowments, as well as non-U.S. residents.

U.S. tax-exempt investors favor investments in offshore hedge funds because they may have exposure to U.S. taxation if they invest in U.S. based hedge funds. Under U.S. tax laws, a tax-exempt investor (such as an IRA, an ERISA-type retirement plan, a foundation, or an endowment) is liable for income tax on “unrelated business taxable income” (“UBTI”), notwithstanding its tax-exempt status. UBTI exposure exists when a U.S. tax-exempt investor invests in a hedge fund that uses leverage (e.g., trades on margin). The UBTI tax is avoided by investing in an offshore hedge fund. A U.S. based hedge fund manager should consider setting up an offshore fund if he or she manages money for foreign and/or U.S. tax-exempt investors.

For a new hedge fund manager who is a small operator and for whom the extra costs are a major burden, the best location to launch an offshore hedge fund or a master feeder fund is the Cayman Islands or the Bahamas. Both countries have tiered statutory regimes for hedge funds, allowing hedge funds to start out as unregistered funds and then later upgrading to registered fund status if necessary. Hedge fund attorneys in both countries are familiar with hedge fund start ups and will work with a new hedge fund manager. Related service providers (accountants, administrators, etc.) in both countries are good, with the Cayman Islands offering a greater number of service providers.

Good News

Despite some bad press, hedge funds are here to stay and remain an intriguing topic du jour. Hedge funds are no longer for the elite. Hedge funds will grow in good and bad times because they have complete market freedom. The hedge fund industry has years of success ahead of it. With respect to traditional mutual funds, it is safe to say that the market is self correcting and that investors will continue to gravitate away from them toward hedge funds. In a capitalist country, talented money managers will find profitable outlets for the skills, regardless of government regulation. Hedge funds are about making money and running a hedge fund is a great way to do so. Starting a hedge fund is probably one of the most efficient ways to make money today.

Google Reader has implemented search. Now what next?

2007-09-21T22:54:00.001-07:00

Google Reader has implemented search. Now what next?

This is my take on what next five 'killer' new features should be implemented on the Reader:

1) Make it so we can create a folder in the left-hand pane that displays all items that have a combination of two or more tags, not only one of them.

Current folders only display items that have one given tag. Making it possible to create folders that display subscriptions that have a specific combination of tags, will allow us to intersect our view of news items between all our tags, and find niche items much faster. This combined with prolific tagging can be a blessing for people that subscribe to many feeds.

2) Stop creating folders automatically to all tags that we apply to any subscribed feed.

See above. This acts like an inhibiter to prolific tagging, which is good for deeply specifying our sources of information, not at all something to inhibit. Once we should be able to have folders that display a combination of multiple tags, we should also be able to remove the folders that view a sole tag, WITHOUT having to untag all subscriptions that were tagged that way. Let the tagging be the cloud of data, while the hierarchic structure of folders provide the organization of all data views that are interesting to the user, and ONLY THOSE views.

3) Allow for “saved searches” feature.

For saving raw text searches as folders when mere tag combinations of your subscriptions won’t provide a satisfying view of your data.

Furthermore, allowing raw text searches INSIDE a tag combination view would lead to even more powerful results.

4) Integrate Gmail …

….and its ‘filters’ feature into the Reader, merging it with the current ‘tags’ feature. Regular mail could still be quickly separated from RSS news by applying a default ‘mail’ tag to all the items that come from the ‘old’ Gmail. When convenient, mail items could be displayed mixed with RSS news by creating a filter that tags every message that meets a given criteria with the same tag applied to a subscribed feed.

This takes the reader one step closer becoming the global inbox.

5) Google Notebook and the Global Outbox.

Besides being able to reply to your Gmail inside the reader, Google could make it possible to create ‘standalone’ notes in the Reader and tag them accordingly, supplanting the need for a separate notetaking application as Google Notebook. Again, allowing the user to create a hierarchic structure with only the views of notes with a tag or tag combination that actually interest him would be the trick here, because compiling RSS Feeds, Mail and Notes in a single app without providing the means for the user to ignore all the excess of data would be overkill. The user only needs to visualize and organize data that interest him currently. Displaying to the user the ‘long trail’ of all tags once applied, as delicious does, is most of the time irrelevant.

After allowing the user to create his notes, it would be a intuitive idea to create ‘actions’ upon all notes tagged in a given way. So if the user tags a note as ‘myblog’, Google Reader would automatically contact the user’s blog interface, and post the piece automatically. That’s what I’m referring to when I imagine the Reader becoming not only the global inbox, but also the global outbox.

**BONUS FEATURE**

6) Digg killer?

This is not an original idea as it has been already mentioned on tech blogs around the web: the fact is that Google has a potential Digg-killer on its hands. By allowing users to STAR and, in the future, ‘TRASH’ selected news items on the fly, Google could quickly aggregate data on what’s popular on the web on the moment and return that information to its users, making the Reader a living, full-circle, information environment.

数以十亿

2007-08-21T22:56:00.000-07:00

数以十亿
第十六章　游戏规则

作者卡尔·萨根

柯南译

　　
　　每件在道德上正确的事的都来自四个来源之一：它涉及到对“什么是真的”的完整领悟或者智力发展；或者涉及到维护有组织的社会，在这个社会中每个人各负其责，忠实执行自己的义务；或者涉及到一个高贵而不可战胜的精神的伟大和力量；或者涉及到所说所做的秩序和节制——通过节欲和自我控制。
　　西塞罗，《论责任》第一章第5节（公元前45——公元前44年）
　　
　　我还记得很久以前1939年完美的一天的结束——那一天强有力的影响了我的思想，那一天我的父母带我去看了纽约世界博览会的奇观。时间很晚了，远远超过了我上床睡觉的时间。我安全的趴在我父亲的肩头，抓着他的耳朵，我的母亲可靠的在我的旁边。我转过头去看博览会的建筑标志——大三角尖塔和正圆球，用微弱的蓝光照着。我们沉缅于未来，沉湎于BMT地铁①的“明天的世界”。当我们停下整理东西的时候，我的父亲开始和一个矮小疲惫的人说话，那人脖子上挂了一个托盘。他在卖铅笔。我的父亲把手伸进装着我们剩余午餐的皱巴巴的牛皮纸袋，拿出了一个苹果，然后递给了卖铅笔的人。我发出了大声的哀嚎。那时候我不喜欢苹果，在午餐和晚餐的时候就拒绝吃这个苹果。然而我对苹果的所有权感兴趣。这是我的苹果，而我的父亲刚刚把它给了一个长相可笑的陌生人——他用不同情的眼光看着我，这让我的痛苦更复杂了。
　　尽管我的父亲是一个有几乎无限耐心和体贴的人，我还是能看出他对我的失望。他把我抱起来，紧紧把我拥进怀中。
　　“他是一个可怜的流浪汉，没工作，”他用那人几乎听不见的声音对我说。“他一天都没吃东西了。我们吃饱了。我们可以给他一个苹果。”
　　我改变了想法，摒住了呜咽，又忧郁的看了一眼“明天的世界”，然后感激地在他的怀中睡着了。

　　①BMT地铁是纽约市地铁的一个组成部分——译注
　　
　　寻求规范人类行为的道德法则的行动不仅仅从文明的黎明开始，而且在前文明的、高度社会化的狩猎—采集祖先时代就陪伴着我们。不同的社会有不同的（道德）准则。许多文化说一套做一套。在一些幸运的社会，一个权威的立法者设立了一套至关重要的规则（并常常声称这得到了一位上帝的指示——不这样做，就几乎没人遵守这些规定）。例如，阿育王（印度）、汉默拉比（巴比伦）、莱克格斯（斯巴达）和梭伦法典（雅典）曾经统治着这些强有力的文明，但是现在它们大部分失效了。或许它们判断错了人类的本性，对我们的要求太多。或许一个时代或者文化的经验不完全适合另一个时代或文化。
　　令人惊讶的是，今天有一些科学地处理道德问题的成果——尽管是试探性的，事情却正在变得明朗：例如，用实验的方法研究道德问题。在我们的日常生活中，以及在重大的国际关系中，我们必须做出选择：“做正确的事”的意思是什么？我们应该帮助一个贫穷的陌生人吗？我们如何对待一个敌人？我们应该一直利用一个善待我们的人吗？如果被朋友伤害，或者被一个敌人帮助，我们应该报怨和报恩吗？过去行为的总和是否比任何当前违反规范的行为更重要？
　　例如：你的姊妹不介意你对她的怠慢，邀请你参加圣诞晚餐；你应该接受吗？全世界自愿暂停核武器试验已经有4年了，中国打破了这一暂停，恢复了核试验；我们也应该恢复吗？我们应该捐献给慈善机构多少？塞尔维亚士兵系统化地强奸波斯尼亚妇女；波斯尼亚士兵应该系统化的强奸塞尔维亚妇女吗？经过了几个世纪的镇压之后，国民党领袖E·W·德克勒克开始向非洲人国民大会示好；纳尔逊·曼德拉和非国大应该回应吗？一个同事在老板面前给你难堪；你应该让他更难堪吗？我们应该在所得税申报表上撒谎吗？如果我们能侥幸逃脱（税务部门的核查）呢？如果如果一家石油公司支持一个交响乐团或者赞助一部优雅的电视剧，我们应该忽略掉它对环境的污染吗？我们应该善待上年纪的亲属吗？即便他们会把我们逼疯。我们在玩扑克的时候应该作弊吗？或者在更重要的事情上应该作弊吗？我们应该杀死杀人者吗？
　　为了做出这样的决定，我们所关心的不仅仅是做正确的事，也包括什么才是可行的——什么样的决定能使我们和其他人更幸福和更安全。在我们所谓的伦理和实效之间存在着一种张力。如果伦理行为最后不利于自己，那么最终我们就不称它伦理，而是愚蠢。（我们甚至可能声称在原则上遵守它，但是在实践中忽略它）。考虑到人类行为的多样性和复杂性，有没有任何简单的规则——不管我们称之为伦理还是实效——确实是可行的？
　　我们如何决定做什么？我们的反应部分取决于我们认识到的私利。我们报恩或者报怨，这是因为我们希望这能实现我们想要的东西。一些国家生产和爆炸核武器，这样其他的国家就不会把它们当作儿戏了。我们以善良报答邪恶，因为我们知道这样有时候能触动人们的正义感，或者让他们因为羞愧而走上正路。但是有时候我们并非出于自私的动机。一些人似乎天生就是善良的。我们承受来自上年纪的父母或者子女的怒火，因为我们爱他们，希望他们高兴，即便我们要付出一些代价。有时候我们对待我们的孩子态度强硬，并让他们有点不高兴，因为我们想要塑造他们的人品，并且认为长远的结果将给他们带来更多的幸福，这超过了短期的痛苦。
　　例子各有不同。人们和国家各有不同。知道如何解决这些困境，属于智慧的一部分。但是考虑到人类行为的多样性和复杂性，有没有一些简单的规则——不管我们称之为伦理还是实效——确实是可行的？或者，我们或许应该避免试图作出结论，而仅仅是做我们感到正确的事？但是即使那样，我们如何确定哪些是“感到正确的”？
　　最受尊崇——至少是在西方——的行为准则，是黄金律。它源自拿撒勒的耶稣。每个人都知道它在1世纪成书的《马太福音》中的形式：你希望别人怎么对待你，你就要怎么对待别人。几乎没有人坚持这个准则。公元前5世纪的时候，有人问中国哲学家孔子（在西方被称为Confucius）对黄金律（那时候就已经广为人知了）和以德报怨有什么看法，他回答说：“何以报德”？一个贫穷的妇女羡慕她的邻居的富有，她应该把她不多的财产给她的富邻居吗？一个受虐狂应该让他的邻居遭受痛苦吗？黄金律没有考虑到人类的差异。当有人打了我们的脸颊之后，我们真的能把另一半脸颊转过来，让别人打吗？如果是一个无情的对手，这难道不是仅仅意味着我们遭到更多的痛苦吗？
　　银律有些不同：你不希望别人怎么对待你，你就不要怎么对待别人。在全世界范围内都能找到这条规则，包括在耶稣之前的一代人——拉比·希勒尔（Rabbi Hillel）的著作里。在二十世纪，银律最动人的例子是莫罕达斯·甘地（Mohandas Gandhi）和小马丁·路德·金（Martin Luther King, Jr）。他们劝告受压迫的人们不要以暴偿暴，但是也不要屈服于暴力。非暴力不合作运动是他们所提倡的——通过挑战一条不公平的法律，而情愿受罚，把你自己置于危险中，从而展示出你的动机的正义性。他们的目标是感动压迫者（以及那些尚未拿定主意的人）。
　　小马丁·路德·金称颂甘地是历史上第一个把黄金律或者银律转化成让社会变化的有效手段的人。甘地明白的说出了他的手段的出处：“当我试图让我的妻子服从我的意志的时候，她给我上了非暴力的一课。她一方面坚决反抗我的意志，另一方面她平静的屈服于我的愚蠢所带来的痛苦，这最终使我对自己感到耻辱，并且让我不再愚蠢地认为我天生就应该统治她。”
　　在这个世纪，非暴力不合作运动显著导致了许多显著的政治变化——让英国放松了对印度的统治，刺激了全世界范围古典殖民主义的终结，并为非洲裔美国人提供了一些公民权利——尽管以暴力相威胁也可能有效，但是甘地和金不这样认为。非洲人国民大会在甘地主义的传统中成长起来。但是到了1950年代末，很明显，非暴力的不合作不能导致执政的白人国民党的任何进步。因此，在1961年，纳尔逊·曼德拉和他的同事组织了非国大的军事派别“非洲之矛” （Umkhonto we Sizwe）。这个派别建立在非常不同于甘地主义的基础之上，即白人唯一能理解的就是武力。
　　即便是甘地，在让非暴力规则与抵抗那些不太高尚的统治规则的必要性相协调方面，也遇到了麻烦：“我没有资格教授我的人生哲学。我勉强有资格实践我所信奉的哲学。我只不过有一个可怜的、正在挣扎的心灵，向往在思想和言行上完全诚实和完全非暴力。但是从来都没有达到这个理想。”
　　孔子说：“以德报德，以直报怨。”这可以被称做铜律：别人怎么对待你，你就怎么对待别人。这是同态复仇法（lex talionis），即“以眼还眼，以牙还牙”，再加上“善有善报”。在实际的人类（以及黑猩猩）的行为中，这是一个熟悉的标准。比尔·克林顿总统在以色列—巴勒斯坦和平协定的签字仪式上引用《古兰经》：“如果他们倾向和平，你也应当倾向和平”。不用求助于任何人更善良的本性，我们制定了一种操作性的行为训练，当他们善待我们的时候，就报答他们，当他们对我们不好的时候，就惩罚他们。我们不是容易被欺侮的人，也不是无情的人。这听上去很有前途。或者，“两个错误加起来不能变成一个正确的事”，这是真的吗？
　　更低层的规则是铁律：在别人这样对待你之前，先按照自己的意愿对待他们。有时候它被表述为“拥有黄金的人制定规则”，不仅强调它违反黄金律，更强调它对黄金律的蔑视。这是许多人的秘密座右铭——如果他们有机会使用这个座右铭的话，也是强权心照不宣的准则。
　　最后，我还应该提到另外两条在全世界能找到的规则。它们解释了很多东西：逢迎那些比你地位高的人，粗暴对待那些比你地位低的人。这是欺侮弱小的恶棍的座右铭，也是许多非人类灵长类社会的准则。对待地位高的人的时候，它其实就是黄金律，对待地位低的人的时候，它其实就是铁律。考虑到没有什么著名的金铁合金，我们就变通地把它称为锡律。另一个通用的规则是：总是优先关照近亲，对于其他人，按照自己的意愿对待他们。这种任人唯亲的规则被进化论生物学家称做“亲属选择”（kin selection）。
　　尽管铜律很明显具有实用性，它有一个致命的缺点：无休止的相互报复。它几乎不在意到底是谁首先使用了暴力。暴力导致暴力，而每一方都有理由憎恨另一方。“并没有通向和平的道路，”A. J. Muste说“和平就是道路本身。”但是和平很难实现，而暴力却很容易。即便大多数人准备结束相互报复，一次报复的行动也会把它再次煽动起来：一位被杀死的亲属的眼泪汪汪的遗孀和让人感到伤心的子女站在我们面前。年长的人回忆起他们童年时代遇到的暴行。我们理智的一面试图保持和平，但是感情的一面却需要实施复仇。敌对的两派中的极端主义者能够相互支持。他们结成联盟，对付其余的人。他们瞧不起对谅解和仁慈的呼吁。一小群头脑发热的人能够把一大群更谨慎和理性的人们强行推向野蛮和战争。
　　1938年希特勒在慕尼黑签订的那个惊人的协定把许多西方人迷惑了，以至于他们无法区分合作与绥靖的不同。我们只不过是断定对手完全是邪恶的，而不是从实质上判断每一个姿态和手段：他所有的让步都是欺诈，而武力是他能理解的唯一事情。对希特勒来说，这或许是个正确的判断，但是通常而言这不是一个正确的判断——我更希望英法强烈反对德国对莱茵兰的侵略。它（铜律）强化了双方的敌意，让冲突更容易发生。在一个拥有核武器的世界，毫不妥协的敌意带能带来特别的和非常可怕的危险。
　　我认为，停止一长系列报复十分常困难的。有一些民族让他们自己衰落到了近乎灭种的地步，因为他们没有办法跳出这个圈子。巴西高原的Kaingang族就是一个例子。在前南斯拉夫、卢旺达和其他地方相互敌对的民族提供了更多的例子。铜律似乎太不宽恕了。铁律促进的是少数无情的强者对其他所有人的剥削。黄金律和银律似乎太自满了。它们总是无法惩罚残忍和剥削。它们希望通过展示自己的善意，把人们从邪恶劝导到善良，这是有可能的。但是也有一些反社会的人，他们不关心别人的感受。并且很难想象一个希特勒或者一个斯大林会因为善良的榜样而感到羞愧，从而救赎他们所犯的罪。有没有一个一方面结合了黄金律和银律，另一方面结合了铜、铁和锡律的规则，比单独使用任何一个规则都更可行？
　　有这么多的规则，你如何决定使用哪个，哪个是可行的？同一个人或者国家可能使用一个以上的规则。我们注定要猜测这个问题，或者注定要依赖知觉，或者注定要重复别人教给我们的规则吗？让我们先把别人教给我们的规则，以及“我们强烈地认同的规则一定是正确的（这或许深深植根于一种正义感）”的观念暂时放在一边。
　　假设我们并非寻求证实或者否定别人教给我们的规则，而是查明到底什么规则是可行的。有没有办法检验这些处于竞争地位的伦理准则？我们承认现实世界比任何模拟都更复杂，那么我们能够科学的探索这个问题吗？
　　
　　我们常常玩游戏，在游戏中有人赢，有人输。我们的对手每赢得一分，就把我们甩得更远。“赢—输”游戏似乎是很自然的，而很多人很难想象一个没有“赢— 输”的游戏。在一个“赢—输”游戏中，输掉的和赢得的东西是平衡的。那就是他们称其为“零和”游戏的原因。你的对手的意图毫不含糊：在不违反游戏规则的情况下，他会尽一切努力击败你。
　　许多儿童在第一次成为“赢—输”游戏失败的一方的时候吓呆了。他们在“大富翁”游戏中濒临破产边缘的时候，他们就要求特殊的免责（例如放弃出租），而当他们没有得到这种免责的时候，他们就会哭着指责这个游戏是无情和冷酷的——它当然是冷酷的。（我曾经看到游戏板翻了过来，旅馆、“机会”卡片和金属棋子散落在地板上，还看到了游戏者的羞耻——不仅仅是儿童会这样做）。在不违反“大富翁”游戏规则的情况下，游戏者不可能相互合作从而都受益。这个游戏不是为此目的而设计的。拳击、足球、曲棍球、棒球、垒球、长曲棍球、网球、壁球和国际象棋，所有的奥运会赛事、快艇、赛车、皮纳克尔纸牌游戏、potsie和党派政治也是如此。在这些游戏中，没有一个游戏有机会使用黄金律或者银律，甚至没机会使用铜律。在这些游戏中只能使用铁律和锡律。如果我们尊敬黄金律，为什么在我们教孩子玩的游戏中，很少看到它？
　　在经历了一百万年部落之间断断续续地相互敌对之后，我们很容易以零和模式思考，把每一个相互作用当作竞争或者冲突。核战争（以及许多常规战争）、经济衰退和全球环境破坏全都是双输的命题。人类非常关心的许多事，例如爱、友谊、亲子关系、音乐、艺术和对知识的追求是双赢的命题。如果我们只知道“赢—输” 游戏，那么我们的远见将是狭隘的，这非常危险。
　　研究这些问题的科学领域叫做博弈论。它被用于军事战术和战略、贸易政策、企业竞争、限制环境污染和核战争计划上。一个典型的游戏是囚徒困境。它恰恰是一个非零和的游戏。双赢、赢—输和双输得结果都是可能的。那些“神圣的”书几乎没有给这个游戏中的策略带来任何有用的见解。这完全是一个实效的游戏。
　　假设你和你的朋友以为一项严重的犯罪而被逮捕了。为了玩这个游戏，到底是你们中的一个人犯了罪、都没犯罪或者都犯了罪，这并不重要。重要的是警察说他们认为你犯下了罪行。在你们两个有机会串供或者制定策略之前，你被带到了一个单独的审讯室。在那里，他们忘掉了你拥有的米兰达权利（“你有权保持沉默……”），试图让你认罪。他们告诉你——正如警察有时候这样做的——你的朋友已经认罪了，并且把你也咬了出来。（好一个朋友！）警察可能在说实话。或者他们在撒谎。你只允许作无罪辩护或者有罪辩护。如果你愿意说点什么，让你所受到的惩罚最小化的最好方法是什么？
　　下面是一些可能的结果。
　　
　　如果你拒绝承认罪行，并且（你不知道）你的朋友也否认，那么这个案件就很难被证明。在认罪讨价还价（plea bargain）的过程中，你们两个得到的判决将非常轻。
　　如果你认罪了，而你的朋友也认罪了。那么国家花费在解决这起犯罪上的精力较少。作为交换，你们两个人可能都会领到一个比较轻的判决，尽管没有两个人都宣称无罪的时候领到的判决那么轻。
　　但是如果你作无罪辩护，而你的朋友认罪了，国家就会要求对你处以最重的判决，而对你的朋友处以最轻的判决（或许免罪）。阿哦。你非常容易被出卖，博弈论家称之为“背叛”。你的朋友也和你一样。
　　因此，如果你和你的朋友相互“合作”，两个人都做无罪辩护（或者都作有罪辩护）——你们就都逃脱了最坏的情况。你应该谨慎行事，通过认罪从而确保惩罚的程度不太严重吗？那么，如果你的朋友做无罪辩护，而你做有罪辩护，这对他就太糟糕了。而你可能被免予处罚。
　　当你想明白之后，你意识到不论你的朋友怎样做，你应该马上背叛他，而不是合作。令人恼火的是，这同样也适用于你的朋友。但是如果你们都背叛了对方，那么你们面临的结果就比合作的结果更糟。这就是囚徒困境。
　　再考虑另外一种重复的囚徒困境，这次两个游戏者已经玩了一系列这样的游戏。在每次游戏的末尾，他们从受到的惩罚中推算出对方是如何认罪的。他们对另一方的策略（以及人格）就有了经验。他们会在一次又一次的游戏中学会合作，总是共同否认犯罪吗？即便告发对方能获得的好处很大，他们也会合作吗？
　　根据前一个或者几个游戏的结果，你可能会尝试合作或者背叛。如果你过多地合作，另一个游戏者就可能利用你的温厚。如果你过多地背叛，那么你的朋友就很可能经常背叛你，而这对你们两人都很糟糕。你知道另一个游戏者获取了你的背叛模式的数据。什么是合作和背叛的恰当混合？于是，“如何采取行动”——正如自然界中的任何其它问题——成为了一个可以用实验研究的课题
　　密歇根大学的社会学家Robert Axelrod在他著名的《合作的进化》一书中，借助连续的计算机循环赛，考察了这个问题。不同的行为准则相互对抗，最终我们看到谁赢了（谁得到了累积最短的刑期）。最简单的策略可能是一直合作，而不管你被利用了多少；或者从不合作，不管合作会产生多少好处。这便是黄金律和铁律。它们总是失败，前者因为善良过度而失败，后者因为自私过度而失败。不积极惩罚背叛行为的策略失败了——部分原因是它们发出了一个信号：不合作的行为能够获胜。黄金律不仅仅是不成功的策略，它对其它游戏者更是危险的，这些游戏者可能在短期获得成功，但是没有想到在长期的游戏中会被自私者毁掉。
　　你起初背叛对手，但是当你的对手与你合作一次之后，你应该在未来的所有游戏中与他合作吗？你起初与对手合作，但是当你的对手背叛你一次之后，你应该未来的所有游戏中背叛他吗？这些策略也都失败了。和体育不同，你不能依赖于那些总是想打败你的对手。
　　在许多这样的比赛中，最有效的策略叫做“针锋相对”。它非常简单：你以合作开始，随后的每一轮你都简单的仿照你的对手上一轮所做的。你惩罚背叛，但是你的对手一旦合作，你就乐于既往不咎。最初，它似乎只能实现比较普通的成功。但是随着时间推移，其他的策略把它们自己打败了，不是因为太仁慈就是因为太冷酷，而这个中间道路的策略遥遥领先。除了永远在第一步表示善意之外，针锋相对的策略和铜律完全一样。它迅速地（就在下一轮游戏中）奖赏合作，惩罚背叛，并且它有一个很大的优点：它让你的对手非常清楚你的策略。（含糊的策略可能是致命的。）

各种游戏规则
黄金律你希望别人怎么对待你，你就要怎么对待别人
银律你不希望别人怎么对待你，你就不要怎么对待别人
铜律别人怎么对待你，你就怎么对待别人
铁律在别人这样对待你之前，先按照自己的意愿对待他们
针锋相对律先与别人合作，然后别人怎么对待你，你就怎么对待别人

　　一旦有多个游戏者使用针锋相对的策略，他们就一起进入了准决赛。为了获胜，使用针锋相对策略的游戏者必须找出其他愿意回报以及可以与之合作的游戏者。第一轮比赛过后，使用铜律的游戏者出人意料地获胜了，而一些专家认为这个策略过于宽恕对手。下一轮，他们通过更多的背叛而表现得自私。他们全都输了。即便是经验丰富的游戏者也倾向于低估宽恕和和解的威力。针锋相对策略混合了一些有趣的倾向：最初的友善、愿意宽恕以及勇敢地报复。Aedlord记述了在这样的比赛中针锋相对律的优越性。
　　
　　可以在整个动物界发现像针锋相对律这样的策略，并且它已经在我们最近的亲戚——黑猩猩身上进行了充分的研究。生物学家Robert Trivers把它描述和命名为“互惠的利他主义”，即动物可能帮助别人，以期待别人帮助自己——并不是每次都这样，但是它们经常这样做，以至于足够实用了。这几乎不是一个永恒不变的道德策略，但它也不是一个不常见的策略。所以没有必要争论黄金律、银律、铜律或者针锋相对律有多么古老，也没有必要争论《利未记》中道德惯例的优先级别。这类伦理规则最初并非由某些文明的人类立法者发明。它们深深植根于我们的进化历史，它们在我们成为人类之前就伴随着我们的祖先。
　　囚徒困境是一个非常简单的游戏。真实的生活更加非常复杂。如果我的父亲把苹果给了那个卖铅笔的人，那么他是否更有可能拿回一个苹果？不是来自那个卖铅笔的人——我们再也不会见到他。但是普遍的慈善事业会不会促进经济，从而让我的父亲加薪？或者，我们是否因为感情的回报而拿出苹果，而不是因为经济上的奖赏？此外，与在一个理想的囚徒困境游戏中的游戏者不同，人类之间和国家之间因为遗传和文化的诱因而相互作用。
　　但是从一个不太长的囚徒困境循环赛中学到的最重要的一课，是关于战略的清晰程度；是关于弄巧成拙的嫉妒本性；是关于长期目标胜过短期目标的重要性；是关于暴政和懦弱的危险性，特别也是关于把全部这些（游戏）规则视作一个实验问题进行研究。博弈论也显示出，深厚的历史知识，是一个关键的生存工具。

金融职业介绍普及版

2007-07-13T19:44:00.000-07:00

不少网友对投行以及其它金融行业都表现出了很大的兴趣。不过有不少道听途说的传闻并不可信。而且很多帖子对一些概念定义比较混乱，不少人甚至对投行干些什么都不甚清楚。我在这里科普一下，众位大牛不要见笑。这个帖子侧重于介绍金融的一些职业分工，以及简单的职业道路介绍。

整个金融行业大致分为buyside和sellside两大类。sellside做的主要是把各种asset变成各种金融产品，提供给市场。 sellside主要指的是通常意义上的投行。投行内部结构也很复杂，按照产品分大致分为fixedincome和equity两大类。按照业务分大致分为IBD,sales&trading，equityresearch,assetmanagement（这部分和buyside性质是类似的）等。IBD是最传统的投资银行业务，靠近的是corporate一边；sales&trading主要进行产品销售和交易，有时候投行会扮演 marketmaker的角色以保持市场的流通性。

buyside主要进行的是投资管理的业务，所以也称为IM(investmentmanagement)或者AM(assetmanagement)，主要由各种机构投资者组成，包括mutualfund,hedgefund,pensionfund等等。

就careerpath 来说，很难说谁好谁不好，关键看每个人的特长和个性。IBD适合工作热情高涨，吃苦耐劳的人。sales适合善于人际交往的人。trading适合能承受巨大压力，并且对市场感觉敏锐的人。equityreasearch适合做事踏实的人。一般来说IBDcareerpath比较按部就班，需要熬年头，能熬上去的不仅需要良好的业务能力也需要强健的体魄。tradercareerpath风险很大，可能在2年之内就毁了前程，也可能在很短的时间内平步青云。我知道一个顶尖的trader从associate升到director只用了2年。sellsideequityresearch行业前景有一定问题，因为regulation越来越倾向让research保持独立性以保护投资者。

Buyside总体来说lifestyle比sellside好，收入也超过sellside。不过，进buyside也远远难于进sellside。

注：当今金融产业之庞大和复杂远远超过常人想象，在整个金融产业链上还有着很多细分的行业，这里就不一一列举。

补充一下，帖子的职业分工主要是指成熟市场的情况。国内情况有所不同。

金融领域的开放让国内很多年轻的朋友一下子豁然开朗。不过随之而来的是扭曲的价值观：进投行的是牛人，进四大的是凡人，进企业的是土人之类。在此还想表明以下我一向的观点：工作本身没有等级之分，我决不赞成投行就比四大“高级”之说。任何一个人能在本行干的出色的才是牛人。选择职业道路应该看自己喜欢干什么，自己能够干什么，然后尽量在二者之间取得平衡。如果一心只想往“高级”的工作钻的话，可能回头看来还是一事无成。

hedgefund 中文翻译成“对冲基金”，这个翻译是准确的。不过有意思的是，现在主流的hedgefund往往做的不是hedge，相反很多hedgefund对一些市场趋势进行大胆的speculation（中文是投机，贬义词，英语的原意是中性的，是hedge的反义词，表示承担风险而获取超常的收益）。如果把 hedgefund和国内的情形联系起来看，更准确的翻译应该是“私募基金”。这个意义上而言国内存在hedgefund已经已经有些年头了，只不过因为法律界定而没有露出水面。现在管理层正在进行私募基金合法化的进程，应该很快就能成为正大光明的一支金融力量。（国内现在往往把PE翻译成“私募基金”是不准确的，下文还有相关论述）

在成熟市场上hedgefund通常是相对于mutualfund而言。其差别是：mutualfund是公开招募，并且公开交易的开放型基金。国内市场上交易的开放型基金大多数属于mutualfund。而hedgefund则大多是私下招募，并且封闭的基金。

在全球金融市场，hedgefund已经成为一支举足轻重的角色。从东南亚金融危机到最近两年的商品期货的超级牛市都可以见到hedgefund 的身影。由于hedgefund收益率普遍高于mutualfund，最近几年全球范围的hedgefund都取得了快速的成长。再加上全球性资本过剩，现在几个 billion的fund都算很小的。

稍微提一下对冲的概念。对冲是一种控制金融风险的手段。举个例子来说，如果你买了100股股票，然后又担心股票下跌，你就可以再买一个认沽100 股的期权（putoption）进行对冲。最后无论股票怎么跌，最差的结果就是你以putoption的执行价（strike）卖掉手中的股票。

和对冲相关但比较容易混淆的概念是套利（arbitrage）。套利是指把所有相关风险完全对冲掉以后可以获取的无风险收益。比如说中国银行的美元牌价是8，门口黄牛的牌价是7.8，你可以用7.8人民币从黄牛那里换1美元，随后马上拿一美元换给 BOC变成8元人民币，毫无风险的赚了0.2元。

就职业而言buyside和sellsidelink最多的是 tradingdesk。双方的人马几乎是对应的。基本上都设有：trading,structure和research几块。一般来说sellside 研究力量更为强大，buyside很多基本信息都依靠sellside取得。sellsidestructure侧重的是如何将金融产品合理定价，而 buyside侧重于如何搞出模型更好的预测市场的变化。（本质是一样的）双方的trader做的事情倒是殊途同归。

当投行根据 buyside要求设计出金融产品后，双方达成交易。然后投行一般会尽快地通过相关交易对冲产品风险，而buyside这时候一般是“一切尽在掌握”，因为买到手中的产品完全是根据自己的判断而订制的。这时候，双方是合作伙伴关系，大家赚自己的利润。另外有些时候，投行也会takeposition，这种时候双方都是marketplayer，关系也就变成你死我活的博弈了。

把业务上的link讲完后，职业上的link也就水到渠成了。双方trader作的事情十分接近，互相之间的跳槽也就十分普遍。 research而言，投行的比较focus也比较辛苦，所以一般更加愿意往 buyside跳，不过buyside本来也不需要很多的research，跳槽并不容易。structure是双方都需要的，虽然侧重不同，但都是通的，互相之间都有跳。

上面说的都是投行的市场一头。回过头说IBD（传统投行业务），更多的是和企业打交道，而不是和市场打交道。反之，buyside都是和市场大交道。所以IBD一般不容易转buyside。

由于国内这些年出现了很多成功风投的案例，大家已经不太陌生，这里简单的介绍一下PE。

国内很多地方把PE(privateequity)翻译成“私募基金”，这显然是不熟悉金融市场的人“顾名思义”所致。诚如上文所述，私募基金接近于 hedgefund的概念（相对于mutualfund）。而PE是一个相对于publicequity的概念。我个人将其翻译成“非上市融资”，现在国内比较被认可的翻法是“私人股权融资”。

现在vc/pe是一个很时髦的词，无论在美国还是在国内。在美国火爆的原因是最近几年PE的收益率都明显好过publicmarket，导致PE的规模快速膨胀。在国内火爆的原因就比较复杂了。

其实现在vc/pe差异已经不是十分明显，很多时候人们把VC看成是pe的一种。如果进行划分的话，二者主要区别在于对 targetcompany投资阶段的不同。vc主要投资于公司发展早期，从种子阶段到上市前不等。而pe主要投资于有稳定现金流， businessmodel比较成熟的公司。PE最经典的做法是LBO（leveragebuyout），核心是将现金充沛而又失去发展动力的上市公司 goprivate，通过大财务杠杆使公司有紧迫感，从而为股东提供更大的收益。

喜欢看电影的朋友一定知道《风月俏佳人》，其中理查基尔干的就是PE。片中罗伯茨问他你到底是干嘛的，回答颇为经典：“总而言之我干的就是把一家公司买下来，然后再拆成一块一块卖”。（注：这只是PE做法的一种，并不是全部）

vc/pe 是金融市场中最直接和企业打交道的分支。vc做的是整天看businessplan（bp），从中找出有前途的bp以及执行团队，随后进行价值评估以及投资。根据公司不同，有些vc会强烈的参与公司经营管理，有些则没有。pe更多的是寻找有前途的被收购公司，并且进行金融改造。vc/pe最终的的目的都是找一个更好的价钱把公司股份卖掉推出，从而进入新的循环。具体操作方法VC/PE在其他很多地方都是不同的，有兴趣的朋友可以进一步讨论。

现在可以把金融产业链简单的串一串。在一个企业IPO之前，公司都是private的，这一阶段可以参与融资的就是VC/PE。当企业需要上市，这时投行就参与进来，对公司价值进行精确评估，然后公开招募。这时候，企业自己或者vc/pe提供的股份是原材料，投行将其加工成金融行业认可的“股票”。公开上市前后，buyside就会进行认购。接下来就是二级市场上的各方博弈了。

金融的原始定义是为买足企业发展需要进行的各种融资，因此金融必定有企业和市场两级。企业这级是金融行业的生存之本，市场这级可以看作金融行业发展壮大的动力。投行作用是金融产业链的hub，一端联系着企业，另一端联系着市场。企业这端是实实在在的，可以说资本主义出现后的几百年都没有太大的变化。而市场这一端则越来越庞大并且趋向虚无。很多衍生金融产品最早的出现是为了满足风险公职的需求，但很快变成一些豪赌的利器。会计师事务所的地位是保证企业（无论privateorpublic）企业原始数据的真实性，从而使其他机构可以对企业价值进行进一步的评估。如果没有会计师的存在，整个金融行业就会陷入一片混乱。因而会计师有“经济警察”之称。

整体而言，金融业连接企业一端的工作核心更侧重于对于企业价值的评估，金融连接市场一段的工作的核心侧重于市场风险的控制以及对市场方向的判断。因为对技能要求的不同，两端互相转都比较困难。相反，只要在金融产业链的同一端，转行至少都是有逻辑上的可行性的。

私募基金是如何赚钱的

2007-06-19T23:09:00.001-07:00

有见国朝投资黑石一事，以下是黑石类私募基金管理公司如何赚钱的一些常识。http://www.cchere.com/article/1093574#cooliris

首先，一个私募基金(Private Equity Fund)通常以一个合伙公司(partnership)的法人形式在开曼群岛类的免税天堂成立。有限合伙人(Limited Partners LP)是投资者，行业内出资额(commitment) 下限为1百万米刀。一个基金通常有15-30个这样的投资者。出资额从1m到300M不等。无限合伙人(General Partner GP)为基金管理人。这个管理人理论上有无限责任，但是它通常是一家有限责任公司。管理这家有限责任公司的，就是私募基金管理公司。

一般来说，私募基金里 100M-1B米刀的，算中型，用B算的，是大型，100M以下的，基本算是Venture Capital风险投资公司.

一加入合伙公司，LP就要交出出资额的10%。其余剩下的90%，随着管理人的投资决定才投入。这叫做draw down。跟对冲基金不同，私募基金的LP并没有随时退股的权利。他们的出资额虽然随时会被draw down,但是他们并没有要求gp随时distribute的权利。这一点是私募基金可以做长线高风险投资的主要原因。http://www.cchere.com/article/1093574#cooliris

一个基金从开始招募LP到封顶开始投资，通常需要数月到1年多的时间。一个基金的首五年，通常称作为投资期。后五年是为收获期。合伙公司的公司章程里头会规定这个基金的寿命，也就是啥时得结束。这个年期通常为10年-12年。

当一个基金投资公司并获利以后，所得的利润并不需要立刻上交投资人，而是存入一个叫carried interest的法人内。啥时派发红利和派发股本的决定权，操纵在基金经理手里。

好了，关键地方来了，基金经理咋收费呢？http://www.cchere.com/article/1093574#cooliris
1。出资额的百份比为管理费。通常是1-2%,以一个小型的基金100M来算，一年的管理费收入就是1M米刀。用某香港私募基金经理的话来说，"it pays the bill, the rent, it is nice."这是小头。

2. 大头是carried interest。这是二八分帐。具体来说，全部要派出去的钱减去总出资额加上用hurdle rate算的利息(8-18%不等）就是利润。这个利润的20%归私募基金经理。

粗浅地说，一个私募基金只要招募完毕，它的收入来源已经有了稳定性。2%管理费乘以以Billion算的出资额是很可观的。而只要它有水准以上的回报，优秀的私募基金一般能有20-30%的回报，那基金经理的利润就也可以用B来计算。黑石私募现有的管理资产是30billion左右，那起码它明年的收入不会少於300M.
http://www.cchere.com/article/1093574#cooliris
所以国朝投资30亿到黑石上头，我觉得比当LP和投资在对冲基金上，是聪明得多了。拿私募和LTCM比，实在有点风马牛不相及的.

MYSQL数据库中有关CHARACTER SET方面内容

2007-05-06T14:54:00.000-07:00

mysql4.1的charset与collation。第一，如果你的网站是中文GB的，可以照用latin1，也就是默认的collation。如果是utf的， create database时要加上 collation为utf_general_ci的开关，这个有人提过了。第二是， mysql_connect，如果是gb，用latin1，不用改动，如是utf的要把connection设成utf，以下是我在phpbb里加的：
$result = mysql_query('SET character_set_client = utf8', $this->db_connect_id) or die('Query failed: ' . mysql_error());
$result = mysql_query('SET character_set_results = utf8', $this->db_connect_id) or die('Query failed: ' . mysql_error());
$result = mysql_query('SET character_set_connection = utf8', $this->db_connect_id) or die('Query failed: ' . mysql_error());
第三是在做mysqldump与restore是也要加default_character_set=utf...的开关才能保证utf数据的完整。GB latin1不需要。
第四是在web server里加上header， content_type来显示utf，如果还有？？字，就把一些include的中文语言包用notepad打开再save as成utf8的，这也是针对utf的文字， GB latin1倒是不需要。

在phpmyadmin里，中文utf没问题，但gb/latin1会自动把页面改称utf8于是出现乱码。但phpmyadmin 2.61里可以设collation与charset，而且是从页面，connection到database三项都有，改用gb就可以了。

全美最热门的学位MFE——金融工程硕士

2007-01-12T18:35:00.000-08:00

今年，当以往最受投资银行青睐的沃顿、芝加哥、哥伦比亚商学院的MBA们毕业的时候，这些天之骄子们却发现他们想进入投资银行工作的难度比往年大大增加了，除了因为经济不景气以外，还有一个主要原因是他们有了一个虽然年轻却很强大的对手——金融工程硕士， MFE（Master in Financial Engineering）！

到底什么是金融工程？笔者抱着疑惑通过E-mail咨询了毕业于加州伯克利大学哈斯商学院的刘华先生。刘华毕业于上海财经大学会计系，在某著名跨国公司作了几年财务工作后，发现自己并不喜欢这种工作，他想进入更具挑战性的金融领域。然而没有相关学历，想找到金融方面的工作谈何容易。于是，刘华打算申请MBA，在考完GMAT后，他发现加州伯克利大学哈斯商学院除了提供MBA学位外，还提供MFE金融工程硕士学位，而且只需一年即可获得学位。于是他抱着试一试的念头申请了MFE，为了增加自己的机会，他参加了GRE数学Sub考试。本来他没抱太大希望，没想到当年MBA申请竞争异常激烈，虽然他的 GMAT成绩和工作背景都相当优秀，但他所申请的几所商学院MBA全都遭拒绝。而当收到伯克利大学MFE的录取通知的时候，他坦言惊讶大于欢喜。经过一年高强度的学习，再经过激烈的应聘竞争，虽然面临着经济不振的压力，刘华还是获得了美菱、摩根斯坦利、雷曼兄弟、所罗门史密斯等著名投资银行的青睐。刘华选择了在摩根斯坦利银行旧金山分部从事金融衍生物交易的工作。他说，虽然没能进入他最向往的高盛公司，他对现在的工作仍然十分满意，他坦言现在的工作是在一年多以前所不敢想象的。以下是笔者得到的关于金融工程的介绍。

金融工程在不同的大学有不同的名称：Financial Engineering， Financial Mathematics，Mathematical Finance，Computational Finance , 然而无论是叫金融工程，金融数学，数学金融还是计算金融，它们的实质都是一样的——it represents the emerging discipline wherein mathematical tools are used to model financial markets and solve problems in finance，即以数学工具来建立金融市场模型和解决金融问题的新兴学科。近年来，由于金融创新层出不穷，金融市场发展得越来越复杂，在以往传统的股票和债券上发展出了期货、期权等一系列新型投资工具，这就是通常所说的金融衍生物。而如何对这些金融衍生物进行定价，是投资银行所面临的一个难题。同时，由于金融投资工具的复杂化，一些基金管理公司越来越感到传统的投资方式难以保持基金的高成长率，他们需要设计出更加高级的投资组合来获得盈利。因此，他们大量需要那些既通晓金融市场又有数学应用能力的复合型人才，而这样的人才在市场上极为稀缺。金融工程就是为了培养这样的人才而产生的。金融工程是一门综合了金融学、数学和计算机科学的交叉学科，其课程通常由大学的商学院、数学系和工程学院联合授课，其课程由于集中于金融领域，所以深度远远超过MBA金融方面的课程，通常包括股票市场分析、投资组合分析、期货和期权、资产定价、资本预算、固定收益分析、利率模型、金融风险管理等课程。金融工程硕士的学习时间一般为全日制1年，同MBA一样，是一种职业教育（Professional Education）而非学术研究教育（Academic Research Education），因此无需撰写硕士论文。其全部课程均围绕金融学的应用展开，具有实用性很强的特点，最适合那些立志于从事金融工作的年轻人。在美国，持有金融工程硕士学位的人才在市场上炙手可热，基本上全部被各大投资银行、基金管理公司、保险公司、风险投资公司所聘用。

MFE和MBA有什么不同？MBA是一种泛面商科教育，而MFE则是专门培养高级金融人才的专项教育。金融工程硕士的课程全部集中于金融领域，如果你感兴趣的是会计、市场营销或人力资源管理，那你应该是去学习MBA课程，因为MBA的课程更广泛。此外，申请金融工程硕士不需要有工作经验，这和 MBA 有很大不同，但是，申请金融工程硕士要求申请者在大学本科必须修过两门课——微积分和统计，因此不适合那些大学学文科的人们。最后，MFE的学习是一年，而MBA由于课程覆盖面广而通常需要两年。

据笔者了解，现在，已经有不少美国大学开设了金融工程的课程，如加州伯克利大学、普林斯顿大学、斯坦福大学、芝加哥大学、哥伦比亚大学、康奈尔大学、密西根安阿伯大学、卡耐基梅隆大学、纽约大学、南加州大学等等。除美国外，有英国的牛津大学和爱丁堡大学，加拿大的多伦多大学和约克大学，等等。亚洲的国家中，新加坡作为东南亚金融中心走在了前列，新加坡国立大学和南洋理工学院都开设了相应的课程。更多的大学可以查看国际金融工程师联合会IAFE (International Association of Financial Engineers) 的网址，其中有各所开设MFE课程的大学的链接，网址是：http://www.iafe.org/educate/fe_schools.ihtml

笔者列举了几所著名大学金融工程项目的相关链接

建立在商学院的有

University of California, Berkeley

Haas School of Business,

Master in Financial Engineering

http://haas.berkeley.edu/MFE/index.html

Carnegie Mellon University

Graduate School of Business

Master of Science in Computational Finance

http://student-2k.gsia.cmu.edu/mscf/

建立在工程学院的有

Princeton University

Department of Operations Research & Financial Engineering

M.S.E. in Operations Research and Financial Engineering

http://www.orfe.princeton.edu/graduate/index.html

Columbia University

Department of Industrial Engineering and Operations Research

M.S. in Financial Engineering

http://www.ieor.columbia.edu/finance.html

Cornell University

School of Operations Research and Industrial Engineering

Master of Engineering in Financial Engineering

http://www.orie.cornell.edu/me...ables/financial1.html

University of Michigan, Ann Arbor

College of Engineering

Master of Science in Financial Engineering

http://interpro.engin.umich.edu/fep/

建立在数学系的有

Stanford University

The Departments of Mathematics and Statistics

MS in Financial Mathematics

http://math.stanford.edu/FinMath/

University of Chicago

Department of Mathematics

Master of Science in Financial Mathematics

http://finmath.uchicago.edu/

New York University

Department of Mathematics

Master of Science in Mathematics in Finance

http://math.nyu.edu/financial_mathematics/

University of Southern California

Department of Mathematics

Master of Science in Mathematical Finance

http://www.usc.edu/dept/LAS/CAMS/MF/

加拿大的大学

University of Toronto

Masters Program in Mathematical Finance

http://www.math.toronto.edu/finance/

York University

Graduate Diploma in Financial Engineering

http://www.yorku.ca/fineng/

英国的大学

University of Oxford

Oxford Centre for Industrial and Applied Mathematics

Postgraduate Diploma in Mathematical Finance

http://www.conted.ox.ac.uk/courses/mathsfinance/

The University of Edinburgh

Management School

MSc in Financial Mathematics

http://www.cpa.ed.ac.uk/prosp/...ncialMathematics.html

在亚洲，新加坡已经走在了前列

National University of Singapore

Centre for Financial Engineering

Master of Science in Financial Engineering

http://cfe.nus.edu.sg/msc_fe.htm

Nanyang Technological University

Nanyang Business School.

Master of Science in Financial Engineering

http://nbs.ntu.edu.sg/Programmes/Graduate/MFE/

http://mfe.berkeley.edu/employ_2005.html

The Six Biggest New Ideas In Chat

2006-11-26T11:45:00.000-08:00

Instant messaging has become a part of daily life on the web. I use several different services depending on what I want to do and who I want to talk to. AIM is great for keeping in touch with old friends, Meebo or eBuddy for signing on anywhere, and Skype for business interactions. I use these different services because of their strengths in certain key features. Companies like Meebo, Skype, Wablet, and AOL-acquired Userplane are pushing these features forward with the next generation of instant messaging on the web.

Real time communication is one of the most innovative sectors on the web today. Below are some of the big ideas emerging in web instant messaging as it stands today and the services that exemplify them.

1. Interoperability
After the initial success of AIM and ICQ, several other chat services popped up. Services like Trillian, Gaim, Adium and Miranda developed hacks to communicate across the different protocols. After a period of “cat and mouse” where AOL fought interoperability by making small changes to AIM, cross-platform interoperability has become a standard feature in most new chat programs. Yahoo Messenger and Windows Live Messenger announced interoperability this summer. AOL now has an open development API and Google Talk runs on the open Jabber protocol. Clearly, open standards are here to stay.

2. In-Browser Chat
AIM Express was an early version of chat programs that split away from a downloadable client and ran in your web browser instead. Services like Meebo and eBuddy have developed richer user interfaces by using AJAX and bridging chat protocols. Sequoia backed Meebo (rumored $3-4 million), and Lowland funded eBuddy (5 million Euro) continue to slug is out over this space. Meebo branched out even further by allowing embeddable chat on any website through their MeeboMe widget. Meebo has had steady growth since we covered their numbers last December. Daily logins and message volume have grown 5 times over, at 1.2 million logins and 70 million messages per day. Meebo claims 4.5 million monthly uniques and 700,000 Meebo user accounts. With the uptake in social sites, browser-based IM has brought chat to the places users are on the web.

3. Location Based Chat
Instant messaging programs connect people across the internet. Newer programs like RadiusIM and Meetro, connect people by their real-world location. RadiusIM is an AJAX application, while Meetro is a downloadable client. Both allow you to fill out your location and profile as a way to meet new people in your area, or even another country. Unlike the other developments in chat, location based IM hasn’t seen heavy adoption on other platforms, which continue to connect people based on a user generated buddy list.

4. Flexible Identities
As web personal profiles have grown on the web, so has the need to separate your private and professional faces. While users can handle this problem through managing various IM handles, Flash-based Wablet (our coverage) made profiling a central feature in it’s system. Wablet allows you to create multiple personas with different profiles. You can then embed these chat windows on the web and control which persona each visitor sees. In the near future, Wablet is incorporating OpenID. Chat service ScribbleHere currently works with OpenID.

5. Contextual Chat
Several new start-ups have popped up and changed the context of instant messaging from buddy lists to websites and interests. While similar to the old IRC chat rooms by basing conversations around topics, companies like Me.dium, Geesee, the newly launched InCircles, OthersOnline, and 3bubbles have incorporated your location on the web into chat in different degrees.

3Bubbles is an embed that adds a post specific chat window to every blog post. GeeSee goes a step further and connects users across sites based on tags so, for example, all technology blogs can share a common chat room. InCircles, which is embedded for testing here, operates similarly but is optimized for blog sidebars. OthersOnline and Me.dium incorporate surfing habits to connect users of similar interests. Both are browser plugins. OthersOnline focuses on connecting people who frequent the same websites and have similar profiles, listing similar users in drop-down menus. Me.dium is a bit more anonymous in their approach, connecting users by handle based solely on their presence at related websites. Your relationship to your friends and other surfers is displayed on a “radar” map, which shows you other users visiting the site your on or others like it.

6. Rich Media Chat
Web cams and microphones have been on the web for a while, but the growth broadband, VOIP standards, and mainstream incorporation through services like Skype, Google Talk, and Yahoo! Messenger have expanded their use in chat programs. Skype and Yahoo! support calling to land lines and mobile phones (Skype is free until the end of the year). PalTalk creates voice chat rooms that can host conversations between thousands of people together at once. While voice and video does not lend itself to simultaneous conversations many IM users carry on, rich media integration brings a subtleness and depth absent from text-based IM.

What Great .NET Developers Ought To Know (More .NET Interview Questions)

2006-11-19T06:16:00.000-08:00

http://www.hanselman.com/blog/WhatGreatNETDevelopersOughtToKnowMoreNETInterviewQuestions.aspx

A while back, I posted a list of ASP.NET Interview Questions. Conventional wisdom was split, with about half the folks saying I was nuts and that it was a list of trivia. The others said basically "Ya, those are good. I'd probably have to look a few up." To me, that's the right response.

Certainly I wasn't trying to boil all of .NET Software Development down to a few simple "trivia" questions. However, I WAS trying to get folks thinking. I believe that really good ASP.NET (and for that matter, WinForms) is a little [read: lot] more than just draging a control onto a designer and hoping for the best. A good race driver knows his car - what it can do and what it can't.

So, here's another list...a greatly expanded list, for your consumption (with attribution). I wrote this on a plane last week on the way from Boise to Portland. I tried to take into consideration the concerns that my lists contain unreasonable trivia. I tried to make a list that was organized by section. If you've never down ASP.NET, you obviously won't know all the ASP.NET section. If you're an indenpendant consultant, you may never come upon some of these concepts. However, ever question here has come up more than once in the last 4 years of my time at Corillian. So, knowing groking these questions may not make you a good or bad developer, but it WILL save you time when problems arise.

What Great .NET Developers Ought To Know

Everyone who writes code
Describe the difference between a Thread and a Process?
What is a Windows Service and how does its lifecycle differ from a "standard" EXE?
What is the maximum amount of memory any single process on Windows can address? Is this different than the maximum virtual memory for the system? How would this affect a system design?
What is the difference between an EXE and a DLL?
What is strong-typing versus weak-typing? Which is preferred? Why?
Corillian's product is a "Component Container." Name at least 3 component containers that ship now with the Windows Server Family.
What is a PID? How is it useful when troubleshooting a system?
How many processes can listen on a single TCP/IP port?
What is the GAC? What problem does it solve?

Mid-Level .NET Developer

Describe the difference between Interface-oriented, Object-oriented and Aspect-oriented programming.
Describe what an Interface is and how it’s different from a Class.
What is Reflection?
What is the difference between XML Web Services using ASMX and .NET Remoting using SOAP?
Are the type system represented by XmlSchema and the CLS isomorphic?
Conceptually, what is the difference between early-binding and late-binding?
Is using Assembly.Load a static reference or dynamic reference?
When would using Assembly.LoadFrom or Assembly.LoadFile be appropriate?
What is an Asssembly Qualified Name? Is it a filename? How is it different?
Is this valid? Assembly.Load("foo.dll");
How is a strongly-named assembly different from one that isn’t strongly-named?
Can DateTimes be null?
What is the JIT? What is NGEN? What are limitations and benefits of each?
How does the generational garbage collector in the .NET CLR manage object lifetime? What is non-deterministic finalization?
What is the difference between Finalize() and Dispose()?
How is the using() pattern useful? What is IDisposable? How does it support deterministic finalization?
What does this useful command line do? tasklist /m "mscor*"
What is the difference between in-proc and out-of-proc?
What technology enables out-of-proc communication in .NET?
When you’re running a component within ASP.NET, what process is it running within on Windows XP? Windows 2000? Windows 2003?

Senior Developers/Architects

What’s wrong with a line like this? DateTime.Parse(myString);
What are PDBs? Where must they be located for debugging to work?
What is cyclomatic complexity and why is it important?
Write a standard lock() plus “double check” to create a critical section around a variable access.
What is FullTrust? Do GAC’ed assemblies have FullTrust?
What benefit does your code receive if you decorate it with attributes demanding specific Security permissions?
What does this do? gacutil /l find /i "Corillian"
What does this do? sn -t foo.dll
What ports must be open for DCOM over a firewall? What is the purpose of Port 135?
Contrast OOP and SOA. What are tenets of each?
How does the XmlSerializer work? What ACL permissions does a process using it require?
Why is catch(Exception) almost always a bad idea?
What is the difference between Debug.Write and Trace.Write? When should each be used?
What is the difference between a Debug and Release build? Is there a significant speed difference? Why or why not?
Does JITting occur per-assembly or per-method? How does this affect the working set?
Contrast the use of an abstract base class against an interface?
What is the difference between a.Equals(b) and a == b?
In the context of a comparison, what is object identity versus object equivalence?
How would one do a deep copy in .NET?
Explain current thinking around IClonable.
What is boxing?
Is string a value type or a reference type?
What is the significance of the "PropertySpecified" pattern used by the XmlSerializer? What problem does it attempt to solve?
Why are out parameters a bad idea in .NET? Are they?
Can attributes be placed on specific parameters to a method? Why is this useful?
C# Component Developers
Juxtapose the use of override with new. What is shadowing?
Explain the use of virtual, sealed, override, and abstract.
Explain the importance and use of each component of this string: Foo.Bar, Version=2.0.205.0, Culture=neutral, PublicKeyToken=593777ae2d274679d
Explain the differences between public, protected, private and internal.
What benefit do you get from using a Primary Interop Assembly (PIA)?
By what mechanism does NUnit know what methods to test?
What is the difference between: catch(Exception e){throw e;} and catch(Exception e){throw;}
What is the difference between typeof(foo) and myFoo.GetType()?
Explain what’s happening in the first constructor: public class c{ public c(string a) : this() {;}; public c() {;} } How is this construct useful?
What is this? Can this be used within a static method?

ASP.NET (UI) Developers

Describe how a browser-based Form POST becomes a Server-Side event like Button1_OnClick.
What is a PostBack?
What is ViewState? How is it encoded? Is it encrypted? Who uses ViewState?
What is the element and what two ASP.NET technologies is it used for?
What three Session State providers are available in ASP.NET 1.1? What are the pros and cons of each?
What is Web Gardening? How would using it affect a design?
Given one ASP.NET application, how many application objects does it have on a single proc box? A dual? A dual with Web Gardening enabled? How would this affect a design?
Are threads reused in ASP.NET between reqeusts? Does every HttpRequest get its own thread? Should you use Thread Local storage with ASP.NET?
Is the [ThreadStatic] attribute useful in ASP.NET? Are there side effects? Good or bad?
Give an example of how using an HttpHandler could simplify an existing design that serves Check Images from an .aspx page.
What kinds of events can an HttpModule subscribe to? What influence can they have on an implementation? What can be done without recompiling the ASP.NET Application?
Describe ways to present an arbitrary endpoint (URL) and route requests to that endpoint to ASP.NET.
Explain how cookies work. Give an example of Cookie abuse.
Explain the importance of HttpRequest.ValidateInput()?
What kind of data is passed via HTTP Headers?
Juxtapose the HTTP verbs GET and POST. What is HEAD?
Name and describe at least a half dozen HTTP Status Codes and what they express to the requesting client.
How does if-not-modified-since work? How can it be programmatically implemented with ASP.NET?Explain <@OutputCache%> and the usage of VaryByParam, VaryByHeader.
How does VaryByCustom work?
How would one implement ASP.NET HTML output caching, caching outgoing versions of pages generated via all values of q= except where q=5 (as in http://localhost/page.aspx?q=5)?

Developers using XML

What is the purpose of XML Namespaces?
When is the DOM appropriate for use? When is it not? Are there size limitations?
What is the WS-I Basic Profile and why is it important?
Write a small XML document that uses a default namespace and a qualified (prefixed) namespace. Include elements from both namespace.
What is the one fundamental difference between Elements and Attributes?
What is the difference between Well-Formed XML and Valid XML?
How would you validate XML using .NET?
Why is this almost always a bad idea? When is it a good idea? myXmlDocument.SelectNodes("//mynode");
Describe the difference between pull-style parsers (XmlReader) and eventing-readers (Sax)
What is the difference between XPathDocument and XmlDocument? Describe situations where one should be used over the other.
What is the difference between an XML "Fragment" and an XML "Document."
What does it meant to say “the canonical” form of XML?
Why is the XML InfoSet specification different from the Xml DOM? What does the InfoSet attempt to solve?
Contrast DTDs versus XSDs. What are their similarities and differences? Which is preferred and why?
Does System.Xml support DTDs? How?
Can any XML Schema be represented as an object graph? Vice versa?

14 things you can learn from the Google story

2006-11-16T06:52:00.000-08:00

14 things you can learn from the Google story

Connections - human, computer, biology - are everything. Life = networks.
Never compromise your ideals because someone said it’s impossible, stupid, or a waste of time.
Do focus on changing the world, don’t focus on the money. If you provide value, the money will come.
Have a healthy disregard for the impossible. If someone hasn’t done it yet, that doesn’t mean it’s impossible.
Money is a problem, not a solution. Money cannot solve your problems, but your solutions can solve the money problem.
Value creativity, not money. View creativity as your company’s true bottom-line, or your company will stop growing and die.
Go against the grain. Don’t believe in other people’s visions for you, believe in your own.
Speed is more important than looking good. A shiny, beautiful car isn’t impressive when it gets overtaken by an old jalopy; the same applies to software.
Organic growth is best. Only grow as fast as you need to, don’t waste money on advertising a product you won’t want your mom to use.
Focus on users above all else, e.g. don’t do something that might annoy your users just to make more money, they won’t forget.
Never betray users’ trust, or anyone else’s.
Spend 20% of your time on blue-sky ideas without worrying about how they will make a profit. If it might change the world for the better, it needs to be done, even if it can’t make money.
Don’t make enemies of your competitors to stay driven. Be driven by your own values and mission.
Beat your own path through the wilderness.

These are the flashes of insight I had while reading The Google Story, please add your own in the comments.

下载所有符号并存入数据库

2006-11-13T09:13:00.000-08:00

下载所有符号并存入数据库：
1。Nasdaq symbols: http://www.nasdaqtrader.com/dynamic/SymDir/nasdaq.txt
2. NYSE: http://www.nysedata.com/nysedata/asp/download.asp?s=txt&prod=Symbols
3. AMEX http://www.amex.com/amextrader/symDir/data/AMEX_SYMDIR_ISSUES_20OCT2006.txt
10/22/2006 Be able to get historical data from Yahoo. Writting code to get insider information from: http://moneycentral.msn.com/investor/invsub/insider/trans.asp?view=All&Symbol=GOOG

Career Guide: Quantitative Finance

2006-11-02T18:28:00.000-08:00

Career Guide

QF Home >

Resources >

Career Guide

This guide is a resource for students and advisors. If you are new to the subject area you may find many unfamiliar terms. We suggest that you turn to the material under External Resources and Recommended Texts for help. We have attempted to give a broad representation, and we make no claims of completeness.

On This Page

Perspectives on Financial Markets

We'll try to give a gentle, and somewhat idiosyncratic, introduction to finance and financial markets by looking at them from a number of different perspectives. As mentioned earlier, we make no pretense of completeness and readers are encouraged to follow up with readings from other sources.

Top of Page

Financial Instruments

Financial instruments or securities are essentially contracts which package capital or wealth in a tradeable form. Financial markets are the "places" in which the buyers and sellers of financial instruments meet. Sometimes this occurs in an actual physical location such as the New York Stock Exchange, within a virtual space such as the NASDAQ or in a decentralized fashion such as certain over-the-counter or OTC markets.

What are sometimes called underlying securities (This choice of terminology will become clearer shortly.) fall into three broad categories:

Equities - Sometimes called shares, equities represent ownership,
Debt - Debt instruments represent claims against capital and
Currencies - The units of money for a nation are its currency.

An example of an equity security is common stock which represent shares of ownership of a corporation. Long-term debt is often represented by a bond in which a corporation sells a bond in return for agreeing to pay the purchaser a series of interest payments over a fixed term at the end of which the original amount loaned is returned. International trade involves dealing in more than one nation's currency and the foreign exchange markets are organized to accomplish this.

A derivative security is a security whose price is determined by the price of some underlying asset or security. We'll cover two of the simpler examples:

Forward Contract or Future - A forward contract or future is the obligation to buy or sell a certian quantity of an asset or security at a fixed time in the future.
Option - An option is the right but not the obligation to undertake a financial transaction at or by a specified date for a specified price.

Derivatives were originally developed as a means of controlling risk. For example, an airline concerned about the possibilty of a price increase in jet fuel could enter into a futures contract today to receive a fixed amount of fuel sometime in the future. The other side of the trade, to deliver that fuel, might be taken by an oil company concerned about the possibility of a price drop. The contract insulates them against price changes and allows them to plan and price their operations with less risk.

Derivatives generally require less capital than direct investment in the underlying. Thus, they can also be used by speculators to make pure bets on price movements. The structure of derivatives can become quite complex and much of quantitative finance is concerned with designing and pricing them.

Top of Page

Market Participants

Another way to understand financial markets is by examining the roles of its participants. The most common role is taken up by investors who seek to participate in the economic activity of society by purchasing either units of ownership (e.g., stocks) or by loaning money (bonds). On the other side are issuers who offer such financial instruments in order to raise capital for their operations. Facilitating such exchanges are investment bankers who help to structure such instruments and bring the issuers and investors together.

This initial issuance is done on what is called the primary market. Of course, once such instruments have been issued they can be sold on what is called the secondary market or after market. For example, stockholderes who themselves need capital or who believe their stocks are overvalued can sell them to other investors in the secondary market.

Within the financial markets that are organized to bring investor and issuers together traders enter the picture. Some traders are speculators who are not focused on the long-term economic income or growth, but in exploiting short-term movements in prices, e.g., due to local supply and demand imbalances. Others are hedgers who trade financial instruments in order to reduce their risk, in effect buying insurance against some possible, undesirable, future outcome. Finally, there are arbitrageurs who buy and sell related instruments whose prices are inconsistent with one another.

Facilitating such trading activity are market makers, brokers and banks whose role it is to maintain inventories of financial instruments and bring buyers and sellers together in an orderly fashion.

Top of Page

Careers in Quantitative Finance

There are many overlaps and synergies in the activities listed below; nevertheless, most quant positions have a specific focus within the firm: to make money by trading the firm’s own capital, to support the frontline traders, to create new financial products, to measure and control risk, or maintain investment portfolios that meet certain objectives. and so forth.

Associated with each area of practice are many complex problems that still remain to be solved. These represent opportunities for researchers in both academia and industry.

Top of Page

Alternative Investments and Proprietary Trading

Proprietary trading in alternative investments is trading done for the direct benefit of the owners of the firm; this is opposed to agency trading which is trading done for the benefit of its customers. Traditional financial institutions often engage in proprietary trading as an important sideline. Hedge funds, typically organized as limited partnerships, do so as their primary business activity.

Among the alternative investment strategies are convertible arbitrage, various forms of leveraged long-short equity, emerging markets, distressed debt, merger arbitrage, fixed income arbitrage, global macro, managed futures, and private equity. Within each category, there are typically sub-categories. As examples, convertible arbitrage can be broken down into capital structure arbitrage, mandatory converts, synthetic puts, volatility arbitrage, and credit arbitrage; long-short equity can be broken down into general long-short equity, dedicated short bias and equity market neutral.

Top of Page

Trading Support

For trading desks, pricing complex instruments and transactions rapidly and accurately while simultaneously managing risk in manner consistent with firm-wide objectives are critical capabilities. Quantitative analysts provide the mathematical talent required to build and maintain these decision support systems. Both proprietary implementations built in-house and commercial systems sold as turnkey solutions are used. The trading activities themselves may either be proprietary or customer related.

The precise manner in which "quants" are integrated into the trading desk varies from case to case. If a desk is executing trades output from an automated system, then the objective is often not what to trade but how to execute with minimal impact on the market. In contrast, a market maker must match incoming buys and sells and often commits its own capital to maintain an orderly market; in todays markets, volumes are so high and trades are executed so quickly that this cannot be accomplished without analytic support. In other cases, traders operate in areas without well organized exchanges, such a mortgage backed securities, and must be able to run complex models to price these instruments as they negotiate with counterparties.

Top of Page

Consulting and Customer Support

On the sell side investment banks and other financial institutions provide research reports and other forms of analytical support to their customers. These supports may be provided gratis as a means of maintaining client relationships or stimulating the demand for a firm’s services. A visit to any number of brokerage websites will give you an indication of how pervasive this is.

In other cases, these services may be paid for by the investing organization itself. Companies, universities and other organziations maintain significant portfolios of financial assets in the form of pension funds, endownments and sinking funds (monies set aside to fund an activity or purchase in the future). Smaller firms hire outside consultants to advise them in the management these assets. Larger organizations maintain their own staff of professionals, though they still may use consultants to provide an independent review.

Top of Page

Product Development

An increasing share of the business undertaken by investment banks has been in the form of exotic options, hybrid securities and collateralized obligations. These products are used to enhance return or to insure against legal, fiscal, regulatory or liquidity risks—some of which are company specific and may require customized solutions.

An example has been the development of collateralized obligations. The most common of these are mortgage-backed securities (MBSs), which break apart a payment stream into sub-deals or tranches, e.g., separating the principal and interest streams, POs and IOs, respectively. In turn, derivatives of these tranches can be created, e.g., in which the yield from a fixed rate IO is swapped with a floating rate.

Other examples include hybrid securities that overlay various fixed income or equity investments with derivatives to enhance yield or create a more tax efficient income stream. For example, a debtor can combine a fixed rate bond with a receiver swaption to give an issuer the benefits of both a fixed and floating rate bond. This structure allows the issuer to retain fixed rate payments if rates rise but switch to floating rate payments if rates fall, albeit with an “insurance” cost.

These products involve complex provisions and are difficult to price. They often demand the assessment of events and probabilities for which there is no or only an illiquid “market”. This difficulty, however, is an opportunity. Financial institutions are in a better position to model these instruments, trade them at an attractive spread, and, as counterparties to many such deals, build internal portfolios whose component risks offset one another.

Top of Page

Risk Control

Laws and regulations dealing with credit and captial requirements have been around for decades, in certain forms for centuries. However, recent catastrophic, high profile failures of hedge funds and investment banks have led to a call for a more consistent, verifiable, quantitative, firm-wide approach to risk monitoring and control. Firms now recognize that, with the increasing complexity of financial products and markets, the organization's survival depends upon being able to define and enforce coherent risk management policies.

Defining, developing, implementing, operating and maintaining the necessary infrastructure to accomplish this is a demanding task. It requires a deep understanding of a wide spectrum of financial instruments and how exposure to them is financed. There are also significant technical challenges in real-time processing, high performance databases, and visualization.

Top of Page

Portfolio Management

Portfolio management deals with the identification of financial objectives and their translation into a portfolio of assets that must be managed over time in the face of uncertain investment performance and consumption demands. This is no simple task: There are thousands of potential investments related to one another in complex ways, an enormous number of parameters which must be estimated in a statistically meaningful fashion, and a system of operational, business and legal goals and requirements which must be expressed in a consistent mathematical framework.

Once this foundation has been set down, the challenges associated with making the choice of assets in a portfolio are formidable. Even with the guidance of existing theory, there are many real world issues that complicate the solutions. We are dealing with underlying parameters that are nonstationary and poorly understood and with transactions costs that are highly nonlinear and uncertain. Such complications, in turn, mean that standard single period approaches may be only poor representations of the actual problem.

Individuals in this area may work either as in-house portfolio managers or as outside consultants. Large portfolios such pension funds, corporate sinking funds, and university endowments typically employ both in-house and consulting talent. However, all investors, even individuals managing their 401(k)s, require these services.

Top of Page

Academic and Industrial Research

There are practical problems that must be solved “well enough” to allow the players in financial markets and in the financial service industries to operate but for which the best available approaches involve compromises that employ oversimplified models because of limitations of theory, available data or computational resources. Modern theories, despite their elegance and utility, fail to adequately account for many of the nuances of real markets. These limitations represent opportunities for the academic or industrial researcher.

风险资本创新，Charles River 推出天使投资计划

2006-11-02T18:26:00.000-08:00

美国最古老的风险投资公司之一Charles River ，本周三公布了一项名为“Quick Start”的非同寻常的计划，将为年轻创业者们提供小额贷款，帮助他们将自己的创意和理念转变成商业现实。

Charles River的这一做法打破了传统风险投资的投资模式，开始进入了天使投资领域。

众所周知那些支持创业的个人出资者被称为是天使投资者，他们典型的做法是在风险投资公司介入之前持有创业企业的股份。天使投资者——从象Ron Conway 和Jeff Clavier这样的个人，到YCombinator和First Round Capital这样的小基金，他们通过对于年轻企业的小额投资获得了相当的市场份额。

Charles River的这一天使投资计划是众多风险投资公司试图介入到创业企业创始阶段的诸多尝试之一。

长期从事天使投资、曾经资助过400个创业企业的天使投资人 Ron Conway说“现在许多风险投资公司倾向于做一些小额投资，我认为VC介入到食物链越早越有好处。”Ron Conway表示他还没有有听说过哪一家风险投资公司为创业企业设立了正式的贷款项目。

Charles River这一举动的出台，除了风险投资市场本身的繁荣和激烈竞争之外，也与创业成本的降低有很大关系。目前软件、硬件及宽带横本的下降为创业者提供了更好的机会。正如最近被Google收购的Jotspot的创始人Joe Kraus所说的那样，在他创立Excite.com的时候是300万美圆，而他创立Jotspot的时候只花了10万美圆。他说“对于天使投资人来说这是一个伟大的时代，因为用一点点钱建立的企业拥有实实在在的机会。”

Charles River本身是一家古老的风险投资公司，掌管有18亿美圆的风险资本，拥有36 年创投经验。但在“Quick Start”计划中他们寻求为那些早其阶段的公司提供相对来说是小额的资本（10万——50万美圆），这些公司可能只有一个人、几页PPT或是一个演示产品。这一早期资本可以帮助这些创业者们募集到传统风险投资公司的一系列后续资本，甚至被收购。

该项目由Charles River的普通合伙人George Zachary和 Bill Tai负责运做，根据估计，在接下来的两年中他们将会做20-50家Quick Start 案子。投资门槛非常低，只要Charles River的5位合伙人中有两位合伙人同意，就可以做出决策，迅速决定是否要向创业企业提供贷款。提供贷款后，Charles River将拥有对该公司提供第一轮风险投资的权利。

这笔贷款无须担保，但有一定的利息，但Charles River这样做并不是为了成为一家银行。Zachary 说“我将这看做是一种做案子的方式，而不是一种以此赚钱的生意。”George Zachary说“我们认为大批公司在得到25万美圆的支持之后会在互联网上展开服务。在一个由少数案宗创造大笔收益的环境下，我们认为有尽可能广泛的选择是非常重要的。”

业界对Charles River的做法反应不一，已经为象 Digg这样的创业公司提供小额投资的Greylock Partners的一位合伙人David Sze说，Charles River这种贷款计划可能会迫使创业者们听命于某一家风险投资公司。他说：“我不确定对于一位创业者而言这是否会有好处。”

尽管如此，对于创业者来说这仍不失为是一个利好消息，无论如何这是一个颇具吸引力的早期资本来源，如果你正在寻求早期资本的支持，不妨试验申请一下Charles River的Quick Start。

金融数学基础书籍系列介绍

2006-10-28T21:15:00.000-07:00

金融数学（Financial Mathematics），又称数理金融学、数学金融学、分析金融学，是利用数学工具研究金融，进行数学建模、理论分析、数值计算等定量分析，以求找到金融动内在规律并用以指导实践。金融数学也可以理解为现代数学与计算技术在金融领域的应用，因此，金融数学是一门新兴的交叉学科，发展很快，是目前十分活跃的前言学科之一。

　　金融数学的发展曾两次引发了“华尔街革命”。上个世纪50年代初期，马科威茨提出证券投资组合理论，第一次明确地用数学工具给出了在一定风险水平下按不同比例投资多种证券收益可能最大的投资方法，引发了第一次“华尔街革命”，马科威茨因此获得了１９９０年诺贝尔经济学奖。1973年，布莱克和斯克尔斯用数学方法给出了期权定价公式，推动了期权交易的发展，期权交易很快成为世界金融市场的主要内容，成为第二次“华尔街革命”，修斯因此获得了１９９７年诺贝尔经济学奖。2003年诺贝尔经济学奖第三次授予以数学为工具分析金融问题的美国经济学家恩格尔和英国经济学家格兰杰以表彰他们分别用“随着时间变化易变性”和“共同趋势”两种新方法分析经济时间数列给经济学研究和经济发展带来巨大影响。金融数学在我国起步比较晚，但于 1997 年正式实施的国家“九五”重大项目《金融数学、金融工程、金融管理》，直接推动了我国金融数学这一交叉学科的兴起和发展。

金融数学,运用随机分析，随机最优控制，倒向随机微分方程，非线性分析，分形几何等现代数学工具研究以下问题：
（1）不完备金融市场有价证券（例如期货，期权等衍生工具）的资本资产定价模型，套利定价理论，套期保值理论及最优投资和消费理论。
（2）利率的期限结构和利率衍生产品的定价理论。
（3）不完备金融市场的风险管理和风险控制理论。
直愚：
1.概率论
很不幸的事实是,概率论基本上没有好的中文教材(1998之前,之后我就不清楚了)，Ross的书适合本科和硕士生,胜在例子详尽，
Billingsley的概率论和弱收敛的两本教材是非常好的入门书，chung的概率论教材很严格,读起来会有点累，如果你真的想理解概率论,feller的两本书是不可不读的,可以说,从高中水平到博士以上学位的读者,都会从中获益---如果要推选概率论里面最有影响的教材,feller的书无可比拟，Breiman的书也是经典,概率味比chung的浓，loeve的书可以作为工具书使用。
2.随机分析

黄志远的随机分析入门是一本很好的书，严加安的鞅论可以做工具书用，Ross的Inrto to probability model可以做本科生随机过程入门,例子很多，Karlin & Taylor的两本书非常适合硕士生用，resnick的书概率味很不错，oksendal的书是SDE里面最简单的，Karatzas Shreve有好几本书,金融数学的博士不可不读，Revuz Yor的连续鞅是很好的书，Protter的书是严格随机分析里面最容易读的,文笔很好，williams的书深入浅出,入门很合适，Chung Williams的书比oksendal稍微难一点,作为应用随机分析的标准教材很不错。

3.前面两个清单是概率类的,但它们是远远不够的

如果你是数学/物理/计算机博士,而希望去华尔街工作,你会有什么样的机会呢?首先,期望不要太高,举个例子,一个Columbia大学的Associate Prof,做金融工程的(大概比国内大部分"牛人"做的还要好一点),最近跳到了Hedge Fund,也不得不从entry level做起,原由很简单: You have potential, BUT You Don't Know Nothing yet!另外,投行三大业务:underwriting, M&A, trading,做数理的基本和前两项无缘.

数理出身的人在华尔街去向主要是quant(may lead to a trader position in the future, 最好成绩是成为star trader 或head quant). Quant可以是前台,中台,后台.一般说来,前台是最重要的工作,风险也大,risk management和model validation风险小,但bonus也少,属于技术员

还需要什么呢?

数理方面:
统计,特别是时间序列
计算代数,
数值算法
偏微(parabolic and elliptic)
控制论

金融方面就要看你想向什么方向走了,大致上有
1.Fixed income
2.Equity
3.Exotic Derivative
4. Credit Derivative
5. Commodity and FX

另外还需要计算机的知识

可以这么说,没有人在所有这些方面都是专家,我以后会在我知道一点的方向列一些书单,但一定要记住,即使把所有这些书都读透了,离成为一个专家还是很远,因为金融毕竟远远不仅仅是模型.当然,如果你选择教书,即使你只懂偏微,你也可以号称自己是金融界数学专家了,呵呵。

4-控制论

控制论在portfolio selection problem和risk management里面有很多的应用,optimal stopping在美式derivative非常重要

金融数学里面用的主要是随机控制,和粘性解(因为operator is often degenerate)

经典的随机控制书是

1.FLEMING and RISHEL, (1975) Deterministic and Stochastic Optimal Control.
2.KRYLOV, (1980) Controlled diffusion processes
3.BORKAR, (1989) Optimal control of diffusion processes.
4.BENSOUSSAN and LIONS, (1982) Controle Impulsionnel et Inequations Variationnelles

粘性解的标准文献是

1. Crandall, Ishii and Lions, User's guide to viscosity solutions of second order partial differential equations, Bull. Amer. Math. Soc. 27 (1992),
2.Fleming and Soner, Controlled Markov Processes and Viscosity Solutions, 1992.

5.数值算法

首先,finite difference是极其常用的算法,这方面书籍很多,比如Ames...

计算矩阵: Golub and Van Loan, Matrix Computations, 1996

Kushner and Dupuis, Numerical Methods for Stochastic Control Problems in Continuous Time, 1992. Kushner's Markov chain approximation method是控制论里最有用的算法

ROGERS and TALAY, Numerical Methods in Financial Mathematics. 1997.论文集

Kloeden and Platen, Numerical Solution of Stochastic Differential Equations, 1997. 偏理论,实用性差一点

Glasserman, Monte Carlo Methods in Financial Engineering, 2003这本书非常非常实用,可以说是金融数学数值算法的最新经典

6-时间序列

A Guide to Econometrics: by Peter Kennedy可能是最通俗易懂的入门书

Econometric Analysis,by William H. Greene和Time Series Analysis
by James Douglas Hamilton是非常标准的教材,许多学校都在用

Box Jerkins的Time Series Analysis: Forecasting & Control,当之无愧的经典

Time Series and Dynamic Models by Christian Gourieroux,Gourieroux写了许多书,但似乎他的书不如他的研究文章水准高

The Econometrics of Financial Markets,by John Y. Campbell, Andrew W. Lo, A. Craig MacKinlay,新经典啦.

我来写一个关于CPA的东西，方便大家

2006-10-28T17:08:00.000-07:00

国内读的本科或者硕士，第一步去FACS - Foreign Academic Credential Service认证你
的本科或者硕士学的东西，google一搜就可以了，基本上就是骗钱的，但是早点，不要让
他们耽误你的时间。。。。。。。

然后就是看本州的考试要求，master of accounting program得都可以问program
director，他们超级明白的。然后搜集成绩单，寄上700多刀(考试报名费)，等待批准，注意申请材料
要公证的
一般学校有免费公证服务。推荐信，一般老师写就行了，不用专门找CPA.

www.nasba.org
http://www.cpa-exam.org/
这两个是官方网站，基本上你需要的所有信息这上面都有了，网站设计的很弱智，要耐心
找

最后一步是找复习材料，如果是CPA firm里面的，他们会有推荐，我个人觉得BeckerCPA
REview还是很有效的，最起码我复习了一个半月四门都考了90多，show off一下，呵呵。
同时工作的同学，最好给三个月时间，还是有很多东西要记要背的。复习的有效方法，对
于我个人来说，先听课，划重点，然后稍微看一下书，然后作题，Financial你要是有时
间最好做两遍，最简单是auditing 和BEC，REG上考场之前，最好把regulation再过一遍
。除非你基础特别好，或者特别有时间，光看notes就去考还是很费劲的。

考试的时候时间要控制好，我考Financial的时候，急得一头包，不过也怪我自己不好，
simulation的功能还没搞清楚，就去考了，出来觉得肯定挂了，居然还考了90多，所以说
你自己的感觉不做数的。。。。。。Non-for-profit和government一定要看，一定要看！
没看得别怪我没提醒。。。。。。

我觉得对初学者来说集中看两到三本书, 比如Hull和Shreve的, 一个重点在
finance, 另一个重点在math. 其间看一些侧重讲martingale和markov process的
数学书, 会对理解有很大的帮助. Shreve的书关于jump diffusion的一章有点草草
收尾的感觉, Glassman的是个很好的补充. Wilmott的书不深, 但很好的介绍的math
在fiinance中的应用.

再推荐两本C++的书, C++ Primer和Thinking in C++. 两本书在网上都有电子版.

应付面试的话, (More) effective C++是首选. "Heard on the street" 虽然有点过
时, 但Black-Scholes的理解还是有很大帮助的.

没有绿卡，有CPA,工作好找,entry-level pay得很低啊,50,000不错了
公司不太容易帮你申请绿卡

NYU Math Finance的一些介绍

2006-10-28T16:24:00.000-07:00

最近听闻无数在美前辈大牛们博士毕业纷纷跳进华尔街作矿工，新一轮的高潮阿。

NYU Math Finance的一些介绍

花销

申请签证当然要按照I-20上面写的数额准备资金了，大概是$47k/yr，总共$71k吧。但实际上花销不用这么多，来了这边就知道了。而且来了这边之后，如果经济实在困难，可以申请做一些on-campus job，大概一个月可以赚$1k+。但是我觉得作业挺多的，没时间做on-campus job吧，机会成本太高了……

工作去向

就业前景的问题比较复杂，现在很多理工科想转金融的都来读金融工程，或者看看书就直接申请金融工程的工作。而且大部分金融工程program都在扩招，我们program今年扩招了10个full-time students。我来之前还以为是小班教学，来了之后才发现还有很多part-time的学生，以及别的系来听课的学生，课堂上好多“中年人”，有人的小孩都好几岁了……而且今年quant的工作机会达到了顶峰，大部分人估计明年的就业形势可能会恶化。所以竞争会越来越激烈。

至于能干什么，投行里一般有这样一些职位可以做的：structurer，quantitative trader，desk quant，risk manager，research quant，quant developer。structurer就是设计衍生物的人，需要将各种风险细分再重新组合，需要和客户 trader打交道，口语要求较高。quantitative trader其实大部分时间都在设计软件，进行automated trading和statistical arbitrage的软件，不过偶尔也需要有人干涉软件的运行。desk quant就是给trader提供技术支持的quant了，口语要求也较高。risk manager的工作挺重要的，对软件和口语要求都不算特别高，但是没有做过trading的人是不懂risk management的……research quant就是纯做研究的了，像当年Fisher Black在GS那样，一般招PhD，做research有时候没法显示出自己的重要性，可能爬起来困难一点，不过工作比较轻松。quant developer就是纯粹写软件的，属于IT部门了，我们编程课的老师讲投行里面认为有时候与其花钱雇人改进算法，还不如用雇这些人的钱多买一些硬件就行了……

在工作的最初几年，以上职位每天都要工作12小时左右，但是能够保证周六周日。另外我们一般入行都是associate。

当然你也可以投传统的trading，据Lehman一些人说，quant和trader有合流的趋势。

申请难度

去年500人申请，发了70个录取，最后来了34个full-time学生。我们program偏好法国人，每年都从法国招9~10个人，这是Marco Avellaneda（朱英姿老板）的偏好。我们program很喜欢数学背景的人，这边所有人基本都有数学背景，或者是其他一些理工科（EE，ME， Physics），我们班上录取的美国人很多都是本科刚毕业的（Math/Econ），其他国家的背景就比较复杂了，大家可以看我们program的简历（10月中旬出来）。不过我觉得清华数学系出身，只要成绩中上，申请应该希望比较大。据说负责录取中国人的是David Cai。

课程准备

在此我列出一些预备课程，上了这些课程之后来这边会很轻松的。

数学方面
推荐必修：概率论I，应用随机过程，数理统计，微分方程I，数值分析，数学规划
推荐选修：应用统计，概率论II，偏微分方程，高等数值分析
信息学院的机器学习也可上一下，quantitative trading里面机器学习也用得上。

金融方面
推荐必修：经济学原理I&II，中级宏观经济学，投资学
推荐选修：金融工程原理，计量经济学，中级微观经济学

计算机方面：
推荐必修：C++，Java
MATLAB其实在公司里用的挺多的，特别是research部门。VBA用的也多。写程序往往用C++，Java开发周期短，也比较常见。

有空的话多看Economist，Financial Times，Wall Street Journal。各种和金融有关的活动都可以多参加。

投行及其它金融职业介绍普及版

2006-10-25T00:20:00.000-07:00

不少网友对投行以及其它金融行业都表现出了很大的兴趣。不过有不少道听途说的传闻并不可信。而且很多帖子对一些概念定义比较混乱，不少人甚至对投行干些什么都不甚清楚。我在这里科普一下，众位大牛不要见笑。这个帖子侧重于介绍金融的一些职业分工，以及简单的职业道路介绍。

整个金融行业大致分为buyside和sellside两大类。sellside做的主要是把各种asset变成各种金融产品，提供给市场。 sellside主要指的是通常意义上的投行。投行内部结构也很复杂，按照产品分大致分为fixedincome和equity两大类。按照业务分大致分为IBD,sales&trading，equityresearch,assetmanagement（这部分和buyside性质是类似的）等。IBD是最传统的投资银行业务，靠近的是corporate一边；sales&trading主要进行产品销售和交易，有时候投行会扮演 marketmaker的角色以保持市场的流通性。

buyside主要进行的是投资管理的业务，所以也称为IM(investmentmanagement)或者AM(assetmanagement)，主要由各种机构投资者组成，包括mutualfund,hedgefund,pensionfund等等。

就careerpath 来说，很难说谁好谁不好，关键看每个人的特长和个性。IBD适合工作热情高涨，吃苦耐劳的人。sales适合善于人际交往的人。trading适合能承受巨大压力，并且对市场感觉敏锐的人。equityreasearch适合做事踏实的人。一般来说 IBDcareerpath比较按部就班，需要熬年头，能熬上去的不仅需要良好的业务能力也需要强健的体魄。tradercareerpath风险很大，可能在2年之内就毁了前程，也可能在很短的时间内平步青云。我知道一个顶尖的trader从associate升到director只用了2年。 sellsideequityresearch行业前景有一定问题，因为regulation越来越倾向让research保持独立性以保护投资者。

Buyside总体来说lifestyle比sellside好，收入也超过sellside。不过，进buyside也远远难于进sellside。

注：当今金融产业之庞大和复杂远远超过常人想象，在整个金融产业链上还有着很多细分的行业，这里就不一一列举。

补充一下，帖子的职业分工主要是指成熟市场的情况。国内情况有所不同。

金融领域的开放让国内很多年轻的朋友一下子豁然开朗。不过随之而来的是扭曲的价值观：进投行的是牛人，进四大的是凡人，进企业的是土人之类。在此还想表明以下我一向的观点：工作本身没有等级之分，我决不赞成投行就比四大“高级”之说。任何一个人能在本行干的出色的才是牛人。选择职业道路应该看自己喜欢干什么，自己能够干什么，然后尽量在二者之间取得平衡。如果一心只想往“高级”的工作钻的话，可能回头看来还是一事无成。

hedgefund 中文翻译成“对冲基金”，这个翻译是准确的。不过有意思的是，现在主流的hedgefund往往做的不是hedge，相反很多 hedgefund对一些市场趋势进行大胆的speculation（中文是投机，贬义词，英语的原意是中性的，是hedge的反义词，表示承担风险而获取超常的收益）。如果把hedgefund和国内的情形联系起来看，更准确的翻译应该是“私募基金”。这个意义上而言国内存在hedgefund已经已经有些年头了，只不过因为法律界定而没有露出水面。现在管理层正在进行私募基金合法化的进程，应该很快就能成为正大光明的一支金融力量。（国内现在往往把 PE翻译成“私募基金”是不准确的，下文还有相关论述）

在成熟市场上hedgefund通常是相对于mutualfund而言。其差别是：mutualfund是公开招募，并且公开交易的开放型基金。国内市场上交易的开放型基金大多数属于mutualfund。而hedgefund则大多是私下招募，并且封闭的基金。

在全球金融市场，hedgefund已经成为一支举足轻重的角色。从东南亚金融危机到最近两年的商品期货的超级牛市都可以见到hedgefund 的身影。由于hedgefund收益率普遍高于mutualfund，最近几年全球范围的hedgefund都取得了快速的成长。再加上全球性资本过剩，现在几个billion的fund都算很小的。

稍微提一下对冲的概念。对冲是一种控制金融风险的手段。举个例子来说，如果你买了100股股票，然后又担心股票下跌，你就可以再买一个认沽100 股的期权（putoption）进行对冲。最后无论股票怎么跌，最差的结果就是你以putoption的执行价（strike）卖掉手中的股票。

和对冲相关但比较容易混淆的概念是套利（arbitrage）。套利是指把所有相关风险完全对冲掉以后可以获取的无风险收益。比如说中国银行的美元牌价是 8，门口黄牛的牌价是7.8，你可以用7.8人民币从黄牛那里换1美元，随后马上拿一美元换给BOC变成8元人民币，毫无风险的赚了0.2元。

就职业而言buyside和sellsidelink最多的是tradingdesk。双方的人马几乎是对应的。基本上都设有：trading, structure和research几块。一般来说sellside研究力量更为强大，buyside很多基本信息都依靠sellside取得。 sellsidestructure侧重的是如何将金融产品合理定价，而buyside侧重于如何搞出模型更好的预测市场的变化。（本质是一样的）双方的 trader做的事情倒是殊途同归。

当投行根据buyside要求设计出金融产品后，双方达成交易。然后投行一般会尽快地通过相关交易对冲产品风险，而buyside这时候一般是 “一切尽在掌握”，因为买到手中的产品完全是根据自己的判断而订制的。这时候，双方是合作伙伴关系，大家赚自己的利润。另外有些时候，投行也会 takeposition，这种时候双方都是marketplayer，关系也就变成你死我活的博弈了。

把业务上的link讲完后，职业上的link也就水到渠成了。双方trader作的事情十分接近，互相之间的跳槽也就十分普遍。research 而言，投行的比较focus也比较辛苦，所以一般更加愿意往buyside跳，不过buyside本来也不需要很多的research，跳槽并不容易。 structure是双方都需要的，虽然侧重不同，但都是通的，互相之间都有跳。

上面说的都是投行的市场一头。回过头说IBD（传统投行业务），更多的是和企业打交道，而不是和市场打交道。反之，buyside都是和市场大交道。所以IBD一般不容易转buyside。

由于国内这些年出现了很多成功风投的案例，大家已经不太陌生，这里简单的介绍一下PE。

国内很多地方把PE(privateequity)翻译成“私募基金”，这显然是不熟悉金融市场的人“顾名思义”所致。诚如上文所述，私募基金接近于 hedgefund的概念（相对于mutualfund）。而PE是一个相对于publicequity的概念。我个人将其翻译成“非上市融资”，现在国内比较被认可的翻法是“私人股权融资”。

现在vc/pe是一个很时髦的词，无论在美国还是在国内。在美国火爆的原因是最近几年PE的收益率都明显好过publicmarket，导致PE的规模快速膨胀。在国内火爆的原因就比较复杂了。

其实现在vc/pe差异已经不是十分明显，很多时候人们把VC看成是pe的一种。如果进行划分的话，二者主要区别在于对 targetcompany投资阶段的不同。vc主要投资于公司发展早期，从种子阶段到上市前不等。而pe主要投资于有稳定现金流， businessmodel比较成熟的公司。PE最经典的做法是LBO（leveragebuyout），核心是将现金充沛而又失去发展动力的上市公司 goprivate，通过大财务杠杆使公司有紧迫感，从而为股东提供更大的收益。

喜欢看电影的朋友一定知道《风月俏佳人》，其中理查基尔干的就是PE。片中罗伯茨问他你到底是干嘛的，回答颇为经典：“总而言之我干的就是把一家公司买下来，然后再拆成一块一块卖”。（注：这只是PE做法的一种，并不是全部）

vc/pe 是金融市场中最直接和企业打交道的分支。vc做的是整天看businessplan（bp），从中找出有前途的bp以及执行团队，随后进行价值评估以及投资。根据公司不同，有些vc会强烈的参与公司经营管理，有些则没有。pe更多的是寻找有前途的被收购公司，并且进行金融改造。 vc/pe最终的的目的都是找一个更好的价钱把公司股份卖掉推出，从而进入新的循环。具体操作方法VC/PE在其他很多地方都是不同的，有兴趣的朋友可以进一步讨论。

现在可以把金融产业链简单的串一串。在一个企业IPO之前，公司都是private的，这一阶段可以参与融资的就是 VC/PE。当企业需要上市，这时投行就参与进来，对公司价值进行精确评估，然后公开招募。这时候，企业自己或者vc/pe提供的股份是原材料，投行将其加工成金融行业认可的“股票”。公开上市前后，buyside就会进行认购。接下来就是二级市场上的各方博弈了。

金融的原始定义是为买足企业发展需要进行的各种融资，因此金融必定有企业和市场两级。企业这级是金融行业的生存之本，市场这级可以看作金融行业发展壮大的动力。投行作用是金融产业链的hub，一端联系着企业，另一端联系着市场。企业这端是实实在在的，可以说资本主义出现后的几百年都没有太大的变化。而市场这一端则越来越庞大并且趋向虚无。很多衍生金融产品最早的出现是为了满足风险公职的需求，但很快变成一些豪赌的利器。会计师事务所的地位是保证企业（无论 privateorpublic）企业原始数据的真实性，从而使其他机构可以对企业价值进行进一步的评估。如果没有会计师的存在，整个金融行业就会陷入一片混乱。因而会计师有“经济警察”之称。

整体而言，金融业连接企业一端的工作核心更侧重于对于企业价值的评估，金融连接市场一段的工作的核心侧重于市场风险的控制以及对市场方向的判断。因为对技能要求的不同，两端互相转都比较困难。相反，只要在金融产业链的同一端，转行至少都是有逻辑上的可行性的。

VC潜规则

2006-08-30T13:55:00.000-07:00

《商界·中国商业评论》，2006年8月4日，作者：李彤

随着风险投资基金对于中国市场的渗透愈益深入，其背景和成分也愈益复杂，企业与投资方的潜台词也更加丰富。想把VC们看个清清楚楚、明明白白，无疑需要一双慧眼：鲜花背后可能是陷阱，暴风眼里可能最安全。

　　规则一：原来VC也讲等级

　　资本市场本身就是多层级的，投资机构和企业的位置泾渭分明。在智慧方面大基金与小基金没有必然的差别，就象卡车司机不一定比跑车司机技术高超一样。

　　两者的区别首先资金运规模，大项目私募时金额已经相当可观、IPO时更涉及数十亿计的股票承销。其次是成本，不同水准的基金运作成本天差地远，重量级不够的项目取得的投资收益根本无法覆盖大基金的成本。大型投资机构是摩根、凯雷、软银；中型的有联想投资等大陆、港台风投机构和刚刚进入中国试水的海外基金；小型基金多由海外证券机构或华人发起，对行业的专注度较高。

　　风投领域虽无明文规定却是等级分明，具体企业适于那个级别的风投机构是不言自明的。

　　规则二：越投越贵，越贵越投

　　风投最先在国内“试水”阶段投资的项目一般只有是几十万，一百万的很少见。

　　随着中国概念在国际资本市场名声鹊起，专利投资中国的VC募集到的金额日益庞大。对VC来说，投资200万美金的项目与2000万美的项目花费的时间基本相同。所以总的来说呈现越投越贵、越贵越投的现象。但投资机构又有分散风险的理念，计划投入中国IT业的1亿美元分散投到50家比集中投入5 家风险小得多。为此风投选择结伴而行，比如2002年10月，摩根、英联、鼎辉三家联手向投蒙牛投入2600万美元。分别管理着成百亿资金的三家投资机构这样做的目的无非分散风险。还有一重动机是搭便车，一家机构花精力考查项目、其它机构直接跟进。被搭便车的机构不仅不以为忤、反而将其视为四两拨千斤的杠杆。比如完成对项目的审查后投入1000万、其它3家机构各跟进1000万（企业共获得4000万），对牵头机构来说等于以1块钱带动了4块钱，杠杆比为 1：4。

　　规则三：注重人脉

　　通过邮件发送的商业计划书，超过80%都将在5分钟内被否决。风投行业的条条框框本来就少，虽有规则但投与不投常在一念之差。而且在风险遍地的情况下投给朋友介绍的企业总比投给完全不摸底的企业强些。投行机构、专业中介机构（会计师所、律师所、财务顾问公司）、财经媒体和被投资企业构成若干相互交叉的“圈子”。回过头来看，成功获得投资的企业中90%以上得益于圈内人的推荐。

　　另一个重要原因是风险投资极为重视创业者的为人。所以，从熟悉且信任的人那里得到企业者的信息会得到风投极大重视。

　　规则四：近地缘

　　北京和上海是最受风险投资基金和风险投资家青睐的地方。而海外的经验，比如在硅谷，一般的风险投资家只投资在方圆30公里左右的范围的公司，如果你要拿到这个风险投资家的钱的话，没办法你就搬进去吧。

　　原因其实也不是很难理解，因为风险投资本身就是要如何去建立公司，如果风险投资家每3个月才去拜访这个公司一次，跟管理层用电话来沟通，那么肯定是没有效率的。你要跟其它的董事，或者是跟公司的高层管理人员要有非常密切的接触，一个礼拜去拜访一次，去讨论一下业务发展的情况等等，才有效果。所以一般的风险投资企业取向是投在他办事处附近的一些企业。

　　规则五：VC是最昂贵的融资方式

　　融资本质上是企业与投资人就风险分担与收益分配达成的一种制度安排。企业找都懂得关心基金对自己的估值，殊不知基金对自己也有估价。这个价就是预期回报率：从被投资企业的成功退出获得的内部收益率与实现成功退出的概率相乘。预期回报率的高低取决于资金所有者的“贪婪”程度，主流的量化模式简称 CAPM（Capital Asset Pricing Model）。

　　比如一个企业所在行业的平均投资收益率为33%、国债利息率为3%，通过这样的测算，投资人希望的回报率为每年48%！通俗地说，如果3年后能够成功地从企业退出（企业上市或高溢价出售）投资人要求的总回报率在324%以上。即给你1000万、3年后要拿走3240万。实际上，由于中国经济的走强及企业的优异表现，风险投资从成功上市企业获得的回报率远高于300%。可见，接纳风投是世界上最最昂贵的融资方式，资金估值公式客观地说明了风险投资高回报率预期的依据。

　　规则六：VC失手是常事。

　　VC可能会给经评估有40%概率会倒掉的企业投资。因为一旦该企业成功将给VC带来500%的回报，项目的预期回报率为300%（即：500%X60%）。

　　所以看似勇猛地追逐风险的VC，实质上追求的是高额回报，风险和收益只要匹配就会有人问津。如果要求基金投资成功率高于95%，期满清盘时计算总的内部收益率（IRR，即为使项目净现值为零的折现率数值）恐怕不到10%，而将投资成功率降低到80%、总的内部收益率也许会超过30%。

　　从以往风投总的业绩看，它们每投入十个项目有两三个亏本、三四个持平只有两三个成为明星。所以，衡量风险投资家的成功是看他做成了明星项目、基金的总收益率有多高，而不是他是否有过投资败绩。为追求高成功率过多地拒绝企业的投资申请，被拒者中难免会有携程、分众那样的“好苗子”。

　　成功的VC专家从不自我标榜“从未失手”，那会招内行笑话的。总之，创业型企业的有形资产少、无形资产难以量化，的亮点只有一个：高成长性。风险的厌恶者如银行避之不及，只有风险的偏好者为追逐高额收益才会投资这样的企业。但风投先要确认可从企业取得与风险相匹配的收益。简言之，你的企业值得风险来冒险。

　　规则七：拔苗助长、落袋为安

　　投资人相信：一鸟在手胜于十鸟在林。而且，绝大多数风险投资机构是靠募集组建的有限合伙制公司，存续期为5到10年。只提供资金不参与经营的有限合伙人仅以其出资为限承担责任，风险投资专家则为普通合伙人。快进快出是他们的理想，只有退出变现，风险资本才能流动、循环。通俗地说，如果被投资企业是颗摇钱树，风投则试图高价卖掉这颗树。亲自摇树、乐此不疲的不是真正的风投。

　　被投资企业的发展阶段可粗略分为：种子期、创建期、扩展期和成熟期。风投资本在四个阶段企业的分布大致为12：22：42：24。当可供投资目标众多时，风险投资趋向于涉足较为成熟的企业。在投资过程中如果有套现机会，比如高溢价私募、首次公开募集（IPO）之时，VC一般会套现一笔远远超过初始投入的资金。再视情况保留或多或少的股权，以便继续分享企业的成长。总之，VC是在落袋为安的倾向下尽量寻找利益最大化的退出时机。比如联想投资适时将卓越网的股权卖给亚马逊，取得了13倍的回报。风投争于落袋为安的取向加快了企业发展、壮大、上市公募的进程，在相当大程度上助长的被投资企业的浮躁。西方学者早已注意到了风投的这个负作用，而盛大等纳斯达克新贵的一系列不成熟表现也证明了这一点。

　　随便一个中小规模的基金都有不下十名分析师，各人都有专长的投资领域、对目标行业的宏观微观情况了如指掌。以上六条只是他们分析项目、制定方案、实施投资过程中最常用到的规则。

　　规则八：不要为VC放弃权底限

　　不要为了VC而VC。现在很多行业内的聚会，主题就是怎么骗VC。于是很多创业者都在疲于奔命，钱拿不到不说，也把自己钱砸进去了，尽做些没有效果的工作，一点技术含量都没有。行业的浮躁，使业界成功的标准已经退了一大步，原来是上市才成功，现在的成功概念是拿到VC就算。甚至有创业者为了获得VC而向投资人跪求。

　　一些海外基金的管理其实比较正规，但他们过多脱离中国市场，为了适应这个市场，通常在本地招募有VC运作管理经验的人，也会寻找一些有互联网经验的人进行合作。但这些合作者寻找投资对象常常为了自己牟利，他会私下要求给予自己股份，或要求对方收购一家公司。

　　很多拿到VC的公司，不得不违心地高额收购一些公司，或给予投资人部分股份。通过这些投资人违规套现，结果创业公司就变成了没钱，或者钱不能花到钢刃上去。

　　还有些VC则剽窃创业者的创意，许多创业者一旦递交了他的创业计划书，通常几个月后没有获得VC，就被人家复制到了其他项目中去了。某些 VC，其实投的是自己的项目，顺便拉着别人的基金一起来投而已。即使拿到了VC，许多企业也为当初让步太多而后悔。全景网的吕辰就为自己引入第一轮风投时作价过低而懊恼不已。 “当时融资不知道该卖多少钱。现在看起来是卖便宜了。”这种“贱卖”甚至影响到吕辰进行第二轮VC融资。“在寻找第二轮融资时，那些VC都说，你别出那么高的价格，我清楚你当初给中经合的价格。”

　　规则九：保持清醒，不要相信VC的赞誉之辞

　　当你获得投资的时候，VC或许会赞美你——90%以上他们会对你极尽鼓励之能事。但你必须冷静。说不定VC心里在想：你的企业有40%的概率在3年内倒掉！

　　风投决断事物的标准其实只有一条：风险与收益是否匹配。

　　经过周密的准备、精心的计算和多次实验，柯受良驾车飞越黄河的风险不比步行穿过长安街大，这就是风险控制的典范。

　　职业投资人从入门的第一天起就开始建立风险控制的理念。特别是那些历史悠久的投资机构，曾目睹无数企业的兴亡乃至国家的兴衰。他们知道一切皆有可能发生、只不过发生的概率有大有小。风险不可怕，一味回避风险将一事无成，关键是尽可能精准地确定风险在哪里并有效地加以控制。

　　风险投资基金（VC）是从实力强大的机构（美国风投60%来自养老基金）或极富有的个人那里募集设立的，其性格是“不惧风险，追求超高回报”。股市、期市的收益率仍不能令其满足，于是投入初创期的各色企业，国内外的数据明这类企业的成功率不足10%，其中的成功者却有可能成为微软、思科、惠普、苹果和英特尔这样的巨人给投资者带来十倍、百倍的收益。

　　VC对你的企业的理解，和你是不同的。如果企业是你的孩子，它或许要你的孩子放弃高考去参加“超级女声”，至于发展后劲，那不关他的事。他要你的企业的效益最快地显现出来。企业是你的孩子，所以你要保持清醒。

　　规则十：VC是功利的经济动物，随时可能“变脸”

　　要知道，VC是“骑墙”的，他的眼里只有利润。例如，在投资方式上，VC多采用“变种”的股权投资方式，特别是“可转换优先股”。投资人注入的资金首先要体现为债务，企业有到期还本付息的义务。如果企业成长得好、股权价值飞升，风投行使“选择权”将债权转为股权获取更大收益。在股权投资与债权投资间的切换是风投控制风险的重要手段。

　　有经验的VC不会一次满足企业发展进程中的资金需求，而是分阶段地投入随时准备止损退出。确定目标企业后，风投一般会先给一年或半年所需的资金，然后观察投入的效果。一但发现苗头不对就果断止损，毫无“妇人之仁”。如果以美好蓝图引入VC，然后想利用对方“舍不得”前期投入的心理来套住基金是很难奏效的。萨士比亚的《威尼斯商人》中有句台词：想找到你射出的箭就朝那个方向再射一箭并看清落在哪里。VC不会朝一个让它失望的企业再“射一支箭” 的，所以企业对未来几年的业绩预测要保守些。

　　规则十一：一个行业的想象空间只有那么大

　　“不要把鸡蛋都放在同一个篮子里”这句西方谚语，在投资基金的词典型里叫做“风险分散”。

　　大的机构投资者都采用“自上而下”的分散方式。操作细节（分配比例、是否组建子基金等）虽有不同，但没有不“分散”的基金。越是大的投资机构越有能力在世界各地、各行业同时投资于成百、上千家公司，从而最大限度地分散风险。

　　具体到一个细分行业，比如动漫制作，VC只看得上这个行业第一、第二名。因为在激烈的商战中，老大、老二都有胜出的可能。比如，根据AC尼尔森的调查分众和聚众分另占有全国12个主要城市楼宇电视广告市场的49.8%和46.7%。随后，聚众传媒（老二）被作价3.25亿美元并入分众（老大）。

　　除了考虑竞争态势，资本市场也不会同时接纳同一国家、同一行业的多家企业。比如携程、e龙之外，盛大、第九城市之外的企业很难到纳斯达克风光。当你把企业的主营业务告诉投资者，他们的第一反应就是归类。订机票、订客房的归到携程、网游归到盛大、公共场所电视广告归到分众。企业一定要在商业模式方面有实质性的创新，否则你抗议说和携程、盛大、分众不同也没有用。如果某个行业的前两家地位已经不可动摇，其他企业被挤死的风险远大于出人头地的机率，万难从VC得到资金。

　　规则十二：VC的中国异化

　　最近活跃的不少外资“VC”都变得颇有“中国特色”——短、平、快。实际上在一两年内就通过上市退出获利的投资者只是起上市辅导的作用，通俗地说也就是作了投行的业务却赚了几乎相当于始创者的利润。

　　当前内地不少外资“VC”投资一家企业的时间一般在两年以内，这和国际上的情况大相径庭。在国际上一个VC基金的投资期间通常是7年。虽然 VC为了分散风险，在投资组合内会同时包含中前期以及中后期的创新企业。但大体而言VC投资一家企业的周期通常都长达3~5年。真正意义上VC介入时间也会比较早，VC基本上算是企业其中一个建立者（founder），担当着孵化、协助的作用。”而那些在接近IPO时期注资的基金投资者，严格来说不是VC 而是以投资过渡期企业或者即将上市企业为目标的过桥融资。这类型的资本对一个国家的创新产业培育效果并不明显。

　　VC通常被称为风险投资，这体现了VC投资的一个特点——高风险，高回报。在近期许多VC投资个案中我们都会看到这么一种投资合作组合：传统 VC＋老牌投行风险投资部门。由于在成熟期介入，而且还有传统VC打头阵，这类型的投资实际上是低风险的“风险投资”。和传统VC通常只占企业20%以内股份情况不同，这类“VC”投资的金额比一般的创业投资要巨大得多，甚至已经带有股权收购的意味。其中一个例子就是软银亚洲联合美国凯雷投资向顺驰（中国）不动产网络集团投资4500万美元，该项投资创下中国今年单项金额最高纪录风险投资。

　　这些VC退出都比较快。因此，在培育高新技术公司方面的作用不大，反而有可能成为把中国优秀企业资产从国内转移到海外的“买办”。在顺驰的例子中就运用了“海外曲线IPO”的方式，以绕过国内监管实现在纳斯达克上市。其操作实质是通过建立没有资产含量的海外壳公司，然后通过并购内地企业达到绕开内地严格的外币监管条例以全外资身份海外上市的目的。为了顾全外资VC在企业中投资需要在海外以外币方式退出收回的需要，某些“手腕”是不得以而为之。但是在这场“乾坤大挪移”中，被改变的真的只有企业的国籍而已吗？

　　作者简介：李彤，商界传媒企业研究院资本运作首席研究员，北京商界融信投资顾问有限公司执行董事、副总经理

从创意回归执行力

2006-08-17T12:59:00.000-07:00

对于一个创业项目或者创业企业的建立，创意无疑是需要的，我从不否认这点，但我要说的是如果必须做一个选择，影响此创业项目或者创业企业成功的最关键因素应该还是执行力。

去年9月8日在北京中关村举办的“中国国际创意产业峰会”上，中关村创意产业联盟秘书长欧阳旭则提出，在经过服务经济、知识经济后，现在中关村已经到了发展创意产业的时候，百度、分众传媒的上市，则成为创意经济的典型代表。

那么就先来说说这2个代表吧：

百度：2000年1月1日，公司创始人李彦宏、徐勇携120万美元风险投资，从美国硅谷回国，创建了百度。最初创立的团队（CEO李彦宏于1991年毕业于北京大学信息管理专业，随后赴美国布法罗纽约州立大学完成计算机科学硕士学位。在美国的8年间，李彦宏先生先后担任了道.琼斯公司高级顾问，《华尔街日报》网络版实时金融信息系统设计者，以及国际知名互联网企业INFOSEEK资深工程师，是新一代互联网技术领域的权威专家。他为道•琼斯公司设计的实时金融系统，迄今仍被广泛地应用于华尔街各大公司的网站，其中包括《华尔街日报》的网络版。CTO刘建国1988年本科毕业于西安交通大学计算机科学工程系，1991年硕士毕业于北京大学计算机科学技术系。1991-2000年，在北京大学计算机系任教，1999年被评为副教授。1997-1998年在美国UIUC计算机科学系做访问学者。2000年初加盟百度。主持开发过国内第一个大规模中英文搜索引擎系统（“天网”）、第一个面向消息的中间件产品（“银燕”）。在软件开发管理、项目管理、部门管理、人员管理等方面有丰富的经验。现负责公司与技术和工程有关的规则、研究和管理，确保百度在中文搜索服务方面居于世界领先地位。2006年2月被任命为百度首席技术官。徐勇出生于北京、北京大学硕士、美国德州A&M大学博士，创办百度之前，徐勇先后任职于美国QIAGEN，Inc.和Stratagene公司。1999年，徐与人合创电子商务公司Cybercalling.com，6个月就实现了赢利。）

如果注意到这三个人的背景资料，2000年的中国互联网行业，这样三个人组成并且关注于搜索引擎技术并且有了120万美元启动资金的团队在当时全国互联网搜索引擎技术层面上来讲应该是具备最强执行力的，所以在2000年5月，百度首次为门户网站硅谷动力提供搜索技术服务之后迅速就占领中国搜索引擎市场，成为sohu、163、sina等大部分门户最主要的搜索技术提供商。当我们观看了大部分门户网站花了大把VC钱做的广告，然后到这些门户网站去搜索和登陆网站的时候，其实我们都在为不需要花一分钱广告而只是静静站在灯火栏珊处的百度做着贡献，此消彼长和卧薪尝胆的时间很快结束，2001年8月，Baidu.com搜索引擎Beta版发布，从后台服务转向独立提供搜索服务，2001年10月22日正式发布Baidu搜索引擎。于是中国的搜索引擎行业游戏规则重新由百度制定，而以后‘创意’出来的点击竞价商业模式只不是过是在前期由超强执行力支撑起来由百度决定的搜索游戏规则基础上轻松实现的。

互联网是个巨大的信息库，这么多年来，搜索信息一直都是网民的基本需求，再过很多年我想也不会发生改变，做一个满足中国网民基本需求的搜索网站这样一个创意好象是1995年11月1日从美国麻省理工学院回国的张朝阳同志更早就想出来了，1998年2月，爱特信推出搜狐，中国首家大型分类查询搜索引擎横空出世，但是现在呢？还比如yahoo与google，在2个有着同样创意和目标，但是在实现这一目标的执行力方面完全不同的团队，必定会有不同的结局。

分众：江南春真的是象中了六合彩，一夜暴富的吗？创意就真的那么神奇？还是先让我们看看在没有分众以前的他吧。江南春生于1973年，土生土长上海人。1992年尚在校期间就加入广告业，1995年毕业于华东师范大学，取得汉语言文学专业学士学位。大学三年级时自筹资金100万创办永怡传播公司，1994年～2003年期间，江南春担任永怡传播有限公司首席执行官。对于软银和江南春的联姻来说，这个标题不只是一个调侃的比方——这两家还真的就住对门。上海市江苏路兆丰世贸大厦２６层出了电梯转左是江南春的公司，转右就是软银中国。江南春的楼宇电视系统推出一个季度以后，余蔚在电梯里问这位年轻人他的项目开始赚钱了没有。他说还可以，每个月的开支和收入已经持平了，已经开始赢利。于是，对面的资本开始有些春心萌动。接着再说详细点：

在还没有分众之前，江南春在广告之路上，已经足足摸爬摇滚了10年。　1994年，打工3年，手握大批忠诚客户的江南春自立门户，成立了永怡传播公司。1996年，人缘极好的江南春结识了IDG集团的朋友，成为这家全球最大的IT传媒集团上海办事处首席代表。IDG在中国投资了很多个IT媒体，永怡传播就负责代理它们上海的广告。背靠IDG这棵大树，永怡的销售收入年年翻着跟斗往上涨，很快就发展成为上海滩IT界最大的广告代理商。1998年，永怡便垄断了上海IT广告市场的95%，到2000年时，销售收入达1亿多元。他不仅帮客户安排媒体，还介入他们的营销策划，提供广告创意。江南春在华东IT业的圈子里几乎无人不知，有谁想做广告，总有人告诉他：“去找江南春！”。不好意思，我说到这里还没说到分众，也没有说到分众的“创意”，但是我想你应该已经看出了什么吧？

写到这里我想起了上个月在江南春博客上看到的一个电梯维修工给江南春的回复留言，现在他博客的回复功能已经关闭，无法copy原文了，大概记得是这样“这一个电梯维修工说他在98年一次维修电梯的时候就想到过在电梯间挂电视做广告的所有创意“，虽然我考证不了真与假了，但是就算是真，这个电梯工他有足够地执行力去实现这个创意吗？他当然不行，而已经是上海滩IT广告老大的永怡总经理江南春再加上他熟悉的老朋友IDG给的资金应该是把实现这一创意所需要具备的执行力提高到了不能再高了。

我向来不怕也不担心于将自己想出来的一些创意与任何愿意听的听众分享和交流，因为我从来不认为‘创意’真的就是产业或者说有了‘创意’就一定会成功。自己无法去执行的创意对于自己来说，价值是0；自己对于把这一创意实现的执行力越强越大，价值才会从0按同比例往上增加。在把这一创意目标实现上的执行力比我强得多的，我想他们会根本懒得听我自以为的创意；而在把这一创意目标实现上的执行力比我弱得多的，我想我全部告诉他了，他做我也做，我也肯定打死你；最后在把这一创意目标实现上的执行力和我差不多的，我想也许我们还可以合作，就算合作不成你也打不死我，实在要拼吧，我喜欢这种实力相当的挑战。

正如现在很多创业者或者创业团队去谈VC，生怕VC全部知道了自己那点所谓的创意就自己去做或者找朋友去做了，扭扭捏捏地把个商业计划书狠不得挤出汗来，最终只是浪费自己和VC的时间。你先必须铭记一点，这么容易随便找个人、有点钱就可以做的项目，VC永远不会投。再说直白点，你要说服VC：1、为什么这个项目所在的行业或者方向可以赚钱？2、为什么我或者我们这个团队来做，这个项目才会赚钱？如果你忘记了说第2点，就如同你告诉我刘德华投资拍《疯狂的石头》很赚钱，但是这样一件事情和你有什么关系呢？

淡化‘创意’的神话、褪去财富巨星们的表面光环，我们都应该回到自己的思维里，罗马不是一日建成的，我们需要为实现我们的目标不断提高自己的执行力，日复一日、年复一年地去提高自己在这一方向上的执行力，自己真的锻炼成了一座能量巨大的石油矿井，才真的有可能被那么一小点点‘创意’的火星点燃！

说说大型高并发高负载网站的系统架构

2006-08-16T23:02:00.000-07:00

说说大型高并发高负载网站的系统架构

转载本文请著名出处：Just Do IT (http://www.toplee.com) lee@toplee.com

我在Cernet做过拨号接入平台的搭建，而后在Yahoo3721负载搜索引擎前端平台开发，又在猫扑处理过大型社区猫扑大杂烩的架构升级等工作，同时自己接触和开发过不少大中型网站的模块，因此在大型网站应对高负载和并发的解决方案上有一些积累和经验，可以和大家一起探讨一下。

一个小型的网站，比如个人网站，可以使用最简单的html静态页面就实现了，配合一些图片达到美化效果，所有的页面均存放在一个目录下，这样的网站对系统架构、性能的要求都很简单，随着互联网业务的不断丰富，网站相关的技术经过这些年的发展，已经细分到很细的方方面面，尤其对于大型网站来说，所采用的技术更是涉及面非常广，从硬件到软件、编程语言、数据库、WebServer、防火墙等各个领域都有了很高的要求，已经不是原来简单的html静态网站所能比拟的。

大型网站，比如门户网站。在面对大量用户访问、高并发请求方面，基本的解决方案集中在这样几个环节：使用高性能的服务器、高性能的数据库、高效率的编程语言、还有高性能的Web容器。但是除了这几个方面，还没法根本解决大型网站面临的高负载和高并发问题。

上面提供的几个解决思路在一定程度上也意味着更大的投入，并且这样的解决思路具备瓶颈，没有很好的扩展性，下面我从低成本、高性能和高扩张性的角度来说说我的一些经验。

1、HTML静态化
其实大家都知道，效率最高、消耗最小的就是纯静态化的html页面，所以我们尽可能使我们的网站上的页面采用静态页面来实现，这个最简单的方法其实也是最有效的方法。但是对于大量内容并且频繁更新的网站，我们无法全部手动去挨个实现，于是出现了我们常见的信息发布系统CMS，像我们常访问的各个门户站点的新闻频道，甚至他们的其他频道，都是通过信息发布系统来管理和实现的，信息发布系统可以实现最简单的信息录入自动生成静态页面，还能具备频道管理、权限管理、自动抓取等功能，对于一个大型网站来说，拥有一套高效、可管理的CMS是必不可少的。

除了门户和信息发布类型的网站，对于交互性要求很高的社区类型网站来说，尽可能的静态化也是提高性能的必要手段，将社区内的帖子、文章进行实时的静态化，有更新的时候再重新静态化也是大量使用的策略，像Mop的大杂烩就是使用了这样的策略，网易社区等也是如此。

同时，html静态化也是某些缓存策略使用的手段，对于系统中频繁使用数据库查询但是内容更新很小的应用，可以考虑使用html静态化来实现，比如论坛中论坛的公用设置信息，这些信息目前的主流论坛都可以进行后台管理并且存储再数据库中，这些信息其实大量被前台程序调用，但是更新频率很小，可以考虑将这部分内容进行后台更新的时候进行静态化，这样避免了大量的数据库访问请求。

2、图片服务器分离
大家知道，对于Web服务器来说，不管是Apache、IIS还是其他容器，图片是最消耗资源的，于是我们有必要将图片与页面进行分离，这是基本上大型网站都会采用的策略，他们都有独立的图片服务器，甚至很多台图片服务器。这样的架构可以降低提供页面访问请求的服务器系统压力，并且可以保证系统不会因为图片问题而崩溃，在应用服务器和图片服务器上，可以进行不同的配置优化，比如apache在配置ContentType的时候可以尽量少支持，尽可能少的LoadModule，保证更高的系统消耗和执行效率。

3、数据库集群和库表散列
大型网站都有复杂的应用，这些应用必须使用数据库，那么在面对大量访问的时候，数据库的瓶颈很快就能显现出来，这时一台数据库将很快无法满足应用，于是我们需要使用数据库集群或者库表散列。

在数据库集群方面，很多数据库都有自己的解决方案，Oracle、Sybase等都有很好的方案，常用的MySQL提供的Master/Slave也是类似的方案，您使用了什么样的DB，就参考相应的解决方案来实施即可。

上面提到的数据库集群由于在架构、成本、扩张性方面都会受到所采用DB类型的限制，于是我们需要从应用程序的角度来考虑改善系统架构，库表散列是常用并且最有效的解决方案。我们在应用程序中安装业务和应用或者功能模块将数据库进行分离，不同的模块对应不同的数据库或者表，再按照一定的策略对某个页面或者功能进行更小的数据库散列，比如用户表，按照用户ID进行表散列，这样就能够低成本的提升系统的性能并且有很好的扩展性。sohu的论坛就是采用了这样的架构，将论坛的用户、设置、帖子等信息进行数据库分离，然后对帖子、用户按照板块和ID进行散列数据库和表，最终可以在配置文件中进行简单的配置便能让系统随时增加一台低成本的数据库进来补充系统性能。

4、缓存
缓存一词搞技术的都接触过，很多地方用到缓存。网站架构和网站开发中的缓存也是非常重要。这里先讲述最基本的两种缓存。高级和分布式的缓存在后面讲述。
架构方面的缓存，对Apache比较熟悉的人都能知道Apache提供了自己的缓存模块，也可以使用外加的Squid模块进行缓存，这两种方式均可以有效的提高Apache的访问响应能力。
网站程序开发方面的缓存，Linux上提供的Memory Cache是常用的缓存接口，可以在web开发中使用，比如用Java开发的时候就可以调用MemoryCache对一些数据进行缓存和通讯共享，一些大型社区使用了这样的架构。另外，在使用web语言开发的时候，各种语言基本都有自己的缓存模块和方法，PHP有Pear的Cache模块，Java就更多了，.net不是很熟悉，相信也肯定有。

5、镜像
镜像是大型网站常采用的提高性能和数据安全性的方式，镜像的技术可以解决不同网络接入商和地域带来的用户访问速度差异，比如ChinaNet和EduNet之间的差异就促使了很多网站在教育网内搭建镜像站点，数据进行定时更新或者实时更新。在镜像的细节技术方面，这里不阐述太深，有很多专业的现成的解决架构和产品可选。也有廉价的通过软件实现的思路，比如Linux上的rsync等工具。

6、负载均衡
负载均衡将是大型网站解决高负荷访问和大量并发请求采用的终极解决办法。
负载均衡技术发展了多年，有很多专业的服务提供商和产品可以选择，我个人接触过一些解决方法，其中有两个架构可以给大家做参考。
硬件四层交换
第四层交换使用第三层和第四层信息包的报头信息，根据应用区间识别业务流，将整个区间段的业务流分配到合适的应用服务器进行处理。　第四层交换功能就象是虚 IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。
在硬件四层交换产品领域，有一些知名的产品可以选择，比如Alteon、F5等，这些产品很昂贵，但是物有所值，能够提供非常优秀的性能和很灵活的管理能力。Yahoo中国当初接近2000台服务器使用了三四台Alteon就搞定了。

软件四层交换
大家知道了硬件四层交换机的原理后，基于OSI模型来实现的软件四层交换也就应运而生，这样的解决方案实现的原理一致，不过性能稍差。但是满足一定量的压力还是游刃有余的，有人说软件实现方式其实更灵活，处理能力完全看你配置的熟悉能力。
软件四层交换我们可以使用Linux上常用的LVS来解决，LVS就是Linux Virtual Server，他提供了基于心跳线heartbeat的实时灾难应对解决方案，提高系统的鲁棒性，同时可供了灵活的虚拟VIP配置和管理功能，可以同时满足多种应用需求，这对于分布式的系统来说必不可少。

一个典型的使用负载均衡的策略就是，在软件或者硬件四层交换的基础上搭建squid集群，这种思路在很多大型网站包括搜索引擎上被采用，这样的架构低成本、高性能还有很强的扩张性，随时往架构里面增减节点都非常容易。这样的架构我准备空了专门详细整理一下和大家探讨。

对于大型网站来说，前面提到的每个方法可能都会被同时使用到，我这里介绍得比较浅显，具体实现过程中很多细节还需要大家慢慢熟悉和体会，有时一个很小的squid参数或者apache参数设置，对于系统性能的影响就会很大，希望大家一起讨论，达到抛砖引玉之效。

(投资)网站投资你和我的20个自身检查

2006-08-15T22:21:00.000-07:00

海中帆 eda2@sina.com

1、web2.0提了也白提
web2.0这是一个概念，打着web2.0的概念，只是说技术如何如何2.0，战略如何2.0，其实意义真的不大。投资人需要的是一个网民能够接受，并且很有特点的网站，能够满足网民的某个需求，或者能够引导网民的某个需求。你的网站提供的服务只要是有市场潜力的，有发展空间的，真的不用冠上某个新鲜的概念。

2、不要和投资人谈什么大战略
你一上来就是网站建设大而全，这些那些统统都有，栏目100个，功能1000个，网民来了就一站搞定，根本不用去其他地方了。投资人一般认为这是不可能的。一个栏目都建设不好，谈什么所有的栏目都建设的好呢？而且，耗资巨大，建设时间动不动就是一年一年半，等到建设好了，黄花菜都凉了。见过一个人提了个虚拟城市的计划，几乎连政府部门都搬进来了，投资人会说：你说的是对的，但是谁敢给你投资做这个看着很美妙却是一个海市蜃楼的东西？

3、先有第一批用户是至关重要的
不要指望着网站大了，功能全了，用户就来了，一个网站做起来，第一批用户的作用是至关重要的。如果告诉我第一批用户就是网站宣传出来的，我肯定会只给打20分。你必须有一个非常有粘性的吸引网民能够来注册的特点。我们谈的是一个战役，战役开始攻占第一个山头是决定成败的，而不是和我描述整个战役是否能够成功，那是纸上谈兵，诸葛亮都有过这个点上的投资错误，结果是斩了马谡。所以投资人的在这个方面的教训远比你想的更深刻。

4、不要抓大而放小
别小看一个网站中很小的一个功能或者服务，你的这个小服务，很可能就是桥头堡，很可能形成一个网站内的环境，一上来就是视频战略如何如何，内容战略如何，某项宏大的市场活动如何。其实投资人要听的只是你第一步的特点，网民没有时间来听你谈战略，他们进来可不是来关心你还没有实现的这些战略的，他们要的是吸引他们的东西，哪怕只是一个会员视频认证或提供更漂亮的模板，或者让他们看到你网站上面全都是穿三点的会员。

5、无线应用绝对不是盈利模式的全部
没有盈利模式，就拿无线来凑，可是一个新网站，能不能得到特服号不说，如何和其他SP竞争也是一个问题。别人凭什么要来订阅你的服务，或者给你拨打声讯电话？首先你的盈利模式不需要无线就能存在，再拉上无线，这样才有说服力。

6、不是有激情就可以
你没有什么管理经验或者运营经验，你提的点子再好，但我怎么相信你就能把一个团队管理好？搞企业可不是几个好朋友过家家，宣传推广也是烧钱就一定有效果。你都没有失败过，怎么知道你这样做就一定成功？

7、别指望网民给你提供内容
你作为机构，自己都不能生产出合适的内容，而指望网民来提供内容，那几乎太高估我们的网民的综合实力了，美国80%网民的人还都不知道BLOG是何物。就算是你的原则就是不生产，只要也要有整合某些内容的能力或者引导内容生产的能力。

8、不要吹嘘合作伙伴是什么顶尖团队
一说就是技术人员是负责以前某个项目的，结果一问是做旅店的视频监控的，却非要说他能够负责整个网站的技术实现。这个技术跨度让人感觉很可怕。你还不如实话实说，他做视频监控也一定有技术特点或者优势的，没必要包装成大而全的技术专家。

9、毕业三年最好自己做，不要想着能找到投资
才毕业三年，自己以前都没有自己的网站，就要召集几个和你一样的年轻人找别人要投资。太浮躁了吧。的确有一毕业就创业成功的，但是你也要知道别人在上学的时候干的事情你根本没有勇气去尝试。老是拿者别人的成功来掩饰自己的缺点，或者来证明自己也有成功的可能性，是很幼稚的。

10、不要以为你的想法没有人想过
真的不要在没有了解清楚之前，就为自己的某几个想法激动的睡不着觉，好像是投资人眼界还没有你高，没有理解你的伟大的思路，不能理解你的独创性。还给人冠上不是伯乐的帽子。实际上你自己去好好的搜索一下，你这个想法在好几年前就有了，而且有人已经做出来了。所以在谈话和计划书上不要吹嘘什么自己是独创性的，前无古人后无来者，会让人发笑。

11、不要以为投资人是傻冒
投资人是要靠投资来赚钱的，当然会比较慎重，如果碰到特别好的项目，投资人一定会仔细的考虑，并且会给你一些更多的帮助。因为投资人也知道帮你成功了，他们也就发财了。所以不要以为投资人是傻冒，摆着的钱都不赚。实际上投资人比你要聪明的多。

12、你的网站至少是已经开发完成80%以上了，才有和投资人争论的资本
网站只开发了不到50%，模样都还看不出来，就想获得投资，这几乎是不可能的。可能你的点子真的很好，但是既然是好的点子，那就应该全部完成了以后，再找投资人谈谈，让他看看现成的成果。50%的网站就非要给人看，你自己不怕别人把你的东西都学去吗？现在就和投资人争论只是没有完全开发出来，所以你还看不出来，实际上是如何如何的，这都是没有什么意义的。

13、要知道自己的网站以后的拓展方向在哪里
如果你能让投资人相信你能走好第一步，那么你就应该详细的说明下一步你们网站还能扩大些什么具体业务，可以包容什么样的人群，不要一上来就是说我的业务对象和人群就是15-30岁的年轻人。这些人群如何聚集起来，是要一步步的来的，也和你自己的平台本身的拓展性有很大的关系。这是一个分步骤的计划，也是对自己网站的延展性的描述。一定要重视。投资人的投资，是希望你的网站能够不断扩大业务种类和用户范围，而不是做出来什么样，就是什么样。

14、成本要算的清楚
我看过一个计划，15个人月薪总支出就是20多万，而一年的人工成本是多少，硬件设备，带宽成本都没有算，这钱花着也太容易了吧。又不是你饿了就随手能够采到果子吃，基本生存的成本都算的不清楚，以后的钱要支出的方面更多，难道给投资人一笔糊涂账就OK了？所以，你应该字仔细的把成本都考虑清楚，如果你连加班要用的牙刷牙膏的成本都想到了，投资人会很欣慰的。

15、团队一定要性格互补，并有合作的经验
拉着几个人，谈了两三天，刚好几个人都没工作或者不满现状，就宣布团队成立了。这样的团队怎么让人放心，一到利益冲突的时候，亲兄弟都可能翻脸，何况是你们几个重来没有合作过的人组成的团队。到时候闹得不可开交，投资人的投资怎么办？我看投资人真投了，那才会天天睡不好觉，怕你们闹矛盾。所以，如果是团队作战，千万不要生拉硬拽，临时拼凑，这样就算得到了第一笔投资，后面的资金支持将会随着你们的分崩离析而荡然无踪。

16、有自己的独特的资源，并能够在网站上应用
你个人或者团队的资源整合能力和运营能力，是投资人相当重视的。如果你有好的资源，希望你能够利用到你的网站中去，不要另辟新径，因为新的途径你自己都不太了解。比如你以前做某个传统行业，那就不要做的网站和这个行业一点关系都没有；又比如你以前一直做某个互联网领域的运营或开发，就不要抛弃掉自己这方面的经验而去做什么所谓的热门概念。

17、什么都没有，只有一腔热情，还是先打打工吧
真的，如果你什么都没有，只有想法思路和一腔创业热情，也肯吃苦肯受罪，最好也不要期待投资人会给你投资。你这种人是最危险的，天使也怕你这样好高骛远的。所以，还是先冷静一下，把时间多用来先向一些公司学习工作经验吧。如果就是不甘心，就自己给自己做一个网站，并拼命把网站做好，做到一定的人气，我相信投资人会对你亲眼有加的。

18、不要固执，要能够听进别人的建议

投资人很害怕固执的人，最害怕根本听不进别人的建议的人和团队。这个在很多技术人员那里是个通病，所以，在你自己都找不到一个能够说服自己的伙伴和你配合之前，不要找投资人谈什么东西。你和投资人的洽谈只是让投资人后悔在你身上花了时间，下次再不愿意找你谈。

19、如果你是一个高管，并且让公司的某个项目成功，那么恭喜你，你得到投资至少有了基础

这个高管可不是一个项目开发主管，而是从策划到开发再到运营你都在参与和管理。为什么有这么多公司的高管出来创业，能够得到投资人的追捧，是因为他们身上有投资人需要的优良条件：有成功经验，有思路，有领导能力，有资源，有团队，有伙伴。

20、自己做出来的优秀网站，绝对不会埋没
如果你自己的网站正在良性发展，并且比较稳定，不要把主要精力用在投资的身上，你只要坚持把自己的网站逐渐的做好，投资人一定会发现的，不要因为暂时吃饭有困难就到处找钱，既然你已经没钱吃饭这么长时间了，再坚持几个月，努力再让自己的网站访问量提升一些，真的不用担心投资人不会关注到你。有时候救命稻草就在自己即将要淹死的那一刻。

我不是专业做投资的.所以此文仅供大家参考.

如果有真正的投资人看到这篇文章,不对之处万望批评指正.

希望能够认识更多的网络投资界的朋友.

怎样解决AJAX交互应用中遇到的浏览器的BACK后退按钮问题

2006-05-19T15:47:00.000-07:00

AJAX越来越多的应用到网页交互上,但是用AJAX做交互也有一些问题，比如传统网页的浏览是一个一个页面切换，所以可以用浏览器的后退按钮和前进按钮切换到指定的浏览过的页面，也就是浏览器的history.
但是用AJAX做交互的时候,是通过js+xmlhttp来获取其他页面信息,对于浏览用户来说，是一个隐性的UE，感觉不到浏览器地址栏的URL的变化，对浏览器来说，地址栏的URL没发变化，产生不了HISTORY。
不是说在用AJAX做交互的时候，BACK按钮的问题就解决不了，对于AJAX应用很成熟的网站比如google等，这些都已经解决。有热心的老外已经提供了解决方法，粗粗看了看，原理是用了iframe，有兴趣的自己去研究吧
老外管这个叫：Really Simple History framework，还有专门的AJAX history libraries

原文介绍：点击这里浏览
先看一个演示吧：
http://www.donotremove.co.uk/extra/ajax-nav/index.html

这个演示的下载地址,是PHP的
http://www.contentwithstyle.co.uk/resources/ajax-nav/ajax-nav.zip

另一篇文章介绍：点击这里浏览

这篇文章例子的下载：点击这里下载

Browser	Bookmarking	Back button
IE6/PC	Yes	Yes
IE5.5/PC	Yes	Yes
IE5/PC	Yes	Yes
IE5/Mac	No	No
Firefox/PC	Yes	Yes
Firefox/Mac	Yes	Yes
Safari1.2/Mac	Yes	No

使用第三方SDK开发咱博客园自己的MSN机器人(附示例源码)

2006-05-07T13:21:00.000-07:00

更强功能参考我的上篇文章:
用MSN写您的博客
http://overred.cnblogs.com/archive/2006/04/28/387301.html

首先看效果图:(本文程序的功能是你把overred2004@163.com加入您的MSN,他会自动给你显示我的cnblog上的文章列表)

开始:

1.说明:本文使用的第三方SDK是incesoft的BOTPLATFORM机器人平台SDK,他可以支使net或者c++开发人员很轻松的开发出自己的MSN机器人.

2.步骤:

首先在http://sp.incesoft.com/上注册一个sp帐户,进去后您就可以操作(非常简单)如:下载需要的SDK。然后去申请一个机器人用的Passport帐号，在管理页面里添加好,最后点击Bind(绑定)启用机器人，启用后机器人帐号将在十秒内自动登录。

其次程序参照SDK里的Demo写就可以了，很简单。但由于SDK没有集成用户状态管理的功能，如果要实现比较复杂的功能(如http://www.bloghome.cn/help/msn.html 里所描述的功能)，那就得自己下些功夫喽。

最后当把以上的都设置完毕后,您就可以把我提供的哪个DEMO 设置成您自己信息:

//username and password you applied from http://sp.incesoft.com
me.user = "SP000145";//您的spid
me.password = "******";//您的sp密码

编译ok后,执行debug下哪个exe文件,连接和登陆成功后您就可以体验一下您的机器人拉!

更多使用方法请看他的提供的文档(在下载后的SDK里)
参考网上的资料和他提供的DEMO我提供一个示例源码:
下载:
http://www.cnblogs.com/Files/overred/CnBlogRobot.rar

The ASP.NET Page Life Cycle

2006-05-03T04:03:00.000-07:00

Introduction

When a page request is sent to the Web server, whether through a submission or location change, the page is run through a series of events during its creation and disposal. When we try to build ASP.NET pages and this execution cycle is not taken into account, we can cause a lot of headaches for ourselves. However, when used and manipulated correctly, a page's execution cycle can be an effective and powerful tool. Many developers are realizing that understanding what happens and when it happens is crucial to effectively writing ASP.NET pages or user controls. So let's examine in detail the ten events of an ASP.NET page, from creation to disposal. We will also see how to tap into these events to implant our own custom code.

I'll set the stage with a simple submission form written in ASP.NET with C#. The page is loaded for the first time and has several server-side Web controls on it. When the Web server receives a request for the page, it will process our Web controls and we will eventually get rendered HTML. The first step in processing our page is object initialization.

1. Object Initialization

A page's controls (and the page itself) are first initialized in their raw form. By declaring your objects within the constructor of your C# code-behind file (see Figure 1), the page knows what types of objects and how many to create. Once you have declared your objects within your constructor, you may then access them from any sub class, method, event, or property. However, if any of your objects are controls specified within your ASPX file, at this point the controls have no attributes or properties. It is dangerous to access them through code, as there is no guarantee of what order the control instances will be created (if they are created at all). The initialization event can be overridden using the OnInit method.

2. Load Viewstate Data

After the Init event, controls can be referenced using their IDs only (no DOM is established yet for relative references). At LoadViewState event, the initialized controls receive their first properties: viewstate information that was persisted back to the server on the last submission. The page viewstate is managed by ASP.NET and is used to persist information over a page roundtrip to the server. Viewstate information is saved as a string of name/value pairs and contains information such as control text or value. The viewstate is held in the value property of a hidden control that is passed from page request to page request. As you can see, this is a giant leap forward from the old ASP 3.0 techniques of maintaining state. This event can be overridden using the LoadViewState method and is commonly used to customize the data received by the control at the time it is populated

3. LoadPostData Processes Postback Data

During this phase of the page creation, form data that was posted to the server (termed postback data in ASP.NET) is processed against each control that requires it. When a page submits a form, the framework will implement the IPostBackDataHandler interface on each control that submitted data. The page then fires the LoadPostData event and parses through the page to find each control that implements this interface and updates the control state with the correct postback data. ASP.NET updates the correct control by matching the control's unique ID with the name/value pair in the NameValueCollection. This is one reason that ASP.NET requires unique IDs for each control on any given page. Extra steps are taken by the framework to ensure each ID is unique in situations, such as several custom user controls existing on a single page. After the LoadPostData event triggers, the RaisePostDataChanged event is free to execute (see below).

4. Object Load

Objects take true form during the Load event. All object are first arranged in the page DOM (called the Control Tree in ASP.NET) and can be referenced easily through code or relative position (crawling the DOM). Objects are then free to retrieve the client-side properties set in the HTML, such as width, value, or visibility. During Load, coded logic, such as arithmetic, setting control properties programmatically, and using the StringBuilder to assemble a string for output, is also executed. This stage is where the majority of work happens. The Load event can be overridden by calling OnLoad

5. Raise PostBack Change Events

As stated earlier, this occurs after all controls that implement the IPostBackDataHandler interface have been updated with the correct postback data. During this operation, each control is flagged with a Boolean on whether its data was actually changed or remains the same since the previous submit. ASP.NET then sweeps through the page looking for flags indicating that any object's data has been updated and fires RaisePostDataChanged. The RaisePostDataChanged event does not fire until all controls are updated and after the Load event has occurred. This ensures data in another control is not manually altered during the RaisePostDataChanged event before it is updated with postback data.

6. Process Client-Side PostBack Event

After the server-side events fire on data that was changed due to postback updates, the object which caused the postback is handled at the RaisePostBackEvent event. The offending object is usually a control that posted the page back to the server due to a state change (with autopostback enabled) or a form submit button that was clicked. There is often code that will execute in this event, as this is an ideal location to handle event-driven logic. The RaisePostBackEvent event fires last in the series of postback events due to the accuracy of the data that is rendered to the browser.

Controls that are changed during postback should not be updated after the executing function is called due to the consistency factor. That is, data that is changed by an anticipated event should always be reflected in the resulting page. The RaisePostBackEvent can be trapped by catching RaisePostBackEvent.

7. Prerender the Objects

The point at which the objects are prerendered is the last time changes to the objects can be saved or persisted to viewstate. This makes the PreRender step a good place to make final modifications, such as changing properties of controls or changing Control Tree structure, without having to worry about ASP.NET making changes to objects based off of database calls or viewstate updates. After the PreRender phase those changes to objects are locked in and can no longer be saved to the page viewstate. The PreRender step can be overridden using OnPreRender

8. ViewState Saved

The viewstate is saved after all changes to the page objects have occurred. Object state data is persisted in the hidden object and this is also where object state data is prepared to be rendered to HTML. At the SaveViewState event, values can be saved to the ViewState object, but changes to page controls are not. You can override this step by using SaveViewState

9. Render To HTML

The Render event commences the building of the page by assembling the HTML for output to the browser. During the Render event, the page calls on the objects to render themselves into HTML. The page then collects the HTML for delivery. When the Render event is overridden, the developer can write custom HTML to the browser that nullifies all the HTML the page has created thus far. The Render method takes an HtmlTextWriter object as a parameter and uses that to output HTML to be streamed to the browser. Changes can still be made at this point, but they are reflected to the client only. The Render event can be overridden, as shown in Figure 6 (below).

10. Disposal

After the page's HTML is rendered, the objects are disposed of. During the Dispose event, you should destroy any objects or references you have created in building the page. At this point, all processing has occurred and it is safe to dispose of any remaining objects, including the Page object. You can override Dispose, as shown in Figure 6.

Conclusion

Each time we request an ASP.NET page, we run through the same process from initialization to disposal. By understanding the inner workings of the ASP.NET page process, writing and debugging our code will be much easier and effective (not to mention less frustrating).

How much money can you make with a web site?

2006-04-28T15:27:00.000-07:00

There are two reasons why you would spend the time that it takes to create a web site:

You enjoy it. For example, you might enjoy bicycling as a hobby and you enjoy writing about it to spread the word.
You have read How to make a million dollars and you are thinking about starting a web site as a business -- specifically to generate revenue.

When I started HowStuffWorks, it began strictly as a hobby. I worked on HowStuffWorks because I enjoyed it. Eventually the site had so many visitors that it had to become a business. So, sometimes, you end up moving from #1 to #2 whether you like it or not.

In Lesson #2 - the different types of web sites, you learned that there are different kinds of web sites and they generate revenue in different ways. For example:

Retail web sites generate revenue from sales
Content web sites generate revenue from advertising
Dating and porn web sites generate revenue from subscriptions
Transactional web sites like Ebay generate revenue from each transaction.
And so on...

Let's start by looking at content web sites that make their money off of advertising revenue. How much money can a simple content web site make?

Right now, if you look in the right sidebar of WebKEW, there is a single sidebar ad being provided by Google. This is called a Google AdSense ad, and these ads are incredibly easy to set up and use. How much money can a single sidebar ad like that generate?

I have a friend with a small web site that uses AdSense. On his site he has placed a Google sidebar ad like this. Google provides statistics for his site on a daily basis. Looking at his site's performance between April 1, 2005 and April 21, 2005, here is what we find:

On average, his site displays 3,100 sidebar ads per day. We know, by looking at the log file statistics on his site, that he receives about 1,000 unique visitors a day. So each visitor looks at about 3.1 pages each, and that means roughly 3,100 ad impressions per day are displayed on his web site.
On average, those 3,100 ad impressions per day generate 60 clicks. With Google AdSense, you get paid only when someone clicks.
On average, each one of those clicks generates 15 cents.
So, on average, his site is making $9.00 per day.

Another common way to talk about the revenue of his site would be to say that, "He is getting a $2.90 average CPM." CPM translates into "Cost Per Thousand", when the M is the roman numeral for thousand. That means that, for every 1,000 ad impressions he displays, he is receiving $2.90 on average. Between April 1 and April 21 he displayed a total of almost 67,000 ad impressions. So:

67,000 / 1000 x $2.90 = $194In a typical month, he normally receives about $270 from Google.

Your mileage will vary depending on the type of visitors that your site attracts, but those results are fairly typical. A Google AdSense ad tends to generate between $2 and $3 CPM on average. Here are some scenarios:

If your site has 1,000 visitors a day and they read 3 pages per visit, you get 3,000 page impressions a day and make about $270 per month.
If your site has 1,000 visitors a day and they read 5 pages per visit, you get 5,000 page impressions a day and make about $435 per month.
If your site has 10,000 visitors a day and they read 5 pages per visit, you get 50,000 page impressions a day and make about $4,350 per month.
If your site has 100,000 visitors a day and they read 5 pages per visit, you get 500,000 page impressions a day and make about $43,500 per month.
And so on

Typically a site will put several ads on a page. For example, there might be a banner ad at the top, a sidebar ad along the side and another ad at the bottom. You cannot simply multiply by three to calculate the revenue -- banner ads tend not to perform as well as sidebar ads, ads at the bottom of the page tend to perform not as well as ads at the top, multiple ads on a page tend to dilute the click rate of other ads on the page, and so on. But let's imagine that you put three Google AdSense ads on your pages and you get a total of $5 CPM as a result.

If you can build a site like About.com with an Alexa Rank of 100 or so, you can see that there is a lot of money to be made. 15 million visitors come per month. They read 5 pages each. You make $375,000 per month just off of those 3 ads. You are making 2.5 cents every time someone comes to visit. By adding other features to your pages, like Google search boxes, small affiliate ads, pop-under ads, etc., you can push the revenue-per-visitor number up towards 5 cents per visitor on a large site.

Here is a funny side note that is interesting. Wikipedia.org is a very large web site. It has about 8 million pages and an Alexa Rank of about 100, meaning that it gets about 10 million visitors a month. Right now, Wikipedia has zero ads on the site. If they were to put ads on their pages, and if the average visitor reads 5 pages, it would mean that Wikipedia could be making somewhere between $250,000 and $500,000 per month, or $3 to $6 million per year. Pretty amazing.

What about a retail site? In this case, calculating revenue ahead of time can be trickier because revenue per visit can be all over the map. But here is a way to think about it. Let's say that you put up your retail site and attract some visitors. You find that, for every thousand visitors who come to the site, two of them on average make a purchase. You also find that, on average, you make $5 profit from a purchase. So you are making $10 per 1,000 visitors. In other words, the amount of money you make tends to be not that different from the money made on a content web site. You might make between $1 and $20 per one thousand visitors. It depends on what you sell, how much profit you make on each sale, etc. Of course, there can be niches where far more than two people per thousand make a purchase. I know of sites where the number is more like 10 or 20. If you can create such a site, then you are in very good shape.

利用 ASP.NET 的内置功能抵御 Web 攻击

2006-04-24T20:45:00.000-07:00

ASP.NET 开发人员应当始终坚持的做法

如果您正在阅读本文，可能就不需要再向您灌输 Web 应用程序中的安全性愈来愈重要这一事实了。您需要的可能是一些有关如何在 ASP.NET 应用程序中实现安全性的实际建议。坏消息是，没有任何开发平台 — 包括 ASP.NET在内 — 能够保证一旦采用了该平台，您就能够编写百分百安全的代码。谁要是这么说，一准在撒谎。好消息是，就 ASP.NET 来说，ASP.NET，特别是版本 1.1 和即将发行的版本 2.0，集成了一些便于使用的内置防御屏障。

光是应用所有这些功能并不足以保护 Web 应用程序，使其免受任何可能和可预见的攻击。但是，如果与其他防御技巧和安全策略相结合，内置的 ASP.NET 功能将可以构成一个强大的工具包，有助于确保应用程序在安全的环境中运行。

Web 安全性是各种因素的总和，是一种范围远超单个应用程序的策略的结果，这种策略涉及数据库管理、网路配置，以及社会工程和 phishing。

本文的目的在于说明 ASP.NET 开发人员为了将安全标准保持到合理的高度，所应始终坚持的做法。这也就是安全性最主要的内容：保持警惕，永不完全放松，让坏人越来越难以发起黑客攻击。

下面我们来看看 ASP.NET 提供了哪些可以简化这项工作的功能。

威胁的来源

在表 1 中，我汇总了最常见的 Web 攻击类型，以及应用程序中可能导致这些攻击得手的缺陷。

攻击	攻击的可能发起人
跨站点脚本 (XSS)	回显到页的不可信用户输入
SQL 注入	串连用户输入以形成 SQL 命令
会话劫持	会话 ID 猜测和失窃的会话 ID Cookie
一次单击	通过脚本发送的未被察觉的 HTTP 张贴
隐藏域篡改	未检查（且受信）的隐藏域被填充以敏感数据

表 1. 常见的 Web 攻击

列表中显现出来的关键性事实有哪些？在我看来，起码有以下三点：

•	无论您何时将何种用户输入插入浏览器的标记中，您都潜在地将自己暴露在了代码注入攻击（任何 SQL 注入和 XSS 变种）之下。
•	必须以安全的方式实现数据库访问，就是说，应当为数据库使用尽可能少的权限，并通过角色来划分各个用户的职责。
•	永远都不通过网络发送敏感数据（更别说是明文了），并且必须以安全的方式将敏感数据存储在服务器上。

有意思的是，上面的三点分别针对的是 Web 安全性的三个不同方面，而这三个方面结合起来，才是唯一的一种生成防攻击、防篡改应用程序的合理方式。Web 安全性的各个层面可以总结如下：

•	编码实践：数据验证、类型和缓冲区长度检查，防篡改措施
•	数据访问策略：使用决策来保护可能最弱的帐户，使用存储过程或者至少是参数化的命令。
•	有效的存储和管理：不将关键性数据发送到客户端，使用哈希代码来检测操作，对用户进行身份验证并保护标识，应用严格的密码策略

如您所看到的，只有可以通过开发人员、架构师和管理员的共同努力，才可以产生安全的应用程序。请不要假定您能够以其他方式达到同样目的。

编写 ASP.NET 应用程序时，您并不是独自面对黑客大军：唯一的武器是通过自己的大脑、技能和手指键入的代码行。ASP.NET 1.1 和更高版本都会施加援手，它们具有一些特定的功能，可以自动提高防御以上列出的某些威胁的屏障。下面我们对它们进行详细的检视。

ViewStateUserKey

从 ASP.NET 1.1 开始引入，ViewStateUserKey 是 Page 类的一个字符串属性，只有很少数开发人员真正熟悉该属性。为什么呢？让我们看看文档中是怎么说的。

在与当前页相关联的视图状态变量中将一个标识符分配给单个用户

除了有些累赘，这个句子的意思相当清楚；但是，您能老老实实地告诉我，它说明了该属性原本的用途吗？要理解 ViewStateUserKey 的角色，您需要继续往下读，直到 Remarks 部分。

该属性有助于防止一次单击攻击，因为它提供了附加的输入以创建防止视图状态被篡改的哈希值。换句话说，ViewStateUserKey 使得黑客使用客户端视图状态的内容来准备针对站点的恶意张贴困难了许多。可以为该属性分配任何非空的字符串，但最好是会话 ID 或用户的 ID。为了更好地理解这个属性的重要性，下面我们简短介绍一下一次单击攻击的基本知识。

一次单击攻击包括将恶意的 HTTP 表单张贴到已知的、易受攻击的 Web 站点。之所以称为“一次单击”，是因为它通常是以受害者不经意的单击通过电子邮件发送的或者在拥挤的论坛中浏览时发现的诱惑性链接而开始的。通过点击该链接，用户无意中触发了一个远程进程，最终导致将恶意的

提交到一个站点。大家都坦白些吧：您真能告诉我，您从未因为好奇而单击过 Click here to win $1,000,000 这样的链接吗？显然，并没有什么糟糕的事情发生在您身上。让我们假定的确是这样的；您能说 Web 社区中的所有其他人都幸免于难了吗？谁知道呢。

要想成功，一次单击攻击需要特定的背景条件：

•	攻击者必须充分了解该有漏洞的站点。这是可能的，因为攻击者可以“勤奋地”研究该文件，或者他/她是一位愤怒的内部人员（例如，被解雇而又不诚实的雇员）。因此，这种攻击的后果可能是极其严重的。
•	站点必须是使用 Cookie（如果是持续性 Cookie，效果更好）来实现单次登录，而攻击者曾经收到过有效的身份验证 cookie。
•	该站点的某些用户进行了敏感的事务。
•	攻击者必须能够访问目标页。

前已提及，攻击包括将恶意的 HTTP 表单提交到等待表单的页。可以推知，该页将使用张贴来的数据执行某些敏感操作。可想而知，攻击者清楚地了解如何使用各个域，并可以想出一些虚假的值来达到他的目的。这通常是目标特定的攻击，而且由于它所建立的三角关系，很难追本溯源 — 即黑客诱使受害者单击该黑客站点上的一个链接，而这又会导致恶意代码被张贴到第三个站点。（请参阅图 1。）

图 1. 一次单击攻击

为什么是不抱怀疑的受害者？这是因为，这种情况下，服务器日志中所显示的发出恶意请求的 IP 地址，是该受害者的 IP 地址。如前所述，这种工具并不像“经典”的 XSS 一样常见（和易于发起）；但是，它的性质决定了它的后果可能是灾难性。如何应对它？下面，我们审视一下这种攻击在 ASP.NET 环境下的工作机理。

除非操作编码在 Page_Load 事件中，否则 ASP.NET 页根本不可能在回发事件之外执行敏感代码。要使回发事件发生，视图状态域是必需的。请牢记，ASP.NET 会检查请求的回发状态，并根据是否存在 _VIEWSTATE 输入域，相应地设置 IsPostBack。因此，无论谁要向 ASP.NET 页发送虚假请求，都必须提供一个有效的视图状态域。

一次单击攻击要想得手，黑客必须能够访问该页。此时，有远见的黑客会在本地保存该页。这样，他/她就可以访问 _VIEWSTATE 域并使用该域，用旧的视图状态和其他域中的恶意值创建请求。问题是，这能行吗？

为什么不能？如果攻击者可以提供有效的身份验证 cookie，黑客就可以进入，请求将被照常处理。服务器上根本不会检查视图状态内容（当 EnableViewStataMac 为 off 时），或者只会检查是否被篡改过。默认情况下，试图状态中没有机制可以将该内容与特定的用户关联起来。攻击者可以轻松地重用所获取的视图状态，冒充另一个用户合法地访问该页，以生成虚假请求。这正是 ViewStateUserKey 介入的地方。

如果选择准确，该属性可以将用户特定的信息添加到视图状态。处理请求时，ASP.NET 会从视图状态中提取秘钥，并将其与正在运行的页的 ViewStateUserKey 进行比较。如果两者匹配，请求将被认为是合法的；否则将引发异常。对于该属性，什么值是有效的？

为所有用户将 ViewStateUserKey 设置为常量字符串，相当于将它保留为空。您必须将它设置为对各个用户都不同的值 — 用户 ID，会话 ID 更好些。由于一些技术和社会原因，会话 ID 更为合适，因为会话 ID 不可预测，会超时失效，并且对于每个用户都是不同的。

以下是一些在您的所有页中都必不可少的代码：

void Page_Init (object sender, EventArgs e) {
ViewStateUserKey = Session.SessionID;
:
}

为了避免重复编写这些代码，您可以将它们固定在从 Page 派生的类的 OnInit 虚拟方法中。（请注意，您必须在 Page.Init 事件中设置此属性。）

protected override OnInit(EventArgs e) {
base.OnInit(e);
ViewStateUserKey = Session.SessionID;
}

总体说来，使用基 page 类始终都不失为一件好事，我在 Build Your ASP.NET Pages on a Richer Bedrock 一文中已经进行了说明。如果您要了解更多有关一次单击攻击者的伎俩的信息，可以在 aspnetpro.com 找到一篇非常好的文章。

Cookie 和身份验证

Cookie 之所以存在，是因为它们可以帮助开发人员达到一定目的。Cookie 充当了浏览器与服务器之间的一种持续性链接。特别是对于使用单次登录的应用程序来说，失窃的 cookie 正是使得攻击成为可能的罪魁祸首。这对于一次单击攻击来说一点没错。

要使用 Cookie，无需以编程方式显式创建和读取它们。如果您使用会话状态且实现表单身份验证，您会隐式地使用 Cookie。当然，ASP.NET 支持无 cookie 的会话状态，而且，ASP.NET 2.0 还引入了无 cookie 的表单身份验证。因此，理论上您可以在没有 Cookie 的情况下使用这些功能。我并不是说您不再必须这么做了，但事实上这正是疗法比疾病更糟的情形之一。无 Cookie 的会话，实际上将会话 ID 嵌入了 URL 中，这样谁都可以看到。

与使用 Cookie 有关的潜在问题有哪些？Cookie 可能被盗（即被复制到黑客的计算机）和投毒（即被填充以恶意数据）。这些操作通常是即将发起的攻击的前奏。如果被盗，Cookie 会“授权”外部用户以您的名义连接到应用程序（并使用受保护的页），这可能使黑客轻松地规避授权，并能够执行角色和安全设置所允许受害者执行的任何操作。因此，身份验证 Cookie 通常被赋予相对较短的生存期，即 30 分钟。（请注意，即使浏览器的会话完成所需的时间更长，cookie 仍会过期。）发生失窃时，黑客有 30 分钟的时限来尝试攻击。

可以将这个时限加长，以免用户不得不过于频繁地登录；但请注意，这么做会将您自己置于危险境地。任何情况下，都应避免使用 ASP.NET 持续性 Cookie。它将导致 cookie 具有几乎永久的生存期，最长可达 50 年！下面的代码片段演示了如何轻松修改 cookie 的过期日期。

void OnLogin(object sender, EventArgs e) {
// Check credentials
if (ValidateUser(user, pswd)) {
 // Set the cookie's expiration date
 HttpCookie cookie;
 cookie = FormsAuthentication.GetAuthCookie(user, isPersistent);
 if (isPersistent)
    cookie.Expires = DateTime.Now.AddDays(10);

 // Add the cookie to the response
 Response.Cookies.Add(cookie);

 // Redirect
 string targetUrl;
 targetUrl = FormsAuthentication.GetRedirectUrl(user, isPersistent);
Response.Redirect(targetUrl);
}
}

您可以在自己的登录表单中使用这些代码来微调身份验证 Cookie 的生存期。

会话劫持

Cookie 还被用于检索特定用户的会话状态。会话的 ID 被存储到 cookie 中，该 cookie 与请求一起来回传送，存储在浏览器的计算机上。同样，如果失窃，会话 cookie 将可被用来使黑客进入系统并访问别人的会话状态。不用说，只要指定的会话处于活动状态（通常不超 20 分钟），这就有可能发生。通过冒充的会话状态发起的攻击称为会话劫持。有关会话劫持的详细信息，请阅读 Theft On The Web: Prevent Session Hijacking。

这种攻击有多危险？很难讲。这要取决于 Web 站点的功能，更为重要的是，该站点的页是如何设计的。例如，假定您能够获得别人的会话 cookie，并将它附加到对站点上某个页的请求中。您加载该页并逐步研究它的普通用户界面。除了该页使用另一个用户的会话状态工作外，您无法将任何代码注入该页，也无法修改该页中的任何内容。这本身并不太坏，但是如果该会话中的信息是敏感和关键性的，就有可能直接导致黑客成功实现利用。黑客无法渗透到会话存储的内容中，但他可以使用其中存储的信息，就像自己是合法进入的一样。例如，假定有这样一个电子商务应用程序，它的用户在浏览站点时将物品添加到购物车中。

•

方案 1。 购物车的内容存储在会话状态中。但是，在结帐时，用户被要求通过安全的 SSL 连接确认和输入付款详细信息。这种情况下，通过接入其他用户的会话状态，黑客仅可以了解到一些有关受害者的购物喜好的细节。在这种环境下劫持实际上并不会导致任何损害。受威胁的只是保密性。

•

方案 2。应用程序为每位注册用户处理一份档案，并将档案保存在会话状态中。糟糕的是，档案中（可能）包括信用卡信息。为什么要将用户档案详细信息存储到会话中？可能应用程序的其中一个目标是，从根本上避免使用户不得不重复键入自己的信用卡和银行信息。因此，在结算时，应用程序会将用户定位到一个具有预先填充的域的页。而有失谨慎的是，这些域的其中一个是从会话状态中获取的信用卡号。现在您可以猜到故事的结局了吗？

应用程序的页的设计，是防止会话劫持攻击的关键所在。当然，还有两点没有理清。第一点是，如何防止 cookie 盗窃？第二点是，ASP.NET 可以如何检测和阻止劫持？

ASP.NET 会话 cookie 极其简单，仅限于包含会话 ID 字符串本身。ASP.NET 运行库从 cookie 中提取会话 ID，并将其与活动的会话进行比较。如果 ID 有效，ASP.NET 将连接到对应的会话并继续。这种行为极大地方便了已经偷到或者可以猜出有效的会话 ID 的黑客。

XSS 和中间人 (man-in-the-middle) 攻击以及对客户端 PC 的强力访问，都是获取有效 cookie 的方法。为了防止盗窃，您应当实现安全最佳实践来防止 XSS 及其各变种得手。

而为了防止会话 ID 猜测，您应当干脆避免太高估计自己的技能。猜测会话 ID 意味着您知道如何预测有效的会话 ID 字符串。对于 ASP.NET 所使用的算法（15 个随机数字，映射为启用 URL 的字符），随机猜测到有效 ID 的概率接近于零。我想不到任何理由来用自己的会话 ID 生成器替换默认的会话 ID 生成器。许多情况下，这么做只会为攻击者提供方便。

会话劫持更为糟糕的后果是一旦 cookie 被盗或者被猜出，ASP.NET 并没有什么办法来检测欺诈性的 cookie 使用。同样，原因是 ASP.NET 将自己限制为检查 ID 的有效性，以及 cookie 的来源地。

我在 Wintellect 的朋友 Jeff Prosise 为 MSDN Magazine 写了一篇很好的关于会话劫持的文章。他的结论并不令人安慰：几乎不可能建立能够完全抵御依靠偷来的会话 ID Cookie 所发起的攻击的防御工事。但是他开发的代码为进一步提升安全标准提供了非常明智的建议。Jeff 创建了一个 HTTP 模块，该模块为会话 ID Cookie 监视传入的请求和传出的响应。该模块将一条哈希代码附加到会话 ID 之后，使攻击者重用 cookie 更为困难。您可以在此处阅读详情。

EnableViewStateMac

视图状态用于在对同一个页的两个连续请求之间保持控件的状态。默认情况下，视图状态是 Base64 编码的，并使用一个哈希值签名，以防止篡改。除非更改默认的页设置，否则不可能篡改视图状态。如果攻击者修改了视图状态，甚至使用正确的算法重新生成了视图状态，ASP.NET 都会捕获这些尝试并引发异常。视图状态被篡改并不一定有害，虽然它修改了服务器控件的状态 — 但可能成为造成严重感染的工具。因此，不移除默认情况下进行的计算机身份验证代码 (MAC) 交叉检查就异常重要。请参阅图 2。

图 2. 启用 EnableViewStateMac 时,使视图状态本身难以篡改的因素

启用了 MAC 检查时（默认情况），将对序列化的视图状态附加一个哈希值，该值是使用某些服务器端值和视图状态用户秘钥（如果有）生成的。回发视图状态时，将使用新的服务器端值重新计算该哈希值，并将其与存储的值进行比较。如果两者匹配，则允许请求；否则将引发异常。即使假设黑客具有破解和重新生成视图状态的能力，他/ 她仍需要知道服务器存储的值才可以得出有效的哈希。具体说来，该黑客需要知道 machine.config 的 <machineKey> 项中引用的计算机秘钥。

默认情况下，项是自动生成的，以物理方式存储在 Windows Local Security Authority (LSA) 中。仅在 Web 场（此时视图状态的计算机秘钥必须在所有的计算机上都相同）的情形下，您才应当在 machine.config 文件中将其指定为明文。

视图状态 MAC 检查是通过一个名为 EnableViewStateMac 的 @Page 指令属性控制的。如前所述，默认情况下，它被设置为 true。请永远不要禁用它；否则将会使视图状态篡改一次单击攻击成为可能，并具有很高的成功概率。

ValidateRequest

跨站点脚本 (XSS) 对于很多经验丰富的 Web 开发人员来说是老朋友了，它在 1999 年左右就已经出现了。简单地说，XSS 利用代码中的漏洞来将黑客的可执行代码引入另一个用户的浏览器会话中。如果被执行，注入的代码可以执行多种不同的操作 — 获取 Cookie 并将一个副本上载到黑客控制的 Web 站点，监视用户的 Web 会话并转发数据，修改被黑的页的行为和外观以使其提供错误的信息，甚至使自己变为持续性的，这样用户下一次返回该页时，欺诈代码会再次运行。请在 TechNet 文章 Cross-site Scripting Overview 中详细阅读有关 XSS 攻击的基础知识。

代码中的哪些漏洞导致 XSS 攻击成为可能？

XSS 利用的是动态生成 HTML 页、但并不验证回显到页的输入的 Web 应用程序。这里的输入是指查询字符串、Cookie 和表单域的内容。如果这些内容在未经适当性能检查的情况下出现在网络上，就存在黑客对其进行操作以在客户端浏览器中执行恶意脚本的风险。（前面提到的一次单击攻击其实是 XSS 的一种新近变种。）典型的 XSS 攻击会导致不抱怀疑的用户点击一条诱惑性链接，而该链接中嵌入了转义的脚本代码。欺诈代码将被发送到一个存在漏洞且会毫不怀疑地输出它的页。以下是可能发生的情况的一个示例：

">Click to claim your prize

用户单击一个看上去明显安全的链接，最终导致将一些脚本代码传递到存在漏洞的页，这些代码首先获取用户计算机上的所有 Cookie，然后将它们发送到黑客的 Web 站点。

请务必注意，XSS 不是一个特定于供应商的问题，因此并不一定会利用 Internet Explorer 中的漏洞。它影响目前市场上的所有 Web 服务器和浏览器。更应注意的是，没有哪一个修补程序能够修复这一问题。您完全可以保护自己的页免受 XSS 攻击，方法是应用特定的措施和合理的编码实践。此外，请注意，攻击者并不需要用户单击链接就可以发起攻击。

要防御 XSS，您必须从根本上确定哪些输入是有效的，然后拒绝所有其他输入。您可以在一本书中读到抵御 XSS 攻击的详细检查表，该书在 Microsoft 属于必读范围 — Writing Secure Code，作者是 Michael Howard 和 David LeBlanc。特别地，我建议您仔细阅读第 13 章。

阻止阴险的 XSS 攻击的主要方法是向您的输入（任何类型的输入数据）添加一个设计合理、有效的验证层。例如，某些情况下即使是原本无害的颜色（RGB 三色）也会将不受控制的脚本直接带入页中。

在 ASP.NET 1.1 中，@Page 指令上的 ValidateRequest 属性被打开后，将检查以确定用户没有在查询字符串、Cookie 或表单域中发送有潜在危险性的 HTML 标记。如果检测到这种情况，将引发异常并中止该请求。该属性默认情况下是打开的；您无需进行任何操作就可以得到保护。如果您想允许 HTML 标记通过，必须主动禁用该属性。

ValidateRequest不是万能的药方，无法替代有效的验证层。请阅读此处以获取大量有关该功能的基础原理的宝贵信息。它基本上通过应用一个正则表达式来捕获一些可能有害的序列。

注 ValidateRequest 功能原本是有缺陷的，因此您需要应用一个修补程序它才能按预期工作。这样的重要信息常常不为人们所注意。奇怪的是，我发现我的其中一台计算机仍受该缺陷的影响。试试看！

没有任何关闭 ValidateRequest 的理由。您可以禁用它，但必须有非常好的理由；其中一条这样的理由可能是用户需要能够将某些 HTML 张贴到站点，以便得到更好的格式设置选项。这种情况下，您应当限制所允许的 HTML 标记（

、、、

、
、

）的数目，并编写一个正则表达式，以确保不会允许或接受任何其他内容。

以下是一些有助于防止 ASP.NET 遭受 XSS 攻击的其他提示：

•	使用 HttpUtility.HtmlEncode 将危险的符号转换为它们的 HTML 表示形式。
•	使用双引号而不是单引号，这是因为 HTML 编码仅转义双引号。
•	强制一个代码页以限制可以使用的字符数。

总之，使用但是不要完全信任 ValidateRequest 属性，不要太过懒惰。花些时间，从根本上理解 XSS 这样的安全威胁，并规划以一个关键点为中心的防御策略：所有的用户输入都是危险的。

数据库角度

SQL 注入是另一种广为人知的攻击类型，它利用的是使用未筛选的用户输入来形成数据库命令的应用程序。如果应用程序兴高采烈地使用用户键入表单域中的内容来创建 SQL 命令字符串，就会将您暴露在这一风险下：恶意用户只需访问该页并输入欺诈参数，就可以修改查询的性质。您可以在此处了解更多有关 SQL 注入的信息。

要阻止 SQL 注入攻击，有许多方法。以下介绍最常见的技巧。

•	确保用户输入属于适当的类型，并遵循预期的模式（邮政编码、身份证号，电子邮件等）。如果预期来自文本框的数字，请在用户输入无法转换为数字的内容时阻止该请求。
•	使用参数化的查询，使用存储过程更好。
•	使用 SQL Server 权限来限制各个用户可以对数据库执行的操作。例如，您可能需要禁用 xp_cmdshell 或者将该操作的权限仅限于管理员。

如果使用存储过程，可以显著降低发生这种攻击的可能性。实际上，有了存储过程，您就无需动态地撰写 SQL 字符串。此外，SQL Server 中将验证所有参数是否具有指定的类型。虽然光是这些并不是百分百安全的技巧，但是加上验证的话，将足以提高安全性。

更为重要的是，应确保只有经过授权的用户才能够执行可能具有严重后果的操作，如删除表。这要求认真仔细地设计应用程序的中间层。好的技巧（不光是为了安全性）应把焦点集中在角色上。应当将用户分组为各种角色，并为各个角色定义一个包含一组最少的权限的帐户。

几周前，Wintellect Web 站点受到一种很复杂的 SQL 注入的攻击。那位黑客试图创建并启动一个 FTP 脚本来下载一个可能是恶意的可执行程序。幸运的是，这次攻击失败了。或者，其实是强用户验证，使用存储过程和使用 SQL Server 权限，导致了攻击未能成功？

总而言之，您应当遵循这些指南，以避免被注入有害的 SQL 代码：

•	使用尽可能少的权限运行，永远不以“sa”身份执行代码。
•	将访问限制给内置的存储过程。
•	首选使用 SQL 参数化查询。
•	不通过字符串串连来生成语句，不回显数据库错误。

隐藏域

在传统的 ASP 中，隐藏域是唯一一种在请求之间保持数据的方法。您需要在下一个请求中检索的任何数据都被打包到隐藏的域中，并执行回程。如果有人在客户端上修改了该域中存储的值，会怎样？只要文本是明文的，服务器端环境就无法测知这一情况。ASP.NET 中，页和各个控件的 ViewState 属性有两个用途。一方面，ViewState 是跨请求保持状态的方法；另一方面，ViewState 使您能够在受保护的、不易篡改的隐藏域中存储自定义值。

如图 2 所示，视图状态被附加了一个哈希值，对于每条请求，都会检查该值，以检测是否发生了篡改。除少数几种情况外，没有任何理由要在 ASP.NET 中使用隐藏域。视图状态能够以安全得多的方式实现相同的功能。前面开门见山地讲到过，在明文的隐藏域中存储敏感的值（如价格或信用卡详细信息），相当于对黑客张开大门；视图状态甚至能够使这种不好的做法比以前更为安全，因为视图状态具有数据保护机制。但是，请牢记，视图状态可以防止篡改，但是并不能保证保密性，除非使用加密 — 存储在视图状态中的信用卡详细信息无论如何都有风险。

在 ASP.NET 中，哪些情况下使用隐藏域是可接受的？当您生成需要将数据发送回服务器的自定义控件时。例如，假定您要创建一个支持重派列顺序的新 DataGrid 控件。您需要在回发中将新的顺序发送回服务器。如果不将这些信息存储到隐藏域中，又可以存储到哪里？

如果隐藏域为读/写域，即预期客户端会写入它，没什么办法能够完全制止黑客攻击。您可以尝试哈希或者加密该文本，但这并不能让您合理地确信不会遭受黑客攻击。此时，最好的防御就是让隐藏域包含惰性和无害的信息。

此外，应当注意 ASP.NET 公开了一个鲜为人知的类，可用于编码和哈希任何序列化的对象.该类为 LosFormatter，ViewState 实现用于创建回程到客户端的编码文本正是同一个类。

private string EncodeText(string text) {
StringWriter writer = new StringWriter();
LosFormatter formatter = new LosFormatter();
formatter.Serialize(writer, text);
return writer.ToString();
}

前面的代码片段演示了如何使用 LosFormatter 来创建类似视图状态的内容，对其编码并进行哈希。

电子邮件和垃圾邮件

在本文结尾，请让我指出，最常见的攻击中至少有两种（经典的 XSS 和一次单击）通常是通过诱使不抱怀疑的受害者单击诱惑性和欺骗性的链接来发起的。很多时候我们都可以在自己的收件箱中发现这样的链接，虽然有反垃圾邮件过滤器。几美元就可以买到大量电子邮件地址。用来生成这种列表的其中一种主要的技巧就是扫描 Web 站点上的公共页，查找并获取所有看上去像电子邮件的内容。

如果页上显示了电子邮件地址，很可能或早或晚这个地址都会被自动 Web 程序捕获。真的吗？当然，这要看该电子邮件是如何显示的。如果硬编码它，您输定了。如果采用其他表示形式（如 dino-at-microsoft-dot-com），是否能够骗过自动 Web 程序不太清楚，但能让所有阅读您的页并想建立合法联系的人光火，倒是一定的。

总体说来，您应当确定一种方法，将电子邮件动态地生成为 mailto 链接。Marco Bellinaso 编写的一个免费组件恰好可以完成这项工作。您可以从 DotNet2TheMax Web 站点获得该组件的全部源代码。

小结

有人怀疑 Web 可能是所有运行时环境中敌意最盛的吗？根源在于谁都可以访问 Web 站点，并尝试向它传递好的或坏的数据。但是，创建不接受用户输入的 Web 应用程序，又有什么意义呢？

我们还是直面现实吧：无论您的防火墙如何强大，无论您如何频繁地应用可用的修补程序，只要您运行的 Web 应用程序先天包含缺陷，攻击者迟早都可以通过主通道，也就是端口 80，直接进入您的系统的最核心部分。

ASP.NET 应用程序与其他 Web 应用程序相较，既不更易受攻击，也不更安全。安全性和漏洞同样根植于编码实践、实际经验和团队合作。如果网络不安全，那么任何应用程序都不安全；类似地，无论网络如何安全，管理如何精良，如果应用程序存在缺陷，攻击者总是能够得手。

ASP.NET 的好处是提供了一些好的工具，只需少量工作，就可以将安全标准提升到可以接受的级别。当然，这并不是足够高的级别。不应纯粹以来 ASP.NET 的内置解决方案，同样也不应忽视它们。尽可能多地了解常见的攻击。

本文提供了内置功能的带注释的列表，以及一些有关攻击与防御的背景知识。用来检测传出的攻击的技巧是另一回事，可能需要一篇专门的文章来进行介绍。

《BBS、论坛、社区、SNS》

2006-04-23T17:05:00.000-07:00

这是最近所谓的WEB2.0时代中一个方向的关键词，也是几个现在非常时髦的词，闲杂人等都在谈论，从各种角度在谈着、写着、议着。比如靶子里的麦田与断桥的争论、比如前一阶段奇虎在三亚的人等的议论。

在我感觉均有摸象的感觉，在我看来都摸成四不象了，按新浪论坛里常用的说法是：不知所云。

为什么别人能摸象，我就不能摸，于是今天摸一摸，只是极力希望能摸出一个象，或者摸出一个鲸出来，再不济也是个“自摸”，理理自己的思路，是否能理别人的思路，那就看“缘分”了。

#1 1、我们的目的

这四个词在我看来是有顺序的，我的顺序是以用户规模、主题数量以及服务层次来排序的。其实这四个东西均是互联网多对多交互系统。

为了描述方便，我还是以单一论坛为代表。

作为一个论坛的经营者，一定要搞清楚操盘一个论坛的目的，那目的是什么，我咋知道你的目的是什么，只是告诉你要想好目的。

而论坛是什么，他就是你实现你目的的一个工具，工具的表现、规格与使用方式一定要切合你的目的。

现在有很多说法让人觉得舍本逐末：

A.论坛的关键是功能；

B.论坛的关键是文化；

C.论坛的关键是服务；

D.论坛的关键是内容；

其实说得都没错，但思考的层面有问题。在我看来自身目的、发展阶段、竞争环境不同的论坛，关键点都是不同的。拿板儿砖与新浪IT业界论坛去争论单一的关键点，那不叫效率低，那叫有毛病。

#2 2、经营的思路

我一直说，在目的明确的情况下，经营一个论坛就是经营一个社会，板儿砖上过去有一系列的讨论，而且不是表现层的讨论，更多的是社会学层面的讨论。（注：对于论坛类的讨论，一定不能从哲学角度切入，否则自乱）。我想列举一些供大家参考：

2.1.六度关系设论

2.2.150人规模论

2.3.自组织论

2.4.规则有效论

2.5.知识有序

2.6.输血机制

2.7.传播论

2.8.资本转化论

2.9.三板斧论

这些东西虽叫“论”，但对于我们的论坛乃至SNS的操盘都具有很强的指导意义。

但同时也要说明的是，这些理论是以简单至深入，同时又相互包含的。

另外社会学在变化，关于这些“论”也只是一部分，也会发生变化，但作为我们现在的论坛操作者，可以先别去想是否完整或今后的变化，关键是得有这样的东西作为我们行动的参考。

在这里再度提醒，在你了解这些“论”的同时，不能忘了根本：你的目的！请有机的在操盘中组合你的思路。

#3 2.1 六度关系设论

六度关系是个设论，很多人谈及，我这里就不多说，对于这个论点我们绝不该看成做论坛、社区以及SNS的所有理论，他只是“茫茫苍海一小粟”。

我们做论坛的人，应该把握的是：创造一种机制、环境（不一定是功能），利用用户过去的人脉关系，扩大论坛的访问量。

#4 2.2 150人规模论

150人规模论的核心是：一个人所能直接承受以及处理的社会关系在150个，过多就会造成冗堵。

而在论坛的操作时，这个理论给我们的一个旁注是：一个好论坛，即高效率交互、高凝聚度的达到，与人数不成正比，而是在一定用户数下，过多或过少都将不理想。

很多论坛操盘手总在思考：我一定要把用户数做高，越高越好。其实这是一个极大的误区。

在我看来一个论坛有50个经常发文的用户，效率是最高的，特别对于将论坛作为工具的操作者。

#5 2.3 自组织论

自组织理论很深，深到很多人都听着晕。

我们来基于论坛简化一下：

A.一个论坛在前期经营时，应以发展用户数量为主；

B.在经营到一定规模后，应力促其中的一些主题或用户分化；

C.分化方向是对你目标有利的方向

#6 2.4 规则有效论

社会学的一个特点是有效而没有真理，而对于论坛来说规则的建立应考虑：

A.追求规则的公平性，不要追求结果的公平性；

B.根据自己的不同发展阶段70％用户的共同特点，建立或调整游戏规则。

避免：

A.结果的大公平＝大锅饭

B.规则不变或乱变

#7 2.5 知识有序论

论坛的一个大弱点，就是知识的无序化，这一点有时阻碍了论坛的长久发展，造成了集体智慧的流失。

在这方面WIKI以及TAG的作法与理念是值得很好参考的。

#8 2.6 输血机制

任何团体、社区的成员都会有其它因素影响到他在该社区的参与度，论坛也一样，婚丧嫁娶都会影响成员对你的论坛的参与度。

因此提前建立输血机制，保证论坛的活跃人群在一个动态的数量上，这一点非常重要。

#9 2.7 加强传播论

其实网络论坛最早经常的根本就是在经营传播：

A.发展传播匹配度高的节点（文化主题相似）；

B.促进重要的传播节点的产生（论坛名人产生）；

C.提高某信息的传播次数；

D.提高某信息的传播速度；

E.建立一个有序的传播线路

F.提高某信息的传播质量

这样的传播一方面促进论坛内部流畅、也是促进论坛对外影响力的产生。

#10 2.8 资本转化论

资本转化论下如：

A.人（用户）在社会中生存中都有资本做为生存条件，包括：

· 文化资本（个人能力、水平、技能）

· 社会资本（个人外部人脉资源的掌控）

· 符号资本（个人在某个范围内的名气）

· 经济资本（个人在金钱方面的能力）

B.以上四个资本是一定可以相互转化的，一个人可以通过良好的转化，达到另外一个个人资本水平。

基于网络论坛或社区或SNS扩展的一个思路是：

如果某一个论坛、社区、SNS能帮助用户建立这么一个良好的转化环境，那么这个论坛、社区、SNS一定是有价值的，所带来的收益也可观的。

我们的论坛操作者，别想着自己如何如何，先想想我们如何帮助用户吧。

#11 2.9 三板斧论

三板斧论是板儿砖砖家Z13综合以前聊天，鬼混提出来的，这三招的确是非常重要的，特别是对于那些SNS操作者来说：

第一招：偏好聚合

通过某一个特性聚合用户，比如体育、音乐、文学、游戏、地域、身份等等，这个特性可以是无限的，但请从一个特性出发；

第二招：事件诱导

事件：节点之间由于偏好而产生的一系列事件--自组织的而非网站经营者的策划。（Z13语）

诱导：经营者提供的事件完成功能+临界点到来时候的“处理机制

通过某个服务、某个活动、某个热点，来促进用户的互动行为，而且诱导方向一定是基于你的目的的；

第三招：资本转化

前面所述

有的人会说，我也是这么想的，这么做的，那恭喜你，但你有没有这样成形地去操作？不一定了吧？

可以说三板斧论是非常可操作性的，详细可以请教板儿砖上的Z13。

#12 3 实现的手段

每一个论坛乃至SNS都会有自己的特点，在实现中不一定有通吃套路。

但在手段设计中最大的几个忌讳：

A.总是先想到功能，总想用功能来完成目标，其实功能是很难形成长久竞争力；

B.没有应用社会学中已有的思路。请不要过高估计自己的能力，站在别人肩上办事，并不会把你的身份降低，反而会更牛；

C.单一应用某一个理论，没去想用户行为与心理、社会行业与心理是多元的；

D.不充分积累或使用现实资源，光在七平方米的机房办不成事儿，特别是现在的中国市场环境

关于实现的手段这一段，不好意思，我就不多写了

#13 4 最后的闲话

很多人在谈及论坛时，都在说自己的经验，但中国有哪个论坛值得说我牛B到哪哪哪？

A.我们的观众更需要的是一些如何从零开始的经验，而不仅是在已经有非常规模的论坛；

B.论坛或社区的文化、精神、魂甚至麦田所说的图腾是非常重要的，但请放在经营思路后去想，或者说当经营思路有了后，自然会有这样的文化、精神、魂！

C.论坛的经营中，时间成本非常大，以上的文字只是希望操作者能提高论坛经营的效率，别指望着一下子把论坛建立的多牛，哪怕你非常有钱。

D.没有一个长盛不衰的论坛，但可以有一个生根发芽的论坛，这是规律，请不要过于自恋于自己现有的论坛；

从LiveJournal后台发展看大规模网站性能优化方法

2006-04-21T10:28:00.000-07:00

一、LiveJournal发展历程

LiveJournal是99年始于校园中的项目，几个人出于爱好做了这样一个应用，以实现以下功能：

博客，论坛
社会性网络，找到朋友
聚合，把朋友的文章聚合在一起

LiveJournal采用了大量的开源软件，甚至它本身也是一个开源软件。

在上线后，LiveJournal实现了非常快速的增长：

2004年4月份：280万注册用户。
2005年4月份：680万注册用户。
2005年8月份：790万注册用户。
达到了每秒钟上千次的页面请求及处理。
使用了大量MySQL服务器。
使用了大量通用组件。

二、LiveJournal架构现状概况

三、从LiveJournal发展中学习

LiveJournal从1台服务器发展到100台服务器，这其中经历了无数的伤痛，但同时也摸索出了解决这些问题的方法，通过对LiveJournal的学习，可以让我们避免LJ曾经犯过的错误，并且从一开始就对系统进行良好的设计，以避免后期的痛苦。

下面我们一步一步看LJ发展的脚步。

1、一台服务器

一台别人捐助的服务器，LJ最初就跑在上面，就像Google开始时候用的破服务器一样，值得我们尊敬。这个阶段，LJ的人以惊人的速度熟悉的 Unix的操作管理，服务器性能出现过问题，不过还好，可以通过一些小修小改应付过去。在这个阶段里LJ把CGI升级到了FastCGI。

最终问题出现了，网站越来越慢，已经无法通过优过化来解决的地步，需要更多的服务器，这时LJ开始提供付费服务，可能是想通过这些钱来购买新的服务器，以解决当时的困境。
毫无疑问，当时LJ存在巨大的单点问题，所有的东西都在那台服务器的铁皮盒子里装着。

2、两台服务器

用付费服务赚来的钱LJ买了两台服务器：一台叫做Kenny的Dell 6U机器用于提供Web服务，一台叫做Cartman的Dell 6U服务器用于提供数据库服务。

LJ有了更大的磁盘，更多的计算资源。但同时网络结构还是非常简单，每台机器两块网卡，Cartman通过内网为Kenny提供MySQL数据库服务。

暂时解决了负载的问题，新的问题又出现了：

原来的一个单点变成了两个单点。
没有冷备份或热备份。
网站速度慢的问题又开始出现了，没办法，增长太快了。
Web服务器上CPU达到上限，需要更多的Web服务器。

3、四台服务器

又买了两台，Kyle和Stan，这次都是1U的，都用于提供Web服务。目前LJ一共有3台Web服务器和一台数据库服务器。这时需要在3台Web服务器上进行负载均横。

LJ把Kenny用于外部的网关，使用mod_backhand进行负载均横。

然后问题又出现了：

单点故障。数据库和用于做网关的Web服务器都是单点，一旦任何一台机器出现问题将导致所有服务不可用。虽然用于做网关的Web服务器可以通过保持心跳同步迅速切换，但还是无法解决数据库的单点，LJ当时也没做这个。
网站又变慢了，这次是因为IO和数据库的问题，问题是怎么往应用里面添加数据库呢？

4、五台服务器

又买了一台数据库服务器。在两台数据库服务器上使用了数据库同步(Mysql支持的Master-Slave模式)，写操作全部针对主数据库（通过Binlog，主服务器上的写操作可以迅速同步到从服务器上），读操作在两个数据库上同时进行(也算是负载均横的一种吧)。

实现同步时要注意几个事项：

读操作数据库选择算法处理，要选一个当前负载轻一点的数据库。
在从数据库服务器上只能进行读操作
准备好应对同步过程中的延迟，处理不好可能会导致数据库同步的中断。只需要对写操作进行判断即可，读操作不存在同步问题。

5、更多服务器

有钱了，当然要多买些服务器。部署后快了没多久，又开始慢了。这次有更多的Web服务器，更多的数据库服务器，存在 IO与CPU争用。于是采用了BIG-IP作为负载均衡解决方案。

6、现在我们在哪里：

现在服务器基本上够了，但性能还是有问题，原因出在架构上。

数据库的架构是最大的问题。由于增加的数据库都是以Slave模式添加到应用内，这样唯一的好处就是将读操作分布到了多台机器，但这样带来的后果就是写操作被大量分发，每台机器都要执行，服务器越多，浪费就越大，随着写操作的增加，用于服务读操作的资源越来越少。

由一台分布到两台

最终效果

现在我们发现，我们并不需要把这些数据在如此多的服务器上都保留一份。服务器上已经做了RAID，数据库也进行了备份，这么多的备份完全是对资源的浪费，属于冗余极端过度。那为什么不把数据分布存储呢？

问题发现了，开始考虑如何解决。现在要做的就是把不同用户的数据分布到不同的服务器上进行存储，以实现数据的分布式存储，让每台机器只为相对固定的用户服务，以实现平行的架构和良好的可扩展性。

为了实现用户分组，我们需要为每一个用户分配一个组标记，用于标记此用户的数据存放在哪一组数据库服务器中。每组数据库由一个master及几个 slave组成，并且slave的数量在2-3台，以实现系统资源的最合理分配，既保证数据读操作分布，又避免数据过度冗余以及同步操作对系统资源的过度消耗。

由一台（一组）中心服务器提供用户分组控制。所有用户的分组信息都存储在这台机器上，所有针对用户的操作需要先查询这台机器得到用户的组号，然后再到相应的数据库组中获取数据。

这样的用户架构与目前LJ的架构已经很相像了。

在具体的实现时需要注意几个问题：

在数据库组内不要使用自增ID，以便于以后在数据库组之间迁移用户，以实现更合理的I/O，磁盘空间及负载分布。
将userid，postid存储在全局服务器上，可以使用自增，数据库组中的相应值必须以全局服务器上的值为准。全局服务器上使用事务型数据库InnoDB。
在数据库组之间迁移用户时要万分小心，当迁移时用户不能有写操作。

7、现在我们在哪里

问题：

一个全局主服务器，挂掉的话所有用户注册及写操作就挂掉。
每个数据库组一个主服务器，挂掉的话这组用户的写操作就挂掉。
数据库组从服务器挂掉的话会导致其它服务器负载过大。

对于Master-Slave模式的单点问题，LJ采取了Master-Master模式来解决。所谓Master-Master实际上是人工实现的，并不是由MySQL直接提供的，实际上也就是两台机器同时是Master，也同时是Slave，互相同步。

Master-Master实现时需要注意：

一个Master出错后恢复同步，最好由服务器自动完成。
数字分配，由于同时在两台机器上写，有些ID可能会冲突。

解决方案：

奇偶数分配ID，一台机器上写奇数，一台机器上写偶数
通过全局服务器进行分配(LJ采用的做法)。

Master-Master模式还有一种用法，这种方法与前一种相比，仍然保持两台机器的同步，但只有一台机器提供服务（读和写），在每天晚上的时候进行轮换，或者出现问题的时候进行切换。

8、现在我们在哪里

现在插播一条广告，MyISAM VS InnoDB。

使用InnoDB：

支持事务
需要做更多的配置，不过值得，可以更安全的存储数据，以及得到更快的速度。

使用MyISAM：

记录日志（LJ用它来记网络访问日志）
存储只读静态数据，足够快。
并发性很差，无法同时读写数据（添加数据可以）
MySQL非正常关闭或死机时会导致索引错误，需要使用myisamchk修复，而且当访问量大时出现非常频繁。

9、缓存

去年我写过一篇文章介绍memcached，它就是由LJ的团队开发的一款缓存工具，以key-value的方式将数据存储到分布的内存中。LJ缓存的数据：

12台独立服务器（不是捐赠的）
28个实例
30GB总容量
90-93%的命中率（用过squid的人可能知道，squid内存加磁盘的命中率大概在70-80%）

如何建立缓存策略？

想缓存所有的东西？那是不可能的，我们只需要缓存已经或者可能导致系统瓶颈的地方，最大程度的提交系统运行效率。通过对MySQL的日志的分析我们可以找到缓存的对象。

缓存的缺点？

没有完美的事物，缓存也有缺点：
增大开发量，需要针对缓存处理编写特殊的代码。
管理难度增加，需要更多人参与系统维护。
当然大内存也需要钱。

10、Web访问负载均衡

在数据包级别使用BIG-IP，但BIG-IP并不知道我们内部的处理机制，无法判断由哪台服务器对这些请求进行处理。反向代理并不能很好的起到作用，不是已经够快了，就是达不到我们想要的效果。

所以，LJ又开发了Perlbal。特点：

快，小，可管理的http web 服务器/代理
可以在内部进行转发
使用Perl开发
单线程，异步，基于事件，使用epoll , kqueue
支持Console管理与http远程管理，支持动态配置加载
多种模式：web服务器，反向代理，插件
支持插件：GIF/PNG互换？

11、MogileFS

LJ使用开源的MogileFS作为分布式文件存储系统。MogileFS使用非常简单，它的主要设计思想是：

文件属于类（类是最小的复制单位）
跟踪文件存储位置
在不同主机上存储
使用MySQL集群统一存储分布信息
大容易廉价磁盘

到目前为止就这么多了，更多文档可以在http://www.danga.com/words/找到。Danga.com和LiveJournal.com的同学们拿这个文档参加了两次MySQL Con，两次OS Con，以及众多的其它会议，无私的把他们的经验分享出来，值得我们学习。在web2.0时代快速开发得到大家越来越多的重视，但良好的设计仍是每一个应用的基础，希望web2.0们在成长为Top500网站的路上，不要因为架构阻碍了网站的发展。

参考资料：http://www.danga.com/words/2005_oscon/oscon-2005.pdf

感谢向静推荐了这篇文档给我。

海内外中文网站以及港台日韩美印人气网站排名

2006-04-16T15:23:00.000-07:00

现在全球互联网上的网站总数已经超过了四千万家(其中中国大陆的网站总数是将近七十万家)，针对如此众多的网站，有一家比较权威的网络流量访问统计机构，叫ALEXA排名网站。最近因为查看自己开的BLOG网站的排名，也顺便发现了其他很多有意思的排名。。。

首先，在全球四千多万家网站中，只有前一百万名的网站，才会有具体排名和数据统计，下面这些网站后的数字就是其最近(当前星期？)被访问次数的全球排名：

(一)先说说几个主要海外中文网站：

文学城 235
留园网 382
MITBBS 1276
倍可亲 2122
万维网 2141
多维网 2505

。。。

海归网 6223
世界军事论坛 6660

。。。

CND 12658
POPYARD 13775
YIFAN 14869
MUZI 27518

。。。

0gan.net 852690 Smile 不好意思，网站开了还不到三个月，排名全球八十五万名，不过好歹进了前一百万。。。：-) 。。。。

几点说明：

1) 文学城还是海外中文网站里的老大。如果将来他们要是能够在国内也能被看到，其前途是不可限量的。不过，一方面他们遭受了被禁的苦痛，另一方面，他们却出於纯商业的考虑，对於一些我这样的网友的个人BLOG网站，居然都采取封锁的做法，比如，只因为我去偶尔贴了一下我自己拍的几个音乐MTV录像，现在我的个人BLOG网站名 www.0gan.net 在文学城就成了过滤词了，只要帖子里面出现，就发不出去。。

2) 前几年曾经很热门的一些网站，比如木子网，一凡网，还有CND华夏文摘，最近在一些新的网站的冲击下，都不行了。。。逆水行舟，不进则退，就是这个道理。。。

(二)再说说世界头十名被访问的网站

这个排行是根据最近三个月统计而每日更新的，以下是2006年4月16日的：

1) YAHOO

2) GOOGLE

3) MSN

4) 百度

5) YAHOO日本

6) 新浪

7) EBAY

8.) MYSPACE

9) 腾讯网 (QQ)

10) (微软)PASSPORT NET

(三)国内访问量头十几名的网站

1) 百度

2) 新浪

3) 腾讯网 (QQ)

4) 搜狐

5) 网易

6) 雅虎中国

7) GOOGLE

8.) MSN

9) 淘宝网

10) TOM。COM

11) 阿里巴巴

12) 搜狗 (SOGOU)

(四)香港的头十几名被访问的网站

1) YAHOO

2) XANGA 欧美网上BLOG网站

3) MSN

4) 香港赛马会 HKJC。COM

5) 新闻组啦 (newsgroup.la)

6) UWANTS.COM

7) 香港讨论区 (discuss.com.hk)

8.) 壹苹果网络(ATNEXT.COM 香港壹周刊下属网站？)

9) 新浪香港 (SINA.COM.HK)

10) SEX141.COM

11) GOOGLE

12) GOOGLE香港

13) 雅虎中国

几点说明：

大家看，香港就是一典型的殖民地文化下的特点：前几名完全与西方接轨，剩下的就是赛马，然后居然第十名是一纯色情资讯网站。哈哈。真倔！您要指望这个地方出个把三星现代那样的企业，不是做梦吗。

(五) 台湾头十名被访问网站

1) YAHOO

2) 无名小站 (WRETCH。CC)

3) 电脑报 (PCHOME。COM。TW)

4) MSN

5) HINET 台湾入门网站 (HINET。NET)

6) GOOGLE台湾

7) 优仕网 (YOUTHWANT。COM。TW)

8.) 番薯藤 (YAM。COM)

9) MSN台湾

10) 雅虎台湾

几点说明：

台湾的文化说什么要比香港的殖民地文化强多了。过去听的所有香港歌星的歌曲，包括什么张学友，谭永麟，大多是抄袭日本人的，张国荣是GAY，谭校长两个老婆一起出殡，周星驰的无厘头，这样的东西要是有人还推崇，实在是没办法了。

再看看台湾过去的老牌歌星和艺人，感觉就好太多了：罗大佑，李宗盛，等等，至少歌是自己写的，而不是简单抄日本人的。

(六)日本头十名被访问网站

1) YAHOO日本

2) GOOGLE

3) MIXI (日文介绍：SOCIAL NETWORK SITE 好像是交友网站)

4) 乐天市场 ( RAKUTEN。CO。JP)

5) LIVEDOOR 就是最近新闻里面大名鼎鼎的活力门公司网站

6) GOO辞书 (GOO。NE。JP 三省堂书店)

7) MSN 日本

8.) FC2 (fc2.com 好像是WEB HOSTING的网站)

9) AMAZON 日本

10) INFOSEEK 日本

几点说明：

和香港比较一下，日本的头十名网站里面居然有二个是网上书籍销售相关网站。都说网络时代大家就可以不看书了，不知是否正确。。。

(七) 韩国头十名被访问网站

1) NAVER。COM (完全不知是什么东西，没有一个英文，汉字，都是韩文，好像是综合门户网站的感觉)

2) NATE。COM (完全不知是什么东西，没有一个英文，汉字，都是韩文，好像是综合门户网站的感觉，是SK电信公司办的)

3) DAUM。NET (WALL CALL 还是：完全不知是什么东西，没有一个英文，汉字，都是韩文，好像是综合门户网站的感觉)

4) YAHOO 终於，终於有个和世界接轨的网站。。。

5) NETMARBLE。NET 还是不知是干什么的网站

6) INTERNET AUCTION (AUCTION。CO。KR) 从名字判断，是网上拍卖行

7) GMARKET。CO。KR 从名字判断，是网上购物网站

8.) SAYCLOB。COM 从网站域名判断，是网上交友网站

9) HANGAME。COM 从网站域名判断，是网上游戏网站

10) EMPAS。COM 好像是综艺音乐资讯网站

几点说明：

韩国人的强烈民族性从这个头十名网站，一眼就看出来了，什么MSN GOOGLE，玩去，根本没人尿。。。

(八) 美国的头十名被访问网站

1) YAHOO

2) GOOGLE

3) MSN

4) MYSPACE

5) EBAY

6) AMAZON

7) CRAIGSLIST

8.) GO.COM

9) PASSPORT。NET

10) CNN

说明：

CRAIGSLIST 如果上市，会很成功。。。

还有：

(九) 印度头十名被访问网站：

1) YAHOO

2) GOOGLE

3) GOOGLE 印度

4) REDIFF。COM 这是一个海外印度人背景的综合门户网站，NASDAQ上市公司。

5) MSN

6) ORKUT。COM 网上交友网站，是印度的吗？还是在西方的印度人开的？

7) INDIATIMES 印度时报报纸网站，新闻。

8.) MAUKRI。COM 印度最大的找工作网站

9) (微软)PASSPORT。NET

10) RAPIDSHARE。DE 这是一个德国的网上文件SHARING网站，看来印度的硬件还是差。。。

美国，西方有很多印度人，我问过几个美国的印度人他们平常上什么样的印度网站，下面是几个主要答案： (网站后数字是其排行)

1) samachar.com 4391

2) rediff.com 111

3) sulekha.com 3334

其中，REDIFF因为有大量印度国内用户访问，可以说不能算真正只有海外印度人访问的网站，所以，可以和文学城这样网站比的印度网站的排名都是三千以外，这说明什么呢？

这说明：

1) 印度人没有自己很深的民族国家概念

2) 海外印度人估计上CNN，MSN的比上以上印度人ONLY网站的多，结果就是他们和欧美人打起交道来，比老中厉害。

RSS阅读排序与过滤的7种方式

2006-03-29T19:49:00.000-08:00

RSS无限，而人的注意力有限，所以如何将我们有限的注意力更有效地投入到无限的RSS阅读中去，这就成为摆在我们面前的课题。

象keso或者是Scoble这样的牛人，能够每天跟踪上千个RSS，不是一般人所能够做到的，所以大部份人都会象老白这样尽量控制着，轻易不订阅，我也在不久前对RSS进行了一次清理，删掉了上百条RSS，这一两个月以来，似乎也没有损失什么重要消息。

但依靠人的主动控制始终不是解决之道，还是需要依靠技术来帮助我们过滤信息，简单总结一下现在已经有的几种方式。

1、靠评价：老白昨天提出一个想法，靠打分来进行评价，并定期进行末位淘汰。在阅读器端对blog文章进行评价，我似乎在哪个阅读器中见过，想不起来了，也算一种吧。不过这种方式对读者而言，如果每篇文章都需要评价，那工作量可就大了。

2、靠阅读频率统计：比如GreatNews中的最不常访问的频道统计，可以了解你一段时间以来阅读最少的RSS供你决策是否删除。当然，GreatNews还可以统计长时间未更新的RSS，也可作为删除的依据。

3、注意程度统计：FeedDemon的新版就包含了注意力报告(Attention Report)的功能，可以根据你的阅读行为中的几个因素，包括点击，但还考虑了标记文章、关键词监控等因素，进行计算后得出你对Feed阅读的注意力报告。

4、按照注意程度排序：NetNewswire这个Mac平台上的阅读器，也在作与FeedDemon类似的事，根据一些因素进行计算后，可以将Feed按照你的注意程度进行排序，由于我没有使用过这个阅读器，我不知道它的排序是以Feed为基础还是可以打乱所有Feed的内容进行综合的排序。Rojo最近推出的新功能“按相关性排序阅读”就是将你订阅的所有RSS的未读内容打乱根据tag、其他用户的支持程度等因素进行排序。

5、关键字过滤：关键字过滤可以分为两种，一种是当关键字符合的时候，就通知你，这种比较常见，其实和在Technorati设置一个Watchlist差不多效果；另一种是当关键字符合时，过滤掉这篇文章。比如最近新出来的FeedRinse就是提供这个服务的，不过其实GreatNews早就提供了这个功能，可以设置关键字将文章自动标记为已读。

6、根据反向链接数等因素对内容进行排序：其实就是个性化的Memeorandum，目前比较典型的是Tailrank和Megite，虽然现在对中文的处理还很不理想。

7、根据阅读行为进行智能排序：Findory似乎是目前这个领域的领先者，通过对你阅读行为及点击的分析，对内容进行实时的智能排序，将你最关心的内容排到前面。

其中1、2、3和5相对比较简单一些，而4、6和7这三种方法就带有比较多的智能化因素，我想也会是未来发展的方向。

除了这7种方法之外，利用Attention.xml标准也会是未来比较热点的话题，而信息的过滤和聚合除了本文中基于RSS阅读之外，还有很多其他的方式，不过这都是另外的话题了，以后再专门谈这些吧。