http://www.hackbase.com
全球最大的黑客門戶網站
2007年6月30日 星期六
[實作] 解決svchost狂吃CPU資源
[實作] 解決svchost狂吃CPU資源
發現是svchost.exe在作祟,正常開機操作使用情況下,開機後每隔一小段時間就跳出來狂吃CPU資源,風扇聲大作而執行中的應用軟體則龜速進展。每次svchost發作,吃個70%~80%是很稀鬆平常的事,有時過份起來甚至可以吃到97%以上,甚至滿百,幾乎是瀕臨當機無法做正事。
由於XP內建的工作管理員所提供的效能資訊極有限,所以到微軟官網下載了Process Explorer for Windows v10.21來檢查svchost.exe到底都在忙什麼。下載解壓並執行Process Explorer之後,視窗上可一目瞭然發現原來是Windwos Update讓它忙得不可開交,每隔一段時間就Automatic Updates來狂吃CPU資源。
這種現象當然不是XP正常運作時會出現的,所以需要動點手腳幫已經後天失調的相關設定重新調校一下,步驟分為三大項整理如下:
(一)確認兩項系統服務。 (1)Automatic Updates
依序選取左下的「開始」->「執行」,輸入「services.msc」並按「確定」。(這個步驟主要是叫出服務視窗)
找到「Automatic Updates」這項服務,連點二下滑鼠左鍵開啟內容設定。
點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Automatic Updates」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(2)Background Intelligent Transfer Service (BITS)
在相同服務視窗找到「Background Intelligent Transfer Service」這項服務,連點二下滑鼠左鍵開啟內容設定。
點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Background Intelligent Transfer Service」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(二)修復 Windwos Update 執行元件。
依序選取左下的「開始」->「執行」,輸入「REGSVR32 WUAPI.DLL」並按「確定」。接著視窗會跳出「DllRegisterServer 在 WUAPI.DLL 成功」的訊息,按「確定」完成動作並關閉視窗。接著,依照上述步驟逐一執行以下Windwos Update 元件:
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL
(三)清除舊有 Windows Update 暫存目錄。
依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
在命令提示視窗裡的命令提示字元右方輸入指令「net stop WuAuServ」暫停Automatic Updates服務。
依序選取左下的「開始」->「執行」,輸入「%windir%」並按「確定」以開啟系統資料夾。
在系統資料夾裡找到「SoftwareDistribution」這個目錄,並且把它更名為「SDbak」。
依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
在命令提示視窗裡的命令提示字元右方輸入指令「net start WuAuServ」重新啟動Automatic Updates服務。
這樣整理後,svchost.exe就沒再出來亂了
發現是svchost.exe在作祟,正常開機操作使用情況下,開機後每隔一小段時間就跳出來狂吃CPU資源,風扇聲大作而執行中的應用軟體則龜速進展。每次svchost發作,吃個70%~80%是很稀鬆平常的事,有時過份起來甚至可以吃到97%以上,甚至滿百,幾乎是瀕臨當機無法做正事。
由於XP內建的工作管理員所提供的效能資訊極有限,所以到微軟官網下載了Process Explorer for Windows v10.21來檢查svchost.exe到底都在忙什麼。下載解壓並執行Process Explorer之後,視窗上可一目瞭然發現原來是Windwos Update讓它忙得不可開交,每隔一段時間就Automatic Updates來狂吃CPU資源。
這種現象當然不是XP正常運作時會出現的,所以需要動點手腳幫已經後天失調的相關設定重新調校一下,步驟分為三大項整理如下:
(一)確認兩項系統服務。 (1)Automatic Updates
依序選取左下的「開始」->「執行」,輸入「services.msc」並按「確定」。(這個步驟主要是叫出服務視窗)
找到「Automatic Updates」這項服務,連點二下滑鼠左鍵開啟內容設定。
點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Automatic Updates」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(2)Background Intelligent Transfer Service (BITS)
在相同服務視窗找到「Background Intelligent Transfer Service」這項服務,連點二下滑鼠左鍵開啟內容設定。
點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Background Intelligent Transfer Service」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(二)修復 Windwos Update 執行元件。
依序選取左下的「開始」->「執行」,輸入「REGSVR32 WUAPI.DLL」並按「確定」。接著視窗會跳出「DllRegisterServer 在 WUAPI.DLL 成功」的訊息,按「確定」完成動作並關閉視窗。接著,依照上述步驟逐一執行以下Windwos Update 元件:
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL
(三)清除舊有 Windows Update 暫存目錄。
依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
在命令提示視窗裡的命令提示字元右方輸入指令「net stop WuAuServ」暫停Automatic Updates服務。
依序選取左下的「開始」->「執行」,輸入「%windir%」並按「確定」以開啟系統資料夾。
在系統資料夾裡找到「SoftwareDistribution」這個目錄,並且把它更名為「SDbak」。
依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
在命令提示視窗裡的命令提示字元右方輸入指令「net start WuAuServ」重新啟動Automatic Updates服務。
這樣整理後,svchost.exe就沒再出來亂了
2007年6月27日 星期三
exchange 2003 上面是否有在郵件中加入廣告簽名檔的功能
PS. 類似從yahoo寄出的信中都會有 "Yahoo!奇摩電子信箱 免費容量250MB,信件在多也不怕。更多說明 "
參考看看 http://support.microsoft.com/default.aspx?kbid=317680
參考看看 http://support.microsoft.com/default.aspx?kbid=317680
2007年5月23日 星期三
2007年1月28日 星期日
韓國資安市場概況-全方位資安服務將成主流
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=820
近一、兩年來,資安相關的軟硬體系統市場有逐漸擴大的趨勢。連續發生的資安事件,讓資安的重要性、資安相關軟硬體以及資安服務都受到高度重視;也因為資安市場的需求擴大,韓國國內跟資安市場相關的人力也開始面臨短缺的情況。而資安服務的內容,也由過去單純的防毒、備份以及資料回復系統,擴大到如何讓企業以及企業經營不間斷,尤其是IT服務不被資安事件影響而能夠繼續運作。
資安服務主要是由包括資安系統軟體、資安系統硬體、備份回復系統以及與上述項目相關的支援設備建構而成。自從911事件發生對金融資安產生重大影響後,資安的重要性以及資安顧問的服務更顯重要。隨著資安市場日趨成熟,跟資安相關的軟硬體系統以及服務架構也正逐漸面臨轉換。除了備份、防毒、以及災害復原之外,如何讓企業在受到資安事件威脅時還能正常運作以減少損失,以及相關的專業人力也成為資安產業中被重視的議題。而這個趨勢也讓韓國資安市場開始朝向整合所有的資安系統服務,並使得整個資安產業的規模以及架構朝向資安顧問服務的領域前進,而IDC也預測資安顧問服務的比重將會逐年增加。
然而事實上,資安服務的內容越來越多樣化,也是導致資安服務規模越來越大的主因,因而反映在資安市場的營收規模上。先進的網際網路、以及企業跟網際網路越來越緊密的互存關係迫使企業必須更加重視資安,企業必須讓本身的IT環境足以抵擋可能發生的資安事件。隨著因網際網路的流通所遭到的入侵以及攻擊事件的愈趨頻繁,也讓企業必須在包括資安軟硬體設備更上一層樓,以確保在資安事件發生時企業可以按照事先計畫的資安流程,讓企業繼續作業。
在韓國, 除了政府單位以及ASP/ISP特別重視且較積極的投資相關設備之外,一般企業,尤其是金融業,也相當注重資安的維護。2001年10月, 金融監督院開始大力倡導,希望國內金融業可以成立災害回復系統;而2004年,韓國國內金融業便陸續開始導入災害回復系統。到2005年為止,韓國有90%以上的金融業已導入災害回復系統。同時,韓國金流網也成立了「資安非常應變計畫」,導入了資安防範以及資安事件應付方案。而從2005年開始,韓國國內銀行以及韓國國內各國際交付銀行(BIS)也開始針對可能發生的資安風險作長期分析以及長期監控,訂定並開始執行資安災害防治以及災害回復流程。
除了希望金融業者能夠更加重視資安的問題外,從2004年9月開始,韓國情報通信部也開始把原來是套用在ASP、ISP、IDC (Internet Data Center),以及大型網站跟電子賣場的資安防範標準,用在一般的企業上。韓國國內整體資安市場的規模也從同時期開始逐漸擴大,並朝向資安軟硬體設備、資安顧問,以及整體資安管理整合的方向邁進。
目前整體資安市場最新的動向
資安市場的內容擴大:由於駭客以及病毒入侵的速度越來越快,網際網路資安事件也越來越頻繁,因此企業不只需要一般的防毒或備份軟硬體設備,更需要全面性資安架構的設置以及全方位的資安顧問服務(包括資安相關顧問服務、資安診斷、資安政策以及資安總體解決方案)。而在過去,由於一般企業礙於人力資源的關係,無法自行解決資安相關問題, 因此資安是單純的用資安產品來作遠端的管理及維護服務。而隨著資安事件的頻繁,對於資安服務內容的需求也越來越多樣化,提供全方位資安顧問服務的廠商也因此越來越多。
這些專門作資安顧問服務的廠商標榜的是資安維護技術的精進,不只是提供遠距離的資安維護以及顧問服務,實際派遣人力的比例也越來越高。隨著服務內容的豐富及規模的擴大,資安顧問服務公司本身的規模也越來越大。許多大型的資安顧問服務公司正逐漸形成。
隨著實際派遣資安人員到現場服務的趨勢越來越多,資安顧問服務內容的架構也在調整中:資安顧問服務市場中,應用服務(application services) 佔所有服務比例也有越來越高的趨勢,而這個調整也影響了提供相關設備的廠商,使得原本較重視資安軟體開發的廠商開始注重軟體的應用。
韓國國內IT服務企業
而目前韓國提供資安服務的廠商,以備份為中心概念的企業有三星、SDS、LGCNS、SKC & C等,而企業業務不中斷概念的規模也因這些企業的加入而變得更完整。雖然資安服務也個別提供防毒、病毒偵測、儲存、以及伺服器跟資料中心的服務,但是由於這些小型的資安服務個體戶在管理服務部分的經驗不夠,因此也有被大型企業併購的趨勢。除此之外,越來越多的大型資安公司與個體戶,也開始就各自專長的部份,針對資安顧問以及資安專案作協力合作。因此國內資安市場的委外(outsourcing)比重也越來越重。
而在市場未來展望方面,韓國國內資安市場因為資安概念已逐漸成熟,且相關建置也逐漸成形,各個領域對於資安的投資也都大同小異,主要的差別只在於每個企業的IT環境不同,因此預測將不會有太突破性的成長。而資安市場也將從單純的單點產品發展為綜合性的Total solution為導向的市場。因此,資安廠商也必須強化綜合性顧問服務的能力,和如何更有效率地利用資安產品。而資安市場,因產品核心價值已經達成,IDC也預測產品差異化的程度有限;因此,未來主要差異化將落在產品使用便利性及產品價格。
另外,由於服務大型企業的市場已近飽和,因此中小企業以及線上商店的市場將比較有開發性。最新的新興市場則包括醫院、教育、網站、線上購物等,其中線上商店跟IDC(Internet Data Center)資料中心合作也逐漸形成,未來,大型資安服務企業跟小型資安服務個體戶的分工合作的關係也將越來越緊密。
本文作者目前任職於IDC分析師/軟體市場研究
近一、兩年來,資安相關的軟硬體系統市場有逐漸擴大的趨勢。連續發生的資安事件,讓資安的重要性、資安相關軟硬體以及資安服務都受到高度重視;也因為資安市場的需求擴大,韓國國內跟資安市場相關的人力也開始面臨短缺的情況。而資安服務的內容,也由過去單純的防毒、備份以及資料回復系統,擴大到如何讓企業以及企業經營不間斷,尤其是IT服務不被資安事件影響而能夠繼續運作。
資安服務主要是由包括資安系統軟體、資安系統硬體、備份回復系統以及與上述項目相關的支援設備建構而成。自從911事件發生對金融資安產生重大影響後,資安的重要性以及資安顧問的服務更顯重要。隨著資安市場日趨成熟,跟資安相關的軟硬體系統以及服務架構也正逐漸面臨轉換。除了備份、防毒、以及災害復原之外,如何讓企業在受到資安事件威脅時還能正常運作以減少損失,以及相關的專業人力也成為資安產業中被重視的議題。而這個趨勢也讓韓國資安市場開始朝向整合所有的資安系統服務,並使得整個資安產業的規模以及架構朝向資安顧問服務的領域前進,而IDC也預測資安顧問服務的比重將會逐年增加。
然而事實上,資安服務的內容越來越多樣化,也是導致資安服務規模越來越大的主因,因而反映在資安市場的營收規模上。先進的網際網路、以及企業跟網際網路越來越緊密的互存關係迫使企業必須更加重視資安,企業必須讓本身的IT環境足以抵擋可能發生的資安事件。隨著因網際網路的流通所遭到的入侵以及攻擊事件的愈趨頻繁,也讓企業必須在包括資安軟硬體設備更上一層樓,以確保在資安事件發生時企業可以按照事先計畫的資安流程,讓企業繼續作業。
在韓國, 除了政府單位以及ASP/ISP特別重視且較積極的投資相關設備之外,一般企業,尤其是金融業,也相當注重資安的維護。2001年10月, 金融監督院開始大力倡導,希望國內金融業可以成立災害回復系統;而2004年,韓國國內金融業便陸續開始導入災害回復系統。到2005年為止,韓國有90%以上的金融業已導入災害回復系統。同時,韓國金流網也成立了「資安非常應變計畫」,導入了資安防範以及資安事件應付方案。而從2005年開始,韓國國內銀行以及韓國國內各國際交付銀行(BIS)也開始針對可能發生的資安風險作長期分析以及長期監控,訂定並開始執行資安災害防治以及災害回復流程。
除了希望金融業者能夠更加重視資安的問題外,從2004年9月開始,韓國情報通信部也開始把原來是套用在ASP、ISP、IDC (Internet Data Center),以及大型網站跟電子賣場的資安防範標準,用在一般的企業上。韓國國內整體資安市場的規模也從同時期開始逐漸擴大,並朝向資安軟硬體設備、資安顧問,以及整體資安管理整合的方向邁進。
目前整體資安市場最新的動向
資安市場的內容擴大:由於駭客以及病毒入侵的速度越來越快,網際網路資安事件也越來越頻繁,因此企業不只需要一般的防毒或備份軟硬體設備,更需要全面性資安架構的設置以及全方位的資安顧問服務(包括資安相關顧問服務、資安診斷、資安政策以及資安總體解決方案)。而在過去,由於一般企業礙於人力資源的關係,無法自行解決資安相關問題, 因此資安是單純的用資安產品來作遠端的管理及維護服務。而隨著資安事件的頻繁,對於資安服務內容的需求也越來越多樣化,提供全方位資安顧問服務的廠商也因此越來越多。
這些專門作資安顧問服務的廠商標榜的是資安維護技術的精進,不只是提供遠距離的資安維護以及顧問服務,實際派遣人力的比例也越來越高。隨著服務內容的豐富及規模的擴大,資安顧問服務公司本身的規模也越來越大。許多大型的資安顧問服務公司正逐漸形成。
隨著實際派遣資安人員到現場服務的趨勢越來越多,資安顧問服務內容的架構也在調整中:資安顧問服務市場中,應用服務(application services) 佔所有服務比例也有越來越高的趨勢,而這個調整也影響了提供相關設備的廠商,使得原本較重視資安軟體開發的廠商開始注重軟體的應用。
韓國國內IT服務企業
而目前韓國提供資安服務的廠商,以備份為中心概念的企業有三星、SDS、LGCNS、SKC & C等,而企業業務不中斷概念的規模也因這些企業的加入而變得更完整。雖然資安服務也個別提供防毒、病毒偵測、儲存、以及伺服器跟資料中心的服務,但是由於這些小型的資安服務個體戶在管理服務部分的經驗不夠,因此也有被大型企業併購的趨勢。除此之外,越來越多的大型資安公司與個體戶,也開始就各自專長的部份,針對資安顧問以及資安專案作協力合作。因此國內資安市場的委外(outsourcing)比重也越來越重。
而在市場未來展望方面,韓國國內資安市場因為資安概念已逐漸成熟,且相關建置也逐漸成形,各個領域對於資安的投資也都大同小異,主要的差別只在於每個企業的IT環境不同,因此預測將不會有太突破性的成長。而資安市場也將從單純的單點產品發展為綜合性的Total solution為導向的市場。因此,資安廠商也必須強化綜合性顧問服務的能力,和如何更有效率地利用資安產品。而資安市場,因產品核心價值已經達成,IDC也預測產品差異化的程度有限;因此,未來主要差異化將落在產品使用便利性及產品價格。
另外,由於服務大型企業的市場已近飽和,因此中小企業以及線上商店的市場將比較有開發性。最新的新興市場則包括醫院、教育、網站、線上購物等,其中線上商店跟IDC(Internet Data Center)資料中心合作也逐漸形成,未來,大型資安服務企業跟小型資安服務個體戶的分工合作的關係也將越來越緊密。
本文作者目前任職於IDC分析師/軟體市場研究
失敗計畫,計畫失敗
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=783
若疏於規劃,意味著計畫一定失敗
自從1 9 7 5 年展開顧問事業之後,初期工作忙於挑出直接採用最新科,疏於規劃形成問題的肇因,大多是因為直接接受供應商所建議的節省成本建議與來自執行階層的不成熟想法。如今,三十年過去了,我仍然在許多注定失敗的專案中看到相同的錯誤。以下是一些範例。
對升級疏於規劃
務長提出一個專案,建議投入佈署一個新的影印、傳真與掃描技術,銷售代表宣稱升級節省公司列印上的成本達到3,800萬美元,供應商宣稱的成本架構可將目前每份影印成本4.7美分,升級後將可降低到2.8美分。可理解地,財務長相當喜歡這個提議,但是當負責資訊科技的專案經理執行成本分析之後,他的分析結果表明目前的影印成本為1.9美分,新設備所產生的成本則為3.1美分,原本想要節省數千萬美元,反而因為這個專案增加了額外的1,800萬美元成本。
專案經理也發現到新設備將造成安全上的問題,新的機器上具備可移除式硬碟機,以便維護人員可以進行公司的資料存取,公司明智地放棄了這個計畫。在專案取消之後,原有的設備供應商的合作意願明顯降低,在進行續約談判時,在以先前的價格模式為基礎下增加了600萬的價格!
對競爭過於盲目
一位電子產品製造商執行長在每月行政會議中表示,公司在轉移到網頁服務上的速度落後於主要的競爭者,在會議之後,基礎建設管理總監與網頁設計供應商的業務人員進行對話,提及競爭者計劃積極地轉移到直接線上銷售。在幾天之內,基礎建設總監、業務人員與資訊科技專案經理提出了一份網頁專案計劃給資訊長,資訊長隨後便將專案提交給財務長,財務長馬上便核可該專案,並訂下四個月的時程與450萬美元的預算。
系統在六個月後上線,並花費了620萬美元,先不管時間上的延遲與成本超支,每個人對這件事還是異常地興奮,但之後一切隨之破滅,因為主要的零售商不滿公司與他們競爭,後來問題逐漸擴大,提升到執行長的層級,執行長於是提議要將線上價格提高於零售商價格的10%,這個決議惹惱了許多的客戶。
資訊長威脅要開除已經開除專案經理的那位基礎架構總監,財務長則要開除資訊長與基礎架構總監並終止專案,這個專案對公司的淨損失超過1,600萬美元。這兩種狀況都是因為缺乏足夠的思考所致,這些公司信任供應商提供的投資回報證明,並跳過概念建構的過程,導致無法提早發現這些極易發現的問題,焦急地將一個初步的想法變為一個完整執行計畫,這個現象仍持續地在許多組織的專案之中出現。
事情改變的越多, 便須花更多的時間思考。但是就如George Santayana(西班牙哲學家)所說,「那些無法從歷史中學習的人,注定必將重蹈覆轍。」
Gopal K. Kapur是加州San Ramon專案管理中心總裁。
若疏於規劃,意味著計畫一定失敗
自從1 9 7 5 年展開顧問事業之後,初期工作忙於挑出直接採用最新科,疏於規劃形成問題的肇因,大多是因為直接接受供應商所建議的節省成本建議與來自執行階層的不成熟想法。如今,三十年過去了,我仍然在許多注定失敗的專案中看到相同的錯誤。以下是一些範例。
對升級疏於規劃
務長提出一個專案,建議投入佈署一個新的影印、傳真與掃描技術,銷售代表宣稱升級節省公司列印上的成本達到3,800萬美元,供應商宣稱的成本架構可將目前每份影印成本4.7美分,升級後將可降低到2.8美分。可理解地,財務長相當喜歡這個提議,但是當負責資訊科技的專案經理執行成本分析之後,他的分析結果表明目前的影印成本為1.9美分,新設備所產生的成本則為3.1美分,原本想要節省數千萬美元,反而因為這個專案增加了額外的1,800萬美元成本。
專案經理也發現到新設備將造成安全上的問題,新的機器上具備可移除式硬碟機,以便維護人員可以進行公司的資料存取,公司明智地放棄了這個計畫。在專案取消之後,原有的設備供應商的合作意願明顯降低,在進行續約談判時,在以先前的價格模式為基礎下增加了600萬的價格!
對競爭過於盲目
一位電子產品製造商執行長在每月行政會議中表示,公司在轉移到網頁服務上的速度落後於主要的競爭者,在會議之後,基礎建設管理總監與網頁設計供應商的業務人員進行對話,提及競爭者計劃積極地轉移到直接線上銷售。在幾天之內,基礎建設總監、業務人員與資訊科技專案經理提出了一份網頁專案計劃給資訊長,資訊長隨後便將專案提交給財務長,財務長馬上便核可該專案,並訂下四個月的時程與450萬美元的預算。
系統在六個月後上線,並花費了620萬美元,先不管時間上的延遲與成本超支,每個人對這件事還是異常地興奮,但之後一切隨之破滅,因為主要的零售商不滿公司與他們競爭,後來問題逐漸擴大,提升到執行長的層級,執行長於是提議要將線上價格提高於零售商價格的10%,這個決議惹惱了許多的客戶。
資訊長威脅要開除已經開除專案經理的那位基礎架構總監,財務長則要開除資訊長與基礎架構總監並終止專案,這個專案對公司的淨損失超過1,600萬美元。這兩種狀況都是因為缺乏足夠的思考所致,這些公司信任供應商提供的投資回報證明,並跳過概念建構的過程,導致無法提早發現這些極易發現的問題,焦急地將一個初步的想法變為一個完整執行計畫,這個現象仍持續地在許多組織的專案之中出現。
事情改變的越多, 便須花更多的時間思考。但是就如George Santayana(西班牙哲學家)所說,「那些無法從歷史中學習的人,注定必將重蹈覆轍。」
Gopal K. Kapur是加州San Ramon專案管理中心總裁。
您的資料庫是否出現裂縫?
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=818
您的公司可能未曾因為惡意的資料隱碼(SQL Injection)攻擊,而造成資料庫洩露了公司敏感資訊或顧客個人資料。然而如果資料缺乏良好的管理方式,就有可能會在資料儲存處出現和資料輸入驗證不嚴謹時一樣嚴重的安全問題。企業資訊安全長的工作就是要在企業的需求下取得資料分別被企業夥伴、供應商、顧客存取以及分享的平衡點,並且在適當的地方進行管理避免受信任的內部使用者、惡意的外部用戶、以及稽核者的誤用。現在,資料幾乎是無限量地成長並且透過網際網路和企業外部網路(extranet)等多種管道存取。而因應備份工作、高可用度以及程式開發者對於資料庫日常的複製作業也增加了管理人員的壓力。各式各樣的應用系統、企業夥伴和顧客會透過各種你可能不喜歡或者根本沒有預期到的方式來存取和儲存資料庫中的內容。總之,資料存在於各處而且必須保持這些會隨處移動的目標的安全。Oracle的資深安全主管 Wynn White說:「使用者存取的技術已經變得越來越強大以及容易取得,進而降低了管理的複雜度。」不論您的公司為了建立智慧型風險管理以及強健的資料管理,還是因為信用卡產業之資料安全標準(PCI)、沙賓法案(Sarbanes-Oxley)、健康保險流通與責任法案(HIPAA)、加州資料隱私法案(SB 1386)等法律規定才被迫進行某些資料安全機制,都可以很清楚的發現因為實行較差的資料安全所產生的後續成本會比實行嚴格控管所產生的成本還高。以下的文章將會說明我們所訪談的資深安全官、分析師、稽核師以及資料庫安全供應商在面對企業級資料庫安全挑戰時的策略,以及遵守這些策略的指引。
失敗的原因
我們所訪談的這些安全專家指出一些會造成公司資料安全風險的高度錯誤、誤解和實務運作。資料在哪裡?企業、公司常常會搞不清楚它們所有的資料都存放在哪裡,甚至只有少數的公司會根據資料對於商業行為的重要性來進行分類。公司很少或者是根本沒有使用應用系統來使用現有資料或者創造新資料,有的還會將資料存放在供公司存取的重要資料庫之外。
沒有進行中央控管和政策強制實施的大型分散式組織,它們的資料庫就很容易發生不一致性的問題。你該如何知道哪些資料應該被加密、如何去限制存取權限、或者是該監控什麼?每個企業體不再是獨立的了。
而透過公司的合併和併購更加深了這樣的問題。假設周邊環境是安全的。公司總是很容易滿足於目前已知的知識和過去曾經投入的財務和技術。防火牆和以IP為安全基礎的閘道器已經無法防止無心或者懷有惡意的內部使用將敏感資料拷貝到可攜式電腦或者可攜式儲存裝置、或者是防止沒有取得授權的惡意資料庫管理人員修改資料庫綱要(database schema)。
檔案資料保護不足。資料庫通常就是存放重要資料的地方,甚至是存放挑選過的標的物。許多公司卻常常將Excel試算表、Word文件、PDF檔案、掃描後的圖片等這些數千萬容量且沒有整理過的龐大資訊存放在檔案伺服器、備份磁帶或者舊式的大型系統上。
開發者使用實際的產品資料。怎麼會發生這樣的狀況?很可惜的許多開發者都是使用這樣的工作模式。而這樣的運作方式卻會造成敏感性資料透過非文件化、非可控制的方式被許多不需要看到這些資料的人讀取。
對複雜的網格架構束手無策。在過去的時代,資料庫是被個別的資料庫管理人員管理並獨立運作的。然而在現在,透過網格(grid)的技術,同樣的資料庫管理人員必須負責管理被許多應用系統存取的大型資料庫。透過這樣的方式可以幫助企業在商務上得到更好的效率以及支援,可是也造成使用者權限指派和權責區分 (separation of duties)的工作變得相對困難。
先考慮效能、可用性才是安全性。許多公司把安全當成是被強迫推銷的額外功能。優先考量產品功能是否符合公司的商業行為,造成實務操作上和政策規定產生差異。實際狀況是,忙碌的IT人員會因為優先權較低而傾向被指派參與後期工作。
三思而後行。公司經常只針對強化認證機制(Strong Authentication)、加解密以及桌面環境資料安全這些容易被攻擊的問題來進行管理,取代對公司重要資料的安全管理程序。這樣的運作結果導致公司必須執行一系列昂貴又花費大量資源的專案來滿足產業之資料安全標準和沙賓法案的安全規定。
成功的策略
雖然如同俗諺說的「魔鬼都在細節裡」,但是要達成有效的資料安全專案還是有些關鍵成功因素。詳細目錄、追蹤和分類資料。如果要問哪一項是公司最糟糕的作為,那麼當屬不了解資料在何處了。公司理所當然的應該清楚資料在哪裡存活、複製、及被哪個應用系統存取和修改。資料庫、記錄檔和各式的非結構化的資料都應該遵守這樣的原則。了解資料在哪裡才能進行資料分類,讓公司可以針對重要的資訊進行適當的控制。從另一方面來說,公司可以不需要浪費時間和金錢來保護那些就算在遺失或暴露的狀況下也不會對公司造成影響的資料。
「成熟的組織可以發掘出它們的資料風險」Gartner的Proctor說,「因為它們擁有良好的資料分類、清楚這些資料存放在哪裡。而且可以針對資料的控制做出優良的決策。」在進行「我們為何蒐集並儲存這份資料?」這個過程的時候,會產生資料綜合以及資料銷毀這兩個重要的副產物。資料也許會被不必要的重製或者是散亂地存放在異質的資料庫或檔案分享中。
權責區分。這對握有特殊權限的使用者是很重要的機制,尤其是像資料庫管理員這類的使用者。以往的資料庫管理人員擁有所有的權限去進行資料庫的授權管理和變更,也可以無限制的存取應用系統中的資料。然而現在已經有適當的管理機制來避免資料庫管理人員擁有過多的權限。
確保是誰對資料庫做出重大變更也是很重要的事情。應該透過不同管理人員的監控來管理並警告那些想要進行變更的使用者是否符合變更控制。
在開發階段的時候不要使用實際的產品資料。複製真實的產品資料來進行開發、修改和測試應用系統,對開發者應該是非常容易達成的。
「在理想狀況下,您應該將開發者和產品環境透過不同政策和不同基礎架構作實體分隔」,針對企業提供客戶關係管理Loyalty Lab的資訊安全長Barak Engel說。雖然可能需要花費少量的時間來產生模擬的測試資料,但是這些資料可以滿足開發者而且又可以保護敏感
資料不會被暴露在非控制的環境中。建立並實施變更控制。安全的組織不只會強制記錄哪些資料被產生、由誰產生,還會記錄是誰授權這些行為以及這些授權是如何被決策出來的。變更控制委員會負責發號施令。
安全從一開始就會被確保了,因為變更控制委員會的工作就是確保資料庫會按照規章進行變更。「如果有人針對資料庫進行了修改,他們必須建立變更控制記錄來顯示他們做了甚麼變動。如果記錄沒有被建立,就會發起調查行動。」五百大財務公司中的一位資訊安全專家說,「我們會針對重要的元件進行變更控制和變更快照。」
變更控制不能只針對資料,還必須包含資料庫綱要和資料結構。你必須能夠告訴沙賓法案的稽核師,你可以偵測並找出是否有人想不按照程序刪除資料庫中會影響財務報表的資料表。
時時監控。確保知道您的重要資料在何處,並且有清楚的政策來控制誰可以存取和變更這些資料(在特定的狀況下,例如只有星期一至五的早上九點到下午五點),以及您可以監控異常的行為。「我們總是時時監控發生了甚麼事!」Pi tney Bowes的技術和安全主管David Giambruno說。David負責組織內大約3萬台伺服器以及37,000名員工對於個人和組態變更、新資料庫架設等工作上的安全。「我們的工作就是要了解企業內正在發生甚麼事情。你如何能夠確定你在現在以及未來都是安全的?」
「注意監控者!」 Gartner的Proctor提出忠告。「監控王國中的主要成員:資料庫管理者、Windows網域的管理者,以及任何擁有特殊權限的人。」
加密。對重要資料進行加密。但是千萬不要低估了這項工作的重要性。金鑰管理是重要且困難的-在不會瓦解的狀況下替換和回收金鑰,確保正確的人可以擁有正確的金鑰,並確保金鑰不會遺失,甚至是遺失的金鑰不能再被用來存取資料。
「要求加密被破解的時間必須是花費數年的時間。」 Loyalty Lab的Engel說。「必須考量金鑰管理和發放的效率。金鑰的管理架構可能就需要花費長時間來建置。」
權責區分是另一項重要的考量。不是因為不信任資料庫管理者才進行這項機制,而是最好的實作經驗是你必須擁有兩套系統-一個提供資料的存取,另一個是由不同管理人員來提供金鑰。
最後,加密只能解決某些部分的問題。許多組織把加解密當成解決管理壓力上的權宜之計,可是這卻是一個既不簡單又複雜的權宜之計。加密只能確保外部駭客或者某個偷得可攜式電腦或者備份磁帶的人無法讀取您的資料。然而企業還是必須面對內部的威脅,而且加密無法阻止惡意的使用者進行的合法存取。
移除明顯的錯誤。注意小細節,消除最簡單以及最明顯的風險。你會驚訝的發現還是有為數不少的資料庫使用預設的管理者帳號和密碼。
「了解並管理這些簡單的目標-像是空白密碼。
如果你仔細的檢查過後,你可能會被得到的結果給嚇昏!」iambruno說。「你必須從基礎修補起,這樣才能從開始就保護資料。遵循最高的十點安全規則,您就可以取得基礎的安全能力。」
您的公司可能未曾因為惡意的資料隱碼(SQL Injection)攻擊,而造成資料庫洩露了公司敏感資訊或顧客個人資料。然而如果資料缺乏良好的管理方式,就有可能會在資料儲存處出現和資料輸入驗證不嚴謹時一樣嚴重的安全問題。企業資訊安全長的工作就是要在企業的需求下取得資料分別被企業夥伴、供應商、顧客存取以及分享的平衡點,並且在適當的地方進行管理避免受信任的內部使用者、惡意的外部用戶、以及稽核者的誤用。現在,資料幾乎是無限量地成長並且透過網際網路和企業外部網路(extranet)等多種管道存取。而因應備份工作、高可用度以及程式開發者對於資料庫日常的複製作業也增加了管理人員的壓力。各式各樣的應用系統、企業夥伴和顧客會透過各種你可能不喜歡或者根本沒有預期到的方式來存取和儲存資料庫中的內容。總之,資料存在於各處而且必須保持這些會隨處移動的目標的安全。Oracle的資深安全主管 Wynn White說:「使用者存取的技術已經變得越來越強大以及容易取得,進而降低了管理的複雜度。」不論您的公司為了建立智慧型風險管理以及強健的資料管理,還是因為信用卡產業之資料安全標準(PCI)、沙賓法案(Sarbanes-Oxley)、健康保險流通與責任法案(HIPAA)、加州資料隱私法案(SB 1386)等法律規定才被迫進行某些資料安全機制,都可以很清楚的發現因為實行較差的資料安全所產生的後續成本會比實行嚴格控管所產生的成本還高。以下的文章將會說明我們所訪談的資深安全官、分析師、稽核師以及資料庫安全供應商在面對企業級資料庫安全挑戰時的策略,以及遵守這些策略的指引。
失敗的原因
我們所訪談的這些安全專家指出一些會造成公司資料安全風險的高度錯誤、誤解和實務運作。資料在哪裡?企業、公司常常會搞不清楚它們所有的資料都存放在哪裡,甚至只有少數的公司會根據資料對於商業行為的重要性來進行分類。公司很少或者是根本沒有使用應用系統來使用現有資料或者創造新資料,有的還會將資料存放在供公司存取的重要資料庫之外。
沒有進行中央控管和政策強制實施的大型分散式組織,它們的資料庫就很容易發生不一致性的問題。你該如何知道哪些資料應該被加密、如何去限制存取權限、或者是該監控什麼?每個企業體不再是獨立的了。
而透過公司的合併和併購更加深了這樣的問題。假設周邊環境是安全的。公司總是很容易滿足於目前已知的知識和過去曾經投入的財務和技術。防火牆和以IP為安全基礎的閘道器已經無法防止無心或者懷有惡意的內部使用將敏感資料拷貝到可攜式電腦或者可攜式儲存裝置、或者是防止沒有取得授權的惡意資料庫管理人員修改資料庫綱要(database schema)。
檔案資料保護不足。資料庫通常就是存放重要資料的地方,甚至是存放挑選過的標的物。許多公司卻常常將Excel試算表、Word文件、PDF檔案、掃描後的圖片等這些數千萬容量且沒有整理過的龐大資訊存放在檔案伺服器、備份磁帶或者舊式的大型系統上。
開發者使用實際的產品資料。怎麼會發生這樣的狀況?很可惜的許多開發者都是使用這樣的工作模式。而這樣的運作方式卻會造成敏感性資料透過非文件化、非可控制的方式被許多不需要看到這些資料的人讀取。
對複雜的網格架構束手無策。在過去的時代,資料庫是被個別的資料庫管理人員管理並獨立運作的。然而在現在,透過網格(grid)的技術,同樣的資料庫管理人員必須負責管理被許多應用系統存取的大型資料庫。透過這樣的方式可以幫助企業在商務上得到更好的效率以及支援,可是也造成使用者權限指派和權責區分 (separation of duties)的工作變得相對困難。
先考慮效能、可用性才是安全性。許多公司把安全當成是被強迫推銷的額外功能。優先考量產品功能是否符合公司的商業行為,造成實務操作上和政策規定產生差異。實際狀況是,忙碌的IT人員會因為優先權較低而傾向被指派參與後期工作。
三思而後行。公司經常只針對強化認證機制(Strong Authentication)、加解密以及桌面環境資料安全這些容易被攻擊的問題來進行管理,取代對公司重要資料的安全管理程序。這樣的運作結果導致公司必須執行一系列昂貴又花費大量資源的專案來滿足產業之資料安全標準和沙賓法案的安全規定。
成功的策略
雖然如同俗諺說的「魔鬼都在細節裡」,但是要達成有效的資料安全專案還是有些關鍵成功因素。詳細目錄、追蹤和分類資料。如果要問哪一項是公司最糟糕的作為,那麼當屬不了解資料在何處了。公司理所當然的應該清楚資料在哪裡存活、複製、及被哪個應用系統存取和修改。資料庫、記錄檔和各式的非結構化的資料都應該遵守這樣的原則。了解資料在哪裡才能進行資料分類,讓公司可以針對重要的資訊進行適當的控制。從另一方面來說,公司可以不需要浪費時間和金錢來保護那些就算在遺失或暴露的狀況下也不會對公司造成影響的資料。
「成熟的組織可以發掘出它們的資料風險」Gartner的Proctor說,「因為它們擁有良好的資料分類、清楚這些資料存放在哪裡。而且可以針對資料的控制做出優良的決策。」在進行「我們為何蒐集並儲存這份資料?」這個過程的時候,會產生資料綜合以及資料銷毀這兩個重要的副產物。資料也許會被不必要的重製或者是散亂地存放在異質的資料庫或檔案分享中。
權責區分。這對握有特殊權限的使用者是很重要的機制,尤其是像資料庫管理員這類的使用者。以往的資料庫管理人員擁有所有的權限去進行資料庫的授權管理和變更,也可以無限制的存取應用系統中的資料。然而現在已經有適當的管理機制來避免資料庫管理人員擁有過多的權限。
確保是誰對資料庫做出重大變更也是很重要的事情。應該透過不同管理人員的監控來管理並警告那些想要進行變更的使用者是否符合變更控制。
在開發階段的時候不要使用實際的產品資料。複製真實的產品資料來進行開發、修改和測試應用系統,對開發者應該是非常容易達成的。
「在理想狀況下,您應該將開發者和產品環境透過不同政策和不同基礎架構作實體分隔」,針對企業提供客戶關係管理Loyalty Lab的資訊安全長Barak Engel說。雖然可能需要花費少量的時間來產生模擬的測試資料,但是這些資料可以滿足開發者而且又可以保護敏感
資料不會被暴露在非控制的環境中。建立並實施變更控制。安全的組織不只會強制記錄哪些資料被產生、由誰產生,還會記錄是誰授權這些行為以及這些授權是如何被決策出來的。變更控制委員會負責發號施令。
安全從一開始就會被確保了,因為變更控制委員會的工作就是確保資料庫會按照規章進行變更。「如果有人針對資料庫進行了修改,他們必須建立變更控制記錄來顯示他們做了甚麼變動。如果記錄沒有被建立,就會發起調查行動。」五百大財務公司中的一位資訊安全專家說,「我們會針對重要的元件進行變更控制和變更快照。」
變更控制不能只針對資料,還必須包含資料庫綱要和資料結構。你必須能夠告訴沙賓法案的稽核師,你可以偵測並找出是否有人想不按照程序刪除資料庫中會影響財務報表的資料表。
時時監控。確保知道您的重要資料在何處,並且有清楚的政策來控制誰可以存取和變更這些資料(在特定的狀況下,例如只有星期一至五的早上九點到下午五點),以及您可以監控異常的行為。「我們總是時時監控發生了甚麼事!」Pi tney Bowes的技術和安全主管David Giambruno說。David負責組織內大約3萬台伺服器以及37,000名員工對於個人和組態變更、新資料庫架設等工作上的安全。「我們的工作就是要了解企業內正在發生甚麼事情。你如何能夠確定你在現在以及未來都是安全的?」
「注意監控者!」 Gartner的Proctor提出忠告。「監控王國中的主要成員:資料庫管理者、Windows網域的管理者,以及任何擁有特殊權限的人。」
加密。對重要資料進行加密。但是千萬不要低估了這項工作的重要性。金鑰管理是重要且困難的-在不會瓦解的狀況下替換和回收金鑰,確保正確的人可以擁有正確的金鑰,並確保金鑰不會遺失,甚至是遺失的金鑰不能再被用來存取資料。
「要求加密被破解的時間必須是花費數年的時間。」 Loyalty Lab的Engel說。「必須考量金鑰管理和發放的效率。金鑰的管理架構可能就需要花費長時間來建置。」
權責區分是另一項重要的考量。不是因為不信任資料庫管理者才進行這項機制,而是最好的實作經驗是你必須擁有兩套系統-一個提供資料的存取,另一個是由不同管理人員來提供金鑰。
最後,加密只能解決某些部分的問題。許多組織把加解密當成解決管理壓力上的權宜之計,可是這卻是一個既不簡單又複雜的權宜之計。加密只能確保外部駭客或者某個偷得可攜式電腦或者備份磁帶的人無法讀取您的資料。然而企業還是必須面對內部的威脅,而且加密無法阻止惡意的使用者進行的合法存取。
移除明顯的錯誤。注意小細節,消除最簡單以及最明顯的風險。你會驚訝的發現還是有為數不少的資料庫使用預設的管理者帳號和密碼。
「了解並管理這些簡單的目標-像是空白密碼。
如果你仔細的檢查過後,你可能會被得到的結果給嚇昏!」iambruno說。「你必須從基礎修補起,這樣才能從開始就保護資料。遵循最高的十點安全規則,您就可以取得基礎的安全能力。」
訂閱:
文章 (Atom)