BQJournal Vol 10 2011

Page 1

32 頁完整版歡迎登記下載

雲端保安方案大巡禮 VOL 10

Full Edition

cover00.indd 1

商業 ‧ 科技 ‧ 智慧

世界最快最準

秒發放特徵碼

3

2011 年 10 月號

雲端運算好處與顧慮

Network Box 董事總經理 Michael Gazeley

19/9/2002 11:38:36


10

NO. 2011 年 10 月號

編 者 話

CEO TALK 03

Z-Scan

去月老編問我,我們是否將 CRM 遷移上雲端?我說是!為何我們要遷往雲端?因為我們

世界最快最準

要同步協作和分工,尤其要對客戶進行不同領域上的分析,今時今日的商業活動,無時無

3 秒發放特徵碼

刻都在轉變。舊的購買軟體硬體部署方法已不能符合現今世界的變遷,而雲端服務以租賃 方式提供服務,速度快,功能按世界潮流轉變,更能迎合現今中小企的需要。

人 事 管 理 04

老編再問:「我們 CRM 遷到雲端,重要的資料流出,以後就不能回頭了,怎麼辦?」 我說:「你可以像一些傳統中小企用 Excel 來作 CRM,但你會發現整家公司的步伐會不 及使用雲端 CRM 的公司快,甚至會大幅落後 !」

企業僱員願意放棄休假

以獲得在工作場所使用流動設備

老編再問 :「那資料放在雲端安全嗎?又或者若對方有甚麼三長兩短,大家豈非要共赴黃泉?」

05

調查顯示 71% 人事部經理

05

資訊科技薪酬趨升

我說:「對的!如果你不了解今時今日的雲端服務背後的保安問題、部署手法、法律和慣例 便使用是相當危險的!當然在過渡雲端的進程中,我們可以使用 Hybrid Cloud,這樣我們 便可以有「兩手準備」。

會查閱應徵者 Facebook 簡介

所以今次編輯部特別來了一個《雲端保安方案》特輯,從不同類型和角度介紹最新的雲端保

得罪求職者隨時影響生意

安方案,希望通過這個最齊的特集,助企業在使用或部署雲端應用時可以參考!

Andrew Wong Editor BQJournal Magazine

電 子 商 務 07

團購買家賣家新服務

WeB-CS 收取易郵局收貨服務

Business Quotient Journal《商智謀略》

調查:港人網上付款保安意識不足

Fortinet 虛擬設備擴展雲端安全

看 圖 解 說 08

10

針對網頁防衛的 Web-UTM

支援 Web 2.0 應用進行控管

減低人為錯誤

企業資訊安全 8 大指引

保障雲端資料及網絡服務安全

第一線 CDS 及 vFirewall 服務

華南創意發展中心入駐卡布奇諾 專 題 企 劃

11

出版人︰蕭友強 主筆:麥經倫 編輯:黃沛成 封面:燕 地址:香港九龍觀塘鯉魚門道 2 號 新城工商中心 2 樓 9 號室 編輯部 / 廣告傳真:(852)25275126

九倉電訊雲端防護方案

編輯部電郵:editorial@bqjournal.com

針對郵件的保安服務

廣告部電郵:sales@bqjournal.com 網址:www.bqjournal.com

雲端運算好處與顧慮

雲端保安方案大巡禮 三種雲架構所遇到的安全問題

網 路 保 安 24

Deep Security 入侵防禦方案

NETGEAR UTM 新雲端過濾技術

支援應用管理及網頁病毒防護 VMware 虛擬基礎架構

26

為雲端服務加入統一身份識別

承印:鴻基印刷有限公司 香港發行:勤力德發行有限公司 地址:新界葵涌打磚坪街 57-61 號 中央工業大廈 2 樓 A 室 電話:(852)2720-8888 台灣發行:勤力國際股份有限公司 地址:台北縣新店市寶高路 20 號

26

HP 最細彩色多功能鐳射印表機

電話:(886)02-29106880

28

高清網路攝像機 NVR 方案

@本書如有缺頁、破損、裝訂錯誤, 請寄回本公司更換

Surveon 殺入香港

版權所有 ‧ 不得翻印 PRINTED IN HONG KONG

Check Point 3D Security 為公司服務走出外

HP 新儲存聯合技術 3PAR

擴展融合儲存

加入虛擬機保安功能 360 度強化網上安全

Advanced Persistent Threat 商 業 科 技

保護實體、虛擬與雲端免受攻擊 保護雲端資料安全 SecureCloud

認識 APT 進階持續性滲透攻擊

製作:燕

技 術 應 用 26

Windows Server 2008

防止員工盜取智慧資產(下) 限制非公司裝置存取網路資源

電話:(852) 25272878 《商智謀略》免費派發地點: 灣仔電腦城 247-248 號 i-Shop 電子 PDF 版下載登記 www.linuxpilot.net/user/register

* 顏色部分為網上版及 PDF 登記版內容

02.indd 2

19/9/2002 11:15:35


CEO Talk

3 秒發放特徵碼

Z-Scan 世界最快最準 N

etwork Box 在美國保護超過一百五十家銀行和金融機構,Network Box 董事總經理 Michael Gazeley 說,美國很多銀行的 ATM 提款機很多仍然是使用老舊的 Windows XP,不少駭客很期望能入侵到其中一台,然後按一個魔術號碼來大量提款。所以網上 很多駭客攻擊主要都是以金融機構為主。

Network Box 董事總經理 Michael Gazeley 說︰「現在網上的攻擊活動相當之快,對不 少保安公司來說,即使特徵碼更新如何快,我 們發現更新特徵碼的保安公司最快也要兩個小 時,但 Network Box 新研發的 Z-Scan 技術將 這個過程加快至三秒鐘,這個結果連歐美測試 機構 Tolly Group 也感到疑惑,並要求我們授 權他們多次複檢核實。」

為何 Z-Scan 可以做得那麼快? Network Box 的雲端保安技術在全球不同地方 佈下大量的 Malware Trap(誘捕器),它們通 常是一些未有防毒軟體和修正檔更新的電腦, 吸引了大量惡意程式,很多這些攻擊都先由這 些誘捕器發動。Michael 說駭客通常在咖啡店使 用免費的 WiFi 上網來為它的病毒進行測試,他 們首先利用 VirusTotal.com 將病毒上載,直至 病毒全部「通過」過各大保安公司的掃瞄引擎 才進行發動攻擊,企業能否抵擋這些攻擊很視

乎保安公司在這段「空窗期」能否快速更新特 徵碼,我們發現最快的傳統技術一般最快都要 兩小時,但對 Network Box 來說兩小時亦已經 太久了! Z-Scan 透過雲端自動製作識別碼,為了減少受 到互聯網的延遲性(Latency)影響,Network Box 每台 Managed UTM 都配備 Geo-Based 定 位技術,Z-Scan 曉得自動找尋最近的 Network Box,由雲端直接主動推特徵碼到裝置上。 為了尋找客觀的標準來證明 Network Box 技術 的真實性,Network Box 早前委託了美國獨立 認證機構 Tolly Group 進行測試,在他們的內 部測試中,Tolly Group 向 Network Box 表示, 希望它們授權多一次複檢測試,並希望將測試 地點伸延至歐洲進行,對 Tolly Group 突如其 來的要求,Michael 說令 Network Box 上下憂 心忡忡,擔心測試是否出現負面結果?所以對 方才要求複檢,結果原來是 Tolly Group 在第

一次測試中,發現 Network Box 是極少數保安 產品中能於 HTTP、SMTP、POP3 和 FTP 協 定,其過濾技術能全部做到 100% 防毒,而其 他世界級的保安最強也只能做到 90% 以上, 礙於 Tolly Group 這份懷疑才要求複檢,最後 證明無論在歐洲抑或美國進行測試,Network Box 保安裝置均能做到 100% 防毒。 這個成功令Network Box 的研發部十分鼓舞, Michael 說一位參與 Z-Scan 研發的工程師忽 發奇想,將 Z-Scan 技術應用於垃圾電郵過濾 上,並用了一星期時間進行修改推出 Z-Scan Anti-Spam,結果將垃圾郵件過濾由原先的 90-98% 提升至 99% 以上。Michael 說這個 99% 過濾能力是客戶的機件毋須預先進行 Mail Training 和 Adaptation,在安裝上全部均以 Default Setting 運作。Michael 說若電訊商能應 用 Network Box 於網路過濾上,必能節省他們 大量寶貴頻寬,並歡迎各大電訊商驗證!

3

3.indd 3

19/9/2002 11:15:53


人事管理

調查發現企業僱員願意放棄休假 以獲得在工作場所使用流動設備 【香港訊】有流動軟體公司發表一份由 Kelton Research 進行的調查,當中指出企業員工不僅渴望 IT 部門支援流動設備,也 願意放棄休假希望在工作場地使用流動設備。 是次調查共涵蓋美國及英國超過五百名僱員,針對企業 IT 部門如何在企業內更靈活及部署流動應用程式。事實上,企業轉型需要公司 內部仔細審查及快速執行行動方案策略,才能快速滿足員工不斷增長的需求。在這個關鍵的轉折點,該報告還揭露了僱主與僱員雙方已取得 共識,就有關如何讓企業流動方案橫跨多種設備與平台。

在工作間盡享流動性 01 選擇的自由 有一半的受訪者寧可自行選擇在工作 時所使用的流動設備,而並非由公司為他 們作出決定。有百分之五十九採用現有流 動設備的受訪者認為,僱員的選擇對公司 而言是最佳的選項;相比之下,有百分之 四十四的受訪者則使用公司所提供的設備。

02 流動應用軟體就是未來 用戶對於與工作有關的流動應用要求 極高,有 56% 受訪者指出在工作過程中 使用這些軟體有助提升生產力。當中有超過 十分之八(約 82%)在工作中採用三種以 上流動應用軟體的人士有這種感覺,而只有 63% 在工作時會採用少於三種應用軟體。

03 專為工作而設的應用軟體商店 倘若僱員能夠輕易獲得相關的應用程 序,將會使他們更容易上手。差不多有一 半(約 45%)的受訪者表示他們會採用由 僱主提供的網上商店去下載獲公司核准的 流動應用程式,亦有另外 40% 受訪者相 信同事都會有相同做法。

4

4-7-new.indd 4

04 受訪者可放棄的部分 調查發現一個有趣的現象,有 71% 的受訪者會強烈考慮至少放棄一種在工作 場所正在使用的物品去換取繼續保持使用 他們欲保留的設備。當中免費咖啡 (58%) 成為受訪者的首選項目,其次為免費食物 (39%)及辦公室用品 (30%)。有部分人 甚至願意放棄收費停車場 (26%)或一天假 期 (20%)。

05 不足之處 有關支援及安全性的顧慮限制了使用量

06 管理層不支援 只有約 19% 的受訪者強烈認同他們 的僱主讓他們可以輕易從一個工作電腦平 台轉移到一個流動設備當中。差不多有一 半受訪者 (44%)表示他們未有足夠的流動 應用程式,以確保在流動設備上工作無異 於工作電腦平台。

07 落後市場平均標準 調查報告亦反映出一個較複雜的問題, 只有 29% 人士聲稱其 IT 部門善於管理流 動設備,而有約 27% 的受訪者更表示其

IT 部門有能力設定與解決流動應用的問題 或程式。

08 來自僱員的保安風險 一般僱員也許會在不知不覺中,在將 與工作有關的電郵 (35%)或文件 (32%) 傳送至自己的私人電郵戶口,或透過遠程 (29%)登入公司的內聯網時使公司的數據。 當中有四分之一 (25%)更以個人流動設備 傳送工作有關的電郵。一個發表於今年初, 名 為「 Sybase Survey Finds Mobile Enterprise Apps Poised to Take Off in 2011 」的報告指出,有 90% 的 IT 主管 表示會在今年內實施新的流動應用軟體, 而差不多有四分之一(約 21%)欲將二十 項或以上的應用引入其機構當中。 這項最新的調查報告無疑對那些欲擴 大及加快其企業流動策略的企業敲響了警 鐘。僱員現在已經開始對流動方案有更深 入的認識,並期望 IT 能夠為公司帶來更大 的效益。調查機構亦觀察到欲透過流動應 用方法以提高生產力的企業需求與日俱增, 例如已有企業在工作場所內採用各式各樣 的流動設備,又或已有企業讓企業應用方 案與網上商店環境連結。

J

19/9/2002 11:16:14


人事管理

調查顯示 71% 人事部經理 會查閱應徵者的 Facebook 簡介 【香港訊】根據 Robert Half 最新的職場研究 調查,71% 的人事部經理承認在聘請應徵者前 會查看對方的 Facebook 個人簡介,遠高於區 內 50% 的平均值(澳洲 36% ;紐西蘭 34% 及 新加坡 50%)。此外,69% 的受訪者表示曾 見過因使用社交網站而影響職場人事關係的個 案,當中 24% 的受訪者更指出這其實是自己 的親身經歷。 Robert Half International 大中華區總裁莫安 祖(Andrew Morris) 先 生 表 示:「Facebook 和 LinkedIn 等社交網站確是建立人際網絡的優秀工具, 但同時亦可令僱員和管理層的關係變得緊張。」他續 說:「在今天的數位化時代,維持良好的網上聲譽及 注意自己於網上投射出來的個人印象是十分重要的。 你永遠不會知道誰在查看你 Facebook 的簡介。」 莫先生補充道:「在專業地使用社交 網站來與別人聯繫之前,員工應先檢視自己 的私隱設定,並可考慮修改個人簡介,例如 只保留一些可隨意跟上司、同事、客戶及有 機會成為未來僱主的人士分享的內容。」

戰。雖然有 41% 的受訪者稱所屬機構已有 一套清晰的社交媒體政策,作為員工的網 上行為守則,但仍有接近四分一(22%) 的受訪者指出其公司並無制定任何社交媒 體政策。

Robert Half 職場研究調查的 410 名 香港受訪者中,有 44% 對於在社交網絡上 與上司聯繫會感到不安。上司同樣地對此 有所保留,47% 的經理表示跟下屬在社交 網路聯繫會感到不安。相對而言,同輩間 的交往則憂慮較少,僅 36% 的受訪者有不 安的感覺。

Robert Half International 大中華區 總裁莫安祖(Andrew Morris)先生提供 以下指引,以協助專業人士及求職者管理 他們在 Facebook 的一舉一動。

一如所料,專業人士較樂意與工作夥 伴在專業社交網如 LinkedIn 上聯繫。只 有 35% 的受訪者會因為在專業社交網上 接觸上司而感到不安,以及 36% 的上司會 因為在專業社交網上跟下屬聯繫而產生不 安的感覺。 新的科技為日常社交禮儀帶來新的挑

01

加入照片

相片的意義相當重大。一張個人照片 可增加內容的真確性,並確定你正是別人 所認識的「陳大文」。所選的照片可以是 生活照,但必須要顯得專業。

02 尊重留言牆(Wall) 若你不想將留言牆的內容公諸於世,那 就不要把它放在你或任何人的 Facebook 留 言牆上。切記你每個網上的朋友都可看到你 的評論、照片及 YouTube 短片的連結。取

而代之,你可使用電郵或 Facebook 的通訊 功能。

03 用途專一 若你在工作上會運用到 Facebook,那 就請你稍作克制,不要張貼有關遊戲、智 力測驗和所屬群組的最新消息。試想想, 當你每次在農場遊戲 FarmVille 加入了一隻 羊的時候,你是否希望所有朋友都知道?

04 避免言詞激烈 不要張貼負面的評論,或說有關僱主、 上司和同事的閒話,甚至觸及其他敏感話 題,因為對方有可能會偶然看到你的留言。

05 接受被拒 若想在社交網站與人結友,只發一次 的朋友邀請便足夠。要知道有些人可能不 想跟你在網上聯繫,包括你的上司或同事。 請不要太在意,不同人會利用不同準則來 建立自己的虛擬社交網,又或許他們並不 是 Facebook 的常客。

大企業如何簡化招聘人才流程? 對大企業來說,要將招攬人才過程縮 減絕不容易!最近有本地銀行 ( 中信銀行國 際),就利用了 Oracle PeopleSoft 企業 招聘方案 (Oracle's PeopleSoft Enterprise Recruiting Solution) 簡化招聘流程。該招

該應用軟體方案為應徵者、招聘者及管 理人員提供智能招聘及職位搜索工具。它具 備直觀及簡單易用的操作界面,讓應徵者以 至外來用戶都能在網上搜索、檢視及申請工 作職位。透過內置的追蹤申請者功能,招聘

這個全新的電子招聘平台包括一個專為 應徵者而設的入門網站,他們可以在招聘首 頁中上載其履歷,有關資訊將會自動納入由 PeopleSoft 招聘方案管理的人力資源系統 中。透過建立一個虛擬人才數據庫 (virtual

聘方案能夠為跨國機構有效解決端到端的人 力資源權責管理的問題;同時,該方案亦集 人才管理、工作團隊管理及工作團隊服務供 應效能於一身。

及管理人員能夠更快捷的物色及吸納優秀人 才。據了解,使用了這項方案後有效提升招 聘人員對應徵者的第一個印象,以及收到求 職申請時,能夠協助銀行快速處理。

talent pool),以便銀行在進行招聘時能夠 尋找適當的人才擔任有關職位。

5

4-7-new.indd 5

J

19/9/2002 11:16:16


人事管理

資訊科技薪酬趨升

得罪求職者隨時影響生意 【香港訊】企業營銷與資訊科技已密不可分。人民幣升,港元不斷貶值,加上最低工資立法,令很多企業老闆實在吃不消。 除了要調整員工薪金留著人材外,有調查更說老闆要覓得好員工甚至要當他如其客戶般寬待。 據香港電腦學會公佈, 今 年 度 香 港 資 訊 科 技(IT) 及電訊科技業界有近 8 成僱 員可獲加薪,其中 7 成僱員 的 加 薪 幅 度 高 於 4%, 有 1 成更高於 10%,可見 IT 行業 的薪酬前景理想。 此外,今年有一半受訪 公 司 增 聘 應 屆 大 學 IT 畢 業 生,其中,九成 IT 畢業生的 入職薪酬高於港幣一萬元, 有 35% 以 上 公 司 的 入 職 薪 酬, 較 去 年 增 加 4% 以 上, 另有近 43% 的公司,平均增 幅亦達 1% 至 3%,可見大學主修 IT 的畢業 生亦不愁出路。 香港電腦學會會長劉嘉敏工程師太平紳 士指出,香港電腦學會於 7 月份向多家會員 機構發出問卷調查,成功收回 43 家機構的 問卷,包括香港多家大型公營及私營機構; 其中,超過八成受訪機構聘用超過 100 名員 工,近六成受訪機構的 IT 部門聘用超過 100 名員工,因此相信調查結果具有相當大的代 表性。而今次是香港電腦學會首次進行的業 內薪酬趨勢調查,以後亦將定期進行。香港 電腦學會香港 IT 行業就業及薪酬趨勢調查的 結果顯示,本年度香港 IT 行業有 79.1% 的 僱員可獲加薪,有 54.5% 的公司加薪幅度 為 4% 至 6%, 有 9.1% 的 受 訪 公 司 加 薪 幅 度更達 10% 以上。除本年度 IT 從業員有加 薪外,應屆主修 IT 的大學畢業生,如果投身 IT 行業,九成畢業生的入職薪酬超過一萬元 港元,與去年比較,入職薪酬亦有所提升。 在 43 家受訪機構中,有 51.2% 的公司在本 年度增聘應屆主修 IT 的大學畢業生,其中 9 成公司的平均入職薪酬,均高於港幣一萬元 港元,25% 公司的入職薪酬更高於港幣一萬 六千元港元;整體而言,IT 行業本年度普遍 的平均入職薪酬,為一萬元港元至一萬二千 元港元,約佔 40%。 香港電腦學會副會長(人才培訓)梁建 文先生解釋,其實隨著電腦、電訊、互聯網 及無線科技的發展一日千里,對人才的需求 亦與日俱增。然而,自科網股熱潮爆破後, 本地中學生入讀大專院校時,願意以修讀資 訊科技為第一選擇之青年人數目顯著下降, 入讀的學生質素亦未如以往;主要原因在於 家長及學生均對 IT 行業的理想發展前景缺乏

6

4-7-new.indd 6

統一的品牌體驗,以確保在招 聘過程中不會讓購買他們服務 的潛在客戶失望。潛在客戶就是 求職人士,而求職人士亦是潛在 客戶,俗語有云:『顧客至上』」

了解,而今次香港電腦學會公佈的就業及薪 酬趨勢調查結果顯示,薪酬的年度增幅,以 至大學生的入職薪酬,均十分理想,行業的 前景其實不俗。

對待求職人士如同客戶 人 才 招 聘 解 決 方 案 服 務 商 Alexander Mann Solutions ( 下稱 AMS) 在另一份研 究報告指出,企業老闆要覓得好員工,除了 要調整員工薪金外,若未能在面試過程中實 踐其品牌價值,也將會影響他們招攬頂尖人 才,導致收入損失。該研究項目調查了英國、 美國及中國的消費者意見,發現有超過半數 (52%) 的受訪者表示,負面的求職經驗會影 響該求職者在未來會否願意購買該公司的產 品或服務,這對企業帶來了一個重大的盈利 警號。中國的受訪者對不愉快的求職經驗特 別 敏 感。 當 中 有 47% 表 示, 一 個 欠 佳 或 負 面的求職經驗「肯定會」,或「可能」對他 們未來的購買決定有破壞性的影響。另外, 有 37% 表示負面的經驗可能會影響未來的購 買意向。一個不愉快的求職經驗也可能不只 影響該求職者。正所謂古語有云「醜事傳千 里」,在所有地區的受訪者中有 77% 表示, 他們很有可能會在個人或專業網路中分享他 們的經驗。在中國,有 70% 的受訪者表示, 他們會將事情與朋友分享,而有 13%表示會 將事情張貼在他們的專業社交網路上。在英 國,有 87% 的求職人士表示,他們可能會在 工作及個人社交網路上分享他們的看法。然 而,在美國,求職者會在該兩個社交網路上 分享經驗的數字則相對較低,只有 64%。 Alexander Mann Solutions 行政總裁 Rosaleen Blair 指出:「企業須要給予外界

Blair 續道:「不愉快的求 職經驗可能會長期嚴重影響該 求職人士對企業品牌的觀感, 這促使他們更樂意透過社交媒 體與他人分享他們的經歷。企 業必須定立出自己的品牌價 值,並確保這些價值貫徹於所 有招聘的地點、渠道及過程中 執行。否則,他們將難以招攬 頂尖人才,並會影響收入。在目前的經濟環 境下,這兩個情況皆是企業不願意看見的。」 貫徹品牌價值是須要建基於求職者之間如何 交流,以及他們如何在網上了解品牌。雖然 有許多人力資源決策者在以往對使用社交媒 體與求職人士交流,及了解他們的行為一直 猶豫不決,然而 AMS 的研究指出,有許多 求職人士都樂於接受這種溝通方法。 AMS 僱主品牌團隊創辦人及環球董事 Martin Cerullo 表示:「在亞洲,企業可能 還沒有完全意識到求職人士對品牌觀感的重 要 ─ 這不只限於招聘過程,而是更廣闊的 商業角度。不論成功與否,企業必須開始積 極制定策略,以管理求職者對品牌的觀感。」 他續道:「求職者對企業品牌的觀感非 常重要。因為亞洲有越來越多的求職者會在 他們的朋友圈及工作社交圈內分享意見。面 試經驗是求職者對一家企業建立一個長期正 面觀感關鍵的一步,而這正面觀感有助推動 商業價值。」 近 48% 的中國求職者表示,他們不介意 潛在僱主查閱他們在社交網路的個人資料, 並將那些資料列作為應徵過程的一部分。同 時,有 38%認為這有助求職者對僱主產生正 面的觀感,但亦有少於 16% 表示,這會使他 們對該公司產生負面影響觀感。有 60% 的英 國求職者表示,他們對潛在僱主查閱他們在 社交網路上的個人資料沒有任何感覺,同時 有 22% 表示會對僱主產生正面的觀感,而只 有 15% 表示會對該僱主產生負面的感覺。至 於在美國的受訪者,則對此類互動形式抱持 著較開放的態度。其中有 41% 表示,他們會 對該機構產生正面的觀感。

J

19/9/2002 11:16:18


電子商務

團購買家賣家新服務 WeB-CS 收取易郵局收貨服務 【香港訊】互聯網已成為我們日常生活中不可或缺的環節。香港住戶 寬頻普及率達 84%,登記寬頻上網用戶超過二百萬,成為全球其中一 個互聯網使用率最高的城市。Boston Consulting Group(BCG)顯 示 2009 年互聯網為香港經濟帶來約 1,000 億港元收益,佔香港國民 生產總值(GDP)5.9%,比率與許多先進的歐洲經濟體系看齊。然而, 香港雖有完善的互聯網基建與使用率,但電子商貿方面較其他巿場落 後,令人驚訝。

Wharf T&T eBusiness Limited(WeB) 最新宣佈旗下團購網站 Qpon818.com 推 出 WeB-CS 收取易郵局收貨服務,該服務為 首個團購網與郵政署合作於郵局提供交貨服 務。 網上團購為嶄新的社交互動銷售模式, 客戶於預設時間及團購人數內,在網上集體 訂購產品及服務,享受團購價帶來的優惠。 買家需列印優惠券向賣家出示,以享折扣。 成功的團購網站,通常具備計劃完善、運送 方便及安排妥當的物流支援。有別於香港其 他團購網站以銷售服務為主,對貨物遞送的 需求極少,Qpon818.com 提供種類繁多的 產品及服務,以促進買賣雙方更多的互動 與交易活動。有鑑於此,WeB 於香港首推 WeB-CS 收取易(郵局收貨服務),為團購 業界建立物流管理概念。

全新 WeB-CS 收取易利用香港郵政物 流服務,為 Qpon818.com 團購網站提供櫃 位領件服務。推出初期,Qpon818.com 的 客戶可於六間指定郵局領取團購貨品,包括 郵政總局、興發街郵局、尖沙咀郵局、觀塘 郵局、荃灣郵局及沙田中央郵局。郵局選址 均位處香港主要商貿地區,方便商戶與顧客 提存貨品。

面的零售網絡和服務市民的悠久經驗,能進 一步提升我們的電子商貿服務。我們相信這 個為團購網站而設、安全可靠的櫃位到取物 流方案,將能為客戶和廣大市民提供方便、 安全而且私隱度高的物流服務。」 WeB 方面表示,WeB-CS 收取易為客 戶提供高度安全及私穩的服務,讓客戶能按 其日程自行領取貨品。

WeB-CS 收取易的推出,不但為客戶提 供方便的領件服務,同時減輕商戶於物流安 排上的負擔。

關於 Qpon818.com

香港郵政服務拓展、推廣及銷售科總監 周伊君女士表示:「香港郵政已提供一系列 國際派遞方案,使客戶於網上購買的物品方 便地送遞到海外不同目的地。這個專為團購 網站而設的本地物流方案善用了我們覆蓋全

Qpon818.com 是一個於 2010 年 8 月 18 日由 Wharf T&T eBusiness 成立的團購網站。Qpon818.com 為會 員提供多元化的產品,當中包括美容、飲 食、旅遊和電器等不同產品。

調查顯示港人網上付款保安意識不足 【香港訊】香港城市大學與香港 PayPal 聯 合公布一項調查結果,揭示出香港網民對網 絡世界中保護個人資料的認識和行為習慣。 為了了解日益普及的智能手機、社交網絡、 團購活動如何令網上透露個人資料更添風 險,城大接受 PayPal 委託,對 1,200 餘 名香港網民做了調查。調查結果顯示,儘管 38% 的受訪者對於網上透露個人資料有所 顧慮,但仍有七成受訪者承認會在平均七個 網絡賬戶上使用同一個密碼。調查結果揭示 了港人疏於保護個人資料免受網絡入侵,暴 露出網民的日常上網習慣行為讓網上不法之 徒有機可乘。 這項調查由城大設計並進行,結果顯示 有近 70% 的受訪者承認將同一個密碼使用 於多個賬戶。受訪者被問及有多少個網站掌

握他們的個人資料,答覆為平均 7 個;這 一情況令人擔憂,因為一旦網絡罪犯破解其 中一個網上賬戶的密碼,便可迅速竊取其個 人身份資料,用於不法行為。此外,有六成 的受訪者承認從未更換網上密碼,或僅僅在 非更換不可時才這樣做。其實,最簡單有效 的保安措施,就是經常更換密碼,並使用難 以破解的強效密碼,保護賬戶免遭不法之徒 進入,以免個人資料被竊,或遭受網上欺詐 等危害。 負責調查的城大資訊系統學系謝煥坤博 士指出:「儘管大眾日益認識到黑客入侵和 網上攻擊的風險,大多數人卻仍不改變危險 的上網習慣。各組受訪者人群,無論受教育 程度、收入水平的高低相差多大,犯有將同 一密碼用於多個賬戶等危險做法者的比例,

竟然出乎意料,一致地高達近乎七成,這反 映網上保安漏洞極為普遍。」 75% 的受訪者時常在網上購物和付 賬,至少每月一次,這顯示很多香港人早已 習慣網上付款的交易方式。但是,儘管如此, 78% 的受訪者對網上付款方式的安全仍然 存疑,因此不會多加使用。

7

4-7-new.indd 7

J

19/9/2002 11:16:24


8

大指引

減低人為錯誤

企業資訊安全

人事管理

認識數據中心 8 層保安級別

建立風險管理架構 建立一分公司保安政 策的文件指引,列出 如何保護公司在資訊 科技上的實體和軟體 資 產。 這 份 文 件 並 不是一份最終文件, 需要不停按情況來更 新,並對員工及行政 人員進行教育。

企業保安政策文件可 以包括 :

在真實的電腦或伺服器的世界 中,電腦病毒、惡意軟體,甚 至是駭客行為都是以企業內敏 感的資料為目標。資訊安全和 保護資料私隱往往成為企業最 頭痛的問題。現階段為止沒有 百份百的保安方案可以保護企 業這些智慧財產,但通常數據 中心針對資訊安全常用以下 8 級安全準則,可以減 低企業受到無謂或 人為的傷害。

虛擬運算 管理法則

當公司電腦網路壯大時, 不論員工從公司登入,或 在家裡及公司外,必須建 立遠存管理法則

資訊資產的 保安環境

份認證是在電腦網路中確認操作者身份的過程。 身份認證可分為用戶與主機間的認證和主機與主

機之間的認證,用戶與主機之間的認證可以基於如下 一個或幾個因素:用戶所知道的東西:例如命令、密

一份給員工的政策文件 (文件必須得到員工諒 解和願意遵循,特別在 網路資源存取的問題上)

企業伺服器必須存放於安 全位置,避免員工不必要 的觸碰,甚至在自然災害 發生時有後備的保護措施

碼等,用戶擁有的東西,例如智能卡 ( 如信用卡等); 如 員工 公 育 護 ,教 來保 訓中 指引 培 些 內部 循這 產。 何遵 慧財 司智

用戶所具有的生物特徵:例如指紋、聲音、視網膜、 簽字、筆跡等。 電腦網路世界中一切訊息包括用戶的身份訊息都是用一 組特定的數據來表示的,電腦只能識別用戶的數位身份,所 有對用戶的授權也是針對用戶數位身份的授權。如何保證以 數位身份進行操作的操作者就是這個數位身份合法擁有者, 也就是說保證操作者的物理身份與數位身份相對應,身份認 證就是為了解決這個問題,作為防護網路資產的第一道關 口,身份認證有著舉足輕重的作用。

解釋公司如何 實行這些資安 方法

身份認證方法

建立程序來評估 保安政策的成效, 如遇漏洞時需要 更正

在真實世界,對用戶的身份認證基本上可以分為三種: 1 根據你所知道的訊息來證明你的身份(你知道什麼?) 2 根據你所擁有的東西來證明你的身份(你有什麼?) 3 直接根據獨一無二的身體特徵來證明你的身份(你是

平台安全 考量法則

系統登入

資訊處理、傳 遞及儲存指引

登入認証、網路監管 及報表查詢

誰?),比如指紋、面貌等。 系統登入

在網路世界中認證手法與真實世界中一致,為了達到更 高的身份認證安全,某些場合會將上面三種挑選其二混合使 用,即所謂的雙因素認證(2 Factors Authenication)。

8

8-9.indd 8

將監管之資料寄存和建立 文本

分析已建立好的政策 了解實際使用之效率

系統登入

J

19/9/2002 11:16:37


人事管理

(以給予最少為原則),避免不必要或 過份接觸非與公務相關的數據及軟體使 用權。

身份認證

保安系統必須能 準確認證使用者 身份

虛擬運算 管理法則

這個登入的用戶真 是他本人?

他是誰?

司電腦網路壯大時, 員工從公司登入,或 裡及公司外,必須建 存管理法則

一個登入用的方法 (可簡單至一個密 碼) 一個身份認證用的方法 (可以是一個手指模)

法則的建立是要 鼓勵員工在家裡 也可以進行工作, 及同時可以保護 公司網路安全和 智慧財產

資訊資產的 保安環境

或甚至是一張認 證用的智能卡

整個認證過程中,關鍵精 神是登入者與系統共同享 有同一個秘密,目的是要 明確肯定登入為所獲授權 之當時人

身份認證

服器必須存放於安 ,避免員工不必要 ,甚至在自然災害 有後備的保護措施

一個認證機制來決定用 戶讀取或存取公司數據 庫上的資料,這些資料 不能過多,只需能令員 工完成其工作任務便可 以。認證系統必須能就 以下問題向員工查詢:

平台安全 考量法則

員工甲是否獲授權 讀 取( 或 更 改 ) 這 些資料?

建立一套完善保安基制來 確保系統軟體和硬體的安 全,減低保安風險

資訊處理、傳 遞及儲存指引 對資料使用、處理、儲存及傳訊進 行風險管理

資料存取的權 限和身份管理 這個步驟需要為使用者先建立身 份認證,然後按使用者日常工作 性質來提供相對的權限

身份認證方法在於企業使用方 案的類型,其精神是要肯定使 用者確實是其本人,給予其工 作需要所完成的最少授權,避 免重要資料不必要地獲取。

員工甲是否容許執行 這項工作?如改變某 些權限

員工甲是否獲授權在 資料上執行該個動 作?

常見的認證形式 短信密碼技術 短信密碼以手機短信形式請求包含 6 位隨機 數的動態密碼,身份認證系統以短信形式發送隨 機的 6 位密碼到客戶手機上。客戶在登入或者交 易認證時輸入此動態密碼,從而確保系統身份認 證的安全性。它利用 What you have 方法。 目前最為安全的身份認證方式,也利用 What you have 方法,也是一種動態密碼。 動態密碼技術 動態密碼是客戶手持用來產生動態密碼的終 端,主流的是基於時間同步方式,每 60 秒變換 一次動態密碼,密碼一次有效,它產生 6 位動態 數字進行一次一密的方式認證。由於它使用起來 非常便捷,85% 以上的世界 500 強企業運用它 保護登入安全,並廣泛應用在 VPN、網上銀行、 電子政務、電子商務等領域。 動態密碼是應用最廣的一種身份識別方式, 一般是長度為 5~8 的字符串,由數字、字母、特 殊字符、控制字符等組成。用戶名和密碼的方法 幾十年來為伺服器提供一定程度的保護。當你每 天訪問自己的電子郵件伺服器,伺服器要採用用 戶名與動態密碼對用戶進行認證,一般還要提供 動態密碼更改工具。現在系統(尤其是互聯網上 新興的系統)通常還提供用戶提醒工具以防忘記 密碼。 典型例子:USB KEY,其身份認證系統主要 有兩種應用模式:一是基於衝擊 / 響應 ( 挑戰 / 應答 ) 的認證模式,二是基於 PKI 體系的認證模 式,目前運用在電子政務、網上銀行。 生物識別技術 運用 Who you are 方法,通過可測量的 身體或行為等生物特徵進行身份認證的一種技 術。生物特徵是指唯一可以測量或可自動識別和 驗證的生理特徵或行為方式。生物特徵分為身體 特徵和行為特徵兩類。身體特徵包括:指紋、掌 型、視網膜、虹膜、人體氣味、臉型、手的血管 和 DNA 等;行為特徵包括:簽名、語音、行走 步態等。目前部分學者將視網膜識別、虹膜識別 和指紋識別等歸為高級生物識別技術;將掌型識 別、臉型識別、語音識別和簽名識別等歸為次級 生物識別技術;將血管紋理識別、人體氣味識別、 DNA 識別等歸為「深奧的」生物識別技術,指 紋識別技術目前應用廣泛的領域有門禁系統、微 型支付等。 雙因素身份認證 所謂雙因素就是將兩種認證方法結合起來, 進一步加強認證的安全性,目前使用最為廣泛的 雙因素有:動態密碼牌 + 靜態密碼、USB KEY + 靜態密碼、二層靜態密碼等等。

9

8-9.indd 9

J

19/9/2002 11:16:39


亞太區手機程式下載量大增 根據歐文的研究,到了 2011 年底,屆時亞太區手機應用程式下載數量將會高達將近 50 億次,相較於去年 16 億次的下載數量,增長了 189%。 獨立電信分析師在最新的報告中指出,2011 年可能會看見手機應用程式下載數量出現絕佳的表現,預計亞太區在 2016 年將有高達 140 億的下 載次數。同時,歐文預測 2011 年亞太區手機付費應用程式的收入,將高達美金 8 億 7100 萬,相較之下 2010 年僅有美金 3 億 200 萬。歐文發 現市場將持續增長,2016 年的收入將高達 22 億美金。 歐文設備分析師 Nick Dillon 評論表示:「消費者對於 手機應用程式的需求就像是無底洞,今年還在持續成長,世 界各地的應用程式商店下載數量也在持續增加中。長期預測 的展望也是正面的,消費者預計會繼續忙著使用新應用程式 來增加他們手機的新功能和拜訪他們最愛的服務。」 今年除了強勁的下載數量和收入增長之外,Ovum 還預 測 Android 將會超越 Apple,首度從 iPhone 手中搶下整 體下載數量的寶座。Android 在亞太區將以 18 億次的下載 數量,遙遙領先 Apple 的 15 億次下載數量。去年兩大業 者各自在亞太區達成 2 億 4400 萬次和 4 億 2400 萬次 的下載數量。 Android 在亞太區的領先地位未來將會持續好幾年,到了 2016 年,屆時 Android 手機應用程式的下載數量相較於 iPhone 的下載數 量,將有將近兩倍的領先,分別為 60 億 7 千萬次和 34 億次。其他轉變包括 Windows Phone 作業系統的崛起,2015 年時它將會取代 Blackberry,成為整體下載數量和收入排行榜的第三名。Dillon 評論表示:「Android 下載數量將大幅領先 Apple,得歸功於平台越來越受歡迎 和推出低價手機的緣故。」 「儘管 Android 手機的下載數量將取得領先,iPhone 未來將依舊蟬聯亞太區付費 App 營收的霸主,在 2016 年時創造美金 8 億 800 萬 的營收,相較之下 Android 的營收為 3 億 9400 萬。歐文消費者電信首席分析 Eden Zoller,注意到現在新興市場中較富裕的消費者,對於手 機應用程式相當熟悉。隨著消費者越來越早接觸到應用程式,他們對應用程式的期望也越來越高。他表示:「人們不太能忍受二流應用程式,這讓 消費者越來越精挑細選,越來越挑剔。如果他們打算購買應用程式的話,這會影響下載數量和營收的成長。」 高價的智慧型手機 App 變得越來越難銷售。大多數付費 App 價格落在日用品的區間,那些有能力賣得比美金 5 元貴的是鳳毛麟角。歐文 設備說:「了解 App 的消費者除了『非買不可』的 App 外,不太願意購買任何高價的 App。這裡的挑戰是,什麼被認為是『非買不可』,這應 人而異,不同的消費者區隔喜好也不同。然而,能增加生產力並帶來方便的工具 App,或是那些被認為很酷炫,很流行、很有趣的 App,例如讓 人等待很久的遊戲大作,都很有可能雀屏中選。」 同時,Dillon 相信儘管 HTML5 已經對原生應用程式和 App 商店造成威脅,App 商店未來依然是消費者取得手機應用程式的主要管道。他 補充說到:「 App 商店提供熟悉的環境讓消費者探索;下載和購買 App,而我們預期未來多數 App 商店的型錄將會同時擁有 HTML5 和原生 應用程式。」

華南創意發展中心入駐卡布奇諾 【中國訊】華南創意發展中心開幕儀式暨卡樂會創意綻放活動在廣州市白雲區卡布奇諾舉行,並舉行揭牌儀式。廣州市人大常委會財經工委副主 任高殿瀛、白雲區同和街道書記黃哲明、廣州市嘉捷投資諮詢有限公司總經理孫璐、香港中小企商會聯席會議創會主席黃鵬緒等人出席了活動。 華南創意發展中心是為了進一步加強粵港兩地經濟合作交流,滿足香港中小企業在 國內投資和發展的需要,為眾多香港中小企業主在內地提供的一個創意服務平台。該中 心位於廣州市白雲區廣州大道北同和路 333 號卡布奇諾綜合商圈 (Cappuccino-Complex) 內,區內交通便利,適合香港企業擴展內地市場。中心的主要任務包括有重點解決合作中 遇到的問題、矛盾與障礙,推動內外聯動、互利共贏、安全高效的開放型經濟體系。華南 創意發展中心本著「交流、共享、便利、服務」為宗旨,整合各項資源優勢,將吸引各類 型中小企業入駐,是文化行業、創意產業、IT 行業、服務行業、物流行業、服裝行業、環 保行業、科技行業等中小企業在華辦公和經商的最佳選擇。以資源整合為手段,著力推進 商務服務公共訊息平台的搭建,在廣州北部未來的商務中心區域中創造出適合中小企業、 尤其是適合創意產業的發展空間。該中心為發展商務服務業打造產業聚集平台,以服務新 型行業、協會、商會為己任,為商務服務業發展提供周到的軟、硬環境。利用廣東產業升 級、政府鼓勵建立現代內需主導型服務業體系的良好機遇,充分把握粵港澳三地經濟合作 的不斷加深與區域商務服務需求急劇擴大的機會,依託卡布奇諾商務綜合體區域的優勢來 推動粵港澳創意產業集群商務服務業的合作,進入新紀元。

10

10.indd 10

J

卡布奇諾項目介紹: http://goo.gl/7wcz6

19/9/2002 11:16:48


雲端保安方案巡禮

保護雲端服務私隱與安全

雲端保安服務大巡禮 全球互聯網業者相信 2011 年是「雲端運算服 務年」,預計雲端運算今年將大有作為!據市場 調查公司 IDC 估計,全球雲端運算服務市場的規 模將從目前的 72 億美元,在 2013 年達到 442 億 美元。互聯網業者對於雲端運算的信心滿滿,認 為其前景相當樂觀。但是,雲端運算也有其可慮 之處,處理不當也可能會造成大災難,甚令全公 司倒閉。 雲端好處與顧慮比一比 性質

好處

顧慮

安全性

在雲端數據中心儲 存 數 據, 不 怕 遺 失 和病毒攻擊。

雲端商家履行合約 和保護客戶私隱與 數據的能力和決心 如何。

便利性

隨時隨地登入雲端 存 取 資 料, 不 用 保 持軟體的最新版 本, 一 切 由 雲 端 上 的專業人員負責

提供雲端運算的企 業是否能在面對意 外或災難導致服務 中 斷 時, 迅 速 恢 愎 服務。

無需擔心數據遺 失, 因 提 供 商 會 備 份 數 據, 不 會 因 系 統崩潰而報銷。

若有關提供商被收購 或破產,需時多久才 能交還數據?或者交 還的數據儲存格式, 能否導入新的提供商 的雲端之中?

持續性

硬體 設備

大大降低購買硬體 設 備 的 需 求, 以 及 人 員 管 理 費 用, 一 切由提供商負責。

企業未能親自維護 和 更 新 數 據, 擔 心 數據遭盜

SaaS (Software as a Service):將軟體透過租賃給中小企或收取廣告服務費用 來獲取佣金的營運模式。

PaaS (Platform as a Service):透過提供執行環境或者編程環境,讓客戶可以 在平台上發展自己的 Application 或者客製化應用,目前 Google 的 GAE 或者微軟的 Azure 都是屬於 PaaS 的範疇。

IaaS (Infrastructure as a Service):這部分屬於硬體面支撐,一般而言傳統的 ASP 廠商只能提供 SaaS 或者 PaaS 的服務,但底層的硬體支撐大多需要 透過其他硬體廠商的協助來達成。

11

11-22.indd 11

J

19/9/2002 11:14:22


Text ︰ HP 香港軟體部主管張翔

三種雲架構所遇到的安全問題 公用雲

私有雲 「雲端運算」一詞無處不在,幾 乎每位資訊科技總監都正研究採用至 少一種雲端運算模式的某些部分。HP 香港軟體部主管張翔說,現時雲端運 算都有不同的模式,而它們當中每一

混合雲

種都帶來一定的安全挑戰。

私有雲: 內部資源及外界存取 私有雲的資源及數據均於企業內部進 行運作。就像現時的數據中心,操作集中共 享資源,供各種內部及外界用戶及系統存 取。私有雲不但具備傳統數據中心的多項優 點,更採用嶄新技術 ( 例如虛擬化 ) 處理瞬 息萬變的工作量。私有雲通常會使用全新種 類的存取模式,包括流動裝置、瀏覽器及網 路服務,以支援更廣大的用戶群。因此,私 有雲引起一些關鍵問題:

行動裝置安全性 – 由於用戶使用其私人行 動裝置連接企業網路,IT 人員便難以監控 行動裝置。私有雲應該提升行動及分散在不 同地方用戶的能力,讓工作更具成效,同時 杜絕未經授權的存取請求以保障系統。但行 動裝置未必支援傳統的保安產品,較易令惡 意軟體透過私有雲服務入侵企業網路。

合作夥伴的存取 – 不論企業與合作夥伴的 互信程度如何,合作夥伴的身份辨認資料一 般都較為薄弱。加上合作夥伴的員工或會共 用同一個企業帳戶,因此實在難以準確得悉 存取企業雲端服務之合作機構的員工身份。 再者,如合作夥伴的員工已辭職,合作機構 卻沒有作出通知,該名前員工或仍能存取有 關資料。因此,要確保私有雲合規,就必須 在靈活性以及整合安全性和監控方面取得平 衡。

追縱存取 – 以雲端為基礎的應用程式及數 據服務最顯而易見的好處,就是能夠讓其他 系統輕易存取及再用。雖然雲端 API 有助易 於建立複合應用程式,但卻令身份認證模式 變得更模糊,難於辨認實際存取服務的「用 戶」身份。

12

11-22.indd 12

公用雲基礎架構: 企業應用程式外判

SaaS 模式導致一定的安全挑戰:

追縱員工的存取 – 要緻細無遺地追縱用戶

在公用雲模式中,企業的應用程式編 碼及數據庫均於外判環境中運作。此基礎架 構讓企業在存取模式及用戶配置方面有更多 控制權,但亦添加新的安全隱憂:

存取的遠端應用程式,即使理論上能做到, 但實施過程也甚為艱難。大部份 SaaS 供應 商不會為客戶提供存取記錄,因此企業缺乏 審計追縱。

供應商員工的存取 – 供應商的員工能否存

監管員工的存取 – 當員工離職並投身於競

取企業的數據或應用程式 ? 供應商如何追縱 企業知識產權的存取 ?

爭對手,按政策規定,該員工的內聯網存取 權限會被終止。然而,企業必須監管及終止 該員工於寄存應用程式的存取權限,這是企 業經常忽略的漏洞。

實體安全 – 數據中心的安全度是否足以保 障企業應用程式的可用性 ?

供應商的特權 – 供應商員工可進行哪方面 系統的可用性 – 若運行企業存取控制系統 的雲端伺服器出現故障,將為應用程式的安 全性帶來甚麼影響 ?

的存取 ? 這些存取如何受政策保障及如何進 行追縱 ?

混合數據 – 企業可能已設定內部數據與其 系統挪用 – 最後,若運行應用程式編碼的 伺服器存有潛在非法的數據,導致執法程序 須提取伺服器,企業的數據會出現什麼情 況?

SaaS: 外判應用程式及供應商 由於此模式將第三方應用程式寄存於 第三方供應商,企業毋須對應用程式進行維 護或延展。然而,這亦表示數據存在於一 個並非由企業建立的應用程式及環境之中。

他公司數據混合在一起使用的準則,不過對 於設於企業以外的遠端寄存應用程式,有否 這些準則 ?

IT 安全沿著的範圍:在一端是高 度安全及控制,這幾近僵化;而另一 端卻靈活性十足,幾乎毫無安全性可 言。單憑將 IT 轉移至雲端模式並不能 改變此基本事實,企業必須以更宏觀 的 IT 及雲端運算目標查看安全問題。

J

19/9/2002 11:14:24


雲端保安方案巡禮

Deep Security 入侵防禦方案 保護實體、虛擬與雲端免受攻擊 Deep Security 方案特色

Deep Security Manager(DSM)

1

保護重要應用程式與機密資料

2

防止軟體漏洞攻擊所導致的資料外洩

3

協 助 遵 循 重 要 標 準 與 法 規, 例 如: PCI、FISMA 與 HIPAA

4

找出隱藏的惡意活動

5

提供可供稽核的詳細報表,例如記載 了已防止的攻擊

6

提供虛擬與雲端環境所需的安全性, 消除這些環境特有的安全疑慮

7

藉由即時防止因未定期更新修補程式 造成的漏洞攻擊來降低營運成本

圖解 Deep Security 運作 BQJournal 商智謀略

Editor Choice 趨勢科技香港首席顧問陳紹斌表示:「隨著企業向混合式雲端踏出第 一步,數據保護將成為關鍵。當敏感數據移到企業防火牆以外,企業 必須保持資訊方面的掌控。」

因為成本考慮,愈來愈多中小企將 網路服務遷住雲端。自從多家銀行和 大企業相繼受到駭客攻擊和竊取資料 後,服務主機放到雲端的安全性再次 成為企業的關注焦點。大多數的企業都 已經感覺到雲端運算帶來的資安問題, 例如早前香港港交所網上服務被 DDoS

並且讓企業遵循重要的標準與法規,例如: PCI、FISMA 與 HIPAA。

就架構而言,Deep Security 一共包含 Deep Security Manager(DSM) 主 控 台、 ESX Filter Driver、Deep Security Virtual Appliance(DSVA), 以 及 Deep Security Agent(DSA)等四個軟體元件。其中,提 供 Deep Security 介接 VMsafe 的 ESX Filter Driver, 以 及 DSVA 虛 擬 設 備, 是 部 署 在 vSphere/ESXi 4.0 伺服器;至於 DSA 則是 安裝於不受 VMsafe 所保護的作業環境。 01 Deep Security 客 端 軟 體 適 用 於

Microsoft、Solaris 及 Linux 平 台。 甚 至 是 Red Hat Enterprise Linux、Novell SUSE 及 HP-UX、Solaris 等高階的 UNIX 系統。圖中 軟體部署於群組協作伺器和數據庫伺服器中。 02 針 對 數 據 庫 等 伺 服 器,Deep Security 能 保 護 機 密 資 料 與 重 要 應 用 程 式, 例 如 Cross-Site Scripting,協助預防資料竄改,

癱瘓就是其中例子。趨勢科技的 Deep

03 DSM 以儀表板的形式,在網頁管理界 面的首頁,提供受管轄主機的狀態報表,方 便管理者能夠快速理解主機目前的安全狀 態。而當我們點選防火牆,或 IPS 事件的趨 勢圖,Deep Security 會以條列形式顯示各項 事件的詳細資訊。另外,也有搭配 SPI 的狀 態檢測機制,阻擋異常的封包傳輸。而 IPS 的特徵碼可透過網路進行更新,該項功能能 根據封包表頭內的資訊,辨別流量的真實類 型,以便控管應用程式,或者是惡意攻擊的 封包。註:DSM 更可與目錄服務以及 SIEM 整合,可以通過 SIEM 平台與其他保安方案 公司產品統一監控。

Deep Security Virtual Appliance(DSVA) 04 為了減少於逐台虛擬機上部署客端軟 體,針對 vSphere ( 或舊版的舊版 ESX)上 的虛擬機,Deep Security 以 VMsafe 提供防 護,就是透過 DSVA 掃瞄出入 vSphere 的數 據封包,檢測完畢後,再根據結果,決定放 行,或者在此直接丟棄,從而達至保護所有 虛擬機的安全目標。這設計最大優點是避免 逐台虛擬機上部署 Deep Security Agent 令 整個雲端架構效能降低。 05

對於企業環境中,產品還支援其他虛 擬化方案,包括 Microsoft HyperV 和 Citrix XenServer 等虛擬平台)。至於實體主機, 則 可 以 利 用 安 裝 代 理 程 式 (Deep Security Agent) 的方式,納入該款產品的保護範圍。 不同的實體和虛擬環境都使用統一的 Deep Security Agent 代理程式。

Security 是一款針對虛擬及實體,與及 雲架構支援兼備的防護方案。它能提供

04

入侵偵測及防禦、防火牆、數據流的檢 查能力。若然企業在雲端上部署了大量 伺服器(Server Farm),管理員更可 透過 Deep Security 的控制台了解每台 伺服的即時保安狀況和異動,防範未 然!

05

01 03

02

電話查詢: 香港(852)2866-4362 台灣(886)2-23789666

13

11-22.indd 13

J

19/9/2002 11:14:27


保護雲端資料安全 SecureCloud 自 DropBox 洩密事件發生後,令不少使用者對於放置資料到雲端供應商的存著很大戒心。事實上,當我們將實體機虛擬 化後,遷移至如 Amazon Elastic Cloud 等 PaaS 平台,整個虛擬機上的資料是沒有被加密的,換言之只要 Amazon 其中一個 資安人員操守不好,你的虛擬機隨時可能被拷貝偷走,可怕嗎? SecureCloud 是一個針對雲端系統及資料的加密技術,提供數據保護功能。方案能將客戶的數據由虛擬技術演進至私人和公共雲端時,加 強數據保護。透過採用加密和基於政策的加密鑰匙管理,SecureCloud 能夠保護雲端內的數據,並且具有可轉換雲端供應商的靈活性,毋須被 任何一間供應商的加密系統所綑綁。

SecureCloud 操作圖解 管理者先在 SecureCloud 控制中心產生 兩條加密鑰匙 ( 公匙及私匙 ),私匙用作資料 提取之用並寄存於虛擬機及作資料加密之用, 公匙則寄存於 SecureCloud 控制中心。

01

02

03

01 當 伺 服 器 要 求 存 取 受 保 護 的 儲 存 時, SecureCloud 會認證該伺服器的身份和完整 性,藉此控制數據如何存取及存取的位置。該 方案保護資訊,避免在未獲授權的情況下被泄 露或盜竊,有助確保客戶符合加密要求,並可 自動協助加密鑰匙的發放。

04

02 當虛擬機要求存取受保護的儲存時,寄 存於虛擬機上的私匙,會透過預先裝於虛擬機 上的客端軟體與 SecureCloud 控制中心發出 請求。 03 SecureCloud 控制中心會檢查每個接入 虛擬機 instance 的 IP 位址是否在預先受規管 之上(因為若虛擬機被偷取,從別的地方啟 動,基於 IP 位址的變更,SecureCloud 會限 制它的存取)。 04 SecureCloud 讓 企 業 更 緊 密 掌 控 其 雲 端 數 據。 現 在 用 家 可 以 由 趨 勢 科 技 的 代 管 SecureCloud 服務,或者由設於客戶自有的 實體數據中心內的鑰匙伺服器,管理其用於 Amazon EC2、Eucalyptus 及 VMware vCloud 的加密鑰匙。

總結 當今的保安方案必須能同時兼顧實體機和虛擬機兩大層面,Deep Security 特別適合一些 計劃實施伺服器虛擬化的公司,又或者是希望為客戶提供增值服務的雲端服務供應商。Deep Security 的出現大大幫助管理員照顧實體機和和虛擬機的網路監控和防護,而針對虛擬機的保 安上,由於不用安裝端點防毒軟體,也大大減少虛擬系統的工作負荷。 虛擬機的流動性令它在雲端服務商構成安全關注,SecureCloud 透過加密匙為虛擬機在 雲端進行加密,減少資料外洩、虛擬機被盜,甚至是網上不法的服務請求,為虛擬機在雲端 的安全上大大注入強心針。

SecureCloud 上提供大量控制虛擬機安全的法則,例如當發現要求讀取加密資料 的虛擬機病毒定義碼不是最新的時候,可以拒絕存取要求。

14

11-22.indd 14

SecureCloud 上可檢查各虛擬機讀取加密資料的記錄。

J

19/9/2002 11:14:30


雲端保安方案巡禮

提升公司安全及生產力

NETGEAR UTM 新雲端過濾技術 2007 年裡,安全專家收到了接近 200 萬 個惡意軟體樣本。直到 2008 年底,這個數 字估計超過了 1500 萬。隨著新威脅類型和 攻擊的不斷出現,Web 上存在的威脅成為了 不斷增長的問題。別以為這些惡意軟體只存 於色情網站或賭博網站,事實上 79% 的合法 網站發現已經被黑客通過注入惡意應用程序 而劫持。 使 用 NETGEAR ProSecure UTM 能 在 不 降 低 網 路 性 能 的 前 提 下, 來 保 護 網 路 免 受 來 自 於 Internet 的 威 脅 破 壞。 如 病 毒、 蠕 蟲、 間 諜 軟體、特洛伊木馬、Rootkits、鍵盤記錄器等。 ProSecure 可以基於數百萬的已知威脅和未知威

BQJournal 商智謀略

Editor Choice 專利技術: 過濾快一般 UTM 五倍 ProSecure 安全平台採用了 NETGEAR 專利的串流掃瞄技術,可在數據流進入網路 時便掃瞄。而傳統的掃瞄技術需要等到整個 完整的文件接收完才能對其進行掃瞄。因此 UTM 能夠高效地處理大量的數據,並且在威 脅進入網路之前就在網關的位置將其阻止。

雲端技術的網頁內容管理 網頁的增長速度為每天 10 億個。這樣 UTM 幾乎要無限量地收集訊息,不僅規模越 來越大,而且其也越來越複雜。傳統的方法 已經不能夠勝任準確地,有效地分類網站。 NETGEAR 的 URL 過濾使用雲端技術,當用 家嘗試瀏覽一個新的網站時,它會按這個網 站的源碼分析其內容種類,並實時更新上雲 端。目前 UTM 的內容分類包含了 64 個 URL 分類。其過濾引擎可以自我適應並分類之前 未知的的 URL 條目。不像一些低效的方式, 需要管理員手動逐個提交新的條目。URL 過 濾功能不僅阻止對禁止網站的訪問,也阻止 對包含間諜軟體網站的訪問。

脅庫來掃瞄 HTTP、HTTPS(安全 HTTP)和 FTP 的雙向流量的內容,主動發現並阻止安全威脅進 入網路。

件被定義為垃圾郵件,那麼掃瞄器將分配給 它一個特徵碼,並且立即生成特徵文件—— 這種方法可以高效地在郵件廣泛傳播前阻止 郵件爆發。 1

高檢測率:可以阻止高達 97% 的的 垃圾郵件

2

對所有垃圾郵件均有效:包括中文 子元和圖片垃圾郵件

3

低誤判錯判率:誤判錯判率低於 1/1 500,000

能控管員工的應用程式 ProSecure 通 過 對 應 用 程 式 特 徵 碼 的 判斷,可智能識別網路中的各種應用程式代 碼,從而通過對應用程式的控制功能來執行 公司中的網絡使用政策。通過阻止使用 IM 軟體(MSN、QQ),可以保持工作效率。 而通過阻止流媒體、視頻程式可以為公司節 約帶寬。目前 ProSecure 支援的常用程式控 制如下表:

安裝簡單!容易管理 NETGEAR ProSecure UTM 可以 10 個 步驟引導用戶在幾分鐘內將 UTM 成功安裝 並正常運行。UTM 通過基於 Web 的頁面進 行直觀的管理。通過管理界面來設置定時的 策略和警報、查詢統計訊息和圖形報表,方 便決策者了解公司網路的一舉一動。另外, 對很多管理員來說,管理一個個單一的許可 證向來是最大的煩惱。在電腦、員工數量上 升的時候另行購買額外的許可證既浪費時間 又增加開銷。ProSecure 系列產品直接提供 Web 和 Email 的保護服務許可證而不對「每 用戶」進行單獨授權,這也是 ProSecure 一 大賣點。

方案名稱:ProSecure UTM 總代理:Winco Pacific Ltd. 查詢電話:(852) 2857-7227 代理網頁:www.winco.com.hk 產品網頁︰ www.prosecure.netgear.com

減底垃圾電郵造成的困擾 Email 仍然是一個流行和廣泛傳播威脅 的媒介。垃圾郵件,網 路釣魚攻擊,和惡 意附件等是企業網路環境引入威脅的通用方 法。ProScure UTM 基於高效的雲分佈對垃 圾郵件的爆發進行實時檢測和阻止。一旦郵

15

11-22.indd 15

J

19/9/2002 11:14:33


LINUX PILOT 14092011.pdf 1 14/09/2011 11:18:28 AM

C

M

Y

CM

MY

CY

CMY

K


雲端保安方案巡禮

VMware 虛擬基礎架構加入虛擬機保安功能 安全與合規向來是企業遷移到雲端 運算過程中最關切的問題,也是主流 IT 部門採用雲端運算的主要障礙。目前的 安全維護方式主要受制於物理基礎設施

2

1

3

因素,依賴物理安全設備例如硬體防火 牆或 IPS 來進行防衛,同時作業系統也 要依賴會影響性能的傳統防毒軟體,但 是雲端環境的動態性質,即應用程式和 服務都是具移動性的,並且充分利用共 用基礎設施的特質,使資訊安全防護方 案必須採用新方式。 方案: VMware vShield 5 元件: vShield App vShield App with Data Security vShielf Edge vShielf Endpoint 對象: vSphere 架構下提供 VM 保安 網址: goo.gl/ngWIP

體網路架構執行保安政策及技術,而應從單 一政策框架上建立保安及法規遵循。通過與 VMware vShield App with Data Security, 它 能 讓企業成功在虛 擬機器中搜索敏 感數據並進行分 類。

02 VMware vShield Edge 則 是 一 款 虛 擬 設 備, 提 供 了 防 火 牆 功 能、 虛 擬 專 用 網 (VPN)、Web 負載均衡,其特色包括: 1 網路位址轉換(NAT):NAT 服務保護 內部的私有網路跟公網隔離。NAT 規則可以 設定為只允許擁有私有位址的虛擬機訪問。

VMware vShield 5 是 建 基 於 VMware VSphere 上 的雲端保安方案,它包含 vShield 系列產品 vShield App、vShield Edge、vShield Endpoint 和 VMware vShield App with Data Security。

01 V M w a r e v S h i e l d A p p ( w i t h D a t a Security)是一個軟體防火牆,它安裝在每 個 VMware vSphere 主機上,依據政策而非 物理邊界來提供 VM 虛擬機保安,能控制和 監測虛擬機之間的流量。VMware vShield 5 能讓企業發現虛擬機器中的敏感資料,並讓 管理員能夠準確搜尋儲存於虛擬化環境內如 PCI、PII、及 PHI 等敏感數據並進行分類。 VMware vShield App 透 過 80 多 個 預 先 定 義範本(其中包括不同國家和行業的具體法 規),資安人員可以選擇自己適用的政策, 方案將不斷掃瞄虛擬機器,尋找信用卡的等 敏感資訊,並提供詳細的調查報告。被發現 包含敏感性資料的虛擬機器可自我調整及隔 離分段。藉由 VMware vShield App 5,管理 人員可降低違規及損害聲譽的風險。

2 動 態 主 機 配 置 協 議(DHCP): 該 功 能支援 IP 位址池和一對一的靜態 IP 位址分 配。靜態 IP 位址的捆綁可以基於請求終端的 vCenter 管理對象 ID 或接口 ID 進行。 3 站 點 間 VPN:Edge 支 援 在 Edge 和 遠 程 站 點 間 的 IPsec(Internet Protocol security) VPN 連接。同時也可以支援共享 密鑰模式,IP 位址單向傳播而不是採用在 vShield Edge 和遠程 VPN 路由器之間的動 態路由方式。在每個遠程 VPN 路由器之下, 您還可以設置多個子網路通過 IPSec 通道連 接到 vShield Edge 保護內網。

4 Web 負載均衡:vShield Edge 提供了 HTTP 流量的負載均衡功能。負載均衡(包 括第七層協議的支援)功能允許 Web 應用 可 以 自 動 擴 展。 管 理 者 可 以 把 外 部( 或 公 網) IP 位址映射到一組內部伺服器上實現負 載均衡。負載均衡器可以接受外部 IP 位址的 HTTP 請求並決定使用哪台內部伺服器。 5 端口組隔離:該服務在受 Edge 保護的 虛擬機和外部網路之間設置了隔斷。端口組 隔離和 vLAN 具有相同的效果。vShield Edge 還可以支援各種 vSphere 的 vSwitch 模式, 標準的、分佈式的 vSwitch 包括 Cisco Nexus 1000V 都可以。

03 vShield Endpoint 在作業系統安裝防毒軟體對 VM 構成 極大的資源消耗,vShield Endpoint 把反病 毒(AV)軟體功能卸載到一台專用的虛擬 安全設備上。通過這種機制,虛擬機可以透 過 Endpoint 驅動對虛擬機進行病毒和惡意 軟體監控。同時,防病毒引擎和特徵碼的升 級只需在供應商的 AV 設備上進行一次就可 以,不再需要對運行於每台虛擬機上的 AV 代理端進行。另外,通過 AV 設備可以進行 集 中 策 略 管 理。VMware 提 供 了 知 識 庫 和 API,方便防毒軟體公司把自己的產品集成到 vShield Endpoint 中。現在趨勢科技的 Deep Security 是唯一可以支援 vShield Endpoint 的產品,它提供了無客戶端保護,不會在客 戶端虛擬機內留下任何痕跡。

在新興雲端運算的架構範例中,IT 人員 需要重新思考如何確保基建安全,不要在實

17

11-22.indd 17

J

19/9/2002 11:14:35


Check Point 3D Security 360 度強化網上安全

現時企業上網究竟面對甚麼問題呢?惡意程式、資 料外洩和寬頻量使用肯定是管理員最關心的課題。據一 些資安調查顯示,資料外洩的主要途徑包括筆記電腦遺 失、駭客入侵、Web 網站攻擊、惡意程式網站等等, 要有效解決這些問題,Check Point 認為資安全必須從 Policy(防護政策)、People(人)和 Enforcement(落 實)三方才能解決。 隨著流動使用者增加,管理者不能單靠 IP 地址和位置就能 認出用家身份,加上一個人可以擁有很多設備,一個用戶可能涉 及多個不同 IP 地址,所以要有效地提供防護,確認使用者身份 是需要的。因為能確認用家身份,你才可以落實安全證策實施和 執行。Check Point R75.20 是一個基於軟體刀片架構的網路安全 方案。這個軟體刀片提供以下特色:

01

URL過濾

目前 Check Point 基於雲計算的 Web 分類引擎中涵蓋 1 億 多個網站和 24 萬種 Web 2.0 的應用及工具。URL 過濾方案能 為 企 業 提 供 一 個 全 面 的 Web 訪 問 控 制, 透 過 Check Point 的 UserCheck 技術,此技術能教育及提醒員工公司的安全政策,卻 又讓他們在有需要時訪問網站及使用互聯網應用。現今保護 Web 不單純是控制如 Facebook、 YouTube 或者 Yahoo !等網站訪 問,公司還希望給予員工訪問權限作商業用途,但同時也出於 隱私條例、安全、帶寬及工作效率等因素控制 Web 的使用。通 過採用 Check Point 的整合解決方案,公司可以輕易地控制訪問 URLs,以及此等網站內的應用及工具,例如遊戲、即時通訊及 流媒體等,因為此等應用會令公司網路暴露於惡意軟體的攻擊風 險,或者影響工作效率。

02

SSL 檢測

R75.20 令企業能檢查其所有軟體刀片的 SSL 加密數據傳 輸,提供深入的安全分析,以及針對 Gmail、eBay 和 Facebook 等應用的數據丟失防禦。有了這個新功能,企業能更好地落實 公司的安全政策,並仍可以保護員工在一些網站點上如網上銀 行或者醫療保健網站的隱私。Check Point 的各種軟體刀片包括 DLP、IPS、 應用控制、 防病毒、防惡意軟體及 URL 過濾等都 具備 SSL 檢測技術。

03

數據丟失防禦 (DLP)

R75.20 可 減 低 企 業 內 部 數 據 洩 露 的 風 險。R75.20 與 Microsoft Exchange 整合,使得企業能檢測公司內部發送的數 據,防止個人或部門的數據洩密。 互聯網的發展一日千里,而惡意軟體也變化多端,這促使 企業需要採用打破傳統的 web 保護方法。Check Point 的 3D Security 技術,能針對 URL 方案整合應用控制,提供一種獨特 的 web 控制方法。現今企業通過實施單一、集中的政策,就能 夠控制數百萬個網站、應用及工具的訪問。

18

11-22.indd 18

J

19/9/2002 11:14:40


雲端保安方案巡禮

為公司服務走出外 為雲端服務加入統一身份識別 雲是一種混雜的、由商業驅動的 IT 現象,其建立目的在於降低成本,提高計

方案: CA Cloud Security

算的效率與靈活性。雲端運算解決了很多難題,但也產生了許多新的問題。雲服務

產品: CA SiteMinder CA Federation Manager CA SOA Security Manager CA Identity Manager

的消費者和供應商在雲時代都面臨著前所未有的巨大挑戰,那就是訊息的安全性, 它像是一個巨大的「原子彈」隱患,成為很多企業仍對雲服務持觀望態度的原因。

網址: goo.gl/8lKw9

3 2 4

1

1

傳統企業 IT 部署於 公司內

2

企業將內部 IT 遷 往雲端服務,那如 何…外間的雲端服 務統一認證?

大型機構會詢問如何擴展現有 IAM 系 統,以管理用戶雲端運算應用的訪問 ; 小型 機構會考慮如何在不干擾用戶、自身機構不 會失控的情況下,利用大量雲端服務 ; 雲端 服務供應商會關注如何以一種極為高效的方 式提供 IT 服務,滿足企業與消費者的安全需 要。作為企業的重要服務,管理與控制都取 決於身份認證與訪問管理(IAM),它絕對 是安全採用雲端服務的中心焦點。因此,如 何充分利用現有的 IAM 解決方案,將其範圍 擴展到混合了內部部署(on-premise)與外 部部署(off-premise)的環境之中,這是針 對眾多企業的安全挑戰。

3

CA 將 IAM 支援至雲 端服務層面,支援 的服務首先要支援 SPML 協議

CA 將 IAM 由傳統網路服務身份認證和 管理的 SiteMinder 延展至雲端服務認證上, 並由 Cloud Based IAM Services 來實現。後 者是一項軟體即服務應用程式(SaaS),它 可升級及支援多用戶,且能根據使用需求配 置。 方案採用的技術,無論對於 PC 或智能 手機,皆可以獨特方式確定設備身份,有助 防止欺詐,保護用戶私隱。該產品能收集並 分析與特定設備相關的多種可用數據,無需 使用設備上的 cookie 資訊或代理程式。目前 方案可識別可疑設備,並可依據安全政策,

4

目前支援的 SPML 服務 包括 Salesforce.com、 Amazon EC2、Webex 和 Google App 等等

當風險評分達到某標準時,有關設備的訪問 便會遭阻止。 流動設備已變得如錢包般普遍,方案亦 採用 CA Arcot OTP 技術的流動認證,可保 障智能手機、iPad 或其他流動設備之安全和 認證,可以建立一次性的密碼及無需攜帶 fob 等附加認證設備。該應用程式還採用其他雙 因素流動認證方式,抵禦密碼攻擊。

19

11-22.indd 19

J

19/9/2002 11:14:41


於 VMware hypervisor 之上運行

Fortinet 虛擬設備擴展雲端安全 虛擬環境的規模與日俱增,虛擬環 境之盲點及安全控制的不足增加了風 險。Fortinet 供企業選擇實體和虛擬設 備提供「單一虛擬管理平台」(Single pane of glass),讓他們靈活結合實體 和虛擬設備,以便在效能、能見度及控 制方面達到適當平衡。 Fortinet 的 虛 擬 安 全 設 備 於 VMware hypervisors 之 上 運 行, 其 FortiGate 虛 擬 設備透過綜合式多重威脅安全功能,保護網 路基礎設施。FortiGate 虛擬設備與傳統的 FortiGate 實體設備同樣能夠讓企業整合其獨 立安全技術以對抗各種風險,並可節省成本 及簡化其安全基礎設施的複雜性。管理員可 以結合防火牆、VPN、入侵預防、惡意軟體 預防、應用安全及完全內容保護、數據損失 預防、網頁過濾、防濫發訊息功能,並獲得 能夠檢查跨區域 (inter-zone) 流量的額外效 益。此外,FortiGate 虛擬設備亦可配合傳統 FortiGate 實體設備,以確保虛擬環境的周邊 及虛擬層更能獲得保護,同時提升其可觀性 及加強管理。 方案: FortiGate 對象: 企業或雲端服務供應商 網址: goo.gl/WMlBQ

01

中央管理工具

FortiManager 虛 擬 設 備 提 供 所 需 工 具 包括 FortiGate、FortiWiFi、FortiMail,及至 FortiClient 端點代理,以便管理任何規模的 Fortinet 安全設備,由數部至數以千計設備 及端點安全代理均可應付。

02

綜合分析保安數據

FortiAnalyzer 虛 擬 設 備 以 安 全 方 式 集 合 Fortinet 裝置及其他 syslog 兼容裝置的 log 數據。用戶可以採用一套自訂及周全的報 表,過濾及檢視紀錄,憑流量、事件、病毒、 攻擊、網頁內容及電郵數據,挖掘數據以判 斷安全情況,有助確保企業符合法定要求。 FortiAnalyzer 亦提供先進的安全管理功能, 例如隔離檔案歸檔、事件關連功能、漏洞評 估、流量分析,以及電郵、網頁存取、即時 訊息及檔案傳輸內容的歸檔。

03

郵件保安工具

FortiMail 虛擬訊息安全設備專門攔截內 送的濫發訊息或惡意軟體,在它們堵塞網路 及影響用戶前及早解決。該方案亦有預防其 他防濫發訊息網閘(包括 3G 流動網路流量) 將資料發放給黑名單用戶。 各款虛擬設備的功用與其硬體版本相 似,Fortinet 亦繼續提供虛擬網域 VDOM 及 管 理 網 域 (Administrative Domain, ADOM) 技術以保護及管理虛擬及多個租戶(multitenant)環境。各虛擬技術與業界標準虛擬 區域網(Virtual LANs, VLANs)互相配合, 讓單一虛擬或實體 Fortinet 裝置可支援該環 境內數以百計的網域,提供各區域之間至為 重要的能見度和安全控制,同時維持虛擬技 術的效益。

20

11-22.indd 20

J

19/9/2002 11:14:43


雲端保安方案巡禮

針對網頁防衛的 Web-UTM

更支援 Web 2.0 應用進行控管 現 時 很 多 UTM 都 不 能 對 Web 2.0 服 務 進 行 細 分 和 控 制, 例 如 Linkedin、Facebook、Gmail、Flickr、Youtube、 MySpace 等等。為了加強上網安全,尤其是 DLP(Data Loss of Prevenetion)及對 Web 2.0 的應用能夠仔細控制,不少公 司除了使用 UTM 外,更透過安裝 BlueCoat 的 Desktop Connector Agent 強制式的群組政策,將任何瀏覽的資料流強制映射 到街外的 Proxy 來進行安全過濾,Blue Coat Cloud Service 就是其中一種類似的網路服務。 這種 SaaS 服務最大的好處是毋須添置硬體保安閘道和過濾伺服器,用家在瀏覽網頁時, 先發出請求至 BlueCoat Cloud Service,然後通過它的 Proxy 進行 URL 分類和保安檢查、甚 至在 Proxy 預先定義好的政策,來對登入者所使用的 Web 2.0 服務進行細分。

支援 Granular 控制 舉 一 個 例, 為 了 加 強 公司 DLP 控制能力,管理 員可以限員工將資料上載 至 任 何 Web 2.0 的 網 頁 應 用, 例 如 Facebook 只 能 閱 讀, 不 能 發 文 和 發 放 照 片,甚至限制員工玩網上的 Facebook Games;公司也 可允許員工使用 Webmail, 但 不 能 傳 送 附 件。 這 就 是 BlueCoat 所 稱 的 Granular Web Application Controls 中 的 Granular(微細)意思。

方案: Blue Coat Cloud Service 產品: Web Security Module 網址: goo.gl/OHkrH

WEB 網頁保護

按位置找資料中心

即時察覺 Web 威脅

BlueCoat Cloud Service 結合了 Blue Coat WebPulse 與 inline 惡意程式掃瞄技術, 提供 Web 保護,並即時分類 新的、和未知的 Web 內容。 WebPulse 利 用 分 析 技 術, 偵 測 Web 環 境 中 是 否 有 可 疑和惡意的網站,以及發現 惡意程式,無需依賴識別碼 (Signature)或軟體升級即 可自動保護所有使用者。

方案內建的自動追蹤功 能能夠根據使用者當時的地 理 位 置, 動 態 地 將 Web 流 量導向最近的 Blue Coat 資 料中心(Proxy),不論員工 位於何處皆能施以同樣的保 護。

IT 管理人員透過該服務 內建的報表介面,能夠輕易 檢視有多少威脅試圖侵入網 路,快速辨識遭惡意程式感 染並嘗試傳送敏感資訊至惡 意程式主機的終端使用者。

21

11-22.indd 21

J

19/9/2002 11:14:45


保障雲端資料及網路服務安全

第一線 CDS 及 vFirewall 服務 不少公司已將網路服務遷移至雲端平台,以往伺服器放在公司內聯網有硬體防火牆保護,但一遷到雲端平台,若沒有相 應的 IDS 和防火牆,網站遭癱瘓和攻擊的機會肯定倍增。有見及此,第一線推出了雲端資料庫(Cloud Data Safe, CDS)和 虛擬防火牆(vFirewall)服務。這兩項服務是其雲端專屬寄存(Cloud Dedicated Hosting, CDH)服務的增值服務系列。

方案:CDS/VFirewall 對象:第一線現有的 CDH 客戶 查詢:852-21877688 網頁:www.dyxnet.com

目前,第一線已建構 6 個 CDH 服務節點,覆蓋香港、台北和北 京,它亦計劃將在上海和廣州建立更多的節點,以全面滿足大中華 區客戶龐大的業務需求。據環球調研公司 IDC 最新發表的數位世界 研究報告顯示,全球數據總量每兩年就翻一番。2011 年的數據量將 達到 1.8ZB。IDC 同時也認為,企業級的應用數據將會佔數據總量的 80%。對於企業使用者來說,隨著業務數據規模的不斷增長,採用一 個具成本效益的數據備份解決方案勢在必行,而第一線 CDS 服務就具 有低行政費用、低初次投入成本和低營運成本等優勢。與傳統的磁帶 備份相比,CDS 服務還能協助企業快速恢復並重啟業務營運。此外, CDS 服務在數據備份上所具有的高安全性也受到企業用戶的青睞。

第一線的 CDS 服務是建立於其 CDH 平 台,提供企業系統及數據雲端備份服務。該服 務配備企業級的數據備份功能,通過加密的互 聯網傳輸,為數據庫伺服器、郵件伺服器、檔 案伺服器,甚至桌上電腦或手提電腦提供數據 備份。所有網路儲存設備均擁有冗餘磁碟控制 台、獨立磁碟冗餘陣列(RAID)+ 熱備碟(Hot Spare)硬碟保護及冗餘儲存區域網路(SAN) 渠道。CDS 服務能夠對伺服器系統檔和應用 數據進行預定和特別的備份,自動壓縮以節約數據傳輸頻寬。此外, 該服務在所有備份檔案上還具有強大的加密功能以及異地備份可供 選擇。 除了 CDS 服務以外,第一線還推出了虛擬防火牆(vFirewall) 服務。該服務是建立在 CDH 平台和公共互聯網之間的一個硬體防火 牆。vFirewall 除提供常用的防火牆解決方案以外,它還支援入侵偵測 防禦服務(Intrusion Prevention Service,IPS)、防病毒、防垃圾郵 件和內容過濾等多用途解決方案。

九倉電訊雲端防護方案

針對郵件的保安服務 近年網路威脅產生了明顯的變化,越來越多的網路罪犯利用混合攻擊的策略,試圖繞過防禦系統,破壞系統或竊取 敏感商業資料,而機構的員工亦未必能有效地防禦網路攻擊,任何規模的機構均需要遠離惡意的攻擊,網路安全對大部 份企業非常重要。九倉電訊「雲端防護」是一項專為機構應付各種電郵威脅的防護方案,結合保護、監控和連續服務。 該服務服務能將病毒、間諜軟體及其他網路威脅進入客戶網路前,於互聯網路層面徹底攔截。透過其 Hosted Services 全球 24 x 7 資訊保安服務,防止用戶進入不恰當的網站;同時透過執行有效企業網路使用政策,保持員工的工作效率。

方案特色 降低總擁有成本和簡化管理

對象:郵件防護

2

消除網絡威脅及減少頻寬使用,有效提升生產力

查詢:852-21121121

3

機密、敏感及專有材料可安全地保存於公司內

網頁:www.wharftt.com

4

使用加密技術確保訊息安全,並遵從法律要求

1

22

11-22.indd 22

方案:雲端防護

J

19/9/2002 11:14:45


查詢了解 供應商監控系統

服務合約

雲端服務使用最佳習慣

供應商與你所立的 合約是否對你提供 足夠保障 ?

公司商譽 查看供應商在網上的商 譽及服務的可用率能否 達至 99% 以上

重大更新 要高度警覺

避免員工接觸不 該接觸的資料

重要數據

尋找審核

查詢供應商如何和在 哪裡保存閣下公司的 資料

獨立保安公司進行審 核,了解供應商的合作 夥伴或客戶是否有權限 取得你的資料

密碼準則 對員工密碼建立一個良 好政策 了解供應商是否 符合你的保安政 策原則

JJ

23 23

23.indd 23

19/9/2002 11:21:47


Edit ︰ Andrew Wong

認識 APT

Text : 趨勢科技香港首席顧問陳紹斌

Advanced Persistent Threat 進階持續性滲透攻擊你要知

什麼是 APT ?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 可能持續幾天,幾週,幾個月,甚至更長的時間。APT 攻擊可以從蒐集情報開始,這可能會持續一 段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。 例如,試圖竊取商業機密可能需要幾個月收集有關安全協定、應用程式弱點和文件位置的情報,但當計畫完成之後,只需要幾分鐘的執行 時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署 Rootkit 在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副 本給命令和控制伺服器(C&C Server)進行審查。

今天的 APT 非常先進 無論是就攻擊者所使用的技術還是他 們對於目標內部的了解來看,APT 攻擊是 非常先進的。APT 可能會採取多種手段, 像是惡意軟體,弱點掃瞄,針對性入侵和 利用惡意內部人員去破壞安全措施。

其實,APT 不是一種新的攻擊手法,也 不是可以透過阻止或破壞一次攻擊就讓問題 消失。APT 更像是一個網路攻擊活動而不是 單一類型的威脅;可以想成是進行中的過程。 防毒程式可能會阻止 APT 攻擊所使用的惡意 軟體,但並不意味著停止攻擊。就其性質而 言,一個 APT 是一段持續的攻擊。如果一個

APT 攻擊的早期階段可能集中在收集

戰術行不通,就會再嘗試另外一個。實際上,

關於網路設定和伺服器作業系統的的詳細

我們不應該只去思考單一對策,或只是在多

資訊,接著,精力會放在安裝 Rootkit 或

層次安全策略上增加更多防禦層,相反的,

其他惡意軟體去取得控制權或是跟命令與

我們應該思考將其他例子中可能用來攔截、

控制伺服器(C&C Server)建立連線。

偵測和遏制的各種方式都組合起來。現在,

再下來的攻擊可能集中在複製機密或是敏

很合理的我們會想問,要如何做到這一點?

感數據來竊取數據。

24

24-25.indd 24

不斷演變的資訊保安威脅環境 企業和政府面臨著一個不斷演變的資 訊保安威脅環境。從一開始為了用來吹噓 而去攻擊媒體網站或用阻斷式攻擊 (DoS) 來切斷流行網站的服務,到現在是為了經 濟利益而攻擊。攻擊者能夠透過詐騙或竊 取知識產權來直接獲取利益,或是間接地 經由破壞競爭對手的服務或進行大規模資 料竊取攻擊來入侵客戶的個人金融資訊。 而除了動機上的變化,攻擊手段上也有所 改變。 應用程式架構的改變和將核心作業 去中央化都為攻擊者帶來機會。在過去,

J

19/9/2002 11:21:14


網絡保安 銀行職員和自動提款機是銀行帳戶進行交易 唯一的途徑,現在你可以用手機做到這一點。 也就在不久之前,每當談論到零售商就會想 到有實體店面的店家或商場,現在它會讓人 們聯想到可以出售各種東西的網站,從書籍 到電器都有。 網頁應用程式提供多種業務相關服務來 完成整個工作流程,而且還能串到後勤管理 系統,像是庫存管理和應收賬款等。這些都 很容易成為弱點掃描,注入攻擊和其他用來 找出應用程式結構或潛在漏洞等資訊探測器 的目標。 演變中的資訊保安威脅環境裡的另一項 因子是會組合多項技術。惡意軟體可以被用 來執行特定任務,如側錄鍵盤,或者它可能 包含一個通訊模組,可接收命令和控制伺服 器(C&C Server)所下達的指令,來讓攻擊 者去進行探測,搜尋,並且根據找到的資訊 來改變戰術。 我們在 APT 中所看到的某些技術,在 之前的混合式攻擊(在一次單一攻擊中使用 多種的惡意軟體)中就已經看過了。我們還 看到攻擊會因應使用者對策而改變。當防毒 軟體成功的利用病毒碼比對技術來偵測到病 毒時,惡意軟體作者會採用加密和多形技術 來讓自己的程式得以避免偵測。同樣的,如 果一條進入系統的路徑被封鎖了,APT 會尋 找另一條路徑。APT 可變動的性質是資訊保 安威脅的共同特點,但有其他特點可以區別 APT 和其他類型的攻擊。

公司如何知道自己被 APT 攻擊? 從最基本面來看,有三項特點讓我們認 為這攻擊是 APT: 1

出於經濟利益或競爭優勢

2

一個長期持續的攻擊

3

針對一個特定的公司,組織或平台

企業和政府是 APT 的目標原因很明顯。 企業擁有高度價值的金融資產和知識產權。 而從有政府組織以來,政府組織就是會面臨 外來的攻擊。因此,APT 的概念在許多方面 都沒有什麼新意。唯一新的是執行這種威脅 的方法,已經進入網路和應用程式的領域了。 長期攻擊可能持續幾天,幾週,幾個 月,甚至更長的時間。APT 攻擊可以從蒐集 情報開始,這可能會持續一段時間。它可能 包含技術和人員情報蒐集。情報收集工作可

以塑造出後期的攻擊,這可能很快速或持續 一段時間。例如,試圖竊取商業機密可能需 要幾個月有關安全協定,應用程式弱點和文 件位置的情報收集,但當計畫完成之後,只 需要一次幾分鐘的執行時間就可以了。在其 他情況下,攻擊可能會持續較長的時間。例 如,成功部署 Rootkit 在伺服器後,攻擊者 可能會定期傳送有潛在價值文件的副本給命 令和控制伺服器(C&C Server)進行審查。 有一些廣為人知的 APT 攻擊演示了發動 APT 的手段和動機: 以 Zeus 當 例 子, 一 開 始 是 作 為 攻 擊 金 融 機 構 的 平 台, 但 被 改 成 一 個 框 架 (Framework)提供給其他類型的 APT。 極光(Aurora)APT 攻擊 Google 和其 他科技公司,似乎試圖取得存取權和可能去 修改應用程式碼。 Stuxnet 是 高 度 針 對 特 定 產 業 的 惡 意 軟 體, 其 中 包 含 一 個 針 對 用 在 工 業 設 備 上 可 編 程 序 控 制 器(Programmable Logic Controller, PLC)的 Rootkit。所以新聞界有 人猜測 Stuxnet 是由一個或多個政府來開發 的。 而這些 APT 可以利用我們提供服務的 改變來加以攻擊。

變化中的企業運作使問題更加複雜 使用技術和攻擊動機的改變只是 APT 成 為如此嚴重威脅的部份原因。我們如何去設 計系統讓使用者存取商務應用程式也是原因 的一部分。 想到去邊界化。過去防火牆會阻止未 被明確允許的連線。由於進階應用需要有更 靈活的網路連線。外部人員需要訪問內部資 源。開發人員開發應用程式去建立通道讓被 封鎖的協定藉由被允許通過的協定(也就是 HTTP)穿過。現在並不是用單一邊界包圍著 所有的網路資產,企業開放存取更多的伺服 器而只依賴基於設備的控管和網路流量監控。 另一個原因是可以被 APT 所利用的是手 機和其他無法被管理的設備使用增加。IT 部 門並不總是能夠要求在防毒軟體或存取控制 到位之後,設備才可以使用內部服務。這些 設備可以被 APT 利用來做為攻擊企業或政府 網路的一部分。

料庫內容或是程式結構相關的情報。 藉由擴大員工訪問重要資訊系統的能 力,企業可以讓員工更容易也更有效率的進 行必要的工作。但是,這樣也增加了可能的 攻擊入口。 技術和組織方面的因素在工作上會導致 APT 攻擊的可能性。其中許多因素,像是提 供員工更多功能和可以從移動設備來存取應 用程式都是這麼的有幫助,很難想像要去削 減它們。我們可以降低 APT 的風險,而不必 犧牲這些好處。

從實務面來評估控制 APT 的可能性 從實務面來看,在可預見的未來,APT 將會一直與我們同在是很合理的假設。在網 路安全的歷史中充滿了更多新型態攻擊出現 以因應新型態控制的例子。APT 是長期的過 程導向攻擊,是攻擊者動機和攻擊手段改變 下的產物。既然 APT 已經存在了,有什麼合 適的策略可以用來減輕相關的風險呢? 我們應該繼續部署攔截對策。防毒軟 體,加密,弱點掃描和上修正程式(Patch) 都是很好的做法。但是他們還不夠去應付 APT,所以我們應該假設會被攻擊成功。並 不是說這些對策有問題,這觀點只是認定一 個事實,就是有決心而且堅持的攻擊者始終 會找到一條路擺脫所有的防堵辦法的。 所以在某些點上會被攻擊成功的前提 下,我們必須即時的監控網路流量和電腦上 的活動。萬一攻擊發生了,能夠儘快偵測到 攻擊和遏制它所造成的影響是迫切需要的。 遏制方法可以包括隔離被入侵的設備,關閉 伺服器和收集資料以作鑑識分析之用。

資料庫 甚麼是 APT ? APT 是一類會對 IT 和資訊保安專業 人員產生特別挑戰的資訊保安威脅。它 出於經濟或其他長期收益的動機,利用 多種惡意軟體和駭客技術來武裝自己, 這些攻擊者願意花時間跟精力去打破組 織的防禦能力。過去的許多最佳做法在 今天還是必需的,但正如我們將在下一 篇文章中所看到的,我們需要在我們的 對策組合中加入即時監測和遏制技術。

同樣,增加外部可用的網頁應用程式 提供另一種可能的攻擊方法。舉例來說,對 於網頁應用程式的注入攻擊可以用來收集資

25

24-25.indd 25

J

19/9/2002 11:21:14


HP 新儲存聯合技術 3PAR 擴展融合儲存 IDC 估 計 在 2012 年 前,85% 的新應用程式將專為雲端存取而設 計。 要 靈 活 交 付 這 些 以 虛 擬 及 雲 端為基礎的應用程式,它們必須連 接 多 個 儲 存 系 統, 使 其 成 為 單 一 系 統。 這 就 是 聯 合 儲 存(storage federation),其功能可消除額外的 虛擬化設備,從而降低成本、行政 支出及數據中心架構的服務水平風 險。 HP 以全新的聯合儲存(federated storage)軟體 HP Peer Motion 擴展 其融合儲存(Converged Storage)組 合。該軟體讓客戶在虛擬及雲端運算環 境中,能透明地移動磁碟系統之間的應 用程式工作量。

HP 亦推出全新 HP P10000 3PAR

新 的 HP Peer Motion

軟體適用

Storage Systems,在公用雲及私有雲中

於 HP LeftHand

提 供「IT 即 服 務 」(IT-as-a-Service)

Systems,提供業界首個 peer-to-peer 儲

的企業 IT 交付。這些功能包括多租戶工

存聯合功能,涵蓋虛擬儲存區域網路(SAN)

作 量 整 合(multitenancy for workload

軟體設備至中端及高端儲存系統。HP 3PAR

consolidation)、 為 高 效 的 容 量 使 用 率

及 HP LeftHand Peer Motion 軟體讓客

及 自 主 負 載 再 平 衡(autonomic load

戶:

rebalancing), 擴 展 精 簡 技 術(thin technologies),以推動企業靈活性。 HP 香港企業伺服器、儲存及網路部 總經理楊建峯表示:「二十年前建構的傳 統儲存系統,並非為現今這個動態『 IT 即服務』世界而設,令企業在別無選擇下

及 3PAR Storage

based 聯合儲存,不但可處理不間斷及多

透 過 聯 合 資 產 管 理(federated asset management),在儲存資產 進行更新時,消除停機時間或服務中 斷的機會,確保數據無中斷地從退役 的陣列轉移至新系統,進一步改善生 產力。

1 在 回 應 難 以 預 測 的 環 境, 透 過 聯 合 工 作 量 平 衡(federated workload balancing), 確 保 持 續 生 產 力 及 無 中斷地重新分配工作量。

HP 收購 3PAR 後不足一年,便已推 出兩個全新型號的 HP P10000 3PAR 儲 存系統,包括 V400 及 V800(HP 3PAR V-Class)。HP 3PAR V-Class 是一個功能 強大、以關鍵任務為本的儲存系統,可在單 一高效能陣列,同時支援混合、難以預測及

使用昂貴及低效率的額外虛擬方法來應付 需求。HP 融合儲存解決方案中採用 peer-

3

2

多租戶的工作量。 透過聯合 Thin Provisioning,將

租戶環境中各種難以預測的需求,更可降

應用程式數據透明地移動至具備足夠

低支出、管理開支及服務水平風險。」

容量的系統,減低將來購買儲存的需 要,從而增加投資回報。

配 System

備 HP 3PAR V-Class Storage 的 HP VirtualSystem

及 HP

CloudSystem 解 決 方 案, 將 於 今 年 稍 後 時 間 推 出。HP P10000 3PAR Storage System 現已有售。

26

26-27.indd 26

19/9/2002 11:20:49


商業科技

最細的 HP 彩色多功能鐳射印表機 雲端列印將主導未來市場趨勢。研究預測到 2013 年,將有 260 億頁紙 張由流動裝置進行列印,同時 85% 智能手機用戶希望可透過智能手機進行 打印,反映出市場的巨大潛力。 HP 兩款全新的多功能鐳射印表機系列。針對寸金尺土的環境而設,HP LaserJet Pro 100 Color M175 印表機系列為 HP 體積最細小的多功能彩色鐳射印表機,最適 合家庭辦公室或中小企使用。而 HP LaserJet Enterprise M4555 多功能印表機系列, 則為需要應付大量打印工作的中大型企業而設。 作為 HP 最細小的多功能彩色鐳射印表機,HP LaserJet Pro 100 Color M175 打印機系列的體積只有 441(闊)x 480(深)x 441(高)亳米,方便擺放在家中 或辦公室任何位置,更能節省空間。雖然機身細小,此打印機系列齊集列印、掃描和 影印三大功能;內置 Smart Install 技術,毋須 CD 驅動程式,USB 一插即自動進 行安裝,印表機於短時間內即可使用。而且,每頁黑白列印成本與 HP 黑白鐳射印表 機成本相若,為用戶省回更多列印費用。 除 了 HP LaserJet Pro 100 Color M175a( 售 價:HK$2,488) 外,HP LaserJet Pro 100 Color M175nw 型號(售價:HK$2,988)更內置了以太網及無 線網路,支援 HP ePrint 雲端列印技術,可以隨時隨地透過任何流動裝置進行列印, 同時支援 Apple AirPrint 及 WiFi 無線列印,列印從此不受地域所限。 HP 香港影像及列印部市場發展經理廖錦輝先生

LaserJet Pro 100 Color M175 1

2

3

4

印 表 機 配 備 特 設 的 HP Easy Select

在功能及設計上納入環保因素是 HP

Pivoting Colour 控制面版,操作容易,更

印表機的一大特色,這兩款多功能鐳射印表

可利用預覽模式有效調整掃描作業。而且,

機系列亦不例外。除了具備 ENERGY STAR

利用 HP 的管理工具,用戶安裝及配置列印

能源標籤外; HP LaserJet Pro 100 Color

機非常簡單,方便將印表機整合至企業列印

M175nw 型號支援 HP Auto-Off 自動關

環境,從而提升整體的營運效率。印表機所

透過 HP 取得製作宣傳品的意念、 工具及範本,方便評估列印成本;

機技術,能省電達 50%,而 HP LaserJet

具備的多元化和先進保安功能,更是企業防

Enterprise M4555 系 列 內 置 Instant-on

範重要資料外洩的必備工具。

利用 ID copy 功能將雙面證件影印 至同一頁面上,更可即時將文件掃描 至電腦或電子郵件等。

技術及 Instant-on Copy,有效減少能源

LaserJet Enterprise M4555

消 耗, 使 用 原 裝 HP LaserJet 碳 粉 盒 具

可列印於任何呎吋的紙張 – 由 8.9 x 12.7 厘米 至 21.6 x 35.6 厘米; 容易調整專色,再透過基本配色設定 應用於整份文件;

備高效節能特色,能減少能源消耗量超過

1

使用 HP FutureSmart 固件方便更 新、管理及擴充網路印表機功能;

18%。此外,HP Planet Partners 提供免

2

HP High-Performance Secure Hard Disk 的加密功能,有助保護 儲存在印表機內的公司重要資料;

帶來的影響。

3

通過用戶身份認證、IPSec 及 IPv6 列印安全更有保障;

4

經加密電郵及 PDF 檔案,建立、列 印、掃描及共享公司重要業務資訊更 加安全。

費油墨盒回收再造服務,亦有助減少對環境

(左)HP LaserJet Pro 100 Color M175

另 一 系 列 全 新 推 出 的 HP LaserJet Enterprise M4555 多功能鐳射印表機(售 價:HK$23,988 起),專為中至大型企業 擴展業務所需要而設計。印表機的最高列印 速度達每分鐘 55 頁,每月最高列印量為 250,000 頁,加上 2,100 頁的高容量入紙 匣,足以應付大量列印作業。此系列印表機 同樣支援 HP ePrint 雲端列印的先進技術, 利用遙距列印打破地域限制。

HP LaserJet Enterprise M4555

HP ePrint iPhone 程式

27

26-27.indd 27

19/9/2002 11:20:58


商業科技

高清網路攝像機 NVR 方案 Surveon 殺入香港 你 有 使 用 入 門 的 IP-CAM(MPEG-4 制 式 ) 和

NVR(Network Video Recorder), 都 會 發 現 當

錄影的視頻不斷增加時,NVR 普遍都不勝負荷,莫說是 錄影高清的 IP-CAM 了。傳統閉路電視朝向數位發展, 監控系統走進 IP 化已是不可逆轉的事實。而要能廣泛 用於企業監控市場,關鍵是產品必須穩定、可靠和易用, 甚至是罪案發生時必須能迅速協助警方作搜證之用。台 灣知名的網線攝像機廠商 Surveon 正式進軍香港,其高 清數位監控和錄影方案最高可支援二百多個高清 IP 攝 像機進行錄影,適合大企業、商場、屋苑和政府機構使 用。 Surveon 網路視頻監控方案 總代理:WINCO 查詢:(852) 28577227 網頁:www.winco.com.hk

BQJournal 商智謀略

Editor Choice

Surveon 百萬高清 IP 視頻解決方案提供各類的網路攝像機選擇,包括: 網路槍機、網路一體機、網路球機、網路高速球機,每個機型均涵蓋了從標 清到高清(1Mega、2Mega、3Mega)的系列產品,以及具有先進的日 / 夜 模式、WDR(寬動態)、逆光補償、白平衡、寬溫和防風雨功能的機型, 以應對各種對攝像機要求極為苛刻的環境下使用。Surveon 所有機型都是自 主設計和製造,工藝和部件均符合工業級的標。 其光學工程優化技術,包含圖像處理及編解碼器集成、為 Surveon 網 路攝像機提供了理想的圖像清晰度和低光敏度。先進的部件設計,如日 / 夜 ICR、LED 燈、寬動態範圍和低光圖像傳感器以及 ISP 控制器,也確保了攝 像機對各種色彩和燈光組合的高度適用性。

網路攝像機的性能和穩定性主要依賴於它本身運行的固件,Surveon 產品能做到零丟幀率,最小化延遲,並且可確保全年 365 天 7x24 小時的可 靠運作。其智能視頻分析(VI)軟體,支援網路攝像機實時智能視頻分析、 外來物體偵測、失蹤物體偵測、禁區侵入偵測和攝像機防破壞自我檢測等功 能。這些實時視頻分析功能可以有效地幫助提高監測人員的環境感知能力, 提高監測效率。產品亦已通過最高考驗的 ISO9001/14001 認證。

針對這些網路攝像機,Surveon 提供 NVR 錄影方案,產品備有

防破壞預警技術 Surveon 設計的網路攝像機,無論是在室內還是室外等各種複雜環境都

企業級 RAID 架構,統一的硬體上能支援 4 到 200 個高清監控頻道。 產品從設計驗證到生產,包含溫度,結構和電氣測試,每個 NVR 服務 器、IP 攝像頭和存儲解決方案在開發階段都通過數百小時專業驗證人

能夠運行,並配備了防破壞,防風雨,支持寬溫度範圍等多種品質保固技術。

員的測試。此外,通過 24-48 小時標準燒機測試確保每個 NVR 的質

例如賊人若刻意在監控鏡頭噴上色油或移動鏡頭方向,其監控系統會即時發

量。這些步驟減少全天候運作條件下的故障率。

出警告,監管者更可以翻看鏡頭「出事」前的畫像,令賊人相貌無所遁形。

28

28.indd 28

19/9/2002 11:20:19


技術應用

Windows Server 2008

防止員工盜取智慧資產(下) 限制非公司裝置存取網路資源 接續上期,完成了網路交換器設備端的相關設定之後,接下來讓我們來看看有關於 Windows Server 2008 網路原則伺服 器(NPS)的設定。首先請開啟【系統管理工具】下拉選中的【網路原則伺服器】管理界面,接著展開至【網路存取保護】\【系 統健康狀態驗證】節點上,然後針對預設的【Windows 安全性健康狀態驗證程式】連續點選開啟。 Step 01 開啟之後請緊接著點選【設定】按鈕, 執行之後將會開啟如下所示的頁面,在此你可 以分別針對 Windows Vista 與 Windows XP (SP3 版本),設定各自所要檢驗的項目,在 測試階段的環境中最直接的方式就是指針對防火 牆或是自動更新設定來檢驗就可以了。

靈頁面,在這個頁面中首先必須從下拉選中 挑選【IEEE 802.1x(有線)】選項,接著 系統將會自動產生一個唯一的識別名稱,點 選【下一步】繼續。

03 接著在【指定 802.1x 驗證交換 器】頁面中,必須新增 RADIUS 用戶端, 而這裡所指的便是這一部 802.1x 的網路交 換器設備,點選【新增】按鈕之後讓我們來 看看相關的設定。 Step

Windows 安全性健康狀態驗證程式設定。

Step 02 有 關 於 Windows 安 全 性 健 康 狀 態 驗 證 程 式 設 定 部 份, 值 得 注 意 的 是 Windows Vista 與 Windows XP 所能夠 設定的項目有些許的差異,畢竟 Windows XP 直接內建的安全性功能比較少,例如: Windows Defender 在 Windows XP 中 就 沒 有, 不 過 說 也 奇 怪, 因 為 Windows Defender 一樣可以從 Microsoft 來下載 安裝在 Windows XP 上,可是在此原則設 定中卻無法來勾選。請注意!有關於 NAP 針對防火牆與防毒軟體的偵測部份,基本上 只要是 Windows 資訊安全中心管理界面 中,所支援與偵測的到的都可以喔。接下來 我們必須以最快速的方法,來完成有關於 802.1x 網路交換器設備與 NAP 的整合設 定。請在網路原則伺服器界面中,先點選至 最上層的項目節點上,然後在該頁面中點選 【設定 NAP】連結,來開啟設定 NAP 精

NAP 設定精靈。

著必須輸入位址(IP 或 FQDN),然後點 選【驗證】按鈕,來確認這個伺服器與這個 設備的連線是沒有問題的。接著必須設定 RADIUS 伺服器(NPS)與用戶端(Switch) 的共用密碼,只要注意在這兩個部份的密碼 都必須設定一樣即可,點選【確定】完成設 定,點選【下一步】繼續。 Step 05 接下來在【設定使用者群組與電 腦群組】的頁面中,可在此預先強制設定好 哪一些電腦群組或使用者群組才能夠進行 802.1x 的連線驗證,當然啦!你也可以直 接點選【下一步】省略掉這一部份的設定, 必要的話可以等到後續再來進行修改即可。

管理 RADIUS 用戶端。 Step 04 在【新增 RADIUS 用戶端】設定 頁面中,首先必須輸入一個好記的名稱,建 議你可以直接輸入該設備的廠牌與型號。接

設定使用者群組與電腦群組。

新增 RADIUS 用戶端設定。

Step 06 接下來在【設定驗證方法】的頁面 中,必須點選【選擇】按鈕來挑選所要用來 進行安全驗證的 NPS 伺服器憑證,在選擇 之前當然你在這部伺服器上的電腦憑證必須 預先申請與安裝完畢才可以。接著在同樣此 頁面的【EAP 類型】中,預設只會勾選一 般 常 用 的【 安 全 性 密 碼(PEAP-MS-CHAP v2)】驗證類型,後續如果你想要整合智慧 卡或其它憑證的驗證方式,則可以後續再來

29

29-32.indd 29

J

19/9/2002 11:19:13


將【智慧卡或其他憑證(EAP-TLS)】設定 勾選。點選【下一步】繼續。

Step 13 接 著 將 會 開 啟【 屬 性 資 訊 】 頁 面,請在選取【一般用於 802.1x】項目之 後, 從 下 拉 選 單 中 選 取【802(includes all 802 media plus Ethernet canonical format)】,然後點選 【確定】繼續。

設定 Tunnel-Type 屬性。

設定驗證方法。

10

接 著 將 會 開 啟【 屬 性 資 訊 】 頁 面, 請 在 選 取【 一 般 用 於 802.1x】 項 目 之 後, 從 下 拉 選 單 中 選 取【Virtual LANs (VLAN)】,然後點選【確定】繼續。 Step

Step 14 接著又回到了【RADIUS 標準屬 性】頁面,請在選取【Tunnel-Pvt-GroupID】項目後點選【編輯】按鈕繼續。

07

接著會來到【設定虛擬區域網路 (VLAN)】頁面中,在此我們必須開始來 分別設定【組態網路 VLAN】以及【限制的 網路 VLAN】兩部份,首先我們先針對前者 來進行設定。 Step

指定一般用於 802.1x 設定。

指定一般用於 802.1x 設定。

11

接著回到了【RADIUS 標準屬性】 頁面,請在選取【Tunnel-Medium-Type】 項目後點選【編輯】按鈕繼續。 Step

設定虛擬區域網路(VLAN)。

設定 Tunnel-Pvt-Group-ID 屬性。

15 接 著 在 Tunnel-Medium-Type 【屬性資訊】的頁面中,請點選【新增】繼 續。 Step

Step 08 在點選【設定】按鈕之後將會開啟 此頁面,首先在【RADIUS 標準屬性】頁面 中請取【Tunnel-Type】項目,然後點選【編 輯】按鈕繼續。

設定 Tunnel-Medium-Type 屬性。

12

如 下 圖 所 示 接 著 在 TunnelMedium-Type【屬性資訊】的頁面中,請 點選【新增】繼續。 Step

編輯 Tunnel-Pvt-Group-ID 屬性。

16 上述範例中的屬性值事實上是筆 者已經完成的設定,而如下圖所示的頁面才 是設定的頁面,在格式輸入中必須選擇【字 Step

RADIUS 標準屬性設定。 Step 09 接 著 在【Tunnel-Type】 屬 性 資 訊頁面中,預設的狀態下是沒有任何設定值 的,請點選【新增】按鈕繼續。

Tunnel-Pvt-Group-ID 屬性值設定。

30

29-32.indd 30

編輯 Tunnel-Medium-Type 屬性。

J

19/9/2002 11:19:23


技術應用

串】,然後輸入你要讓合法 NAP 用戶端 正式連線存取的 VLAN 編號即可。點選 【確定】繼續。

Step 17 接著又回到了【RADIUS 標準屬 性】頁面,請切換到【特定廠商屬性】頁 面中,然後點選【新增】按鈕繼續。

21

接 著 將 會 再 回 到【 設 定 虛 擬 區 域網路(VLAN)】的頁面中,前面操作 中我們已經完成了合法的組織網路 VLAN 設 定, 因 此 接 著 必 須 針 對【 限 制 的 網 路 VLAN】來進行設定,請點選【設定】按 鈕繼續。 Step

自動修復功能】設定選項,在測試階段期 間則建議你先不要勾選,如此一來才能夠 看到整個不符合用戶端的隔離狀態。而對 於不合格的 NAP 用戶端處理方式,則可 以以預設的拒絕 NAP 不合格用戶端電腦 擁有完整的網路存取權,僅允許存取限制 的網路設定即可,點選【下一步】繼續。 Step 24 最後在此完成 NAP 設定的確認 頁面中,你可以看到系統將自動幫我建立 的幾個主要新增設定,分別是 RADIUS 用 戶端、健康原則、連線要求原則以及網路 原則,確認無誤之後請點選【完成】繼續。

特定廠商屬性設定。 設定限制的網路 VLAN。 Step 18 在【新增特定廠商屬性】的頁面 中,首先請先在【廠商】的下拉選單中選 取【Microsoft】,然後在【屬性】的下拉 選中選取【Tunnel-Tag】並且點選【新增】 按鈕繼續。

新增特定廠商屬性。 Step 19 在 Tunnel-Tag 屬性資訊頁面的 欄位中,請輸入 1 並點選【確定】即可。

Step 22 關於整個限制的網路 VLAN 設 定步驟我們不再一一列舉,只讓各位讀者 看 看 設 定 結 果, 相 信 聰 明 的 你 一 定 會 發 現它的設定和組織網路 VLAN 設定是一 樣 的, 唯 一 只 有 在 Tunnel-Pvt-GroupID 設定值部份不一樣,因為在這個測試 環境中我們將隔離的 NAP 用戶端導向至 VLAN2。另外可不要忘記了在設定限制的 網路 VLAN 中,有關於在【特定廠商屬 性】頁面中的新增設定,也要一樣完成相 同的設定。

完成限制的網路 VLAN 設定。

設定 Tunnel-Tag 屬性值。

Step 23 接下來在【定義 NAP 健康原則】 頁面中,首先當然就必須先將前面所設定 好的【Windows 安全性健康狀態驗證程 式】項目勾選,至於【啟用用戶端電腦的

Step 20 如下圖所示便是完成特定廠商屬 性新增設定後的顯示頁面。

檢視 NAP 組態設定。 Step 25 我們完成 NAP 802.1x(有線) 的新增設定結果頁面,以網路原則來說系 統就已經幫我們完成了三種原則的定義, 分別是符合標準、不符合標準以及不支援 NAP。以這個範例來說,建議你連續點選 開啟 NAP 802.1x(有線)不支援 NAP 的項目內容,然後在【概觀】頁面中的存 取權限設定,變更為【拒絕存取】。如此 一來便可以有效防範所有不相容 NAP 的 用戶端嘗試進行連線了。

完成 802.1x NAP 新增設定。

NAP 用戶端設定 好 不 容 易 完 成 了 Cisco 3560G 網 路 設 備 以 及 Windows Server 2008 網 路原則伺服器的 NAP 設定,請再忍耐一 下完成這最後 NAP 用戶端的配置設定即 可開始嚐到豐碩的測試果實了。關於設定 802.1x 的 NAP 用戶端組態方法,最快速 定義 NAP 健康原則。

完成設定廠商屬性。

31

29-32.indd 31

J

19/9/2002 11:19:36


簡單的方法就是透過群組原則來進行配置 即可。在建立群組原則設定之前,建議你 最好是將所要套用的用戶端對象先集中存 放在相同的組織單位中(OU),然後在對 於所要建立的群組原則物件(GPO)套用 在這個組織單位上。 在群組原則管理的編輯器中,首先請 展開至【電腦設定】\【原則】\【Windows 設定】\【Network Access Protection】 \【增強型用戶端】節點上,在這個頁面中 請將【EAP 隔離強制用戶端】設定為【已 啟用】。

制台】中開啟【網路連線】,然後針對區 域連線項目連續點兩下開啟【區域連線內 容】,在此請確認【啟用 IEEE802.1x 驗證】 項目已經勾選,並且在選擇網路驗證方法下 拉選單中選取【Microsoft Protected EAP (PEAP)】設定,然後點選【設定】按鈕 繼續。 接下來在【受保護的 EAP 內容】頁 面中,請將【確認伺服器憑證】選項勾選, 然後將位在【受信任的根憑證授權單位】 中的公司憑證勾選,並且將下方的【啟用 隔離檢查】設定勾選,以及確認在【選擇 驗證方法】的下拉選單選取了【Secured password(EAP-MSCHAP v2)】。

【Down】以及 VLANs 目前是標記為 1 (預設的 VLAN)。 接著當筆者將這一部 NAP 的用戶端 網路線連接至 Gi0/19 的連接埠之後,如< 0043 所示請注意!作業模式(Operational Mode) 狀 態 已 經 自 動 變 更 為【Static Access】,並且 VLANs 的編號也自動變 更為 2。還記得 VLAN2 我們是用來做甚 麼的嗎?答對了!就是用來隔離不符合的 NAP 用戶端的,然而為什麼筆者的 NAP 用戶端電腦會被隔離呢?其實就是筆者沒有 將 Windows 防火牆啟用啦。如果你將它 啟用成合法的 NAP 用戶端狀態,那麼你將 會發現不到 5 秒之內就會它將自動被丟到 合法網段的 VLAN3 中了。

啟用 EAP 隔離強制用戶端。 接 下 來 請 展 開 至【 電 腦 設 定 】\【 原 則】\【Windows 設定】\【安全性設定】 \【系統服務】節點上,然後如下圖所示分 別針對【Wired AutoConfig】與【Network Access Protection Agent】兩個服務設定 為【自動】即可。

遭隔離至 VLAN2 的連接埠。 設定 Wired AutoConfig 服務組態。 接下來請切換到【系統管理範本】\【資 訊安全中心】節點上,針對唯一的【開啟 資訊安全中心】項目設定為【啟用】即可。

評:最符合企業需求的規劃方式 受保護的 EAP 內容設定。

實測 NAP 整合 802.1x Switch

啟用資訊安全中心。

終於完成了從 NAP 用戶端、Cisco 網路設備到 Windows Server 2008 網路 原則伺服端的設定。接下來就讓我們來實 際測試一下它整體的運作結果。首先請開 啟【Cisco Network Assistant】管理工具, 然後開啟目前 VLANs 的配置狀態表,在 此筆者以 Gi0/19 為例子,請注意!在筆 者把 NAP 用戶端的網路線連接上去之前, 它 的 作 業 模 式(Operational Mode) 為

有關於 802.1x 的 NAP 部署是所有 NAP 支援架構中最複雜的一關,不過那 也只設定的步驟多了一些罷了,要說它很 複雜其實也還不至於,不過無論如何它卻 也是實務應用中最直接符合企業需求的規 劃方式,但是相對在部署規劃中可能要付 出的成本也是最高的,因為無論是有線的 網路還是無線的區域網路,都得換成支援 802.1x 的設備才行。

完成了 NAP 用戶端的群組原則套用 設定之後,接下來請來到用戶端電腦的【控

區域連線驗證設定。

32

29-32.indd 32

未連接的動態 VLAN 狀態。

J

19/9/2002 11:19:48


商業及科技月刊《BQJournal 商智謀略》將再於 2011 年 12 月號推出「最佳 IT 超 級品牌 2011」《IT Super Brand Award 2011》大選,編輯部現正徵求各 IT 廠 商及代理提名參賽,歡迎與我們聯絡。

BQJournal 商智謀略雜誌

IT 超級品牌獎 2011

報名表

資料提供 參選公司請詳盡提供下列資料給編輯部作為評選之用:(總字數不多於 5,000 字,如有需要,請以附件提供額外說明。)

( 總字數不多於 5,000 字,如有需要,請以附件提供額外說明。) 1

參選公司名稱:

2

參選公司聯絡人:

聯絡方式 Email:

電話: 3

參選產品或服務名稱:

4

貴公司的業務範疇針對哪一個方案市場?

5

過去一年,貴公司在品牌建設有哪些具體的成就及對業績帶來多大的幫助?

6

貴公司如何推動創新品牌形像?

7

貴公司如何提升消費者對貴公司的品牌認知?

評審標準 BQJournal 將按以下評審標準選出優勝作品: 品牌認知率 2 市場推廣成效 3 業務表現 4 品牌價值及創新力 1

如果您認為貴公司的 IT 企業品牌深受市場認可,歡迎與我們聯絡,參與今次的「最佳 IT 超級品牌獎 2011」《IT Super Brand Award 2011》大選,獲 選者將可以向業界宣告你們努力的成就,增強企業品牌的知名度,BQJournal 更會向全港傳媒頒布結果。 提名截止日期:2011 年 11 月 31 日 參選廠商請將資料電郵至:editorial@bqjournal.com 查詢電話:(852) 2527 2878

mkt.indd 1

13/8/2002 11:56:42


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.