2011年11月29日 星期二

資安系統監控 仍敵不過個資大盜?


在實體世界,每隔一陣子就會傳出某反抗軍以機關槍掃射、自殺炸彈客瘋狂攻擊等恐怖事件,然而在虛擬世界,恐怖程度有過之而無不及的各種攻擊,更是天天上演,網路駭客以日新月異的高超技術,隨時準備好竊取機密資料、破壞企業團體或政府機關的正常運作!

駭客任務-竊取機密換收入

「總統府網站遭惡搞,新聞稿頁面被換上kuso影片」、「跆拳道國手楊淑君事件引發網友憤怒情緒,亞跆盟官網遭駭客入侵置換首頁畫面」這類消息經常登上新聞版面,以致多數人對駭客的印象,仍停留在「入侵網站、換換網頁」的階段。

事實上,這並不是專業駭客會做的事,就算來自專業駭客,也頂多只是平時的「休閒娛樂」,資安趨勢專家吳肯尼表示,當前駭客不再以搞破壞、炫耀技術為主,反而專趨低調,以竊取機密資料來換取相對報酬。

吳肯尼(資安趨勢專家)指出,對專業駭客而言,真正的戰場並非一般網站,而是企業內部的作業系統,可透過提權攻擊長驅直入。當駭客鎖定待攻擊的系統,便會設法取得使用者權限,再進一步透過提權等方式取得管理者權限,接著就能輕鬆竊取或篡改資料。

您以為一切就這樣結束了嗎?錯!高竿的駭客不僅會湮滅證據,來去不留痕跡,甚至會偷偷植入不為人知的後門,或直接竄改系統合法程式、程序,以合法掩護非法,例如隱藏為Utilman.exe、Sethc.exe,騙過防毒軟體,如此一來,就能隨時保時連線,以便從事其他非法活動,例如以此為跳板,轉而入侵其他系統。


帳號密碼不受控 企業資訊全都露

吳肯尼以入侵企業監視系統為例指出,許多主管喜歡透過監視器,查看員工是否專心上班,然而在網路上可以很輕易的找到某些監視系統的安裝使用手冊,裡面甚至包含預設密碼,如果有些企業疏忽這個問題,駭客很容易就能坐在電腦前觀賞「現場直播」。透過畫面上的公司名稱,要找到公司網站一點也不難,接著,就能大顯身手,進行竊取資料的駭客任務。

在某個案例中,該企業竟將多位員工的帳號密碼列表,儲存在網路空間,雖然是企業內網,但是大剌剌的將資料暴露出來,別說駭客竊取,公司內部人員也可能盜用。

此外,吳肯尼也現場展示如何在SSL正常連線的情況下,透過中間人攻擊(Man-in-the-Middle Attack),成功入侵某金融業者官網。

吳肯尼解釋,SSLstrip的手法屬於透過使用者介面及通訊協定間介面漏洞所進行的中間人攻擊,而非攻陷了SSL安全協定或認證憑證的漏洞。舉例來說,當一位用戶點擊一個登錄頁面時,SSLstrip會修改網站未加密的回應,使https變成http,甚至可在瀏覽器位址欄中顯示https的安全鎖符號,以致用戶一直以為該連結是受到加密保護的。

吳肯尼提醒,現在許多大型入口網站都存在這樣的漏洞,駭客只要利用此法,就能輕易取得許多帳號與密碼的序對,經過分析,就能得知該組序對是屬於哪個網站所有,甚至連取的信用卡資料,也是輕而易舉。



引用自《科技商情

掌握使用者行為 及早因應新版個資法


隨著個資法施行細則草案於2011年10月底公布,意味著個資法正式施行已是箭在弦上,面對損害賠償金額最高可達新台幣2億元的法律規範,至今仍抱持觀望態度的企業,可得加緊腳步,趕快尋求因應之道,千萬別賠了金錢又損商譽,那可是得不償失呀!

資料外洩主要來自合法使用者

美商3M台灣子公司法務經理魏安德表示,從企業CSI的調查數據顯示,公司機密資料外洩的原因,有70%是由內部合法使用者所造成;此外,ICM的研究報告更指出,39%的員工曾將客戶資料外流,甚至有高達52%的離職員工會將工作資料帶走,因此,從擬定企業個資安全政策、調整作業流程,是最基本也最重要的工作。

魏安德以3M台灣子公司為例指出,企業應從擬定政策出發,接著建立相關團隊、進行個資盤點、分析風險、制定各項流程與必要事項(管理手冊),然後確實執行,再視執行狀況調整制度,以更符合真實情形。此外,3M台灣子公司也全面進行企業內部訓練,務求員工對個人資料有正確的認知及能力、了解個資法與企業即將面臨的風險,以及為了因應個資法所做的流程調整,同時提供個資相關權責人員的必要專業能力之教育訓練。

至於個人資料盤點,則是整個流程當中,最瑣碎但也最重要的任務,針對這個部分,3M台灣子公司是透過詳盡的盤點表,識別目前所擁有的個人資料,在判定這些資料是否在個資法的適用範圍內,接著建立清冊。

由於3M台灣子公司本身亦經營網購業務,所以也針對個資法調整了合約文字與相關表格。此外,公司各項IT軟硬體資源也要做好準備,透過自動化的機制確實執行權限管理,且所有執行過程都要留下紀錄,以因應發生個資外洩事件時的法律訴訟需求,有效降低企業不必要的經營風險與損失。

面對資料保護議題 使用者想法和行為不一致

雖然大部分的人都了解資料保護的重要性,不過,美商3M台灣子公司事業發展經理宋逸萍表示,根據3M於2010年在美國所做的1項調查發現,800位在不同職場工作的受訪者,儘管都知道應保護企業重要資料,不過,還是有很高比率的員工,會將被規範的客戶資料及機密性的公司資料帶出辦公室,甚至有超過7成的受訪者表示,每週會有超過2個小時在辦公室以外的場所工作。而員工在辦公室外處理的敏感資料,有41.77%為內部財務資料、33.17%為人事資料、32.17%為商業機密,這對企業來說,是相當恐怖的數據,意味著隨時都可能發生無法預估的資料外洩事件。

就在外工作的員工而言,使用方便性的考量遠大於資料隱密性,因此,儘管有80%的受訪者表示,在外使用公用電腦時,會優先選擇裝有螢幕防窺片的電腦,不過,實際上卻只有35%的人這麼作,而另外65%的受訪者,竟有近4成的人在眾目睽睽下處理公司E-mail。

當然,公司的政策不明確,或管控不夠周全,才會導致企業潛藏著相當大的螢幕資訊外洩風險。對此,宋逸萍表示,企業應針對行動工作者,或經常面對其他非內部人員的第一線工作者,加強螢幕防窺機制,避免大費周章保護的個資,卻在無意間外洩。

全方位資安防護 為企業個資把關

知名企業網站遭駭客入侵、政府官方網站遭駭客攻擊等消息時有所聞,甚至已到了見怪不怪的地步,面對持續不斷的資安威脅,究竟該如何因應?對此,關貿網路專案經理鄭嘉豐表示,企業應從最基本的資安檢測做起,以了解當前資訊環境的弱點,並加以補強,做好基本功之後,才能更有效的執行其他安全防護機制。

落實弱點管理 建立縱深防禦概念

「弱點」是資安問題最基本的癥結,只要弱點存在,攻擊就會不請自來,因此,企業務必重視弱點生命週期管理,從評估、檢測、報告、修補到追蹤,各個環節都要落實,有了健康的資安體質,自然不易遭受惡意入侵。

其中,資安檢測項目包括:源碼測試(Code Review)、弱點掃描(Vulnerability Assessment;VA)、網站弱點掃描(Web VA)、滲透測試(Penetration Test;Pen Test)等,透過這些檢測,可協助企業了解當前存在的資訊安全弱點,以便即時修補,不讓駭客有可乘之機。

此外,企業也應該建立縱深防禦的概念。所謂縱深防禦(Defense in Depth)原是軍事術語,應用於資安領域,則是指部署一層層不同的保護措施,如此一來,就不必擔心一旦某防禦機制被突破,便讓入侵者長驅直入、直搗企業核心。

所以,無論管理、資料、網站、系統、網路,各個面向都應全部納入安全考量,而且入侵防護系統(Intrusion Prevention System;IPS)、入侵偵測系統(Intrusion Detection System;IDS)、防火牆、身分認證、網路存取控制(Network Access Control;NAC)……等安全防護機制,亦不可或缺。

從資料安全防護到個人資料保護

有了安全的資訊環境,才有能力談及資料保護,甚至進一步符合即將上路的新版個資法要求。

在企業當中,會涉及個資的檔案,不外乎交易資料以及客戶或員工個人資料,有鑒於台灣已經有不少企業導入資訊安全管理制度(ISMS),因此鄭嘉豐建議,可採用ISMS搭配個人隱私衝擊分析(PIA)的方式,從業務流程開始,就將個人資料納入評鑑,以確保這些資料的安全。

欲保護個人資料,首先要了解個資保護體系的層級劃分,若以金字塔結構來看,頂端是個資法,接著依序為個資法施行細則、事業主管機關規範/業界標準,最下面一層則是公司管理辦法/規範,也就是說,建立企業個資保護的標準化作業流程(SOP),是達成最終目標的重要基石。

鄭嘉豐指出,企業個資保護機制的建置流程有6大步驟,分別是:1.定義個資範圍、2.定義個資安全政策、3.進行風險評估、4.風險管理、5.選擇控制目標及方法、6.實行;而提升建置成功率的關鍵因素,在於人員、流程與產品(People、Process、Product;PPP),畢竟任何資料由「人」利用、處理,因此,企業必須訂定相關的使用及處理流程,輔以成本合理的自動化資訊控管產品,才能更有效率的落實企業規範,達成資訊安全與個資保護的雙重目標。

引用自《科技商情

台灣資安問題面面觀


有關資安的事件層出不窮,相關新聞報導不斷,吉瑞科技總經理邱春樹指出,目前常見的資安威脅種類繁多,包括網頁安全、資料外洩、P2P軟體、釣魚式垃圾郵件、即時通訊等,甚至影音檔案都可能含有惡意程式連結或程式碼,可以說是防不勝防。

對個人而言,資安威脅可能會造成上網頻率降低,降低網路交易的慾望,如果個人私密資料外洩,就可能造成更嚴重的損失,如果電腦被控制,成為攻擊他人的工具,不但親朋好友可能因此受連累,也可能為個人帶來許多無謂的困擾。

而對企業而言,資訊安全威脅不但可能造成資料外洩,導致商業機密流出,影響企業競爭力,還可能造成商譽受損,或衍生交易糾紛,影響企業運作。

資安威脅防不勝防

邱春樹指出,企業如果要有效防護安全威脅,需要進行的步驟包括,即時更新安全修補程式、即時更新防護軟硬體的特徵碼、建立使用者的資安認知觀念、資安管理人員要了解資安技術及威脅,而管理階層更要有重視資安威脅的基本觀念,而最重要的是,企業必須培養資安專業分析人員。

為了確保資訊安全,企業往往會安裝各種防護軟體,包括防毒軟體、防火牆、入侵偵測系統、入侵預防系統、網頁應用程式防火牆、行為偵測軟體、網頁信譽評等軟體等。

但邱春樹指出,目前的防護軟體的偵測率愈來愈低,主要的關鍵在於許多惡意檔案的變種太多,如透過加殼程式(Packer Program)壓縮、透過產生器生成檔案,加上惡意程式開始使用隱匿技術,導致傳統用特徵碼的偵測方式,已經無法有效處理每日收集到的惡意程式樣本數量。

因此,邱春樹認為,要讓防護軟體真的能有效防止資安威脅,必須要有能讓管理者手動建立客製化特徵碼的機制,其他功能還包括檔案格式過濾(File Format Filtering)、URL過濾(URL Filtering)、重要系統檔案保護機制、檔案或目錄防寫機制等。

資安人才及防護意識不足是最大隱憂

但邱春樹認為,台灣資安問題的核心關鍵,還是在於許多相關單位沒有資安意識,如企業高層對於資安的認知不足,法規也落後新進國家太多,以至於企業可以規避責任問題。此外,目前的資安市場主要是以政府及教育單位為主,但邱春樹認為,目前的標案制度,讓參與業者會以低價競標,而非以技術專業取勝,自然比較無法防止資安事件發生。

此外,本土資安研發公司嚴重不足,企業也缺乏資安事件分析人員,更是台灣資安問題的最大隱憂,因為如果不能真正了解完整的資安事件過程,只是在資安事件發生後,匆匆忙忙的採購軟硬體設備,未必能真正有效的對症下藥,自然也就很難避免類似的資安事件再度發生。

預防勝於治療

邱春樹表示,使用者也必須提高危機意識,建立正確的資安觀念,企業也必須積極針對員工,進行資安認知教育訓練,如果能與考績結合,並進行實際模擬演練,效果將會更好。

但關鍵還是在心態,如果企業始終存著「不會這麼倒楣」的心態,總是等到資安事件發生後,才會開始重視資安,其實已經是緩不濟急,唯有落實「預防勝於治療」的觀念,才能真正做好資安防護。

防止內憂及外患 電子郵件才能高枕無憂


個人資料保護法即將修正通過,對於個人資料的保護更加嚴謹,而企業資料傳送的管道眾多,也讓企業如何保護個人資料的難度變得更高。中華數位科技產品經理王智衛指出,企業資料透過電子郵件傳送的比例超過五成,遠超過其他管道如即時通訊軟體或社交網站等,是關心個資洩漏問題的企業,必須優先關注的資安焦點。

電子郵件的資安重要性

王智衛指出,電子郵件目前與一般書面文件,其實已經沒有本質上的差別,承諾事項就法律效力來看,已經等同於書面或口頭承諾。公司員工發出的電子郵件,其實就已經代表公司的行為,公司必須負起法律責任,因此公司有必要訂定電子郵件政策,提出警告文字或負責聲明,並具體教育員工,以避免電子郵件成為個資外洩的管道。

但也因為電子郵件目前已是企業傳輸、溝通、承載資訊的重要工具,甚至已經相當於企業的數位神經系統。王智衛認為,企業必須找出讓電子郵件為企業工作的方法,用經營企業的角度來管理,以增進工作效率、降低成本、提高生產力及獲利,否則生產力不但無法快速提升,還可能讓企業面臨法律問題、重要資訊流失、資源耗用等威脅。

建立電子郵件緊急調閱機制

王智衛認為電子郵件的資安問題,可以分為內憂及外患。內憂在於法規環境的改變,讓企業必須承擔更多資料管理的責任,如企業必須要有良好的郵件備份策略及緊急調閱機制,才能在面臨訴訟時,能夠立即證明無故意或過失,並且已經善盡保護的責任。

值得注意的是,在公司發出的電子郵件中,雖然不見得會洩漏完整的個人資料,但如果將多封電子郵件的內容加以對照、組合或連結,進行所謂的「資料拼圖」,仍可能造成特定個人資料因此外洩,企業仍然不能免則。王智衛建議,企業應該要做好電子郵件個資盤點,利用歸檔設備搜尋電子郵件,是否有個資法定義的相關欄位,以避免「資料拼圖」的問題發生。

定期偵測弱帳號密碼管理

至於外患方面,要防止的對象包括駭客攻擊、帳號密碼被竊等,由於許多企業員工疏於設定密碼強度,王智衛表示,企業應該要做好電子郵件弱帳號密碼的防護,如定期執行SMTP認證密碼掃描,並進行掃描結果分析,同時提供防密碼猜測掃描,出現相關行為時,即可自動阻斷其來源,如果發現有濫發郵件的現象,更要儘快自動阻斷。

值得注意的是,駭客要透過電子郵件攻擊,其實會先取得郵件發信者的權限,因此發出的信幾可亂真,同時會用各種手法,引誘收件人開啟郵件中的附檔,因此諸如附件型垃圾信的防護、威脅郵件即時預警機制、社交工程攻防講習和演練,都是電子郵件資安管理,不可疏忽的地方。

內憂及外患 同時防堵才有效

王智衛強調,企業如果只注意外患,將無法做好內部郵件的歸檔,勢必無法做到線上、近線、離線的完整的調閱操作,可能因此無法滿足法規上的要求;如果只注意內憂,就做不到即時的新型攻擊防護,因此最理想的電子郵件資安策略,就是要同時防禦外部駭客,同時還要防禦內部資料外洩,才是根本解決之道。

引用自《科技商情

資安三大技術:HIPS、外接媒體、雲端


資訊安全技術日新月異,台灣二版高級產品經理盧惠光認為,資安未來的三大重點技術,包括外接媒體控管、雲端支援及主機張偵測入侵防禦系統(Host Intrusion Prevent System;HIPS)。

目前的外接媒體,因為體積小、便於攜帶、隨插即用,且種類眾多,包括USB隨身硬碟、外接式硬碟、各類型的記憶卡(如SD、CF及PRO Duo等)、光碟片等,很難加以管理,幾乎已經成為資訊安全的嚴重漏洞。

盧惠光(台灣二版高級產品經理)指出,外接媒體所帶來的資訊安全問題,除了傳染電腦病毒外,惡意程式碼及非官方軟體也是要積極防堵的目標,而離職員工或不肖有心人士,利用外接媒體竊取重要資料的可能性,更要加以防範。

但儘管外接媒體已經成為資訊安全的嚴重漏洞,但完全禁止的可行性不高。盧惠光建議,要防範外接媒體所帶來的資訊安全問題,可以從人員控管及程式控管兩方面著手,以保護公司的檔案伺服器在存取過程中,不會發生資安問題。

導入雲端技術要小心

目前已有不少企業開始建立私有雲,或是使用公有雲上的資源或服務。但盧惠光指出,不管是公有雲或私有雲,目前都有許多資安問題。以私有雲為例,企業對於外來的連線,是否已進行相當的安全性防護?當外來的行動裝置連線到公司時,是否有辨識的功能?

至於公有雲方面,在存取過程中的防護機制,是否能有效地防止外來的入侵?如果雲端伺服器受到攻擊而造成故障,或是產生資料遺失時,企業是否已經做好備份機制?都是企業在導入雲端技術時,必須思考的資安問題。

而在HIPS方面,從早期的入侵偵測系統(Intrusion Detection System;IDS)到入侵防禦系統(Intrusion Prevention System;IPS),入侵偵測防禦的應用範圍也開始從網路到主機本身,HIPS由於可以監控應用程式或檔案的執行,甚至可以監控註冊表是否遭到修改,即使木馬或病毒不斷的變種,只要管理者擁有適當的知識,HIPS還是能非常有效的防止木馬或病毒的運行,也因此成為資安領域非常重要的技術。

雲端技術搭配合適功能 維持資安整體效益

雲端運算技術雖然日漸受到重視,但盧惠光指出,雲端技術的重點,通常著重在穩定及效率,安全方面並沒有變好,甚至變得更差。因此,雲端技術應用在資訊安全方面,並非萬靈丹,優異的防毒資安軟體必須維持全面且多方向的防護資源,將雲端技術搭配在合適的功能上,才能取得「雲端、伺服端、用戶端」上整體效益的平衡。

雲端應用服務的全方位資料安全保護


隨著雲端運算應用服務日益普及,舉凡政府機關的防救災、便民、財稅及警政服務,或是大型及中小企業的各式資料庫管理,加上數位家庭、智慧醫療、智慧交通、智慧校園及行動商務等應用,對雲端資料中心的依賴度愈來愈高。中飛科技技術支援部協理張偉翰指出,雲端資料中心雖具備超大規模、無限延展及彈性使用的特性,讓雲端應用服務的發展充滿未來性,但雲端運算應用情境的安全問題,更需要我們關注。

結構化資料必須特別保護

張偉翰表示,資料可以分為結構化及非結構化兩種,雲端資料中心存放的資料,多半屬於結構化資料,由於結構化資料往往是許多資訊如非結構化資料的源頭,因此需要特別保護。至於非結構化資料如業務文件、程式原始碼、財務資料等,多半存放在企業本身的檔案伺服器中,由於存放位置零散,且頂多是用目錄控管,也因此雲端資料中心的管理思維,其實與檔案伺服器的管理思維,有很大的不同。

一般而言,雲端資料中心的資安漏洞,包括管理者本身、資料存取的過程、開放平台的其他使用者本身。為了確保雲端資料中心的資料安全,張偉翰認為,完整的雲端資料中心資安解決方案,包括網頁應用程式、檔案及資料庫,都必須做好安全防禦。

網頁應用程式要避免外部攻擊

網頁應用程式為例,由於可以直接存取資料庫,也因此成為外來攻擊的主要管道。張偉翰建議,雲端資料中心可以透過網頁動態建模技術保護可能受到攻擊的應用程式,同時要建立完整的負面列表,包括伺服器平台入侵防禦、網頁及網站服務攻擊、零時差蠕蟲攻擊等,並設下多層次防禦,正確的阻斷攻擊,因為很多看似攻擊的行為,有時候其實是合法的,所以雲端資料中心一定要制定一系列的規則,才能避免誤判。

此外,網頁應用程式在開發時,最好能與弱點偵測軟體配合,管理者可依據排程修正及測試系統弱點,並可減少緊急修改修正應用程式的週期,還可監視嘗試突破已知弱點的攻擊,確保應用程式的安全及運作效率。

檔案保護要注意使用者權限管理

至於檔案保護,張偉翰認為,最主要的管理關鍵,在於資料源頭的控管,確保業務上需要存取的人,才能碰觸資料。要考慮的因素很多,包括誰擁有這個檔案?誰在使用或使用過這個檔案?誰有使用權限?什麼時候需要阻擋使用者的存取?使用權限是否開太大?檔案需要備份還是刪除等。

張偉翰指出,檔案保護技術必須具備完整的檔案稽核機制,才能有清晰廣泛的可視性,掌握所有的資料夾及檔案,但又不會影響檔案系統效能,也不需要更改應用程式、伺服器及使用者習慣。

檔案保護機制還應該能夠自動化的記錄各種使用行為,並提供詳細的分析統計資訊,並能即時套用安全政策,同時能夠找出敏感資料位置,進行分類,配合安全政策,才能對應到與營運政策相關的檔案安全。

資料庫的安全稽核要獨立

至於資料庫的稽核與安全,包含評估、設定政策/控制、監控與執行,以及統計及報表分析,關鍵在於要讓稽核獨立,做好未授權的管理者使用行為控管。如自動學習資料庫使用者及應用程式存取資料庫的行為模式,包括使用者、來源IP、host、OS User、來源應用程式等資訊,建立資料庫存取白名單,作為自動評估、稽核及保護的基準。

張偉翰強調,全球被發現、報告的新安全威脅不斷增加,管理者一定要時時注意真實世界的網路流量,並執行滲透測試,找尋未被發現、公布的弱點,並持續追蹤匯入攻擊來源,同時不斷檢測用戶端,才能持續提供最新的保護,也才能讓雲端資料中心的資料安全,做到全方位的保護。

引用自《科技商情

做好電子文件控管 防止資料外洩


資訊安全問題由來已久。過去的資安議題,包括異地備援、防火牆、防毒掃描等抵禦外患的作為,至今仍相當重要。但精品科技技術總監賴頌傑指出:環境在改變,觀念也必須隨之不斷演進,資安觀念不能只是停留在防止外患入侵為主,現在還必須要注意避免發生內部資料外洩的問題。

內部外洩的威脅最大

賴頌傑(精品科技研發技術總監)引述資訊安全學會理事長謝續平教授的觀察:很多企業只將外部攻擊事件引為殷鑑,投資並架構對外的防禦措施,卻往往不了解,由於內部員工使用權限大,破壞程度與風險相對提高,所以企業更應該加強內部控管。

賴頌傑根據資策會的調查指出,資訊安全的威脅來自外部人員(如駭客、病毒)只佔5%,環境因素(如水災、火災、地震)也只佔15%,來自內部人員(如人為疏失、不誠信員工)的比例高達80%。

協力廠商可能是外部威脅的最主要來源,但最主要的威脅還是內部人員。賴頌傑舉例指出,如果有人來找工作,只要在面試時要求其提供前一份工作資料,往往很容易取得,可見許多企業對於內部洩密的控管不佳。

根據美國CSI/FBI的調查,內部洩密對大企業造成的損失,每年平均為270萬美元,而外部攻擊平均為5萬7千美元,差距近50倍,也顯示出內部洩密造成的損害,遠大於外部攻擊。

利用DRM降低資料外洩風險

賴頌傑指出,為了避免資料外洩造成損失,常見的解決方案有二:第一種是資料遺失保護(DLP),原理是做好系統的防護工作,就像用大門的鎖保護家中的財物。但因為沒有絕對不會被破壞的門鎖,因此賴頌傑認為,第二個解決方案:數位版權管理(DRM)便變得相當重要,就像將家中的財物換成簽名的旅行支票,就算財物真的失竊,取得財物的人也無法使用。

一般而言,企業對於文件控管的期待,包括不影響使用者的正常操作習慣、文件的閱讀及列印與編修均由公司統一控管、可事後追蹤文件各種操作、必要時可將文件進行回收、給協力廠商的文件可被保護...等。

前述文件管理要求,賴頌傑認為透過DRM都可以滿足,如有了DRM,就算離職員工用USB隨身碟或燒錄光碟,在離職前將資料帶走,只要文件一離開公司就無法讀取。賴頌傑指出,採用DRM,無論是內部員工、出差、外派人員,或是委外及合作協力廠商,機密文件皆能受到最好的保護。

做好5A 落實稽核

採用DRM保護文件,賴頌傑建議要做好5A防護監督機制加密(Autocrypt)認證(Authentication)授權(Authorization)管理(Administration)稽核(Auditing)其中最重要的是稽核,因為紀錄應該是只有稽核能看,而且只能看,不能修改,才能做好監督。

此外,重要機密文件一定要詳細記錄使用過程,包括建立、更名、列印、修改、複製、回收及銷毀,也就是做好文件生命週期追蹤,才能作為日後稽核追蹤的依據。

法規修正讓企業必須更重視

賴頌傑強調,個資法一旦修正通過,公司及負責人被處罰的可能性將會大增,但只要企業能夠提供足夠的防護系統,以及提供滿足法規及制度的諮詢,即使個資外洩,也不會受罰,因此IT人員若能利用個資法修正的時機,透過DRM降低企業資料外洩的風險,將可爭取更好的表現機會。

引用自《科技商情

雲端時代關鍵挑戰 網路架構與安全管理


許多企業管理階層針對資安問題,常常都會有疑問:為何花了一堆錢買了資安設備,但資安事件還是發生了?為何都已經通過ISO 27001資安認證,還是發生了資料外洩?網駭科技總經理暨駭客年會創辦人徐千洋指出,針對資安問題,首先要先建立正確的觀念,做好資安管理,可以降低被攻擊的事件次數,但不可能降到零,換句話說,「任何資安投資都只是降低風險,表示還是有風險。」

杜絕風險難度日益提高

徐千洋(網駭科技總經理 暨 駭客年會創辦人)解釋,企業上網等應用,已是非常重要的基礎建設,但連上網路雖然可以吸引全球來自四面八方的瀏覽者,但也一定會吸引敵人,所以企業才需要購買防火牆等資安設備,以阻絕駭客入侵。但是駭客也會進化,設法提升技術,於是企業只能不斷購買設備,重組架構,想要完全杜絕風險的難度自然提高。

企業面對的資安威脅,已經不再是新聞或好萊塢電影描述:一群因為好奇、孤僻、展現功力或一時好玩的學生駭客,徐千洋表示,取而代之的是一群來自四面八方、具專業性、長期具耐心、為數眾多的組織型駭客,企業IT面對資安威脅,只會愈來愈嚴重。

以能夠投入資安的時間為例,徐千洋指出,企業IT主管往往需要面對各種雜事,面對資安事件,通常只能仰賴系統提示,如通知發生資安事件,或是透過燈號了解是否有意外事件,很難24小時不斷保持注意力,但是駭客卻可以專注於如何攻擊,嘗試用各種不同的方式,繞過企業設下的層層防禦,兩者的專注程度,相差不可以道里計。

組織型駭客的威脅日增

更可怕的是,相較於技術型駭客可能只是展示技術,徐千洋認為,組織型駭客的目的,通常都是為了錢;駭客利用木馬程式盜取QQ、網路遊戲、銀行帳號、信用卡帳號等個人資料,並從中牟取金錢利益的經濟活動,網路地下經濟已經成形,更增加組織型駭客攻擊企業的動機。

此外,現在的駭客取得技術的管道很多,加上網際網路的黑色產業鏈已經形成,徐千洋指出,除了很多人認定的中國,歐洲地區(尤其是俄羅斯)更是黑色企業的集中地,也讓駭客進入黑色企業的可能性隨之變高。

從實際案例看資安威脅

而在實際的案例中,更可看出企業面對的資安挑戰日益嚴峻。徐千洋以某軟體業為例,就曾碰到三台系統開發伺服器被入侵、員工帳號也被竊,後來才發現是因為一位研發主管到大陸出差時,使用的筆記型電腦被入侵,當這位主管透過VPN連回公司時,造成入侵事件,只能重灌伺服器、更換所有員工帳號密碼、強化密碼強度,但開發軟體原始碼可能都已外洩。

而在另一家人數約200人的傳統產業,則發現郵件伺服器被入侵,疑似有商業機密外洩,後來發現有6名高階主管的電腦被植入木馬(鍵盤側錄),也必須更換郵件伺服器,及所有員工的帳號密碼,並強化密碼強度。但徐千洋表示,要清除遭木馬入侵的員工電腦時,卻碰到阻礙,因為這6位主管會用各種理由拖延(出差、有重要會議),IT部門花了很多時間去做溝通。

事實上歷史比較悠久的公司都有類似的困難,只要資深員工配合度不夠高,公司又沒有制定資安政策,多年來也沒有添購資安設備,資安事件就很難杜絕。

徐千洋又以某家金融業入口網站被三批大陸駭客入侵為例,網站應用程式被修改,植入多種後門指令,導致該金融網路服務的使用者,有18個用戶遭植入木馬。該金融業入口網站居然沒有任何備份及備援機制,因此在發現以後,該金融業隨即讓入口網站即時下線,並通知用戶更改網路銀行密碼,並緊急購買600萬元的網頁應用程式防火牆、增加備援及開發伺服器,但也因為之前沒買,所以花了好幾天才讓入口網站恢復運作。

無知與自私才是最大威脅

徐千洋感慨的說,由前述案例可以看出,沒有資安事件就沒有經費,因為要等發生資安事件,足以影響到管理階層,或是業務或商業機密外洩,企業管理階層才會去重視

因此,徐千洋認為,管理階層如果不了解資安威脅帶來的危害及損失,或是不認為會影響自身權利或利益,才是企業資安最大的威脅。管理階層一定要有所認知,任何資安事件對企業造成的形象及有形損失,都是難以估計,領導階層應將資安投資與企業獲利視為經營目標,對所有員工做定期教育訓練,才不會碰到資安事件時,會不知所措。

引用自《科技商情

對抗外部攻擊 防止資訊外洩 企業資安挑戰大


有關資安的事件層出不窮,相關新聞報導不斷,目前常見的資安威脅種類繁多,包括網頁安全、資料外洩、P2P軟體、釣魚式垃圾郵件、即時通訊等,甚至影音檔案都可能含有惡意程式連結或程式碼,可以說是防不勝防。

對企業而言,資訊安全威脅不但可能造成資料外洩,導致商業機密流出,影響企業競爭力,還可能造成商譽受損,或衍生交易糾紛,影響企業運作。

但從許多實際發生的資安案例中,卻可看出,企業管理階層對資安威脅帶來的危害及損失,往往不夠了解,或是不認為會影響自身權利或利益,為了達成企業/組織的營運目的,為股東、員工及客戶創造最大利益,領導階層應將資安投資與企業獲利視為經營目標。

企業資安日論壇參與踴躍,聆聽各方解決方案,了解如何對抗來自內外的各種資安威脅。
對抗外部攻擊 企業資安要做好基本功

企業面對的資安威脅日益嚴重,以來自外部的攻擊為例,企業現在面對的駭客,已經不再是新聞或好萊塢電影描述的,一群因為好奇、孤僻、展現功力或一時好玩的學生駭客,而是一群來自四面八方、具專業性、長期具耐心、為數眾多的組織型駭客,而且因為網際網路的黑色產業鏈已經形成,駭客可以利用木馬程式盜取QQ、網路遊戲、銀行帳號、信用卡帳號等個人資料,並從中牟取金錢利益,更增加組織型駭客攻擊企業的動機。

面對持續不斷的資安威脅,企業應從最基本的資安檢測做起,以了解當前資訊環境的弱點,並加以補強,從評估、檢測、報告、修補到追蹤,各個環節都要落實,做好基本功之後,才能更有效的執行其他安全防護機制。

如許多主管喜歡透過監視器,查看員工是否專心上班,但在網路上卻可以很輕易的找到某些監視系統的安裝使用手冊,裡面甚至包含預設密碼,如果企業疏忽密碼管理,駭客就可以很容易的坐在電腦前,透過畫面竊取資料。

甚至有企業入口網站在遭入侵後,才發現沒有任何備份及備援機制,導致在重建過程中,花了好幾天才讓入口網站恢復運作,不但影響企業運作,更造成客戶的不便,對企業商譽更帶來難以估計的損失。

因此,企業應該要建立縱深防禦的概念,部署一層層不同的保護措施,如此一來,就不必擔心一旦某防禦機制被突破,便讓入侵者長驅直入、直搗企業核心。無論管理、資料、網站、系統、網路,各個面向都應全部納入安全考量,而且入侵防護系統(Intrusion Prevention System;IPS)、入侵偵測系統(Intrusion Detection System;IDS)、防火牆、身分認證、網路存取控制(Network Access Control;NAC)……等安全防護機制,亦不可或缺。

防止資料外洩 管控措施要落實

但由於不管設下多麼嚴密的防禦,都只能降低資安風險發生的可能,資料外洩的可能性無法降到零,加上個資法修正後,企業必須承擔更大的資料外洩責任。事實上,來自內部人員的資安威脅,其實要遠大於外部人員。根據美國CSI/FBI的調查,內部洩密對大企業造成的損失,每年平均為270萬美元,而外部攻擊平均為5萬7千美元,差距近50倍,也顯示出內部洩密造成的損害,遠大於外部攻擊。

為了讓資料即使外洩,都不會造成企業損失,或承擔法律責任,未來有關資料加密的技術,勢必將成為資安管理非常重要的環節。如利用目前已廣泛用於影片、音樂、遊戲、電子書等產品的DRM技術,也可以用於文件控管,讓企業資訊可以在對的時間,讓對的人分享,即使外洩,取得資料的人也無法使用,使用者無論是內部員工、出差、外派人員,或是委外及合作協力廠商,機密文件皆能受到最好的保護。

此外,如何確認存取資料的人是誰?如何確保資料在保存或傳輸中,不被第三者偷窺或竊取?如何確保資料完整、正確、未被竄改?如何確認資料來源,並避免使用者在事後否認曾交換資料?也都是資安管理非常重要的課題。

為確保資料安全,企業的基本資安需求包括:身分識別(Authentication)、資料保密性(Confidentiality)、資料完整性(Integrity)與不可否認性(Non-Repudiation),而這些需求,只要透過可提供數位資訊傳遞安全服務,如簽章、加密等相關應用的PKI,就能獲得滿足。

此外,帳號與權限管理,以及稽核與日誌管理,也都是防止內部洩密的重要管理策略。如帳號與權限管理要按規則做到自動化,人員只要更換部門,帳號權限就會自動改變,以避免特權帳號氾濫。即使是受信任的管理者,也不能長時間使用特權帳號,以免帶來資料外洩的風險。

而由於風險難以杜絕,企業更要做好稽核與日誌管理,才能找出需要修改的地方,讓風險發生的可能性降至最低。企業不能只是注意外患,也要做好內部控管的工作,才能滿足法規上的要求,並同時防護即時的新型攻擊,

提昇資安意識 有效落實資安管理

但資安問題的核心關鍵,還是在於許多相關單位沒有資安意識,如企業高層對於資安的認知不足,法規也落後新進國家太多,以至於企業可以規避責任問題。使用者也必須提高危機意識,建立正確的資安觀念,企業必須積極針對員工,進行資安認知教育訓練。

事實上,雖然大部分的人都了解資料保護的重要性,但還是有很高比率的員工,會將被規範的客戶資料及機密性的公司資料帶出辦公室,而且就在外工作的員工而言,使用方便性的考量遠大於資料隱密性。

因此,公司的資安政策一定要明確,管控措施一定要周全,針對雲端技術、行動工作者等日新月異的工作環境變化,企業一定要好好思考,如何在不影響企業與員工的運行習慣下,透過適當的資安投資,兼顧降低風險及企業營運目標,以追求企業運作的最高效益。

引用自《科技商情

做好稽核及日誌管理 落實資安解決方案


許多政府或金融單位都已經開始重視資訊安全的管理,包括帳號整合、工具應用等,都積極進行集中化的控管及分析,對企業競爭力的影響也日漸提高。但台灣網威資深產品技術經理蔡政霖指出,很多企業常常一窩蜂跟潮流,道聽塗說,而忽略內部是否真的有需求;如果沒有建立正確的資安觀念,做好資訊安全規劃的難度勢必會提高。

帳號權限及稽核日誌管理都要做好

蔡政霖(Novell 台灣區資深產品技術經理)指出,資安規劃策略的依據,包括個人資料保護法、內部與外部威脅及目標,如建置符合IT GRC策略的方案架構,以達成帳號與權限管理自動化目標,符合法規稽核與日誌管理驗證要求等。值得注意的是,由於內部的威脅其實十倍於外部的威脅,許多IT人員也開始感覺到日誌管理的重要性。

解決IT資源與人員的複雜關係,更是IT人員的責任。其中使用者包括員工(駐外、內部、約聘、臨時雇員)、外包合作夥伴、廠商等,要考慮的管理範圍,包括密碼管理、存取安全、權限管理精準度、幽靈帳號、管理成本及作業效率、帳號資料一致性、認證與稽核等。

為了處理前述的複雜問題,蔡政霖認為,唯有透過帳號與權限管理,以及稽核與日誌管理,才能做到有效控管。如帳號與權限管理必須做到集中化的管理,稽核與日誌管理則是要做好保存的動作。

帳號與權限管理要做到自動化

帳號與權限管理首先要按規則做到自動化,如人員只要更換部門,帳號權限就會自動改變,或是按管理者的授權設定,執行自動化規則,如Lock、Reset、同步等。

蔡政霖指出,特殊權限的帳號,包括申請、核可及回收,其實很難管理,因此也可考慮按照申請與可的程序執行自動化,讓一般使用者能在企業入口網站做申請,或是在特定時間使用特殊權限,如安裝軟體、拷貝檔案。但一定要嚴加控管,申請才能拿到,用完就回收。

由於系統管理者等人經常共用特權帳號,往往會造成責任歸屬的問題,也經常帶來風險。因此,蔡政霖指出,即使是受信任的管理者,也不需要長時間使用特權帳號,如果沒有制度妥善管理,將會帶來非常大的風險。

做好稽核與日誌管理 才能釐清責任

蔡政霖根據Gartner Best Practices,建議企業在管理特權帳號時,要注意的重點,包括:減少特權帳號數量,以及持有特權帳號的使用者數量,只要能滿足作業需求即可;限制特權帳號只能在特殊的情況下使用;減少「共用」特權帳號的數量,以及使用的機會;不同類型的帳號,應該要透過自動化,有不同的作業流程,以控管特權帳號和密碼的使用;建立監控稽核機制,釐清責任,符合法規。

最重要的就是落實「最少權限原則(Principle of Least Privilege)」,最少的權限才是最安全的。此外,整體方案設計還必須考慮是否符合資安稽核的帳號管理、主機權限與稽核歸管理、日誌保存與即時安控管理。蔡政霖強調,由於風險難以杜絕,因此一定要做好稽核與日誌管理,才能找出需要修改的地方,讓風險發生的可能性降至最低。

蔡政霖指出,有了稽核與日誌管理的配合,可以有效補足並延伸帳號與權限管理方案中,有關稽核與報告的功能與視野,是想要落實資安政策執行的企業,值得參考的方向。

引用自《科技商情

資訊安全與企業營運的平衡


企業/組織的營運目的,不外乎獲利或。為此,許多企業都會努力改進營運模式,近幾年來企業正計畫、甚至已經進行私有雲或虛擬化的原因,就是為了設法達成企業營運的目的。Check Point台灣區總經理馬勝彰指出,根據Information Week及Morgan Stanley的統計資料顯示,超過28%的企業已經導入雲端技術,計畫導入的企業也已超過30%。

漏洞百出的網路事件

但馬勝彰(Check Point台灣區總經理)也指出,網路世界漏洞百出。根據Gartner的調查,74%的企業使用的Web 2.0應用都缺乏修補程式。而實際上,有81%發生資料外洩的公司,其實不符PCI規範;外寄郵件發生法律財務或商譽風險的企業達20%,更有31%的公司因為資料外洩而被客戶終止往來關係,都已經證明資安事件已經開始影響企業營運。

馬勝彰強調,資訊安全雖是企業防弊手段,但是資訊安全不只是資訊安全產品/技術的集合。因為資訊安全環境最大的挑戰是管理複雜的資安環境,其次則是資安政策的執行,再其次才是防止因外在攻擊所造成的資料外洩,及防止內賊竊取機密資料。由於管理複雜資安環境的需求每年都會成長,馬勝彰建議,企業應該要讓資訊安全融入業務流程,包括以業務目標為導向的政策,以人為中心的資訊安全,及單一集中的管理制度,才不會讓資訊安全措施影響企業的運行。

資安管理也要人性化

但事實上,在很多資安解決方案中,就算IT人員制定了黑白分明的政策,但政策卻未必能配合員工真實的使用情況,如員工的連線行為一旦違反資安政策而導致無法連線時,不斷的呼叫IT人員,不但造成IT人員疲於奔命,甚至可能遭致不少的抱怨。

若但如果IT人員將政策恢復成監控模式,馬勝彰也不認為這種作法適當。以資料外洩為例,除非是在外洩時正好有人在監控,才可能即時阻止。但資料外洩常常都是在事件發生後幾個月才會被發現,如果要回溯發生過程,往往要從幾千、幾萬個資訊中找出,很難真正做到查詢的動作。

詢問、告知、限制 減少管理衝突

為了讓資安管控不會阻礙業務的進行,馬勝彰建議IT人員在執行政策的同時,要了解員工的需求與習慣。首先要做好的是詢問(Ask),但不是要用人去問,而是要利用軟體做系統化的詢問,讓員工在執行任何應用前先做詢問動作,與員工做最即時性的溝通。如員工用Skype時,系統會自動警告將會監控,員工可以回答使用原因;監控系統留下記錄,可作為事後訂定政策。馬勝彰指出,IT人員只要能蒐集到終端使用者需求,就可以作為依據,主動與其他部門討論資安政策。

其次,則是要做到告知(Inform),員工在使用特定軟體時,系統會做即時風險提醒,並配合人性上的控管,教育員工可能的風險與使用政策。最後才是限制(Limit),有限度的使用以節省資源。員工只能在必要時使用,但會限定在一定的範圍(如時間或頻寬)。馬勝彰認為,這種作法比較人性化,可以減少執行上的衝突。

資安投資要顧及企業營運目的

馬勝彰建議IT人員,針對資訊安全投資一定要好好思考,影響或改變企業與員工的運行習慣程度有多大?導入前的規劃與導入後的教育訓練,其時間與金錢成本有多高?管理成本因而增加或減少?這些都是會影響企業追求獲利目標的要素,也是每一位關心企業資安的IT人員必須思考的課題。

引用自《科技商情

曉劇場第六號年度製作《穢土天堂》


曉劇場第六號年度製作《穢土天堂
 
從下水道陰暗潮濕的原始生活中解放,
接受文明的啟迪;
下水道人擁有對未來最燦爛美好的想像,
殊不知文化的改變與遷徙,
實為一種悄然的慢性屠殺。

劇情介紹:
灰暗潮濕的下水道中,留有一群過著原始生活的住民。一個地上社會人偶然在錯綜複雜的管線中發現他們,為他們開啟現代文明的曙光。現代衛生醫療措施、優雅的禮儀教養,「可憐的下水道人,他們過著這樣骯髒、落後的生活。」

地上社會人發起了一系列的社會援助活動。傳聞下水道中蘊藏稀有的白大麻,更加速了援助活動的進行。但尋寶、探奇的風潮減退後,下水道人又再度被遺忘在地底下。生活與教育的改變,使他們無法再適應下水道的生活而感到痛苦萬分。當時並未依循社會風潮改變的一位智者,為了帶領下水道人走出陰霾,將採取什麼樣的策略,而地下社會的未來又將如何發展?

演出時間:
12/16(五)、12/17(六)、12/18(日)
週五晚上19:30
週六下午14:30(演後將舉行座談會),晚上19:30
週日下午14:30(演後將舉行座談會)

演出地點:華山1914文創園區中2館 果酒禮堂(台北市八德路一段1號)

票價:500元(兩廳院之友、學生9折優惠)

※早鳥好康報!10/15前購票享8折優惠
※憑2011曉戲節演出票根,獨享85折優惠
※華山藝思卡9折優惠

購票請至兩廳院售票端點、全省7-11、萊爾富
或上兩廳院售票網
購票專線0953-186-507葉小姐

製作人:李孟融︱執行製作:葉育伶︱舞台設計:李孟融、鍾伯淵︱燈光設計:馮祺畬︱服裝設計:賴虹君︱音樂設計:陳明儀︱平面設計:林恩祈︱攝影:鍾伯淵︱導演/劇本創作:鍾伯淵︱演員:吳言凜、曾珮、徐啟康、黃意文、楊朵

演出單位:曉劇場

指導單位:行政院文化建設委員會

協辦單位:華山1914文創園區、曉劇場藝文空間

贊助單位:財團法人國家文化藝術基金會

2011年11月25日 星期五

「password」駭客盜用密碼榜首


〔自由時報記者陳炳宏/綜合報導〕資安公司SplashData分析上百萬組被盜用的密碼後,發現美國人最常用的密碼前五名分別是「password」、「123456」、「12345678」、「qwerty(鍵盤第一排由左至右的六個英文字母)」、「abc123」,password的字母o改成數字0,也名列第十八名。SplashData建議,如果正在使用排行榜上的密碼,不要猶豫,趕快換一個。
密碼進排行榜 快換
SplashData公司執行長史蘭(Morgan Slain)表示,雖然一直鼓勵大家用複雜一點的密碼,但是民眾好像還是習慣用簡短又好記的密碼;如果密碼是一般常見的單字,或比較短的單字,駭客只要多試幾次,就可輕易破解。
史蘭建議,如果真不想被駭,不妨利用一些很好記的英文句子、中間空白或加上底線,就會變成不好猜的密碼,像「eat cake at 4!」
如果是中文使用者,許多網友建議在英文模式下,用慣用的輸入法,輸入有意義又好記的詞,比如用注音輸入法在英文模式下輸入「我愛吃大蒜」密碼會變成「ji394t 284nj04」,這樣的密碼經密碼檢測器確認,是一組頗具複雜度的密碼。

2011年11月23日 星期三

解決微軟新注音輸入法會當機的問題

今日小編的女友發生了只要一打中文就會當機的狀況,正當打算重灌系統,剛好被小編找到且測試無誤的解決方法,在此分享給大家,希望能幫助到發生與小編女友一樣問題的人。

方法如下:
1.開啟控制台地區及語言選項語言分頁→點選詳細資料
2.設定分頁→先點選中文(繁體) - 新注音→點選屬性
3-1.詞典分頁→取消使用者造詞詞典→點選刪除→點選確定
3-2.點選設定→取消個人化調整→點選刪除→點選確認

2011年11月21日 星期一

實現以DOS搭配批次檔寄信

話說小編我最近一直苦思如何解決用命令模式的方式來實現寄信,經過多日的搜尋與測試,終於讓小編我找到兩個還不錯的解決方案(雖然有一個不支援中文>"<),在此分享給大家!

方案一:
●首先我們先到Blat官方去下載程式
範例說明:
Blat.exe –f sender@domain.com.tw -to recieve@domain.com.tw -subject "Here Is Title" -bodyF Emailbody.txt –server ServerIP –u sender –pw pwssword

詳細指令請見說明,上面幾個指令說明:(都是空一格跟著參數) 
-f:寄件者 
-to:收件者,超過一個請用逗號分隔 
-subject:E-Mail的主旨(標題) 
-bodyF:後面接文字檔,文字檔內容就是郵件內容 
-server:E-Mail Server 位址或是IP 
-u:E-Mail的帳號名稱 
-pw:E-Mail的密碼

方案二:
●請至該網站下載Bmail主程式

範例說明:
bmail.exe -s mail.abc.com.tw -f banks@abc.com.tw -t banks@abc.com.tw -h -a "中文測試信" -b "這是一封測試信件"

參數說明:
-s  SMTP伺服器
-f  From
-t  To
-h  產生Headers
-a  標題
-b  內文

你的部落格為何沒有人氣?


相信很多人都有寫部落格的經驗,有些人寫得也很用心,也寫了一段時間,可是就是沒什麼人氣,你有想過為什麼嗎?

一般來說,如果你的部落格開台半年,平均每天的瀏覽頁次還無法突破100頁,大概很多人就開始心灰意冷了,如果你真的在意格子有沒有人看,建議你檢視一下自己格子的內容。

先捫心自問,你自己會願意多看一眼自己的格子嗎?你對自己的格子風格滿意嗎?對於已經發表在自己格子的文章有興趣嗎?如果你自己都不喜歡,那旁人怎麼會喜歡?再靜下心用個比較客觀的角度來看看自己的格子,假設自己只是一個路過的人,你會想要停留在這個格子上多看一篇文章嗎?

有些人寫部落格可能只是寫爽的,完全不管有沒有內容,然後抱怨為何沒有人氣,不要覺得網路上的虛擬人生會有別於現實生活,然後傻傻地以為廣大的網民都非常飢渴,只要你寫得出東西,就會有人想看;說真的,網路跟實際社會唯一的不同,只是讓你方便用不同的名字出現在不同的場合與別人打交道而已,所以,想要讓自己的格子有人氣,建議你還是從檢視自己開始,文章要言之有物才會有人看。

我也不想高談闊論該在格子裡寫些什麼內容,我僅以自己的格子為例說明,下面是我格子裡人氣最旺的幾篇熱門文章,(註:最熱門的文章不見得就是我最滿意的作品,這就是人生),我也不想查這些統計是從什麼開始的了,文章前面的數字是被瀏覽次數,我粗略的計算了一下 Google Analyst 的統計資料,我發現光前十大熱門文章就為我的格子帶來每個月將近20,000頁次的瀏覽量,目前格子的平均流量約當60,000頁次/月。

仔細看一下我的前十大熱門文章的標題,再配合 Google Analyst 所統計的一個月【關鍵字】資料,你有沒有發覺什麼有趣的事?

下表是 Google Analyst 統計一個月的【關鍵字】資料。
Adwords20100823

全部的熱門文章幾乎都是以資料查詢為主

比如說3.5G、蓮花折法、蕭宏慈、羅蘭索沙發、美簽、機車報廢…等,這些與熱門關鍵字幾乎是相對應的,也說明這些熱門文章幾乎都是由關鍵字搜尋帶進來的。

這表示網頁的瀏覽者大多是以查詢資料為主,比如說瀏覽次數第一名的【各家3.5G行動上網匯率比較】這篇文章,從一開始就一直位居榜首,遙遙領先其他文章甚多,這也表示有很多人對3.5G無線網路一直很感興趣,所以才會有這麼多人經由搜尋引擎進來。

其次,如果可以跟時事沾上邊,流量會馬上大增,之前有一篇關於【蕭宏慈扭腰擺臀教健康】的文章,就是在短時間內累積到極高的流量而衝上第二名;另外,【紙蓮花的折法】、【美簽DS-160表格申請教學】、與【機車報廢】也都有持續的人氣,而這些文章都是教學文,這也印證了寫教學文可以持續網站的人氣;另外【我的室內裝潢經驗 ─ Lerenzo 羅蘭索沙發】 與【桂格美味大燕麥片 嚐鮮 】則是屬於分享文,表示大家對這些商品有興趣,想到網路上看看人家怎麼評價的,這也很符合現代人買東西前先上網查詢口碑的習慣。

搜尋引擎進來的訪客佔了瀏覽來源的 3/4或更高

SearchEngPercentage
這點讓我非常的訝異,一開始我的流量大部分都是從親朋好友或是書籤網站來的,經過了將近兩年的經營,流量來源已經轉變為大部分來自【搜尋引擎】;這也意味著在【搜尋引擎】上應該可以很容易的找到我的文章,果然只要在 Google 下輸入【3.5G比較】就可以找到我的文章排在第一位;在 Yahoo 下輸入【3.5G比較】也一樣可以在第一頁找到同一篇文章。其他的熱門文章也大都可以排在搜尋結果的第一頁。

那為何這篇3.5G的文章可以在搜尋引擎中排得比較前面呢?我認為是因為這篇文章剛好在對的時間出現,又剛好把【3.5G比較】的關鍵字放在標題,當時剛好有越來越多的人在查詢3.5G的資訊,而且當時寫3.5G比較文的幾乎沒有,所以這篇文章就可以出現在搜尋引擎的最前面;再來因為瀏覽人次多了,Google 就認為這篇文章很重要,所以就增加其PageRank的權重,如果有反向連結的話權重也會增加,現在它的PR=2,所以既使現在有其他格友寫許多的3.5G的比較文,但這篇文章還是可以從眾多的文章中脫穎而出,也就是可以排在搜尋引擎查詢結果的較前面位置(註:PR值只是網頁排名的參考指標之一)。

你從以上的文章得到什麼靈感?你知道該怎麼做來增加自己格子的流量的嗎?答案應該已經在你的心裡了,你不需要別人再給你正確的答案。

引用自《發現生活的價值》

增加反向連結(Backlinks)的十個小撇步


反向連結」代表網路上有文章連結到你網站的網頁,反向連結越多,就表示有越多的其他網站連結到你的網點,這通常意謂著你的網站受到越多人的重視,相對地你的網站在搜尋引擎的搜尋結果就機會排得越前面,套句比較專業的術語就是SEO做得比較好。

你可以使用 Google 來查詢自己網站的反向連結數量,只要在搜尋框輸入【link:your-blog-here.com】後按下<Enter>就可以了,這裡的 link: 是運算子,而 your-blog-here.com 則是你的網站地址。 以我的部落格的反向連結為例,就要輸入 link:http://bankshung.blogspot.com。


既然反向連結有這些好處,那我們要如何作才能增加自己網站的反向連結呢?有內容且值得參考的文章當然是取得反向連結的不二法門,但光有好的文章還是不太夠,你還得自己努力去推銷自己的反向連結,這裡教你幾個小撇步,讓你可以增加自己網站的反向連結數量。

1. 鼓勵網友引用或轉載我們的文章時需註明出處及及反向網址

當網友想要引用或轉載我們的文章時,要求他(她)們註明出處及反向網址,雖然是沒有強制性的勸說,但相信人性本善,所以我在部落格的側邊欄有說明文章轉載的注意事項。
另外,你也可以考慮使用 Tynt insight,來強迫網站文章被人複製貼上時會自動在文章的後面加上一段反向連結網址。當然這也是防君子不防小人。

文章轉載01

2. 善用「Yahoo!奇摩知識+」回答網友問題

「Yahoo!奇摩知識+」算是目前經營相當成功的網路知識庫,最重要的是很多人會在那裡詢問、查找資料,當然有人問問題,就得有人回答,你要做的就是到「Yahoo!奇摩知識+」去回答一些與你部落格主題相關的問題,然後把引用出處網址指回到自己的部落格(自己製造反向連結),這樣就會有反向連結。不用擔心你的回答會不會被採納,可以被採納當然最好,因為可以得到較多的流量,即使回答有沒有被採納,你的回答還是會留在知識+的網頁;其次,你也可以在別人已經回答過得問題上再加入意見或是評論,只要你的回答夠用心,還是有機會得到別人的賞識,這樣不但可以增加部落格的流量,也會增加反向連結。

另外,在這裡留下一個有用的反向連結還可能為你創造出好幾個連結,因為有些網路機器人會在這裡搜尋一些有用的資訊,然後整理歸納於其網站之中,無形中就增加我們網站的反向連結。

3. 善用「交換連結」

與知名的部落格作交換連結可以有效增加自己網站的反向連結,尤其是跟發文量較多的網站作交換連結,但是一般知名的網站都會限制交換連結的對方也得要有一定份量,因為交換連結不僅可以創造反向連結,還代表著網頁在 Google 的 PageRank 上給對方的投票,假如交換連結僅帶給某一方較多的反向連結,而另一方幾乎沒有,那吃虧的一方大多不願意吧!交換連結一般都應該本著「對等」的基本原則,比如說某一個網站的交換連結是固定放置於側邊欄,而某一網站僅將交換連結放在某一特定網頁,這樣就形成了不對等,因為擺放在側邊欄的交換連結可以創造出一個以上的反向連結,而固定頁面則最多僅能產生一個反向連結,或甚至沒有。

如果你是一個剛成立的網站,有經驗的部落格主通常不太願意與你的網站作交換連結,因為他(她)需要付出比較多的代價,但是如果你的未來性被看好,那對方應該就比較願意與你作交換連結了,那要如何讓對方覺得你的格子有未來性呢?最好的方法就是在一開台的時候,盡量多發些文章,讓格子的內容稍微有點規模,讓對方可以看到你的強烈企圖心,這樣人家才比較願意與你作交換連結。

一般我會觀察要求交換連結者的幾個項目來確認對方的未來性:

是否購買網址(代表想長期經營)
部落格文章是否已發表超過30篇 (已過了部落格寫作的初步關卡)
是否已被 Google 收入 PageRank 評分 (這個評分代表網頁的重要性權重,Google已經有很長一段時間沒有更新這個數值了,最近聽說會更新,拭目以待吧!)
最近 Google 對交換連結似乎開始有不同的定義並給於不同的 PageRank,如果是性質相當或類似的部落格之間的交換連結會給予加分,如果是性質天南地北的部落格間的交換連結,反而會給予扣分,但還不是很確定就是了。

4. 善用「內部連結」

自己網站的內部連結也可以是反向連結的貢獻者,所以你應該好好整理一下自己的文章,在文章中把自己網站中相關連的文章網址列出來,一來可以方便讀者閱讀,二來也可以增加相關連結。

再來,一般我們在同一個部落格裡都會有一些相關連的文章,或是特別針對某一主題寫成一系列的文章,再把這些文章條列整理成一個目錄專頁,最好還可以在這些相關連或同一系列的文章中增列一個反向連結回到這個整理好得專頁,這樣就有點類似電子書的架構。有些網站特別喜歡這樣的整理文,你應該允許網友把你整理好的這個目錄專頁複製到他們的格子內,讓他們不費吹灰之力就可以有一篇文章,而你也可以得到一整頁的反向連結。就像我的「部落格經營」與「部落格賺錢」這兩個目錄專頁就是這種。

5. 到各網路書籤轉貼自己的文章摘要

你可以到各大網路書籤註冊並張貼自己部落格的文章摘要為書籤,每一個書籤網站都可以為你帶來至少一個反向連結,有些網路書籤更有熱門書籤或是今日推薦書籤的活動,一旦入榜,部落格的流量還可以增加。目前我知道的網路書籤有到 FunPHemiDemiMyShareDeliciousYouPushBloglines等。

6. 善用各大社群網站張貼自己的網站資訊

你也可以透過各大社群網站,如 MyBlogLogTechnoratiTwitterPlurkFaceBook部落格觀察…等社群網站張貼自己網站的諮詢,並張貼自己的網站文章摘要。總之你應該盡量利用一些網路上提供的免費資源來登記註冊你的網站,這樣都可以為你的網站帶來或多或少的反向連結。

7. 參加各大網站排名網站

參加網站排名也是提供反向連結的好地方,以前「部落格觀察」還很活躍的時候,確實也為我的網站帶來不少的反向連結,只不過這個網站最近的經營怪怪的,更新速度又慢,有時候還會連不上,另外一個國際知名的排名網站是 Alexa,,這個網站是屬於網路書店亞馬遜下面的一個網站,目前還經營得不錯,但提供的反向連結就沒有「部落格觀察」來得多,「沒有魚,蝦也好」啦!

8. 留言並留下網址於別人的部落格

這是我最不擅長的動作,大部分的部落格留言都無法產生反向連結,但某些部落格會移除其留言功能上的【Nofollow】,就可以產生反向連結,像本部落格就有移除 nofollow。至於還有哪些格子可以幫你增加反向連結,可能就要你自己多留意了,不過在別人的格子留言除了希望有反向連結之外,也可以增進彼此的友誼吧。

9. 幫知名部落格寫客座文章

幫知名網站寫「客座文章」(Guest Post)這個風氣,在台灣還不盛行,但是在美國可是非常流行,寫「客座文章」的最主要目的通常是為了提高自己的知名度,當然一般接受「客座文章」的格子也都可以有限度的允許「客座文章」作者擺放反向連結回到其網站。

10. 經營多個部落格

多經營幾個部落格,然後互相放上連結。老實說對一般上班族來說,要經營多個部落格有點吃力,但也不是不可能,或許你有些天差地遠的興趣,比如說你喜歡球類運動、又喜歡車子,如果你想同時把這兩個主題擺放在同一個部落格有點突兀,這樣你就應該分成不同的部落格來經營。

引用自《發現生活的價值》

七個方法教你在別人的部落格留言,提昇自己的能見度

相信你或多或少聽過這樣的論調,「在別人的部落格上留言、給意見、寫評論(Comments),可以增加自己部落格的人氣與反向連結」,但為何你明明已經很用力地在別人的部落格上留言了,怎麼就是無法提昇自己部落格的人氣?原因應該出在你用錯了方法,給錯了意見。
這裡提供幾個在別人部落格留言時的觀念與技巧,讓你可以有效增加部落格流量:

1. 留言時記得留下自己的姓名及網址

在別人的部落格上留言後記得要再留下自己的姓名及部落格的網址,這樣網友才有機會循著網址或是你的名字找到你的網頁。大部分的部落格平台也都有提供留言者留下自己的名字及網址的功能,要善加利用。
你在網路世界的名字也很重要,最好是可以取一個讓人家容易記得住的名字。如果可以的話,將自己部落格的名稱當作自己的網路名字也不錯,但前提是部落格的名稱不要太長,否則不但饒口,又可能記不住。還要記得,每次都是用相同的名字及網址,不要變來變去,否則今天叫張三,明天叫李四,人家怎麼記得你的名字。

2. 留言時,使用專用圖像

個人的專用圖像很重要,它跟你的名字及網址幾乎可以劃上等號,有時候甚至筆名字還重要,因為有相同名字的可能友好幾個人,但圖像就只有一個,它就像是你的個人商標一樣,最好可以讓人一看到這個圖像就可以跟你這個人或是你的部落格話連結在一起。
所以強烈建議你應該在所有的網路帳號裡使用相同的名字與專用圖像。有些部落格可以支援Gravatar跨平台的個人大頭貼,建議你可以去申請一個。

3. 提供類似文章的反向網址

當你在瀏覽別人的部落格時,如果剛好自己也有寫過類似的文章,建議你可以在留言時,也留下自己部落格內相關文章的標題及網址,這樣不但可以提供網友們更多的參考資料,也可以吸引到一些網友光臨部落格。

4. 留言最好可以超過 20個字以上

很多的格主應該都有這樣的經驗,「你的文章很棒!」、「很有參考價值」…等這類留言,它究竟代表甚著?如何回覆留言,大概只能說聲「謝謝!」,對於留言量大的格主,大概就只能當作沒有看到留言了吧!
試想!你要是部落格主人,看到這樣的留言,作何感想?如何回應?所以留言的時候,最好可以多寫幾個字,多用點心思,先學會尊重別人,別人才會覺得你是個可以結交的朋友,也才有機會得到回報!
再說,如果你的意見言之有物,別人也會當你是塊寶,會更想到你的部落格看看,不是嗎!

5. 確實讀過別人的文章再留言

有些人雖然經常在別人的部落格上留言,但卻讓人家覺得其留言有點文不對題,原因是這些人通常只看了人家的文章的第一段就開始寫留言了。其實我也常常犯這樣的錯誤呢!在別人的部落格留言,應該重質不重量,雖然一開始留言的篇數可能不多,但假以時日,建立起了自己的威望,相信你將快速的累積人氣。

6. 在別人的意見上留言

其實,我們的留言大多只是部落格的格主會回應,如果可以偶而對一些別人留下來的意見做評論,讓大家有機會可以相交流,也不失為增加認識新朋友的方法。你永遠不知道,新結交一位朋友,說不定可以為你帶來意想不到的好處,但至少可以為你的部落格帶來一個人氣。

7. 留言越早越好

你有沒有發現,當你瀏覽網路文章時,如果想看別人的意見時,是否從第一篇留言開始開起,所以越早留言,就可以多增加自己的留言被閱覽的機會。
大部分的部落格都會在每天的早上發表文章,你可以使用RSS閱覽器之類的工具,訂閱別人的最新文章,這樣當你有興趣的部落格有新的文章,你就有機會第一個看到,也就可以成為第一個在文章上留下意見的讀者。
人其實是互相的,當你願意去瀏覽別人的文章,並留下閱讀的痕跡時(意見就是最好的痕跡),人家就願意反過頭來拜訪你的部落格,閱讀你的文章。

引用自《發現生活的價值》

2011年11月19日 星期六

100資訊月「科技觸動我心」

100資訊月「科技觸動我心」


台北展場
日期:100年12月3日(六)-12月11日(日)
地點:台北世貿展覽一、三館
費用:免費參觀

台中展場

日期:100年12月16日(五)-12月21日(三)
地點:大台中國際會展中心(烏日展館)
費用:免費參觀


高雄展場

日期:100年12月30日(五)-101年1月4日(三)
地點:高雄85大樓國際會展中心
費用:免費參觀

官方網站:http://www.itmonth.org.tw/100itmonth/index.aspx

2011居易科技Vigor進階班(台中場)報名開始


2011居易科技Vigor進階班(台中場)報名開始

因應台灣廣大 Vigor 愛用者的需求並慶祝 Vigor 路由器榮獲2011年台灣精品獎,居易科技從今年7月至11月於台北、台中共辦了五場免費Vigor初、進階班,並受到民眾熱烈迴響。
為了能讓中部的朋友對居易產品有更進一步的應用,居易科技將於12月3日在台中開辦一場免費Vigor Router進階班,歡迎台中的Vigor會員報名。


課程資訊
1.  進階班
         對象:已上過初級班或已瞭解Vigor基礎應用,有意更進一步學習者
         教學目的:VPN、QoS、VoIP、防火牆設定
         時間:2011年12月3日 (六) 14:00~17:00(30人)

2.   課程地點
       巨匠電腦 台中認證分校(台中市中山路27號1F)點此查看地圖

3.  條件限制
         (1)  參加者須成為居易科技 MyVigor會員
         (2)  因名額有限,請盡速報名額滿為止。居易科技Vigor用戶優先安排!!!

4. 報名方式
         報名方式僅採E-mail報名,請由點此下載報名表
         並填妥報名表後,將電子檔寄至 sales@draytek.com.tw,席位確認者會有專人與您聯絡。

關於居易

居易科技於1997年成立,為專精在提供家庭用戶、小型辦公室與中小企業所需之 VPN應用、防火牆、VoIP、無線網路安全與高度整合多功能路由器之全球知名自有品牌商。近年更以VigorIPPBXTM 解決方案系列:具完整VPN防火牆功能的網路電話交換機,滿足商業用戶整合資料與語音之需求。此外更以VigorACS SI中央控管軟體,幫助用戶輕鬆管理Vigor路由器設備的設定,如VPN連線、防火牆設定、提供VoIP服務並降低顧客管理費用。

從Hotmail 密碼外洩事件,看六種密碼被竊的手法


微軟2009/10/5封鎖數千個Hotmail帳號登入,微軟沒有說明受影響的帳號數目,根據已經在被駭客公布在pastebin.com網站上的帳號資料估計超過一萬個。在BBC 的這篇報導中Scam hits more e-mail accounts 指出除了Hotmail 外,Yahoo、 AOL, Gmail 也在受害之列,估計有超過2萬個帳戶密碼已經外洩。目前以曝光的資料顯示,以歐洲用戶用戶為主,且受害者帳戶名稱以英文字母「A」及「B」開首。

該事件初步推論為網路釣魚事件,其實在台灣密碼被竊事件時有所聞,有不少網友反應MSN或是 YAHOO帳號遭盜用,冒用者還傳送照片誘騙他人,甚至冒用受害者名義加入其他聯絡人。更慘的是竊賊把苦主的密碼也改掉了。在相關的論壇留言區裡,類似的受害者留言密密麻麻。難怪當有人留言擁有密碼破解程式時,索取的訊息頓時佔滿了版面。
為了取回自己的帳號所有權他們開始向放出消息者索取密碼破解軟體。有人聲稱忘了密碼(「我的郵箱忽然進不了,我有很多公司資料在內,拜託各位前輩幫幫小弟~真的很急需~萬分感激"。」)最令人憂心的是,萬一真有密碼破解程式流入盜用者手中,那麼將更多人受害。
歸納密碼被竊的手法包含以下六類:

1. 密碼破解工具:50萬種組合,懶人密碼一一破解
網路上存在的密碼破解工具,其目的通常用於破解應用程式,以便非法使用,大部分的密碼破解程式,會內建一長串的密碼和使用者名稱,不斷地測試直到成功為止。據說某些駭客工具,內含50萬個可能的組合,一個由小寫字母組成的4個字密碼,可以在幾分鐘內被破解。
在大陸,QQ網友佔 IM 使用者大部分。一個由當地自產的QQ密碼破解器 Keymake,號稱可以讓忘記密碼或嫌輸入QQ密碼過於麻煩的人,讓註冊碼直接顯示在螢幕上,登錄時無需輸入密碼。不過筆者認為,如果遭到居心不良的人利用,那就後果嚴重了。


2.「網路連線出現問題,請重新登錄」:小心是病毒假訊息
我們也發現,專門偷密碼的病毒也為數不少。如BKDR_VB.DD這個後門程式一旦被執行,它會跳出一個假冒的對話框,謊稱網路連線出現問題,導致 MSN離線,要求使用者登錄輸入使用者名稱及密碼,以恢復連線。一旦不疑有他輸入帳號及密碼,駭客即可能取得你的帳號密碼,可能冒用你的名義,跟你的網友聊天。

3.間諜軟體監聽:第三者悄悄聽,祕密全都錄
間諜軟體中也有不少會監聽 MSN。以 SPYW_MSNMON.260為例,它會攔截 MSN Messenger封包,然後針對特定對象或網路加以監聽 MSN 對談。另一隻間諜軟體SPYW_ACTKLOG.260 除了監控網路使用行為外,並會側錄鍵盤,包含你輸入的 IM 密碼,都會透過 email 傳送給幕後主腦。

4. 掃描Registry Subkeys:暗中收集密碼,傳送特定 eMail
 VBS_PSWNIKANA.A 病毒會遠端收即使用者資料,並會搜尋registry 竊取包含AOL、MSN 在內的帳號和密碼。利用 PHP script 傳送給有心人士。此外,該病毒也會覬覦PalTalk 線上傳訊軟體密碼及線上遊戲Half-Life、CounterStrike的序號。

5. 蠕蟲爬爬走:電子郵件和IM 雙管齊下,內建 IM 密碼竊取工具
WORM_CHOD.B蠕蟲內建密碼回復工具(password-recovery tool),它有能力竊取數種 IM 密碼。該蠕蟲同時以 email 和 MSN 傳播。在電子郵件方面,藉著偽裝微軟及防毒廠商發信,聲稱你的電腦中毒了(Your computer may have been infected),附件以貌似病毒清除程式為名(netsky_removal.exe 、removal_tool.exe),誘使使用者點擊。另一種傳播途徑是偽裝IM身份,發送「看看我剛剛發現的網站」等聊天語氣的訊息,等待使用者接收傳送的檔案。


6. 複製、貼上:網頁惡意程式,專門收集複製貼上的各種密碼 
對於喜歡用複製、貼上(copy & paste)功能輸入密碼的使用者,得特別當心。位於加拿大的Friendly Canadian Search Engine 公佈了如何擷取剪貼簿中的資料製作了示範檔案,只要做簡單的CTRL+C 動作,你就可以驚訝地發現前一秒剛剛複製的資料,下一秒居然出現在陌生的網站。
崔嘻親自做過實驗,速度之快真是令人瞠目結舌。當我在 Word輸入「您的剪貼簿可能遭綁架」,按右鍵複製,然後到該單位所公佈的示範網站,果真出現了「您的剪貼簿可能遭綁架」字眼。還好,我沒有把我的 MSN 密碼拿來做實驗。

STEP1.輸入”您的剪貼簿可能遭綁架”,按右鍵複製
09-10-07 剪貼簿密碼被竊.jpg, 25 KB

STEP2.到示範網站看看發生什麼事,果真出現了”您的剪貼簿可能遭綁架”字眼。
09-10-07 剪貼簿密碼被竊-2.jpg, 45 KB

提醒你,當你把所有的網站會員、網路銀行、線上遊戲密碼紀錄在某個文字檔案夾裡,然後每到一個網站就開始打開那個密碼檔案CTRL+C…接著 CTRL+V。當心剪貼簿中的資料 (利用 CTRL+C 命令) 已經被傳送到遠在地球另一端的電腦中。手動輸入密碼與使用者帳戶資訊,雖然這樣作會多花你幾秒鐘,但是卻能讓保障數位身份的安全

結語:預防密碼被竊,需要綜合性防護 
從上述六種 IM 密碼被竊的 6 種方法中,不難發現單純僅有防毒功能的軟體,已經無法對抗以各種方法,包含:密碼破解工具、後門程式、間諜軟體、側錄程式、蠕蟲、網頁漏洞等方式竊取 IM 密碼的有心人士。因此建議使用者,在選購防毒軟體時,得考慮其中是否含有防毒、反間諜軟體、隱私權防護、防火牆等功能於一體的安全套裝軟體。
現在許多主要防毒及網路安全公司產品,對於各種類型的惡意軟體,幾乎都有防禦功能。因此,隨時修補漏洞、更新到最新的病毒定義碼是確保數位安全二項基本工作。

節錄自《雲端運算與網路安全趨勢》

2011年11月18日 星期五

Google最新演算法更新(Ten recent algorithm changes)


變動又來囉,Google這次不是丟一個特大號的演算法更新,而是一次宣佈了10個演算法小更新。話說小歸小,這些演算法更新還是非常重要的 ...

這篇"Ten recent algorithm changes"宣佈了10個演算法更新,我們先將原文摘錄如下:

Cross-language information retrieval updates: For queries in languages where limited web content is available (Afrikaans, Malay, Slovak, Swahili, Hindi, Norwegian, Serbian, Catalan, Maltese, Macedonian, Albanian, Slovenian, Welsh, Icelandic), we will now translate relevant English web pages and display the translated titles directly below the English titles in the search results. This feature was available previously in Korean, but only at the bottom of the page. Clicking on the translated titles will take you to pages translated from English into the query language.
●Snippets with more page content and less header/menu content: This change helps us choose more relevant text to use in snippets. As we improve our understanding of web page structure, we are now more likely to pick text from the actual page content, and less likely to use text that is part of a header or menu.
●Better page titles in search results by de-duplicating boilerplate anchors: We look at a number of signals when generating a page’s title. One signal is the anchor text in links pointing to the page. We found that boilerplate links with duplicated anchor text are not as relevant, so we are putting less emphasis on these. The result is more relevant titles that are specific to the page’s content.
●Length-based autocomplete predictions in Russian: This improvement reduces the number of long, sometimes arbitrary query predictions in Russian. We will not make predictions that are very long in comparison either to the partial query or to the other predictions for that partial query. This is already our practice in English.
●Extending application rich snippets: We recently announced rich snippets for applications. This enables people who are searching for software applications to see details, like cost and user reviews, within their search results. This change extends the coverage of application rich snippets, so they will be available more often.
●Retiring a signal in Image search: As the web evolves, we often revisit signals that we launched in the past that no longer appear to have a significant impact. In this case, we decided to retire a signal in Image Search related to images that had references from multiple documents on the web.
Fresher, more recent results: As we announced just over a week ago, we’ve made a significant improvement to how we rank fresh content. This change impacts roughly 35 percent of total searches (around 6-10% of search results to a noticeable degree) and better determines the appropriate level of freshness for a given query.
●Refining official page detection: We try hard to give our users the most relevant and authoritative results. With this change, we adjusted how we attempt to determine which pages are official. This will tend to rank official websites even higher in our ranking.
●Improvements to date-restricted queries: We changed how we handle result freshness for queries where a user has chosen a specific date range. This helps ensure that users get the results that are most relevant for the date range that they specify.
●Prediction fix for IME queries: This change improves how Autocomplete handles IME queries (queries which contain non-Latin characters). Autocomplete was previously storing the intermediate keystrokes needed to type each character, which would sometimes result in gibberish predictions for Hebrew, Russian and Arabic.

以上這些演算法更新並不是每個都對我們有嚴重影響,其中應該注意的有:

(1)Snippets with more page content and less header/menu content 搜尋結果將不再只以標題或是選單來顯示網站描述。

(2)Better page titles in search results by de-duplicating boilerplate anchors 重複樣板式的描點文字將不再會影響搜尋結果標題。

(3)Extending application rich snippets 軟體類搜尋結果列表的複合式描述內容將擴展。

(4)Fresher, more recent results & Improvements to date-restricted queries 新鮮內容的選取將更精準。

(5)Refining official page detection 搜尋官方網站的查詢結果將更精準。

這五個類別的演算法更新,有三個是關注在搜尋結果的展現方式,有兩個是關注在列表標的網站的選擇。但是「搜尋結果的展現方式」也同樣會影響「列表標的網站的選擇」,因此可以說這五個演算法更新都算是Ranking Factor (評等因素)的修改。

節錄自《DNS台灣研‧究‧院》

Google對搜索演算法SEO進行重大修改 新鮮內容優先


Google對搜索演算法SEO進行重大修改 新鮮內容優先

據《紐約時報》報導,Google週四宣佈對搜索演算法進行重大修改,為了更好顯示即時搜索SEO結果,Google在新演算法中加重了對時間因素的考量

雖然Google統治搜索領域,但他們現在正受到Facebook、Twitter越來越多的挑戰。相對於Facebook、Twitter的即時資訊,Google目前演算法所得到搜索結果SEO在時間上較為過時。

Google新演算法的推出旨在提高即時搜索結果的品質,這也反映出人們現在已經將網路作為即時資訊流使用的趨勢。比如,用戶如果想搜索一場棒球比分,可能希望得到的是即時比分,而不是上周的比賽比分,而Google現在的演算法經常會提供一些過時資訊

Google每年都會對其演算法進行逾500次調整,但是多數修改只會影響少數搜索結果。Google採用的新演算法名為“新穎演算法”(freshness algorithm),該演算法可以明確不同搜索類型的區別。

Google搜索開發工程師阿米特·辛格哈爾(Amit Singhal)在博客中表示:“根據搜索詞條的不同,該演算法可以確認出一條一周前關於電視節目的搜索結果是否最新,或者一條一周前關於突發新聞的搜索結果是否過時。”

業界專家、搜索引擎領域編輯丹尼·沙利文(Danny Sullivan)表示“Google推出新演算法,這是用戶要求更加高效的獲得新鮮內容的結果。因為用戶可能會想‘如果我想得到一些突發新聞,我需要到Facebook或Twitter上獲得’。”

Google曾在2009年推出了即時搜索服務google.com/realtime,該搜索結果中包含了用戶在Twitter上所發貼子。為此 Google還需要向Twitter支付一定費用,不過雙方的合作在今年7月份到期,雙方未能續簽協議,Google也關閉了該即時搜索網站。

Google上一次大規模演算法調整是在今年2月份,Google當時為了剔除低品質搜索,提高高品質搜索結果SEO的排名。

Google新演算法將會對全球搜索結果帶來變化,但是不會改變Google中的廣告。它將提供延遲數分鐘的最新事件搜索結果,比如新聞事件的推進、奧斯卡頒獎或總統選舉

新演算法使用了Google去年開發的技術,該技術可以迅速捕捉用戶線上發佈的即時更新資訊。它是一項名為“Caffeine”的網路索引系統,可以更加迅速的捕捉線上資訊。

2011年11月16日 星期三

新版個資法更近了

個資法修法代表現代社會的進步,不論是明年開始或是繼續延後,法案終有實施的一天,而就在施行細則草案公布之後,這一天似乎就更近一步,已到了箭在弦上、不得不發的時候 

新版個資法的進度又向前邁了一大步,法務部已完成「個人資料保護法施行細則」,並自上周10月27日起公告施行細則的草案。 

在接下來為期2周的草案公告期間(10月27日至11月9日),各界可對個資法施行細則草案提出意見,若無重大意見提出,則法務部預估可如期在11月底將草案送交行政院審查,那麼新版個資法就可望在明年開始實施了。除非是各界反應了很多意見,或是有人提出重大的意見,基於讓法案更完善,法務部就得再召開專家會議,那麼整個時程就會再延後。 

至今距公告結束還有一個禮拜,尚無法得知各界對於施行細則草案的反應,不過就勤業眾信副總經理萬幼筠的看法,他認為施行細則草案大致上是符合多數人原本的期待。因此即使草案仍有可能會修改,但大體上有些原則已經確立了,所以企業不應再觀望,而應該開始著手評估準備了。 

像是大家先前關切的問題之一:告知當事人是否只能採取書面型式?在施行細則草案規定:「得以書面、電話、傳真、電子文件或其他適當方式為之」,因此不限於書面告知,對許多企業而言這無疑是一大解套,但對於沒有掌握當事人的電話、傳真、電子郵件等資料的企業來說,就只能採用書面通知,其所衍生的作業成本可能會很驚人。以臺灣證券集中保管公司為例,他們有8百多萬筆證券個資,若只能以書面通知取得個資使用同意,那麼光是取得同意這件事,起碼就需要3億元以上的成本。 

另一個大家關切的問題:以電子文件取得個資使用同意,是否需要搭配電子簽章才有效力?所幸,電子簽章的主管機關──經濟部商業司表示,依據電子簽章法第4條,只要電子文件的內容可以完整呈現,日後亦可查驗,經相對人同意都可視為書面同意。因此若以電子郵件方式告知當事人,就不需要搭配電子簽章。除非是該電子文件依法令規定是要簽名或蓋章,才需要加上電子簽章。 

至於企業該如何落實個資管理,才能確保已善盡個資保管責任?個資法施行細則依照PDCA(Plan–Do–Check–Act)的持續改善方法,定出了11個企業應著手的面向,包括: 

● 成立管理組織,配置相當資源 

● 界定個人資料之範圍 

● 個人資料之風險評估及管理機制 

● 事故之預防、通報及應變機制 

● 個人資料蒐集、處理及利用之內部管理程序 

● 資料安全管理及人員管理 

● 認知宣導及教育訓練 

● 設備安全管理 

● 資料安全稽核機制 

● 必要之使用紀錄、軌跡資料及證據之保存 

● 個人資料安全維護之整體持續改善 

此外,Log檔(軌跡資料)也被納入個資保護範圍,個資法施行細則第5條規定:「個人資料檔案包括備份檔案及軌跡資料」。因為透過Log檔的資訊,再輔以其他參考資料,有可能還原當事人的個資。所以,企業應當保護與管理的電子資料,就不只是各式檔案、資料庫、備份資料,連Log檔也不能例外。 

這些對於企業都是很大的挑戰,尤其是新版個資法所適用的範圍,幾乎涵蓋全數企業,不論規模大小,只要擁有個資,就必須遵守個資法的規範。這個衝擊之大可想而知,因為就連大企業都還苦惱著到底該做到什麼程度,才能達到善盡良善保管之責,更遑論為數眾多的中小企業。 

個資法修法代表現代社會的進步,不論是明年開始或是繼續延後,法案終有實施的一天,而就在施行細則草案公布之後,這一天似乎就更近一步,已到了箭在弦上、不得不發的時候了。 

吳其勳/iThome電腦報周刊總編輯

2011年11月15日 星期二

這是真的


【表演工作坊】2012年度演出 
繼「音樂+戲劇」的《彈琴說愛》後 
導演丁乃箏對「舞蹈+戲劇」的全新狂想 
現代愛情故事 
這是真的》 
七十世代的愛情總體驗 
實力派演員 時一修、劉美鈺、謝盈萱   
明星舞蹈家 陳武康、蘇威嘉、葉名樺 

穿越時空 
穿越語言 
穿越結構 
愛 
在等待中 
在機場裡 
在銀行內 
在補習班 

臺北 城市舞臺⊙ 2012年2月25日至26日 
再現舞臺魅力!


演出日期/Date
2012/02/25(六)19:30 馬上購買
2012/02/26(日)14:30 馬上購買

地點/Venue

台北市社教館城市舞台 ( 台北市八德路三段25號 ) 

票價/Price
$600~2500

編劇、導演⊙ 丁乃箏
藝術總監⊙ 賴聲川
演出⊙ 時一修、謝盈萱、劉美鈺、陳武康、蘇威嘉、葉名樺
副導演/視覺統籌⊙丁雲海
舞臺設計⊙王孟超
燈光設計⊙簡立人
編舞⊙ 陳武康、蘇威嘉、葉名樺
高空技術指導⊙王光華
技術總監⊙斯建華
舞臺監督⊙ 黃荷景

監製⊙ 丁乃竺
製作人⊙ 謝明昌

2011兩廳院耶誕點燈


2011/11/26 晚上七點 兩廳院 免費入場 
2011年即將進入尾聲,大小朋友最期待的耶誕節即將來臨!
兩廳院將於生活廣場安排多元形式的演出,讓大手牽小手,沒有拘束的享受聖誕佳節的歡愉氛圍;現場並安排有獎徵答,讓台下的孩子們有參與的機會。而大家最期待的聖誕樹也會亮麗登場,並進行絢麗的點燈儀式,為整個活動帶起高潮。
兩廳院邀請大家一同點亮初冬夜空下最溫暖、綺麗的聖誕狂想,享受耶誕點燈的幸福時刻。


演出團體介紹:
Soy La Ley古巴爵士樂團
承襲古巴音樂傳統的樂團,秉持融合爵士與古巴音樂的初衷,在拉丁節奏中注入即興爵士樂。團長徐崇育畢業於紐約大學爵士演奏碩士,亦是紐約【Sarah Y Su Cachito】古巴樂團創始團員之一,自2008年起定期於紐約各地演奏傳統古巴音樂和拉丁爵士。 演出人員:低音提琴/徐崇育、長笛/蔡子琪、鋼琴/林正憲、拉丁定音鼓/林森元、拉丁手鼓Bongo/宋輔仁、拉丁手鼓Conga/趙貴民、長號/Nick Javier


Voco Novo人聲樂團
為目前台灣A cappella團隊中少數的跨界團體。榮獲【2010台灣國際重唱藝術節大賽】《漢光獎最佳演唱獎》以及《最佳編曲獎》,及【韓國首爾2010 Seoul International A Cappella Festival 國際賽】《最佳主唱獎》,今年10月再度獲得【2011台灣阿卡貝拉大賽】金牌獎,以及《漢光獎最佳演唱獎》、《最佳編曲獎》。
演出人員:女高音/李彥蓁、女高音/劉郁如、男高音/黃欣偉、男中音/陳至翔、男低音/翁淳逸


極限打擊樂團
由台灣頂尖的打擊樂手組成,團員都來自台灣各大知名樂團,演出風格包括爵士樂、非洲樂、拉丁樂。


Elvis舞蹈團體
由專職舞蹈教師組成的艾維斯Elvis舞團,舞者多半受過芭蕾舞、民族舞、街舞等專業訓練,擅長互動式舞蹈帶動全場氣氛,是各大企業邀約的熱門舞團。
(主辦單位保有節目異動權)

「希望之樹,百年之光」
TREE OF HOPE – We Are Light.
2011,民國百年,希望的樹,我們是光,祝願百年未來,
希望的樹,以100盞節能LED燈,象徵10000人贊助的愛心,
每百人認養捐贈節能燈,就會在希望的樹上亮起一盞光明燈,
請上網參加點亮光明燈的活動,推廣節能減碳生活的新概念,
每一顆小小善心的閃亮,都會帶給弱勢團體溫暖的愛與關懷。
Merry Christmas and Happy New Year!
網址:www.areyoulight.net
FB粉絲團:http://www.facebook.com/AreYouLight
FB粉絲團QRcode

2011台中國際花毯節暨新社花海行


2011台中國際花毯節暨新社花海行今(4)日在新市政大樓舉行記者會,縣市合併之後,擴大舉行新社花海與國際花毯節活動,活動將在11月12日盛大開園,19日舉行花海嘉年華,至12月11止,共30天的展期。台中市長胡志強表示,今年一定要竭盡全力辦好花毯節,12日開始開放,交通將加強輔導與管制,拜託民眾多搭乘接駁車,特別是周末可以考慮騎腳踏車,最健康、最愉快與最能享受大地之美,希望做到每一個去看花海的遊客,都能夠眼花撩亂、「新」花怒放,把記憶留在心裡,把花印在心房帶回去。

胡志強表示,今天大家都應該是笑容滿面,也應該都比昨天更花心,因為市府要辦理花海系列活動,花海系列活動已經變成臺中一個重要的節慶活動,每年參觀的遊客不斷增加,今年重新準備,加重在各方面的規劃與努力。

胡志強逗趣的指出,他和種苗改良場長黃維東都為了將花海辦好都失去「髮海」,他搞不懂農會的人都很認真為何都沒有掉髮,今年的花海他自己開會都不下3次,開的工作會議不下10幾次。

「台中國際花毯節暨新社花海行」即將於本月12日登場,由臺中市政府觀光旅遊局、六區農會(新社、東勢、石岡、和平、太平、大甲)與農委會種苗改良繁殖場共同努力下,分仙履奇緣館、蕨黛風華、阿木懷森館、農村好幸福館、幸福圓夢館及「樂活耕院」休閒農業館等六大主題館及五大體驗區,以及32公頃新社花海大地景,精彩可期。
交通局推出免費「假日賞花接駁車」,計有從北屯區發車的紫線、豐原區發車的綠線和新社中興嶺發車的藍線,平均20至30分鐘一班車,另擬規劃於東勢河濱公園另開闢一條接駁車路線,方便遊客搭乘。

搭接駁車的民眾可拿到農業局所提供當季水果及花海活動摺頁,內含43家新社地區著名的民宿、田園咖啡及香菇等特產店家提供好康優惠,觀光旅遊局建議遊客可安排二天一夜的行程,體驗中市山海花都的獨特景緻。

花海會場在活動期間將實施交通管制,自100年11月12日(六)起至12月11日(日)止,上午8時至下午6時,共計30日。交通管制措施包括有「行人徒步區」(禁止車輛通行)、「單向行車管制」、「車種管制」等。

2011年11月14日 星期一

微軟 TechNet 教學短片

微軟 TechNet 教學短片

◎虛擬化
http://technet.microsoft.com/zh-tw/gg477422
◎Windows Server
http://technet.microsoft.com/zh-tw/dd181748
◎SQL Server
http://technet.microsoft.com/zh-tw/dd365152.aspx
◎SharePoint Server
http://technet.microsoft.com/zh-tw/dd126560
◎Exchange Server
http://technet.microsoft.com/zh-tw/dd126565
◎System Center Virtual Machine Manager
http://technet.microsoft.com/zh-tw/dd126570
◎Desktop Optimization Park
http://technet.microsoft.com/zh-tw/dd126575
◎Visio
http://technet.microsoft.com/zh-tw/dd365166
◎Internet Explorer
http://technet.microsoft.com/zh-tw/dd386861
◎Communication Server
http://technet.microsoft.com/zh-tw/dd433028
◎Office
http://technet.microsoft.com/zh-tw/dd551989
◎Windows 7
http://technet.microsoft.com/zh-tw/ee692391

超效能ISO 9001主導稽核員訓練


2011-11-29(二) ~ 2011-12-08(四)超效能ISO 9001主導稽核員訓練
企業經營是一條永續的不歸路,不管您走的平順亦或坎坷,路都沒有回頭,您永遠都得為更久更遠的路早做準備,於此,專業管理人才的培育將是讓您的企業腳步更快更穩的主要關鍵。正當ISO 9001國際標準風行全球,國內小至四、五人的家庭工廠,大至幾千人的上市公司都紛紛導入的同時,根據專業的報導,新版標準將為企業帶來諸多好處:
(1)執行更具彈性
(2)要求更加明確也有所簡化
(3)充分與其他標準相容,便於整合推動
(4)文件與紀錄的要求已予簡化
(5)更能強化系統效益,在這一連串的變革中,不論您的企業是否通過ISO 9001,企業都面臨新的考驗:您是否仍然能夠釐清:「品保制度與您企業經營的關聯何在?」您是否絕對清楚:「對於不同的企業其實都可以有相同的推行效益?」您是否真正明白:「ISO 9001新標準的執行會給企業帶來多少好處,又要花費多少成本?」您是否有效了解:「新的管理系統應該如何加以維持並持續改善?」或者,您只是跟別人一樣地盲目授權,不得要領!一樣地不惜成本,效益枉然!
根據有效的統計分析,國內產業界迫切需要大量的新「ISO 9001主導稽核員」訓練,對內,它是各種舊有管理系統落實、改善與維持的靈魂人物,對外,它則是企業應對未來稽核與工廠評鑑的管理者,在各項國際標準不斷推陳出新,而企業執行管理成本節節高漲的今天,培育企業內部的「主導稽核員」已是每個企業主管的必然責任,也是有效降低ISO 9001、AS 9000、QS 9000、ISO 14001、TL 9000推行成本的管理手段!
此課程,2008年版「ISO 9001主導稽核員」訓練,除了其嚴謹的教學內容,有效的課堂規劃,生動的實作演練,再加上經驗豐富講師的經驗指導,在國內歷經多數產業界學員代表的考驗,評價歷久不衰。此外,本課程更始無前例地結合不受時空限制的超效能電子化培訓平台,在課前課後協助學員問答、討論、解題,有效協助學員通過證照考試,是您接受新版ISO 9001系列標準專業訓練最完整的解答,也是必要而最有保障的抉擇!機會難得!迫不及待!
【報名網址】 http://ewda.tw/modules/ewda_action/action.php?asn=987
【活動時間】 從 2011-11-29 08:30 起 ~ 2011-12-08 18:30 止
【活動時數】 36小時(11/29、12/1、12/6、12/8,各九小時)
【活動地點】 台北市 中正區懷寧街43號5樓(請由佶安美皮鞋店內電梯直接上5樓)
【主辦單位】 中華民國職工福利發展協會
【活動對象】 本會會員、企業負責人、人資、基層主管、中階主管、高階主管、有興趣者皆可報名參加
【活動費用】 20,000元/人 (含講義,考證費,中午供餐)
【聯絡方式】 02-23895966#10楊小姐 #11鄭小姐
【講座名稱】超效能ISO 9001主導稽核員訓練
【講座特色】
1、專案研討:以個案方式深入研討品質系統組織的稽核方式與技巧。
2、稽核演練:親身參與稽核過程,理論與實務並用,掌控稽核重點。
3、課前問卷:預先研讀八大定理和ISO 9001:2008條文,容易掌握討論重點。
4、課後考試:藉由測驗考試綜覽所學,了解自己不足之處,加強學習。
5、講師陣容:均具備國際專業資格認證且實際從事多年稽核工作,稽核經驗豐富。
6、訓練證書:受訓考試合格頒予英國IRCA/ETA認可正統國際訓練合格證書。
7、事件學習:結合事件學習、社群學習、情境複習等電子化平台為學員的學習加分。
8、網路複習:學員在課前、課後可以自由投入網路上的互動學習群組,學習效益百分之百,證照考試更有把握。
9、彈性上課:課堂研習與分組研討採彈性且不受時空限制的安排,學員可以依照自己的優勢時段投入,降低缺課及請假的困擾。
【講座大綱】一、現代化的品保概論、ISO 9001:2008新版條文內容、個案研討、個案練習發表與分享、課前測驗解答、品質文件管理概述。
二、稽核管理概述、分組練習、稽核管理流程、分組練習-稽核執行技巧、評審技巧、個案研讀、個案討論、分組練習-評審查核表。
三、評審執行、評審結果檢討。
四、不符合規定事項報告與跟催(效果確認)、評審結束會議練習與檢討
五、不符合規定事項報告與跟催(效果確認)、評審結束會議練習與檢討
六、如何提出國際資格的申請登錄、如何推行ISO 9001、如何選擇驗證機構、考試。
七、課程檢討與複習案例演練、情境測驗、經驗交流、實例觀摩、模擬考試
【證書範例】

【講座講師一】黃冠雄 老師
現任:
☉ACB登錄核可之資深稽核員
☉英國EAQA登錄核可之ISO9000 & ISO14000主任稽核員
☉法國AFAQ、加拿大QMI登錄核可之ISO9000主任稽核員
☉英國BEP登錄核可之主任審核員訓練講師
☉中華CPM人力資源經理人
經歷:
☉1986 - 1992中華汽車廠任QA工程師
☉1992 - 1994于百能工業任採購組長
☉1994 - 1997于DELL臺灣達隆工業採購處任採購課長
☉1996 - 1998任個人顧問師(輔導ISO9000、ISO14000、QS9000)
☉1998 - 2002于貝爾國際任業務部經理、主任審核員、BEP主任審核員講師
☉2002 - 2003廣州博深知識培訓中心副總經理
☉2003 - 冠雄企業管理顧問公司副總經理
授課實績:
☉具有19年的品保、採購、管理工作經驗。
☉輔導中小企業執行ISO9000、ISO14000、QS9000及企業經營管理。
☉擔任主任審核員、審核場次超過1,200場。
☉具有國際登錄核可主任審核員培訓課程達80班以上的經驗。
☉曾爲臺灣企業:西門子吉梯電信、空軍主計署、國防大學、警政署、華膳空厨、中興 工程顧問、中環電子、臺灣富得巴模具、金寶電子、穩懋半導體、聯僑生物料技、精華光學、中美聯合實業、亨利螺絲、矽統科技、威華鞋業(中山)、達方電子、宏碁(竹科分公司、航太及特殊系統事業處)、復欣企業、環友電子、伸緯企業、金頂實業、(丹陽)鎮威汽配廠、瑞揚機械……等企業進行授課及輔導。
【講座講師二】蔡文欽 老師
(為維護學員教學及學習品質,實際上課人數達11位(含)學員以上,將安排蔡文欽老師同時上課)
☉法國‧貝爾國際驗證(股)公司客戶服務部主管及主任稽核員,曾任國內知名上市公司擔任設計、工業工程、品保及生產主管等職,係國際登錄核可的ISO9001/ ISO 14001/ OHSAS 18001主任稽核員及中華民國品質學會稽核員驗證委員會資深稽核員、ISTO ISO 9001認知考試合格、IRCA 國際登錄核可之主任稽核員,同時為品質管理標準系統國際核可專業訓練的合格講師及品質管理標準系統及環境管理標準之內部稽核員訓練講師,具備豐富的稽核及授課經驗。
【報名優惠】
研習費用20,000元/人(含講義,考證費,中午供餐)
一般學員
上課前三天完成繳費個人享「9」折優惠
上課前三天完成繳費兩人同行享「85」折優惠
上課前三天完成繳費三人以上享「8」折優惠
協會會員
中華民國職工福利發展協會會員享「8」折優惠
以上優惠擇一,不得重複使用

【繳費方式】
銀行匯款:中國信託商業銀行重陽分行 銀行代碼:822
銀行帳戶:4845–4015–6263 帳戶名:中華民國職工福利發展協會
*發票與教材於簽到時領取,請務必先匯款以利發票開立作業;匯款或ATM轉帳,請保留匯款單據。
*線上報名完成時,系統將自動回覆「完成報名」訊息至信箱,請憑信件內「修改密碼」登錄繳款資訊,以便核帳。

【注意事項】
*為確保您的課程權益,請務必先線上報名後再匯款。
*最晚請於開課前一天下午2點前匯款,並登錄繳款資訊,以便確保您的報名資格及發票開立作業。
*匯費及手續費由學員自行負擔,恕不提供刷卡服務及現場繳費。
*開課前一天將以E-mail寄送上課通知,若未收到任何通知,敬請來電確認。
*如報名後不克前往,請務必來電取消報名,將名額讓給需要的學員。
*會員享有課程優惠及“限會員參加”之活動不限場次,歡迎入會。 入會辦法說明
*如遇不可抗力之因素,本協會保留課程之更改權力。

2011年11月8日 星期二

Sophos:Q3全球半數垃圾郵件來自亞洲


第三季全球12大垃圾郵件轉寄國家排名中,亞洲國家就超過半數席次,其中南韓、印度、俄羅斯僅次於美國分居二、三、四名,其他還有印尼、台灣、巴基斯坦等等。 

資安業者Sophos指出,第三季全球過半數垃圾郵件來自亞洲,顯示亞洲地區殭屍網路已成為垃圾郵件轉寄的溫床,台灣在垃圾郵件最多轉寄國家中排名第6。

根據第三季全球垃圾郵件來源統計,亞洲地區佔比從去年同期的30%增加至50.1%,過半數垃圾郵件從亞洲寄出,來自歐洲地區的垃圾郵件明顯減少,佔比下滑至21.4%,其次是北美洲的14.2%及南美洲的10.6,非洲只有3%。

來自亞洲寄出的垃圾郵件大幅增加,反映在全球12大垃圾郵件來源國家排名中,第三季上榜的亞洲國家就超過半數席次。南韓以9.6%僅次於第一名的美國(11.3%),印度以8.8%排名第三,其次為俄羅斯7.9%,台灣以3.8%排名第6,其他還有越南、印尼、巴基斯坦。

從歷史排名來看,美國一直高居全球最大垃圾郵件來源國家,亞洲國家如南韓、印度、越南、俄羅斯也多次名列其中,台灣則在最近兩季進榜。

由於垃圾郵件大多透過殭屍網路散播,發送者控制受感染的電腦組成的殭屍網路發送垃圾郵件,電腦若未安裝防毒軟體或安全修補程式就可能成為殭屍網路的一員。除了寄出垃圾郵件外,也可能被利用對特定網站發動阻斷式攻擊。

Sophos指出,發送垃圾郵件的意圖除商業廣告外,也包括惡意攻擊在內,以木馬程式感染使用者的電腦竊取個人資料,例如敏感的銀行憑證。過半數垃圾郵件來自亞洲顯示出該地區上網人口越來越多,使用者未採取適當保護措施,導致殭屍網路的擴大。

首款TB級SSD硬碟11月上市


日前,美商OCZ(飢餓鯊)發表了第一個以自有控制器技術開發的2.5吋SSD產品Octane(辛烷),更是一舉將SSD儲存容量向上提升至1TB的規格,接近一般硬碟常見的儲存容量。 

今年以來已有多家廠商推出容量高達800GB的SSD硬碟,如Seagate、Memoright等。日前,美商OCZ(飢餓鯊)發表了第一個以自有控制器技術開發的2.5吋SSD產品Octane(辛烷),更是一舉將SSD儲存容量向上提升至1TB的規格,接近一般硬碟常見的儲存容量。

Octane系列SSD搭載雙核ARM處理器,512MB緩衝記憶體,共推出有兩種不同連接介面的產品Octane及Octane-S2。Octane使用的是SATA 3.0介面,讀取速度560MB/s,寫入速度400MB/s。OCZ推出的另一款Octane-S2採用SATA 2.0介面,讀取速度275MB/s,寫入速度265MB/s。兩款產品均支援AES的檔案自動加密功能。Octane系列SSD提供128GB,256GB,512GB和1TB四種容量,目前官方尚未公布售價,預計11月上市。文⊙李秉儒

2011年11月6日 星期日

不是每種應用都適合上雲端,IDC提供評估方法


IDC依應用的商業價值與發布成本區分出不同的IT建置類型,協助企業評估哪些應用適合放上雲端 

虛擬化與雲端運算技術提供多元型態的IT建置作法,企業如何為應用系統選擇最適合的作法,成為新的挑戰。國際分析機構IDC提出一套企業應用的分類方法,協助企業評估應用系統最適合採取哪一種建置作法、哪些應用適合上雲端。

IDC亞太區領域研究團隊副總裁Avneesh Saxena表示,這套分類方法依應用的商業價值與發布成本的高低,區分出不同的建置類型,包括公有雲、虛擬化或委外服務、私有雲,以及傳統IT升級這4種作法。Avneesh Saxena表示,不是每種應用都適合上雲端。

依應用的商業價值與發布成本,區分4種建置類型 
第一種建置作法是公有雲服務平臺,包括電信營運商或服務供應商以虛擬化軟體建置的IaaS、PaaS或SaaS服務。Avneesh Saxena預估,各國政府機構為了降低成本,將成為大規模導入公有雲服務的先行者,而一般企業適合將商業價值與發布成本最低的應用放在公有雲平臺,包括網頁伺服器、郵件伺服器、影音與網路服務、商務社群協作軟體等。

第二種作法是虛擬化或傳統的委外服務,Avneesh Saxena表示,企業可將商業價值較低,但發布成本高的應用系統,透過虛擬化技術整併到單臺實體伺服器,以提高伺服器的使用率,減少硬體設備的數量。另外也可採取委外方式,向營運商租用機房與運算環境,來降低系統購置與維運的成本。適合的應用系統包括文件列印、人力資源系統、應收與應付帳務系統等。

第三種是將傳統IT升級。Avneesh Saxena表示,對於具備高度商業價值,但發布成本較低的系統,企業IT部門改變這些系統底層基礎架構的效益不顯著,企業只需先更新系統操作介面,讓使用者方便瀏覽與操作即可。合適應用包括財務分析、B2B交易系統、視訊會議系統,供應鏈系統、網頁伺服器、郵件伺服器、供應鏈系統、資料分析等。

最後一種是私有雲,這類型的應用通常具備高度商業價值與較高發布成本,屬於關鍵業務系統,包括ERP、CRM、資料庫、銷售自動化系統、決策支援系統、人力資源系統、供應鏈系統、資料分析等。

不同於第二類作法的虛擬化技術,Avneesh Saxena說明,私有雲的硬體基礎架構具備更好的擴充彈性與自動化功能,進而讓IT部門控管IT資源的調度狀況,甚至可依照使用量計價,提高IT資源的使用效率。

Avneesh Saxena表示,許多應用系統同時適合兩種以上的建置作法,表示企業評估該系統時,可同時考量這些作法,甚至可以併行採用。而應用系統開發環境則視應用系統的類型不同,來判斷適合的建置作法。文⊙鄭逸寧


依商業價值與發布成本區分企業應用 
IDC提出一套企業應用的分類方式,依商業價值與發布成本,將應用系統畫分到最合適的IT建置作法,這些作法包括公有雲、虛擬化或委外服務、傳統IT升級與私有雲。



IT建置作法商業價值發布成本
企業應用
公有雲網頁伺服器、郵件伺服器、影音與網路服務、商務社群協作軟體、人力資源系統、應用系統開發環境
虛擬化或委外服務文件列印、人力資源系統、應收與應付帳務系統、人力資源系統、應用系統開發環境
傳統IT升級財務分析、B2B交易系統、視訊會議系統,供應鏈系統、網頁伺服器、郵件伺服器、供應鏈系統、資料分析、應用系統開發環境
私有雲ERP、CRM、資料庫、銷售自動化系統、決策支援系統、人力資源系統、供應鏈系統、資料分析、應用系統開發環境

硬碟供應鏈不樂觀 PC ODM廠恐停工


硬碟供應鏈不樂觀 PC ODM廠恐停工
2011/11/04-顏雅娟、陳瑋洋

硬碟供應鏈斷貨危機愈演愈烈,繼10月通路端面臨缺貨危機,由於受限於硬碟上游供應商復原步調混亂,供應鏈業者估計,從11月開始硬碟缺貨範圍將擴大至PC ODM客戶端,加上先前各PC ODM廠硬碟庫存水位偏低,屆時恐將有部分PC ODM廠面臨停工困境。ODM廠對此則表示,硬碟料源主要由品牌廠掌握,目前並無相關訊息,仍在持續了解中。

泰國水災重擊全球硬碟供應鏈,不僅威騰(WD)、希捷(Seagate)、日立環球儲存(HGST)及東芝(Toshiba)等品牌廠在泰國生產基地持續停擺,上游零組件包括硬碟基板、驅動臂、主軸馬達、甚至內部排線等供應商亦受到波及。供應鏈業者表示,由於上游供應商恢復腳步混亂,繼10月零售通路面臨硬碟斷貨危機,從11月起恐難再繼續供應PC ODM廠所需硬碟。



 
全球5大硬碟廠在這次泰國水患皆受到衝擊,供給端缺口高達50~60%,使得硬碟終端價格急速上揚。供應鏈業者指出,往年第4季全球硬碟供給量約1.7億台,由於泰國水災對硬碟上游及終端組裝廠造成衝擊,各廠在泰國生產基地第4季皆處於停擺狀態,預估單季全球硬碟供給量僅約1億台,預期2012年第1季硬碟短缺情況將更嚴重。

供應鏈業者強調,泰國水災嚴重破壞硬碟零組件供應鏈,其中,全球硬碟主軸馬達龍頭廠日本電產(Nidec Corp.),其位於泰國9座工廠已有7座陷入停擺,目前只能透過提升菲律賓、大陸廠產能,來補救泰國水災衝擊。

在泰國廠生產硬碟驅動臂組件(APFA)的銘異電子,目前2座泰國工廠積水未退,計劃陸續將產能移往馬來西亞廠,然因架設新產線至少需要3個月時間,預估最快要到2012年第1季底才能恢復驅動臂產能。銘異指出,除自身廠房泡水外,由於驅動臂上游鐵片零件供應商Hutchinson亦在這次水災中受損,現正積極尋求第2供應商。

至於硬碟廠方面,威騰在泰國硬碟生產基地佔有60%產能,由於廠房及生產設備泡水,以及上游基板、磁頭、驅動臂、主軸馬達等零組件短缺,日前已全面停產,並預估第4季硬碟產能將大幅下修至2,200萬~2,600萬台,較第3季5,800萬台減少逾50%。希捷在泰國Korat及Teparuk廠雖未積水,然因上游供應鏈遭洪水襲擊,預估第4季硬碟供應量持續吃緊,單季產量預估達4,000萬台。

日立環球儲存同樣受到上游零組件短缺影響,第4季出貨量預估下修至2,000萬台,較第3季減少30~40%。至於東芝目前位於泰國硬碟廠亦暫時停工,並考慮將生產線移轉至其他工廠,預估第4季硬碟產能將減少40~50%。

由於硬碟供應鏈遲無法恢復正常生產及供貨,供應鏈業者估計,11月開始硬碟缺貨範圍將擴大衝擊到PC ODM客戶,不排除部分PC ODM廠將面臨停工處境。值得注意的是,各硬碟廠紛預計2012年第1季出貨恐減少40~50%,最快要等到2012年2~3月工廠才能正常營運,整體產業若要恢復,推估要到2012年第2季末才會漸有起色。

日本超級電腦「京」首創10PFLOPS世界紀錄


「京」在今年6月已取得世界超級電腦TOP500第一名的成績,當時最高運算效能為8.162PFLOPS,現在更進一步通過LINPACK效能測試,成為世界首部運算效能超過10PFLOPS的超級電腦。

 

日本獨立行政法人理化學研究所與富士通共同宣布,由日本政府支援合作研發的超級電腦「京」已通過LINPACK效能測試,成為世界第一部運算效能超過10PFLOPS的京速超級電腦。

「京」在今年6月已取得世界超級電腦TOP500第一名的成績,當時最高運算效能為8.162PFLOPS,而目前更加進化的「京」是由8萬8128個CPU與864個2公尺高機箱組成,理論運算效能11.28 PFLOPS,LINPACK效能測試最高運算效能為10.51 PFLOPS,實際執行效率93.2%,連續運作無故障紀錄為29小時28分,證明京在高速運算下仍能保持系統穩定。

理研表示,京的模擬精度與計算速度對各種計算科學領域的相關研發均有極大助益,例如生命科學與醫療研發、新物質與新能源研發、地質與氣象變動模擬預測、次世代高科技研發等。

日本政府已提撥超過1100億日圓研發「京」,後續研發項目預定為系統分割穩定度測試、軟體相容性測試等,最快在2012年11月就可提供日本國內各研究單位使用。目前規劃的使用方式分為免費與付費兩種,前者必須公開研究成果,後者則可自由選擇公開與否。(編譯/張嵐霆)

Google更新搜尋演算法 影響35%網頁排名


Google強調,不同的搜尋,會有不同的最佳「新鮮度」,這次演算法更新的重點則是在區分使用者搜尋所需的「新鮮度」,預估將影響約35%網頁的搜尋排名。

Google透過部落格表示,去年六月完成的網頁索引演算法Caffeine(咖啡因)已經改版,將依據不同的搜尋目標提供適當時效的搜尋結果。此次改版將影響35%網頁在Google搜尋引擎中的排名。

Google搜尋引擎將會判斷使用者搜尋的目標,以搜尋奧運為例,Google搜尋引擎會判斷目前搜尋奧運的目的可能是2012年的奧運,而非以往的奧運資料。

Google將搜尋目標的時效分為熱門話題事件、週期發生的事件,或頻繁更新的資訊三大類。

熱門話題事件可能搜尋出數分鐘前的媒體報導;週期發生的事件如選舉、企業財報等定期發生的活動,則以最近一次的為主;頻繁更新的資訊如相機、汽車的評論,沒有固定的更新週期,但Google搜尋引擎將提供最新的資訊為主。

不過Google也以食譜為例,表示並非所有的資料都是越新越好。Google強調,不同的搜尋,會有不同的最佳「新鮮度」,這次演算法更新的重點則是在區分使用者搜尋所需的「新鮮度」,到底需要的是多新的資訊。(編譯/沈經)

iThome 2011年IT好書100本總覽


系統與網路管理
. Cloud and Virtual Data Storage Networking
. High Performance Computing
. Analytical Network and System Administration
. 全球最強VMware vSphere 4企業環境建構
. FreeBSD 6.0 架設管理與應用
. 深入Windows核心(Windows Internals第五版)
. Windows7 極上之技
. CCNA 模擬實戰演練(exam 640-802)
. CACTI監控系統實戰白皮書
. Performance Tuning with SQL Server Dynamic Management Views
. Microsoft SQL Server 2008 Internals
. 漫畫數據庫
. Exchange Server 2010 SP1 實戰精粹
. Microsoft Exchange Server 2010 Best Practices

程式開發
. Programming WindowsPhone 7 : Microsoft XNA Framework Edition
. Beginning Android Tablet Application Development
. iOS Programming:The Big Nerd Ranch Guide
. App程式設計入門──iPhone、iPad
. 程式揭秘:從C/C++程式碼探索電腦系統的運作原理
. Design Patterns於Java語言上的實習應用
. Thinking in Java 4/e中文版
. 循序漸進學Microsoft Visual C# 2008 官方版教材
. Perl程式設計第三版
. Pro HTML5 Programming
. PHP網頁大作戰:如何防止駭客入侵您的網頁
. ppk on JavaScript 中文版
. Google Power Search
. Essential ActionScript 3.0

程式設計思維
. 人月神話
. 約耳趣談軟體
. 編程之魂:與27位編程語言創始人對話
. 編程的頂尖對話:閱讀15位軟體大師的核心思維
. 駭客與畫家
. 軟體構築美學
. 重構:改善既有程式的設計
. Patterns of Enterprise Application Architecture
. Implementation Patterns
. 松本行弘的程式世界──成為一流程式設計師的14種思考術
. Clean Code
. The Art of Game Design: Abook of lenses
. 嵌入式系統開發之道:菜鳥成長日誌與專案經理的私房菜
. 恭喜你錄取了! 程式設計師如何贏在面試

資訊安全
. Malware Analyst's Cookbookand DVD
. Security Power Tools
. Linux系統安全防護與建置
. CISSP All in One
. 圖解數位證據:數位證據之法庭攻防

IT 管理
. Manage IT!:Organizing IT Demand and IT Supply
. 最後期限:專案管理101個成功法則
. Peopleware:腦力密集產業的人才管理之道
. 知識管理
. TOC大師高德拉特之可行願景Viable Vision──將營業額變成淨利
. 仍然不足夠:ERP加TOC的企業電腦化新境界
. 世界級管理28堂課
. 系統化運籌與供應鏈管理

商業管理
. Business Model Generation
. 創新者的解答
. 決勝──在看不見的地方
. 思考的技術
. 管理在管什麼
. 致勝:威爾許給經理人的二十個建言
. 世界是平的
. 科技CEO的創新╳創業學
. 哈佛商業評論
. 新創企業之國:以色列經濟奇蹟的啟示
. 白地策略:打造無法模仿的市場新規則
. 免費!揭開零定價的獲利祕密
. 數位記憶革命:未來生活趨勢與10大商機
. 龍捲風暴
. Linux傳奇:讓比爾蓋茲坐立難安的天才
. 開放原始碼
. 皮克斯傳奇
. 資訊焦慮
. 黑天鵝效應
. 有錢人想的和你不一樣
. 一個投機者的告白
. 貪婪時代
. 科技與法律

工作術
. 創意人:創意思考的自我訓練
. 工作大解放(Rework)
. 問對問題,找答案
. 邏輯謬誤鑑識班:訓練偵錯神經的24堂邏輯課
. 裸裎相見:坦率.真誠.自然.熱情-打造成功簡報的關鍵力
. 寫給生存不安的年輕人:突破未來的完全工作策略

科學
. 別鬧了,費曼先生
. Godel, Escher, Bach: An Eternal Golden Braid
. 歐幾里得之窗──從平行線到超
. 空間的幾何學故事
. 數學女孩──費馬最後定理

心靈勵志
. 做最好的自己
. 世界因你不同:李開復從心選擇的人生
. 為自己出征
. 一隻牡羊的金剛經筆記
. 更快樂:哈佛最受歡迎的一堂課
. 不思考的練習

生活休閒
. 不運動,當然會生病!
. 人體使用手冊
. 中國國家地理
. OFF學
. 設計&日常生活
. 基地


書籍提供:十力文化、上奇科技、大塊文化、天下文化、天下雜誌、天瓏資訊、元照出版、世茂出版、日月文化、松崗資訊、奇幻基地、時報出版、時周文化、悅知文化、商業周刊、商周出版、博碩文化、智勝文化、碁?資訊、經濟新潮社、圓神出版、達觀出版、新自然主義、旗標出版、漫遊者文化、臉譜出版、聯經出版