2012年11月30日 星期五

Windows XP的延伸支援進入500天倒數計時


Windows XP的延伸支援進入500天倒數計時

Windows XP是微軟最長壽的視窗作業系統,從2002年上市迄今已超過10年,但仍然有不少企業使用XP。微軟即將於2014年的4月8日終止XP的延伸支援,之後微軟將只針對特定的企業提供要價相關昂貴的客製化技術支援服務。 

微軟即將於2014年的4月8日終止對XP的延伸支援,並在上周五(11/23)進入500天的倒數計時

Windows XP是微軟最長壽的視窗作業系統,從2002年上市迄今已超過10年,但仍然有不少企業使用XP。企業對XP的依賴讓微軟特別為XP支援的終止提供倒數計時程式,甚至有人將該程式稱為定時炸彈,以突顯終止XP支援所帶來的影響力。

根據Net Applications的統計,Windows XP仍是全球第二大受歡迎的作業系統,市佔率高達40.66%,僅以微幅的差距落後Windows 7的44.69%。

專門提供軟體管理及遷移諮詢的英國顧問公司Camwood表示,還在使用XP的企業必須在500天內遷移到Windows 7或Windows 8等新平台,否則於XP上所建置的企業程式或資料便會流於衰敗,企業必須儘快採取措施以保障機密資訊。

微軟是在2008年6月30日停止XP的產品銷售,2009年4月14日終止XP的主流支援,即將於2014年的4月8日終止XP的延伸支援,之後微軟將只針對特定的企業提供要價相關昂貴的客製化技術支援服務。

轉載自《iThome》

2012年11月29日 星期四

銀行撐不過70Gbps洪泛洗禮證明DDoS末日攻擊的確可行


銀行撐不過70Gbps洪泛洗禮證明DDoS末日攻擊的確可行

DDoS安全設備方案商Arbor Networks警告指出,分散式阻斷服務攻擊(DDoS)的攻擊波不僅可以橫掃目標網站,還包括位在其間的網路服務供應商(ISP)。
銀行撐不過70Gbps洪泛洗禮,DDoS末日攻擊的確可行
單一DDoS攻擊不僅能快速地攻下單一網站,甚至連同位在其間的任何服務供應商皆無一倖免。

Arbor Networks全球銷售工程暨營運副總裁Carlos Morales,就所謂DDoS「末日攻擊」說的可行性發出警告指出,該類型DDoS不僅僅攻克端點受害者,甚至連同位在其間的網路服務供應商也一併拿下。其分析結果是基於今年9月到10月間,針對美國銀行所發起DDoS攻擊的統計數據。

令人擔憂不已的是,即使惡意攻擊者事先對外宣佈他們發動攻擊的確切日期、時間,乃至鎖定的目標,被鎖定的金融機構仍無法避免網站最終被攻垮的命運。

銀行官員及DDoS專家莫不認為,全都怪駭客擁有如此驚人規模的攻擊。駭客很顯然地劫持入侵了許多位於服務供應商的伺服器,也因為如此,能藉此發動高頻寬流量的惡意攻擊,集結各種攻擊技術,攻擊者可以隨意攻克任何被鎖定的目標。

某種程度而言,得歸功於一些攻擊中所採用的「itsoknoproblembro」DDoS工具套件,該工具讓我們見識到,最高攻擊速率可達到70Gbps的持續性封包洪泛(sustained packet floods),以及每秒3千萬個驚人封包量的攻擊能量。

在經歷了如此狂風暴雨式的流量洗禮之後,即使擁有再先進技術的金融機構網站,也都無法正常的運作。「大部分企業及政府資料中心恐迫連10Gbps速率或再大一點的洪泛攻擊都撐不過,」Morales在部落格貼文指出。

轉載自《網路資訊雜誌》

2012年11月28日 星期三

個資法施行後對組織之衝擊與因應


個資法施行後對組織之衝擊與因應

無論達官顯要、工商領袖抑或尋常百姓,所有人的納稅資料,都為財政部財稅資料中心所彙集保管,這些資訊如此重要珍貴,可以想見,新版個資法對於該中心所帶來的衝擊與挑戰,肯定比任何企業都來得大。

財政部財稅資料中心主任蘇俊榮指出,所以該中心早在一年半年以前,便因應個資保護議題展開相關建置作業;在此過程中,他獲得一個頗值得分享的心得,所謂個人資料保護,應是企業或組織全員皆須面對的課題,上至最高階主管,下至司機、工友或清潔人員,所有人都無法置身事外,因此若將所有負擔押注在IT或技術部門身上,未免太過沈重,也絕非理想的做法。


財政部財稅資料中心主任 蘇俊榮

日本前車之鑑 值得台灣企業重視

較早施行個資法的日本,其一路走來的前車之鑑,絕對值得台灣企業引為借鏡。

檢視日本個資洩漏來源,電子資料佔有48.7%比重,而紙本也佔了43.8%,兩者可說不相上下,反觀現今台灣企業,似乎只對電子資料保護著力至深,卻忽略了文件紙本這些足以洩漏個資的禍患,顯見企業在積極部署IT解決方案之餘,亦應重視流程管理,才能面面俱到。蘇俊榮表示,由此更印證了個資防護、人人有責的真理,因為紙本型式的洩密事件,單憑IT部門一己之力,絕對難以杜絕,更無法全然規避風險。

此外,日本個資求償事件,係於個資法實施後的2~3年達到高峰,由此推論,民國103年恐成台灣個資損害求償的高峰期。

根據一份來自媒體的調查報告顯示,台灣公民營組織於因應個資法施行上,最大的困難點為「缺乏可遵循的規範或做法」,此乃由於大家皆是首次面對這項問題,自然沒有太多參考依據;對此蘇俊榮建議,不妨可先行參考政府相關規範(例如BSI10012),而諸如金融或保險等面臨相對巨大挑戰的業者,可考慮引進第三方顧問予以輔導,但輔導目的並不在於通過認證,而應致力將個資保護的精髓,內化到實際作業流程之中。

檢視企業個資管理衝擊 尋求破解之道

當然,因應個資法的挑戰,理應不僅「缺乏可遵循的規範或做法」,尚有其他困難點。例如「數位證據紀錄、保存與鑑識不易」,蘇俊榮提醒企業,千萬不要以為由電腦硬碟所儲存的資料或日誌檔,一旦日後遭遇個資訴訟,都可成為有效的呈堂證供,並獲得法官的採信,因為倘若無法100%驗證其絕對未經竄改,這些資料或日誌檔的證據效力,仍然令人存疑,因此有必要借助其他工具,藉以確保這些記錄的不可否認性。

其餘較為顯著的困難點,還包括「稽核難以全面落實」、「個資散落難以完全盤點」。有關前者,蘇俊榮建議可先朝向風險最高的部分著手,進行重點式的稽核;至於後者,他則提醒企業莫要僅盤點駐足在資料庫、檔案系統或其他電腦主機的電子資料,包括非電子型式的紙張或文件,亦須納入盤點範圍,所以其耗時費工的程度,絕對比企業想像得巨大,因此他再度重申不要只想由IT部門一肩扛起這些責任,不管是財務、人事等其他單位,大家都要抱持憂患意識,必須共同參與個資盤點之艱鉅任務。

另外,蘇俊榮設想了一些情境,不管是公營或民營組織,未來都有可能面對,其間包括了客戶所反應的「我想刪除我的會員資料與交易記錄。」、「我想查我老公的資料?」、「為什麼我加入會員後過幾天一直接到詐騙電話?你們可有好好保管資料?」、「我想加入會員,但不想填身分證字號。」這些情境看似稀鬆平常,但裡頭的任何一項,都可能對企業作業面產生重大衝擊!

總結這些衝擊包括:行銷過程的客戶資料之來源違法性,對外行銷與客戶紙本/電子資料之存取控制,客服過程對於客戶隱私之尊重與個資相關權益之保障,確保金流處理過程中、金流資訊之正確性與機密性,內部客戶資料相關資訊系統之良好技術控制、與良善管理責任之舉證,行銷單位對客戶資料之合理應用、與交叉行銷活動之合法性,對於協同作業或委外廠商於個資委外管理之責任展現,紙本與數位資料使用軌跡記錄之管理及保存方法,各行政單位對於內部大批員工之隱私保護、與個資管理工作之落實。

面對上述衝擊,蘇俊榮認為企業可先訂定個資管理的層次與目標,接著擬定完整的個資安全維護計畫,再者則展開推動步驟,包括建立個資管理組織、尋找法律授權依據、加強資料交換防護(涵蓋分享資料之分級標示、敏感性資訊去識別化、設置當事人權益主張申訴窗口、安全維護與舉證 責任)、降低網頁個資外洩的風險,以及Plan-Do-Check-Act的個資管理循環。

轉載自《DIGITIMES中文網》

竊賊透過電子門卡安全漏洞侵入飯店房間


竊賊透過電子門卡安全漏洞侵入飯店房間

Hyatt飯店在竊案發生的兩天後發表聲明,表示房鎖並未被破壞,而且在該期間內也沒有被任何門卡開啟,而是有人利用數位工具在數秒內就破解了房鎖。

Forbes報導,有一名Dell顧問在今年9月入住休斯頓的Hyatt飯店後,房內的筆電不翼而飛,房門既未被破壞,也沒有服務人員曾進入該房間,最後證實竊賊是透過飯店電子門卡的安全漏洞侵入房間。

Hyatt飯店在竊案發生的兩天後發表聲明,表示房鎖並未被破壞,而且在該期間內也沒有被任何門卡開啟,而是有人利用數位工具在數秒內就破解了房鎖。

今年7月,24歲的研究人員Cody Brocious即曾揭露Onity所開發的電子門卡含有安全漏洞。

Onity號稱全球有超過200個品牌的連鎖飯店、約400萬個房間採用該公司的電子門卡解決方案,但Brocious打造了一個萬用鎖,把它伸進房門外的DC埠並通電,就能讀取電子鎖的記憶體,找到開啟房門的字串並將其傳至電子鎖,就能把門打開。當時Brocious指出,Onity的電子鎖內用來儲存各種資訊的記憶體太容易被存取,而且完全沒有加密保護。

在Brocious揭露相關漏洞後,Onity提出了兩項權宜之計,一是用螺絲鎖住資料接口,二是置換整個鎖的電路板,但Onity要求飯店業者要自行付費升級。

在此一竊案曝光後,Onity發表聲明表示,安全為該公司的最高宗旨,在研究人員展示漏洞後,Onity工程師很快地就開發出機械上與技術上的解決方案來修補,這些解決方案已通過資安業者的檢驗且已供飯店更新,飯店不是正在進行更新就是已經完成更新。(編譯/陳曉莉)

轉載自《iThome》

2012年11月27日 星期二

掌握資安防護關鍵確保企業營運不中斷


掌握資安防護關鍵確保企業營運不中斷

近日,相信有些人已接獲來自金控公司寄發的「個資應用同意書」,奇怪的是,這份同意書的收受日期,已晚於10月1日個資法正式上路施行日,但更離奇的是,平日往來的銀行當中,尚有多家尚未提出類似的同意書。讓人不禁納悶,是這家金控公司太過謹慎,抑或其他金控公司神經過於大條?

然而無論如何,個資法已經上路施行,是不爭的事實,不管新聞媒體有無鋪天蓋地的追逐報導,或者誠如上例,是否有部分服務業者開始提出與個資使用相關之同意書,企業高階主管都應當有所體悟,此法影響層面實在太廣,不只對於保護個人隱私、杜絕垃圾郵件氾濫等事項幾近吹毛求疵,更將對許企業營運帶來嚴重衝擊!主因在於,企業以往不時透過客戶個資的蒐集與運用,進而習以為常從事行銷或業務活動,過去並無大礙,如今卻可能觸法挨罰,從而抑制了業績衝刺的空間。







即使並未對個資加以積極運用,但這些個資駐足於企業後台資料庫系統,有否嚴加看管?能否防範內賊或外賊逕自盜取應用?亦是另一嚴峻課題。

個資風暴來襲 企業必須妥善因應

既然對企業營運帶來如此重大影響,理應即早做好因應才是。然而根據DIGIITMES在2012年6月執行的一次調查顯示,仍有63.9%的受訪者,不確定所屬企業現有架構是否足以舉證營運過程有無違反個資法;而有55.5%受訪者表示,並不確定公司目前資料庫稽核、防護與資料隱私保護等措施,是否足以防止資料外洩。

根據此一調查結果,顯見多數企業在個資法施行後,仍遲遲未能做好準備。這不僅是法律制定與施行的問題,而是企業IT管理與心態上的問題!因此,面對許多個資法施行的法律條文討論,不禁可套用前美國總統柯林頓的一句名言:「笨蛋,這是管理問題!」(原文是:It's the economy, stupid)

在此前提下,企業如何一掃積弊,進而使得與營運管理相關之業務、稽核、IT等一干人員,都能養成正確的概念、以及在維持高度靈活的管理心態下,以企業營運成長為前提,亦可保障企業擁有資訊資產安全、維繫營運不中斷,確實當務之急,已不容蹉跎猶疑。有鑑於此,DIGITIMES遂於11月8日舉辦「2012企業資安日論壇」,針對個資防護、企業資安的各項議題,設計多場精彩課程,以期在個資法上路之初,協助企業保護資訊資產、掌握個資應用能力。

產官研精銳盡出 精闢詮釋資安防護之道

這場「2012企業資安日論壇」,旨在針對個資防護、惡意攻擊防護、行動安全…等主題進行深度探討,邀約產、官、研各界專家分享各自解決方案與實務經驗,希冀為MIS、營運e化,以及稽核管理人員,提供最新的資訊安全相關新知,讓聽眾擷取到不同角度的經驗與意見。

針對「產」這個領域,此次活動邀集多家知名業界人士。以研製新世代入侵防禦系統著稱的Sourcefire,其東協暨南亞區總監Henry On,以「資訊優勢贏得網路安全戰役」為題發表演說,整場演說圍繞「知己知彼、百戰百勝」之主軸,建議企業必須先行洞悉內部網路架構,明白自己的優劣勢所在,如此才能掌握資訊優勢,從容面對來自企業網路之外的各式侵擾。

一向以優異防毒技術深植人心的趨勢科技,眼見「進階持續性滲透攻擊(Advanced Persistent Threat;APT)」愈演愈烈,企業資訊資產保全難題急遽升高,遂由其技術顧問黃源慶就「面對APT企業應當採取的縱深防禦防護策略」題目進行分享,不僅為聽眾提供最佳的APT解決方案,亦針對APT攻擊的內涵與樣貌,進行深度的闡述。

台灣網威的NetIQ台灣區產品技術經理李民偉,將演講主題定調為「符合法規依循及IT治理需求之日誌管理實務」,其演講內容涵蓋了「安全性資訊與事件管理(SIEM)」與「日誌管理(Log Management)」等極為契合個資防護議題,處於個資法施行上路的當下,自然有助滿足企業之於這些議題的求知渴望。

代理知名ESET防毒軟體的台灣二版公司,由高級產品經理盧惠光披掛上陣,以「企業機密外洩大公開-行動存取隱憂」發表演說。他一方面點出企業在日常生活中的若干小動作,恐將成為資安防護大漏洞之隱憂,二方面則對DLP (Data Loss Prevention)方案的檔案加密、週邊控管、網路控管等分類進行介紹。

以網頁應用防火牆、資料庫監 控等方案享譽業界的Imperva,其北亞區技術總監周達偉演講主題為「資安防護與稽核控管-企業如何實踐個資法的規範需求」,針對新版個資法的實施下,企業如何準備因應相關的稽核作業、強化資訊安全保護的措施,展開精闢的陳述。

榮膺業界性能最高的防火牆之SonicWALL,由產品經理沈炫谷登台演說,分享主題為「打造企業次世代安全網路」,期望以次世代防火牆(NGFW)引領聽眾開啟新視野。

兼具「官」及「用」等雙重角色的財政部財稅資料中心主任蘇俊榮,講題重點為「個資法施行後,企業蒐集、應用個資作業流程管理」,他強調個資法勢必大幅提升民眾及消費者對自身隱私保護的重視,因此組織必須推動內部完整個資管理循環,善盡良善管理責任,合法也合理的利用個人資料,並兼顧組織運作之最高目標。

至於「研」方面,大會則以國家高速網路與計算中心副研究員蔡一郎的「網路異常分析與殭屍網路的偵測防護」作為壓軸;他表示,駭客行動主義盛行,使網路世界充斥危機,殭屍網路為目前主要的資安威脅來源,並大大衝擊傳統資安防禦機制,企業有必要瞭解目前殭屍網路的發展以及所使用的技術。

轉載自《DIGITIMES中文網》

你保存的Log有證據力嗎?


你保存的Log有證據力嗎?

臺灣勤業眾信分享協助企業做數位鑑識的經驗,除了保存完整可用的Log檔案,定期更新IT系統架構圖,讓企業都可以按照鑑識程序,確保數位證據的證據力 

個資法施行後,當個資當事人提出訴訟時,企業必須提出各種證據,證明自身已經落實各種個資保護作為,並善盡管理之責,最終的目的在於減輕甚至減免過失責任。

要企業提出證據證明自己的清白,紙本個資的留存還算容易,只需要妥善的保管紙本資料即可,但是,現在企業營運高度依賴各種IT系統提供各種資訊服務,如何將這些IT系統的運作過程和使用者的行為全數保留起來,並可以作為企業在法庭上的證據,其困難度比起紙本資料保存,相對難上許多。

名偵探柯南卡通影集有句名言:「真相,只有一個」,但在現在的數位化社會中,許多的電磁記錄稍縱即逝的情況下,逝去的數位證據如何保存?如何重現?又該如何還原當時景象呢?

臺灣勤業眾信企業風險管理協理曾?表示,對於許多企業而言,因應個資法保留各種應該保留的紙本和數位記錄,光是個資法施行細則第12條規定的11款安全維護措施中,企業應該應明定保留各種「使用紀錄、軌跡資料及證據保存」,如何有效的保存,就是一大工程。

曾韵指出,由於臺灣勤業眾信已經有多次協助企業進行個資外洩調查時的數位鑑識經驗,從過往的實務經驗中也發現,不少企業保存數位證據的觀念有誤,不僅導致個資外洩事件調查功虧一簣外,也無法提供足夠的證據,證明企業本身已經善盡管理之責。她說,當個資法正式施行後,能否提供具有證據能力和證據力的數位證據,不僅是每人賠償500元或2萬元之間的差異,更是企業商譽的保護關鍵。

因此,勤業眾信從過往協助企業調查個資外洩的經驗,提出了4項建議可供企業落實數位證據保存的作法參考,確保數位證據具有證據能力和證據力,足以作為法庭呈堂證供之用。

勤業眾信建議企業可以留存的Log紀錄類型
層面
說明
營運流程層面
係指於各業務流程中,針對個人資料檔案申請、簽核及核准之資料存取及授權行為記錄。
應用系統層面
係指使用者透過應用系統介面存取個人資料檔案之使用行為記錄。
資料庫管理層面
係指資料庫管理人直接至資料庫進行資料操作及存取行為之使用記錄。
作業系統層面
係指系統管理人員至系統主機上進行相關個人資料檔案操作之使用記錄,或於個人電腦中使用者相關檔案存取行為之記錄,如USB複製內容記錄。
網路環境層面
係指存取網路環境與相關設備之記錄,如網路流量監控記錄、網路安全攻擊事件封包記錄或相關網路設備之操作監控記錄。
實體環境層面
係指存取環境之記錄,如門禁管理系統出入記錄、監視系統(CCTV)影像紀錄等。



IT證據力1:先盤點,保留關鍵系統的Log
曾韵指出,以往企業保留各種Log資訊,是為了進行系統的除錯(Debug),找出系統設計有問題的地方,以便進一步調校,例如,企業會留下駭客進行各種Port Scan的失敗記錄。

但是在個資法施行之後,曾韵認為,企業對於各種Log保留的想法和態度,都應該要重新調整,相關的數位資料留存,都是為了證明企業已經善盡管理之責,最終希望能夠做到減輕甚至減免企業的過失責任。因此,究竟應該要保留哪些重要的Log,就顯得非常重要。

她表示,和進行個資盤點一樣,企業第一步就得先評估,究竟要保留哪些系統的Log資訊。就顧問的角度而言,所有的資料能夠保留最好都全數保留,但這又涉及企業所需花費的成本,因此,以個資法的規範來看,哪些系統包含重要個資或者是個資含量比較高的,都應該列為應該留存Log檔的系統之一。

許多商業設備和作業系統已有內建完整的Log機制,企業用戶往往只要啟動Log記錄功能即可,保存難度不高。臺灣勤業眾信企業風險管理副理陳威棋說:「問題往往來自企業內自行開發的各種應用系統的Log留存。」

他指出,企業自行開發的各種應用系統,往往是為了配合企業營運流程所設計的系統,只要功能面能夠滿足需求,多數開發人員並不會意識到,必須建立完整的Log機制;或者是開發人員雖有設計Log機制,但只是為了除錯之用,有效的Log應該具備的人、事、時、地、物等相關資訊經常付之闕如。協助企業自行開發的應用系統落實Log資訊的保存,並具備應該有的訊息,才能成為對企業有幫助的數位證據。

IT證據力2:設定合理Log存放和管理原則
今年某月,曾韵帶領勤業眾信數位鑑識團隊到某電子商務業者公司,協助調查個資外洩事宜。她表示,該公司從今年某個時間點之後,就一直有消費者投訴,持續接到各種詐騙電話,不堪其擾。該電子商務業者為了挽救商譽,並且找出個資外洩的原因,便請勤業眾信協助進行調查。

到了該電子商務業者的公司時,勤業眾信企業風險管理副理宋子莉請IT部門同仁協助,提供各種的IT系統與設備的Log檔,包括網路、資料庫甚至是各種應用系統的存取記錄等。但是,宋子莉發現,IT部門提供的Log檔,卻只有片段的記錄,資訊並不完整。

她進一步調查發現,原來很多系統雖有啟用Log記錄功能,但是許多關鍵主機因為存取量大,加上儲存Log的硬碟沒有設定空間將滿的警示訊息,一旦Log能使用的儲存空間用滿了,新的Log檔案就會重新覆寫到過去的舊Log檔,像是存取頻繁的AD伺服器,Log保留的時間甚至只有一小時而已。

此外,宋子莉也發現,資料庫稽核機制設計不良,導致資料庫負載過重、效能緩慢,許多實際運作時的SQL存取語法回應記錄沒有妥善保留,加上整體Log檔缺乏集中存放、管理和歸檔機制,Log檔實際可保留的天數過短,導致該電子商務業者提供的數位資訊,不利於鑑識團隊進行分析。

因為個資外洩事件在鑑識團隊進駐後,仍持續發生,因此,曾韵便帶領勤業眾信鑑識團隊協助該公司的IT部門,重新設定並調整各種IT系統的Log機制,並重新規畫各種Log的存放和管理機制,來匯集可供分析的有用資訊。



IT證據力3:Log檔應提供人事時地物完整資訊
個資法規定企業應留存各種證據,最終是為了要能夠在法庭上證明,企業在各種可以防範個資外洩的關鍵點上,都已經落實應該盡的管理責任,而所有的管理流程,也都有明確的記錄,有跡可循。希望透過相關證據的完整呈現,可以減少甚至減免企業的過失責任。

為了提高Log記錄的證據能力,陳威棋建議,企業應該從具備人事時地物等類的Log資訊著手,人的資訊包括使用者帳號和來源IP,事的資訊則有各種資料存取的詳細記錄,時間則可包括系統登入、存取和登出時間,地的資訊則可以確認目標主機或者是所存取的檔案名稱,物的資訊則包括各種資料和系統存取成功或失敗的訊息等。他認為,當這些Log檔案的留存都可以提供足夠的分析資訊,也有助於作各種的異常分析。

IT證據力4:企業應定期更新系統架構圖
曾韵指出,鑑識團隊協助業者調整系統,蒐集了大約一個月的Log資料後,就可以開始定位出可疑的系統。她指出,第一個定義可疑系統的方式就是,從外洩的資料中回推,企業內有哪些系統擁有外洩的資料類型。例如,如果外洩的個資包括客戶姓名、地址、聯絡方式和購買品名的話,企業就應該回頭檢視,就目前企業的流程中,在哪些系統中有這些外洩的個資。

除此之外,由於鑑識團隊是外來的專業團隊,不了解企業內的系統,往往必須依賴IT部門,協助告知相關的IT架構與系統設計流程,鑑識團隊才能在可能外洩個資的關鍵系統中,設計查核的機制,來蒐集所需要的資訊。

但是,曾韵表示,業者IT部門提供的IT架構,往往只有原始的系統設計架構,對於企業後續因應營運狀況所做的各種IT系統調整的部分,IT部門並沒有提供正確的資訊,讓鑑識團隊白白浪費了許多時間。

陳威棋建議,企業應該要定期更新IT系統架構圖,包括各種網路拓樸,不只是作為內部控管之用,一旦有外部團隊進駐時,就可以有完整的IT架構資訊可供參考。

各種IT設備的Log和相關的系統內容及電子文件資料,都是企業證明是否以善盡管理之責的關鍵,曾韵說,從盤點並保留關鍵系統的Log,並提供完整的Log資訊,邁出企業保留正確Log第一步;搭配合理Log存放和管理原則、定期更新系統架構圖,一旦有異常,就比較容易找出外洩個資的關鍵點。她認為,只要所有鑑識過程都符合程序,所保留的數位證據都具有證據能力和證據力。


勤業眾信數位鑑識工具大公開

勤業眾信在其他國家,原本就已經有提供數位鑑識的服務,而臺灣團隊則是為了因應個資法的施行,早在2年多前,個資法母法通過當時,就已經逐步強化數位鑑識團隊的鑑識能量



耐摔鑑識工具箱
臺灣勤業眾信提供給鑑識人員使用的鑑識工具箱,為了因應不同環境的變化需求,除了基本的防水耐摔抗震的功能外,也設計兩個鎖頭,避免內部的鑑識工具被任意拿走。採用軍用規格的行李箱,放置一般提供給外勤鑑識人員,經常使用的鑑識工具。內有兩層隔層,第一層物品是各種鑑識用的軟、硬體裝置,第二層則是放置鑑識人員需要使用的各種輔助工具,例如延長線等。



專業鑑識軟硬體工具 
這是放在鑑識行李箱第一層的工具,(1)是可以進行線上鑑識的軟體F-Response;(2)是鑑識軟體EnCase Protable,針對開機電腦蒐集消逝性證據;(3)和(5)是不同介面的磁碟防寫機;(4)是各種常見排線接口;(6)是一對一硬碟複製機;(7)是鑑識分析軟體EnCase。



常用鑑識輔助工具
這是放在鑑識行李箱第二層的工具,(1)是拆卸電腦的工具組;(2)是LED手電筒;(3)內裝各種包括SCSI排線;(4)是USB轉接器;(5)是軍規行動硬碟,防摔抗震;(6)是DVD燒錄機,可將電腦內的資料燒錄成唯讀光碟;(7)是各種器材的線材;(8)是延長線。



軍規數位相機 
為了確保數位證據符合鑑識規範,拍照和錄影搭配各種表單工具是非常重要的佐證環節。鑑識人員一旦到定位開始進行採證時,會開始定點錄影,另一臺相機則將每個動作拍照存證。



軍規筆電 
採用軍規筆電,為了因應鑑識過程中,不小心發生突發狀況導致鑑識證據全毀的情況。拆卸硬碟產品過程中,避免落塵影響,也使用防止靜電的防靜電手環和接地的防靜電墊子。



硬碟防震箱
鑑識人員在完成數位證據的採證後,在傳送硬碟證物的過程中,為了避免不必要的震動或摔到地上,導致數位資料損毀,將3.5吋硬碟放在適當大小的硬碟盒中,再放置在具有防震力的行李箱傳送證物。

轉載自《iThome》


Skype嚴重漏洞 只要Email就可入侵帳號!


Skype嚴重漏洞 只要Email就可入侵帳號!

駭客攻擊網站、系統導致使用者帳號密碼外洩的事件時有所聞,然而,Skype日前被發現的安全漏洞,任何人只要取得使用者E-mail就可輕鬆入侵該帳號,用戶隱私輕易被攤在陽光下,令使用者不禁大嘆太過誇張。

日前(11/13)俄國網路論壇上發佈一篇文章,說明如何透過Skype漏洞入侵帳號的步驟,該文章隨後也被如Reddit等論壇轉載和討論,並引起軒然大波。文章指出,只要在Skype密碼重設頁面,輸入使用者的E-mail帳號,並更改成新的帳號密碼,就能取代原有的帳號密碼,整個過程甚至沒有重新發送通知到email信箱進行認證,就可以完成。

許多資安專家呼籲使用者,最好先將Skype帳號所使用的E-mail改成新的、過去未曾使用的E-mail。趨勢科技資深資安顧問Rik Ferguson親自測試了此漏洞,結果發現,整個過程僅需要數分鐘,就可輕易入侵他人的Skype帳號,他表示:「整個過程非常容易,就連沒有電腦操作經驗的使用者也辦得到!」

而在漏洞被揭露的隔天,微軟也暫時關閉Skype密碼重設功能,並在當天稍晚,透過部落格更新最新進度,公告該安全漏洞已經修補,同時恢復密碼重設功能。

乍看之下,Skype處理漏洞的速度相當快,但事實上,這個問題早在今年八月時就被發布到俄羅斯論壇上,當時Skype沒有做出立即處理,直到該文章於日前再度被張貼在網站時,才緊急著手修補。此外,Skype回應,僅有少數使用者受到影響,但根據揭露該漏洞的作者表示,此漏洞已經被廣為濫用,並影響到許多使用者。

Skype修補漏洞的效率受到質疑已經不是第一次,今年稍早之前,許多媒體報導Skype另一個安全漏洞,讓駭客可藉此追蹤使用者的IP位置,而且研究機構指出,該漏洞已經被發現長達一年半之久,卻未修補。早在2010年11月時,研究機構Inria與紐約大學工學院組成的研究團隊就發現此漏洞並公開研究結果,但在今年再度測試時,發現Skype竟仍未修補此安全漏洞。

從這次事件來看,對使用者而言,如同Rik所說,即使只是發信給別人,這資訊也可以用來對付你,總之,盡力維護隱私是不會錯的。不過除此之外,所有使用者也都期待的是,Skype該思考如何提升漏洞修補效率,以縮短安全空窗期,而這也是所有網路業者需要面對的問題。

轉載自《資安人科技網》

2012年11月26日 星期一

Mobile SEO:行動設備搜尋者比較容易產生消費嗎?


Mobile SEO:行動設備搜尋者比較容易產生消費嗎?

我們在"Mobile SEO是否有助於產品銷售?"談到,67%的使用者認為讓行動設備順利瀏灠,比較會讓人想進行消費。並且如果無法在行動設備上很順利的瀏灠網站,使用者會認為這個企業不是一個好的企業。

我們進一步由"49% of Mobile Auto Searchers Buy a Car Within 24 Hours"看到另外一個驚人的數據 (詳細請參考報告內容),竟然以行動設備去搜尋汽車的使用者,在24個小時內會有將近一半的人會購買汽車。當然這個只是美國的數據,在美國買汽車比買摩托車還方便,所以在台灣應該不會出現類似的趨勢。

但是有幾個地方值得注意,第一件事是,使用者並不會去汽車品牌的網站去搜尋資料,反而會去非品牌的網站去搜尋資料。也就是說,如果我要買A牌的汽車,我不會去A牌的網站,因為官方網站都是一面倒的資料,所以我會去其他第三方的客觀網站,去瞭解各種品牌的資訊,然後再做決定。

消費者是否更可能拜訪第三方的客觀網站,而不是官方網站呢?

所以如果這種情況,A牌的汽車網站做得再好都沒有用處,就算搜尋時出現在第一名,使用者一樣會跳過去,因為那裡不會有真正的購車資訊。

第二件事是,大部分使用者並不會使用A牌的汽車製作的APP來尋找資訊。因為使用者剛開始並不知道要什麼,因此他們希望的是廣泛的資料來源,所以不會以APP進行搜尋。

你製作的APP是否有驅動力引起消費者使用呢?

所以如果你的行業也類似這個情況的話,你製作精美的APP根本就沒有任何軟換的用處,可能只達成品牌認知。而你的網站再怎麼操作SEO,也不太能夠產生引起消費的作用,頂多只能當成網路上精美的線上型錄。

第三件事是,對於行動設備搜尋者來說,距離非常重要。他們希望的就是透過搜尋,可以馬上瞭解如何前往或是需要費時多久。所以你的實體商店是否能夠讓行動設備搜尋者找到與在地地區相關的資訊,就顯得非常重要。

提供非常充分的產品資訊之外,實體商店的地點資訊更是重要。

第四件事是,許多使用者起初都不知道他們到底要什麼,所以根本不可能下一個精準的關鍵字,說不定就由很廣泛的「汽車」或是「汽車價格」等等大範圍關鍵字開始,或是與地區有關的「台北汽車」、「台中汽車」等關鍵字去縮小範圍。

你是否能夠瞭解各種情況下,使用者可能如何下關鍵字呢?

所以假設你是汽車品牌,而你把網站搞得很漂亮,操作很多SEO,提供iOS與Andriod APP給消費者下載,也許會發現怎麼做都沒有用。

因為雖然使用者會使用搜尋,雖然使用APP是個趨勢,雖然行動設備搜尋者很容易產生消費,但是卻跟你都擦身而過。

所以不是跟對趨勢就好,還有更細節的事情需要思考。

轉載自《SEO關鍵解碼》

2012年11月25日 星期日

顛覆傳統的新一代網路架構 - 網路新革命SDN


顛覆傳統的新一代網路架構 - 網路新革命SDN

 
撰文⊙張景皓 攝影⊙陳世榮

Google機房與SDN
Google從2010年開始將機房與機房之間的網路連線(G-scale),轉換成SDN架構,並自行設計交換器,而Google的全力投入,也讓其他人相信,SDN可能就是網路的未來。

新一代網路架構SDN顛覆傳統網路的控制模式
Google、Facebook、Yahoo、微軟等多家指標型的大企業投入了SDN架構與OpenFlow技術的發展,這個新世代的網路架構改變了傳統網路控制的模式,對諸多網通業者帶來不小的衝擊

3種SDN架構的產品策略
SDN市場正處於成長的階段,有越來越多的廠商提出相關的解決方案,以及投入生產支援OpenFlow技術的產品或是應用程式的開發

延伸閱讀 
Google機房秘密大公開- 逛Google機房學資料中心設計
向來是高度機密的Google機房,因為街景車開進了雷諾資料中心,而秘密大公開。現在Google的機房重地開放給全世界參觀,於是我們請曾經為Google設計節能伺服器的機房專家翟本喬,為我們帶路解說。

HP明年下半年推SDN控制器 
HP提出虛擬應用網路架構來打造SDN軟體定義網路的願景,目標要讓應用程式能自動部署,預計明年下半年推出SDN控制器設備

Brocade VDX交換器明年全系列支援SDN架構
Brocade推出VDX 8770交換器和MLXe核心路由器模板,並宣布VDX和ADX交換器明年將全系列支援SDN架構

轉載自《iThome》

Google機房與SDN


Google機房與SDN

Google從2010年開始將機房與機房之間的網路連線(G-scale),轉換成SDN架構,並自行設計交換器,而Google的全力投入,也讓其他人相信,SDN可能就是網路的未來。 

本期兩個封面故事的主題,剛好都跟Google有關係。其中一個封面故事的主題是新一代網路革命──SDN(Software Defined Network,軟體定義網路),而另一個主題是Google如何設計資料中心,這兩個主題合起來看,其中還頗有一些關連。

Google的機房一直很神秘,就連Google自己的員工也不見得看過,甚至,即使Google在一些地區必須租用他人的機房,委由機房代管業者維護系統,維運人員也無法了解Google的系統。據了解,這些維護工作都很簡單,就是在設備故障時換上備品,系統自己就會自動更新,無須維運人員操作。

不過神秘的Google機房終於在日前解密了,Google街景車開進了位於北卡羅來納州的Google雷諾資料中心,現在全世界都可以在網路上逛起Google機房。

跟著街景車逛Google機房,是一個頗為新鮮的經驗,然而我看來看去也不過是覺得機房很大,整齊美觀,有些地方確實與其他的機房不同,其中有什麼玄機倒看不太出來,真是所謂的內行看門道,外行看熱鬧。

Google機房如此神秘,一定有很多地方值得學習,於是我們特別請機房專家翟本喬來當導遊,帶大家一起逛Google機房。翟本喬在Google任職時,為人津津樂道的就是設計Google專用的伺服器,當你進到Google機房,就可以看到這些與眾不同的伺服器。

看了Google機房的設計,你就會知道Google要設計自己的伺服器是有道理的。過去大家都知道Google伺服器有一個很重要的特性,就是省電,畢竟當你擁有數十萬甚至上百萬臺伺服器大軍時,每臺伺服器只要省下一點點電力,整體效益就很可觀。不過,進Google機房一看,你會發現這臺伺服器還有其他的巧思。

Google伺服器有一個截然不同的設計,所有的連接埠都在伺服器的前面板,電源線、網路線等等都從伺服器前面板接入,而伺服器的背後就只有散熱風扇,其他什麼插孔都沒有。這麼設計其實是要搭配熱通道的設計,一般機房的熱通道是預設人員會進出,因為伺服器的連接埠在背後,要維護或調整線路時,維修人員必須進熱通道;但Google機房熱通道的設計是整個封閉,人員不須要進出熱通道,因為在伺服器前端就能完成所有維護工作。熱通道能完全封閉,對於機房的散熱來說當然是更好。

接著,當你走到Google機房的網路室,一定也會發現Google連網路交換器都自己設計,這就與本期的第二個封面故事──SDN有關係了。

Google從2010年開始將機房與機房之間的網路連線(G-scale),轉換成SDN架構,到了今年,Google所有機房之間的網路連線,全數轉為SDN架構了,並以OpenFlow協定傳輸資料。

SDN與傳統三層式網路架構迥然不同,SDN的架構主要分成控制層(Control Plane)與資料層(Data Plane),由控制層的軟體來管理封包的傳送,而資料層就依照指令傳送封包。

傳統的網路架構,是由路由器各自決定最佳封包傳送路徑,所以每一層路由器都要花時間來演算封包路徑,就整個系統來看,管理者也無法掌握封包的傳送路徑;而SDN則是由控制層的軟體來演算最佳封包傳送路徑,資料層的設備完全依照指令來傳送資料。

SDN這種新的架構,提供許多好處,管理者可以控制整體網路的傳輸路徑,若要修改網路政策,也只需要調整控制層的設備,而不需逐一更新所有的網路設備。

SDN的諸多好處,讓Google在2010年決定開始採用,但當時市面上沒有可支援OpenFlow的網路設備,Google因而自行設計交換器。現在Google可說是全世界最大的OpenFlow使用案例,Google的全力投入,也讓其他人相信,SDN可能就是網路的未來。

轉載自《iThome》

新一代網路架構SDN顛覆傳統網路的控制模式


新一代網路架構SDN顛覆傳統網路的控制模式

Google、Facebook、Yahoo、微軟等多家指標型的大企業投入了SDN架構與OpenFlow技術的發展,這個新世代的網路架構改變了傳統網路控制的模式,對諸多網通業者帶來不小的衝擊 

根據網路監控軟體業者Arbor Networks估算,Google在2010年時的流量,就已經占了全球網路流量的7%。為了能持續承載這樣龐大的網路流量,今年4月,Google技術基礎設施資深副總裁Urs Hoelzle在開放網路高峰會上公開透露,Google花了2年的時間,大費周章地將內部資料中心的骨幹網路轉換成新一代的網路架構,這個架構就是近2年開始竄紅的軟體定義網路(Software Defined Network,SDN)。

Google運用了OpenFlow傳輸協定來打造內部資料中心的SDN 架構,新的網路架構讓Google原本只有30~40%的網路頻寬使用率,一口氣提升了3倍,高達95%的使用率,換句話說,Google就算使用相同的網路設備和線路,可以承載的網路流量也變成了3倍。因此,Google還計畫要將承載使用者流量的骨幹網路,也轉換成這個全新的SDN網路架構。

SDN網路架構並非是Google獨家的作法,早在2009年的IEEE InFocom會議上就提出了SDN架構的概念,而打造SDN網路的關鍵傳輸協定OpenFlow則是美國史丹佛大學在2008年的未來網路研究計畫中的其中一項專案,該校Nick McKeown教授發表了OpenFlow技術,並成立了Openflow.org網站來分享OpenFlow的相關軟體及技術文件。

也有不少企業或學術機構開始嘗試打造SDN網路,如日本NTT、AT&T、eBay、HBO、歐洲核子研究組織(CERN)等等。網通業者如Cisco、HP、Brocade都大力投入SDN網路相關產品如OpenFlow控制器與交換器的研發,甚至連IBM、NEC、微軟、VMware等都加入這個新一代網路架構的技術市場。

如今,推廣OpenFlow技術的社群,更形成了制度化的基金會。2012年3月時,Google、Facebook、微軟、Yahoo、NTT等企業聯合成立了開放網路基金會(Open Networking Foundation,ONF),接手OpenFlow技術的制定,目前共有80多家廠商加入,共同推廣OpenFlow技術,而OpenFlow技術已經發展到1.3版。

OpenFlow網路架構圖 
OpenFlow網路環境三大要素:(1)用來定義網路封包傳輸路徑的OpenFlow路由表(Flow Table);(2)決定網路封包流向的軟體控制器(Controller);(3)作為傳輸溝通用的OpenFlow協定(OpenFlow Protocol)。

控制器與OpenFlow交換器硬體之間需先建立安全通道(Secure Channel)連接,通道之間以SSL加密技術加密,確保傳送之間的安全。企業網管人員可藉由OpenFlow協定所提供的開放原始碼與交換器硬體溝通,設定OpenFlow路由表,由OpenFlow路由表定義封包的傳送路徑。




現今的網路架構越來越不敷使用

現今的網路架構是建立於擴展樹協定(Spanning Tree Protocol,STP)上的三層式架構,透過各種傳輸協定來傳送封包,然而,隨著雲端應用服務及巨量資料需求日益增加,網際網路的路由表越來越複雜,讓目前的網路架構產生了許多問題,越來越不敷使用。

為了要實現各種網路協定,交換器或是路由器必須不斷的拆分及重組封包,導致傳輸效率不佳,無法有效發揮網路頻寬;網路管理人員需要客製調整各種網路設定時,必須針對每臺交換器或路由器,逐一登入命令執行介面(command-line interface,CLI)設定,相當麻煩,也不易快速變動網路架構來因應企業建置新系統的需求。而且透過人工逐一設定的方式也有很高的風險,一旦網路管理人員輸入了錯誤的指令,很容易造成網路服務癱瘓。

此外,網通廠商的設備雖然能通過共通的協定進行傳輸,但是各有各的網路管理技術或是網路作業系統軟體,網管軟體彼此之間難以相容,一旦企業購買某一廠牌的設備,未來更新設備時就必須遷就於該廠牌的網管功能,無法選用其他廠牌的設備,造成被網通廠商挾持的情形。

SDN架構將全由軟體發號施令
SDN網路架構就是為了要解決傳統網路的這些問題,SDN的特色是修改了傳統網路架構的控制模式,將網路分為控制層(Control Plane)與資料層(Data Plane),將網路的管理權限交由控制層的控制器(Controller)軟體負責,採用集中控管的方式。

控制器軟體就像是人類的大腦,統一下達指令給網路設備,網路設備則專責於封包的傳遞,就像是人類的四肢負責執行各項動作。這樣的概念讓網管人員能更靈活也更彈性地配置網路資源,日後網管人員只需在控制器上下達指令就可以進行自動化的設定,無須逐一登入網路設備進行各別的設定,節省人力成本也降低了人為部署發生疏失的可能性。

而OpenFlow技術則是一項通訊協定,用於控制層和資料層間建立傳輸通道,就像是人類的神經一樣,負責大腦與四肢的溝通,OpenFlow協定目前也是實現SDN架構最主流的技術。

OpenFlow技術將封包傳送的路徑看成是一條「Flow」,就好像是專屬的傳輸路徑,網管人員可依據企業政策或是服務層級協議(Service Level Agreement,SLA)在控制器軟體上設定各項網管功能以及預先建立邏輯網路,來決定封包傳輸方式,例如經過哪些交換器,需要多少的網路頻寬,再將傳輸路徑設定成OpenFlow路由表(Flow Table)。

接著在控制層和資料層之間利用SSL加密技術建立起安全的傳輸通道,控制器會將設定好的OpenFlow路由表透過傳輸通道傳送給資料層的網路設備來進行封包派送。因為傳輸路徑已預先設定完成,交換器不需要透過不斷學習來尋找封包傳送的路徑,可大幅提升傳輸效率,降低延遲(Latency)的時間。

此外,企業日後僅需透過廠商提供的OpenFlow韌體進行更新,即成為支援OpenFlow技術網路設備,就可以透過支援OpenFlow技術的控制器軟體來管理。也就是說,不論企業採購哪一家廠商支援OpenFlow技術的網路設備,都將交由控制器統一管理,被單一網通廠商綁定的問題就可以迎刃而解了。

SDN架構與現今網路架構的差異 
SDN改變了網路的控制模式,將網路管理的功能交由控制層的控制器(Controller)負責,第三方可以開發應用程式部署於控制器內,再透過OpenFlow傳輸通道,統一下達指令給資料層的設備,網路設備則專責於封包的傳送。




SDN是可程式化的開放網路架構

由OpenFlow技術所打造的SDN架構,除了可解決現今網路架構的盲點,在控制器軟體上也將提供API讓第三方使用者可依據企業政策及需求來開發相關的應用程式,像是網路安全管理、負載平衡、頻寬管理QoS等,也就是說,SDN是個可程式化的開放網路架構。

國家高速網路與計算中心網路與資安組研究員劉德隆表示,現階段要開發SDN應用程式的門檻較高,但對於硬體設備廠商來說,將會是一大衝擊,交換器的重要性將會不如以往,未來客製化的軟體就可以提供各項硬體設備的功能,而專門設計網路硬體設備的廠商是否會因為SDN架構的出現就此沒落,也是自SDN提出後,備受關注的議題之一。

HP企業事業群網路設備事業處副總經理劉士毅認為,就算交換器的功能會越來越單純,未來可能僅負責封包的傳送,但網通廠商仍可專精於該提升傳輸效率及硬體設計成本的節省,也說不定SDN的刺激會有更多創新的功能出現。

2016年SDN市場規模預估達20億美元
不少專家皆認為,SDN開放API將會在市場上帶來一波新的商機。研究機構IDC也預測, 2013年,SDN的市場規模約為2億美元,到了2016年則將成長至20億美元,也就是說,SDN架構的市場相當具有發展的潛力。

許多廠商也投入了這塊新興的市場,推出相關的產品或是解決方案,但是目前技術上仍未標準化,僅有為數不多的企業應用案例,除了Google之外,有數間企業因為特殊的需求率先試用SDN架構的產品或是解決方案,像是日本NTT、AT&T、eBay、HBO、CERN等等。

學術界投入和發展SDN的腳步較快,例如由美國美國多所大學、企業、政府機構與跨國研究單位所共同維護的先進網路社群Internet2,目前這個社群中已有數十所大學透過OpenFlow技術彼此互相連接,而且骨幹網路頻寬至少達到100GbE,以便研究人員、教授、學生以及開發人員等進行研究及測試之用。

除了美國Internet2之外,國際上採用SDN架構佈建的學研網還有歐盟的OFELIA計畫、日本JGN-X網路以及韓國KOREN網路等等。此外,由12家企業及美國史丹佛大學及柏克萊大學共組開放網路研究中心(ONRC, Open Network Research Center),藉由合作企業與學校實驗室之力,致力於OpenFlow技術與各項創新應用服務的研究。

臺灣學術界已有專研SDN架構與OpenFlow技術的聚落
至於臺灣學術界的部分,國家高速網路與計算中心將其所管理的臺灣高品質學術研究網路透過跨國光通道(Lightpath)與美國iGENI平臺介接,打造出一個採用OpenFlow技術的TWAREN Future Internet Testbed測試平臺。而除了國網中心之外,成功大學、高雄應用科技大學、臺灣科技大學、交通大學與中華電信電信研究院等單位也能與此測試平臺相連,形成鑽研SDN架構與OpenFlow技術的聚落。目前該平臺正嘗試與日本JGN-X平臺建立連線設定。國科會也編列預算支持了一個3年期的研究計畫,來研發雲端服務需要的OpenFlow技術和應用。


臺灣企業還不了解SDN

臺灣多數企業目前則抱持著觀望與懷疑的態度,甚至還不了解SDN架構,Cisco技術事業群客戶解決方案架構師錢小山表示,目前實際採用SDN架構的案例仍太少,多數客戶懷疑是否真能解決現有網路架構的問題,對於SDN架構也沒有太多的信任感。

IBM系統暨科技事業處高級技術專員林俊谷表示,企業對於SDN架構的接受度存在著許多的疑慮,大型企業會認為現有的網路架構已運作多年,為什麼需要轉換,何況要進行轉換就必須花錢採購支援OpenFlow技術的設備;而中小型企業極可能受限於經費不足,缺乏相關人才等問題而無法推動;甚至網管人員可能會因為集中化管理後,管理人員無須太專業的知識即可勝任,而產生危機意識進而排斥SDN架構。

微軟營運暨行銷事業群資深協理周旺暾認為,高度虛擬化的企業因為有大量虛擬機器移動的需要,所以對於SDN架構會有較大的需求,但在臺灣虛擬化應用才剛起步,可能多數企業還不了解什麼是SDN架構。

無論是在學研界或是產業界,皆有為數不少的人力與經費投入於SDN架構與OpenFlow的發展與推動,SDN看起來也像是個萬靈丹,可解決現有網路架構的瓶頸,但SDN網路是否會取代現有網路架構,專家們也出現了多種看法。Brocade大中國區技術經理黃藍玓認為,目前SDN架構的應用偏重於大型企業的特殊需求上,對於中小型企業較仍無太多實質上的幫助,他預期未來會是兩種網路架構並存。

SDN架構的發展仍需克服許多的挑戰

國家高速網路與計算中心網路與資安組研究員劉德隆表示,目前OpenFlow尚未標準化,開發商也沒有範本可以參考,未來第三方程式的分享與安裝有一定的風險性存在,若無相關單位負責應用程式的審核,應用程式的安全性是存疑的。

劉德隆表示,OpenFlow技術正往標準化的方向邁進,SDN架構的市場仍處於正在成長的階段,還有許多問題及技術議題需要被克服,像是網路皆交由控制器控制,控制器設備勢必要具備相當良好的效能,否則在大型的網路環境下,龐大的網路流量會拖垮控制器的效能;若要使用多顆控制器,又該如何有效的控管等等。況且目前相關的應用案例太少,仍無法判斷未來的趨勢。

此外,企業若是要將現有的網路架構轉換成SDN架構,勢必要將目前的網路設備汰換成支援OpenFlow技術的網路設備,這是一大筆的經費支出,也會是企業最優先考量的問題。更何況,多數企業對於SDN架構與OpenFlow技術普遍認知不足,這也是相當棘手的問題。

然而,劉士毅則預估,3年後SDN的市場將會大於現有的網路架構市場,一旦SDN架構與OpenFlow技術商業化後,中小企業會是最大的受益者,網路管理人員只需透過控制器軟體進行相關設定即可妥善管理網路,不但可提升網路的利用率,亦可節省企業的營運成本。

SDN架構及OpenFlow技術才提出來僅短短幾年的時間,卻已經引起了廣泛的討論及獲得廠商大力的推展,甚至像Google更已將內部骨幹網路環境轉換成SDN架構。各家廠商也紛紛透過不同的方式想要在SDN市場上搶得先機,SDN架構帶來的衝擊讓硬體廠商不得不求新求變,各企業也必須對SDN架構有進一步的認識,也許在不久的未來,SDN架構就是企業打造網路架構時另外一項選擇。


SDN網路也有App Store

新一代網路架構SDN,其核心價值就是將控制層與資料層分離,資料層的網路硬體設備聽命於控制層的軟體控制器,而控制器將提供API讓第三方可依照企業的政策或是服務層級協議(Service Level Agreement,SLA)來開發SDN應用程式,方便網管人員管理網路。

由軟體來控制硬體的全新模式,勢必會對硬體廠商帶來不小的衝擊,然而,開放的API也將預期會帶來另外一波新的商機。

國家高速網路與計算中心網路與資安組研究員劉德隆表示,美國Internet2在建置完100G的SDN網路環境之後,可能會規畫SDN App Store,這項規畫若能順利實現,將會促進SDN與OpenFlow技術的發展。

目前在學研界正積極進行SDN相關應用程式的研究,像是網路架構管理、網路監控、頻寬管理QoS、負載平衡以及網路安全性等,一旦日後有殺手級的應用程式出現,將會帶動更多開發人員投入這塊領域。

SDN App目前仍有許多風險,企業應自行開法已獲得充分掌控權 
SDN App Store的概念,目前處於醞釀的階段,還有許多議題有待克服,劉德隆表示,目前OpenFlow尚未標準化,開發商也沒有範本可以參考,未來第三方程式的分享與安裝有一定的風險性存在,若無相關單位負責應用程式的審核,應用程式的安全性是存疑的。

因此,劉德隆建議,就現階段而言,企業應針對自行的需求進行應用程式的開發,才能獲得對程式碼的充分掌控權,降低發生風險的可能性。

微軟營運暨行銷事業群資深協理周旺暾認為,SDN應用程式之間是否會互相干擾,假設應用程式無法運作了,是否會影響網管的管理,又該如何解決,這些問題都必須審慎討論。

SDN應用程式開發門檻高
倘若SDN App Store概念順利實現,會不會如同行動裝置的App Store一樣蓬勃的發展,多位專家皆認為,SDN應用程式偏重於網路管理功能,而且開發人員要開發SDN相關的應用程式前,除了要有程式開發能力之外,更重要的是要具備諸多的網路知識,才能著手進行,也就是說,和行動裝置的應用程式相比,SDN應用程式開發的門檻較高,並不會變成消費性取向的App Store。

此外,目前在網通市場擁有大約7成市占率的Cisco,也將開放可程式化的網管API,這些網管功能與技術因為在現有網路架構擁有大量的客戶在使用,一旦這些網管功能與技術可以讓客戶們依據企業政策或是管理需求進行客製化的開發,是否會影響OpenFlow技術的發展,也是日後值得關注的議題。

轉載自《iThome》




3種SDN架構的產品策略


3種SDN架構的產品策略

SDN市場正處於成長的階段,有越來越多的廠商提出相關的解決方案,以及投入生產支援OpenFlow技術的產品或是應用程式的開發

新一代網路架構SDN與OpenFlow技術已提出多年,而這塊新興市場極具發展的潛力,IDC預測到了2016年SDN市場規模將高達20億美元,也吸引了各家廠商的投入,相繼推出了各自的做法或是支援OpenFlow技術的產品。

從實現SDN架構的作法來看,可分成研發OpenFlow網通產品(包含控制器、交換器與路由器)、發展網路虛擬化技術以及開發SDN應用程式等3種。

各家廠商的SDN策略各有不同,有些廠商試圖提供一個能涵蓋上述3種的整體性解決方案,像是HP、Cisco,有些廠商則偏重於特定類型的策略,像是Brocade則計畫將全系列產品都支援OpenFlow技術。

而微軟及VMware則是著重於發展網路虛擬化技術,目前沒有推出網通產品的規畫。IBM的SDN策略較為不同,分階段執行,目前完成了設計支援OpenFlow技術的產品及網路虛擬化技術這兩個部份。

各家廠商SDN架構的作法比較
3SDN架構的產品策略
各家廠商的作法
設計支援OpenFlow技術的產品(包含了控制器、交換器與路由器等)
● Cisco 3560-X3750-X系列支援OpenFlow技術,預計明年推出控制器產品。
● HP
:目前已有25款支援OpenFlow技術的交換器,預計明年推出控制器產品。
● IBM
:交換器RackSwitch G8264以及控制器產品PNC
● Brocade
MLXNetlron CESNetlron CER這三個系列的交換器與路由器已經支援OpenFlow技術,預計明年ADXVDX全系列也將支援OpenFlow技術。
● VMware
NVP平臺具有支援OpenFlow技術的控制器。
網路虛擬化作法
● Cisco:將加強對VXLANNVGRE技術的支援。
● HP
VAN架構搭配IRF技術,可將多個實體網路設備虛擬成一臺邏輯裝置,並針對應用程式特性進行調校。
● IBM
DOVE技術,可在Hypervisor上模擬出實體網路,方便網管人員可直接透過軟體來進行網路的設定及服務的部署。
● VMware
NVP平臺可以管理主機與實體網路之間的網路抽象層,可利用VXLAN協定進行虛擬機搬移。
微軟:Hyper-V 3.0新增虛擬交換器功能,透過System Center 2012虛擬機器管理模組,可對虛擬機器進行管理,可利用NVGRE協定進行虛擬機搬移。
SDN應用程式開發
● Cisco:開放網管功能API,並提供開發套裝工具onePK
● HP
:目前已有三款SDN相關應用程式,分別提供雲端管理、網路安全服務及負載平衡的功能。



CiscoONE開放API讓客戶可自行開發相關應用

Cisco在今年的Cisco Live大會上提出了開放式網路環境(Cisco Open Network Environment,Cisco ONE),將開放API網管,並提供一套開發工具套裝onePK(One Platform Kit),讓開發人員可使用自己熟悉的語言來開發符合企業網路管理需求的應用,這樣的意義就是可程式化網路的概念,而這也是SDN架構的核心概念之一。

onePK將對Cisco軟硬體產品提供階段性的支援,預計會支援網路作業系統IOS-XR與NX-OS,硬體平臺ASR、ISR G2、CRS、Catalyst 及Nexus。

Cisco也預計將於3560-X及3750-X系列的交換器上提供OpenFlow 1.0版本概念驗證的代理程式,Cisco預計明年推出控制器產品。

此外,Cisco也將加強對VMware支持的網路虛擬化協定VXLAN(Virtual eXtensible Local Area Network)及微軟網路虛擬化協定NVGRE(Network Virtualization using Generic Routing Encapsulation)的支援,並將在Nexus 1000V虛擬交換器提供OpenStack Quantum外掛以及REST API。

Cisco技術事業群客戶解決方案架構師錢小山表示,Cisco不會只著重於OpenFlow產品的開發與生產,更要進行新舊的網路協定整合,讓客戶可以擁有更多的選擇性。

HP著重於應用程式的開發、整合與管理
HP則提出了虛擬應用網路(Virtual Application Networks,VAN)架構,包含了支援OpenFlow的網路設備及控制器、IRF虛擬化技術(Intelligent Resilient Framework),更延伸至企業應用程式的整合,並根據應用程式的特性來進行網路傳輸效能的調校,此外,也著手進行SDN相關應用程式的開發。

VAN將基礎建設中常見的網路架構分為分支機構(Branch)、學區校園(Campus)及資料中心Fabric這3種,將提供支援OpenFlow的網路設備及控制器讓用戶來打造基礎設施,配合IRF技術將多個實體網路設備虛擬成一臺邏輯裝置,透過控制器產品來管理,實現SDN架構集中管理網路的概念。

HP企業事業群網路設備事業處副總經理劉士毅表示,VAN架構中的智慧管理中心(Intelligent Management Center,IMC)平臺已經整合了超過100種的應用程式API,將會和控制器進行整合,讓企業用戶有更多應用程式可以選擇。

HP目前已推出了25款支援OpenFlow的交換器,以及開發了三款SDN相關的應用程式,分別可提供雲端管理、網路安全防護及負載平衡的功能。此外,目前在國外也有多間企業或實驗室試用了HP 的OpenFlow產品,如HBO以及歐洲核子研究組織(CERN)。


IBM分階段完善SDN解決方案

至於分階段完善解決方案的IBM,目前已著手設計支援OpenFlow技術的產品及網路虛擬化技術這兩個部份,於去年推出RackSwitch G8264交換器,這臺交換器搭配NEC的控制器,提供用戶一個SDN的解決方案,而目前有兩個實際採用IBM與NEC的解決方案的國外廠商,分別是提供光纖網路服務的Tervela及提供資料分析的Selerity。

IBM也於上個月推出控制器產品PNC(Programmable Network Controller),PNC除了下達指令給網路設備之外,還會建立和網路設備間安全的傳輸通道。

而IBM的網路虛擬化協定名為DOVE(Distributed Overlay Virtual Ethernet),目前正向網際網路工程任務組(Internet Engineering Task Force,IETF)提出標準化的申請。這項技術可在Hypervisor上模擬實體網路,網管人員可直接透過軟體來進行網路設定及服務的部署。

IBM的SDN策略先投入2種作法,也就是設計支援OpenFlow技術的產品及網路虛擬化技術這兩個部份,目前在中國無錫設有SDN架構與OpenFlow技術的研究中心,著手進行最後一個部份SDN應用程式的開發。

Brocade專注於IaaS產品的設計 
除了整體性的解決方案之外,有些廠商只偏重於前述的特定幾個部份發展,像是Brocade、VMware以及微軟。Brocade大中國區技術經理黃藍玓表示,Brocade著重於推出打造SDN基礎服務設施的IaaS產品。

目前的產品線中有MLX、Netlron CES及NetlronCER這三個系列的交換器與路由器已經支援OpenFlow技術,MLX系列是目前第一臺提供100Gbps埠並支援OpenFlow技術的路由器。而ADX及VDX這兩個系列的交換器,預計明年將全系列支援OpenFlow技術。

此外,搭配Brocade的Ethernet Fabric技術VCS,採用Trill協定,可讓IaaS層的設備傳輸速度較快,並滿足東西向的水平傳輸需求。

較為特別的是,ONF(開放網路基金會)的主席是Brocade首席架構師Curt Beckmann,這代表Brocade將可更快的掌握OpenFlow技術發展趨勢,甚至主導未來SDN架構發展的方向。

NVP平臺可管理1萬個虛擬網路及3萬個網路節點 
而VMware與微軟則專注於網路虛擬化這個部份,VMware於今年7月以12.6億美元的高價收購了網路虛擬化公司Nicira。

Nicira這家公司在SDN市場享有盛名,因為該公司多位創辦人參與了OpenFlow技術的制定與發展,並擁有自行開發的OpenFlow控制器以及SDN的解決方案NVP(Network Virtualization Platform),日本NTT、AT&T、eBay等企業皆是Nicira的客戶。

NVP平臺可以管理主機與實體網路之間的網路抽象層(Network abstraction layer),提供網頁式的管理介面,讓網管人員下達指令給控制器叢集,再透過開源碼的虛擬交換器Open vSwitch,將指令傳送給虛擬機器,虛擬機器再透過閘道器連結至實體網路傳輸封包。若是虛擬機需要搬移,可透過VXLAN協定來傳輸。NVP平臺可管理1萬個虛擬網路及3萬個網路節點,並相容於各家支援OpenFlow技術的網路設備,VMware預計在今年下半年要將NVP可管理的虛擬網路數量提升至2萬5千個。

此外,Nicira的控制器具備HA(Active-Active)的概念,也就是說,一旦在控制器叢集中的其中一個控制器當機而無法運作時,其餘控制器就能接手該當機控制器原來的工作。即便所有控制器都全數停擺,封包傳送的動作並不會停止,因為虛擬交換器仍會依循原先控制器所下達的指令來執行封包傳送。


微軟VMM可統一管理虛擬機器

而微軟在Windows Server 2012中內建的新版伺服器虛擬化平臺Hyper-V 3.0,增加了虛擬交換器功能,稱為Hyper-V Extensible Switch,企業可透過將推出的System Center 2012 SP1內的虛擬機器管理模組(Virtual Machine Manager,VMM),統一管理虛擬機器,進行相關的網路功能設定。

網管人員僅需在VMM上設定好每臺虛擬機器專用的虛擬交換器,並在虛擬交換器上設定好需要的網路應用功能,像是頻寬管理、網路安全性等,一旦需要虛擬機的搬移時,透過由微軟所發布的NVGRE協定來傳輸,虛擬交換器上相關的網路設定就會隨著移動,無須網管人員額外進行手動設定,減輕管理上的負擔,而網管人員亦可透過NEC支援OpenFlow技術的控制器ProgrammableFlow來控制虛擬交換器。

此外,微軟營運暨行銷事業群資深協理周旺暾表示,微軟目前沒有要推出支援OpenFlow技術相關產品的計畫。

總括來說,SDN架構與OpenFlow技術不再侷限於學術研究上使用,Google更宣布將網路架構轉換成SDN架構。

而在SDN市場上,除了網通廠商積極的佈局之外,也有越來越多非網通廠商積極提出解決方案,產品不再只有交換器或是路由器,控制器與應用程式也相繼推出。

可以預期明年企業將會有更多相關產品或是解決方案可以選擇,屆時企業也許可以開始思考是否需要採用SDN架構來彌補現有網路架構的不足。文⊙張景皓

使用支援OpenFlow技術的開源軟體來打造SDN架構
控制器/網路設備
軟體名稱及使用的開發語言
支援OpenFlow技術的控制器軟體
使用C語言開發的有:MULTremaovs-controller
使用C++語言開發的有:NOX
使用Java語言開發的有:JaxonBeaconFloodlightMaestro
使用JavaScript語言開發的有:JavaScript
使用Python語言開發的有:POXNOX
使用Ruby語言開發的有:TremaRyu
其中NOX為第一個支援OpenFlow技術的控制器軟體
支援OpenFlow技術的軟體網路設備
使用C語言開發的有:Open vSwitchPica8Indigo
使用Python語言開發的有:Open vSwitchOpenFaucet



Google建SDN網路解決PB級資料傳輸難題


Google花了兩年的時間將各地的資料中心骨幹網路轉換成由OpenFlow技術所打造的SDN環境,將網路頻寬的使用率提升至95%。 

網路巨人Google技術基礎設施資深副總裁Urs Hoelzle表示,現今的網路架構無法因應彈性配置網路資源的需求,而且Google所提供的雲端服務通常是免費的,像是你我日常生活中常使用Gmail、Youtube、Google Maps、Picasa等,但是這些服務所產生的網路流量是相當驚人的,隨著越來越多人使用,帶動經濟規模的成長,資料傳輸成本並未下降,Google急需新的方法來管理爆增的流量,也希望能有效的控管成本。

OpenFlow技術所打造的SDN,正是Google為了解決這些問題所找到的解決方案。

Google花了兩年時間,將名為G-Scale的網路架構轉換成SDN,全球的資料中心也透過OpenFlow技術相互連接,Urs Hoelzle表示,在轉換的過程中所遭遇到的問題比Google預期中少了許多,傳統網路轉換成SDN幾乎是無縫接軌。

成功轉換之後,Google 也不用再為傳輸Petabyte等級的巨量資料而煩惱。

2年內分成3個階段來完成SDN架構的轉換 
Google網路架構轉換過程共分為三個不同的階段,從2010年春天專案正式開始,Urs Hoelzle表示,在那時候根本無法採購到任何適用的設備,於是Google利用商用晶片自行開發支援OpenFlow技術的網路設備,這些設備具有100個10Gbps的埠,接著在各地的資料中心反覆的進行測試。

第二階段從2011年初至2011年中,Google開始導入更多的網路流量,對新的網路架構進行壓力測試,並且開始進行控制器的升級。

2012年初開始為第三階段,在這期間,將全球各地的資料中心的骨幹網路逐一轉換成SDN架構,並設計了一個流量管理引擎來搭配OpenFlow控制器,以找出網路流量最佳化的配置。

網路頻寬使用率倍增,但成本效益難量化
Urs Hoelzle表示,轉換成SDN後獲得最大的效益是網路使用率從原先大約30%至40%,提升到95%,也就是說,在不添構新設備的情況下,可承載的網路流量變成了3倍。

而集中化的管理方式,讓網管人員能更靈活的調配網路資源,至於能節省多少的成本,目前仍無法量化。

此外,在轉換的過程中,因為SDN能區隔網路的特性,所有的應用皆能在經過反覆的測試後才正式上線,並且在SDN軟體上可模擬所有的骨幹網路,讓Google能在全數轉換前,利用模擬的環境來培訓網路維運中心的員工,這也有助於Google能快速的適應SDN。至於轉換成SDN後獲得了多少的效益,Urs Hoelzle表示,目前的投資回報仍無法量化。

儘管OpenFlow技術仍是剛起步的協議,但Google此舉充分證明了SDN架構的價值,並代表著由OpenFlow所打造的SDN架構是可以被商業化的,在網通界投下了一顆震撼彈,勢必有更多相關產品推出,會讓SDN架構獲得更多的重視。


轉載自《iThome》



2012年11月23日 星期五

為什麼Mobile SEO(行動搜尋優化)很重要?


為什麼Mobile SEO(行動搜尋優化)很重要?

我們在"Mobile SEO:三個你應該知道的行動行銷趨勢"、"Mobile SEO是否有助於產品銷售?"、"應該如何進行Mobile SEO?"、"為什麼行動搜尋(Mobile Search)對商店很重要?"談過許多關於Mobile SEO的問題,你必須要有別於一般網頁的思考模式,如果你的企業具有實體商店或是電子商店,Mobile SEO 將是網站很重要的議題,你必須具有Mobile Friendly(具有適合行動設備使用的介面)的行動網站,才能夠讓你的網站在行動時代具有競爭力 ...

這篇"Why Effectively Measuring Lead Performance in Mobile is Essential"說到,行動用戶的使用習慣使得行動設備變成一個日益成長的行銷管道,並且如下圖顯示美國的行動用戶統計資料,在旅行類的使用汽車租賃相關網頁習慣上,有73%會連絡,25%是尋找地圖方向,也就是98%的行動用戶是極高可能性會造成消費。

在住宿類的相關網頁使用習慣上,有24%會連絡,76%是尋找地圖方向。在航空公司的相關網頁使用習慣上,有89%會連絡,11%是尋找地圖方向。



下圖則是顯示,行動用戶對於其他類型網頁的使用習慣,Pizza類的網頁中,60%是尋找地圖方向,有19%會連絡,9%觀看描述與評價,12%其他。有座位的餐廳類的網頁中,80%是尋找地圖方向,7%會連絡,6%觀看描述與評價,6%其他。Coffee類的網頁中,30%是尋找地圖方向,5%會連絡,27%觀看描述與評價,38%其他。速食類的網頁中,82%是尋找地圖方向,6%會連絡,3%觀看描述與評價,9%其他。



以上比較特別的是,Coffee類的網頁只有30%是尋找地圖方向,而其他餐飲類的網頁都有較高的比例是尋找地圖方向,原因應該在於~肚子餓的時候會急著尋找可以吃飯的地方,但是比較少有原因急著找咖啡店。

所以可見,Mobile SEO(行動搜尋優化)雖然有著相同的趨勢,但是在不同的業別中,又有很大的差異。

轉載自《SEO關鍵解碼》

dSploit 在 Android 的滲透測試


dSploit 在 Android 的滲透測試


dSploit 是 Android 系統下的網絡分析和滲透套件,其目的是向IT安全專家和愛好者提供最完整、最先進的專業工具包,以便在移動設備上進行網絡安全評估。 

一旦 dSploit 運行,你將能夠輕易地映射你的網絡,發現活動主機和運行的服務,掃描已知漏洞,多種TCP協議登錄破解,中間人攻擊,如密碼嗅探,即時流量操控,等等。



使用條件:
1.Android 2.3 或 2.3 以上。
2.設備已經ROOT。
3.設備必須完整安裝 BusyBox。


套件功能:
WiFi Scanning & Common Router Key Cracking
Deep Inspection
Vulnerability Search
Multi Protocol Login Cracker
Packet Forging with Wake On Lan Support
HTTPS/SSL Support ( SSL Stripping + HTTPS -> Redirection )
MITM Realtime Network Stats
MITM Multi Protocol Password Sniffing
MITM HTTP/HTTPS Session Hijacking
MITM HTTP/HTTPS Hijacked Session File Persistance
MITM HTTP/HTTPS Realtime Manipulation

模組:
1.路由攻擊
啟動 http://routerpwn.com/服務幹掉你的路由器。

2.路由追蹤
對目標路由器進行跟蹤。

3.端口掃瞄
SYN端口掃瞄,能迅速發現目標端口開放信息。

4.檢測器
對目標操作系統和服務進行更深度檢測,速度比SYS端口掃瞄更加快速和準確。

5.弱點掃描
根據國家漏洞數據庫搜索目標服務已知安全漏洞。

6.登錄破解
快速網絡登錄破解,支持多種不同服務。

7.中間人攻擊
執行各種中間人操作,如網絡監聽,流量操控等。

8.封包偽造
向目標TCP或UDP端口發送自定義構造的數據包。

XssEyes提供測試小記:點擊

個資法問題 法務部網站釋疑


個資法問題 法務部網站釋疑

「換名片時,要不要先簽個資使用同意書?」新版個人資料保護法上路,國民黨立院黨團副書記長李貴敏表示,最近接獲許多民眾陳情擔心觸犯個資法。

法務部法律事務司副司長鍾瑞蘭表示,法務部官網已設立「個人資料保護專區」,最近陸續公布「個資法即時通」,民眾可找到解答。

鍾瑞蘭舉例,基於社交禮儀交換名片,屬於單純個人行為,不適用個資法,但若把名片資訊行銷,就可能觸法

轉載自《聯合報》

民代爆 遠銀信用卡個資外洩


民代爆 遠銀信用卡個資外洩

遠東國際商業銀行傳有客戶申辦信用卡的個資,大批流入廢紙回收商,銀行澄清是離職員工帶走資料,銀行不知情,將提告追究,至於有多少個資外洩,金管會已介入調查。

台南市府消保官傅然輝說,遠東國際商業銀行的行為,有違反個資及銀行法之嫌,消費者權益如因此受損,可向銀行訴請損害賠償。

台南市議員王定宇昨天舉行記者會質疑遠東商銀涉嫌洩漏個資,他說,三天前一名支持者告訴他,在台南某處回收廠看到一箱銀行客戶資料,他不信,對方旋即到回收廠拿了一疊資料給他,他發現事態嚴重。

王定宇拿出一疊民眾申辦遠東商銀信用卡的填表資料,包括申請人身分證、存摺、公司服務證影印本,還有地址、手機及親戚連絡人。

王定宇表示,個資被外洩的客戶,有南科部分大廠員工、農會人員及空軍基地官兵,他相信這些客戶都還不知道資料已經「流出」。

王定宇表示,金管會應介入,公告並裁罰洩漏資料的單位,同時確認洩漏資料的數量及人名,以適當方式告知當事人實情。

遠東商業銀行傳出有大量客戶個資外洩事件,雖然銀行表示是離職員工帶走資料,銀行不知情,將提告追究;然而依 個資法第二十七條規定 :「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止人資料被竄取、竄改、毀損、滅失或洩漏。」銀行沒有落實安全措施,難辭其咎!專家建議:企業在執行銷毀程序時,一定要留下足夠的證據,以便有爭議時能夠舉證,所以在訂定管理與執行程序時都必須要能留下記錄。企業們千萬不要輕忽程序的重要性!

轉載自《聯合新聞網》

Java入門學習筆記 第一天 - 不能免俗的第一支程式 Hello World

Java入門學習筆記 第一天 - 不能免俗的第一支程式 Hello World

基礎知識
//             ← 單行註解
/*....*/     ← 整段註解

整個主程式裡的變數 ← 全域變數
在特定區域內的變數 ← 區域變數
識別字不可為關鍵字,不可為特殊符號,數字不可為首,大小寫有差

資料型態
字元 → char(ASCII)
整數 → int、byte、shart、long
小數 → double(双倍精度浮點數)、float(單倍精度浮點數)
布林 → boolean(true、false)
字串 → String

'F'              ← 字元
"ABCDE"  ← 字串

程式裡的等於不等於等於
程式裡的等於等於等於等於

相等
指定
程式
==
=
數學
=


a=b; → b指定給a
a=a+1; → a++
a=a+3; → a+=3

螢幕輸出指令
System.out.println("雙引號內為制式文字");   ← 輸出制式文字(字串)
System.out.println(a);                                        ← a = 變數
System.out.println("制式文字"+a);                   ← 把制式文字和變數加在一起

◎精簡輸入撇步:
輸入sout再按Tab鍵 → System.out.println("");

範例:
採用制式文字加字串變數的方式,輸出Hello, World!、Hello, Alan!、Hello, FJUSA!。

解答:
public class Main {
    public static void main(String[] args) {
        String a="World!",b="Alan!",c="FJUSA!";  /*宣告A、B、C三個字串變數*/
        System.out.println("Hello, "+a);                  /*將制式文字"Hello"和變數A加在一起*/
        System.out.println("Hello, "+b);                  /*將制式文字"Hello"和變數B加在一起*/
        System.out.println("Hello, "+c);                  /*將制式文字"Hello"和變數C加在一起*/
    }
}

輸入指令

範例:
手動輸入「字串」、「整數」、「双倍精度浮點數」三個變數,並透過輸出指令輸出。

解答:


import java.util.Scanner;                                      /*先宣告並取得使用者的輸入字串*/
public class Main {
    public static void main(String[] args) {
        Scanner input =new Scanner(System.in);     /*用new分配記憶體空間給input*/
        String str=input.next();                                /*input指定給str*/
        int i=input.nextInt();                                    /*input指定給i*/
        double d=input.nextDouble();                     /*input指定給d*/
        System.out.println(str);                               /*螢幕輸出str變數結果*/
        System.out.println(i);                                  /*螢幕輸出i變數結果*/
        System.out.println(d);                                 /*螢幕輸出d變數結果*/
    }
}

歷史回顧:
Java入門學習筆記 第零天 - 在Windows 8環境下安裝設定JDK及NetBeans IDE

2012年11月22日 星期四

惡意程式利用Google Docs當代理伺服器


惡意程式利用Google Docs當代理伺服器

Google Docs的「檢視」功能不但可以透過瀏覽器檢視各種不同的檔案內容,而且會自動擷取來源資料的URL。病毒作者這麼做顯然是想透過間接的C&C連線以隱藏行蹤,而且由於Google docs的連線採用HTTPS加密協定,因此很難在本機端欄阻。



賽門鐵克(Symantec)近日發現,一隻名為Backdoor.Makadocs 的木馬程式竟然利用Google Docs的「檢視」功能而將這個線上文書服務做為Proxy server(代理伺服器),藉以隱藏其命令控制伺服器(C&C server)的蹤跡。

賽門鐵克研究人員Takashi Katsuki表示,原本以為這只是一隻普通木馬,就是利用C&C伺服器搜集受感然電腦的主機名稱和作業系統等資訊,然後遠端執行命令控制受害電腦。比較特別之處只在於這隻木馬似乎鎖定Windows 8和Windows Server 2012。

但研究人員後來發現,這隻病毒是在Windows 8發表之前就已存在,而且近期才更新。但更新之後也沒有使用到Windows 8的特殊功能。接著又發現到它有個相當獨特之處:Makadocs木馬並不直接與C&C伺服器連結,而是透過Google Docs作為代理伺服器。

Takashi Katsuki表示,Google Docs的「檢視」(viewer)功能不但可以透過瀏覽器檢視各種不同的檔案內容,而且會自動擷取來源資料的URL。病毒作者這麼做顯然是想透過間接的C&C連線以隱藏行蹤,但這麼做違反了Google docs的使用政策。由於Google docs的連線採用的是HTTPS的加密協定,因此很難在本機端(local)欄阻。Google則可以利用防火牆來防止這種連線。

該木馬附於RTF(豐富文件檔案)格式的檔案中,並以一些有趣的檔名標題來吸引使用者點選,目前鎖定的只有巴西市場,感染數量還相當稀少。Google發言人則回覆媒體詢問表示,如果濫用情況造成問題,Google將會阻檔其濫用行為。(編譯/郭和杰)

轉載自《iThome》

Google Docs被當攻擊代理伺服器 Win 8也不放過


Google Docs被當攻擊代理伺服器 Win 8也不放過

資安專家發現一種新的惡意程式散佈方式。駭客利用Google Doc主機做為代理伺服器來規避偵測。它利用Google Doc的Viewer功能,讓使用者直接透過瀏覽器去檢視惡意檔案文件,藉此來與後端的命令控制伺服器(C&C)溝通,還因為Google Docs傳輸都有加密,因此不容易被阻擋。

賽門鐵克日前發現有木馬程式Backdoor.Makadocs藏身在RTF或Word文件當中,駭客先利用社交工程手法,以吸引人的主旨與內容誘騙使用者點擊文件,一旦點擊,木馬程式就會透過上述方式被下載到用戶端電腦中,而躲過偵測。以檔案的內容來看,目前主要以巴西的使用者為攻擊目標。

此外賽門鐵克研究人員研判此一版本是Windows 8上市後才推出的更新版本,因為從攻擊程式碼發現,駭客還檢查了Windows 8及Windows Server 2012的作業系統,以求惡意程式在上述環境中都能執行。

轉載自《資安人科技網》

Gartner:目標式攻擊讓2012資安委外服務成長最速


Gartner:目標式攻擊讓2012資安委外服務成長最速


目標式攻擊無所不用其極。2012年,不管是無孔不入的APT進階持續威脅,或新型態的DDoS攻擊,這種鎖定目標發動攻擊的方式,挑戰企業原有的資安防禦。使企業朝向資安專業服務公司尋求協助,資安委外服務、安全閘道器、資安事件管理(SIEM)成為2012最快速成長的前三名安全領域。

Gartner日前指出,儘管IT預算在不景氣下受到樽節壓力,但是全球資安預算一直到2016年仍然是企業的優先項目。與2011相比,2012資安整體市場預期將有8.4%成長,尤其以資安委外服務帶動最多成長力道,緊接著是資安軟體市場。

精心設計的目標式攻擊,讓企業難以招架,今年國內外陸續傳出安全防護水準相當高的機關,在不知不覺中遭到入侵。Xecure Lab在9月份曾指出一波針對學術機關的惡意郵件,直接以國科會成果報告撰寫格式、專題項目列表等Excel文件做為誘餌,甚至加上密碼以躲避偵測。

駭客除了鎖定特定對象發動惡意郵件外,也繼續使用新型態DDoS攻擊手法癱瘓各大網路平台。Nexusguard指出,近年來針對Web API發動阻斷服務的攻擊手法有明顯成長,包括PayPal與Amazon的AWS都曾因為持續性的API錯誤使網路服務中斷。所進行的方式,包括故意讓網站所提供的搜尋功能或留言版頻繁的執行。

由於攻擊模式持續不斷變化,Gartner預期2011到2013年,資安市場將在9%到11%間維持成長。

轉載自《資安人科技網》

Websense資安實驗室2013網際網路七大威脅趨勢預測


Websense資安實驗室2013網際網路七大威脅趨勢預測

從Wordpress的大規模入侵到針對白宮發動的魚叉式網路釣魚(spear phishing)攻擊,網路犯罪者無疑的在2012年增添不少信心和動能。為協助企業組織做好迎接2013的準備,Websense資安實驗室(Websense Security Labs)發佈了2013威脅態勢的七大預測。這份包含行動安全性、電子郵件安全性與Java安全威脅深入分析的完整報告請點選這裡下載。以下是2013資安預測重點:

1. 行動裝置將成為跨平台威脅的新目標

網路犯罪者瞄準的三大行動平台包括Windows 8、Android和iOS。Web-based跨平台攻擊將更容易發生。Microsoft行動裝置威脅在2013將呈現最高成長率。網路犯罪者就如同合法的應用開發者,把心力聚焦於最有利潤的平台。隨著開發障礙因素的移除,行動威脅將可以運用龐大的共享程式庫。並且,攻擊者也將繼續加重利用社交工程以竊取行動裝置的使用者資料。

2. 網路犯罪者將利用繞道方法以避免傳統sandbox偵測

越來越多組織利用虛擬機器防護技術,以測試惡意程式和威脅。因此,攻擊者也採取新的步驟以避免被虛擬機器環境偵測。有些潛在的方法會嘗試辨識安全沙盒(sandbox),就如同以往的攻擊把目標鎖定在特定的防毒引擎並且關閉它們的功能。這些進階的攻擊將維持隱匿狀態,直到它們確定本身並非處在一個虛擬安全環境。

3. 合法行動裝置app stores在2013將隱含更多惡意程式

越來越多惡意app將躲過驗證程序。它們將繼續對那些實施員工攜帶自有裝置(bring your own device; BYOD)政策的組織構成威脅。此外,越獄(jail-broken)或者取得root權限的裝置以及未規範保護的app stores等,將對越來越多實施BYOD的企業形成嚴重的風險。

4. 政府贊助的攻擊將隨著新手的加入而更加猖獗

預期將有更多政府投入網際網路戰爭。在發生數次已公開的網際網路戰爭之後,有諸多因素將促使更多國家採行這些戰略與戰術。儘管要成為另一個核武強權或許困難重重,但幾乎任何國家都可以匯集人才與資源以發展網際網路武器。國家和個人網路犯罪者都將能取得先前由國家贊助的攻擊藍圖,例如StuxnetFlame和Shamoon。

5. 隨著簡單攻擊機會的減少,預期駭客們將朝新而複雜的技術發展

近幾年來發生的一些高知名度駭客事件,已促使企業組織部署越來越強的偵測與預防政策、方案和策略。因此,駭客們將朝新而複雜的技術發展。

6. 惡意電子郵件回來了

具有時效和針對性的魚叉式網路釣魚(spear-phishing)電子郵件攻擊以及惡意附件的增加,為網路犯罪提供新的機會。惡意郵件將再掀風暴。網域產生(domain generation)技術也將繞過現有的安全防護,提高針對性攻擊的有效性。

7. 網路犯罪者將追隨群眾侵入合法的內容管理系統和Web平台

Wordpress的安全弱點經常遭大量攻擊入侵。隨著其他內容管理系統(content management systems; CMS)與服務平台的普及,網路犯罪者將頻繁的測試這些系統的安全性。攻擊活動將繼續侵入合法Web平台,促使CMS管理者必須更加重視更新、補丁和其他安全措施。網路犯罪者侵入這些平台的目的是為了植入他們的惡意程式,感染使用者和入侵組織以竊取資料。

  Websense Security Labs副總裁Charles Renert表示:「過去一年展現了威脅態勢如何快速的持續進化,攻擊與入侵活動重新定義了犯罪概念、商業間諜和戰爭型態。人們的弱點 - 好奇心,讓企業面對持續增大的風險。它現在已擴充到廣泛的行動平台、內容管理系統、以及與日俱增的線上使用者人口。2013絕對將會強化一個事實,亦即傳統安全措施已不再能有效的瓦解進階的網際網路攻擊。企業組織和安全方案供應商需要朝更主動的即時防護發展,阻斷進階威脅和資料竊盜。」

轉載自《資安人科技網》

Google是否會把你的網頁標題搞錯?


Google是否會把你的網頁標題搞錯?

我們曾經在文章"Google開始更自作聰明的改變你的標題了"以及"為什麼Google會修改搜尋結果列表的標題(SERP Snippets)?"說過,Google對於標題與描述的產生是完全自動的,他會參考頁面的內容以及該頁面的參考資料來產生。但是,Google可能把你的網頁標題搞錯得很離譜嗎?

這篇"Google Search Result Typo Or SEO Error?"說到了一個案例,Google把一個PDF檔案的標題弄錯了,如下圖:



原本應該是~ EasyClean的標題,卻變成~ Easylllean。為什麼大寫的「C」會變成兩個小寫的「l」呢?

以下是PDF檔案的內容,EasyClean寫得清清楚楚的,為什麼Google會搞錯呢?



奇怪的是,除了錯誤的標題之外,還有一個正確的版本,如下圖:



如果是弄錯了,應該就只會出現一個錯誤的標題,可是卻還出現正確的版本,這是什麼情況呢?

如果你仔細比對的話,可以看到兩個的URL是有些微的不同。

正確的標題連往~

http://www.rxinsider.com/20ways/articles/berkshire_article.pdf

但是錯誤的標題連往~

http://www.rxinsider.com/20ways/ads/berkshire_ad.pdf

錯誤的標題的下方就顯示文字描述 : Easylllean® 360. ISOLATOR CLEANING TOOL.

我們來比對一下兩個PDF檔案的內容,如下圖:



可以發現被Google正確解析的是使用一般的字體,被Google錯誤解析的是使用特殊的字體,字型比較扁長。

顯然Google在處理PDF檔案時,會使用軟體將PDF檔案轉成文字檔案,而使用的字體如果不是Google已經了解的話,就可能無法得到正確的文字內容。

轉載自《SEO關鍵解碼》

2012年11月20日 星期二

Java入門學習筆記 第零天 - 在Windows 8環境下安裝設定JDK及NetBeans IDE

Java入門學習筆記 第零天 - 在Windows 8環境下安裝設定JDK及NetBeans IDE

小編今天開始學習Java,首先先建立學習環境:
Java SE Development Kit(JDK) 下載:點擊
NetBeans IDE 下載:點擊

一、安裝Java SE Development Kit(JDK)
  因太簡單都按下一步即可,在此就不多做贅述。

二、設定Path
 開啟『控制台』→『系統』→『進階系統設定』

  在『進階』分頁→點擊『環境變數』
  點選系統變數的『Path』→『編輯』
在變數值的地方增加『C:\Program Files\Java\jdk1.7.0_07\bin』路徑
 最後在『命令提示字元』輸入『javac』,如果有下述畫面即代表設定成功。

三、安裝NetBeans IDE









延伸學習:
Java入門學習筆記 第一天 - 不能免俗的第一支程式 Hello World

2012年11月19日 星期一

KPMG:九成企業蒐集個資未依法完整告知


KPMG:九成企業蒐集個資未依法完整告知

KPMG日前發表一份報告,其中,有9成公務與非公務機關在蒐集個人資料時,並未依法告知當事人目的和項目。 

KPMG日前發表一份「因應個人資料保護法產業準備度調查與祕密客探訪報告」,其中,有9成公務與非公務機關向當事人蒐集個人資料時,並未依照個資法應告知的目的和項目,完整告知當事人。另外,有8成企業提供個資更正管道,但包括運動場館業、觀光旅館業等,都沒有提供個資當事人刪除個資的權利。

非公務機關在蒐集個人資料時,依個資法要求應該告知個資的權利及行使方式,以及利用方式、對象、地區、期間、類別、目的和蒐集的公務與非公務機關名稱。臺灣KPMG副總經理張允洸表示,表現最好的是告知公務與非公務機關名稱,有95%的公務與非公務機關有做到。再者,有49%公務與非公務機關會告知當事人其個資利用的對象;第三則是,有39%的公務與非公務機關會告知當事人個資利用方式。

該份調查顯示,9項應主動依法告知個資當事人的項目中,有5項達成率不到1成,包括,公務與非公務機關在蒐集個資依法告知項目中,只有4%公務與非公務機關會告知當事人利用地區和利用期間;其他有5%會提供個資對當事人權益影響說明;7%會告知當事人個資蒐集類別;只有8%會告知當事人個資得行使的權利及方式。

公務與非公務機關提供個資當事人進行更正與刪除個資的權利時,該調查顯示,多數產業超過8成都有提供個資更正的管道,但刪除個資的部分,包括運動場館業和觀光旅館業100%都沒有提供刪除個資的管道,其餘包括60%人力銀行、40%公務機關和33%無店面零售業都不提供個資刪除管道。

個資祕密客針對臺灣12個產業、超過150家組織,動員超過10名祕密客進行實況訪查,以無店面零售業者最多(19%),其次為百貨公司及零售式量販業(12%)和金融業(11%)。文⊙黃彥棻

轉載自《iThome》

早就厭煩收個沒完的EDM?個資法教你收越多、賺越多!


早就厭煩收個沒完的EDM?個資法教你收越多、賺越多!

您的郵箱要是沒天天被EDM轟炸,這篇文章就別看下去了。

如果您天天被炸,從前只能恨得牙癢癢地一封封按delete;但是,拜個資法之賜,10月1日起,可千萬別亂刪!景氣不好,工作難找,政府奉上全民賺錢的好管道!

個資法第41條第1、2兩項分別規定「違反…第19條、第20條第1項…,足生損害於他人者,處二年以下有期徒刑…」、「意圖營利犯前項之罪者,處五年以下有期徒刑…」。省事一點,我們這裡用白話文講。第19、20條的意思是,寄EDM給您的討厭鬼(不論是代發EDM的公司或是廣告主,根據個資法第4條,責任一樣),必須證明「您曾經以書面同意,他們可以寄EDM到您的郵箱」、「您的郵件地址是您自行公開的」、或是有其他各款所規定的情形。他們如果證明不出來呢?二年以下有期徒刑伺候。他們的EDM如果是推銷商品的話,還罪加一等,「五年以下有期徒刑」!

您可能會問:「判他們刑,對我有什麼好處」?問得好。重點是,個資法第45條規定,這種罪是告訴乃論的;如果是意圖營利還升高成非告訴乃論。但不管是不是告訴乃論,類似像這種既非殺人放火,又非販毒黑槍的小案子,事主如果和解掉,基本上我們的法官、檢察官、和警察,只要能少寫一份判決書起訴書或筆錄,「何樂不為」?那時候,該怎麼和解,發球權就在您手上了!我們也建議,想早點拿到錢,可千萬別去搞團體訴訟那一套。首先,「賠償金額低容易和解、金額高不易和解」,這點應該很好懂;一堆人循團體訴訟想拿錢?我如果是廣告主,當然得陪您在法院撐到底,從警局地檢地院高院打到最高法院,您鬍子都白了案子還在官府,何苦來哉?其次,依個資法得湊足20個人,才能去找符合個資法第32條的要件之公益法人打團體訴訟,就算人數湊滿了,每個人的情況未必完全一致,提起訴訟之前又得花一大堆時間整理資料和證據,律師才會去寫狀子提告。這一來不就又浪費了幾個月?錢嘛,早點落袋為安,不是嗎?

這麼大的好禮相送,想領取?且讓我們分享一下DIY的「個資法生財術」,讓您靠接收EDM致富不求人!

手續只有三步,真的很簡單:

1.把那封EDM、連同郵件的標頭 (header) 全部列印出來。同時,絕對別以為反正已經印出了就傻傻按下delete;原因是,法院有可能因應對方的申請,要勘驗您的EDM原始信件,沒有保留的話,證據的「形式真正」就可能產生爭議。

2.把郵件的header資料提供給您的ISP,申請反查,查出這封EDM寄件者的真實IP。原因是,垃圾郵件氾濫,這些濫用我們個資的行銷業者早就摸透MTA(郵件伺服器)的眉眉角角,因此經常用各種方式隱藏或偽造其發信所在位置的IP;但是,跑得了和尚跑不了廟,他們寄出時,總得用到ISP所配給他們的IP吧?那個寄件真實IP的紀錄,就留在他們的ISP,假不了。因此,為了避免告錯人,還是謹慎點好。

3.到管區派出所,帶著上述1.和2.的資料當作證據,依本文下方列出的相關條文(相信我,這您不印出並隨身帶著,管區警員八成搞不清楚筆錄要怎麼記),說您要對廣告主提出刑事告訴。

這是不折不扣的刑案,您一定要堅持叫警員處理(就算基隆市長張通榮跑來關說您也不能被勸退),否則就告他吃案。或許他們因為好端端又多一件事情而悻悻然地酸個二句,但您就忍忍吧,想著白花花的鈔票不日就到手,求償$20,000,平常可得上班大半個月才有呢!

另外,如果是垃圾電話行銷,意思也差不多,個資法生財術一樣三步驟,就順便也寫在這裡讓您參考了:

1.在Android手機上安裝“Purpose of this call"或其他錄音軟體,並啟動自動來電錄音功能。(別問我iPhone怎麼辦。因為Apple在iOS上的先天限制,目前無解;所以想靠個資法煉金,換小綠人比較實在)

2.遇到自己個資被盜用或濫用的廣告來電,立刻向電信公司申請單次通話明細。

3.把錄音檔從手機裡拷貝出來,到管區派出所報案「來電者涉犯個資法第41條第1項…」。

從此以後,您會不會看見EDM就心花怒放、接到電話行銷就喜上眉梢呢?

(真沒想到,個資法對社會的貢獻如此之大。一則劫富濟貧,二則讓社會充滿喜樂,看來馬英九的歷史定位要改寫了)



個人資料保護法

第19條

非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:

一、法律明文規定。

二、與當事人有契約或類似契約之關係。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人書面同意。

六、與公共利益有關。

七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。


第20條

非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:

一、法律明文規定。

二、為增進公共利益。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

六、經當事人書面同意。

非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。

非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。


第41條

違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。

意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。

轉載自《COUNSEL GROUP》

搞定個資法不難,重點在「安管措施」!


搞定個資法不難,重點在「安管措施」!

陳明堂(法務部次長)講了,今年10月1日個人資料保護法正式施行,除了要對全部政府機關及民間組織一體適用之外,同時還不給任何的寬限期,因為這已經是二年多前通過的法律;通過之後遲遲不施行,已經等同有寬限期了。

話這樣講是沒錯,但我們的客戶可就一個比一個緊張了:「到底我們該做什麼」?其中有國際連鎖健身業者,保管在系統裡的個資(包括現在有效的會員,以及舊會員)近百萬筆;也有大型的連鎖健保藥局,個資幾十萬筆不說,個資的內容還包括客戶的病歷與藥歷!

新法施行,總為企業帶來一堆新限制,也催生了新商機。有很多IT業者見獵心喜,忍不住就結合了搞ISO 27001(這是國際標準化組織在2005年所公布之ISMS - 資訊安全管理系統 – 的標準)、BS10012:2009 PIMS之類認證的顧問公司,加上一堆軟硬體弄系統整合、幫企業打造客製化的解決方案,東整西整,隨便開價就得花幾百萬。

我沒罵這些人沒良心想發國難財、我也沒說這些全是唬攏企業的噱頭。然而,作為深耕內控十餘年的商務律師(本所從1999年就開始研究內部控制制度和法令遵循計畫,目前在這個領域所發表論文之數量在兩岸律師界排名第一),我不禁懷疑,個資法對於企業經營者而言,其核心義務也不過就是訂定並執行「適當的安全維護措施」(第6條、第27條、第48條),哪需要像這些業者講得這麼複雜?

我們預計,政府很快就會開始要求各民間組織包括營利及非營利事業在內,針對其所保管之個人資料,訂定安全維護計畫。如果不訂,會被限期改善,還會被連續科處$20,000到$200,000的罰鍰。其實,就算沒有這樣的罰則,對企業而言,也還是非訂不可。原因很簡單:

個資法第29條第1項規定,如果企業「違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」。賠多少?這兒才是真正嚇人的部分。關於個資侵權案件,每人都能就其個資呈請法官在$500到$20,000的範圍內核定損害額。單一個案,最高還能判賠到兩億!再加上,個資法還允許,受害的個人,可以在嗜血又暗抽高額後酬的協會或基金會組織的號召下,對企業打團體訴訟,這種團體訴訟在法院的戰力,絕不輸給一般的中小企業,處理起來的確格外棘手。

近年來,不論是電視購物、網路商店、線上賣家…洩露個資的意外始終層出不窮,有的公司還不只發生一次。如果依這樣的新法處理,有多少家公司捱得起上面這種賠償金?

而萬幸的是,個資法也作了例外規定,如果能證明對於個資的外流或盜用,自己並無故意或過失的話,就「可以免賠」(第29條第1項但書);也就是說,倘若公司有對所保管的個資作好安全維護措施的話,就能在訴訟上,對法官主張「我真的已經盡力了…恭請恩准免死…」。

由此可見,萬一遲遲不為公司裡的個資(可千萬別以為個資只有搞網路的公司才有。所有公司裡的人事資料、薪資報表、員工通訊錄…全是個資,沒有一家公司跑得掉)設計並執行一套適當的安全維護措施,還真有可能陷於萬劫不復。本文先點出個資法之核心重點,下次將繼續說明,到底該怎樣設計執行,才能過得了政府這一關,並且在遇到事情時拿出來當成免死金牌。

轉載自《COUNSEL GROUP》

2012年11月18日 星期日

CISSP人數統計(2012/09)

CISSP人數統計(2012/09)

CISSP

Afghanistan
2
Albania
2
Algeria
1
Andorra
2
Angola
1
Antigua and Barbuda
1
Argentina
107
Aruba
1
Australia
1,518
Austria
127
Azerbaijan
2
Bahamas
5
Bahrain
35
Bangladesh
2
Belarus
1
Barbados
28
Belgium
344
Belize
1
Bermuda
11
Bolivia
4
Bosnia and Herzegowina
4
Botswana
3
Brazil
350
Bulgaria
29
Burundi
1
Cambodia
1
Canada
3,993
Cayman Islands
13
Chile
66
China
559
Colombia
110
Costa Rica
12
Cote d'Ivoire
1
Croatia (Hrvatska)
46
Cuba
1
Curaçao
5
Cyprus
21
Czech Republic
68
Denmark
307
Dominican Republic
8
Ecuador
4
Egypt
93
El Salvador
5
Estonia
12
Ethiopia
9
Faroe Islands
1
Fiji
1
Finland
343
France
656
Georgia
2
Germany
1,032
Ghana
16
Gibraltar
4
Greece
83
Grenada
1
Guam
6
Guatemala
23
Haiti
1
Honduras
2
Hong Kong
1,326
Hungary
94
Iceland
6
India
1,456
Indonesia
86
Iran (Islamic Republic of)
5
Ireland
281
Israel
237
Italy
294
Jamaica
10
Japan
1,268
Jordan
23
Kazakhstan
8
Kenya
35
Korea, Democratic People's Republic of
1
Korea, Republic of
2,815
Kosovo
1
Kuwait
50
Latvia
12
Lebanon
9
Lithuania
14
Luxembourg
55
Macau
13
Macedonia, the former Yugoslav Republic of
9
Malawi
1
Malaysia
237
Malta
8
Mauritius
14
Mexico
289
Moldova, Republic of
1
Monaco
1
Montenegro
3
Morocco
11
Mozambique
3
Namibia
1
Netherlands
1,339
New Zealand
170
Nigeria
121
Norway
160
Oman
9
Pakistan
99
Palestinian Territory, occupied
2
Panama
11
Paraguay
1
Peru
18
Philippines
66
Poland
270
Portugal
59
Puerto Rico
33
Qatar
57
Romania
85
Russian Federation
182
Saint Barthélemy
1
Saint Kitts and Nevis
1
Saint Lucia
1
Saudi Arabia
208
Senegal
1
Serbia
29
Singapore
1,106
Slovakia (Slovak Republic)
41
Slovenia
15
South Africa
333
Spain
463
Sri Lanka
50
Sweden
393
Switzerland
585
Taiwan
233
Tanzania, United Republic of
4
Thailand
150
Trinidad and Tobago
27
Tunisia
16
Turkey
108
Uganda
8
Ukraine
14
United Arab Emirates
342
United Kingdom
4,149
United States
53,305
Uruguay
32
Venezuela
12
Viet Nam
13
Virgin Islands (British)
1
Virgin Islands (U.S.)
2
Zambia
1
Zimbabwe
7



1.截至2012年9月全球CISSP、ISSAP、ISSEP、ISSMP有效認證人數統計
2.資料來源(ISC)2網站
3.實際人數應該會更多,因為有些人是因為沒能繼續累積CPE或繳年費......