BQJournal Vol 8-9 2011 by Business Quotient Journal

Lite Edition

2011 年 8-9 月號

商業 ‧ 科技 ‧ 智慧

雲戰略

趨勢科技的

VOL 8

趨勢科技台灣及香港區總經理洪偉洤

Win/ Mac 程式兩用舒解 MacBook 新手苦惱防止員工盜取智慧資產限制非公司裝置存取網絡

備份方案必須可 100% 還原

要管好人先要管好電腦

米蘭站改用 Ahsay 減還原失敗率

ZENworks 電腦管理方案

SafeSync for Business

企業部署 SIP 精減人手

助電腦、手機、平板資料安全更新

cover0.indd 1

將企業後勤支援遷往更北

15/8/2002 12:28:10

NO. 2011 年 8 月號

市場分析 04

半數港企利用社交網贏得新業務學校最大敵人原來是自己人商業趨勢

引進檔案管理策略有效節省成本 MacBook 成為電腦增長火車頭全球保安軟體過去一年的市佔率中國國情

2011 全國中小企業大巡診活動助企業應對各種難題 CEO TALK

趨勢科技的雲戰略

Business Quotient Journal《商智謀略》出版人︰蕭友強主筆：麥經倫

商業科技 08

編輯：黃沛成封面：燕

跨平台的雲端儲存方案電腦、手機、平板互通協作

地址：香港九龍觀塘鯉魚門道 2 號新城工商中心 2 樓 9 號室

要管好人先要管好電腦 ZENworks 電腦管理方案

編輯部電郵：editorial@bqjournal.com

備份方案必須可 100% 還原米蘭站改用 Ahsay 減還原失敗率

編輯部 / 廣告傳真：（852）25275126

廣告部電郵：sales@bqjournal.com 網址：www.bqjournal.com 製作：燕

編者話二十年前做生意的方法跟現在肯定不同。現在中小企能成功在生意突圍，除了要懂得利用資訊科技節省營運開支，更要懂得利用它來增加生意。另外，中小企也要懂得利用它的好處來進行人事管理，因為今時今日，相信沒有員工不利用電腦進行工作，一家成功的企業要管好人，其實先要學管好員工的電腦，尤其是上網行為，怎樣能做好這方面的管理，而不侵犯員工的個人私穩，及限制員工的創意，是個相當大的挑戰！

承印：鴻基印刷有限公司香港發行：勤力德發行有限公司

企業部署 SIP 精減人手令企業後勤支援遷往更北

地址：新界葵涌打磚坪街 57-61 號中央工業大廈 2 樓 A 室電話：（852）2720-8888 台灣發行：勤力國際股份有限公司

產品試用 12

Win/ Mac 程式兩邊用舒解 MacBook 新手苦惱

地址：台北縣新店市寶高路 20 號電話：（886）02-29106880

技術應用 14

03.indd 3

防止員工盜取智慧資產 ( 上 ) 限制非公司裝置存取網路

PRINTED IN HONG KONG 電話：(852) 25272878 《商智謀略》免費派發地點：灣仔電腦城 247-248 號 i-Shop 電子 PDF 版下載登記 www.linuxpilot.net/user/register

Andrew Wong Editor BQJournal Magazine

13/8/2002 15:45:12

商業及科技月刊《BQJournal 商智謀略》將再於 2011 年 12 月號推出「最佳 IT 超級品牌 2011」《IT Super Brand Award 2011》大選，編輯部現正徵求各 IT 廠商及代理提名參賽，歡迎與我們聯絡。

BQJournal 商智謀略雜誌

IT 超級品牌獎 2011

報名表

資料提供參選公司請詳盡提供下列資料給編輯部作為評選之用：（總字數不多於 5,000 字，如有需要，請以附件提供額外說明。）

( 總字數不多於 5,000 字，如有需要，請以附件提供額外說明。) 1

參選公司名稱：

參選公司聯絡人：

聯絡方式 Email：

電話： 3

參選產品或服務名稱：

貴公司的業務範疇針對哪一個方案市場？

過去一年，貴公司在品牌建設有哪些具體的成就及對業績帶來多大的幫助？

貴公司如何推動創新品牌形像？

貴公司如何提升消費者對貴公司的品牌認知？

評審標準 BQJournal 將按以下評審標準選出優勝作品：品牌認知率 2 市場推廣成效 3 業務表現 4 品牌價值及創新力 1

參

選

辦

法

如果您認為貴公司的 IT 企業品牌深受市場認可，歡迎與我們聯絡，參與今次的「最佳 IT 超級品牌獎 2011」《IT Super Brand Award 2011》大選，獲選者將可以向業界宣告你們努力的成就，增強企業品牌的知名度，BQJournal 更會向全港傳媒頒布結果。提名截止日期：2011 年 11 月 31 日參選廠商請將資料電郵至：editorial@bqjournal.com 查詢電話：(852) 2527 2878

mkt.indd 1

13/8/2002 11:56:42

網路營商

半數港企利用社交網贏得新業務【網路營商】辦公空間解決方案 Regus 最新的全球問卷調查中指出，有超過半數香港企業成功利用社交網路、網誌、微網誌與論壇贏得新業務。雷格斯發現有 48% 的香港公司透過商業社交網路活動，成功贏得新客戶。該研究亦顯示，較去年同期相比，全球有越來越多的企業透過社交媒體來聯絡現有客戶，並與其建立密切關係。報告中發現，越來越多香港企業透過社交媒體發展業務，以下是一些研究的發現︰

全球經由如 Facebook 等社交網路成功

全球有 52% 及香港有 55% 的企業利用

吸引到新客戶的企業比率，提高了 7%

如 Twitter 和新浪微博等網站，與現有客戶建立密切關係、進行聯絡及通知

在香港有 61% 的企業鼓勵員工加入如 Linkedin、Xing 和 Video 等社交網路，而全球則有 53%

對企業來說，社交網路已經完全從「有也不錯」進化為「不可或缺」，因為香港（78%）及全球（74%）的大多數企業皆同意，缺乏社交媒體活動的推廣策略，是難以獲得成功的。然而，香港及全球分別有 64% 及 61% 的企業也強調，必須在推廣媒體中取得平衡。他們深信必須結合傳統與數位

全球有約五分之二（39%）及香港有多

媒體的推廣技巧，推廣活動才會奏效（61%）。Regus 說，由於許多公司在景氣低迷這段期間成立，

於五分之二（43%）的企業，將高達

因此越來越多企業開始重新考量經濟衰退前的工作制度，並且選擇更具彈性與競爭性的策略。從供應

20% 的宣傳推廣預算投入商業社交網路

鏈管理、更高效率的工作制度、雲端運算，到擴大採用視像通訊與流動辦公等等，每一個業務領域都

活動

需面面兼顧得到。社交媒體迅速發展使其成為核心業務工具，顯然也是這段轉化過程的一環。現在有更多公司利用這個渠道來提升現有客戶忠誠度，更將其作為贏取客戶的有效工具。

學校最大的敵人原來是自己人【網路安全】近年來，由中學至大專院校，網路教學活動已蔚然成風。然而，網路教學帶來方便的同時，亦衍生了不少資訊保安問題。Symantec.cloud 在今年五月份針對教育界的資訊安全威脅狀況進行了一項調查。結果顯示，隨著使用電腦的學生越來越多，他們亦為本地教育機構帶來前所未有的隱憂。在學校中，幾乎所有受訪的學生都會使用連接至學校系統同一部電腦，瀏覽電影、收聽音樂及訪問社交媒體網站。在 Symantec.cloud 進行的調查中，有過半中學及大學的 IT 專業人士都表示，這種危險的網上行為非常使人擔憂。根據在中學及大學負責管理網路的 IT 專業人士回應，百分之百學生在課堂上抑或是做功課時，都會使用個人電腦完成課堂作業。同樣，幾乎所有老師都會用個人電腦進行學術工作。根據 Symantec.cloud 的最新調查，有 66.67% 中學及 50% 大專院校的 IT 專業人士相信，他們的學生都使用同樣的設備處理課業及上網查閱電子郵件、下載遊戲、音樂或電影，以及訪問社交媒體網站。這種行為很容易導致學生的筆記簿型電腦變成潛在的惡意軟體傳播載體，從而對其他學生的個人電腦以及整個學術網路造成威脅。教人擔憂的是，只有 33.33% 的中學及 50% 的大專院校要求學生在個人電腦上安裝保安軟體（防垃圾郵件及防間諜軟體）。有 66.67% 的中學及 50% 的大專院校非常擔心學生電腦上的惡意軟體會傳播到整個學校的 IT 網路。事實上，這種危險的網上行為可能已經造成影響。據受訪的 IT 專業人士指出，有 33% 的中學生及 50% 的大專生曾經表示，電腦死機是延遲交功課或遺失功課的原因。關於學生電腦的保安責任問題，受訪中學認為學校及學生應該各承擔一半責任；而大專院校則認為學生應對其電腦的資訊安全負上全責。風險亦不僅限於學生之間。大部分學生（中學 92.55%、大學 100%）時不時允許他人使用其電腦，從而帶來危險瀏覽行為的潛在威脅。有時這種危險的瀏覽行為是在學校透過學術網路進行的。逾半學生（中學 55.32%、大學 88.46%）表示，他們曾透過學校的有線或無線網路，使用個人電腦訪問社交媒體網站。當中最大的顧慮是，這些年輕人缺乏資訊安全威脅知識。有 34.04% 中學生及近 20% 大專生甚至不知道其電腦是否開啟了防火牆。在調查中，學生被問到學校是否提供了任何設備或應用，協助保護其個人電腦，例如訪問網頁的提示及提供免費的防毒軟體等。有 54.26% 的中學生及 42.3% 的大專生都表示沒有，或不知道是否有這種協助。

4-5.indd 4

13/8/2002 14:55:27

商業趨勢

引進檔案管理策略有效節省成本【資料管理】從早期例證顯示，採用可降低檔案或儲存容量管理複雜度技術之企業，能夠減少非結構性資訊儲存相關的整體成本。管理和定期維護檔案系統是企業一直以來的挑戰。Novell 最新就發表一份與儲存檔案（又名非結構性資料）相關的法規遵循量化成本報告，這份名為「非結構性資訊儲存之法規遵循成本」的分析報告指出，無法妥善管理智慧財產的企業機構，每年產生平均高達 210 萬美元的相關成本。

非結構性資料（如含有企業的智慧財產的文件、簡報和試算表）之爆增逐漸造成客戶在儲存、控管和法規遵循上的嚴峻挑戰。法規遵循成本會隨著組織的人員數量而變動，公司規模的確會影響因法規遵循所產生之成本負擔，因為規模較小的公司非常容易受到高比例非結構性資訊儲存相關的法規遵循成本所影響。少於五千名員工的組織，平均成本約 123 萬美元，但員工人數超過 75,000 名的企業，其成本則約為 271 萬美元。由此可見規模較小的公司其每名員工的平均成本是規模較大的企業之六倍以上。

Novell File Management Suite 可以幫助企業透過三種 Novell 產品為檔案儲存環境加入控管功能，而這三項產品以用戶身份識別為基礎一併做到存取、服務供應，以及檔案儲存最佳化的目的。

強調高度政策規範的產業，如金融服務、製藥、通訊和保健醫療等，承受最大的法規遵循成本壓力，每年平均需花費 250 萬美元。非結構性資訊儲存耗費最昂貴之法規遵循成本相關項目，分別包括電子資料搜尋（e-discovery）、存取管理和內部稽核作業。企業在這些項目每年花費超過 190 萬美元。調查結果顯示，企業在業務上有很強的檔案管理解決方案需求，協助客戶在現今規範嚴謹的商業環境中有效管理非結構性資料。為了降低與非結構性資料相關的難題，Novell 建議採用以身份識別為基礎的自動化作業，這可協助企業規劃和部署具效率和成本效益的儲存架構，同時也可在遵循各項法規和治理需求的前提下執行所有作業。其中，Novell File Reporter 可為檔案系統編製目錄，讓企業的儲存模式更具能見度，並提供智慧型功能來針對儲存規定及管理作業定義出各項政策。Novell Storage Manager 可將所有商業導向的使用者和群組儲存管理作業建立自動化機制。Novell Dynamic File Service 可藉由將價值較低的檔案儲存到較便宜的儲存設備中，讓儲存資源得以最佳化使用，因而能降低成本，並可改善備份程序。

MacBook 成為電腦增長火車頭市場分析

景氣欠佳，加上傳統手提電腦和迷你電腦產品欠缺特色，有市場研究機構 DIGITIMES Research 就預期，2011 年全球 NB 市場將寫下新低，預計將僅有 3.2% 增長率，較四月推測的 5.8% 還要低。從產品面觀察，2011 年雖然主流 NB 規格發展無甚吸引力，但仍有兩類產品表現出色。根據 DIGITIMES Research 調查，蘋果 2010 年第四季推出的第二代 MacBook Air 2011 年出貨量可達 320 萬台，Intel 已推出數年的 Classmate PC (CMPC) 也於 2011 年首次獲得百萬台以上訂單，預估 2011 年出貨量將近 400 萬台。合計這兩個系列產品，2011 年將較 2010 年增加 570 萬台，與 2011 年全球 NB 出貨量增幅 633 萬台相當，分析員認為，2011 年全球 NB 市場的成長，MacBook Air 與 Classmate PC 為兩大力量，為未來 NB 產品發展的重要參考。

全球保安軟體過去一年的市佔率市場分析資訊科技研究機構 Gartner 說，2010 年全球保安軟體市場規模達 165 億美元，其中 Symantec、McAfee、Trend Micro、IBM 及 CA 合計的市佔率已降至 44%。這五大供應商的市佔率自 2006 年的 60% 一直持續下降。分析師認為，資訊保安市場持續處於合併狀態，然而，即使是相當劇烈的併購活動仍無法改變市場分散的情況。新成立的企業加入競爭，是促進市場擴展與創新的部分原因。新競爭對手引進了創新技術及解決方案，以滿足終端用戶的需求。但與此同時，IT 生態系統轉變產生的漏洞亦讓網路罪犯有機可趁，觸發新的安全威脅，由於小供應商的技術創新，原有領先供應商的市佔率逐漸被小供應商蠶食，當中許多是新成立的企業。他們發展新解決方案以應付新威脅及漏洞，又或實施成功打入市場的策略，建立獨特的市場定位，繼而從現有供應商手中奪取市佔率。

4-5.indd 5

13/8/2002 14:55:28

2011 中國中小企業大巡診活動助企業應對各種難題

中小企營商網

中國中小企業協會 http://www.ca-sme.org

中

國中小企業協會通過舉辦中小企業大巡診活動，向各地企業引入智慧資源，幫助中小企業不斷提高管理水平，提升自主創新、市場競爭能力，幫扶中小企業解決融資難、留人難等一系列的問題。新的一年，中小企業大巡診活動將繼續跟隨時代脈搏，結合中小企業面

臨的新形勢，抓住重點問題，更切實有效的為各地中小企業解決問題。 2009 年 9 月，中國國務院出台了《國務院關於進一步促進中小企業發展的若干意見》，將解決中小企業現實困難與保持平穩較快發展、推進結構調整緊密結合，引導中小企業轉變發展方式。2010 年 5 月，國務院又出台了《國務院關於鼓勵和引導民間投資健康發展的若干意見》，並緊密結合當前國際形勢，為擴大市場准入、推動轉型升級、參與國際競爭等方面營造良好的發展環境。這些政策的頒佈，充分證明了國務院對中小企業發展的高度重視。各地區、各部門也都相繼出台了一些具體措施，積極引導中小企業進入一些利潤較高、發展潛力好的行業。目前，中小企業的生存與發展問題得到廣泛的關注。各級政府密集出台了一系列扶持中小企業的政策與措施，幫助中小企業應對經營中遇到的各種難題，營造中小企業良好的生存發展環境。

活動目的本年度「中小企業大巡診活動」主題為「回歸本質—公司治理與全面創新」，目的是貫徹落實《國務院關於進一步促進中小企業發展的若干意見》政策方針，鞏固企穩向好的發展勢頭，促進經濟平穩較快發展。

會務安排

活動對象

中國中小企業協會將共舉辦 10 場系列

「中小企業大巡診活動」對象為中小企

活動，其中浙江省共舉辦 6 場，其中台州市

業負責人、當地政府領導、中國中小企業協會

的活動已經在 3 月 25 日完滿結束，而杭州

領導、著名經濟學家、知名金融機構、IT 機構、

市（8 月上旬）、安慶（8 月 18 日）、鎮江

管理諮詢專家、全球 500 強企業高層代表、

市（9 月 13 日）、上海市（11 月 18 日）、

知名新聞媒體，以促進中小企業和當地相關政

昆明市（11 月 25 日）則會順次舉行。單場

府部門的交流，暢通信息傳播渠道為目標，引

目的之一，引導地方部門從本地中小企業實

參會代表預計 300 人，包括 200 家中小企

導地方部門從本地中小企業實際需求出發，採

際需求出發，採取科學措施，切實高效的促

業負責人、當地政府領導、中國中小企業協

取科學措施，切實高效的促進當地中小企業發

進當地中小企業發展。最後是推進中小企業

會領導、著名經濟學家、知名金融機構、IT

展。推進中小企業成長工程、中小企業創業發

成長工程、中小企業創業發展工程等項目，

機構、管理諮詢專家、全球 500 強企業高層

展工程等項目，搭建專業機構與企業一對一服

搭建專業機構與企業一對一服務平台，使企

代表和知名新聞媒體。

務平台，使企業得到各方解決方案支持，活動

深入中國中小企業集中地區，實地調研，反映各地中小企業的真實情況，為中國制定相關政策方針提供依據，並給予中國中小企業智力支持，專家、學者給予診斷把脈，服務機構提供解決方案。促進中小企業和當地相關政府部門的交流，暢通信息傳播渠道亦是

業得到各方解決方案支持。

詳情請留意網站公佈。

香港增長由出口改為內需帶動 2011 年 8 月 4 日於生產力大樓 4 樓展示廳舉行「香港機場與出口業：現狀與未來」研討會，是次研討會旨在讓各行業從香港出由香港生產力促進局於口經濟、製造業界及航空運輸的角度探討如何能有效地改善香港出口業的表現。其中主講嘉賓匯豐亞太顧問梁兆基表示，自改革開放以來，內地過去三十年經濟起飛，成績驕人，當中出口經過了兩次突大增長，其中一九八零年至一九九零年出口在香港大幅上升，由 150% 升至 250%，在這開放政策下，香港中小企是第一批到內地發展，在這段時間香港不少工廠流入大陸，令透過香港作為橋頭堡出口基地的增長大幅增加，亦因為這過往十幾年的努力，也造就香港金融業。至一九九零至二零零年，香港出口佔本地生產總值未有上升，期間發生包括金融海嘯和非典形肺炎，令香港中小企擴張已到極限。梁兆基表示至中國加入世貿，不少外國公司將生產移往過內，這也激起第二浪內地投資趨勢，也間接帶旺了香港出口。梁兆基說，全球金融危機後，中國的進口增長大於出口增長，加上中國投入四萬億元在基建投放，令原材料需求大增，但與此同時內地的出口也開始放緩。內地十二五規劃後，這個計劃改變未來內地十年的經濟模式，以往中國三十年輝煌成績有賴出口，這也帶來了世界極大的收支不平衡，中國人是喜歡儲蓄。梁兆基說，在國際貿易裡，一個國家越賺得多反而對其不利，因為逆差的輸家也可能出現賴賬，加上中國購買大量美國國債，每年以百份之七貶值，所說的數目是二千幾億，所以即使中國賺大錢也沒有地方投資，所以中國在思巧這個運作模式對其是否有利！這也解釋為何國家在十二五規劃後，希望將過去依賴出口來刺激增長，改由內需帶動，這也解釋為何香港中小企未來要放眼擴展內地營商的重要性。

06-07.indd 6

J 13/8/2002 16:54:39

CEO Talk Andrew Wong

趨勢科技洪偉洤說不發展雲端保安，單靠程式碼不能解決零時差攻擊問題

在

我接觸的軟體企業中相信沒有一家奉行雲戰略夠它徹底，它的名字叫趨勢科

技。趨勢科技香港及台灣區總經理洪偉洤說，公司的策略是希望將整個運算生態改由雲端來負責。事實上，不單只是消費版的 PCCillin 防毒軟體，甚至是近日針對傳統檔案伺服器市場而推出的 Safesync for Business，趨勢科技的目標都是希望將產品走進 SaaS 服務層面。

趨勢科技的雲戰略消費市場戰略

檔案伺服器走上雲端

洪偉洤說，過去幾年在改良防毒軟體時，他發現特徵碼即使你怎樣更新多快也好，特徵碼累積只會增加運算消耗和記憶體的負荷，對消費者來說其實是增加升級成本。趨勢科技的想法是希望將網絡保安交由雲負責，透過雲上的超級電腦，減低傳統防毒軟體對用家電腦的運算消耗，令公司避免無謂的硬件升級，保障現有投資。而為了解決 Zero-Day Attack 的問題，趨勢科技可說是首款防毒軟體透過雲端運算來進行攔截，逐漸將防毒軟體太過依賴特徵碼的運作減到最低。

事實上，趨勢科技在檔案伺服器市場上十分進取，隨著智能手機、平板電腦、蘋果電腦等愈出愈多，傳統的檔案伺服器實在未能滿足檔案分享的需要。對於十人以下公司，趨勢科技認為實在沒有必要投資檔案伺服器，因為資料改放雲端儲存，除了令所有裝置上的資料可即時同步更新外，更可以分享和協調，甚至對群組上的使用者管理，以及刪除的檔案也可還原，誰讀過誰更改過的檔案，用家更是無所遁形，安全性更勝傳統伺服器，而最重要是再毋須管理和添置伺服器，檔案寄存以服務形式取代，這也是未來發展的最大商機。

虛擬運算戰略談到雲端運算，當然不能不談雲架構下的虛擬機器。洪偉洤說現在很多虛擬機器都依靠超級電腦運行和分享資源，如果保安軟體使用舊有模式，即在每台虛擬機器上裝設端點軟體，一旦虛擬機的密度增加，再加上掃瞄時對伺服器構成的負荷，對虛擬架構來說其實是一場災難。洪偉洤說，其實虛擬機的資料在 Hypervisor 進出，只要保安軟體能在這個部分把關得好，基本上毋須在每個虛擬機裝置軟體及對伺服器帶來無謂的消耗，但對於某種情況，企業可能需要在伺服器實施組策（Group Policy），在虛擬機安裝保安軟體，他們亦提供這方面選擇。

06-07.indd 7

雲端資料安全戰略雲端上的資料安全性一直是不少企業關心的問題，很多大企業和政府部門因為雲端供應商未能提供百份百的資料保護而出現戒心，就好像過多月前 DropBox 就發生資料洩密事件，當時用家只要輸入任何帳戶名稱，在沒有提供密碼下竟然可自由存取資料，事件更持續過多少時，這令一向以為 Dropbox 有對資料加密的使用者如夢初醒！為了令企業對資料放在雲端更加安心，趨勢

科技開發 Deep Security 產品，令企業可以對雲上的資料進行加密和認證，避免雲供應商權力過大，接觸不應該接觸的資料，即使使用者不是最終硬件持有者，若服務供應商存心不軌，這種加密方法也可防範未燃。

智能手機戰略洪偉洤說開發智能手機的保安產品極具挑戰，因為程式佔記憶體和運算資源不能過多，太多會影響使用者的操作感受。另外，特徵碼也無可能實時更新，因為會佔用寬頻，這也解釋為何趨勢科技希望能透過雲進行保安，目的只有一個，就是不妨礙用家體驗！計劃中的下一波產品，趨勢科技說，會將在這些裝置上加上中央控管能力，一旦手機不幸失竊也可遙距鎖機，甚至刪除資料及偵測手機位置，或通過政策來限制手機周邊功能的使用權來做到 DLP （Data Lost of Prevention）保護，保障個人私隱和企業智慧產權。

趨勢科技（TMICY）所屬行業：科技業務：軟體和電腦服務

15/8/2002 11:55:09

跨平台的雲端儲存方案電腦、手機、平板互通協作

Andrew Wong

數位生活已經被重新定義，經由好用及簡單的備份方法，行政人員可以即時將數位檔案同步至雲端，照片與檔案立刻就能獲得保護，而且任何時候都能從任何裝置存取。根據 IDC 分析師的估計，2009 至 2011 年的網際網路儲存備份市場年成長率將達 33% 以上。勢科技推出線上儲存與資料同步產品 -

趨

SafeSync for Business。SafeSync 是

一套容易使用且強大的線上備份方案，讓行政人員也能享受安全的雲端。它提供了自動線上備份檔案與資料同步功能，透過安全的線上儲存中心，可讓多部電腦與上網裝置中的檔案同步。其資料管理功能，可免除行政人員在電腦之間手動複製檔案的麻煩，不僅節省時間，而且可預防資料遺失，用家只需透過網頁瀏覽器就能隨時隨地整理、存取和分享重要檔案。此外，也可下載一個用戶端軟體到所有電腦上執行檔案同步作業，此用戶端軟體會在電腦上建立一個虛擬磁碟，讓使用者直接存取趨勢科技 SafeSync 上的檔案，即使離線狀態也能執行。

趨勢科技香港區首席顧問陳紹斌

及線上聆聽音樂、觀賞影片等串流功能。SafeSync 行動功能包括：

保護個人資料安全這個前身名為 humyo 的備份方案在歐洲已是線上備份解決方案的領導品牌，趨勢科技併購後改名為 SafeSync for business，它不單能為一般消費者提供安全的線上備份存取能力，還適合中小企使用。SafeSync 可以持續備份所選取的檔案和資料夾，即時將消費者在本機電腦上所做的變更複製到雲端。此外，這項服務還有一些額外的好處，包括：回覆、同步、速度、效率、安全等等。

隨著網際網路連線裝置 (PC、Mac、智慧型手機 ) 的數量不斷成長，人們也開始希望隨時、隨地、從任何裝置都能存取自己想要的內容。具備同

直接從 SafeSync 帳號聆聽音樂或觀賞影片串流而不需事先下載

常同步與分享的想法。例如，親朋好友可以更容易

上傳 SD 記憶卡內任何檔案，包括照片、

分享家庭影片與其他多媒體內容，現在行政人員可

音樂、文件等等 ( 僅限 Android 裝置 )

以直接從 SafeSync 帳號就能分享檔案，不需麻煩

將新拍攝的照片和影片直接上傳至

地下載或者透過電子郵件來互傳。

4 5 6 7 8

步技術的線上儲存空間，徹底改變了消費者對於日

SafeSync 帳號檢視儲存在 SafeSync 伺服器上的檔案藉由檔案名稱前面的圖示，檔案類型一目瞭然直接從流動裝置建立、刪除資料夾或者重新命名在下載或上傳之前預覽影像或影片的縮圖

支援系統、瀏覽器及行動裝置 Windows 7、Vista、XP Mac OSX 10.5.8、10.6 Internet Explorer 7、8 和 9 Firefox 3.5 和 3.6 Safari 4 和 5 Chrome 5 和更新版本 iPhone/iPad、Android、Windows Mobile 瀏覽器

離線檢視存取過的檔案

同時支援 iPhone 和 Android 裝置一般使用者都擁有多個不同的流動裝置， SafeSync 可隨時自動維持裝置間檔案同步，使用者隨時都擁有最新版本的檔案。針對 iPhone

公司：趨勢科技方案：SafeSync for Business 電話︰ (852) 2866-4362 網頁：www.trendmicro.com/safesync

和 Android 等行動裝置，透過專設的軟體，它亦可存取儲存在 SafeSync 伺服器的檔案，甚至將手機內的照片或影片直接上傳至 SafeSync。新版軟體更新增預覽縮圖、離線檢視檔案，以

08-09.indd 8

Safesync Android 版本支援音樂及影片串流

Safesync iOS 版同時支援 iPad 及 iPhone

13/8/2002 15:03:46

商業科技

企業管人先要管好員工電腦 Novell ZENworks 11 端點管理方案電

腦安全其實不只是安裝一套防毒軟體那

公司︰ Lapcom 方案︰ ZENWorks11 電話︰ (852) 3694-4668

麼簡單，對中小企來說，要達至全面的

網路管理，還要考慮電腦上有形和無形的資產。有形的資產可以是電腦的周邊元件，例如記憶體和硬碟等等，而能及時發現電腦周邊有任何更換，都可以減少公司失竊和避免無謂損失。至於無形資產可能比有形資產更為重要，例如軟體出現漏洞缺乏更新所帶來的危險，未必是一套防毒軟體能夠解決。 Novell ZENworks 11 將 ZENworks Conﬁguration Management、ZENworks Asset Management、 ZENworks Patch Management 和 ZENworks Endpoint Security Management 四款產品完全整合為單一的統合平台。整合後的方案可為 IT 管理人員提供一個能夠管理裝置、安裝更新修正檔、保護端點，以及能在實體、虛擬和雲端環境中追蹤軟體授權，並可滿足如 Windows 7 轉移作業等各種短期的工作需求。一些中港公司要兼顧兩地公司的資安工作都疲

立高科技銷售經理郭偉橋說，Novell ZENworks 11 是業內首款具有『單一虛擬管理界面』（single pane of glass）的端點管理解決方案。

於奔命，在內地更可能要管理成千上萬名員工分佈多個據點，他們需要符合成本效益的方法來管理。郭偉橋說，ZENworks 11 擁有身份認證管理和位

ZENworks Endpoint Security

ZENworks Patch Management

組件於用戶端電腦強制執行安全規則，

Windows 的安全性管理和修補程式部署永遠是管

置識別功能，可以讓管理者根據員工的身份以及裝

讓員工的電腦依照預先設好的政策，避

置所處位置來管理裝置，進而提升更高的生產力與

免企業網路陷入混亂。因此，用戶端電

安全水準。ZENworks 11 的其他特性還包括內建 Windows 電源管理設定、運用 Intel vPro 技術執行頻外（out-of-band）電源管理作業、以及透過單一控制台管理為 Windows 與 Linux 裝置更新軟體，甚至對系統進行映像備份。

腦可在磁碟層級阻止儲存裝置上的檔案被讀寫（USB 隨身碟、iPods、軟碟機以及 CD/DVD 光碟機）。亦可針對寫入可卸除式儲存裝置的檔案，保持稽核記錄，並防止使用者關閉個人防火牆。對於無線裝置更可根據其配接卡識別碼鎖定無線存取。

理者的夢魘 , 除了很難判斷誰需要什麼樣的修補程式外，對冗長乏味的測試部署過程也是傷透腦筋。 ZENworks Patch Management（ZPM）是一個功能強大的自動化安全修補系統，支援 Microsoft Windows 和 Linux 的各種修補和安全性修正。管理者透過 Web 管理界面可以很快的決定哪些修補適合採用在他們的企業，由精靈程式指導選擇合適的目標 Windows 系統，確保企業所有的電腦受到安全保護，不論是在企業內部或者是 Internet 連線。

ZENworks Conﬁguration Management Conﬁguration Managment 資源管理產品提供了一系列桌面管理功能，涵蓋遠程管理、個人設置遷移、標準操作環境 (SOE) 部署和維護、硬體和軟體庫存（資產管理）、應用程序管理、軟體分發、手持式設備管理、 Linux 管理、補丁管理、終端安全管理等等。

ZENworks Asset Management 好的資產管理從正確 IT 資產盤點開始。資產庫存能自動化盤點組織內的軟體，硬體和網路資產，包括 Linux、Mac 和 Windows 桌面電腦，管理者可獲得需要的資料，像是軟體授權數目等等，並且能提供資訊給你所有重要的 IT 專案，包含升級，租賃管理，技術維護人員 (Helpdesk)，預算，計畫和資產重新部署等。

08-09.indd 9

13/8/2002 15:03:47

米蘭站改用 Ahsay 備份減低失敗率備份方案必須還原

特約專題組

受城中 OL 及靚太們追捧的二手名牌手袋天堂米蘭站，於短

備

短十年間已在香港開設超過十間分店，並已經成功進軍澳門

和內地市場，為確保業務得以繼續發展，管理層在研究多個備份方案，決定採用 Ahsay 的備份方案以保障公司的重要業務數據不會遺失。米蘭站的 IT 部門經理 Kenneth Poon 表示：「米蘭站的業務得以快速發展，全賴我們的中央電腦行銷系統，幫助市場推廣團隊發送最新的貨品資訊給我們在大中華區的會員，電腦系統每天處理過大量交易資料，絕不能有任何意外，否則一定嚴重影響業務。我們研究了多個不同公司的方案，最終選擇了 Ahsay，因為他們無論在產品、服務以及收費方面，均比其他方案更可取。」

磁帶備份欠缺成本效益 Kenneth 表示：「起初，我們使用傳統的磁帶為電腦作備份，因為公司的分店在短時間內大幅增加，而電腦處理的交易亦同步上升，導致公司舊有的數據備份方法無法配合業務的發展。磁帶的最大缺點是還原失敗率高，我們曾經試過多次在需要還原時，才得知無法成功還原檔案，令我們遺失重要的業務資料。而且我們的業務開始衝出香港，拓展至澳門及內地，令集中備份各地的電腦資料的工作變得相當困難。加上以磁帶備份的開支 ( 包括更換磁帶、管理、運輸、存放等 ) 相當昂貴，缺乏成本效益。」

跨地域集中備份必須易於管理 Kenneth 透露：「我們希望採用硬碟對硬碟 (Disk to Disk) 的備份方案以取代磁帶，因為這技術已經成為備份的新標準，而 Ahsay 正正是採用這技術，每次備份均有完整性測試，還原成功率極高，直接解決我們之前以磁帶備份的缺點。另一項對我們極重要的功能是透過互聯網進行跨地域集中備份，將分散於各地分公司的數據，集中備份到設於我們公司總部的中央備份伺服器，對我們 IT 部門在備份管理上幫到很大的忙。另外，Ahsay 更提供了雲端數據保險庫的異地複製服務，將我們備份伺服器的數據接近實時地複製到 Ahsay 的數據中心作儲存，為我們的資料作雙重保障，使我們無需將磁帶運送到異地作儲存，大大節省了相關成本，節省出來的 IT 人手可以為公司做更多與業務發展相關的工作，一舉兩得。」

貼身客戶支援等同增添 IT 人手另一個促使米蘭站選用 Ahsay 備份方案的原因，是 Ahsay 的售前和售後支援。Kenneth 表示：「Ahsay 是我們測試過的數個方案中，售前和售後服務最貼身的服務商。在我們購買 Ahsay 的產品之前，Ahsay 的工程師會對我們公司的 IT 基礎設施作出徹底的分析，然後為我們度身訂造幾個解決方案；售後更派專人到我們公司安裝、設定所有軟體及硬體，兩日內已經可以用新系統開始備份，非常有效率。他們更提供上門系統及應用程式還原服務，如果我們的電腦遇到任何意外令數據遺失，Ahsay 的工程師可以幫助我們在最短的時間內還原作業系統及恢復所有應用程式。」Kenneth 表示公司的同事都很滿意 Ahsay 的備份方案和服務，他更推薦了 Ahsay 給其他做 IT 的朋友。

10-11.indd 10

Ahsay Backup Software 查詢：(852) 3580-6955 網頁：www.ahsay.com 示範 : eval7.ahsay.com

13/8/2002 15:50:40

商業科技

將企業後勤支援遷往更北企業如何部署 SIP 精減人手 ?

特約專題組

大

家打去信用卡公司有無發現接線生口音有點「大陸」，其實是信用卡公司

用了類似 MyPBX 一類（IP-PBX / SIP 閘道 / IP 電話 / VoIP Gateway ）的交換機系統，將香港撥入的電話由大陸的呼叫中心（Call Center）來接聽，過往不少香港公司就用了這些方案來合法地聘請廉價勞工，令很多香港人失業，其實 MyPBX 這類 Internet Phone 網路電話系統還有其他特別用途。不論你打算創業也好，或是中小企也好，電話始終是最直接與人溝通的橋樑。隨著員工增多，很多公司都會使用電話系統，可惜的是傳統 PBX 電話系統最大的問題是要預先在電話擺放的地部佈署電話插口，若公司人數增加，需要再添電話線時便會欠缺彈性；又或者公司需要搬遷，一般都要給行內俗稱「師父」的電話工程師重鋪網路，這都需要花一筆可觀的費用。

紅蘋果負責人 Victor 說 My PBX 可節省長途電話成本

MyPBX 重點功能

不少公司都在內地設立辦事處，將後勤和技術支援由內地同事負責，MyPBX 可以將本地撥入的電話線轉發到內地辦事處，由內地後勤部門負責接聽，現時很多銀行信用卡中心和服務專線，如果

兩地辦事處串連內地省市電話 MyPBX 是一個網路電話系統，只要有網路

iPhone 或 Android 手機安裝具備 SIP 支援的軟體，便可把桌上的 VoIP 電話「轉移」至手機。如果中港兩地都裝有 MyPBX 的話，你更可以將兩台 MyPBX

接聽，這方案最大的意義是幫助企業精簡本地的人手，由內地或更遍遠地區的同事負責接聽。

支援呼叫中心功能

要撥打街線便可以互通，甚至香港的行政人員可以

司時，可以聽到公司歡迎語，然後透過話音系統指

通過內地的 MyPBX 撥打內地電話給客戶，過程完

示，將接線撥號到公司內部不同部門，例如銷售部、

全透明，甚至接聽的客戶以為你身處內地。

市場部、會計部、技術支援（由內地同事接聽）等等，這個功能至少可以幫你省下一個接線生的成本。該功能跟目前銀行信用卡所採用的方案沒有分別！

可以透過 MyPBX 預設的 Skype 帳戶（Skype for SIP），利用它打國際固網長途電話，這個功能為公司更進一步省錢之餘，還可以設置權限和記錄，以免員工濫用，加大公司開支。

錄音）

工作人員接聽時，可以按預先編排的號碼，逐一派到不同部門接聽，免流失客戶和商機）

使用案例據紅蘋果表示，目前它有一個客戶案例是一間連鎖店，很多時候顧客打電話查詢各連鎖店，因為人手繁忙，無人接聽電話，通過 MyPBX 方案，這些連銷店將其電話系統連成一體，即使其中一家分店沒有人接聽，MyPBX 懂

雖然目前長途電話收費已經很便宜，但是它支援比本地電訊公司還要便宜的 Skype，員工

來電顯示、通話錄音（方便將客戶通話

今時今日做生意講求專業形像，MyPBX 網路電話系統話支援 Call Center 功能，客戶撥電話進公

MyPBX 還提供一個更具優勢的長途電話方案，就

3 自動答問功能：當指定的直線電話沒有

連接起來，將它組成一個電話網路，兩地的員工只

更便宜的國際長途電話

以致電回公司電話收聽留言

大家有留意接線生的口音，其實早已改電內地同胞

的地方就可以駁上 VoIP 電話，其運作跟傳統電話無異，你可以通過 VoIP 電話取得街線，甚至利用

1 具備留言信箱及電話會議功能：員工可

得將撥入之接線轉至其他分店甚至總公司的電

方案︰ MyPBX 查詢：紅蘋果電話：(852) 3422 8842 網頁：www.mypbx.com.hk

話內，避免得失客戶。以前網路電話系統如 Avaya、Nortel 和 Cisco 都以天價發售，沒有幾萬元都無可能實現。現在紅蘋果提供的 MyPBX 方案，完全解決中小企面對的問題，而價錢更低至 $7000 元，十分便宜和超值。

10-11.indd 11

13/8/2002 15:50:41

產品試用

Win/Mac 程式兩邊用舒解 Mac Book 新手苦惱

Andrew Wong

Parallels Transporter 實體遷虛體應用

而且確，越來越多人用 MAC 來做日常

的

工作，而對初次用 MAC 的使用者來

說，一下只要過渡至 MAC 平台並不容易。

Parallels Transporter 本身是一個 P2V

因為新舊系統和軟體的使用習慣不同，所以

（Physcial To Virtual）的遷移軟體，有 Linux

為了使用 Windows 軟體，過往用戶都要較複

和 Windows 客戶端版本，用家可以將它先安裝

雜的 Boot Camp 方法，每次要切換 Mac 或

在需要複製系統之電腦上，例如筆者就有一部

Windows 都要先重新啟動電腦，其實兩者有

Windows 7 電腦，先裝上 Parallels Transporter，

無方去共存而不減效能呢？

然後於 Mac 上的 Parallels Desktop 導入 Windows 7 P2V 轉換後的虛擬映像，轉換過程支

這時用家可以選用由 Parallels 出品的

援經 USB 線、經網路或經硬碟，以一個 160GB

Parallels Desktop for Mac 6，它是一個 Mac OS

的 Windows 7 系統經網路遷移為例，大約要用

上的虛擬軟體，支援 Windows XP、Vista、7 及

八小時，完成後執行系統映像，跟你在實體機中

Linux 等操作平台，用家可於 Mac 內使用 Mac

的 Windows 7 是沒有分別的！速度等效果也非常

和 Windows 程式，無論在那一方都可以互通。

之好。如果你是 Mac 新手，又想在 MacBook 上

這種模式稱為 Coherence，用家不用擔心學習

同時 100% 相容地使用 Windows 和 Mac 平台，

Windows 快捷鍵，因為使用 MacOS 快捷鍵令你

Parallels Desktop for Mac 絕對值得投資。

在 Windows 應用程式能得心應手。例如 Mac OS 快捷鍵（Cmd+W、Cmd+Q、Cmd+~、Cmd+M、 Cmd+H、Cmd +Alt+H）可以在透明模式下管理 Windows 應用程式。值得一提是「格式文本」和「共用剪貼板」選項，現在可以通過虛擬機配置對話方塊禁用。由於新版本支援 DirectX 9 關係，家可直接執行 AutoCAD 等複雜的軟體，感覺跟在正

BQJournal 商智謀略

Design Editor Choice

常裸機 Windows 上執行程沒有分別。填上註冊登記的電郵，然後於 iPhone 和 iPad 的 Parellels Mobile 同時也輸入這個電郵，iOS 端點

先將要搬遷的系統裝上 Parallels Transporter

便會直接聯絡 Parallels Desktop 公司的伺服器找尋用家的 Parallels Desktop，即使 Mac 身處於路由器後也沒有問題，因為 iOS 端點連接 Parallels Desktop 過程具有 UDP 穿透性，毋須進行複雜的埠口映射。筆者就利用裝在 iPad 上的 Parellels Mobile 直接連接 Mac 上的 Parallel Desktop， iPad 中文手寫軟體為 PenPower，不論在中文手寫、倉頡和簡體輸入上也可經 iPad 的虛擬鍵盤直 Coherence 模式可將 Windows 應用程式整合為 Mac OS 一部分。

接於 Parallels Desktop 上運行中的系統直接輸出中文，所以中文支援上已百份百相容。在 Parallels Desktop 導入要遷入的 Windows

軟體也充分利用 Mac 硬體，以最大限度地為 Windows 提高速度和性能，例如在 32 和 64 位元虛擬機可使用多達 8 個處理器和 2TB 的虛擬記憶體。

極佳 IE / ActiveX 相容性 Parallels Desktop 過去已發展了多個版本， Parallels Desktop 上直接使用 Windows 上的中文輸入法完全相容於 Mac 上的鍵盤，而 Windows 上的 Internet Explorer 也真的可以支援 ActiveX，如果通過 IE 來瀏覽 IP Camera 視頻也完全相容。你亦可以用 Mac 上的 Spotlight 來搜索 Windows 程式。

iPad 上使用 PenPower 中文輸入法於 Windows 工作

iPad 虛擬鍵盤可觸發中文輸人最新版本的 Parallels Desktop for Mac 6 也支援 iPhone 和 iPad。在軟體的進階 Mobile 設定，先

12-13.indd 12

iPad 上管理 Parallels Desktop for Mac 的客端

三種導入方法，包括用 USB 線、經網路或可攜硬碟

Parallels Desktop for Mac 6.0 公司：Parallels 網站：www.parallels.com 價錢：HK$400

13/8/2002 15:10:37

趨勢評論

社交網路私隱洩露值得關注隨流動網路普及風險大增社

交網路逐漸成為我們生活的一部分，與其他互聯網及資訊科技的新技術不

同，例如雲技術、虛擬機器或 VPN 等，直接使用者都是專業技術人員，但社交網路卻是普羅大眾天天使用的平台，加上現時流動網路普及，只要智能手機在手，人們幾乎是無時無刻在社交網路平台上進行溝通。

黑客針對社交網路的廣大覆蓋面，盜取私人隱密資料或發放惡意程式的例子多不勝數，而其中又以 Facebook 用戶所面對的危險最大，與 Twitter 及微博不同，Facebook 原本的設計是個以朋友關係作聯繫平台，後來加入了 Fans Page，逐漸被企業用作推廣宣傳的渠道。相反 Twitter 及微博中只有信息發放者和 Followers 的關係，用戶將敏感資料放到上面的戒心比較強。正因如此，不法之徒特別喜歡以 Facebook 用戶為攻擊對象，原因有二：

1 Facebook 擁有龐大用戶人數； 2 用戶之間建立了朋友關係，讓他們對網上保安的意識降低了； 3 越來越多外國網站提供以 Facebook 戶口登入，於是用戶資料與更多不同平台連結，曝光機會亦相繼增加。

先進功能引發危機 Facebook 近年不斷引進新功能，例如自動對用戶上載的照片進行人面識別等，卻原來也引起了更多的安全考慮。根據彭博通訊社最近發佈的消息，德國漢堡數據保護與資訊安全局指出 Facebook 面部識別技術違反了歐洲及德國相關數據保護法規，並且嚴重侵犯了個人資訊。據統計，Facebook 用戶已累計上傳了超過 750 億張照片，其中 4.5 億張包含 Name Tags 識別資

取資料及發放惡意攻擊程式的現象相當普遍，但用戶更應該小心一些第三方應用程式 (Apps) 和遊戲軟體的安全問題。

為自己建立防護網

廣的講座論壇；也定期為本地大學、大型企

調查，到了 2014 年，將會有多達 200 億件非個

業及上市公司提供內容推廣策劃、社交網路

人電腦設備連接到互聯網，數量是電腦的五倍之

內容製作等服務。

保安軟體，然而已在手機或平板電腦上安裝保安

想：你在某年某日和一個朋友逛商場，另一天又

軟體的卻很少；流動網路的普及，無形中增加了

參加了一個集會，當時被拍下的照片只要上傳到

上網和進行社交網路活動的危險。 email: samko@colesnetwork.com 為此，Symantec 推出了智能流動設備的保安軟體，許淑菁更建議用戶除了為電腦及手機安

別約見了賽門鐵克公司 (Symantec) 個人消費性產品事業部台灣暨香港總監許淑菁，她認為黑客使用虛假身份在 Facebook 或其他社交網路上盜

十多年來曾於多份主要報章雜誌擔任總編輯及管理職位，近年與生產力促進局及傳媒機構合作，主持多個有關數碼媒體市場推

卻不知道自己的個人資料有機會因此洩露 – 試想

為對社交網路安全問題進一步了解，作者特

專欄作家 ‧ 內容推廣及培訓顧問

許淑菁提到：「用戶使用流動設備登入社

料。也許用戶覺得面部識別是好玩有趣的功能，

能都會看得到。

Sam Ko

交網路時牽涉的風險也值得關心，根據 IDC 一項

多。」大部份用戶都懂得在電腦上安裝防病毒及

Facebook，經過自動面部識別，你的所有朋友可

作者檔案

裝和定期更新保安軟體之外，Facebook 用戶也可以利用 Norton Facebook 防護網，預先掃瞄目前

香港中小企智匯網 http://www.hksmeblog.com

Facebook 的新聞提要，檢查是否含有不安全的鏈接以作出防禦，玩 Facebook 就可以更安心。

Norton Facebook 防護網： http://apps.facebook.com/nortonsafeweb/

12-13.indd 13

13/8/2002 15:10:38

防止員工盜取智慧資產（上）限制非公司裝置存取網路

Jovi Ku

Email: editorial@bgjournal.com

現在的上網裝置五花八門，加上員工也會帶手提電腦、iPhone、iPad 或 Android 等手機存取公司資源，又或者偶爾訪客需要透過公司的網路上網，如何保障公司網路的資料安全，尤其是智慧財產顯得越來越重要。在 Windows Server 2008 所提供的網路安全控管機制中，最讓企業 IT 注目的就是網路存取保護技術（NAP），然而在 NAP 的應用中又以整合企業的實體 802.1x 網路交換器（Switch）最令人稱奇，因為它可按照伺服器預先定好的政策設定，在 Switch 層面來限制員工上網設備存取公司網路資源。下文中筆者將帶領 IT 讀者們一同來實作 NAP 整合 802.1x Switch（Cisco 3650G）的部署。 Windows Server 2008 所提供的 NAP 架

在 802.1x 的隔離驗證控管的網路架構中，

安全規定，所會被移動到的合法網路區段（例如：

構設計中，許多讀者可能在一些研討會上

Windows Server 2008 所提供的網路原則伺服器

192.168.4.0），來存取所有可被連線存取的網路

看到的都是有關於 NAP for DHCP 的功能展示，

角色（NPS，Network Policy Server），取代了

資源，因此所有公司合法的網路資源可以都置放

或是有關於它的理論運作架構上的介紹而已。有

原有在 Windows Server 2003 中的網際網路驗證

在這個網路區段中，例如：檔案伺服器、企業入

鑑於此在接下來的介紹中，筆者除了要介紹有關

服務（IAS，Internet Authentication Service），

口網站、電子郵件伺服器、ERP 系統等等。

於 NAP for 802.1x 的運作基礎之外，更要說明如

透過此角色來同樣提供網路交換器或無線基地台

何搭配 Cisco 的網路交換器（3560G），來建構

RADIUS 連線的驗證服務，讓不合法的用戶端連

一個實實在在的 802.1x 有線網路的安全隔離控

線自動被隔離到另一個特定的 VLAN 網路中，或

管環境。在 IEEE 802.1X-2001 與 802.1X-2004

是透過 IP 篩選器（IP Filter）封鎖掉所能夠存取

的標準定義中，說明了提供以連接埠為主（port-

的網路資源，或是直接斷除實體的網路連線，直

based）的安全驗證機制，而這一項安全保護機

到用戶端電腦下一次重新插上網路線時再進行健

制便是針對企業中的有線與無線網路的連線而

康原則的檢查與比對。

在

來。在一個 802.1X 部署架構中主要由三個元件所構成，如下圖所示分別說明如下：

在 VLAN 的規劃上在此還要進一步說明，那就是 VLAN2 與 VLAN3 請透過 ACLs 的設定來讓這兩個網路無法相互存取，而 VLAN1 的網路中則必須至少提供網域控制站（DC）、DNS 伺服器、DHCP 伺服器、網路原則伺服器（NPS）的連線，在此筆者讓所有的伺服器服務都使用 Windows Server 2008 的版本，並且也將必要的網域等級設定為 Windows Server 2003。

關於 NAP 與 Vista 的整合另外，在 Windows Server 2008 的 NAP 與 Windows Vista 整合控管中，它包含了以 802.1x 驗證機制來對於有線網路連線 802.3

貼士網路交換器的支援，其中增強的部分包括 802.1x 運作元件。

1 連線要求用戶端（Supplicant）：當有用戶端在受保護的網路環境中需要連線存取時，此電腦便需要以 802.1X 的支援連線方式先行連線到通行驗證器。

了從群組原則中管理延伸 Active Directory schema，以及透過提供的命令工具語法 netsh lan 來設定 802.1x 的組態，相關官方原文資訊可以參考網址 http://goo.gl/4U2hA。在接下來的 NAP 與 801.x 網路交換器設備整合部署實作中，筆者將以一個 Cisco 3560G 型

2 通行驗證器（Pass-through authenticator）：

號的設備來作為範例解說。在這個測試的架構規

這裡所謂的通行驗證器，指的便是以有線方式連

劃中，在伺服端部分你可以準備兩部 Windows

接的網路交換器，或是以無線連線方式的無線基

Server 2008 伺服器，一部擔任網路原則伺服器

有關於在 VLAN1 網路中所要建立的 DHCP

（NPS），一部則擔任網域控制站（DC）、DNS

伺服器角色，在此筆者特別提出來說明一下幾個

地台（AP），無論如何兩者都必須支援 802.1x 的組態配置功能。

3 驗證伺服器（Authentication server）：當欲連線存取網路的用戶端剛連接到通行驗證器時，通行驗證器必須與一部驗證伺服器來確認此用戶端電腦是否合法，而這一部驗證伺服器一般所指的就是 RADIUS 主機（Remote Authentication Dial-In User Service），而它門之間的通訊方式便是透過延伸的驗證協定（EAP，Extensible Authentication Protocol），無論驗證結果如何 RADIUS 主機都會將訊息回報給通行驗證器，再由通行驗證器決定是否給予完成基本的連線。針對 802.1X 的驗證處理方式，是藉由 EAP over LAN（EAPoL）的元件來負責處理通行驗證器與連線要求用戶端之間的通訊內容。

14-15.indd 14

建立 NAP 802.1x 測試環境

伺服器、CA 憑證伺服器以及 DHCP 伺服器，當然

重點。我們可以透過【伺服器管理員】界面中點

啦！在測試環境中你也可以將這一些伺服器角色全

選【新增角色】，來安裝 DHCP 伺服器，並且

部都塞在同一部 Windows Server 2008 伺服器上。

在安裝設定的過程中，如下圖所示在來到【新增

在測試的 NAP 用戶端規劃部分，建議你可以準備

或編輯 DHCP 領域】的頁面中時，就可以直接

一部 Windows Vista SP1 以及一部 Windows XP

來將三個測試用 IP 網段的 VLAN 先規劃出來，

Professional SP3 電腦，並且都登入到相同的網域

其中在名稱部分便可以依序設定為 VLAN1、

環境中。至於 CISCO 的網路組態配置部分，基本

VLAN2、VLAN3。

上可以規劃出三個虛擬區域網路（VLAN）來進行這項測試計劃，分別說明如下：

1 VLAN1：預設 NAP 用戶端連接的網路（例如：192.168.2.0）。

2 VLAN2：當 NAP 用戶端被偵測到不符合安全規定，所會被丟到的網路隔離區段（例如： 192.168.3.0）。

3 VLAN3：當 NAP 用戶端被偵測到完全符合

DHCP 主機建置與領域設定

15/8/2002 11:54:57

技術應用完成 DHCP 伺服器角色的安裝設定之後，後

交換器完成驗證動作就已經逾時，而導致經常無法

續你便可以從【系統管理工具】下拉選單中來開

成功連線的問題。解決此問題，你可以 Interface

啟此管理界面，在此我們便可以來監視不同 VLAN

命令進入到指定的 802.1x 驗證連接埠之後，輸

網路的用戶端電腦 IP 位址配置情形。

入 dot1x timeout supp-timeout 秒數即可，而透過 show dot1x interface 連接埠編號（或 VLAN），則可以檢視目前的設定值。

啟用連接埠 802.1x 驗證設定檢視領域 IP 配置狀態

Cisco 3650G 網路交換器設定雖然筆者不是 Cisco 網路設備的專家，不過接下來相關的組態設定我們還是需要一同來了解一

完成以上有關於設備連接埠上的 802.1x 啟用設定之後，緊接著當然必須設定 RADIUS 伺服器的連線組態，而這裡所指的 RADIUS 伺服器便是由網路原則伺服器（NPS）所提供，設定的命令範例請參考以下說明：

啟用連接埠 802.1x 驗證設定在 Cisco 裝置系統預設的狀態下，對於連接埠 802.1x 的重新驗證間隔時間為 3600 秒，你可以依照需求透過 dot1x reauthentication（啟用重新驗證

下。首先筆者先開啟【Cisco Network Assistant】

radius-server host 192.168.2.1 auth-port 1812

連線工具到 Cisco 3560G 這台設備中。筆者在

功能）以及 dot1x timeout reauth-period 秒數，來

acct-port 1813 key 1234

進行修改此設定值即可（1-65535）。請注意！每一

完成了 VLAN 的劃分設定之後，緊接著便切到在【Device Properties】\【IP Addresses】頁面中，來針對這三個 VLAN 設定好各自的網路 IP 位址，並且確定皆已經勾選了【Routed】選項。

在上述命令範例中，筆者所輸入的 IP 位址便是網路原則伺服器（NPS）的 IP 位址，而驗證與

次的重新驗證作業都會讓網路原則伺服器（NPS）上，產生新的合法驗證或非法驗證的結果事件。

帳戶的連接埠請一併輸入，至於所輸入的驗證金鑰則必須記住，因為後續在網路原則伺服器（NPS）組態配置上，是必須輸入一樣的金鑰內容的。資料庫

VLAN 網路位址配置關於 VLAN 的 IP 位址設定方法中，除了可以直接透過圖型界面來設定之外，當然你也可以在 TELNET 的模式下，如下圖所示以 interface 進入到指定的 VLAN 設定模式中，然後透過 ip address

刪除 RADIUS 主機設定

在命令的模式輸入中，難免會有輸入錯誤的時候，以 RADIUS 主機的設定來說，無論是某一筆 RADIUS 伺服器設定要刪除，還是因為設定錯誤需要刪除，都只要在這筆命令設定前輸入 no 即可，可參考下列命令範例。

命令來設定 IP 位址以及子網域遮罩。

使用命令方式設定 VLAN 的 IP 位址接下來筆者要來啟用設備連接埠的 AAA 設定（Authentication、Authorization、Accounting），如下圖所示筆者將依照列步驟完成設定。

和各位分享一個設定，那就是在預設的狀態下，當

1812 acct-port 1813 key 1234

我們將網路線連接到連接埠時，你可能會發現它大如果你不想等待這麼長的時間，便可以透過【Cisco

驗證與 RADIUS 的設定之後，接下來讓我們繼續

Network Assistant】連線工具，切換到【Ports】\

來看看其它幾個相關的選用參考設定。首先，如果

【Port Settings】節點頁面中，將所要設定連接埠

我們以動態切換 VLAN 的方式來進行 NAP 的隔離

中的【Port Fast】欄位值變更為【enable】即可。

機制，那麼想必在初始的 VLAN1 中必須安裝一部 DHCP 伺服器，並且預先設定好三個不同 IP 網段的領域，以這樣的架構來說在網路交換器（Switch）

所有在 RADIUS Server 清單中的設定來進行驗證。 dot1x system-auth-control：啟用 802.1x 驗證機制在此網路交換器上（Switch）。

概要等到 30 秒左右的時間才會由紅燈變成綠燈，

完成有關於網路交換器（Switch）上的 802.1x

aaa new-model：啟用 AAA 功能建立一個 802.1x 驗證清單，這樣的設定表示使用

關於 Cisco 網路交換器的管理技巧，最後再

no radius-server host 192.168.2.1 auth-port

conﬁgure terminal（或 t）：進入全域設定模式 aaa authentication dot1x default group radius：

變更重新驗證的間隔時間。

上勢必要設定 DHCP Relay 才能夠讓整個運作正常。在範例中筆者便是分別進入到不同的 VLAN 設定中，然後以 ip helper-address 命令來統一指向位在 VLAN1 網路中的 DHCP 伺服器即可。

aaa authorization network default group radius：針對所有網路服務要求，例如：每一個使用者的 ACLs 或 VLAN 的配置，設定啟用 RADIUS 在設

啟用快速連接埠功能。

備上的使用者驗證機制。 interface Gi0/21：只訂哪一些連接埠需要進行

編者按

802.1x 的驗證機制才能夠連線，並且進入到界面設定模式中，其中筆者所輸入的 Gi0/21 即表示為第 21 個的 Gigabyte 連接埠。 dot1x port-control auto：啟用 802.1x 驗證機制在這連接埠上。 end：回到 EXEC 模式下 show dot1x：檢視相關設定 copy running-conﬁg startup-conﬁg（或輸入 wri mem）：儲存前面的所有設定值到設定檔中。

14-15.indd 15

由於整個 Cisco 802.11x 網路交換機之設 DHCP Relay 設定。接下來建議你將 Cisco 網路交換器中的 Supplicant Timeout 設定值變更為 15 秒以上（預設值為 5 秒），以避免發生當在 Windows Vista 或 Windows XP SP3 上所產生的健康狀態訊息（SoH，Statement of Health），還來不及透過此

置十分複雜，不能一期完全解說，餘下的部分我們會於下期 BQJournal 上繼續詳談，敬請留意！用家如要取得免費 BQJournal，也可於 www.bgjournal.com 網站登記成為會員，每期我們會以 edm 方式給你下載位置！

13/8/2002 16:22:30

Corp ad HK(chi)11"x8".op.pdf 1 10/08/2011 11:15 AM

全程護航邁向雲端 C

CMY

Trend Micro : 伺服器保安方案世界第一＊ VMware : 虛擬化方案世界第一＊＊

虛擬化及雲端運算已扭轉了資訊科技的面貌，而Trend Micro及VMware更讓你盡享虛擬化及雲端運算的優點。我們別具創意及相輔相成的方案包括市場首創兼獨家為虛擬桌面及數據中心而設的無代理程式防毒方案，與及由公有雲及私有雲共用的啟動匙管理和加密方案。你得到的不單是絕密保安，更是全新的業務優勢。

» WWW.TRENDMICRO.COM/CLOUD 查詢： 852.2866 4362

* IDC, Worldwide Endpoint Security 2010-2014 Forecast **IDC, Worldwide Quarterly Server Virtualization Tracker © 2011 Trend Micro, Inc. All rights reserved. Trend Micro and the t-ball logo are trademarks or registered trademarks of Trend Micro, Inc. © 2011 VMware, Inc. All rights reserved.