2012年9月30日 星期日

個資法明上路 外洩最高賠2億

個資法明上路 外洩最高賠2億

創紀錄 三讀後逾兩年才施行
〔自由時報記者項程鎮/台北報導〕「個人資料保護法」明天(十月一日)施行,未來個資外洩,最高可求償兩億元、刑度最重可處五年有期徒刑;至於有爭議的「特種個人資料」條款和「一年告知」條款共兩條文,則暫緩施行,將等立院修法通過後再實施。
「個資法」共五十六條條文,立法院九十九年四月二十七日三讀通過,明天將施行其中的五十四條條文,另兩條「特種個人資料」條款和「一年告知」條款暫緩施行。個資法也創下多項紀錄,包括「法案三讀通過後,逾兩年後才施行」,以及「部分條文未施行就準備修法」。

基於公益人肉搜索 不會違法
個資法明天施行後,未來民眾從網路等管道蒐尋資料,並無觸法之虞,例如找出虐貓者等基於公益的「人肉搜索」也不違法;個人部落格及臉書等,原則上可張貼一般日常生活或公共活動的合照或影音資料,只要內容不結合其他個人資料就不會觸法。
但違法蒐集、處理、利用或變造個資,造成他人損害,或者意圖營利,都可處以刑責及罰金,最重為五年徒刑;若難以證明實際損害金額,民眾也可向法院申請求償,每人每一事件五百元至兩萬元,但同一事件總額以兩億元為限;主管機關或所屬縣市政府除可依規定限期改正,也可視情節處以罰鍰。

違法外洩個資 最重處5年刑
在媒體免責條款部分,媒體基於公益目的報導新聞,原則上不必告知當事人個人資料來源;媒體在公開場合、公共活動的新聞報導跟拍,原則上也都合法。
銀行、保險、電信等民間企業擾人的電話行銷也將有法可管。企業利用個資行銷時,須經當事人書面同意,一經拒絕須立即停止行銷,否則將受罰。業者首次行銷時,須支付民眾拒絕行銷的所需費用(如提供免費回郵信封或免費服務電話)。
另外,若購物台、大賣場、網路業者不慎洩漏個資,民眾可以委託公益社團提請團體訴訟、集體求償;若有民眾自認明明沒提供業者個資,卻收到廣告DM,有權要求業者說明,如發現業者違法蒐集可以求償。

特種個資、一年告知 緩施行
全部條文中,引發高度爭議的是第六條「特種個人資料」條款、及第五十四條「一年告知」條款。
其中第六條「特種個人資料」,原條文規定醫療、基因、性生活、健康檢查、犯罪前科等敏感個資,因性質較為特殊,如不謹慎處理恐引發社會不安,或對當事人造成難以彌補傷害,因此原則上不得蒐集、處理或利用。
但法務部徵詢各界意見後,認為不夠周延,發現可處理利用的範圍太狹隘,像學校、計程車行等詢問教師或應徵者有無重大前科,或學校為特殊疾病學生妥適安排活動等,蒐集學生病歷等個資,都可能觸法,因此予以修正,增列「病歷」及規定「為維護公共利益所必要」、或「經當事人書面同意」可蒐集個資。
至於同樣有爭議的第五十四條,原規定本法施行前,間接蒐集個人資料應在一年內完成告知,但銀行、保險等金融業反映,他們動輒需處理數百萬筆個資,原條文規定一年完成告知的期限太短、成本過高,政院也認為過於嚴格,貿然實施對社會衝擊太大,因此刪除一年期限,修正為「處理或利用這些資料前,向當事人告知即可」。

轉載自《自由時報》

IEEE十萬用戶帳密外洩 涵蓋蘋果、Google等員工資料


IEEE十萬用戶帳密外洩 涵蓋蘋果、Google等員工資料

將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,產生之緩衝檔案與日誌檔案容量高達100GB。

哥本哈根大學助教Radu Dragusin發現,電機電子工程師學會(IEEE,Institute of Electrical and Electronics Engineers)網站將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP,內容包含99979名會員的帳號與密碼及其活動記錄,約為全體會員數目41.1萬的24%。

Radu Dragusin表示,這些資料至少在一個月前就已經設定錯誤,在發現錯誤並修正之前,任何人都可以隨意抓取相關檔案,期間該網站網頁伺服器回應3.76億次連結請求,產生之緩衝檔案與日誌檔案容量高達100GB。

網站日誌檔案內含有使用者的帳號與密碼資料及活動記錄,而且這些記錄都是以明碼方式儲存。由於許多人在不同網站使用相同的帳號與密碼,因此這些資料可能導致其他網站資料被竊。一般而言,網站會在數種開放源碼的加密技術中挑選一種來保護帳號、密碼這些重要資料

目前雖然沒有任何證據顯示這些資料已經外洩,但仍無法排除在設定修正之前,駭客已經發現可以隨意取走這些資料。

IEEE會員主要為全球各大科技機構的研發人員,目前已知蘋果、Google、IBM、Oracle、三星、史丹佛大學等單位的員工都在此次可能外洩資料的範圍內,這些使用者的帳號與密碼都可能已經外洩,而且還包含這些使用者在ieee.org與spectrum.ieee.org兩個網站的活動記錄,也包含部分美國專利商標局及IEEE等網域的電子郵件往來記錄。

Radu Dragusin也針對用戶所使用的密碼做統計,發現123456這個密碼使用頻率最高,為271次,之後依序為ieee2012共270次、12345678共246次、123456789共109次。

IEEE透過電子郵件發表聲明,表示該協會已經發現網站日誌檔案設定錯誤及使用明碼記錄帳號、密碼等問題,將徹底調查並加以修正。該協會重視並維護用戶隱私,會通知受影響的用戶,並對此事件對會員及客戶的影響表示致歉。(編譯/沈經)

轉載自《iThome》

2012年9月29日 星期六

Adobe憑證伺服器遭駭


Adobe憑證伺服器遭駭

由於Adobe數位簽署流程非常嚴謹,駭客必須侵入其系統才能簽署惡意軟體,縮遭受進階持續性滲透攻擊(APT,Advanced Persistent Threat),駭客也可能對其軟體的程式碼有所作為。 

Adobe資安工程團隊周四(9/27)表示,他們收到兩個惡意工具程式,以崁入Adobe公司的數位簽署偽裝成Adobe開發的軟體,因此Adobe將撤換該數位憑證,以免被用於其他惡意軟體。

根據Adobe資安團隊資安總監Brad Arkin在9/12發出的Twitter顯示,該公司發現三個惡意檔案在7/25、26兩日使用該公司的數位憑證系統。

Adobe此次更換數位簽署將配合微軟的MAPP(Microsoft Active Protection Program)在10月4日進行,原有之數位簽署可用期限將被縮減,並列於憑證廢除名單(CRL)之內,之後使用該簽署的惡意軟體會因數位簽署過期而被資安軟體封鎖或刪除。Adobe指出,該憑證用於微軟作業系統上的軟體及三個在麥金塔、Windows上執行的AIR軟體,分別是Adobe Muse、Adobe Story與Acrobat.com電腦端服務。

Adobe收到的兩個惡意軟體為pwdump7 V7.1與myGeeksmail.dll,前者可以取出Windows系統密碼的HASH值,也可以藉由OpenSSL程式庫libeay32.dll從靜態網頁連結中取得HASH值,再利用工具或字典將HASH值轉換為明碼。後者為一個惡意ISAPI 篩選器,可以提供微軟網頁伺服器IIS的運作資料,Adobe發現該惡意軟體未被公開過。

由於Adobe數位簽署流程非常嚴謹,駭客必須侵入其系統才能簽署惡意軟體,Adobe也在一個軟體建構伺服器中找到惡意軟體,這意味該公司遭受進階持續性滲透攻擊(APT,Advanced Persistent Threat),駭客也可能對其軟體的程式碼有所作為。

經過調查之後,Adobe判斷只有一款產品的源碼受到影響,但未公布產品名稱,僅表示Flash撥放器、Adobe Reader、Shockwave撥放器及Adobe AIR都沒受到影響。還強調所有產品的程式碼都沒有外洩的跡象。

不過資安公司賽門鐵克有不同意見,由於近期有5個Flash零時差漏洞攻擊出現,該公司曾在研究報告中猜測攻擊者可能已經取得Flash的程式源碼。(編譯/沈經)

轉載自《iThome》

施行細則正式公布,個資法確認10月1日實施

施行細則正式公布,個資法確認10月1日實施

行政院宣布新版個資法正式於10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施,法務部也正式公布新版個資法施行細則,同步於10月1日實施

行政院宣布新版個資法正式於10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施,原本行政院擬取消的第41條中對非意圖營利而違法者的刑責部分,則來不及完成修法,將照常實施,換句話說,自10月1日起,任何人違反個資法都將有刑責。法務部也正式發布了個資法施行細則,共有33條,細則也將同步於10月1日實施。法務部並於9月下旬預告了使用個資的特定目的,以及個資類別的修正草案。

法務部政務次長陳明堂表示,在不逾越母法的規範下,施行細則從4個面向來解釋和補充個資法母法,包括了技術性、細節性、補充性等面向。不過,制定法條時,部分科技性資安議題未列入考量,如雲端個資保護方式等,所以,行政院長陳冲也指示法務部,在2年內重新檢視個資法的適用內容。

在施行細則的第12條第2項也明定了11項企業要採取的安全維護措施,其中第一款的安全維護措施和法務部先前預告的版本不同。原本要求企業要成立管理組織,現在只要求要有專人管理即可

陳明堂解釋,彙整各方建議後發現,管理組織因公司規模大小而有不同,要求規模較小的非公務機關成立管理組織有其窒礙難行之處。因為安全維護措施的重點是要求非公務機關有專門人員可落實個資管理與保護,同時也配合個資法第18條「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項」的規定,因此,最後公布的施行細則決定將第一款的安全維護措施改成「配置管理之人員及相當資源。」

而且,這個施行細則第25條也定義個資法第18條所稱「專人」,只要是「具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員」即可,陳明堂表示,並沒有設定任何學歷或證照的資格或背景,重點是,一旦司法機關要判定公務和非公務機關,是否有因故意或過失而違反個資法規定時,是否有設定這樣的個資專人,就可能是法官進行裁量時的參考依據。

另外一個重點是,陳明堂說,新版細則也放寬了多數人最有疑慮的「書面意思表示」、「告知方式」和「通知方式」的解釋。只要符合電子簽章法規定的電子文件,都可以作為合法的「書面意思表示」。

至於施行細則第16條規定的「告知方式」和第22條規定的「通知方式」,陳明堂表示,為了配合公務與非公務機關實務運作所需,也放寬「告知」或「通知」的方式,除了原本的書面外,還可以增加:言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉的方式,都是合法的「告知」或「通知」方式。

但關鍵在於,陳明堂說:「不論採用何種告知或通知的方式,企業都必須付起舉證責任,證明曾經做過相關的告知或通知。」因為個資當事人都有要求更正與刪除的個資權利,所以,相關的通知或告知方式,並不需要等到對方同意才算完成。

此外,法務部也在9月17日預告發布了新版個人資料保護法的「特定目的及個人資料之類別」,新版本共有181項特定目的,以及134種資料類別,可作為企業利用和處理個資時的參考,利用目的需符合這些特定目的的項目,需要告知當事人時,也須依此特定目的清單和資料類別來說明企業持有的個資和使用目的。文⊙黃彥棻

轉載自《iThome》

個人資料保護法施行細則修正條文全文

個人資料保護法施行細則修正條文全文

法務部正式公布了個資法施行細則修正條文,共有33條,將於10月1日和個資法同步實施

資料來源:行政院公報資訊網
法務部令 中華民國101年9月26日 法令字第10103107360號
修正「電腦處理個人資料保護法施行細則」,並修正名稱為「個人資料保護法施行細則」,定自中華民國一百零一年十月一日施行。

附修正「個人資料保護法施行細則」

部  長 曾勇夫

個人資料保護法施行細則修正條文

第一條 本細則依個人資料保護法(以下簡稱本法)第五十五條規定訂定之。

第二條 本法所稱個人,指現生存之自然人。

第三條 本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。

第四條 本法第二條第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。
本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。
本法第二條第一款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。
本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。
本法第二條第一款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。
本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。

第五條 本法第二條第二款所定個人資料檔案,包括備份檔案。

第六條 本法第二條第四款所稱刪除,指使已儲存之個人資料自個人資料檔案中消失。
本法第二條第四款所稱內部傳送,指公務機關或非公務機關本身內部之資料傳送。

第七條 受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。

第八條 委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。
前項監督至少應包含下列事項:

一、 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
二、 受託者就第十二條第二項採取之措施。
三、 有複委託者,其約定之受託者。
四、 受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。
五、 委託機關如對受託者有保留指示者,其保留指示之事項。
六、 委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。

第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。
受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。

第九條 本法第六條第一項第一款、第八條第二項第一款、第十六條第一項第一款、第十九條第一項第一款、第二十條第一項第一款所稱法律,指法律或法律具體明確授權之法規命令。

第十條 本法第六條第一項第二款、第八條第二項第二款及第三款、第十條第二款、第十五條第一款、第十六條所稱法定職務,指於下列法規中所定公務機關之職務:

一、法律、法律授權之命令。
二、 自治條例。
三、 法律或自治條例授權之自治規則。
四、 法律或中央法規授權之委辦規則。


第十一條 本法第六條第一項第二款、第八條第二項第二款所稱法定義務,指非公務機關依法律或法律具體明確授權之法規命令所定之義務。

第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:

一、配置管理之人員及相當資源
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。

第十三條 本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人自行公開之個人資料,指當事人自行對不特定人或特定多數人揭露其個人資料。
本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法公開之個人資料,指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

第十四條 本法第七條所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。

第十五條 本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

第十六條 依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

第十七條 本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。

第十八條 本法第十條第三款所稱妨害第三人之重大利益,指有害於第三人個人之生命、身體、自由、財產或其他重大利益。

第十九條 當事人依本法第十一條第一項規定向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。

第二十條 本法第十一條第三項所稱特定目的消失,指下列各款情形之一:

一、 公務機關經裁撤或改組而無承受業務機關。
二、 非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而與原蒐集目的不符。
三、 特定目的已達成而無繼續處理或利用之必要。
四、 其他事由足認該特定目的已無法達成或不存在。

第二十一條 有下列各款情形之一者,屬於本法第十一條第三項但書所定因執行職務或業務所必須:

一、 有法令規定或契約約定之保存期限。
二、 有理由足認刪除將侵害當事人值得保護之利益。
三、 其他不能刪除之正當事由。

第二十二條 本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施。

第二十三條 公務機關依本法第十七條規定為公開,應於建立個人資料檔案後一個月內為之;變更時,亦同。公開方式應予以特定,並避免任意變更。
本法第十七條所稱其他適當方式,指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。

第二十四條 公務機關保有個人資料檔案者,應訂定個人資料安全維護規定。

第二十五條 本法第十八條所稱專人,指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員。
公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。

第二十六條 本法第十九條第一項第二款所定契約或類似契約之關係,不以本法修正施行後成立者為限。

第二十七條 本法第十九條第一項第二款所定契約關係,包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。
本法第十九條第一項第二款所稱類似契約之關係,指下列情形之一者:

一、 非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為。
二、 契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為。

第二十八條 本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。

第二十九條 依本法第二十二條規定實施檢查時,應注意保守秘密及被檢查者之名譽。

第三十條 依本法第二十二條第二項規定,扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。
依本法第二十二條第一項及第二項規定實施檢查後,應作成紀錄。
前項紀錄當場作成者,應使被檢查者閱覽及簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。
紀錄於事後作成者,應送達被檢查者,並告知得於一定期限內陳述意見。

第三十一條 本法第五十二條第一項所稱之公益團體,指依民法或其他法律設立並具備個人資料保護專業能力之公益社團法人、財團法人及行政法人。

第三十二條 本法修正施行前已蒐集或處理由當事人提供之個人資料,於修正施行後,得繼續為處理及特定目的內之利用;其為特定目的外之利用者,應依本法修正施行後之規定為之。

第三十三條 本細則施行日期,由法務部定之。

2012年9月28日 星期五

MIS 不可不知的十種常見退信原因


MIS 不可不知的十種常見退信原因

身為公司的 MIS 人員,每天最忙的一件事就是替同仁們解釋信件為什麼寄不出去了,明明寫的就是國中生英文程度的退信訊息,但員工老闆們就是看不懂(最怕還的不是看不懂,而是解釋不聽!).

下面,我們歸納出十種最常見的退信原因,提供 MIS 人員們參考,在與員工解釋時,更加順手

第一名:收件人信箱爆了
 這對方信箱容量已經超過了,你能有什麼辦法,沒辦法的,以下為常見的訊息
 452 Message for **** would exceed mailbox quota
 450 **** : out of quota

第二名:收件人不存在
 對方主機根本沒這個信箱,最常見的是打錯字了,請 User 檢查一下吧,以下為常見的訊息
 451 Requested mail action not taken: mailbox unavailable

第三名:信件過大,收件人伺服器拒收
 一定是 User 的郵件內添加了過大的附件檔造成,此時將造成收件方拒收此封郵件
 421 The Size of the Message Exceeds the Recipient's Size Limits For Incoming Emails
 450 5.2.3 Msg Size Greater Than Allowed By Remote Host

第四名:碰上對方灰名單防垃圾機制
 此一種狀況必須要第二次重寄才會成功,郵件無法即時寄達,不過這要怪收件人主機而不是貴司的主機,以下為常見的訊息
 451 4.7.1 Temporarily rejected. Try again later.
 451 Resources temporarily unavailable. Please try again later.
 450 4.7.1 **** : Recipient address rejected: Policy Rejection- Please try later.
 450 4.7.1 **** : Recipient address rejected: Try again, see ****
 451 DT:SPM ****, ****, please try again
 421 ****, SMTP service not ready

第五名:垃圾信寄太多了
 我們實在不好實話實說,但您垃圾信可能真的寄太多了,收件者主機已經暫時或永久拒收你郵件了,以下為常見的訊息
 421 4.7.0 [GL01] Message from (*.*.*.*) temporarily deferred
 452 Too many recipients received this hour
 421 #4.4.5 Too many connections to this host.
 550 5.7.1 Our System Has Detected an Unusual Rate of Unsolicited Mail Originating From Your Ip Address. To Protect Our Users From Spam, Mail Sent From Your Ip Address Has Been Blocked. Please Visit Http://www.google.com/mail/help/bulk_mail.html To Review Our Bulk Email Senders Guidelines

第六名:郵件主機 IP 無法被反解
 這是 DNS 技術上的問題,在台灣主要 ISP 皆有所謂預設反解,主要發生在學術網路或租用 IDC 機房的時候,必須要記得設定反解,以下為常見的訊息
 421 Refused. You have no reverse DNS entry.

第七名:寄件者郵件地址打錯了
 幫幫忙,連自己的郵件地址都打錯了,信當然寄不出去,請至郵件軟體中做修正,以下為常見的訊息
 451 Domain of Sender Address Does Not Resolve

第八名:收件人伺服器硬碟已滿
 這明顯不是你的錯誤,也不是你能管的,請告訴 User 打個電話去告知一下,以下為常見的訊息
 452 Requested Action Not Taken: Insufficient System Storage
 431 The Recipient's Mail Server Is Experiencing a Disk Full Condition

第九名:就是不讓你寄
 在網路的世界這種歧視依然存在,就是不讓你寄,一句話都不讓說就擋在門外.通常這與你的 IP位置 與 IP 反解的名稱有關
 552 Sorry, We Don't Allow Mail From Your Host
 554 Your Ip (*.*.*.*) Is Dynamic Ip Address, Use Your Isp Smtp Server Instead

第十名:郵件內容被拒
 很多主機目前不接受特定的附件檔,如 .EXE 或 .ZIP 這個時候就會有郵件被拒的狀況
 554 5.7.1 The File Xxx Has Been Blocked. File Quarantined As:b100493a.xxx

轉載自《EVO郵件伺服器工作團隊》

IDC:明年超過4成企業增加IT投資


IDC:明年超過4成企業增加IT投資

IDC今年8 月調查140位臺灣企業的CIO,有4成多企業願意增加IT預算,但也有4成企業明年的IT投資與今年相當 

市調研究機構IDC調查臺灣140家企業的IT高階主管,來了解臺灣企業未來1年的IT策略趨勢和採用動向。調查結果顯示,有40%的企業明年的IT投資與今年相當,但也有4成多的企業願意增加IT預算。

IDC在今年8月時透過電話採訪執行調查,調查樣本為臺灣8大產業,共140間企業中的資訊長、技術長等IT高階主管,其中有29%的樣本來自製造業,而24%為服務業。

從調查結果來看,在2012年,43.9%企業的IT投資重心是老舊資訊系統的轉型和架構現代化,另外有31.7%的企業將IT預算聚焦於維運。但是也有24.5%的企業,將IT預算用於提高業務獲利和改善營運績效上。

而在未來1年內,約40%的企業願意增加預算投入,但也有40%的企業則傾向保留與去年相同預算。IT策略上,超過3成的臺灣CIO第一優先目標是建置改善業務流程的應用系統,第二優先則是加快開發應用系統的速度。在新科技導入策略上,未來1年,超過25%的企業CIO將優先導入企業行動應用,遠高於打算優先導入伺服器虛擬化企業比例,只有1成多的企業明年優先導入伺服器虛擬化。

此外,隨著個資法公布與即將施行,企業對於安全議題也更加重視,25%的CIO將優先強化資安與弱點管理,也有近2成企業打算優先導入DLP資料外洩防護、網路安全或身分認證與存取管理等

高度競爭環境下,企業要利用IT創新商業模式 
IDC不只調查臺灣企業,也調查了亞太區企業的發展情況和IT策略投資。IDC亞太區新興技術首席分析師Claus Mortensen表示,亞太區明年仍舊是高成長的經濟區域,但將會面臨的市場情勢包含通貨膨脹嚴重、人才短缺、跨國高度競爭、國際物價上漲,與外部不確定性增加等。這些情勢也衝擊了亞太區各國企業未來使用IT達成企業目標的策略。

所以,IDC也在今年6月時調查了1,642個亞太區企業,結果顯示香港、泰國、印度等地的企業,都願意積極地利用IT來幫助企業達成目標,但韓國、澳洲、臺灣等地,仍採保守運用的態度。

Claus Mortensen認為,企業IT明年有4個重要趨勢,分別是雲端、行動化、社群與巨量資料,企業未來強化內部IT架構的投資會集中於線上社群媒體、網路系統和商業智慧分析工具等3者上,尤其企業也能運用社群媒體作為B2B的交流工具,Claus Mortensen認為,B2B間的社群媒體是企業可注重的應用方向。

更重要的是,在未來高度競爭發展的經濟環境下,Claus Mortensen建議,企業應該利用IT創新商業模式,才能創造最大的企業價值,「企業無法預測市場的需求會在哪裡,企業該做的是,確保自己擁有最完整且最彈性的資源,當顧客未來的需要浮現時,便能夠即時滿足顧客需求。」Claus Mortensen表示。

CEO也要主動要求CIO替企業創造價值 
Claus Mortensen表示,亞太區的CIO可分為2類,第1種CIO是關注科技趨勢、注重科技技術的CIO,未來他們在企業中扮演的角色會愈來愈重要;而另一則是缺乏遠見,只能專注於IT分內工作的CIO,這些CIO們大都在組織內部不受重視,地位甚至可能比CFO還低,而且無法有效幫助企業增加商業價值。Claus Mortensen表示,臺灣企業的CIO大多是第二種CIO。

所以,Claus Mortensen認為,CIO要試著提升自己的地位,不過,這也不全然是CIO的責任,CEO也該了解IT的重要性,懂得如何善用IT以創造商業價值。他建議,CEO們應該主動走進CIO的辦公室去要求CIO創造價值,並且應該主動讓CIO接觸企業業務範圍,將CIO納入企業決策層,才能以IT幫助企業創造更大的商業價值。文⊙楊晨欣

轉載自《iThome》

Mobile SEO是否有助於產品銷售?


Mobile SEO是否有助於產品銷售?

我們在年初的文章"為什麼行動搜尋(Mobile Search)對商店很重要?"提過,雖然行動搜尋或是直接透過行動設備消費尚不是目前台灣的趨勢,但是在未來的幾年內將會慢慢成為主流,所以如果你的企業具有實體商店或是電子商店,Mobile SEO (行動搜尋優化)將是網站很重要的議題 ... 而現在的狀況如何呢?


在一堆人群中,你一定可以看到很多人使用行動設備進行網路搜尋或是網路瀏覽,現在除了行動設備更普遍之外,都會地區除了可以使用自己的行動寬頻,也有許多免費的Wi-Fi服務,例如Taipei FreeiTaiwan7-WiFi等,因此,Mobile SEO (行動搜尋優化)已經是越來越重要了。

SearchEngineWatch說到,透過Google的分析資料~ Mobile-friendly sites turn visitors into customers,74%的用戶認為如果行動設備可以順利瀏覽,會比較願意在未來回訪該網站,如下圖顯示:



使用者會認為如果無法順利在行動設備上很順利的瀏灠網站,表示這個企業不是一個好的企業,並且會讓使用者很不高興。使用者已經不只在行動設備上瀏灠網站,而且越來越多的使用者在行動設備上購物消費,因此在行動設備上惹惱了消費者,實在不是一件明智的事情。

另外根據Google的其他分析資料也顯示,72%的使用者認為Mobile Friendly(具有適合行動設備使用的介面)是很重要的,並且96%的使用者都曾經有無法順利以行動設備拜訪網站的經驗。

所以大部分的使用者都希望網站可以讓行動設備瀏灠,能夠順利瀏覽之後,才可能透過行動設備進行消費。

如下圖資料顯示,67%的使用者認為讓行動設備瀏灠,比較會讓人想進行消費。並且61%的使用者認為,無法讓行動設備瀏灠會馬上離開到其他網站。其實這個數字算比較保守了,應該99%的人會馬上離開才更貼近事實吧。



無法讓行動設備瀏灠會馬上離開到其他網站之外,55%的使用者還表示會影響到對於品牌的認知,也就是企業網站如果沒有Mobile Friendly(具有適合行動設備使用的介面),會減損對於該品牌的認同。

如下圖顯示了使用者對於Mobile Friendly的需求,例如74%的使用者會希望可以看到營業時間,64%會希望知道如何跟店面連絡,61%會希望查到商品訊息,50%會希望在行動設備上進行購買。



所以使用者在Mobile上到底需要的是什麼呢? 怎樣的樣子才算是Mobile Friendly(具有適合行動設備使用的介面)呢? 整理資料敘述如下:

(1)可以快速的顯示頁面,最好在五秒鐘內。
(2)較大而適合的按鍵,可以在行動設備上清楚的點選。
(3)不需要太多的翻頁就可以清楚頁面資訊,並且翻頁方向要一致,避免上下左右都可以翻頁,或是要讓使用者即看即懂。
(4)快速的得到企業連絡訊息。
(5)可以有click to call的功能,按下鍵之後就能夠通話。
(6)可以順利連接企業的社交頁面。
(7)所有的資訊都不需要太多程序。
(8)清楚的搜尋功能。
(9)可以適合小螢幕的瀏覽閱讀。
(10)不要有太煩瑣的頁面配置。
(11)可以簡便的切換行動頁面與一般頁面。
(12)可以簡便的儲存頁面,待後續的觀看。

以上的12大項,幾乎已經包括了所有Mobile-Friendly所有的重要項目,你可以用來檢視你的行動網路,如果能夠符合所有的項目的話,相信你的行動網站可以替你帶來更多的產品銷售量與瀏覽量。

轉載自《SEO關鍵解碼》

什麼是Author Rank? 是否會影響搜尋引擎排名?

什麼是Author Rank? 是否會影響搜尋引擎排名?

Author Rank就是指對於文章作者的評比,也就是我們之前說過的Agent Rank,也就是評估作者的影響力的程度。這個Author Rank是否會影響搜尋引擎排名? 我們來看看相關參考資料 ...



這篇"How to Prepare for AuthorRank and Get the Jump on Google"說到,如果Google可以分辨網路上的識別,那麼就能夠盡可能的消除垃圾內容。也就是說網路上的內容一定有個產生者,透過對於這個產生者的認識,搜尋引擎就可以對於該內容加以判斷。

而這個判斷的依據就是Author Rank或是Agent Rank,作者並推薦大家去看看AJ Kohn的這篇文章 ~ AUTHOR RANK

我們大致上把相關內容做個說明 ...

(1) Author Rank最早是由2005年的Google Author Rank專利而來,當時就認為判斷產生內容的人可以用來決定搜尋品質。

(2) Google+上的身份識別加上Authorship Markup,就是建立網路上Author Rank的起點。

(3) Author Rank並不是要取代Pagerank,而是兩者可以相輔相乘。

(4) Author Rank與Pagerank一樣,屬於搜尋無關 (query-independent)。

(5) Author Rank會與主題有關,例如專門撰寫科技文章的人,如果偶爾寫的文學內容,則其文學類的Author Rank就會較低,這個概念跟Topic-sensitive Pagerank很類似。

(6) 影響Author Rank會有哪些可能的訊號呢?

作者認為有以下的訊號:
- 作者所撰寫內容的平均Pagerank。
- 作者所撰寫內容被+1或是分享的平均數量。
- 作者所處的社交圈數量。
- 作者與其他高品質作者的互相連接性。
- 作者撰寫的內容被刊登的數量。
- 作者撰寫內容的被投入程度。
- 作者撰寫內容的外部指標數據。
- 作者真實身份的著作影響力。

其實就是我們以前說過的,作者所刊登內容的質與量、作者所刊登內容的影響範圍、作者所刊登內容被傳遞的情況。

雖然未必Author Rank會馬上嚴重影響搜尋引擎排名,但是Author Rank對於搜尋引擎排名的重要程度會越來越增加。而這個Author Rank可不可能會被誤用? 當然還是有其可能,但是因為你必須透過身份識別才能操作,因此操作困難度比Pagerank還要高。如果你只是操縱數百數千個沒有可信度的帳號,對於Author Rank則不會有太大的效果。

如果你還沒有瞭解Author Rank的重要性,最好趕緊採取動作,這個可以說是Google對於社交網路最大的豪賭,因為他希望透過Author Rank來讓大家都使用Google+,並且希望利用Author Rank把實體跟虛擬串連起來。

轉載自《SEO關鍵解碼》

2012年9月26日 星期三

修法解套!個資法拚10月上路

修法解套!個資法拚10月上路

為了讓個資法擺脫窒礙難行的困局,行政院在個資法還沒上路前就提出4項修法,降低個資法對各界的衝擊,力拚10月1日上路,而且沒有任何寬限期

延宕2年多的個人資料保護法,在2010年5月26日由總統正式公告之後,理當接著就公告施行細則,並且開始實施,但是因為個資法的衝擊過大,其中部分條款有極大的爭議,強硬上路將會造成許多產業的業務無法執行,使得個資法還沒上路就形成了一個怪現象:法案都已經通過了,卻窒礙難行,而這一拖2年就過去了。

為了替動彈不得的個資法解套,法務部在今年2月向行政院長簡報時,提議暫緩實施部分有爭議條文,而行政院院長陳冲也指示儘快讓個資法上路。

8月底,行政院通過個資法部分條文修正草案,並決議個資法在10月1日正式上路。行政院希望立法院能在9月的會期,優先審查個資法修正案,並且搶在10月1日正式實施前通過;若無法如期過關,就採取分階段實施,先暫緩實施部分有爭議卻又無法完成修法的條款,將個資法爭議條款的衝擊降到最低,為個資法的上路解套。

行政院提出的個資法修正草案,包含了備受爭議的特種個資的使用限制、間接取得的個資要在1年內完成告知,以及違反個資法的刑事責任。

個資法修法方向
 
現行條文
爭議
行政院提案修法方向
特種個資的限制
6
醫療、基因、性生活、健康檢查及犯罪前科,不得蒐集、處理或利用。
5項特種個資完全不能使用,將造成許多產業無法運作,如保全業、幼教業等。
● 增列「經當事人書面同意」、「維護公共利益所必要」,即可使用特種資料。
● 「病歷」納入特種個資。
1年內完成告知
54
在新法實施前,間接取得的個人資料,必須在1年內告知當事人。
對於擁有大量個資的產業,如金融業、電信業,要在1年內完成告知有很大的困難。
對於在新法施行前間接取得的個資,取消在1年內完成告知的規定,修改為在處理或利用到該個資前,告知當事人即可。
刑責過重
41
違法可處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。
對違法者已可處民事損害賠償及行政罰,對於非意圖營利而犯法者,再加上刑事責任,則處罰過重。
刪除第41條第1項「處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。」的規定。非意圖營利而犯法者,不負刑責;意圖營利而犯法者,仍負刑責。


個資法修法1-放寬特種個資不得使用的限制
個資法第6條規定了5項完全不得使用的特種個資,包括醫療、基因、性生活、健康檢查及犯罪前科,皆不得蒐集、處理或利用。雖然該條款亦有可使用特種個資的但書:法律明文規定、執行法定職務或法定義務、當事人自行公開及學術研究統計之需,但仍會對許多行業的工作造成極大的衝擊。

例如犯罪前科雖屬個人重要隱私,但許多行業為了保障其業務的安全,而必須過濾有犯罪前科的求職者,例如幼教業者為了學童安全,而不願任用有犯罪前科的人,計程車公司為了保障女性乘客的安全,而有必要過濾特別是有性犯罪前科的駕駛員。

然而,個資法卻規定不得使用特種個資,而且這些行業的業務也不符合可使用特種個資的但書條件,因此這些行業連詢問求職者是否有犯罪前科都不行,因為這就屬於蒐集特種個資的行為了。

這將使得個資法的規定變得吊詭,若保全業者礙於法規而無法了解保全人員的背景,無法預防有犯罪前科的人擔任保全,那麼社會對於保全這個行業的信賴豈不是要瓦解了。

綜觀其他國家的個資法,如歐盟或德國,在規定限制使用特種個資的同時,亦允許在當事人同意之下,即可使用特種個資,如此才不致於陷入過度保護個人資料而導致實務上窒礙難行。

行政院針對個資法第6條限制特種個資的修法,就是要增加可使用特種個資的兩個條件:「當事人同意」與「維護公共利益」。此外,修正草案也一併將「病歷」納入特種個資的範疇。

接下來,如果立法院能在9月的會期通過個資法修正草案,那麼如上述行業所遇到的困境,皆能解套。但是若立法院無法在10月前通過修正法案,行政院則打算祭出暫緩實施,屆時將無所謂特種個資的限制,醫療、基因、性生活、健康檢查及犯罪前科等資料,將被視為是一般性個人資料。

因此就第6條的修法結果來看,立法院通過與否將會導致截然不同的結果,一個結果是放寬特種個資的使用限制,另一結果則是無特種個資的限定,這對於企業的業務流程調整而言,就是截然不同的作法了。

個資法修法2-在個資法施行前間接取得的個資只需在利用前告知 
個資法第54條規定,在個資法實施前非由當事人提供的個資,應該要在處理與利用前告知當事人,並且規定在個資法施行開始的1年內完成告知個資當事人。

此一法條是為了讓之前不受個資法規範的企業或組織,可在個資法施行後仍可繼續使用之前蒐集到的個資,同時亦保障人民對其個人資料有知的權利。

然而許多擁有大量個資的企業,如銀行、電信公司紛紛反應,要在1年內完成過去間接取得個資的補告知,不只是要投入龐大的成本,甚至根本會來不及在時限內完成。

考量到企業執行上的困難,行政院提出的修正草案則取消在1年內完成告知的規定,改為在處理或使用到這些個資時先告知當事人。如果立法院無法在10月前通過第54條的規定,則行政院將暫緩實施此一條款,因此,不論立法院通過與否,基本上對於先前間接蒐集到的個資,只要在使用前告知當事人即可。



個資法修法3-違法者若非意圖營利,不課以刑責
個資法的罰則也被認為過於嚴重,違反個資法除了可能賠上最高可達2億元的天價賠償金之外,亦可處以刑責。第41條第1項就規定違反個資法可處以2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金,而第41條第2項更進一步對意圖營利而犯法者,規定加重刑罰,可處5年以下有期徒刑,得併科新臺幣100萬元以下罰金

法務部常務次長陳明堂表示,若違法者並非意圖營利,處以民事損害賠償或行政罰應已足夠,若再課以刑責則不符合比例原則,因此修正草案將刪除第41條第1項;然而,若違法者意圖營利,則無此一顧慮,因此第41條第2項對於意圖營利而違法者的加重刑責有其必要,不會有所更動。

然而第41條有第1項、第2項兩個部分,若立法院無法在10月前通過,則行政院亦無法採取如同第6條、第54條暫緩實施的做法,因為無法只暫緩實施某一法條的其中一個部分。因此,若無法在10月前過關,那麼第41條將會如期實施,也就是說,即使是非意圖營利,違反個資法仍有刑事責任

個資法修法4-取消告訴乃論的規定 
由於個資法第41條規定違反的刑責,因此第45條進一步規定違反個資法屬告訴乃論,若第41條第1項將會刪除,那麼此一告訴乃論的規定也就必須跟著刪除,因此刪除第45條是與第41條連動的作法。接下來若立法院的審查不過關,第45條仍會如期實施。

為了讓個資法能如期在10月上路,行政院終於祭出修法,以兩階段實施來為個資法上路解套。然而,接下來的變數除了立法院的動向之外,人權團體亦主張行政院此舉違憲,這些角力仍牽動著個資法未來的走向。

個資法10月上路,沒有任何寬限期
許多法律施行都有保留緩衝的寬限期,特別是影響到大眾的法律,然而,個資法雖然影響遍及全臺灣,但行政院卻認為個資法延宕了兩年,企業應當有充分的準備時間,因此10月上路將不再有緩衝期,然而個資法至今還要提修法,諸多配套措施也還沒完成,強行上路仍會對企業造成諸多困擾,現在已是企業因應個資法刻不容緩的時候了。文⊙吳其勳

行政院修改個資法的未來發展動向



告知的誤解

告知義務是新版個資法在保護個人隱私權上導入的重要觀念,基於個人對其個資擁有自主控制權,因此個資蒐集者必須在蒐集資料時告知當事人,讓當事人明確了解其個資如何被蒐集,以及如何被使用。

個資法第8條即定義了資料蒐集者必須告知當事人哪些事項,包括: 
1.資料蒐集者所屬單位的名稱 
2.蒐集資料的目的 
3.個人資料的類別 
4.個人資料利用的期間、地區、對象及方式 
5.當事人對其個資可以行使查詢、請求閱覽、製給複本、補充、更正、要求停止蒐集、處理與利用、及要求刪除等權利,以及如何執行的方式。 
6.當事人可以自由選擇提供個人資料時,若不提供個資會影響其自身權益,則必須告知會受到何影響。 

告知並非只有書面告知的選擇
至於告知是否一定要採取書面告知才算有效呢?其實個資法並沒有加以限制,所以只要能夠讓當事人明瞭該告知的事項,至於是採取書面、口頭告知,或是如電子郵件、線上表單等形式,皆為可行的告知方式。

補行告知當事人,不需等到回覆才能使用其個資
個資法第54條規定在新法實施前間接取得的個資,必須要在1年內完成告知,否則就是違法。而行政院研擬的修正草案則是取消1年內告知的規定,改為在使用前告知即可。

法務部政務次長陳明堂表示,就個資法對於告知義務的規定,並沒有規定要等到當事人回覆才能繼續利用其個資,因此對於企業在個資法實施前間接取得的個資,企業只要告知當事人,即可繼續使用其個資,而不需等到當事人回覆。釐清這個意義之後,企業實務上的困難就會大為降低。

不過,告知義務最重要的是要確實做到,企業要證明已履行告知義務則是個重要關鍵,因此不論是採取什麼形式的告知方法,務必要留下記錄,並且保留已告知當事人的證據。

轉載自《iThome》


因應個資法上路,11項企業一定要做的事

因應個資法上路,11項企業一定要做的事

個資法施行細則草案明定了企業必須落實的11項安全維護,這也正是企業因應個資法的第一步 

個資法要來了,行政院拍板決議個資法10月1日上路。但是法條內容卻還沒完全底定,行政院急著在9月送出個資法修正案,希望能在施行前完成修法,否則將暫緩實施爭議較大的2項條款。法條一日無法定案,企業的因應方式就還會有變數。這也是許多企業目前最大的焦慮,不知該如何因應,才能符合法規要求。儘管法條修訂結果尚未定案,企業倒是有一個最佳的因應切入點,那就是個資法施行細則草案要求的11項安全維護措施。

個資法早於2010年5月26日公告,但是依法仍然需要訂定施行細則,來提供更具體的規範。所以,法務部去年10月27日起進行14天的個資法施行細則的預告,經過產官學界討論後,在今年也完成細則修訂送到行政院審定。

依據去年10月公告的個資法施行細則草案版中的第9條,定義了企業應該要採取的適當安全維護措施有11項,包括了‥一、成立管理組織,配置相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、必要之使用紀錄、軌跡資料及證據之保存。以及最後一項是個人資料安全維護之整體持續改善。 

據了解,目前正在行政院審定的施行細則,也同樣要求企業必須完成這11項安全維護措施,不過,針對第一條的內容略有修改,從必須成立管理組織,改為只需要有專責人員負責即可,換句話說,企業也可以指派一個人負責企業內部的個資法相關管理措施。其餘10項措施,則和當初公告的要求一樣,只有字句修飾的調整。

所以,這11項安全維護措施將會是任何企業都必須符合的基本要求。對於還不知從何下手展開因應的企業,正是最好的切入點。這11項不只是細則法規要求的必要做法,也提供了一個施行架構,從個資盤點、個資運用、管理到長期維護的歷程提供了一個循序執行的分段作法。

針對這11項安全維護措施,資策會科法所科技應用法制中心組長郭戎晉認為,企業可以從PDCA循環(Plan-Do-Check-Act,品質管理循環)流程的概念來思考如何建立企業內部的個資保護措施

郭戎晉參與了商業司委託的臺灣個人資料管理與保護制度建立,也輔導過多家企業建立個資保護制度,從這些經驗中,他也針對這11項企業落實安全維護措施提出要注意的重點。


個資法安全維護措施執行建議
個資施行細則草案
11
項安全維護措施
科法中心的建議
1. 成立管理組織,配置相當資源。(此為法務部去年1027日公布的草案版本,據了解,行政院後來審議的版本已修改成配置專責管理人員而非成立管理組織。)
● 資安專責小組或指派資安專員必須獲得高層支持及足夠企業資源。
● 多由法務或IT擔任。
● 可將建置個資保護制度納進營運目標。
2. 界定個人資料之範圍
● 執行各項程序必須先盤點公司的個人資料。可進行隱私權衝擊分析(Privacy Impact Assessment PIA)從中得知哪些資料是關鍵或是敏感資料。
● 可使用盤點表單清查。設計盤點表單時,只需涵蓋需要了解的必要資訊,欄位避免過多或太少,太多會造成使用者的麻煩,太少則又會擔心遺漏資料。
● 盤點表單設計種類可依資料流或部門分類,若企業業務較繁瑣,則適合按資料流分類;反之,則適合按部門分類。
3. 個人資料之風險評估及管理機制
● 風險評估作法1:加權概念作法,針對事故給予分數,將風險分為高、中、低三個層級
● 風險評估作法2:情境式作法,也就是某個風險有相對應的處理方法。
4. 事故之預防、通報及應變機制
● 個資法第12條要求事故發生要通知當事人。
● 提供詢問及申訴管道。
5. 個人資料蒐集、處理及利用之內部管理程序
6.
資料安全管理及人員管理
7.
認知宣導及教育訓練
8.
設備安全管理
● 各項程序皆必須建立成符合法規要求的內部程序書,之後將這些內部程序書集結成冊,即為企業的內部管理手冊。
● 除了須完整保存相關作業程序手冊外,也要隨法規或企業制度變動而適度的更新。
● 這些程序書必須對企業內部公告,企業員工能知道如何取得和查看。企業也該定期舉辦教育訓練。
9. 資料安全稽核機制
● 透過內部稽核或是驗證單位來檢視企業建置個人資料保護的制度是否完善。
● 可聘請專業的顧問輔導公司協助建置。
10. 必要之使用紀錄、軌跡資料及證據保存
● 各項經由內部管理程序所產出的使用記錄皆要妥善保存。
● 若成立文件控管單位更有幫助。
11. 個人資料安全維護之整體持續改善
● 管理階層要定期開會討論,持續改善,而不是做不好才需改善。
● 三種需持續改善的常見情況:
1.
內部稽核後的報告及矯正措施。
2.
法規修改或是驗證單位的要求事項。
3.
企業組織改組或是營運事項更動及其他重大變故。

安全維護措施

安全維護措施1 
企業建置內部的個資保護制度時,必須涵蓋擁有個人資料的各個部門,並且指派專人或是專責小組負責整體的規畫及執行。郭戎晉認為,由誰擔任專責人員對落實與否沒有絕對的影響,最重要的是高層的支持以及擁有企業資源的支持。郭戎晉輔導的企業中,多半由法務部門或是IT擔任這個角色,其中更有企業將建置個資保護制度納入營運目標,作為全體員工共同追求的目標。 

安全維護措施2 
企業進行個資保護制度時,第一步必須先了解企業內部有哪些個人資料,可設計個資盤點表單來清查。設計個資盤點表單時,欄位不宜太多亦不可太少,太多會造成使用者的不便,太少則又恐遺漏個資。設計的方式可依部門分類或是資料流,郭戎晉建議,部門較少的企業適合採用部門分類方式,若企業組織龐雜,部門繁多則適合從資料流的方式區分資料從蒐集、處理到利用等不同階段來分類。此外,企業也可執行隱私權衝擊分析(Privacy Impact Assessment,PIA),能清楚知道找出哪些是關鍵資料或是較為敏感的個人資訊。 

安全維護措施3 
建立個人資料之風險評估及管理機制時,有兩種常見的個資風險評估作法,第一種是對不同的事故給予權重的分數,再將這些風險依分數區分為高、中、低三個等級;另一種作法則是情境式的作法,即為針對不同事故風險提出相對應的解決辦法。 

安全維護措施4 
個資法第12條明定,若有事故發生導致個資外洩,企業須查明後以適當的方式通知當事人。也就是說,企業必須建立順暢的管道,除了通知當事人外,還應該 提供詢問及申訴的方式。 

安全維護措施5~8 
安全維護措施第5條到第8條,要求企業建立個人資料蒐集、處理及利用的相關內部管理程序,以及資料安全管理、人員與設備安全管理,以及認知宣導及教育訓練的維護措施。郭戎晉建議,企業應針對這些項措施撰寫符合法規要求的程序書,各項程序書集結成冊即為企業內部管理手冊。而且,這些程序書除了妥善保存之外,也必須因應法規的變動或是驗證單位的要求進行更新。最重要的是,企業必須對員工公告這些管理內容,讓每個員工清楚了解這些程序書放置於何處,要如何查看。此外,企業應定期提供教育訓練提升員工意識,且針對教育訓練的結果進行評量。 

安全維護措施9 
企業可透過內部稽核或是第三方驗證單位來檢視目前的個資保護制度是否完善以及有無達到法規的要求。 

此外,在建置個資保護制度時,企業可聘請專業的顧問公司進行協助,可讓建置過程更有效率。 

安全維護措施10 
任何透過上述的內部管理程序所產出的記錄,不分紙本或是電子檔,皆須妥善保存。 

郭戎晉表示,企業若是能成立文件控管單位管理紙本文件,對於資料保存會是一大幫助。 

安全維護措施11 
安全維護措施最後一項要求是持續改善,但郭戎晉提醒,持續改善作業並不是因為出現了事故才要執行,企業或多或少都會受到內在或是外在的因素影響,故管理階層必須定期召開會議討論如何持續改善。 

而較為常見的三種需持續改善的情況為:內稽後所產生的內稽報告、法規修改或是驗證單位要求、企業營運事項更動以及其他重大變故。

借鏡BS 10012了解安全維護措施作法

英國標準協會BSI於2009年6月正式發布了BS 10012個人資訊管理系統(Personal Information Management System,PIMS)的標準,來規範個人資料相關資訊系統的做法,BS 10012也常被稱為個資保護標準。BSI在這個標準中,依據PDCA循環流程(Plan-Do-Check-Act,品質管理循環),建立了一套企業保護個資的做法框架。在臺灣也開始有企業為了因應個資法,導入BS 10012的驗證來因應法規。從BS 10012的標準中,也可以找到不少可供企業執行安全維護措施的參考做法。

.成立管理組織,配置相當資源。(此為法務部去年1027日公布的草案版本,據了解,行政院後來審議的版本已修改成配置專責管理人員而非成立管理組織。)
BS 10012條款3.53.6:企業規畫個人資訊管理系統(PIMS)時,必須要有清楚的職責與責任承擔的規範。並且,企業應提供必要的資源來協助建立、實行、運作及維持PIMS
BS 10012條款4.1:企業內部必須有管理高層來承擔企業內部的個資管理責任,亦要指派一位或一位以上適當人員每日監督企業遵循政策的狀況,此人和管理高層可以是同一人;此外,各部門或系統必須指派資料保護代表人,代表該部門或系統並協助監督人員。
2.界定個人資料之範圍
BS 10012條款4.2.1:企業應維持一份個人資訊類別清單。此清單內容應載明使用每個個資類別的目的,也需記錄個資會歷經哪些流程。而在個資法第53條中明定,特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。企業可參考相關的規範進行制定。
BS 10012條款4.2.2:企業的個資類別清單必須明確識別哪些是高風險的個人資訊,且必須要有文件記錄。
3.個人資料之風險評估及管理機制
BS 10012條款4.4:企業進行風險評估可確保企業了解處理特定類型個人資訊的任何相關風險,而其作法包括:評估風險,管理風險,呈報及審查程序。而在大量處理個資的系統或是部門,風險程度可能會較高。
4.事故之預防、通報及應變機制
BS 10012條款4.6:企業必須依照《個人資料保護法》的要求,將其處理個資的細節告訴中央目的事業主管機關。此外,要確保告知的內容是正確且最新的。
BS 10012條款4.13.6c):企業應決定是否將安全事件轉由相關管制機關處理,或通知當事人。雖此條款中明定可由企業自行決定,但在個資法第12條中明定,若有事故發生至少要通知當事人。
5.個人資料蒐集、處理及利用之內部管理程序
BS 10012條款4.7:企業進行蒐集和處理個資前,不論是企業直接蒐集或是透過第三方蒐集,須將符合個資法規範的隱私權公告或是線上隱私權聲明,提供給個資目標者。個資資料保存多久,這些公告與聲明內容與增修記錄也就必須保存同樣的時限。另外隱私權公告或聲明除了必須能夠讓目標對象可以輕易取得之外,並且必須使用淺顯易懂的文字或是其他表達方式讓目標對象能輕易了解。
BS 10012條款4.8:企業除例外情況外,僅能在具體指名之目的下進行個資的處理。企業若有新的使用個資目的必須取得當事人的同意。另外,企業若和第三方或是其他企業分享個資時,必須將相關規範正式載明於書面協議或合約內容中。
BS 10012條款4.9:企業蒐集或是處理個資時,應確保目的是否適當,盡可能地符合最小化原則。
BS 10012條款4.10:企業必須確保被處理的個人資訊維持於最新的狀態,並盡可能防止記錄不正確或有過時的個資。
BS 100124章各項條款中,除條款4.13.1安全控制措施之外,其餘條款皆必須制定程序。企業可參照並制定相關的程序書。集結這些內部程序書就是企業內部管理手冊。
6.資料安全管理及人員管理
BS 10012條款4.13:企業會遇到的相關安全議題,可針對「儲存與處理」、「傳輸」、「存取控制措施」、「安全評估」以及「管理安全事件」等項目來建立施行方針,企業亦可參考ISO 27001資訊安全管理驗證服務中的各條款及各控制項來制定。
7.認知宣導及教育訓練
BS 10012條款3.5及條款3.7a):企業進行企業PIMS規畫時,應備妥適當的人員發展訓練,持續進行教育和意識提升計畫,將PIMS深植於企業文化。
BS 10012條款4.3:教育訓練目的是要確保所有人員在處理個資時能知道自己的職責,了解自己所扮演的角色,以及企業內部相關要求及如何實施。
8.設備安全管理
可參考BS10012條款4.13.2「儲存與處理」、條款4.13.3「傳輸」、條款4.13.4「存取控制措施」的作法。
9.資料安全稽核機制
BS 10012條款5:管理階層要定期或是在發生重大變化時審查企業PIMS。企業內部應挑選適當的稽核員,並制定內部稽核的規畫,而稽核目標為判定企業PIMS是否符合法規政策的要求及確立的程序,以及PIMS是否根據技術要求來實行和維持。而若有規模較大以及處理高風險個資的企業,可考量由外部人員定期進行稽核。另外,ISO 20000標準也針對內部稽核方面有更詳細的解說,企業亦可參考其條款進行內部
稽核活動。
10.必要之使用記錄、軌跡資料及證據保存
BS 10012條款4.11:企業應建立個資保留時程表,確保企業保留個資的時間不超過必要程度,並將時程表傳達給所有相關人員。若是保留時間超過了時程表所明定的時間,必須載明可適用的正當理由。另外,企業若透過11項安全維護措施中第5項的各項程序所產生的各式各樣記錄必須妥善保存。
11.個人資料安全維護之整體持續改善
BS 10012條款4.5:企業應評估PIMS是否能持續提供基礎設施,以及是否能證明企業遵循個資法。
BS 10012條款4.17:企業應規畫時程來執行維護作業,確保各項程序和技術受到維護。
BS 10012條款6:企業應針對潛在的不符合事項進行預防,對於已發生的不符合事項實施矯正。企業亦可透過內部稽核活動產出內稽報告來審視PIMS是否達到目標。最後,應透過任何方式持續改善PIMS的有效性和效率。

轉載自《iThome》

2012年9月25日 星期二

嚴重犯規!談郵件過濾與垃圾信犯規手法

嚴重犯規!談郵件過濾與垃圾信犯規手法

為什麼郵件過濾設定好了卻老是過濾不到東西?其實是垃圾信廠商實在太會鑽了,而您用的郵件過濾軟體又不夠強的緣故。

垃圾信過濾的技術領域當中,內容過濾是透過郵件的標題,寄件人,收件人,以及本文的內容文字,來判斷一封電子郵件訊息是否屬於垃圾信

此種方式碰到極大的一個挑戰,就是文字編碼的問題,在 RFC-2822 (電子郵件訊息格式規範) 制定時,法定了電子郵件的 Header 部分只可有 7bit ACSII 字元,目前我們看到的中文的郵件標題,收件人,寄件人等等這方面的文字,也都是放置在 Header 之內,您肯定也發現了,這些 8bit 中文字是怎麼放進去的呢,原來是透過 RFC-2047 以及 RFC-2231 所規定的編碼方式將 8bit 文字轉為 7bit,透過這種方式,所有電子郵件的 Header 部分都可以被轉為 7bit 並且支援各種語言,此類編碼方式有一個特色,也就是他保持了編碼方式的關鍵字,讓郵件軟體可以輕易地判斷出編碼是屬於哪一種,例如 utf8 或是 big5。

接著就是研究郵件本文的部分了,郵件本文的部分則是透過 MIME 的方式,類似 HTTP 所使用的 Header,來告知本文的編碼方式,但對於內容過濾領域來說,郵件本文不光是要注意文字編碼 "charset" 還得注意到 "encoding",通常一段較複雜的文字會先以 base64 或是 qp 的方式做 encoding,要過濾本文必須先解開 encoding,解開 encoding 之後還必須再判斷其編碼 charset,若是內容為 html 格式,在郵件本文中可能又包含了完整的 html,裡面可能在 http-equivlent 的 meta 部分再去宣告文章的 charset。

不管標題還是本文,郵件過濾器都必須確實的知道其編碼,並且轉換為 unicode 才能夠與設定的關鍵字做比對,若過濾軟體不支援 unicode 想想除了 big5 的東西之外你都過濾不到,那這樣的過濾器根本沒有什麼用。

解釋清楚原理之後,我們就可以了解到垃圾信廠商的手法了!目前郵件過濾有兩大宗流派:

※ 所有郵件一律當作垃圾,只有放行少數被設為非垃圾條件的信件
※ 所有郵件一律放行,只擋掉被過濾掉的垃圾信

當防垃圾策略使用的是第二種的時候,垃圾信手法就可以得逞了,它們的目的就是要你的郵件過濾器根本無法過濾這封信件,最終導致放行,以下是它們常用的策略

※ 郵件 Header 中的寄件人,收件人,主旨文字故意直接使用 big5 中文,不宣告其編碼
※ 郵件內文區塊的 MIME 宣告部分,故意不指定郵件文字編碼 charset,改在郵件內文的 html http-equivlent 之內宣告,而又把 html 以 base64 編碼起來

相信精明的您又有了一個問題,連郵件過濾都過濾不到了,這些非標準的郵件,在郵件軟體如 Outlook 中,看得到東西嗎?

還真的看得到,因為郵件軟體的用戶群眾太廣了,它們的設計理念必須是盡可能的讓一封郵件去顯示出來,因此它們必須透過種種的線索去猜出這封不正常郵件的編碼,如此一來就讓垃圾郵件商得逞了,郵件過濾器濾不到,但郵件軟體看得到!

因此,在選擇郵件過濾軟體的時候,最好要注意以下幾個關鍵點:

※ 是否能解碼各種非 RFC-2822 標準的垃圾郵件手法?
※ 是否能以 UNICODE 設定關鍵字過濾?

轉載自《EVO郵件伺服器 技術團隊》

2012年9月21日 星期五

研究人員利用NFC駭進Android手機


研究人員利用NFC駭進Android手機

該團隊利用NFC技術傳輸一個檔案到S3手機,進而取得手機的控制權,幾乎手機的所有功能都能使用,而整個入侵的過程都在背景進行,使用者無法察覺任何異樣。 

周三(9/19)在阿姆斯特丹舉行的駭客競賽Mobile Pwn2Own中,英國資安公司MWR InfoSecurity利用近場通訊(NFC)技術及三星Galaxy S3的兩個漏洞成功入侵Android,並獲得三萬美元的獎金。

該團隊利用NFC技術傳輸一個檔案到S3手機,進而取得手機的控制權,幾乎手機的所有功能都能使用,而整個入侵的過程都在背景進行,使用者無法察覺任何異樣。

研究人員瞄準一款在三星Galaxy S2、S3及宏達電(HTC)部分機種出廠預載的文件瀏覽軟體,該軟體會自動開啟手機接收到的檔案。因此入侵的手法並不只限於NFC,網頁下載、電子郵件夾帶附件等傳輸途徑都可以進行攻擊。

該團隊表示,他們使用NFC進行攻擊,是因為NFC必須非常靠近才能使用,因此非常有針對性。他們利用NCF傳輸一個連結,然後讓手機透過Wi-Fi下載整個惡意軟體。

根據大會表示,這些獎金必須等到該團隊公布詳細資料之後才會發放。MWR InfoSecurity已經在公司網站公布部分資料,顯示此次入侵共使用到兩個漏洞,研究人員在軟體中觸發第一個漏洞185次,以降低手機對該軟體的限制,第二個漏洞則可以提昇軟體的權限,破壞應用軟體的沙箱模組。

今年七月舉辦的黑帽大會中,Accuvant實驗室首席顧問Charlie Miller使用Android作業系統中的一個漏洞,讓手機透過NFC讀取並自動開啟一個網址而載入惡意軟體。Google已經在Android 4.0中修復該漏洞,但目前還有將近四分之三的Android設備還未升級至4.0或更新版本。

該項駭客競賽是資安大會EuSecWest Conference的一部分,除了三星Galaxy S3遭侵入之外,荷蘭另一個團隊則是利用Webkit的漏洞成功入侵Apple的iPhone 4S,可以把整個手機的照片、聯絡人清單等資料上傳到伺服器,一樣贏得三萬美元的獎金。該團隊表示,包含Safari、Windows Messenger、iTunes等軟體都使用到Webkit的部份功能,而且最新版的iOS 6也含有此漏洞。(編譯/沈經)

轉載自《iThome》

TechDay MVP 講師專訪- Windows Server 2012 Hyper-V Networking 功能介紹

TechDay MVP 講師專訪- Windows Server 2012 Hyper-V Networking 功能介紹

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例


淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

APT進階持續性威脅 (Advanced Persistent Threat, APT) 主要是針對特定組織所做的複雜且多方位的網路攻擊。

過去所發生過的大規模病毒攻擊事件,往往是有人藉由所謂的0-day弱點,在未發布修正程式的空窗期將惡意程式大量散播,短時間內就能癱瘓企業網路與主機,並造成難以估計的損失.不過一旦發布了修補程式後,這類型的病毒便很難繼續進行攻擊。

為什麼我們要特別注意APT進階持續性威脅 (Advanced Persistent Threat, APT)?因為所謂的APT進階持續性威脅 (Advanced Persistent Threat, APT)並不像上述說的病毒類型是短時間的大量攻擊,這類型的病毒往往長時間的潛伏在企業內部,先從蒐集情報開始,找尋適合攻擊的目標或跳板,最後再藉由這些目標對內部重要的主機發動攻擊。

根據統計,APT進階持續性威脅 (Advanced Persistent Threat, APT)主要活動的前三大地區為台灣、美國與香港,受害比例最高的是台灣,整體而言亞洲是遭受APT攻擊最主要的地區。

以下是近年來知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)事件

2010年7月Stuxnet USB蠕蟲病毒攻擊西門子系統
2010年1月極光行動(Operation Aurora)攻擊Google Mail
2011年5月Comodo的數位簽章被竊
2011年4月Sony PSN個資外洩
相關圖闢請看文末 註:近兩年來遭受 APT 攻擊的著名案例:

由基本面來看,符合下列三項特點,我們就認為這攻擊是APT進階持續性威脅 (Advanced Persistent Threat, APT):

◎出於經濟利益或競爭優勢
◎一個長期持續的攻擊
◎針對一個特定的公司,組織或平台

所以企業與政府通常是APT進階持續性威脅 (Advanced Persistent Threat, APT)的目標,要注意APT進階持續性威脅 (Advanced Persistent Threat, APT)是長期且多階段的攻擊,早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,可能透過SQL Injection攻擊突破外網Web伺服器主機,接著,受駭的Web伺服器作為跳板,對內網其他主機或用戶端進行情報蒐集.安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

APT進階持續性威脅 (Advanced Persistent Threat, APT)的主要行為:目標式攻擊郵件

在APT進階持續性威脅 (Advanced Persistent Threat, APT)的活動中,最主要的就是透過郵件進行滲透式的攻擊,主要有三種類型

◎釣魚郵件:竊取使用者的帳號與密碼
◎惡意的指令碼:蒐集使用者電腦的環境資訊
◎安裝惡意程式(例如Botnet或rootkit)

APT進階持續性威脅 (Advanced Persistent Threat, APT)的攻擊郵件通常是以文件類型的檔案作為附件,例如Microsoft Office文件或是PDF檔,與一般認知的病毒郵件有著極大的差異,這類型的APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊郵件通常與使用者平時收發的郵件無太大的相異之處,容易降低使用者的戒心,以下便是APTAPT進階持續性威脅 (Advanced Persistent Threat, APT)郵件的樣本:

Aptmail-2
Aptmail-3

APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒軟體可能可以阻止APT攻擊所使用的惡意程式,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。

從實務面來看,在可預見的未來,APT將會一直與我們同在是很合理的假設。APT是長期的過程導向攻擊,是攻擊者動機和攻擊手段改變下的產物。 我們應該繼續部署攔截對策。防毒軟體,加密,弱點掃描和上修正程式(Patch)都是很好的做法。但是這些還不足以去應付APT,所以我們應該假設會被攻擊成功。在會被攻擊成功的前提下,我們必須即時的監控網路流量和電腦上的活動,包括隔離被入侵的設備,關閉伺服器和收集資料以作鑑識分析之用。 萬一攻擊發生了,能夠儘快偵測到攻擊和遏制它所造成的影響才是最主要的目的。

註:近兩年來遭受 APT 攻擊的著名案例:

· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

Googleaurora
「極光行動」常用像這樣的軟體更新下載程式作為誘餌。

· 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。

· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。
Rsa01
RSA APT 事件中的網路釣魚(Phishing)

· 2011 年 4 月 — 洛克希德馬丁:
在 RSA 遭到攻擊後隔月,駭客以從 RSA 竊得的 SecureID 通過身分認證,侵入武器製造商洛克希德馬丁。

· 2011 年 4 月 – Sony:
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,
另有信用卡資料、購買歷程明細、帳單地址等等。
官方說法為商未修補的已知系統漏洞遭攻擊。
到了 10 月又遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。
遭竊的信用卡資料在地下網站上拍賣。

轉載自《雲端防毒是趨勢》

為什麼網路行銷應該從SEO開始?


為什麼網路行銷應該從SEO開始?

網路行銷有太多種類型,並且網路瞬息萬變,任何時間都可能會有新的網路行銷手法出現,但是不管再怎麼變,只要使用者需要搜尋資料,你的網路行銷活動就必須從SEO開始出發 ...

以前在"SEO的核心理念:內容為王、架構為后"說到,內容為王是沒有錯誤的,但是如果缺少架構為后的概念,你的網站可能只做到一半。

如果缺少架構為后的概念,而沒有可解讀性(Interpretability),那麼內容就沒有辦法發揮效果,如果沒有規模可伸縮性(Scalability),內容越來越多可能造成浩劫,如果沒有可使用性(Usability),可能讀者都不買單。

並且如果你的網站是自有網址架設,可能連過路客都沒有,光有內容而沒有符合SEO的結構的話,是沒有辦法隨著時間而增加曝光度的。

如標題所說的,網路行銷應該從SEO開始,一開始就把SEO納入考慮,可以把最基礎的結構問題顧好,與其他後續的內容行銷或是社交行銷才能夠發揮相乘的效果。

許多網站一開始,通常都會把網站做得漂漂亮亮的,然後加入了一大堆的內容,然後才開始思考要如何進行行銷,當發現原本花了很多心血製作的網站不容易修改為符合SEO條件的時候,最慘的可能就必須打掉重練。

例如許多以Flash或是不符合搜尋引擎規範的Ajax來製作網站,結果後來還必須另外製作符合SEO的版本。

所以SEO的操作,是在進行網站的顧本工作,而不單單只為了行銷,當網站能夠正確的操作SEO之後,網站的體質就能健全的發展,那麼後續的其他行銷策略才能夠踏著強健的本質往上攀爬。

前幾天聽到某些網站的行銷主軸是發展電子書,然後搭配Facebook進行網站行銷,雖然不能說是錯誤,但是缺少了SEO的策略,可能會有事倍功半的遺憾。

其實你可以發展免費電子書、使用YouTube影音行銷、使用Facebook或是Plurk行銷、或是其他各類行銷手法,但是如果在信仰內容為王之前,先把結構為后搞定,這個后才能夠輔佐你的網站蒸蒸日上。

所以如果你理解本文的意義,你應該先審視一下你的網站的可解讀性(Interpretability)、規模可伸縮性(Scalability)、可使用性(Usability),這樣才能夠安心的進行更多的行銷操作。

轉載自《SEO關鍵解碼》

2012年9月20日 星期四

Google針對新聞推出news_keywords tag


Google針對新聞推出news_keywords tag

我們曾經在好久以前說過: Google 根本不理會 Keywords Meta Tag,並且也在"Meta keywords對於Bing SEO有何意義?"說過,Bing把meta keywords當成一個spam signal (垃圾訊號),如果你的meta keywords塞了一堆關鍵字,就可能會被歸類為垃圾網站。但是現在 ... Google又推出了一個跟keyword meta tag很類似的meta tag ~ news_keywords,這個東西可以做什麼呢?

Google的這篇"A newly hatched way to tag your news articles",提到現在網路上的新聞標題,很多都不容易讓電腦瞭解新聞內容到底在說什麼。

例如有一篇新聞標題是 ~ WALL ST. LAYS AN EGG,知道典故的人可能知道到底這篇是在談什麼,但是大多數人,甚至於電腦可能都摸不著頭緒,很難從「lay an egg」理解到「失敗」或是「滑鐵盧」的意思。

因為許多線上新聞已經雜誌化,所以越來越多的標題都使用上述類似的手法來做。因此Google認為如果要讓新聞可以被電腦有效的分辨,必須要有一個新的標記來處理,故就推出了news_keywords這個標記。

標記的方式如下,跟原本舊的meta keywords很類似:

<meta name=”news_keywords” content=”World Cup, Brazil 2014, Spain vs Netherlands, soccer, football”>

這個標記的目的就是希望,可以讓新聞的作者清楚的寫下新聞內容的正確關鍵字,來協助Google可以快速而正確的進行分類,這樣才可以被讀者有效的搜尋。

例如上述「WALL ST. LAYS AN EGG」的新聞,作者應該可以加上「stocks」、「stock market 」、或是「crash」,如此才能夠讓Google知道大致內容是在談什麼。由於這個meta tag並不會顯示給讀者看到,因此並不會影響任何原本版面的安排。

Google還特別說: "Keep in mind that this metatag will be one signal among many that our algorithms use to determine ranking." 記得這個標記將會是許多搜尋排名訊號中的一個。也就是說,要不要使用隨便你,但是正確的使用可以影響你的搜尋排名。

但是在這篇"Back To The Future: Google Announces A Meta Keywords Tag Just For News Articles"有說到,這個標記只給「新聞」使用,也就是如果你的網站不是被Google認定為新聞網站的話,就沒有必要使用這個標記。

這篇"Google News Gets A New Ranking Signal, And It’s A Keywords Meta Tag"則說,好玩的是以前Google廢棄了meta keywords的使用,但是現在又發現新聞內容無法從標題進行分類,又推出另外一個幾乎一樣功能的標記。

轉載自《SEO關鍵解碼》

TechDay MVP 講師專訪- ASP.NET MVC 4新功能概論

TechDay MVP 講師專訪- ASP.NET MVC 4新功能概論

TechDay MVP 講師專訪- 使用HTML5 打造友善網頁

TechDay MVP 講師專訪- 使用HTML5 打造友善網頁

TechDay MVP 講師專訪- 商業智慧的全新視覺體驗

TechDay MVP 講師專訪- 商業智慧的全新視覺體驗

2012年9月19日 星期三

個資法上路應當有寬限期

個資法上路應當有寬限期

個資法即將在10月實施,而法務部將自2010年頒定後,這過去兩年的討論期間作為個資法的緩衝期,不在另有個資法寬限期。然而種種與企業切身相關的細則都尚未明朗,無疑使得企業無所適從。 

個人資料保護法即將上路了,行政院在8月30日拍板定案,個資法自10月1日正式實施,而且不再有緩衝寬限期。10月起,任何人只要蒐集或利用個人資料,就必須遵守法律規定,不然就違法了。

本期新聞報導,我們特別詢問法務部關於個資法寬限期一事,法務部認為,個資法自2010年5月26日由總統正式頒定之後,已經過2年多的討論,這段期間對大家來說就如同是緩衝期,企業形同有2年的時間來準備因應,因此個資法正式上路並不需要再留寬限期。但我並不認同這樣的說法。

許多人到現在都還沒有著手因應個資法,不能說沒有心存一絲僥倖,然而更重要的癥結是,整個個資法的配套措施到現在都還沒有完成,大家無所適從。

距離10月1日正式上路只剩下不到1個月的時間,法務部冀望在9月的立法院會期提修正案,優先完成部分條文的修正。其中包括第六條特種個資不得使用的規定,擬放寬在兩個條件下可以使用:「維護公共利益」及「經當事人書面同意」,免除此一條款會導致許多產業的業務無法進行;以及第54條規定間接取得的個人資料,必須在法令施行後的1年內告知個資當事人,擬修改為在使用到間接蒐集的個資前告知當事人即可

另外,個資法第41條規定,若是在非意圖營利的情況下違反個資法,可處2年以下有期徒刑、拘役或科或併科20萬元以下罰金,法務部將提出取消刑責部分,因此若是非意圖營利而觸犯個資法,則只有民事責任;而第45條規定違反個資法屬告訴乃論,也將一併刪除

上述第6條、第54條是個資法備受爭議的部分,若能成功修法,應可解決許多窒礙難行之處;然而,立法院能否在10月1日前通過,還是一個未知數,若無法及時通過,行政院也有了打算,將暫緩實施這兩個條款。

但畢竟這兩個條款對企業的作法有很大的影響,以特種個資來說,若趕得及在10月前通過,那麼企業要在兩個特定情況下才能蒐集與使用特種個資,若修正案過不了關,那麼第6條將暫緩實施,也就是沒有所謂針對特種個資的限制,然而這兩種結果對企業來說就是兩種不同的作業流程,現在企業到底該怎麼做?走雙軌制嗎?還是等到答案揭曉,再迅速調整?

再者,與企業因應做法有很大關係的幾個部分也都還沒有確定:施行細則、特定目的、資料類別、各產業所屬的個資法主管機關,至今法務部都還沒有公告,然而距離上路時間又不到1個月,卻又不給予適當的緩衝寬限期,這到底要企業如何準備?

在整個配套措施都還沒有到位的情況下,要強行在10月1日上路,並且沒有給予寬限期,無疑是要大家就地違法。這絕對不是個資法的真正目的,個資法第一條開宗明義,立法的目的是要避免人格權受侵害,並促進個人資料合理利用。既然如此,就應當讓大家有合理的準備時間,而不是讓全臺灣就地違法。

吳其勳/iThome電腦報周刊總編輯

轉載自《iThome》

2012年9月18日 星期二

TechDay MVP 講師專訪- Office 2013及SharePoint 2013的全新企業開發應用

TechDay MVP 講師專訪- Office 2013及SharePoint 2013的全新企業開發應用

TechDay MVP 講師專訪- SQL Server AlwaysOn,高可用性、備援與應用實例

TechDay MVP 講師專訪- SQL Server AlwaysOn,高可用性、備援與應用實例


網站降權懲罰現象恢復分析


網站降權懲罰現象恢復分析

網站降權是網站優化中經常遇到的問題,通常網站降權主要表現:

(1)關鍵字集體下滑,一般掉到十頁以後或者直接前二十頁找不到;

(2)通過site指令查反鏈首頁不在第一位。儘管很多人對這個指令存在很多不同意見,但是楓泠覺得,通過此指令還是可以作為網站降權與否的一個參考。當出現以上兩種情況時,則網站處於降權狀態。

網站降權的原因很多,通常有:(1)服務器不穩定;(2)友情鏈接出現問題;(3)文章內容原創性太低;(4)網站標籤修改,尤其是標題;(5)網站改版;(6)關鍵詞堆砌等任何作弊行為。

當網站出現降權問題時,網站快照則表現停滯現象,那麼需要我們對以上各種導致降權的原因進行逐一分析排除,找到引起網站降權的原因。很多站長會這樣說,為​​什麼網站在前期沒有被降權,後期並未出現任何不當操作,而卻導致降權了呢?其實原因很簡單,早期網站在搜索引擎中的關注度並不高,此時,搜索引擎會忽略到網站懲罰,而當網站處於首頁,關注度會提升,從而對網站考察也會更加嚴格,因此,一旦發現網站存在作弊立馬被懲罰。

找到了網站降權的原因之後,開始著手解決問題,問題解決之後,網站開始進入恢復狀態,恢復狀態下,我們需要做好以下工作:

1、原創更新網站內容。原創是一個網站的靈魂,原創的主要目的,是重新讓搜索引擎開始關注到網站,讓停滯的收錄增長上去,讓停滯的快照重新跟近。文章要注重質量,前期不需要增加太多內容,內容增加按照一定幅度梯度進行。

2、高質量的外鏈。所謂高質量的外鏈,主要強調兩點:(1)穩定性;(2)相關性。想要滿足以上兩點,可以選擇軟文外鏈,不論是純文本鏈接還是錨文本鏈接,都可以收到很好的效果。外鏈一定要保證在網站內容更新後,開始進行,這樣以保證每天更新的內容能夠最快被收錄,從而養成每天蜘蛛來爬去網站信息的好習慣。

網站做好以上工作,那麼網站恢復將逐步進行,實際網站恢復表現主要分以下幾步:

1、網站原創內容開始收錄

原創內容的收錄分為兩種:(1)審核後收錄。所謂審核後收錄,表現為收錄增加顯示是在百度每週進行的更新之後釋放出來;(2)當天收錄。實際收錄顯示為當天日期,其中包含內容的秒收。通常當網站收錄表現為第二種的情況下,則表明網站降權開始進入恢復狀態。

2、site指令,首頁恢復第一

此指令是網站降權恢復最直觀的表現,網站降權後,此指令顯示的首頁結果,有的是直接首頁在收錄結果中找不到,還有的是結果在第二頁或者首頁後五位,還有的在更遠位置。對於此指令的恢復會出現兩種情況:(1)指令首頁結果分階段恢復。所謂分階段,指的是首頁位置隨著時間的推移,逐步向第一位靠近;(2)指令首頁結果越級恢復。所謂越級,指的是首頁位置會從第二頁或者第二頁以後其它位置,直接跳到首頁。至於網站究竟該採取何種恢復狀態,根據網站在懲罰之前權重高低如何,原始權重越高,恢復則越快。

3、長尾關鍵詞開始出現排名恢復

之所以長尾關鍵詞首頁出現排名恢復,是因為長尾關鍵詞從競爭度上相對低,網站優化的難度也相對容易,所以其最先感應的降權恢復。這裡講到排名恢復,而並非是排名上升,之所以這樣說,是因為網站降權之後,網站權重再次恢復,是逐漸恢復到網站降權之前的權重,此時並不會超越到原來的權重,所以此時關鍵字是逐漸朝越來的位置靠近。而要想讓這些關鍵字提升,需要網站超越原來的權重。

4、目標關鍵詞開始出現排名恢復

隨著長尾關鍵詞排名逐漸恢復,網站內容不斷增加,外鏈不斷增長,網站權重得到逐步積累,消失的權重會逐漸回來,網站降權有時候並非導致收錄減少,外鏈減少,所以後面的收錄增加和外鏈增長,會使得網站權重增加更高。此時,目標關鍵詞在恢復排名的同時,還會在原來的基礎上出現爬升。在此階段,網站要把握好關鍵字排名上升期,加強內容建設與外鏈建設,以實現排名快速上升。

一般通常情況下,網站降權恢復是按照以上分析進行,此分析是針對網站降權之後,domain結果中存在首頁的現象,如果網站被降權,導致首頁消失,那麼,此類問題將要更難於解決,首先網站要保證首頁出現,然後才可以進行此類問題分析,並按照此步驟進行逐一恢復。

轉載自《香港SEO優化專家》

SEO優化之競爭對手的研究


SEO優化之競爭對手的研究

兵法有云:知己知彼百戰不殆,一個值得你研究的競爭對手,他將會是你前進的動力,或許可以成為你走向成功的墊腳石。在商場上任何行業都有競爭對手,我們SEO也一樣,商場如戰場,競爭對手間的博弈就是一場沒有硝煙的戰爭。勝者為王敗者為寇,做好競爭對手的研究,能讓你立於不敗之地。當然競爭對手的也就也是我們做網站的市場研究的重要部分。對判斷網站關鍵詞和瞭解行業情況有很大的幫助。確定對手非常簡單,舉例說「膠原蛋白」這個詞在百度結果排名的前20名就是你的主要競爭對手,我們如何來分析他呢?主要是從兩方面來分析,一是域名相關的權重數據,二就是網站本身的結構整體優化。

一、域名相關的權重數據

先來說一下域名權重的相關問題,一個域名的權重其實關係到網站權重的排名高度,一個優質的域名就是網站成功的一半,域名權重數據主要從一下幾個方面來判斷:

1、域名的年齡

域名的年齡就是域名在互聯網存在的時間,一般是說這個域名最初註冊的時間。判斷一個域名最初註冊的時間,基本很難,不過可以通過網頁博物館等一些網站來查詢,這需要這個域名當時做過站,並且被搜索引擎收錄過。可以斷言的是,一個域名的年齡越大,那麼他的權重就越高。如果您手上現在有一個10多年的域名,那麼這就是一個黃金域名,因此,如果競爭對手的域名年齡非常老,那他將是你前進的攔路虎。

2、谷歌PR值

這是一個有爭議的評判標準,因為好多人傳言說谷歌已經拋棄了PR值系統,其實不然,谷歌作為世界第一大搜索引擎,自然也是其他各搜索引擎模仿的對象,他是用PR來提現他搜收錄網站的權重情況,如果一個站的谷歌PR越高,相信其他搜索引擎認為這個站越重要。還有一點就是,PR是最能反映一個網站的外鏈質量的,如果PR達到6或者7,你能說他是一個垃圾站點嗎?

3、快照日期

相信快照也是大家來做友情鏈接時候的評判標準,特別是做百度SEO的朋友,更是看重快照,經常為快照的不更新或者後退,寢食難安,由此可見快照的重要性,當然,快照也是蜘蛛拜訪的晴雨表,在莫種意義上,他就是域名權重的表現。

4、收錄頁面數量

收錄頁面也是廣大站長關注的一方面,站點內容夠多,結構夠大,質量越高,那麼收錄頁面數量就越發龐大,長尾關鍵詞的入站流量就越高.這就是網站結構合理性的一種表現,這樣的網站,關鍵詞的長尾效益明顯,是競爭對手中的王者。

5、外鏈的數量和質量情況

SEO有句話內容為皇外鏈為王。的確如此,高質量的外鏈是關鍵詞排名的保證,我們可以分析對手網站總的外鏈數量,再去觀察這些外鏈來自什麼網站,是論壇?博客?站群?等等。分析外鏈的質量,也能提現網站的SEO水平。這一點分析對手很重要。

6、是否被強大的目錄收錄

強大的網站目錄是網站外鏈的常青樹,多年屹立網絡不到,定有其強大的原因。這裡主要是說如亞馬遜目錄,HO123等網址類型的站點,還有一些社會化的收藏夾,如QQ搜藏,百度搜藏等。搜索引擎對於網站被這些目錄或社會化收藏夾推薦的網站也會給與較高的權重。

二、網站本身的結構整體優化

網站內部的優化情況也是要研究的重點,一個網站內部結構的優化,也能帶來很高的權重,主要是一下幾點:

1:網站標題是否有關鍵詞出現;
2:網站結構是否清晰合理;
3:URL是否符合搜索引擎習慣;
4:網站目錄是否過深,是否需要多次點擊才能到達內容頁;
5:網站內容質量是否優秀,是否是採集或者軟件生成;
6:是否有沒備註的圖片,或者flash,JS等不利於搜索引擎工作的元素。對照這幾點基本就能看出這個網站的SEO水平了;

這兩方面在SEO對競爭對手的分析上只是冰山一角,所謂條條大路通羅馬,希望朋友們多多研究多多分享自己的經驗,和大家攜手共創美好的SEO新紀元。

轉載自《香港SEO優化專家》

10種已經過時的SEO方法


10種已經過時的SEO方法

譯者註:搜索引擎在不斷更新算法,很多老的SEO方法如今都已不再適用。 SEOer們需要比過去更用心、更投入,還要不停地學習新的方法。所以說,做SEO真的不容易。

但是換個角度講,SEOer們的工作也變得越來越有價值。這裡說的有價值不是對企業而言,而是對更多人有價值,也就是對用戶有價值,這才是所有網站從業者所應該追求的,也是我們的成就感所在。

這篇文章總結了10個過時的SEO方法,儘管是探討英文SEO,對中文SEO也有一定參考價值,特別是談到對內容質量、社交媒體、推廣戰略和網頁設計的重視。

談到內容、社交媒體和頁面設計,這些已經超出了SEO工程師的工作範疇。 SEOer們只是扮演一個協調者和管理者的工作。從這個角度來說,對於SEO未來的悲觀,並不是沒有道理的。本譯文在原文基礎上有所刪節)

1、文章提交

如果你在談論你的SEO策略時還是脫口而出“Ezine Articles”(譯者註:一個著名英文文章站),你應該停止這樣做了。在熊貓更新之前,在文章站​​提交文章已經不是最值得花費時間的事了,而只是一種快速獲得外鏈的方法。

你要記住,外鏈建設並不容易。它和SEO中的其他工作一樣需要時間和精力。

與其追求這種容易到手的鏈接,為何不轉而同一些博主建立關係。寫一些客座博文,既能給他們的網站帶來價值,又能增加你的曝光率,還可能獲得來自權威站的高質量外鏈。

2、沒有新聞的通訊稿

這是上週我和別人的對話:

“如果免費提交文章不合適,也許我應該轉而寫通訊稿(press release)?”

“你有什麼有報導價值的信息嗎?”

“我不知道,但是我需要把我的品牌打出去,而且這是從新聞渠道獲取鏈接的絕好機會。我打算每個月發兩篇。”

“別,別這樣做。”

事情是這樣,你在經營一家公司,這很不錯。但是根據一項統計,在2010年,在美國大約有2300萬家小型企業。我不是說你的業務沒有新聞價值,只是生存並不能證明你有這種價值。

3、互惠鏈接和交換鏈接

交換鏈接只是另一種獲得鏈接的方式。交換鏈接應該是在能幫助用戶獲得更多相關資源的情況下運用。

4、內容單薄

我們都知道高質量內容能帶來高質量外鏈。這裡有一些關於創建內容的問題,你需要問問你自己:

你是否在外包你的內容寫作?如果是,誰在為你寫作?此人是否能夠創作高質量的內容,這些內容能否帶來外鏈?

你在為誰寫作?為什麼?你是在為搜索引擎寫作,還是為用戶寫作?這兩者之間不應該有衝突。

你是否感覺你在一遍遍地重複寫作同樣的東西?你是否感到很厭倦,但是你對於你銷售的東西只有這些東西可寫?寫作可能的確很單調乏味,但是想想以上這個問題。如果你自己都不覺得寫得好,別人又怎會覺得它好?他們又怎麼會覺​​得你的內容值得給一個鏈接?

5、自動化操作讓你失聲

在合適的情況下,可以使用工具。但是要正確地使用。社交媒體是建立關係的好方法,可以幫你獲得併保持用戶,打開未來之門。要合理使用社交媒體,讓它們幫你“發聲”。

6、忽視社交信號

現在很多博客和網站都有社交媒體的分享按鈕,這很好;但不幸的是,很多站長並沒有重視社交信號。

7. 有戰術,沒戰略

有戰術沒戰略是很多人網絡營銷失敗的原因。你應該制定並執行一個戰略。

8、只重視排名

幾天前有一個SEOer拿給我一份排名報告,這是他給客戶的一份為期五年的報告。報告有30頁長,跟踪了數百個關鍵詞。

我問他這份報告和他們的數據分析有怎樣的關係,另外,自從客戶感覺銷售額下降後,流量有什麼變化。該SEOer看看我說:“我不知道他們有沒有網站的數據分析。可能我看到過一次,我不確定。但是每個月都為他做一份報告,他們喜歡這樣。”

我知道這些排名報告很吸引人。你可以把這份報告拿給你的客戶或者老闆看,並且說:“’堪薩斯州威奇託在售藍色氨綸部件’這個短語,我們在谷歌排第一!”

但是,作為一名SEOer,我們應該改變這種過時的對話;否則,我們就是在討便宜,而不是在幫助客戶,也不是幫助我們自己。

9、只重視谷歌

你可能會遇到一個你沒有意識到的問題。現在就去查看你的統計數據,看看有多少來自谷歌的自然流量,佔多少百分比。

我知道你不會把養老金都放到一支股裡,但是你為什麼現在要冒險把所有雞蛋都放在一個籃子裡?你需要創造一個多樣化的流量來源組合。

10、忽視設計

你的網站代表著你和你的品牌。我知道很多人花了不少錢做一個網站,最終卻做得很醜、缺少功能性,或者對搜索引擎不友好。這種現象自從我從事網絡工作那天起就有了,而且也不會停止;但是我還是建議你節省你的時間、金錢和精力。

下次你再建站,聘請一名設計師,多看幾家公司。一旦看中一家,你要信任他們以及他們的作品。

你需要引導你的設計師,但不要越俎代庖,你要給他們充分的自由。同時,你還需要聘請一名SEOer,這個人需要跟設計師和開發人員協同工作,確保設計工作對搜索引擎友好。

轉載自《香港SEO優化專家》

2012年9月17日 星期一

資安事件分析:Big Data夠快速、LM資訊更完整


資安事件分析:Big Data夠快速、LM資訊更完整

駭客攻擊技術日新月異,迫使企業資安必須有所變革,才能阻擋不斷變化的資安攻擊,HP-ArcSight北亞區資訊安全事業部技術顧問經理蕭松瀛提出「智能安全」的觀念,他認為企業應該捨棄傳統以特徵碼為主的防禦方式,採取主動偵測與防禦的安全策略,EMC企業儲存事業部總裁Brian Gallagher也認為,安全必須是動態的,才能即時解決問題。

若要做到上述所說智能安全、動態安全,「事件分析」顯然是個不可或缺的功課,除了傳統LM/SIEM解決方案外,伴隨雲端運算而起的巨量資料分析,成為企業另一項新選擇。 Big Data除了應用在營運資料分析外,對資安事件偵測與防禦也有不錯的成效,舉例來說,EMC在2年前曾經發生網路攻擊事件,當時就是經由巨量資料分析而發現,並立即中斷網路連線1~2個小時阻止損失擴大。

Brian Gallagher進一步指出,就資安事件分析上,傳統Log分析有其效用在,但卻不夠快速,而Big Data可以real-time分析員工的使用行為,如:E-mail/AP使用行為、存取哪些資料、平日互動對象為誰…等,更即時有效地阻擋網路攻擊。

對此,蕭松瀛有不同看法,資安分析有其專業性存在,傳統LM/SIEM不只可以偵測資安事件,還能找出問題根源、協助資安人員處理事件。

舉例來說,一般資安設備只能看到IP,資安人員必須花很多時間去找出IP對應的使用者,然而,透過LM整合防火牆、DHCP、Windows作業系統三者的Log,資安人員就能在看到IP的同時,一併掌握對應的使用者是誰,加快處理資安事件的速度。 此外,也可透過Log分析找出今日與昨日的差異(如:多了10個行為),提供給IT人員主動檢測是否為入侵行為,或者是結合資安廠商在各個客戶身上所觀察到的資安攻擊行為進行偵測,提高發現資安攻擊的機率與時效性。

最後,Brian Gallagher認為,雖然目前導入Big Data分析工具的企業僅有5分之1,但未來必定會有蓬勃發展,Brian Gallagher認為,Big Data的發展就像雲端一樣,在台灣才剛剛起步,由於IT部門可能手中還有其他進行中的專案,沒有其他資源可用來導入巨量資料分析系統,一旦這些IT專案結束,為企業所省下的成本就可以用來建置Big Data系統。

轉載自《資安人科技網》

行動資安威脅未受重視 話費詐欺成為主流攻擊手法


行動資安威脅未受重視 話費詐欺成為主流攻擊手法

資安公司先後發表針對行動安全的調查報告,兩者皆指出,行動裝置的資安威脅不停升高,但使用者卻沒有意識到此點,其次則是攻擊方式有所改變,過去主流手法為間諜軟體(Spyware),今年則變成話費詐欺(Toll fraud),透過各種方式誘騙使用者支付高額通話或簡訊費,好從中獲取利益。

賽門鐵克(Symantec)最近發布的2012諾頓網路犯罪報告(Norton cybercrime report)指出,2011整年度的網路犯罪損失高達1,100億美元(包含手機與個人電腦),受害人數也有5.56億人,即便損失與受害者數量如此之高,多數使用者仍舊沒有意識到行動裝置安全威脅有多大,3分之2的用戶沒有使用任何安全防護措施,44%的人甚至不清楚可以提升行動裝置安全性的保護技術有哪些。 而手機防毒公司Lookout日前發布的2012年行動安全狀況報告 (State of Mobile Security 2012 report),也有相同看法。

Lookout指出,使用者的安全意識仍有待提升,在美國,惡意網路連結和主動廣告變成主要攻擊途徑,預估到年底總計有4成使用者會去點選不安全的網址連結,並被導引到預先設計或遭受感染的惡意網站,或是要求用戶提供其個人訊息,以竊取其機密資料。 Lookout報告中也同時指出,話費詐欺的攻擊手法從2011年7月開始快速增加,到了2012年第一季,費用詐欺已經成為手機平台上首要攻擊手法。以整體偵測到的惡意軟體攻擊比例來看,話費詐欺軟體從去年第三季的29%上升到今年第二季的62%,間諜軟體則從67%降至19%。 賽門鐵克也觀察到類似現象,亦即手機上的惡意簡訊愈來愈氾濫,超過3成以上的用戶曾經收到奇怪訊息,並要求點擊某個連結或撥打一個號碼,一旦撥打出去後,就得支付高額的通話費。

 自從2004年發現首款手機惡意程式後,犯罪手法便不斷在演進,這也意味著攻擊者不斷在尋找適合的商業模式。Lookout安全研究人員Derek Halliday表示,從過去12個月來看,話費詐欺惡意程式被大量採用,意指這些開發者已經找到一個較好的商業模式,而且為它對病毒撰寫者來說,是相對簡單的金錢竊取方式。 話費詐欺惡意軟體通常會偽裝成主流應用程式,比如Opera瀏覽器或What''sApp Messenger等,一旦用戶下載後便在手機上植入木馬,在用戶未察覺情況下,主動發出付費簡訊(Premium SMS)以訂閱服務,同時透過手機完成付費程序。

在所有Toll fraud惡意軟體中,最為活躍的是FakeInst木馬程式。若從活躍地區來看,東歐、俄國、烏克蘭和中國等地區較為氾濫,至於美國因為應用程式相對有較好的控管,所以這種方式的感染率低於1%。

 最後,Lookout提醒使用者必須在行動裝置上設定密碼,並只從受保護的來源下載和購買應用軟體,同時格外留意不明的網頁連結,或使用安全防護軟體等其他措施以強化保護能力。Symantec則分析不同作業系統的安全性,無使用者參考,Android比起Apple的iOS更容易遭受惡意攻擊,因為開發者若要上傳應用程式到App Store前,都需要先通過Apple驗證,以確保其安全性,相較之下,Apple提供了較好的安全防護。

轉載自《資安人科技網》

Google調整算法 阻止少數網站壟斷第一名結果


Google調整算法 阻止少數網站壟斷第一名結果

據國外媒體報導,不少用戶抱怨,搜索谷歌後,發現許多網頁結果都來自同一個網站。日前,谷歌調整算法解決該問題,更多的網站域名將出現在搜索結果中。業界人士悄然注意到谷歌這一變化,而谷歌負責打擊垃圾網站的負責人Matt Cutts在微博中也進行了證實。



這位高層表示,本週對搜索算法進行了小幅調整,搜索結果更加多元化。最近,越來越多用戶反映,第一個搜索結果頁面被少數網站「霸佔」,有時甚至是第一個結果頁面貌似全部來自同一家網站。

轉載自《游俠安全網》

網路犯罪造成全球1100億美金損失 社群服務成溫床


網路犯罪造成全球1100億美金損失 社群服務成溫床

根據資安廠商Norton針對網路安全的調查報告顯示,美國過去一年間因為網路犯罪已耗費消費者207億元美金, 並有約7100萬的美國民眾涉入其中; 同時,全球因惡意軟體、網路釣魚等犯罪所造成的損失更有1100億元美金,使全球每位消費者平均耗費197元美金。

同時, 隨著社群網路與行動網路科技的發展,也加劇網路犯罪的狀況,其中約 21%的成年網友曾因此成為受害者,另外也有15%的網友其社群服務帳號遭駭,而1/10的網友在社群網路中因假連結或詐騙而受害。





在來自全球24個國家共超過13000為的受訪者中,有75%表示網路犯罪已越漸透過社群網路發生。 報告中也提到,全球約5億5600萬的網友曾經歷網路犯罪相關事件,幾乎等同於近半數的成年網友人口數。

詳細可參考Norton針對網路安全的調查報告內容。



※相關連結》

Norton官方提供調查報告 (PDF規格)

轉載自《數位資訊》

社交行銷不是在比讚或是粉絲數目


社交行銷不是在比讚或是粉絲數目

許多剛經營社交網路的企業都有一個特性,就是會擔心內容沒有人按下讚,或是擔心粉絲數目只有一點點。而看到其他競爭者的Facebook頁面欣欣向榮的發展時,更是開始手忙腳亂了起來 ...

這篇"Social Media is So Much More Than Likes and Followers"可以說道盡了社交行銷的種種迷思。

作者說經營社交網路不是只有看讚或是粉絲的數目,沒有真正粉絲投入的Facebook頁面是沒有益處的

有些企業看到別人的FB頁面有一大堆的讚或是粉絲數目,常會擔心是否別人知道他所不知道的經營方式,不然為什麼會有這麼大的差別。

所以就有企業開始在網路上徵求提升這些數字(如下圖),他希望可以得到Facebook與Twitter的粉絲跟讚,並且要從真的帳戶以及不同來源的IP:

作者說到其實不必太驚訝,因為讚的數目或是粉絲的數目,都有人提供服務來增加數量,也就是說表面上的數字都可以用金錢來購買,例如這篇"10 Sites to Buy Facebook Fans, Friends, Likes"就說到了許多網站在提供這類服務。

如下圖,就有人在網路上兜售「likes」,只要你給錢,我就給你多少個讚。

然而這些數字代表的意義是什麼呢? 其實什麼也沒有,既不會增加你的流量,也不會增加你的曝光度,也不會增加消費者投入度,當然更不會增加你的產品銷售量。

那麼這些假的數量是怎麼來的呢? 一種是軟體做來的,另外一種是真人作假出來的。不管是哪一種,都必須先有假帳號,跟一堆人做朋友,做出一些假互動,然後這個帳號就可以來作生意了。所以,這些假帳號所往來的事情都是假的,假的讚、假的分享、假的留言,只有靠這些假帳號賺的錢是真的。

所以作者就有些疑問了,到底具有一堆likes跟fans的企業,是否就比較具有信賴度呢? 是否真的對於SEO會有幫助呢?

雖然我們在"善用社交網路改善網站SEO"說到社交網路能夠有效的改善網站SEO,但是我們也在"SEO與Social Signal:Google如何使用社交訊號?"也說過,如果社交連結來自於亂七八糟的社交帳號,當然就不可能期待會有效果。

所以社交行銷不是在比讚或是粉絲數目,沒有真正的讓讀者投入,並且與之真正的互動,社交行銷根本只是像一個人型立牌,只是做做樣子罷了。

轉載自《SEO關鍵解碼》

2012年9月16日 星期日

新北市資安測試 竟拿李宗瑞影片「釣魚」 千人中招


新北市資安測試 竟拿李宗瑞影片「釣魚」 千人中招

「李宗瑞」的相關新聞,果然具有高度吸引力,新北市政府日前在對員工進行資安測試時,竟然拿李宗瑞的影片「釣魚」,結果有近千名員工「中招」,必須上2個小時的資訊安全課程。

根據《蘋果日報》報導,新北市研考會2周前發出一封惡意電子郵件,給市府6179名公務員,郵件主旨竟然就寫著「李宗瑞影片,趕快下載呦!」經清查後發現,共有996名員工點選,由於員工對資訊安全的危機意識不足,將分梯次上資安課程。

不過,新北市政府的這項做法也引發爭議,一位被「釣魚」成功的女性員工在接受《蘋果日報》訪問時就表示:「大家都想看啊,被叫去上課好丟臉!」另一位在街頭接受訪問的黃小姐也認為新北市的做法是不對的!「怎麼可以用李宗瑞這種情色的議題來做測試,應該要有更細膩的規格來檢視人性。」

陳同學也對《蘋果日報》表示,「我覺得很不合理,每個人都有好奇心,這種作法有引誘犯罪的嫌疑,而且這個話題這麼夯,我也想看看。」

新北市資訊中心則表示,會針對時下熱門的各種話題,例如團購、旅遊等題材進行演練,因為李宗瑞是時下最受矚目的話題,才會這樣設計,沒想到有這麼多員工好奇。

轉載自《Yahoo奇摩新聞》

2012年9月14日 星期五

APT攻擊手法在台灣持續翻新

APT攻擊手法在台灣持續翻新

達友科技獨家代理Xecure Lab,其先進資安威脅研究中心,發現從8月13號開始出現一波利用CVE-2012-1535 Adobe Flash Player弱點,與CVE-2012-0158的Excel弱點所寄發的目標式攻擊信件,據上傳至VirusTotal的多筆資料顯示,市面上42套防毒軟體沒有一家能偵測此零時差漏洞攻擊。

很快地Adobe原廠在8月14號就發布Flash Player的資安通報並提供更新下載,唯接下來一周持續出現的幾波APT攻擊,仍有許多防毒軟體即使更新到最新病毒碼(8/17),都被繞過無法偵測這些惡意文件。

這波2012-1535漏洞與早先CVE 2012-0158漏洞,在台灣於8月下旬又崛起一波新攻勢,其主旨、內文與附件均較國外更為細緻與複雜,精心為台灣民情與目標對象的社交活動而設計,攻擊手法有三大特色:1.「沒有來路不明的郵件」,受害者的通訊錄被利用為此波社交工程攻擊名單;2.「惡意行為無法被觀察」,受害者收到的附檔變成有密碼保護的Office文件;3.「附檔類型持續翻新」,受害者收到的附檔除了Word文件,亦有Excel文件

更由於成功躲避防毒大廠的偵測,台灣已發現多起遭受有效攻擊之個案——受害者事後上傳VirusTotal,確認其使用的防毒軟體無法有效偵測此惡意文件,包括台灣知名大廠都無法偵測。

綜觀目前市面上的APT解決方案,可分為四大類。

APT DNA分析技術

Xecure Lab自主研發的APT DNA分析技術,2011年獲得在全球最大駭客年會DEFCON首日公開發表的先進技術,係在閘道端即時對惡意檔案進行DNA採樣,不依賴文件格式、不依賴觸發環境、可突破文件加殼加密干擾、可突破反偵測技術,為全世界唯一有能力提供與商業版相同檢測等級的免費惡意文件上傳檢測網站,供全球駭客嚴峻測試,並服務一般廣大使用者。

靜態分析引擎技術

在閘道端採用的靜態分析引擎,雖不需等待病毒碼更新,卻可能需等待漏洞特徵更新,針對每個文件格式(包括PDF的各個改版)甚至每個漏洞特徵都需要撰寫一個分析模組,包括未支援的文件格式(該地區或該單位特有文書處理軟體)、未支援的CVE漏洞編號、加密碼的ZIP/RAR壓縮檔等,導致仍有很高機會錯過第一時間達到立即防護零時差攻擊的契機。

動態行為沙箱技術

沙箱技術無法重現漏洞的可執行環境,容易被反偵測,包括滑鼠會不會移動、休眠數十分鐘、對外連線測試、以及與使用者互動要求輸入密碼等技巧,都能輕易繞過沙箱環境。

黑白名單比對技術

黑名單列舉方式如同過去防毒軟體的病毒碼一般,有涵蓋率的問題。而白名單作法則須注意APT攻擊濫用可信任的簽章與憑證,如惡名昭彰的Flame在部分地區的版本甚至是有微軟合法簽章,而Stuxnet超級病毒當初亦有兩家台灣園區廠商的簽章,以及攻陷日本三菱重工的Hunter也有某軟體大廠的合法簽章。

轉載自《DIGITIMES中文網》

IDC:公有雲服務2016年將創造1000億美元營收


IDC:公有雲服務2016年將創造1000億美元營收

根據IDC的預測,到了2016年,公共雲端IT服務將會佔五大類別IT營收的16%,未來五年公共IT雲端服務中佔最大支出比例的將是結合應用程式與系統架構的軟體即服務(SaaS),但其他諸如儲存或平台即服務也都將快速成長。

市場研究機構IDC表示,今年全球的公有雲IT支出可望超過400億美元,到了2016年將創造1000億美元的市場規模,平均每年的成長率為26.4%。

根據IDC的預測,到了2016年,公共雲端IT服務將會佔五大類別IT營收的16%,這些類別涵蓋了應用程式、系統架構軟體、平台即服務(PaaS)、伺服器與基本儲存等,而且屆時這些類別的成長規模將有41%是由雲端服務所貢獻。

IDC首席分析師Frank Gens表示,IT產業正處於重要變革時期,現在企業所投資的技術將推動未來2、30年的成長與創新,最後將有80%的產業成長或企業IT都是由雲端服務及其他第三方平台技術所帶動,如果供應商的雲端服務失敗了,便意味著他們將停滯不前。

IDC指出,未來五年公共IT雲端服務中佔最大支出比例的將是結合應用程式與系統架構的軟體即服務(SaaS),但其他諸如儲存或平台即服務也都將快速成長,未來一年到一年半內推出的平台即服務則是維繫雲端服務強勁成長的要素。

全球最大的公共雲端服務市場為美國,其次是西歐及亞太地區,但公共雲端服務IT支出成長最快的仍然是新興市場,2016年時,新興市場IT支出所佔全球比例將成長一倍。(編譯/陳曉莉)

轉載自《iThome》

2012年9月13日 星期四

微軟新認證強調解決方案能力


微軟新認證強調解決方案能力

在IT認證市場中被視為基礎的微軟認證現在有了重大改變,主要變化在於認證名稱減少、增加解決方案的維度、持續認證等。

近兩年受到雲端運算發展的影響,不只IT產品發展方向必須同時考量雲端,連帶在IT認證的基礎上也必須將包含雲端的整合能力一併考量,微軟認證也有同樣的演化。

首先在名稱方面,回到MCSE(System Engineer)、MCSD(System Developer)等老名稱。
MCSE過去代表系統工程師(System Engineer),現在則代表Solutions Expert;MCSA過去代表系統管理師(Systems Administrator),現在則代表Solutions Associate。
而在IT專業人員的認證上除了MCSA、MCSE以外,則新增了一個MCSM(Solutions Master),以讓極少數的IT菁英顧問更被彰顯。Associate、Expert、Master對應的中文名稱分別為技術師、專家與大師,為一個漸進式認證過程,在進行高階認證之前皆必須取得前一階的認證。

台灣微軟中小企業解決方案暨經銷事業群合作夥伴策略副總經理王嘉玲解釋,2007年推出的MCTS/MCITP/MCPD等認證雖然在人數上日漸超越1994年推出的MCSA、MCSE、MCSD等認證,但實際在各個企業中,MCSA、MCSE、MCSD的字眼已經深植各企業IT相關職務,成為求職求才必須查詢的關鍵字眼,在品牌經營的考量下,微軟以市場通行的名稱賦予這些認證時代的新意義。其次,MCITP發展至今,已經衍生了太多的認證項目與名稱,藉由新一代的認證方案將其收斂,整體而言,認證名稱約減少85%。

對於持有MCITP等舊認證的人來說,王嘉玲提到認證是一個長期連續性的過程,即使現在有了新認證,舊認證至少還會有兩三年的有效期限。
關於有效期限在新認證亦有重要改變,由於部分新認證會根據IT環境需求調整跨版本的考試項目,因此新證照上不會顯示對應的產品版本名稱,通過認證者並不永久擁有認證,而必須每兩年(MCSD)/三年(MCSE)加考科目來維持認證有效性。

從考試的範圍來看,MCSA認證強調的重點主要是特定產品技術;MCSE則會強調解決方案為主,目前提供的認證類別則有資料平台、商業智慧和私有雲三種類別

擁有超過16年講師經歷的聖擎科技股份有限公司技術長曹祖聖預估,MCSA仍將以作業系統平台Windows Server 2012最為熱門。在MCSE的部分,王嘉玲則表示目前先推出的三項類別已經是現今企業環境最需要的部分,未來還會有其他類別的MCSE認證,一方面會依照產品推出的速度(例如即將上市的Windows 8)一方面則因為官方教材的編寫仍需要時間,而產品若持續地改版,也會讓教材編寫時間延遲(例如Azure)。

整體而言,曹祖聖則認為新認證考試的難度會比過去高。但相對來講,難度高也意味著通過的人少,如此認證的價值便會獲得彰顯,當然,這樣的效益也極有可能反映在薪資上。
曹祖聖也提到新認證的推出對於現已具備MCITP認證的人應該是最有利的,除了認證可以自動升級以外,只要加考兩科,便可取得現在的MCSE認證。

微軟認證考試同樣維持總分1000分,達到700分就合格的標準,目前單科考試的價格為每科100美金,王嘉玲表示,從去年(2011)七月開始考試報名費已經從80元美金調整為100元,但比起其他IT認證動輒250元美金起跳依舊便宜許多。

合作夥伴的認證升級速度則預估會比較慢,這是因為大多數合作夥伴都有合約執行中,如非特別需要沒有立即升級的必要。王嘉玲表示,合作夥伴授權分為金級跟銀級,分別搭配100套與25套的軟體授權以及技術支援項目,這是吸引合作夥伴持續升級微軟認證的主要原因。

轉載自《RUN!PC》

2012年9月12日 星期三

「告知後同意」的個資保護機制

釐清法律界限 避免事後究責
「告知後同意」的個資保護機制

資料蒐集是資訊化社會中大眾普遍進行的基本動作,但所蒐集的資料歸屬於私領域與公領域,這個界限到底要如何劃分,實在是見仁見智。新版個資法規範的對象與客體均比舊法更加廣泛,跟著作權法一樣幾乎涉及到政府、企業及個人每天都在進行的行為,影響至為深遠。

「蒐集」是資訊化社會中大眾普遍進行的基本動作,我們每天常常利用Google蒐集資料,search之後還會進一步re-search,以進行更細緻的蒐集與研究。

當蒐集的客體是他人享有著作權的資料時,實務上已引發智慧財產權保護與言論自由及合理使用空間的爭論;而當個人資料為蒐集的客體時,就牽動了個人隱私與公眾知的權利之間的緊張關係。

法律的界限

私領域與公領域的界限到底要如何劃分,隨著社會變遷與科技進步,實在是見仁見智。Facebook執行長馬克佐伯格曾表示:「人們越來越習慣在網路上和更多人公開分享各種資訊,社群規範是會隨著時間進化的。」

而Facebook最近才與美國聯邦交易委員會(FTC)就其涉嫌侵害用戶隱私違反FTC法令之行為(如片面更改隱私條款、把使用者以為是私密的資訊公開等)達成和解協議。

無論如何,我們不能忽略99年4月27日立法通過而可能於今年實施的「個人資料保護法」,其施行細則草案亦於100年10月27日公佈。

新版個資法規範的對象與客體均比舊法更加廣泛,跟著作權法一樣幾乎涉及到政府、企業及個人每天都在進行的行為,影響至為深遠。

為調和各種利益與價值,個資法設了許多例外規定,例如第51條排除一般社交活動蒐集、處理或利用個資的適用,但其模糊性並未在個資法施行細則獲得釐清。

另一方面,企業為符合個資法避免遭致民刑事責任及行政處罰,除有必要建置個資安全措施(請參見網管人第71期「個資安全措施的里程碑」一文)以防範個資外洩之外,亦須善盡告知義務以取得當事人同意而蒐集個資。

告知後同意的機制

「告知後同意(Informed Consent)」是為確保個人在充分資訊下做出適當決定的機制,已廣泛運用在醫療服務與金融商品的銷售且由法律所明定(請參醫療法第63條及金融消費者保護法第10條)。

由於個資屬於個人重要的隱私,如遭有心人士惡用可能造成個人隱私、名譽及財產的嚴重損害。個資法亦以「告知後同意」的機制作為個資保護的法律界限,符合國際立法趨勢以及OECD於1980年提出的個資保護八大項原則中第1項之限制蒐集原則(Collection Limitation Principle)。

告知 

個資法第8條規定除特定例外情事之外,向當事人蒐集個人資料時,應明確告知當事人下列事項: 

1.公務機關或非公務機關名稱。
2.蒐集之目的。
3.個資之類別。
4.個資利用之期間、地區、對象及方式。
5.當事人依第3條規定(即請求查詢、更正、刪除個資等)得行使之權利及方式。
6.當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 

關於告知的方式,個資法施行細則第13條規定得以書面、電話、傳真、電子文件或其他適當方式為之。須特別注意,告知雖不以書面為必要,但應以個別通知之方式(如電子郵件)使當事人知悉,不能僅以網站公告為之。 

同意 

個資法第15條與第19條均有規定「經當事人書面同意」得作為公務或非公務機關蒐集或處理個資之要件。

而依同法第7條,所謂書面同意,係指當事人經蒐集者告知個資法所定應告知事項後,所為允許之書面意思表示,此即「告知後同意」的機制。

個資法第8條規定告知事項中的「蒐集之目的」則界定了個資蒐集及後續處理與利用的界線,如超過特定目的,原則上應再取得當事人之書面同意。

關於同意之書面是否限於紙本?將影響電子商務的發展以及企業因應的成本。個資法施行細則第11條參考電子簽章法的規定表示:如其內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。

因此,企業為合法蒐集使用者個資,於網頁設計可採「兩次同意鍵」方式,第一次同意是使用者同意以電子文件來為意思表示,第二次同意則是使用者表示同意企業蒐集個資。

由於違反個資保護規定將招致民刑事責任以及行政處罰,企業從事商業活動進行成本效益分析時,應綜合考量透過蒐集個資而強化行銷力道所賺取之利潤,以及違法之代價與遵守法律所支出之個資保護成本。

就「告知後同意」的機制,企業除須合理控制成本之外,亦應保留個別告知以及取得書面同意的相關證據,以備將來遭控違法時,得證明無故意或過失而免責。

轉載自《網管人/作者:陳佑寰》

2012年9月11日 星期二

賽門鐵克:當年攻擊Google的組織仍未絕跡


賽門鐵克:當年攻擊Google的組織仍未絕跡

極光行動運用精心策畫、佈局巧妙的攻擊手法,後來被稱為進階持續性滲透攻擊。除了Google之外,包括Adobe、Juniper Network、摩根史坦利、Yahoo及賽門鐵克都是極光行動的受害者。

賽門鐵克(Symantec)最新的安全報告表示,2010年初對Google發動攻擊的「極光行動」(Operation Aurora)組織可能還沒絕跡,仍然持續在活動。

極光行動起於2009年12月,2010年1月為Google所公佈。Google聲稱遭到疑似來自中國方面的系統入侵與資料竊取。極光行動運用精心策畫、佈局巧妙的攻擊手法,後來被稱為進階持續性滲透攻擊(Advanced Persistent Threat, APT)。除了Google之外,包括Adobe、Juniper Network、摩根史坦利、Yahoo及賽門鐵克都是極光行動的受害者。

根據賽門鐵克上周五發佈的報告,這個名為Aurora的組織(賽門鐵克稱為Hydraq)三年來仍持續有所行動,它的攻擊對象擴及各種產業,手法也更為精進。這三年來,駭客攻擊對象,包括國防及國防供應鏈廠商、人權組織、非政府組織與IT服務業等等。值得注意的是,他們似乎通曉相當多零時差攻擊(zero-day attack)的漏洞。

賽門鐵克將這群駭客的行為稱作「Elderwood Project」。雖然之前也曾有駭客組織利用零時差弱點進行攻擊,像是Stuxnet、Skyipot及Nitro等,但未曾見過使用弱點數量那麼多的。賽門鐵克發現,2011年遭零時差攻擊的漏洞總計也才8個,但Elderwood Project過去幾個月中就入侵了4個。

此外,駭客的攻擊行為,也轉向名為watering hole攻擊的手法。駭客會針對目標組織常用的公開網站注入攻擊程式,等受害者上門時,電腦就會被植入木馬或後門程式。專家表示,這種精準攻擊,需要研究特定網站的漏洞,需要更高的功力。

這顯示駭客們具有很高強的技術能力,Gavin O'Gorman及Geoff McDonald在報告中指出,因為要發現這些弱點,需要花相當的人力或資源進行應用程式的逆向工程。此外,分析或取得上述組織擁有的資料所需的資源,背後可能是龐大犯罪組織,甚至可能是國家資助的行為。(編譯/林妍溱)

轉載自《iThome》

因應個資法4大管理機制:組織、人、物、契約

因應個資法4大管理機制:組織、人、物、契約

個人資料保護法於2010年修正通過,將規範主體擴及一般個人與公司企業,不再侷限於傳統八大行業,對企業營運來說造成不小的衝擊,由於現代企業經營無法與個資之蒐集、處理及利用分離,無論人事、行政、行銷企劃、客服、資訊…等部門,事實上皆難以脫離個人資料使用,若要遵循新法規範,就得在營運中落實對個人資料的保護,以下從組織、人、物及契約四大管理面向,提供法規遵循及風險控管的建議。

組織管理:首重專人專職

新版個資法第18條規定,公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,本條條文規範對象雖只限於公務機關,惟一般私人企業亦應比照辦理,因員工日常事務繁多,若未專人專責,個資保護勢將成為「眾人之事」而無人負責。

事實上,個資新法上路有諸多細節須調整因應,設置專人有利於企業評估自身需求及所面對之法規遵循風險,規模較大的企業更可考慮設計專職或兼職之「個資長」職位,處理與個資相關的管理工作,如:個人資料檔案建立/保管/維護、個人資料內部相關制度建立、企業員工教育訓練安排、人事異動交接程序規劃、個人資料安全維護設備採購…等。

此外,企業蒐集、利用與刪除或停止利用個人資料的制度設計,也是因應個資法施行的核心,企業活動涉及個人資料者,均應在事前進行個資生命周期評估,確認蒐集、利用該筆個人資料的合法性及維護成本,並將這套評估程序變成日常營運活動的一環。

以企業必然會有的僱傭契約為例,此乃基於人事行政管理之特定目的而蒐集、處理、利用員工的個人資料,然而,企業並非告知並取得員工同意後,就可以任意蒐集、利用其個人資料。根據個資法第8條有關告知事項之規範,企業在評估蒐集程序時,至少應考量所蒐集個人資料的類別、特定目的、利用期間及方式;另外還有蒐集後的管理方式?哪些人可以接觸該筆資料?接觸資料的程序為何?除了人事以外,其他部門員工能否加以利用?利用時應經何種程序?當員工離職退休時,又該如何刪除或停止利用個人資料?

新的商品或服務推出亦然,從商品或服務本身的設計、商品販售/服務提供方式、行銷推廣計畫、或與第三人合作行銷方案…等,都得將個人資料的法規遵循及風險控管納入規劃。企業應先建立可供內部遵循之作業準則,始能確保每一筆個人資料之蒐集、利用及刪除或停止利用均符合法令規範。

人的管理:加強教育訓練

個資法遵循與企業日常營運息息相關,對法規的認知不能只是法務部門,全體員工都要有一定程度的理解,例如:什麼狀況下可以蒐集個資、哪些個資可以蒐集、蒐集以後的保管與利用方式、手中的個人資料是否得停止利用、新產品或服務設計是否須納入個人資料保護的規劃、該如何規劃…等。此類與公司業務相關的個資法遵循事項,誠然某些部分可藉由事後與法務人員深入討論再修改或做出結論,惟如此一來亦可能因一再往返修改而拖累作事效率。

因此,企業應該將個人資料保護列入職前或日常教育訓練中,並訂定出工作規範,離職訪談時亦應提醒員工不得帶走任何個資檔案,或就其所接觸之個人資料為任何方式的利用,將法規遵循的基本概念深植於員工心中,使員工在執行各項企業所交辦任務時,能直接對個人資料保護事項做出基本判斷。舉例來說,信用卡業務員應該知道,銀行與客戶間基於信用卡申請書而建立了類似契約關係及相關之特定目的,因此,申請書上的個人資料除了基於此項類似契約關係及相同之特定目的外,不得任意調閱或做其他利用。如此不僅加快企業日常營運效率,還能降低企業違反個資法的機率。

事實上,個人資料與營業秘密類似,過往許多個資外洩案件皆由員工行為所引起,因此,人的管理其實很重要,最好能以具體方式呈現(也就是paper work),一來可降低違法風險,二來舉證方便,倘若日後發生個資侵害的爭訟,企業比較容易於法庭舉證日常已經努力做好個人資料維護工作,縱使無法因此脫免全部法律責任,仍有可能說服法官並做出減輕企業所應負責任的判決。


物的管理:透過資安技術落實管理制度

個資法遵循的工作重點有二個:落實法律程序及個人資料檔案維護工作。法律程序之落實,有賴於前述個資主管或法務主管的努力,以及員工教育訓練的成果,惟個人資料檔案維護工作,就不單單只是靠人的努力,還需要結合軟硬體資源才能達成目標,也就是透過資安設備落實個人資料管理機制或制度。

法律規範或企業內部作業準則多半嚴謹且生硬,一般人通常記不住其中所有條文,因此,企業導入資安設備時,除了用來防止個人資料遭到外部人士竊取,或避免因疏失而造成個資外洩事件,還必須注意一個重點,就是如何透過資安軟硬體技術,落實內部有關個人資料管理的規範。

舉例而言,若企業內部的資訊系統只有做權限控管,卻沒有具體的使用記錄,對於個人資料被不當利用時,往往難以早期發現,等到個資外洩事件爆發後,再嚴厲的內部懲處也無濟於事。以先前台灣高等法院法官違規查詢個資之新聞事件為例,為何事後可直接查證到特定法官在特定時間點進行不當查詢,就是因為資訊系統有相對應的配套機制。如何使資安設備功能不侷於資訊安全,而擴及個人資料管理,亦是企業未來因應個資法施行的重要工作。

契約的管理:合於法條規範

企業對內對外法律關係皆是落實於契約中,個人資料保護法施行後,契約內容亦將受到個資法影響,而有調整的必要性,例如:個資法施行細則草案第8條規定,委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受委託人為適當之監督,企業若將客戶個人資料委由第三人處理的話,就得於契約中詳細規範第三人應如何遵守個資法相關規定,企業又將如何對其作監督。

又如產品或服務有蒐集消費者個人資料需要時,企業可否於消費者契約中訂定,該契約之特定目的,使企業可在該目的範圍內進行利用?依據法務部2007年所表示之意見,特定目的應符合與當事人契約或類似契約關係目的範圍內始得為蒐集、處理或利用,是以企業應如何於契約中安排與消費者之法律關係及特定目的,亦是必須注意的地方。

綜前所述,個人資料保護法之目的除了保護個人隱私外,亦在促進個人資料之合理利用,因此,雖然法規制訂諸多程序條文及設下各項限制,惟如企業能於平時預先做好各項制度性管理規劃,不僅能消極地降低企業違法風險,亦能積極增加企業名聲,並更流暢的利用所蒐集之個人資料,相信在政府機關及企業的共同努力下,我們可以重返彼此「互信」的社會環境。


轉載自《資安人科技網》

1200萬筆Apple用戶資料外洩 FBI被入侵了嗎?


1200萬筆Apple用戶資料外洩 FBI被入侵了嗎?

近來討論最熱烈的資安事件,莫過於1,200萬個Apple行動裝置唯一識別碼(Unique Device IDs, UDID)的外洩。UDID是一組由40個字元或符號組成的識別碼,可用來識別每一台iOS終端設備,以便開發人員追蹤使用者的應用程式註冊與使用狀況。

日前,駭客組織AntiSec在網路上公布了100萬台Apple裝置的UDID,並表示這是來自於FBI的檔案,他們從FBI的Regional Cyber Action小組中的Christopher Stangl的筆電,下載了一個名為"NCFTA_iOS_devices_intel.csv"的檔案,其中有1,200萬筆iOS裝置的UDID,包括iPhone、iPad和iPod touche等,網路上所公布的只是其中100萬個,同時也己經取得這些用戶的個人資料,包括姓名、電話以及住址等。

AntiSec為駭客團體Anonymous下的組織,在今年稍早之前,就曾攻擊過隸屬Panda Security防毒公司的Panda Labs公司網站,以及銷售設備給美國警局的New York Ironwork的公司網站。

一位丹麥CISIS安全公司網路安全專家Peter Kruse出面證實了這起外洩事件,他表示,他的3組UDID就被列在AntiSec公布的名單中。

至於被AntiSec竊走的檔案,檔名中的NCFTA(National Cyber-Forensics & Training Alliance),即指美國國家網路刑事鑑識與訓練聯盟,該組織與FBI和其他私人企業合作打擊駭客攻擊和網路詐騙,AntiSec認為,這些UDID是被FBI作為追蹤使用者之用。

對此,NCFTA沒有任何回應。FBI則在9/4發表3點聲明,第一、沒有任何證據顯示該駭客組織是透過FBI竊取資料;第二、該組織內部的筆電也沒有發現任何被入侵的跡象;第三、FBI並未蒐集Apple裝置與用戶的資料。在FBI對外發出回應後的隔天,Apple發言人Natalie Kerris也表示,FBI沒有要求Apple提供公司產品的UDID,而Apple也未曾提供這些資訊給FBI或是其他組織。

安全組織SANS Internet Storm Center的Johannes Ullrich認為,沒有任何資料顯示此次的外洩事件與FBI有關,至於究竟是誰可能會有這樣的資料,目前也無法得知,因為很多應用程式開發者都有UDID的資料庫,這意味著任何組織可以不用透過Apple就能直接取得這些資料。研究UDID超過一年的安全專家Aldo Cortesi便指出,至少有5-10家手機網路廣告與遊戲的業者,擁有超過千萬筆UDID,而其他業者也可能擁有數百萬筆以上的資料。

此外,因為UDID可以連結至使用資料進而辨識使用者身份,因此使用UDID也同樣引起隱私爭議。對於UDID可能引發的問題,Apple則表示,他們已經找到新技術用來取代UDID,預計短期內就不會再使用UDID,可以避免此類的隱私外洩風險。

轉載自《資安人科技網》

導入個資標準BS 10012 需補強在地化差異

導入個資標準BS 10012 需補強在地化差異

隨著新版個人資料保護法(以下簡稱個資法)上路時程愈來愈近,各行各業日益正視新法所帶來的衝擊,對組織及企業(特別是擁有大量個資者)而言,內控管理上的重大變革已勢在必行。

建立個資管理系統 國際標準成為參考指南

企業組織要完全杜絕個資洩露的風險,實務上是相當棘手的巨大挑戰,難如登天。為了鼓勵企業組織正視個資管理並善盡管理責任,個資法其實設計了保護傘的機制,要求公務機關與非公務機關皆須辦理「適當安全維護措施」,既使仍不慎發生個人資料被竊取、竄改、毀損、滅失或洩漏之情事,非公務機關可向法官證明為無故意或無過失行為,盡可能爭取免罰或減輕損害賠償責任。在施行細則草案第九條,明確列出十一項適當安全維護措施如下:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用紀錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。

為與國際接軌,法務部在研擬施行細則時,參考兩個其他國家的個資管理標準,分別是英國BS 10012:2009及日本JIS-Q-15001:2006,以PDCA模式架構出「個資管理系統」框架,進而發展出上述十一項適當安全維護措施,希望各企業組織依此架構設計、建置個資管理系統,持續地運作與改善,確實保障已蒐集個資的安全。

上述兩個皆為可驗證的標準,意即可申請公正第三方驗證組織來稽核,通過後可授與證書或標章。因此,目前有些比較積極主動的企業(尤其是金融、電信業者)已開始規劃,導入並申請個資管理標準之驗證,彰顯自身的確已落實個資管理之良善責任。由於JIS-Q-15001:2006驗證機構在日本,台灣企業取得不易,加上台灣很多大型企業皆已導入ISO 27001(前身為BS 7799),制度接軌較容易,使得BS 10012成為市場主流選擇,以金融業為例,已經公告輔導要做的至少就有5家,如:合作金庫、中華郵政…等。

掌握BS 10012在地化差異 強化法規遵循性

筆者曾聽過許多人問一個有意思的問題:「為何台灣的企業及組織,需要申請英國個資管理標準之驗證,這道理我想不透?」的確,這是一個大哉問!其實如果台灣已建立個資管理驗證標準,就不再會有如此難以解釋的問題發生,可惜的是,現行尚未有此相關之CNS國家標準,最接近的算是經濟部商業司主導的臺灣個人資料保護與管理制度(TPIPAS),但目前仍是試辦階段,初期僅針對電子商務產業,尚無法服務至各行各業。

其實BS 10012架構完整,有其可供參考之價值。此標準循PDCA模式進行持續改善,標準中的各項要求,許多皆與個資法規範及施行細則之安全維護事項高度相關,如下表1所示,若能以BS 10012為基礎建置個資管理系統,將能具體呈現十一項適當安全維護措施之落實,有效強化個資保護,應可降低個資事故發生之可能性。

表1、BS 10012與個資法及施行細則高關聯性
個資法施行細則
BS 10012 條款編號及內容
一、成立管理組織,配置相當資源
3.1建立與管理PIMS


3.6資源提供
二、界定個人資料之範圍
3.2 PIMS的範圍及目標
三、個人資料之風險評估及管理機制
4.4 風險評鑑
四、事故之預防、通報及應變機制
4.6通報
五、個人資料蒐集、處理及利用之內部管理程序
4.7公正與合法的處理


4.8 處理個人資訊的特定目的


4.9 適當、相關及不過度


4.10 正確性


4.11保存及處置


4.12個人權利


5.2管理審查
六、資料安全管理及人員管理
4.13 安全議題
七、認知宣導及教育訓練
4.3訓練與認知


3.7PIMS納入組織文化
八、設備安全管理
4.13 安全議題
九、資料安全稽核機制
5.1內部稽核
十、必要之使用紀錄、軌跡資料及證據之保存
十一、個人資料安全維護之整體持續改善
6改進PIMS



不過,BS 10012標準仍有部份要求,與中華民國個資法規範不一致,這是企業在導入BS 10012時必須注意的地方:

一、 內含英國資料保護法與歐盟法規,部份要求並不適用:
BS 10012條款4.6「通報」要求,企業組織應遵循英國資料保護法,將個資處理過程之細節通報至資訊專責機構(the Information Commissioner),對照我國個資法並無此項要求。另外BS 10012條款4.14「個人資訊在EEA(歐洲經濟區)外之傳輸」要求,對我國企業組織並不適用。

二、 敏感個資定義不全然相同:
BS 10012定義之敏感個資為種族、政治立場、工會會籍、宗教立場、身心障礙者、性生活及犯罪前科等,而我國個資法定義之特種個資為醫療、基因、健康檢查、性生活及犯罪前科,定義不全然相同,另外,我國個資法明訂若非有特殊原因(即個資法第6條規定的例外事項),特種個資是不得蒐集、處理及利用,反觀BS 10012並無此高強度要求。

三、 部份個資法規範,並未涵蓋於BS 10012標準要求:
我國個資法部份規範,如書面告知、書面同意及軌跡資料保存等,並未涵蓋於BS 10012標準要求中,而上述要求,是目前各行各業最在意且最難實施之重點規範!!如何將法規要求融入至管理制度中,成為企業導入BS 10012的重要課題。舉例來說,BS 10012標準中的條款4.7.1「個人資料的蒐集與處理」中規範,企業組織應於蒐集個資時,向當事人提供「隱私權聲明」(privacy notice),清楚告知蒐集目的、處理過程及當事人權利…等八項訊息,未來企業組織可利用此條款規範,整合個資法書面方式之行使要求,讓當事人更明瞭權利義務及企業責任。另外,有關軌跡資料保存之管理,則可廣義地透過條款4.13「安全議題」來延伸涵蓋,軌跡資料的儲存與保護,及相關資料的存取控制,都是偏資訊安全面的管理領域,協助企業組織在未來舉證責任上,做好更充份的準備。

四、 管理系統標準著重系統有效性,個資法規則強調遵循性:
BS 10012標準著重於管理系統之運作,各企業組織個資風險係數不同,可考量自身面臨之威脅與弱點,來建置內部流程與程序進行控管,實施成熟度因各組織而異;但法規則強調遵循性,尤其個資法第四章至第六章,規範了行政檢查、損害賠償及罰則等,更應為各企業組織特別注意之處,但BS 10012並未著墨此部份。

總而言之,BS 10012標準內含許多要求,與我國個資法規具有高度關聯,確為值得參考的管理基礎,但仍有部份規範未完全涵蓋,企業組織僅憑一張BS 10012驗證通過的證書,是否能證明完全符合我國個資法規之各項要求,對法官心證而言,恐怕仍未具絕對說服力。



個資標準外的選擇:法規遵循性查核服務

為了更完整向法官說明個資法規之遵循性,現行許多專業團體,如法律事務所、驗證公司及顧問公司等,也紛紛推出類似個資法規遵循性查核服務,針對個資法規逐條逐項進行查核,根據查核結果產出報告。這類服務好比替企業進行個資法規健檢,其健檢報告內容,對於法界人士而言比較容易判別遵循性是否為良善狀態,企業組織除了透過BS 10012為基礎建置之個資管理系統來彰顯「適當安全維護措施」之有效性外,未來亦可思考另行採用遵循性查核服務,來補強部份法規未完全涵蓋之處,善盡管理責任。

就筆者觀察市場動態,新版個資法帶來衝擊雖然尚不確定,目前許多企業組織大多採觀望心態,希望視政府行政動作及初期訴訟案例,再來調整個資管理策略。無論策略為何,長期看來個資管理系統是不可或缺的,以下建議個資管理各階段務實性策略,供各企業組織參考:
一、 初期:進行個資教育訓練,了解法規規範,知法後才能避免違法;再者準備進行必要活動,如:個資盤點、風險評鑑等,為後期建置預做準備。
二、 中期:投入必要資源建置個資管理系統是一件艱難任務,在實務判決尚未出爐前,可且戰且走,先進行個資法規遵循性查核服務,透過查核結果了解有多少法規遵循差異,擬定改善計劃,做為下階段具體改善之指引。另外,若法官可接受此查核服務報告可展現良善責任,那企業組織可有效節省投入之成本。
三、 長期:查核報告僅能展現某一時間點,該企業組織在個資法規遵循性上的狀態,至於持續有效性管理之現象,較難於查核報告上呈現,除非企業組織定期實施查核。若法官心證仍希望各企業組織持續維運個資管理系統,則投入必要資源來建置個資管理系統仍為最終目標,藉時再視實際判決之案例,若證書之客觀性具有一定參考價值,則可考慮申請第三方驗證服務。
四、 風險轉移:不可諱言,耳聞有許多企業主不惜鋌而走險,不願花太多時間及人力,進行個資管理系統之建置及維護,希望花錢了事圖個方便,對這些企業組織而言,直接投保個資險,將風險轉移,則是一個不錯的選擇;另外許多大型高個資風險企業,為求多一道保險,也會將個資保險納入整體規劃中。

就筆者近一、兩年多場次個資相關議題說明及課程講授後之心得,許多企業組織代表在了解新版個資法後,心裡產生許多莫名恐懼,更有甚者,直指此法堪稱惡法,將使各企業組織綁手綁腳,對台灣經濟發展產生倒退的巨大影響。其實不需用如此負面心態看待新法,從文明進步的觀點來看,新版個資法不僅符合國際潮流,更完整地保障每個人的隱私權益,另一方面,也兼顧了各行各業合理利用個資的需求,積極鼓勵企業組織正視個資管理之重要性,這兩者價值或有難兩全之處,但盡可能達成平衡基準點,可受社會公評,這才是立法精神之所在。因此,如何投入必要資源,建構個資管理,善盡管理之責,才是企業組織正面看待個資法的因應之道。


轉載自《資安人科技網》