[實作] 解決svchost狂吃CPU資源
發現是svchost.exe在作祟,正常開機操作使用情況下,開機後每隔一小段時間就跳出來狂吃CPU資源,風扇聲大作而執行中的應用軟體則龜速進展。每次svchost發作,吃個70%~80%是很稀鬆平常的事,有時過份起來甚至可以吃到97%以上,甚至滿百,幾乎是瀕臨當機無法做正事。
由於XP內建的工作管理員所提供的效能資訊極有限,所以到微軟官網下載了Process Explorer for Windows v10.21來檢查svchost.exe到底都在忙什麼。下載解壓並執行Process Explorer之後,視窗上可一目瞭然發現原來是Windwos Update讓它忙得不可開交,每隔一段時間就Automatic Updates來狂吃CPU資源。
這種現象當然不是XP正常運作時會出現的,所以需要動點手腳幫已經後天失調的相關設定重新調校一下,步驟分為三大項整理如下:
(一)確認兩項系統服務。 (1)Automatic Updates
依序選取左下的「開始」->「執行」,輸入「services.msc」並按「確定」。(這個步驟主要是叫出服務視窗)
找到「Automatic Updates」這項服務,連點二下滑鼠左鍵開啟內容設定。
點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Automatic Updates」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(2)Background Intelligent Transfer Service (BITS)
在相同服務視窗找到「Background Intelligent Transfer Service」這項服務,連點二下滑鼠左鍵開啟內容設定。
點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Background Intelligent Transfer Service」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(二)修復 Windwos Update 執行元件。
依序選取左下的「開始」->「執行」,輸入「REGSVR32 WUAPI.DLL」並按「確定」。接著視窗會跳出「DllRegisterServer 在 WUAPI.DLL 成功」的訊息,按「確定」完成動作並關閉視窗。接著,依照上述步驟逐一執行以下Windwos Update 元件:
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL
(三)清除舊有 Windows Update 暫存目錄。
依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
在命令提示視窗裡的命令提示字元右方輸入指令「net stop WuAuServ」暫停Automatic Updates服務。
依序選取左下的「開始」->「執行」,輸入「%windir%」並按「確定」以開啟系統資料夾。
在系統資料夾裡找到「SoftwareDistribution」這個目錄,並且把它更名為「SDbak」。
依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
在命令提示視窗裡的命令提示字元右方輸入指令「net start WuAuServ」重新啟動Automatic Updates服務。
這樣整理後,svchost.exe就沒再出來亂了
2007年6月30日 星期六
2007年6月27日 星期三
exchange 2003 上面是否有在郵件中加入廣告簽名檔的功能
PS. 類似從yahoo寄出的信中都會有 "Yahoo!奇摩電子信箱 免費容量250MB,信件在多也不怕。更多說明 "
參考看看 http://support.microsoft.com/default.aspx?kbid=317680
參考看看 http://support.microsoft.com/default.aspx?kbid=317680
2007年5月23日 星期三
2007年1月28日 星期日
韓國資安市場概況-全方位資安服務將成主流
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=820
近一、兩年來,資安相關的軟硬體系統市場有逐漸擴大的趨勢。連續發生的資安事件,讓資安的重要性、資安相關軟硬體以及資安服務都受到高度重視;也因為資安市場的需求擴大,韓國國內跟資安市場相關的人力也開始面臨短缺的情況。而資安服務的內容,也由過去單純的防毒、備份以及資料回復系統,擴大到如何讓企業以及企業經營不間斷,尤其是IT服務不被資安事件影響而能夠繼續運作。
資安服務主要是由包括資安系統軟體、資安系統硬體、備份回復系統以及與上述項目相關的支援設備建構而成。自從911事件發生對金融資安產生重大影響後,資安的重要性以及資安顧問的服務更顯重要。隨著資安市場日趨成熟,跟資安相關的軟硬體系統以及服務架構也正逐漸面臨轉換。除了備份、防毒、以及災害復原之外,如何讓企業在受到資安事件威脅時還能正常運作以減少損失,以及相關的專業人力也成為資安產業中被重視的議題。而這個趨勢也讓韓國資安市場開始朝向整合所有的資安系統服務,並使得整個資安產業的規模以及架構朝向資安顧問服務的領域前進,而IDC也預測資安顧問服務的比重將會逐年增加。
然而事實上,資安服務的內容越來越多樣化,也是導致資安服務規模越來越大的主因,因而反映在資安市場的營收規模上。先進的網際網路、以及企業跟網際網路越來越緊密的互存關係迫使企業必須更加重視資安,企業必須讓本身的IT環境足以抵擋可能發生的資安事件。隨著因網際網路的流通所遭到的入侵以及攻擊事件的愈趨頻繁,也讓企業必須在包括資安軟硬體設備更上一層樓,以確保在資安事件發生時企業可以按照事先計畫的資安流程,讓企業繼續作業。
在韓國, 除了政府單位以及ASP/ISP特別重視且較積極的投資相關設備之外,一般企業,尤其是金融業,也相當注重資安的維護。2001年10月, 金融監督院開始大力倡導,希望國內金融業可以成立災害回復系統;而2004年,韓國國內金融業便陸續開始導入災害回復系統。到2005年為止,韓國有90%以上的金融業已導入災害回復系統。同時,韓國金流網也成立了「資安非常應變計畫」,導入了資安防範以及資安事件應付方案。而從2005年開始,韓國國內銀行以及韓國國內各國際交付銀行(BIS)也開始針對可能發生的資安風險作長期分析以及長期監控,訂定並開始執行資安災害防治以及災害回復流程。
除了希望金融業者能夠更加重視資安的問題外,從2004年9月開始,韓國情報通信部也開始把原來是套用在ASP、ISP、IDC (Internet Data Center),以及大型網站跟電子賣場的資安防範標準,用在一般的企業上。韓國國內整體資安市場的規模也從同時期開始逐漸擴大,並朝向資安軟硬體設備、資安顧問,以及整體資安管理整合的方向邁進。
目前整體資安市場最新的動向
資安市場的內容擴大:由於駭客以及病毒入侵的速度越來越快,網際網路資安事件也越來越頻繁,因此企業不只需要一般的防毒或備份軟硬體設備,更需要全面性資安架構的設置以及全方位的資安顧問服務(包括資安相關顧問服務、資安診斷、資安政策以及資安總體解決方案)。而在過去,由於一般企業礙於人力資源的關係,無法自行解決資安相關問題, 因此資安是單純的用資安產品來作遠端的管理及維護服務。而隨著資安事件的頻繁,對於資安服務內容的需求也越來越多樣化,提供全方位資安顧問服務的廠商也因此越來越多。
這些專門作資安顧問服務的廠商標榜的是資安維護技術的精進,不只是提供遠距離的資安維護以及顧問服務,實際派遣人力的比例也越來越高。隨著服務內容的豐富及規模的擴大,資安顧問服務公司本身的規模也越來越大。許多大型的資安顧問服務公司正逐漸形成。
隨著實際派遣資安人員到現場服務的趨勢越來越多,資安顧問服務內容的架構也在調整中:資安顧問服務市場中,應用服務(application services) 佔所有服務比例也有越來越高的趨勢,而這個調整也影響了提供相關設備的廠商,使得原本較重視資安軟體開發的廠商開始注重軟體的應用。
韓國國內IT服務企業
而目前韓國提供資安服務的廠商,以備份為中心概念的企業有三星、SDS、LGCNS、SKC & C等,而企業業務不中斷概念的規模也因這些企業的加入而變得更完整。雖然資安服務也個別提供防毒、病毒偵測、儲存、以及伺服器跟資料中心的服務,但是由於這些小型的資安服務個體戶在管理服務部分的經驗不夠,因此也有被大型企業併購的趨勢。除此之外,越來越多的大型資安公司與個體戶,也開始就各自專長的部份,針對資安顧問以及資安專案作協力合作。因此國內資安市場的委外(outsourcing)比重也越來越重。
而在市場未來展望方面,韓國國內資安市場因為資安概念已逐漸成熟,且相關建置也逐漸成形,各個領域對於資安的投資也都大同小異,主要的差別只在於每個企業的IT環境不同,因此預測將不會有太突破性的成長。而資安市場也將從單純的單點產品發展為綜合性的Total solution為導向的市場。因此,資安廠商也必須強化綜合性顧問服務的能力,和如何更有效率地利用資安產品。而資安市場,因產品核心價值已經達成,IDC也預測產品差異化的程度有限;因此,未來主要差異化將落在產品使用便利性及產品價格。
另外,由於服務大型企業的市場已近飽和,因此中小企業以及線上商店的市場將比較有開發性。最新的新興市場則包括醫院、教育、網站、線上購物等,其中線上商店跟IDC(Internet Data Center)資料中心合作也逐漸形成,未來,大型資安服務企業跟小型資安服務個體戶的分工合作的關係也將越來越緊密。
本文作者目前任職於IDC分析師/軟體市場研究
近一、兩年來,資安相關的軟硬體系統市場有逐漸擴大的趨勢。連續發生的資安事件,讓資安的重要性、資安相關軟硬體以及資安服務都受到高度重視;也因為資安市場的需求擴大,韓國國內跟資安市場相關的人力也開始面臨短缺的情況。而資安服務的內容,也由過去單純的防毒、備份以及資料回復系統,擴大到如何讓企業以及企業經營不間斷,尤其是IT服務不被資安事件影響而能夠繼續運作。
資安服務主要是由包括資安系統軟體、資安系統硬體、備份回復系統以及與上述項目相關的支援設備建構而成。自從911事件發生對金融資安產生重大影響後,資安的重要性以及資安顧問的服務更顯重要。隨著資安市場日趨成熟,跟資安相關的軟硬體系統以及服務架構也正逐漸面臨轉換。除了備份、防毒、以及災害復原之外,如何讓企業在受到資安事件威脅時還能正常運作以減少損失,以及相關的專業人力也成為資安產業中被重視的議題。而這個趨勢也讓韓國資安市場開始朝向整合所有的資安系統服務,並使得整個資安產業的規模以及架構朝向資安顧問服務的領域前進,而IDC也預測資安顧問服務的比重將會逐年增加。
然而事實上,資安服務的內容越來越多樣化,也是導致資安服務規模越來越大的主因,因而反映在資安市場的營收規模上。先進的網際網路、以及企業跟網際網路越來越緊密的互存關係迫使企業必須更加重視資安,企業必須讓本身的IT環境足以抵擋可能發生的資安事件。隨著因網際網路的流通所遭到的入侵以及攻擊事件的愈趨頻繁,也讓企業必須在包括資安軟硬體設備更上一層樓,以確保在資安事件發生時企業可以按照事先計畫的資安流程,讓企業繼續作業。
在韓國, 除了政府單位以及ASP/ISP特別重視且較積極的投資相關設備之外,一般企業,尤其是金融業,也相當注重資安的維護。2001年10月, 金融監督院開始大力倡導,希望國內金融業可以成立災害回復系統;而2004年,韓國國內金融業便陸續開始導入災害回復系統。到2005年為止,韓國有90%以上的金融業已導入災害回復系統。同時,韓國金流網也成立了「資安非常應變計畫」,導入了資安防範以及資安事件應付方案。而從2005年開始,韓國國內銀行以及韓國國內各國際交付銀行(BIS)也開始針對可能發生的資安風險作長期分析以及長期監控,訂定並開始執行資安災害防治以及災害回復流程。
除了希望金融業者能夠更加重視資安的問題外,從2004年9月開始,韓國情報通信部也開始把原來是套用在ASP、ISP、IDC (Internet Data Center),以及大型網站跟電子賣場的資安防範標準,用在一般的企業上。韓國國內整體資安市場的規模也從同時期開始逐漸擴大,並朝向資安軟硬體設備、資安顧問,以及整體資安管理整合的方向邁進。
目前整體資安市場最新的動向
資安市場的內容擴大:由於駭客以及病毒入侵的速度越來越快,網際網路資安事件也越來越頻繁,因此企業不只需要一般的防毒或備份軟硬體設備,更需要全面性資安架構的設置以及全方位的資安顧問服務(包括資安相關顧問服務、資安診斷、資安政策以及資安總體解決方案)。而在過去,由於一般企業礙於人力資源的關係,無法自行解決資安相關問題, 因此資安是單純的用資安產品來作遠端的管理及維護服務。而隨著資安事件的頻繁,對於資安服務內容的需求也越來越多樣化,提供全方位資安顧問服務的廠商也因此越來越多。
這些專門作資安顧問服務的廠商標榜的是資安維護技術的精進,不只是提供遠距離的資安維護以及顧問服務,實際派遣人力的比例也越來越高。隨著服務內容的豐富及規模的擴大,資安顧問服務公司本身的規模也越來越大。許多大型的資安顧問服務公司正逐漸形成。
隨著實際派遣資安人員到現場服務的趨勢越來越多,資安顧問服務內容的架構也在調整中:資安顧問服務市場中,應用服務(application services) 佔所有服務比例也有越來越高的趨勢,而這個調整也影響了提供相關設備的廠商,使得原本較重視資安軟體開發的廠商開始注重軟體的應用。
韓國國內IT服務企業
而目前韓國提供資安服務的廠商,以備份為中心概念的企業有三星、SDS、LGCNS、SKC & C等,而企業業務不中斷概念的規模也因這些企業的加入而變得更完整。雖然資安服務也個別提供防毒、病毒偵測、儲存、以及伺服器跟資料中心的服務,但是由於這些小型的資安服務個體戶在管理服務部分的經驗不夠,因此也有被大型企業併購的趨勢。除此之外,越來越多的大型資安公司與個體戶,也開始就各自專長的部份,針對資安顧問以及資安專案作協力合作。因此國內資安市場的委外(outsourcing)比重也越來越重。
而在市場未來展望方面,韓國國內資安市場因為資安概念已逐漸成熟,且相關建置也逐漸成形,各個領域對於資安的投資也都大同小異,主要的差別只在於每個企業的IT環境不同,因此預測將不會有太突破性的成長。而資安市場也將從單純的單點產品發展為綜合性的Total solution為導向的市場。因此,資安廠商也必須強化綜合性顧問服務的能力,和如何更有效率地利用資安產品。而資安市場,因產品核心價值已經達成,IDC也預測產品差異化的程度有限;因此,未來主要差異化將落在產品使用便利性及產品價格。
另外,由於服務大型企業的市場已近飽和,因此中小企業以及線上商店的市場將比較有開發性。最新的新興市場則包括醫院、教育、網站、線上購物等,其中線上商店跟IDC(Internet Data Center)資料中心合作也逐漸形成,未來,大型資安服務企業跟小型資安服務個體戶的分工合作的關係也將越來越緊密。
本文作者目前任職於IDC分析師/軟體市場研究
失敗計畫,計畫失敗
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=783
若疏於規劃,意味著計畫一定失敗
自從1 9 7 5 年展開顧問事業之後,初期工作忙於挑出直接採用最新科,疏於規劃形成問題的肇因,大多是因為直接接受供應商所建議的節省成本建議與來自執行階層的不成熟想法。如今,三十年過去了,我仍然在許多注定失敗的專案中看到相同的錯誤。以下是一些範例。
對升級疏於規劃
務長提出一個專案,建議投入佈署一個新的影印、傳真與掃描技術,銷售代表宣稱升級節省公司列印上的成本達到3,800萬美元,供應商宣稱的成本架構可將目前每份影印成本4.7美分,升級後將可降低到2.8美分。可理解地,財務長相當喜歡這個提議,但是當負責資訊科技的專案經理執行成本分析之後,他的分析結果表明目前的影印成本為1.9美分,新設備所產生的成本則為3.1美分,原本想要節省數千萬美元,反而因為這個專案增加了額外的1,800萬美元成本。
專案經理也發現到新設備將造成安全上的問題,新的機器上具備可移除式硬碟機,以便維護人員可以進行公司的資料存取,公司明智地放棄了這個計畫。在專案取消之後,原有的設備供應商的合作意願明顯降低,在進行續約談判時,在以先前的價格模式為基礎下增加了600萬的價格!
對競爭過於盲目
一位電子產品製造商執行長在每月行政會議中表示,公司在轉移到網頁服務上的速度落後於主要的競爭者,在會議之後,基礎建設管理總監與網頁設計供應商的業務人員進行對話,提及競爭者計劃積極地轉移到直接線上銷售。在幾天之內,基礎建設總監、業務人員與資訊科技專案經理提出了一份網頁專案計劃給資訊長,資訊長隨後便將專案提交給財務長,財務長馬上便核可該專案,並訂下四個月的時程與450萬美元的預算。
系統在六個月後上線,並花費了620萬美元,先不管時間上的延遲與成本超支,每個人對這件事還是異常地興奮,但之後一切隨之破滅,因為主要的零售商不滿公司與他們競爭,後來問題逐漸擴大,提升到執行長的層級,執行長於是提議要將線上價格提高於零售商價格的10%,這個決議惹惱了許多的客戶。
資訊長威脅要開除已經開除專案經理的那位基礎架構總監,財務長則要開除資訊長與基礎架構總監並終止專案,這個專案對公司的淨損失超過1,600萬美元。這兩種狀況都是因為缺乏足夠的思考所致,這些公司信任供應商提供的投資回報證明,並跳過概念建構的過程,導致無法提早發現這些極易發現的問題,焦急地將一個初步的想法變為一個完整執行計畫,這個現象仍持續地在許多組織的專案之中出現。
事情改變的越多, 便須花更多的時間思考。但是就如George Santayana(西班牙哲學家)所說,「那些無法從歷史中學習的人,注定必將重蹈覆轍。」
Gopal K. Kapur是加州San Ramon專案管理中心總裁。
若疏於規劃,意味著計畫一定失敗
自從1 9 7 5 年展開顧問事業之後,初期工作忙於挑出直接採用最新科,疏於規劃形成問題的肇因,大多是因為直接接受供應商所建議的節省成本建議與來自執行階層的不成熟想法。如今,三十年過去了,我仍然在許多注定失敗的專案中看到相同的錯誤。以下是一些範例。
對升級疏於規劃
務長提出一個專案,建議投入佈署一個新的影印、傳真與掃描技術,銷售代表宣稱升級節省公司列印上的成本達到3,800萬美元,供應商宣稱的成本架構可將目前每份影印成本4.7美分,升級後將可降低到2.8美分。可理解地,財務長相當喜歡這個提議,但是當負責資訊科技的專案經理執行成本分析之後,他的分析結果表明目前的影印成本為1.9美分,新設備所產生的成本則為3.1美分,原本想要節省數千萬美元,反而因為這個專案增加了額外的1,800萬美元成本。
專案經理也發現到新設備將造成安全上的問題,新的機器上具備可移除式硬碟機,以便維護人員可以進行公司的資料存取,公司明智地放棄了這個計畫。在專案取消之後,原有的設備供應商的合作意願明顯降低,在進行續約談判時,在以先前的價格模式為基礎下增加了600萬的價格!
對競爭過於盲目
一位電子產品製造商執行長在每月行政會議中表示,公司在轉移到網頁服務上的速度落後於主要的競爭者,在會議之後,基礎建設管理總監與網頁設計供應商的業務人員進行對話,提及競爭者計劃積極地轉移到直接線上銷售。在幾天之內,基礎建設總監、業務人員與資訊科技專案經理提出了一份網頁專案計劃給資訊長,資訊長隨後便將專案提交給財務長,財務長馬上便核可該專案,並訂下四個月的時程與450萬美元的預算。
系統在六個月後上線,並花費了620萬美元,先不管時間上的延遲與成本超支,每個人對這件事還是異常地興奮,但之後一切隨之破滅,因為主要的零售商不滿公司與他們競爭,後來問題逐漸擴大,提升到執行長的層級,執行長於是提議要將線上價格提高於零售商價格的10%,這個決議惹惱了許多的客戶。
資訊長威脅要開除已經開除專案經理的那位基礎架構總監,財務長則要開除資訊長與基礎架構總監並終止專案,這個專案對公司的淨損失超過1,600萬美元。這兩種狀況都是因為缺乏足夠的思考所致,這些公司信任供應商提供的投資回報證明,並跳過概念建構的過程,導致無法提早發現這些極易發現的問題,焦急地將一個初步的想法變為一個完整執行計畫,這個現象仍持續地在許多組織的專案之中出現。
事情改變的越多, 便須花更多的時間思考。但是就如George Santayana(西班牙哲學家)所說,「那些無法從歷史中學習的人,注定必將重蹈覆轍。」
Gopal K. Kapur是加州San Ramon專案管理中心總裁。
您的資料庫是否出現裂縫?
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=818
您的公司可能未曾因為惡意的資料隱碼(SQL Injection)攻擊,而造成資料庫洩露了公司敏感資訊或顧客個人資料。然而如果資料缺乏良好的管理方式,就有可能會在資料儲存處出現和資料輸入驗證不嚴謹時一樣嚴重的安全問題。企業資訊安全長的工作就是要在企業的需求下取得資料分別被企業夥伴、供應商、顧客存取以及分享的平衡點,並且在適當的地方進行管理避免受信任的內部使用者、惡意的外部用戶、以及稽核者的誤用。現在,資料幾乎是無限量地成長並且透過網際網路和企業外部網路(extranet)等多種管道存取。而因應備份工作、高可用度以及程式開發者對於資料庫日常的複製作業也增加了管理人員的壓力。各式各樣的應用系統、企業夥伴和顧客會透過各種你可能不喜歡或者根本沒有預期到的方式來存取和儲存資料庫中的內容。總之,資料存在於各處而且必須保持這些會隨處移動的目標的安全。Oracle的資深安全主管 Wynn White說:「使用者存取的技術已經變得越來越強大以及容易取得,進而降低了管理的複雜度。」不論您的公司為了建立智慧型風險管理以及強健的資料管理,還是因為信用卡產業之資料安全標準(PCI)、沙賓法案(Sarbanes-Oxley)、健康保險流通與責任法案(HIPAA)、加州資料隱私法案(SB 1386)等法律規定才被迫進行某些資料安全機制,都可以很清楚的發現因為實行較差的資料安全所產生的後續成本會比實行嚴格控管所產生的成本還高。以下的文章將會說明我們所訪談的資深安全官、分析師、稽核師以及資料庫安全供應商在面對企業級資料庫安全挑戰時的策略,以及遵守這些策略的指引。
失敗的原因
我們所訪談的這些安全專家指出一些會造成公司資料安全風險的高度錯誤、誤解和實務運作。資料在哪裡?企業、公司常常會搞不清楚它們所有的資料都存放在哪裡,甚至只有少數的公司會根據資料對於商業行為的重要性來進行分類。公司很少或者是根本沒有使用應用系統來使用現有資料或者創造新資料,有的還會將資料存放在供公司存取的重要資料庫之外。
沒有進行中央控管和政策強制實施的大型分散式組織,它們的資料庫就很容易發生不一致性的問題。你該如何知道哪些資料應該被加密、如何去限制存取權限、或者是該監控什麼?每個企業體不再是獨立的了。
而透過公司的合併和併購更加深了這樣的問題。假設周邊環境是安全的。公司總是很容易滿足於目前已知的知識和過去曾經投入的財務和技術。防火牆和以IP為安全基礎的閘道器已經無法防止無心或者懷有惡意的內部使用將敏感資料拷貝到可攜式電腦或者可攜式儲存裝置、或者是防止沒有取得授權的惡意資料庫管理人員修改資料庫綱要(database schema)。
檔案資料保護不足。資料庫通常就是存放重要資料的地方,甚至是存放挑選過的標的物。許多公司卻常常將Excel試算表、Word文件、PDF檔案、掃描後的圖片等這些數千萬容量且沒有整理過的龐大資訊存放在檔案伺服器、備份磁帶或者舊式的大型系統上。
開發者使用實際的產品資料。怎麼會發生這樣的狀況?很可惜的許多開發者都是使用這樣的工作模式。而這樣的運作方式卻會造成敏感性資料透過非文件化、非可控制的方式被許多不需要看到這些資料的人讀取。
對複雜的網格架構束手無策。在過去的時代,資料庫是被個別的資料庫管理人員管理並獨立運作的。然而在現在,透過網格(grid)的技術,同樣的資料庫管理人員必須負責管理被許多應用系統存取的大型資料庫。透過這樣的方式可以幫助企業在商務上得到更好的效率以及支援,可是也造成使用者權限指派和權責區分 (separation of duties)的工作變得相對困難。
先考慮效能、可用性才是安全性。許多公司把安全當成是被強迫推銷的額外功能。優先考量產品功能是否符合公司的商業行為,造成實務操作上和政策規定產生差異。實際狀況是,忙碌的IT人員會因為優先權較低而傾向被指派參與後期工作。
三思而後行。公司經常只針對強化認證機制(Strong Authentication)、加解密以及桌面環境資料安全這些容易被攻擊的問題來進行管理,取代對公司重要資料的安全管理程序。這樣的運作結果導致公司必須執行一系列昂貴又花費大量資源的專案來滿足產業之資料安全標準和沙賓法案的安全規定。
成功的策略
雖然如同俗諺說的「魔鬼都在細節裡」,但是要達成有效的資料安全專案還是有些關鍵成功因素。詳細目錄、追蹤和分類資料。如果要問哪一項是公司最糟糕的作為,那麼當屬不了解資料在何處了。公司理所當然的應該清楚資料在哪裡存活、複製、及被哪個應用系統存取和修改。資料庫、記錄檔和各式的非結構化的資料都應該遵守這樣的原則。了解資料在哪裡才能進行資料分類,讓公司可以針對重要的資訊進行適當的控制。從另一方面來說,公司可以不需要浪費時間和金錢來保護那些就算在遺失或暴露的狀況下也不會對公司造成影響的資料。
「成熟的組織可以發掘出它們的資料風險」Gartner的Proctor說,「因為它們擁有良好的資料分類、清楚這些資料存放在哪裡。而且可以針對資料的控制做出優良的決策。」在進行「我們為何蒐集並儲存這份資料?」這個過程的時候,會產生資料綜合以及資料銷毀這兩個重要的副產物。資料也許會被不必要的重製或者是散亂地存放在異質的資料庫或檔案分享中。
權責區分。這對握有特殊權限的使用者是很重要的機制,尤其是像資料庫管理員這類的使用者。以往的資料庫管理人員擁有所有的權限去進行資料庫的授權管理和變更,也可以無限制的存取應用系統中的資料。然而現在已經有適當的管理機制來避免資料庫管理人員擁有過多的權限。
確保是誰對資料庫做出重大變更也是很重要的事情。應該透過不同管理人員的監控來管理並警告那些想要進行變更的使用者是否符合變更控制。
在開發階段的時候不要使用實際的產品資料。複製真實的產品資料來進行開發、修改和測試應用系統,對開發者應該是非常容易達成的。
「在理想狀況下,您應該將開發者和產品環境透過不同政策和不同基礎架構作實體分隔」,針對企業提供客戶關係管理Loyalty Lab的資訊安全長Barak Engel說。雖然可能需要花費少量的時間來產生模擬的測試資料,但是這些資料可以滿足開發者而且又可以保護敏感
資料不會被暴露在非控制的環境中。建立並實施變更控制。安全的組織不只會強制記錄哪些資料被產生、由誰產生,還會記錄是誰授權這些行為以及這些授權是如何被決策出來的。變更控制委員會負責發號施令。
安全從一開始就會被確保了,因為變更控制委員會的工作就是確保資料庫會按照規章進行變更。「如果有人針對資料庫進行了修改,他們必須建立變更控制記錄來顯示他們做了甚麼變動。如果記錄沒有被建立,就會發起調查行動。」五百大財務公司中的一位資訊安全專家說,「我們會針對重要的元件進行變更控制和變更快照。」
變更控制不能只針對資料,還必須包含資料庫綱要和資料結構。你必須能夠告訴沙賓法案的稽核師,你可以偵測並找出是否有人想不按照程序刪除資料庫中會影響財務報表的資料表。
時時監控。確保知道您的重要資料在何處,並且有清楚的政策來控制誰可以存取和變更這些資料(在特定的狀況下,例如只有星期一至五的早上九點到下午五點),以及您可以監控異常的行為。「我們總是時時監控發生了甚麼事!」Pi tney Bowes的技術和安全主管David Giambruno說。David負責組織內大約3萬台伺服器以及37,000名員工對於個人和組態變更、新資料庫架設等工作上的安全。「我們的工作就是要了解企業內正在發生甚麼事情。你如何能夠確定你在現在以及未來都是安全的?」
「注意監控者!」 Gartner的Proctor提出忠告。「監控王國中的主要成員:資料庫管理者、Windows網域的管理者,以及任何擁有特殊權限的人。」
加密。對重要資料進行加密。但是千萬不要低估了這項工作的重要性。金鑰管理是重要且困難的-在不會瓦解的狀況下替換和回收金鑰,確保正確的人可以擁有正確的金鑰,並確保金鑰不會遺失,甚至是遺失的金鑰不能再被用來存取資料。
「要求加密被破解的時間必須是花費數年的時間。」 Loyalty Lab的Engel說。「必須考量金鑰管理和發放的效率。金鑰的管理架構可能就需要花費長時間來建置。」
權責區分是另一項重要的考量。不是因為不信任資料庫管理者才進行這項機制,而是最好的實作經驗是你必須擁有兩套系統-一個提供資料的存取,另一個是由不同管理人員來提供金鑰。
最後,加密只能解決某些部分的問題。許多組織把加解密當成解決管理壓力上的權宜之計,可是這卻是一個既不簡單又複雜的權宜之計。加密只能確保外部駭客或者某個偷得可攜式電腦或者備份磁帶的人無法讀取您的資料。然而企業還是必須面對內部的威脅,而且加密無法阻止惡意的使用者進行的合法存取。
移除明顯的錯誤。注意小細節,消除最簡單以及最明顯的風險。你會驚訝的發現還是有為數不少的資料庫使用預設的管理者帳號和密碼。
「了解並管理這些簡單的目標-像是空白密碼。
如果你仔細的檢查過後,你可能會被得到的結果給嚇昏!」iambruno說。「你必須從基礎修補起,這樣才能從開始就保護資料。遵循最高的十點安全規則,您就可以取得基礎的安全能力。」
您的公司可能未曾因為惡意的資料隱碼(SQL Injection)攻擊,而造成資料庫洩露了公司敏感資訊或顧客個人資料。然而如果資料缺乏良好的管理方式,就有可能會在資料儲存處出現和資料輸入驗證不嚴謹時一樣嚴重的安全問題。企業資訊安全長的工作就是要在企業的需求下取得資料分別被企業夥伴、供應商、顧客存取以及分享的平衡點,並且在適當的地方進行管理避免受信任的內部使用者、惡意的外部用戶、以及稽核者的誤用。現在,資料幾乎是無限量地成長並且透過網際網路和企業外部網路(extranet)等多種管道存取。而因應備份工作、高可用度以及程式開發者對於資料庫日常的複製作業也增加了管理人員的壓力。各式各樣的應用系統、企業夥伴和顧客會透過各種你可能不喜歡或者根本沒有預期到的方式來存取和儲存資料庫中的內容。總之,資料存在於各處而且必須保持這些會隨處移動的目標的安全。Oracle的資深安全主管 Wynn White說:「使用者存取的技術已經變得越來越強大以及容易取得,進而降低了管理的複雜度。」不論您的公司為了建立智慧型風險管理以及強健的資料管理,還是因為信用卡產業之資料安全標準(PCI)、沙賓法案(Sarbanes-Oxley)、健康保險流通與責任法案(HIPAA)、加州資料隱私法案(SB 1386)等法律規定才被迫進行某些資料安全機制,都可以很清楚的發現因為實行較差的資料安全所產生的後續成本會比實行嚴格控管所產生的成本還高。以下的文章將會說明我們所訪談的資深安全官、分析師、稽核師以及資料庫安全供應商在面對企業級資料庫安全挑戰時的策略,以及遵守這些策略的指引。
失敗的原因
我們所訪談的這些安全專家指出一些會造成公司資料安全風險的高度錯誤、誤解和實務運作。資料在哪裡?企業、公司常常會搞不清楚它們所有的資料都存放在哪裡,甚至只有少數的公司會根據資料對於商業行為的重要性來進行分類。公司很少或者是根本沒有使用應用系統來使用現有資料或者創造新資料,有的還會將資料存放在供公司存取的重要資料庫之外。
沒有進行中央控管和政策強制實施的大型分散式組織,它們的資料庫就很容易發生不一致性的問題。你該如何知道哪些資料應該被加密、如何去限制存取權限、或者是該監控什麼?每個企業體不再是獨立的了。
而透過公司的合併和併購更加深了這樣的問題。假設周邊環境是安全的。公司總是很容易滿足於目前已知的知識和過去曾經投入的財務和技術。防火牆和以IP為安全基礎的閘道器已經無法防止無心或者懷有惡意的內部使用將敏感資料拷貝到可攜式電腦或者可攜式儲存裝置、或者是防止沒有取得授權的惡意資料庫管理人員修改資料庫綱要(database schema)。
檔案資料保護不足。資料庫通常就是存放重要資料的地方,甚至是存放挑選過的標的物。許多公司卻常常將Excel試算表、Word文件、PDF檔案、掃描後的圖片等這些數千萬容量且沒有整理過的龐大資訊存放在檔案伺服器、備份磁帶或者舊式的大型系統上。
開發者使用實際的產品資料。怎麼會發生這樣的狀況?很可惜的許多開發者都是使用這樣的工作模式。而這樣的運作方式卻會造成敏感性資料透過非文件化、非可控制的方式被許多不需要看到這些資料的人讀取。
對複雜的網格架構束手無策。在過去的時代,資料庫是被個別的資料庫管理人員管理並獨立運作的。然而在現在,透過網格(grid)的技術,同樣的資料庫管理人員必須負責管理被許多應用系統存取的大型資料庫。透過這樣的方式可以幫助企業在商務上得到更好的效率以及支援,可是也造成使用者權限指派和權責區分 (separation of duties)的工作變得相對困難。
先考慮效能、可用性才是安全性。許多公司把安全當成是被強迫推銷的額外功能。優先考量產品功能是否符合公司的商業行為,造成實務操作上和政策規定產生差異。實際狀況是,忙碌的IT人員會因為優先權較低而傾向被指派參與後期工作。
三思而後行。公司經常只針對強化認證機制(Strong Authentication)、加解密以及桌面環境資料安全這些容易被攻擊的問題來進行管理,取代對公司重要資料的安全管理程序。這樣的運作結果導致公司必須執行一系列昂貴又花費大量資源的專案來滿足產業之資料安全標準和沙賓法案的安全規定。
成功的策略
雖然如同俗諺說的「魔鬼都在細節裡」,但是要達成有效的資料安全專案還是有些關鍵成功因素。詳細目錄、追蹤和分類資料。如果要問哪一項是公司最糟糕的作為,那麼當屬不了解資料在何處了。公司理所當然的應該清楚資料在哪裡存活、複製、及被哪個應用系統存取和修改。資料庫、記錄檔和各式的非結構化的資料都應該遵守這樣的原則。了解資料在哪裡才能進行資料分類,讓公司可以針對重要的資訊進行適當的控制。從另一方面來說,公司可以不需要浪費時間和金錢來保護那些就算在遺失或暴露的狀況下也不會對公司造成影響的資料。
「成熟的組織可以發掘出它們的資料風險」Gartner的Proctor說,「因為它們擁有良好的資料分類、清楚這些資料存放在哪裡。而且可以針對資料的控制做出優良的決策。」在進行「我們為何蒐集並儲存這份資料?」這個過程的時候,會產生資料綜合以及資料銷毀這兩個重要的副產物。資料也許會被不必要的重製或者是散亂地存放在異質的資料庫或檔案分享中。
權責區分。這對握有特殊權限的使用者是很重要的機制,尤其是像資料庫管理員這類的使用者。以往的資料庫管理人員擁有所有的權限去進行資料庫的授權管理和變更,也可以無限制的存取應用系統中的資料。然而現在已經有適當的管理機制來避免資料庫管理人員擁有過多的權限。
確保是誰對資料庫做出重大變更也是很重要的事情。應該透過不同管理人員的監控來管理並警告那些想要進行變更的使用者是否符合變更控制。
在開發階段的時候不要使用實際的產品資料。複製真實的產品資料來進行開發、修改和測試應用系統,對開發者應該是非常容易達成的。
「在理想狀況下,您應該將開發者和產品環境透過不同政策和不同基礎架構作實體分隔」,針對企業提供客戶關係管理Loyalty Lab的資訊安全長Barak Engel說。雖然可能需要花費少量的時間來產生模擬的測試資料,但是這些資料可以滿足開發者而且又可以保護敏感
資料不會被暴露在非控制的環境中。建立並實施變更控制。安全的組織不只會強制記錄哪些資料被產生、由誰產生,還會記錄是誰授權這些行為以及這些授權是如何被決策出來的。變更控制委員會負責發號施令。
安全從一開始就會被確保了,因為變更控制委員會的工作就是確保資料庫會按照規章進行變更。「如果有人針對資料庫進行了修改,他們必須建立變更控制記錄來顯示他們做了甚麼變動。如果記錄沒有被建立,就會發起調查行動。」五百大財務公司中的一位資訊安全專家說,「我們會針對重要的元件進行變更控制和變更快照。」
變更控制不能只針對資料,還必須包含資料庫綱要和資料結構。你必須能夠告訴沙賓法案的稽核師,你可以偵測並找出是否有人想不按照程序刪除資料庫中會影響財務報表的資料表。
時時監控。確保知道您的重要資料在何處,並且有清楚的政策來控制誰可以存取和變更這些資料(在特定的狀況下,例如只有星期一至五的早上九點到下午五點),以及您可以監控異常的行為。「我們總是時時監控發生了甚麼事!」Pi tney Bowes的技術和安全主管David Giambruno說。David負責組織內大約3萬台伺服器以及37,000名員工對於個人和組態變更、新資料庫架設等工作上的安全。「我們的工作就是要了解企業內正在發生甚麼事情。你如何能夠確定你在現在以及未來都是安全的?」
「注意監控者!」 Gartner的Proctor提出忠告。「監控王國中的主要成員:資料庫管理者、Windows網域的管理者,以及任何擁有特殊權限的人。」
加密。對重要資料進行加密。但是千萬不要低估了這項工作的重要性。金鑰管理是重要且困難的-在不會瓦解的狀況下替換和回收金鑰,確保正確的人可以擁有正確的金鑰,並確保金鑰不會遺失,甚至是遺失的金鑰不能再被用來存取資料。
「要求加密被破解的時間必須是花費數年的時間。」 Loyalty Lab的Engel說。「必須考量金鑰管理和發放的效率。金鑰的管理架構可能就需要花費長時間來建置。」
權責區分是另一項重要的考量。不是因為不信任資料庫管理者才進行這項機制,而是最好的實作經驗是你必須擁有兩套系統-一個提供資料的存取,另一個是由不同管理人員來提供金鑰。
最後,加密只能解決某些部分的問題。許多組織把加解密當成解決管理壓力上的權宜之計,可是這卻是一個既不簡單又複雜的權宜之計。加密只能確保外部駭客或者某個偷得可攜式電腦或者備份磁帶的人無法讀取您的資料。然而企業還是必須面對內部的威脅,而且加密無法阻止惡意的使用者進行的合法存取。
移除明顯的錯誤。注意小細節,消除最簡單以及最明顯的風險。你會驚訝的發現還是有為數不少的資料庫使用預設的管理者帳號和密碼。
「了解並管理這些簡單的目標-像是空白密碼。
如果你仔細的檢查過後,你可能會被得到的結果給嚇昏!」iambruno說。「你必須從基礎修補起,這樣才能從開始就保護資料。遵循最高的十點安全規則,您就可以取得基礎的安全能力。」
網路銀行虛虛實實,怎麼管才安全?
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=847
兩年前, 有個持槍歹徒跑到Happy State銀行位於德州Amarillo這個充滿沙塵的牛仔鎮的分行,準備大搶一筆。「這不是開玩笑,」他對行員說。他把錢塞進背包中,便馬上逃跑了。但是銀行的員工記下了歹徒駕駛的車輛(藍色的四門轎車),警察在幾週後逮到了嫌犯。在這個四周遍是草原的小鎮中,並沒有什麼地方可供躲藏。今年夏初, 有個年輕人架設了一個詐騙網站,企圖盜取Happy State Bank的帳號。IT員工根據一位住在德州San Antonio親切的陌生人所提供的線索,在歹徒取得該行4,500名線上顧客的帳號前,發現了這個詭計。他們在四小時內關閉了假網站。聯邦探員追蹤到了嫌犯來自Bronx的某個地方。不管盜賊是走路進來還是透過網路進來,有件事情是不會變的:不要惹毛德州人。「打從Jesse James(西部拓荒時代傳奇性的江洋大盜)與黨羽開始打劫銀行,安全問題早已存在許久了,」Happy State Bank的技術資深副總,Jason James說。「安全在這一行已經不是新鮮事了。」為了取得主要競爭者所沒有的競爭差異,Happy State採用了銀行界罕見的作法,即深度接觸的線上客服。網路銀行的出現,使得James與其他四位成員必須為該銀行最重要的企業雄心打頭陣。這個IT部門以自建的方式處理銀行的安全事務,甚至每周得出差一兩次,到客戶家中清除他們電腦裡的病毒、垃圾郵件,以及間諜軟體。「深度的客戶接觸才是我們與眾不同的關鍵!」該行總裁Gary Wells說。「在德州Panhandle地區,關係才是關鍵。這裡的人喜歡坐下來面對面說話,喝咖啡,打高爾夫球,或是打獵。」
開拓安全邊疆
聳立在Amarillo的郊區。挑高的屋頂與牆壁全都以舊西部的牛仔藝術來裝飾。可以看到的還有一個圓形的金庫大門,連六節炸藥都無法將其炸穿。不管用什麼方法,Happy State Bank與其他中型銀行都在努力開拓自己的疆界。今日的銀行不再依靠鋼製保險庫與雙管霰彈槍,而是利用各種科技工具(從防火牆、漏洞分析,到詐騙偵測以及客戶驗證等)以求在Internet這個化外之地自保。
無疑這就像是淘汰遊戲一樣。顧客若認為銀行無法好好保管他的錢,他寧可放棄這家銀行。同時,如果銀行無法符合Internet的安全需求,法規制定者也樂於將其關閉。到今年年終,聯邦金融機構檢查委員會(FEIEC,用來定義美國金融業標準的組織,與其他著名的單位一樣,背後有聯邦準備系統撐腰)將要求銀行在進行線上客戶驗證時,不得只採用單一驗證方式。研究機構Gartner預測2007年時將會有第一家不合規定的銀行收到禁制令(cease-anddesist order)。
但對於中型銀行的CIO來說,這不失為是一項轉機。網路銀行與相關法規的興起,讓IT高層主管在其公司具有更為顯著的角色。Happy State Bank便是如此,James與其四名組員在今年初才獲得勳章獎勵。33歲的James還升職為資深副總,讓他成為擁有超高職位的最年輕主管。「他們做的太好了,」該行總裁這麼說他的IT團隊。「我知道有他們在管控,晚上就睡得更香了。」
家鄉優勢
Happy State Bank不單單僅有舊西部的門面。該銀行早在近一世紀前的1908年便開始營運。J. PatHickman率領一群投資人買下了只有一間分行的銀行,然後在1990年時更名為First State Bank。董事長兼CEO Hickman透過一連串的併購,使得銀行能夠在新墨西哥、奧克拉荷馬,以及德州Panhandle所構成的三角區域成長茁壯。
一些新興的競爭銀行也使用了First State的名字,使得該銀行在幾年前更名為Happy State Bank。(該行的名稱源自於附近一個叫做Happy的小鎮,這個城鎮因為1999年的同名電影Happy, Texas而聲名大噪。)到現在,Happy State自稱擁有18,000名顧客,十多家分行,資產4.7億美元, 年營收4千萬美元。跟他最大的競爭對手Amarillo National Bank比起來,仍舊是小巫見大巫。Amarillo掌握了超過半數的市佔率,而Happy State Bank只有區區的3%。以整個Panhandle地區來說,Happy State Bank宣稱可以拿下了8%左右的市佔率。
儘管交易手續費很高,員工在資產上所佔的資金比率也很大,但是良好的客戶服務讓Happy State仍有其立足之地。他的服務能迎合鄉村的民眾,例如留著落腮鬍,穿著藍色牛仔褲、裝了馬剌的皮靴、頭巾的顧客,活像個走出歷史的牛仔,走到櫃員面前要求提款。「沒錯,這是真的牛仔!」James說。「我們的顧客就是這種型。」1999年,這些過時的高層主管為了取得主要競爭者所沒有的競爭差異,Happy State採用了銀行界罕見的作法,即深度接觸的線上客服。
1999年,這些過時的高層主管吝嗇地投注了資源在網路銀行服務上。「我們必須這麼做。」Wells 說。他還說他兩個正值讀大學年紀的小孩,也比較喜歡線上銀行,而不是傳統的紙本支票以及印刷的存摺。即使Wells已邁向網路時代。「我老婆和我在今年第一次決定開始在網路上付帳單。」他說。
隨著網路銀行服務的建置,Happy State總算是駛進了科技紀元。該銀行將IT部門由原來的一個人擴編為五個人,其中還包括了Duane Hall,他是個網路仲裁者以及安全神槍手,James也獲得晉升,他在這土生土長,1993年就開始進入銀行業。在過去幾年,該銀行每年大概花了500,000美元在科技設備上。
在第一年,有500位顧客註冊了Happy State網路銀行的服務,現在數字更增加到4,500位。IT部門要不斷地防治來自網路的盜賊,他們很會鑽系統漏洞, 不管是透過網址嫁接(Pharming)、詐欺網站與哄騙手法,還是惡意軟體以及網域名稱伺服器污染等。「隨著我們日漸龐大,安全已成為IT部門的主要機能。」Hall說。
高度科技,深度接觸
總裁Gary Wells說線上銀行的客戶仍需要深度接觸的客戶服務。為了因應,該銀行已佈署了各項安全措施,以維護線上客戶的安全。顧客的帳號密碼會透過郵件寄送,而銀行還採用了Netscape的SSL來保護客戶瀏覽器與銀行防火牆內伺服器的通訊。Cookie則採用了多一層的驗證與授權機制。但cookie只是驗證客戶的方法之一。其他的方法還包括了昂貴的生物特徵辨識設備到金鑰基礎建設等。銀行通常會採用最適合其客戶的驗證方法。矽谷的一家中型金融機構Technology Credit Union,在兩年前便為顧客採用了指紋辨識機,他們熟稔科技的顧客都對此設備大表贊同。而cookie則被認為是過時的技術,無法獲得使用者的青睞。
軟體廠商也不斷地推陳出新,並接受金融機構的委外工作。領導廠商包括了最近買下RSA Security的EMC;他們推出了一套異常交易偵測軟體,可以找出不符合顧客過去交易習慣的交易行為。PassMark Software推出的驗證平台則能夠支援1,400萬的網路銀行客戶。許多銀行的IT供應商也與像Certegy Inc.之類的委外廠商合作,他們可為中型銀行提供網路銀行的服務。
DEL RIO事件
回到德州,Happy State Bank正面對著另一項挑戰:內部詐騙測試。2002年時,法規制定者要求銀行必須透過第三人來評估內部的安全措施,因此James調查了業界的各家廠商。他發現有家稽核廠商為銀行每台內部伺服器的基本評估開價9,000美元,而利用便宜的Linux軟體就可找出未關閉的通訊埠數目。
這些都可以令法規制定者滿意,但James要的更多。「這是我的線上事業。」他補充道。IT高層主管決定以每年3,000美元的測試費用,向Core Security Technologies採購「較具侵略性」的偵測產品。該產品可以透過大量的同步攻擊來找出問題,為每個漏洞標記風險等級,並提供改善的建議。「我們試著以更積極的作為來面對安全問題,而非只是反應而已,」James說。「亡羊補牢,為時已晚。」
到目前為止還沒出現過一隻亡羊,Happy State Bank宣稱連一個帳號都沒有被偷過。該銀行深思熟慮,並未在網上銀行使用委外的產品。大多數中型銀行會依賴協力廠商,以求最大的資源應用。但就像是Lone Star的傳統一樣,Happy State Bank習慣什麼事都自己來。
Gartner的分析師Avivah Litan主張,委外通常對中型銀行來說是較好的作法。當發現線上有異常交易時,委外廠商會派出詐欺分析師來排除異常的交易。「小銀行不會有詐欺分析師。」Litan說,他還補充,「當他們遭到攻擊,且沒有委外廠商協助的話,那麼銀行便會面臨到嚴厲的不利情境,因為他們沒有適當的資源能夠處理。」James不同意這種說法。若找了委外廠商,他說,「你是將你的名聲交到他人之手。我需要一年的時間才能夠證明這點,不過若考慮到顧客服務損失以及商譽風險,我相信委外是比較昂貴的。」
事實上,今年初James就慶幸他不需受委外廠商之累。有個充滿疑惑的顧客打電話到銀行來,想知道為什麼他從未註冊網路銀行,也會收到帳號密碼函。「他們是我們的老主顧了,具有科技恐懼症,對這件事憂心忡忡。」網路高手Hall回憶道。
James相信提供多家中型銀行服務的委外廠商一定不會理這個案子。但Hall還是花了好幾個小時仔細地檢查了記錄檔與日期。線上註冊表格中的地址與原先開戶的地址並不一致,這讓Hall感到吃驚。在打了幾通電話之後,Hall追蹤到這地址是Del Rio的一個圖書館。Hall將這些資訊轉給帳戶的主人,他們馬上便發現了關聯性。他們的女兒才搬到Del Rio不久,很明顯地是要做壞事。「我們猜測他女兒是想(透過網路銀行)把錢轉出來。」Hall說。由於這是家務事,因此銀行終止了調查,也沒收取調閱費用。而這對夫婦也成為了Happy State Bank的忠實客戶。
圈住客戶
在建置網路銀行服務之前,IT部門鮮少與客戶直接接觸。但現在有了戲劇化的轉變。該團隊定期在銀行的網站上發佈與安全相關的文章,教育線上客戶,並進行客戶滿意度調查。CEO Hickman也參與該項計畫。現在大家都知道他會直接寫信給客戶,並快速地回答他們的問題,即使是星期天晚上也一樣。
「如果顧客有問題來電,像是他們無法連上網頁,或是一直蹦現視窗等,我會親自過去他們那裡幫他們掃毒。」James說。IT部門每天平均會接到8通來自網銀客戶的來電。
Happy State是一家地區性的銀行,客戶也都住在附近,因此James與其團隊會在必要時到客戶家中。「這聽起來很詭異,似乎也不太可行。」Gartner的Litan這麼認為。
但James與Wells則為這項勞力密集的工作辯護,因為這與該行的客戶信條緊緊相關。「我一開始會擔心每個人都會打進來,但我們這麼做已經有五、六年了,而線上註冊人數也一直在攀升。」James說。「隨著下一代電腦教育的提升,我想將來到府服務的機會將持續減少。例如,我們曾在一個月之內抓到10,000隻病毒,但現在卻只有300個。為什麼會掉這麼多?因為人們已普遍認知到病毒掃描以及間諜軟體移除的重要性了。」
Wells則更是直接。「我知道這麼做很花錢,隨著我們的擴大,可能還需要更多的資源!」他說。「但我們還是會繼續這麼做,因為這是我們該為顧客做的事。」
如何破解詐欺網站
Wells承認最初要他提高在科技上的支出,的確很難接受。在網路銀行之前,該行只有一台萬能的電腦來處理線上轉帳、文字編輯,以及有限的網路功能。James必須自己爭取所有與IT安全有關的預算。這場戰役提醒了他去年在Y2K上的花費。「高層會抱怨,『你給我花了那麼多錢,卻什麼東西也看不到!』」他回憶。「我告訴他,『也許就是因為花了這麼多錢,才會什麼事也沒發生。』」另外非競爭中型銀行所組成的一個協會也對James有所幫助。該組織每年聚會兩次,分享成功的安全實務。透過內部情報交換可以確定Happy State Bank不是站在科技與實務的最前端。但是在企業領袖像Wells看到了IT部門的安全價值之後,情況可能有所改觀。今年夏天,James接到了來自San Antonio一通陌生人的來電,告訴他有個網站長的酷似Happy StateBank的網站。「那個人告訴我他受夠了,希望我們能教訓教訓他們。」James說。Hall去電網路服務商,4小時之內,假網站便關閉了,而下一通電話則打到聯邦機構。即使假網站已經關閉,隨後該行的客服部還是打電話給4,500位網銀客戶,警告他們關於詐欺網站的事情。
當James將假網站秀給Wells與其他高層主管看過後,他得到了實質的獎賞。「我真不敢相信它竟然那麼像,」Wells驚訝道。「我自己差點就登入進去了,真是嚇人。」James花了好大的功夫跟Happy State Bank的董事會解釋網路銀行的安全性,許多董事會成員都是農夫出身。董事會要求James承認將來不會再有任何安全侵害。當然,這根本不切實際。除了要對抗Internet上充斥的盜賊(更不用說內部盜賊了),只要哪天哪家廠商的更新程式出的比較晚的話,James與其團隊還得面臨零時差(zero-day)攻擊。「你對它束手無策!」James說。「我告訴董事會安全攻擊就像狗在家中後院挖洞一樣,你幾乎不可能阻止的了。」IT主管說。「狗還是有可能在一些地方挖洞—但我們必須盡力而為。」
Tom Kaneshige是CIO Decisions的資深編輯。
聯邦安全規章是否真的有作用?
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=845
聯邦安全規章是否真的有作用?不幸的,現實卻不是採用這個簡單的理論。我們現在所使用的規章,在詳細的規定裡面有著很大的問題。
BRUCE SCHNEIER看法
安全規章談論的都是和經濟相關的議題。他基於以下的理論基礎:在資本社會裡,公司會採用利己主義來進行決策。這是一件好事,我們並不會期望公司扮演公眾慈善的角色;我們期望公司是一個利益團體。而實際狀況是,有些不會影響股價下跌的決策,才是好的決策-這被經濟學稱為外部客觀性。
公司不會將外部客觀性記載在帳目上,因為那是其他人的問題。如果我們想要將這個外部客觀性影響公司的決策,那麼就必須將他轉換為可影響決策的內部因素。然後資本主義的自然力量就會接管一切。
舉例來說:一家公司污染河川水源並且導致下游民眾死亡。公司內沒有任何一個員工住在下游地區,沒有任何公司的顧客住在下游區域,因此公司就不會關心這個問題。這就是標準的外部客觀性。如果社會想要這家公司不再污染水源,就必須轉換這個外部客觀性。不利條件(居住在下游的民眾提出告訴)和法律規定(規定不可以污染河川)就可以完成這個轉換。一個正常的公司就會開始花費更多的經費來預防河川污染。
這和電腦安全有何相關?每一件事都是相關的。
如果ChoicePoint公司採用了不好的安全機制並且某人偷走了我們的身分識別資訊,我們就受到損害了。但是對於ChoicePoint來說這件事是外部客觀性。ChoicePoint並不是慈善機關,並不會因為忽然的良心發現來增進它們的安全性。如果我們希望ChoicePoint負起保護我們資料的責任,我們就必須強制ChoicePoint去進行這項工作 。我們必須增加他們使用不好的安全機制時的成本,這樣公司才會認為使用良好的安全機制是值得的。
這應該是規章的背後涵義。不幸的,現實卻不是採用這個簡單的理論。我們現在所使用的規章,在詳細的規定裡面有著很大的問題。
以資訊不當洩漏相關法律為例:從條文來看,它們都是聰明的規章。當公司洩露資訊危害到公眾的時候,我們會增加這些危害的成本。不幸的是,大多數的成本都只是增加公司面對公眾時的羞愧感,尤其是在面對媒體時的羞愧。但是由於越來越多的公司丟失資料,媒體也變得越來越對這些故事不感興趣,公司面對公眾時也越來越沒有羞愧感。立意是好的,可惜影響是暫時的。
或者以沙賓法案來看:當我閱讀完這個法規,我無法確定它是否和電腦安全有關。但是所有人都認為沙賓法案和電腦安全有關,而且各個公司行號在電腦安全上投入各種資源,但投入的成本還是遠低於公司應負的社會責任。公司投入的這些資源只有部份真正的被運用在電腦安全上,大部分的資源都給了大型的稽核公司來產生對抗損害賠償的報表。對投入的資源進行優先權排序是良好的想法,可是付出龐大金額之後您得到了什麼?
較佳的例子是信用卡法規,規定了個人被詐騙的信用金額不得超過50美元。在法規制定之前,使用者信用卡上的金額損失對於信用卡公司來說是外部客觀性。因此,信用卡公司根本不關心安全的增強。然而法規制訂之後,我們才開始使用到活化信用卡的線上驗證介面和系統,以及偵測詐騙消費行為的資料探勘系統。這是多麼好的主意,而且也真正的增進了安全性。那麼良好的規章會有哪些特徵?
• 會針對特定的外部客觀性。
• 處罰夠重讓公司決定選擇依循著法章規定。
• 注重結果,而不是規定使用特定的技術或者組態設
定。
• 設置能夠修補安全問題的實體來主管安全問題。
聯邦安全規章是否真的有作用?如果規章寫的夠好,當然能有作用。只是很不幸的,只有少部分規章是真的制定得夠好,也因此筆者基於降低外部客觀性,還是比較喜歡使用損害賠償的方式來取代法律規章。
MARCUS RANUM看法
規章是個好主意,但是需要強制實施的有效手段-表示如果不遵從將會帶來嚴重的後果,而不該是使用溫和的懲戒。每一年都會有不同象, 很可惜我卻不這麼認為。整個安全規章的主意是為了建立最低限度的一致性,最佳實務-像是基本要素的引導介紹。我很抱歉如果我聽起來像是一個麻煩人士,但是要達到做得好不應該只是手冊式的導引,更應該說明優良安全承諾的矯正基準點。
這不應該是一場讓每個小孩都有糖吃的政治遊戲。美國聯邦政府機關花費大筆的經費將安全排行從F提升到D-可惜這個評等卻無法證明安全層級;反而證明了的政府部門取得聯邦資訊安全管理法(FISMA)D級的分數,而且隨便一個人都說相對於去年F級的成績,取得成績D是一個很大的進步。
我猜這樣的成績可以加深納稅人對於稅金有效達成微小改進的印聯邦政府機關的管理失當以及經費的浪費。
如同Bruce所說的,透過增加公司的損害賠償是一個較好的實作方式。你無法訓練精疲力盡的動物完成正確的動作。控股公司、政府機關和納稅人都會很輕易的被這些損害告訴給弄得精疲力盡;因此你必須指定有效溝通的最低標準。
很不幸的, 這些基準值通常都會訂得比較低。資訊安全已知的法規基準就有聯邦資訊安全管理法(FISMA)、沙賓法案(Sarbanes-Oxley)、健康保險流通與責任法案(HIPAA)-這些法規都已經被過多的誇大-相信未來會持續的被誇大。
某位IT主管指出忽略健康保險流通與責任法案是一個成功的策略。因為經過幾年的實施之後可以發現,為了達成安全承諾的成本遠高過於不遵守法規的罰則。任何私人企業或者政府機關開始有以上想法是非常不好的,不過這也說明了開始有人會將這個法律上的漏洞考慮進它們的風險分析之中。
從聯邦政府的角度來看,當政府的IT管理者以及執行者都認為法規是「請遵守或者是請遵守某些部分」,你就可以了解為何整個法規制度會失效。
我贊成應該制定聯邦IT規章。事實上,我也很樂意協助撰寫部分規章。很不幸的,我的規定可能會讓許多的人員痛哭,因為他們可能要遵守類似的規定:「如果你的執法單位發現你網路中有十兆位元組的資料外洩到中國大陸,當你被通知之後,每一位從CIO之下的IT部門管理者都應該解雇。」我知道從來沒有公務人員會被解雇-不論他有多不適任-但是在目前狀況已經一團亂的時候應該是做些有幫助的事的時候了。
我們需要聯邦IT安全規章閱讀起來就像是Napoleon Bonaparte撰寫的一般,並且就像Vlad the Impaler的被強制實施-而不是像Alfred E. Neuman一樣的令我擔憂。
法律規章和損害告訴之間的平衡點大概是我和Bruce意見最大不同的地方。安全規章談論的都是和經濟相關的-這點他是對的。但是損害告訴也是同樣的狀況。採用經濟觀點來規劃安全的問題是它鼓勵人們相信安全是機會成本的問題,然而安全根本不存在機會成本。
相信安全可以透過損害告訴驅動,那就表示你還是將問題轉換成經濟議題,只有經濟議題才能驅使律師和提出告訴者。沒有一個人會願意等嚴重的安全問題造成了經濟影響後才來進行安全性的處置-知識戰爭所造成的經濟損失可能是無法衡量的,或者是等到發現對國家安全發生影響了才來處理。我們無法只是用金錢來衡量一切,在國家級的水準中D這個分數並不及格。我對於聯邦安全規章的感覺可以使用甘地(Gandhi)對於西方文明世界的評論:「我認為這是一個好主意。」但是,請確保我們所制定的規章擁有強制實施的有效手段。
Marcus Ranum現任職於Tenable網路安全公司的CSO,也是知名安全技術的開發人員、老師、及講師。Bruce Schneier 現任職於Counterpane網路安全公司的 CTO 及 Beyond Fear: Thinking Sensibly about Security in an Uncertain World這本書的作者。
聯邦安全規章是否真的有作用?不幸的,現實卻不是採用這個簡單的理論。我們現在所使用的規章,在詳細的規定裡面有著很大的問題。
BRUCE SCHNEIER看法
安全規章談論的都是和經濟相關的議題。他基於以下的理論基礎:在資本社會裡,公司會採用利己主義來進行決策。這是一件好事,我們並不會期望公司扮演公眾慈善的角色;我們期望公司是一個利益團體。而實際狀況是,有些不會影響股價下跌的決策,才是好的決策-這被經濟學稱為外部客觀性。
公司不會將外部客觀性記載在帳目上,因為那是其他人的問題。如果我們想要將這個外部客觀性影響公司的決策,那麼就必須將他轉換為可影響決策的內部因素。然後資本主義的自然力量就會接管一切。
舉例來說:一家公司污染河川水源並且導致下游民眾死亡。公司內沒有任何一個員工住在下游地區,沒有任何公司的顧客住在下游區域,因此公司就不會關心這個問題。這就是標準的外部客觀性。如果社會想要這家公司不再污染水源,就必須轉換這個外部客觀性。不利條件(居住在下游的民眾提出告訴)和法律規定(規定不可以污染河川)就可以完成這個轉換。一個正常的公司就會開始花費更多的經費來預防河川污染。
這和電腦安全有何相關?每一件事都是相關的。
如果ChoicePoint公司採用了不好的安全機制並且某人偷走了我們的身分識別資訊,我們就受到損害了。但是對於ChoicePoint來說這件事是外部客觀性。ChoicePoint並不是慈善機關,並不會因為忽然的良心發現來增進它們的安全性。如果我們希望ChoicePoint負起保護我們資料的責任,我們就必須強制ChoicePoint去進行這項工作 。我們必須增加他們使用不好的安全機制時的成本,這樣公司才會認為使用良好的安全機制是值得的。
這應該是規章的背後涵義。不幸的,現實卻不是採用這個簡單的理論。我們現在所使用的規章,在詳細的規定裡面有著很大的問題。
以資訊不當洩漏相關法律為例:從條文來看,它們都是聰明的規章。當公司洩露資訊危害到公眾的時候,我們會增加這些危害的成本。不幸的是,大多數的成本都只是增加公司面對公眾時的羞愧感,尤其是在面對媒體時的羞愧。但是由於越來越多的公司丟失資料,媒體也變得越來越對這些故事不感興趣,公司面對公眾時也越來越沒有羞愧感。立意是好的,可惜影響是暫時的。
或者以沙賓法案來看:當我閱讀完這個法規,我無法確定它是否和電腦安全有關。但是所有人都認為沙賓法案和電腦安全有關,而且各個公司行號在電腦安全上投入各種資源,但投入的成本還是遠低於公司應負的社會責任。公司投入的這些資源只有部份真正的被運用在電腦安全上,大部分的資源都給了大型的稽核公司來產生對抗損害賠償的報表。對投入的資源進行優先權排序是良好的想法,可是付出龐大金額之後您得到了什麼?
較佳的例子是信用卡法規,規定了個人被詐騙的信用金額不得超過50美元。在法規制定之前,使用者信用卡上的金額損失對於信用卡公司來說是外部客觀性。因此,信用卡公司根本不關心安全的增強。然而法規制訂之後,我們才開始使用到活化信用卡的線上驗證介面和系統,以及偵測詐騙消費行為的資料探勘系統。這是多麼好的主意,而且也真正的增進了安全性。那麼良好的規章會有哪些特徵?
• 會針對特定的外部客觀性。
• 處罰夠重讓公司決定選擇依循著法章規定。
• 注重結果,而不是規定使用特定的技術或者組態設
定。
• 設置能夠修補安全問題的實體來主管安全問題。
聯邦安全規章是否真的有作用?如果規章寫的夠好,當然能有作用。只是很不幸的,只有少部分規章是真的制定得夠好,也因此筆者基於降低外部客觀性,還是比較喜歡使用損害賠償的方式來取代法律規章。
MARCUS RANUM看法
規章是個好主意,但是需要強制實施的有效手段-表示如果不遵從將會帶來嚴重的後果,而不該是使用溫和的懲戒。每一年都會有不同象, 很可惜我卻不這麼認為。整個安全規章的主意是為了建立最低限度的一致性,最佳實務-像是基本要素的引導介紹。我很抱歉如果我聽起來像是一個麻煩人士,但是要達到做得好不應該只是手冊式的導引,更應該說明優良安全承諾的矯正基準點。
這不應該是一場讓每個小孩都有糖吃的政治遊戲。美國聯邦政府機關花費大筆的經費將安全排行從F提升到D-可惜這個評等卻無法證明安全層級;反而證明了的政府部門取得聯邦資訊安全管理法(FISMA)D級的分數,而且隨便一個人都說相對於去年F級的成績,取得成績D是一個很大的進步。
我猜這樣的成績可以加深納稅人對於稅金有效達成微小改進的印聯邦政府機關的管理失當以及經費的浪費。
如同Bruce所說的,透過增加公司的損害賠償是一個較好的實作方式。你無法訓練精疲力盡的動物完成正確的動作。控股公司、政府機關和納稅人都會很輕易的被這些損害告訴給弄得精疲力盡;因此你必須指定有效溝通的最低標準。
很不幸的, 這些基準值通常都會訂得比較低。資訊安全已知的法規基準就有聯邦資訊安全管理法(FISMA)、沙賓法案(Sarbanes-Oxley)、健康保險流通與責任法案(HIPAA)-這些法規都已經被過多的誇大-相信未來會持續的被誇大。
某位IT主管指出忽略健康保險流通與責任法案是一個成功的策略。因為經過幾年的實施之後可以發現,為了達成安全承諾的成本遠高過於不遵守法規的罰則。任何私人企業或者政府機關開始有以上想法是非常不好的,不過這也說明了開始有人會將這個法律上的漏洞考慮進它們的風險分析之中。
從聯邦政府的角度來看,當政府的IT管理者以及執行者都認為法規是「請遵守或者是請遵守某些部分」,你就可以了解為何整個法規制度會失效。
我贊成應該制定聯邦IT規章。事實上,我也很樂意協助撰寫部分規章。很不幸的,我的規定可能會讓許多的人員痛哭,因為他們可能要遵守類似的規定:「如果你的執法單位發現你網路中有十兆位元組的資料外洩到中國大陸,當你被通知之後,每一位從CIO之下的IT部門管理者都應該解雇。」我知道從來沒有公務人員會被解雇-不論他有多不適任-但是在目前狀況已經一團亂的時候應該是做些有幫助的事的時候了。
我們需要聯邦IT安全規章閱讀起來就像是Napoleon Bonaparte撰寫的一般,並且就像Vlad the Impaler的被強制實施-而不是像Alfred E. Neuman一樣的令我擔憂。
法律規章和損害告訴之間的平衡點大概是我和Bruce意見最大不同的地方。安全規章談論的都是和經濟相關的-這點他是對的。但是損害告訴也是同樣的狀況。採用經濟觀點來規劃安全的問題是它鼓勵人們相信安全是機會成本的問題,然而安全根本不存在機會成本。
相信安全可以透過損害告訴驅動,那就表示你還是將問題轉換成經濟議題,只有經濟議題才能驅使律師和提出告訴者。沒有一個人會願意等嚴重的安全問題造成了經濟影響後才來進行安全性的處置-知識戰爭所造成的經濟損失可能是無法衡量的,或者是等到發現對國家安全發生影響了才來處理。我們無法只是用金錢來衡量一切,在國家級的水準中D這個分數並不及格。我對於聯邦安全規章的感覺可以使用甘地(Gandhi)對於西方文明世界的評論:「我認為這是一個好主意。」但是,請確保我們所制定的規章擁有強制實施的有效手段。
Marcus Ranum現任職於Tenable網路安全公司的CSO,也是知名安全技術的開發人員、老師、及講師。Bruce Schneier 現任職於Counterpane網路安全公司的 CTO 及 Beyond Fear: Thinking Sensibly about Security in an Uncertain World這本書的作者。
安全務實,務實安全
閱讀原文,請至http://www.informationsecurity.com.tw/feature/view.asp?fid=831
美國洲際酒店資訊隱私保護部副總裁Lynn Goodendorf說:「PCI安全標準規定相當具體、明確且務實!」。 「如今沒有人不談論加密的問題,幾乎大家都將加密視為是拯救安全的仙丹妙藥!在支付卡產業(PCI,Payment Card Industry)安全標準當中,對於加密方式的佈署描述,其實已有相當詳盡的解說。」Loyalty實驗室的資安長Barak Engel說。 要讓企業決策執行者批准公司安全專案經費,就像是從他們身上割下一塊肉那樣地困難。可是當Honeybaked Ham公司IT系統部經理Eric Goldoff跟高層這麼解釋:若是沒有遵從PCI資料安全標準(Payment Card Industry Data Security Standard)的話,可是要罰一大筆錢的!不久後,Goldoff用來支應安全事務方面的費用,於是就有了著落。 「要上頭通過一筆毫無利潤可圖的經費,是我們IT部門的難處所在。」Goldoff說,「但是,若到時又沒有作出一點像樣的成績,這案子大概就會先擱著,或者被延到下個會計年度再處理了。」雖然PCI有著類似SOX和HIPAA的法規要求,卻沒有法律上的強制性,但該標準還是引起CXO的注意,他們也願意掏錢作資安。即便它與某些採立法方式作電腦安全的法規不同,PCI也贏得從事資料加密、防火牆的安全專家們一致的讚賞。
美國洲際酒店資訊隱私保護部副總裁Lynn Goodendorf說:「PCI安全標準規定相當具體、明確且務實!」。 「如今沒有人不談論加密的問題,幾乎大家都將加密視為是拯救安全的仙丹妙藥!在支付卡產業(PCI,Payment Card Industry)安全標準當中,對於加密方式的佈署描述,其實已有相當詳盡的解說。」Loyalty實驗室的資安長Barak Engel說。 要讓企業決策執行者批准公司安全專案經費,就像是從他們身上割下一塊肉那樣地困難。可是當Honeybaked Ham公司IT系統部經理Eric Goldoff跟高層這麼解釋:若是沒有遵從PCI資料安全標準(Payment Card Industry Data Security Standard)的話,可是要罰一大筆錢的!不久後,Goldoff用來支應安全事務方面的費用,於是就有了著落。 「要上頭通過一筆毫無利潤可圖的經費,是我們IT部門的難處所在。」Goldoff說,「但是,若到時又沒有作出一點像樣的成績,這案子大概就會先擱著,或者被延到下個會計年度再處理了。」雖然PCI有著類似SOX和HIPAA的法規要求,卻沒有法律上的強制性,但該標準還是引起CXO的注意,他們也願意掏錢作資安。即便它與某些採立法方式作電腦安全的法規不同,PCI也贏得從事資料加密、防火牆的安全專家們一致的讚賞。
破除光纖迷思
你曉得自己的有線網路與無線區域網路可以被監聽,資料可能洩漏。但如果是光纖網路的話就不會了,是嗎?
那可不一定。
儘管一般認為光纖網路比起標準的接線或微波網路要來得安全,然而事實上光纖纜線卻是同樣脆弱的,只要使用隨手可得的商用硬體和軟體,就能夠達到技術性入侵破壞的目的。
鮮少有關於光纖網路被駭客入侵的公開報告。2000年的時候,Deutsche Telekom公司的3條主要長途電話線路在德國的Frankfurt機場遭到破壞。2003年的時候,Verizon Communications公司的光纖網路被發現遭到安裝非法的竊聽裝置。一般相信是有人試著想要在共同基金公司正式發表之前,搶先知道季報的內容─這些資訊可能價值上百萬元。
包括光纖網路遭到竊聽在內的國際事件,在荷蘭與德國可以在警察網路上面找到消息,而在美國與法國,則可以在國際性製藥大廠的網路上面找得到。
那些備受矚目的光纖入侵事件提供的資訊相當有限。主要是因為這些事件通常未被報導,甚至是還沒有被發現。
在光纖纜線上面加裝竊聽器原本是國家情報機關的手段之一。以2005年2月首次服役的海軍Jimmy Carter號(造價3.2億美元的海狼級潛水艇)為例,就特地改建以便加入「訊號情報」(signal Intelligence)能力──此乃軍事用語,意指為海底的纜線加裝竊聽器,以便監聽通訊。
最近一次是2003年, John Pescatore 副總裁(Gartner的卓越分析師,曾經是受過國家安全局訓練的美國特勤局安全工程師)表示,儘管近十年來光纖纜線遭到入侵的情形不斷發生,不過駭客想要避免被偵測發現,以及處理竊取得到的資料,仍舊比一般常見的入侵手法要來得困難。
然而情況已經改變。在美國系統網路安全協會(SANS Institute)於2005年所發表的研究論文裡面,Kimberlie Witcher提到了業界專家們的說法,光纖幾乎就跟銅製網路線一樣容易被監聽。
想要竊聽光纖資料不再需要動用到潛水艇,也不再需要由政府機關出資數百萬美元成立專案了。這類的竊聽裝置已經變得相當便宜與平常,任何經驗老道的駭客都可以很輕鬆地成功完成入侵攻擊。
「你現在就可以上網,只要花個大約900塊美金就能夠買到一個竊聽器,」SafeNet(這是一家資料加密保護公司,長期投入光纖纜線的防駭實驗)的副總裁暨資料保護業務單位的總經理Andy Solterbeck表示。「我們在實驗室裡面曾經訂購了一個;並在Interop上面做過示範;我們的用意是向人們展示,確實存在著這樣的威脅。」Solterbeck補充道。
駭客手法大公開
要竊聽光纖資料,已經跟其他任何形式的入侵一樣簡單了,竊聽設備可以是硬體、軟體或知識。光纖網路的形成,利用的是從極細的玻璃纖維中所擷取到的光線。首先,就是取得目標光纖纜線。地球上的光纖纜線有幾千幾百萬英里長,光是美國就擁有超過9千萬英里。雖然這些纜線大部分都不容易接觸到─通常埋在地底下、海底深處,或者包裹在混凝土裡面,沿著牆壁與電梯的升降通道佈建─不過有許多纜線很快就可以被人們看見了。舉例來說,部分城市就在網路上張貼了詳細的光纖基礎建設地圖,以便努力吸引當地的組織加入該網路的建構與使用。
在鎖定目標並且成功取得纜線的位置之後,下一步便是從纜線裡面擷取光線訊號(這些訊號最終將會轉變成資料)。
將光纖纜線折彎是最簡單的辦法。同時這也是最不容易被偵測察覺的方法,因為光線訊號並未被中斷。市面上買得到的夾子型連結器的售價還不到千塊美元。這些裝置會以微彎的方式夾在纜線上面,好讓微量的光線從包覆著塑膠聚合物當作保護的纜線當中流洩出來。
一旦取得了光線訊號,便能夠利用光感偵測器(一種可以將光線訊號轉變成電子訊號的設備)來擷取資料。在eBay上面看到的價格大約500美元。同時我們在eBay上面也找到了下一個步驟需要用到的從玻璃纖維裡面竊取資料的裝置─光學/電子轉換器,價格一樣差不多是500美元。這個設備可以幫助建立與網路卡之間的連線。一旦成功地在適當位置安裝了竊聽器,免費取得的網路封包擷取軟體就可以被用來擷取封包,並過濾出有用的資料來,舉凡IP與MAC位址、向外傳送的資料當中的DNS資訊與關鍵字。
另一個方法─接合,就沒那麼實用了,因為它通常很容易被偵測發現,原因在於這個方法會導致光線訊號短暫的中斷。根據Wayne Siddall(使用Corning Fiber的光纖工程師)的解釋,接線生將會察覺這種服務進行期間的中斷情形,因為能夠同時承載1億條連線的光纖纜線,必須擁有即時完成訊號的重新路由的能力,以維持網路的健全運作,即便只是1毫秒的中斷都不被允許。除此之外,市面上買得到的接合裝置也太貴了,售價大約7,000到9,000美元。
如何保護光纖網路
有一些供應商開發了可以用來保護光纖網路的工具,提供實體層的入侵偵測與預防功能。它們能夠辨識並以光線事件來警告接線生,這些事件包括惡意入侵、纜線遭到破壞、接收端超過負載、衰弱的光線訊號、資料訊號遺失、瞬間變化與電源中斷等。
位於美國賓夕法尼亞州的Opterna(www.opterna.com)所販賣的FiberSentinel系統,是一種機架式的光纖入侵偵測系統(IDS),提供了針對光纖網路的被動式即時與各種通訊協定的監視。當流量同時被重新路由到其他路徑(透過人為的間諜技術)時,入侵行為會被自動偵測,並且關機。
另外一個光纖IDS 的解決方案是CompuDyne(www.compudyne.com)的Fiber SenSys,並且廣受世界各地政府與軍方、機場、煉油廠、變電所、核能發電廠、淨水廠與儲存倉庫、企業總部、製造中心的採用。
Oyster Optics(www.oysteroptics.com)從2001年開始,便著手開發光纖安全與監控的前端技術。Oyster Optics的解決方案是與供應商及通訊協定無關的,因此可以降低某些風險,例如竊聽、企業或政府的間諜活動、網路遭受恐怖攻擊而損毀等威脅。
這樣看來,這些偵測解決方案想要防止光纖網路上面的資料遭竊的唯一辦法,還是在於應該要將傳輸的資料加密。
「我想我們已經在各種網路媒介中看到加密獲得了廣泛的採用,包括光纖網路─因為加密可以使竊聽形同無效。」Gartner的Pescatore表示。「一般而言,我認為安全已經往上升級了,而且光纖相較於許多其他的線路,想要竊聽其中的資料仍舊還是比較困難的。不過我們給企業的忠告是,將所有的網路連線加密,因為無論是銅線、光纖、無線─都是不夠安全的。」
許多組織都犯了一個錯誤,就是同時為資料與傳輸進行加密,這基本上是浪費金錢的行為。如果資料經過加密,那麼就不需要再多花錢透過安全通道來傳送這些資料了。目前的趨勢傾向於在資料層加密,如此可以減少傳輸方面的延遲與負擔。
光纖網路的不足
犯罪威脅仍然持續在成長當中。美國消費者事務部估計,因為資料安全防護不夠牢靠的緣故,2005年有超過5千萬名美國人收到通知,說他們的個人資料遭竊。
FBI電腦犯罪單位估計,每年因為商業間諜損失的金額超過1,000億美元。為了反制這種情形,個人與組織每年花費上億美元在資訊安全產品的採購上面。美國系統網路安全協會所列出的聯邦政府2006年IT安全預算,僅僅只有16.85億美元─只比前一年增加了7.2%。
不幸的是,大部分傳統的安全防護方法都無法有效用來處理光纖駭客入侵事件。金融、健康、保險與公開交易的公司們雖然致力於符合法規,但是卻很少考慮到一個事實-透過光纖通訊傳輸的私人與機密資料同樣是可以被擷取到的,駭客只是尚未被偵測發現而已。換句話說,你傳輸的資料可能已經被洩漏了,只是你還不曉得而已。要保護光纖傳輸的安全通常代價昂貴而且不易達成目的,況且壞人總是在我們開始採取保護措施之前就已經先下手為強了。Sandra Kay Miller是《Information Security》的技術編輯
那可不一定。
儘管一般認為光纖網路比起標準的接線或微波網路要來得安全,然而事實上光纖纜線卻是同樣脆弱的,只要使用隨手可得的商用硬體和軟體,就能夠達到技術性入侵破壞的目的。
鮮少有關於光纖網路被駭客入侵的公開報告。2000年的時候,Deutsche Telekom公司的3條主要長途電話線路在德國的Frankfurt機場遭到破壞。2003年的時候,Verizon Communications公司的光纖網路被發現遭到安裝非法的竊聽裝置。一般相信是有人試著想要在共同基金公司正式發表之前,搶先知道季報的內容─這些資訊可能價值上百萬元。
包括光纖網路遭到竊聽在內的國際事件,在荷蘭與德國可以在警察網路上面找到消息,而在美國與法國,則可以在國際性製藥大廠的網路上面找得到。
那些備受矚目的光纖入侵事件提供的資訊相當有限。主要是因為這些事件通常未被報導,甚至是還沒有被發現。
在光纖纜線上面加裝竊聽器原本是國家情報機關的手段之一。以2005年2月首次服役的海軍Jimmy Carter號(造價3.2億美元的海狼級潛水艇)為例,就特地改建以便加入「訊號情報」(signal Intelligence)能力──此乃軍事用語,意指為海底的纜線加裝竊聽器,以便監聽通訊。
最近一次是2003年, John Pescatore 副總裁(Gartner的卓越分析師,曾經是受過國家安全局訓練的美國特勤局安全工程師)表示,儘管近十年來光纖纜線遭到入侵的情形不斷發生,不過駭客想要避免被偵測發現,以及處理竊取得到的資料,仍舊比一般常見的入侵手法要來得困難。
然而情況已經改變。在美國系統網路安全協會(SANS Institute)於2005年所發表的研究論文裡面,Kimberlie Witcher提到了業界專家們的說法,光纖幾乎就跟銅製網路線一樣容易被監聽。
想要竊聽光纖資料不再需要動用到潛水艇,也不再需要由政府機關出資數百萬美元成立專案了。這類的竊聽裝置已經變得相當便宜與平常,任何經驗老道的駭客都可以很輕鬆地成功完成入侵攻擊。
「你現在就可以上網,只要花個大約900塊美金就能夠買到一個竊聽器,」SafeNet(這是一家資料加密保護公司,長期投入光纖纜線的防駭實驗)的副總裁暨資料保護業務單位的總經理Andy Solterbeck表示。「我們在實驗室裡面曾經訂購了一個;並在Interop上面做過示範;我們的用意是向人們展示,確實存在著這樣的威脅。」Solterbeck補充道。
駭客手法大公開
要竊聽光纖資料,已經跟其他任何形式的入侵一樣簡單了,竊聽設備可以是硬體、軟體或知識。光纖網路的形成,利用的是從極細的玻璃纖維中所擷取到的光線。首先,就是取得目標光纖纜線。地球上的光纖纜線有幾千幾百萬英里長,光是美國就擁有超過9千萬英里。雖然這些纜線大部分都不容易接觸到─通常埋在地底下、海底深處,或者包裹在混凝土裡面,沿著牆壁與電梯的升降通道佈建─不過有許多纜線很快就可以被人們看見了。舉例來說,部分城市就在網路上張貼了詳細的光纖基礎建設地圖,以便努力吸引當地的組織加入該網路的建構與使用。
在鎖定目標並且成功取得纜線的位置之後,下一步便是從纜線裡面擷取光線訊號(這些訊號最終將會轉變成資料)。
將光纖纜線折彎是最簡單的辦法。同時這也是最不容易被偵測察覺的方法,因為光線訊號並未被中斷。市面上買得到的夾子型連結器的售價還不到千塊美元。這些裝置會以微彎的方式夾在纜線上面,好讓微量的光線從包覆著塑膠聚合物當作保護的纜線當中流洩出來。
一旦取得了光線訊號,便能夠利用光感偵測器(一種可以將光線訊號轉變成電子訊號的設備)來擷取資料。在eBay上面看到的價格大約500美元。同時我們在eBay上面也找到了下一個步驟需要用到的從玻璃纖維裡面竊取資料的裝置─光學/電子轉換器,價格一樣差不多是500美元。這個設備可以幫助建立與網路卡之間的連線。一旦成功地在適當位置安裝了竊聽器,免費取得的網路封包擷取軟體就可以被用來擷取封包,並過濾出有用的資料來,舉凡IP與MAC位址、向外傳送的資料當中的DNS資訊與關鍵字。
另一個方法─接合,就沒那麼實用了,因為它通常很容易被偵測發現,原因在於這個方法會導致光線訊號短暫的中斷。根據Wayne Siddall(使用Corning Fiber的光纖工程師)的解釋,接線生將會察覺這種服務進行期間的中斷情形,因為能夠同時承載1億條連線的光纖纜線,必須擁有即時完成訊號的重新路由的能力,以維持網路的健全運作,即便只是1毫秒的中斷都不被允許。除此之外,市面上買得到的接合裝置也太貴了,售價大約7,000到9,000美元。
如何保護光纖網路
有一些供應商開發了可以用來保護光纖網路的工具,提供實體層的入侵偵測與預防功能。它們能夠辨識並以光線事件來警告接線生,這些事件包括惡意入侵、纜線遭到破壞、接收端超過負載、衰弱的光線訊號、資料訊號遺失、瞬間變化與電源中斷等。
位於美國賓夕法尼亞州的Opterna(www.opterna.com)所販賣的FiberSentinel系統,是一種機架式的光纖入侵偵測系統(IDS),提供了針對光纖網路的被動式即時與各種通訊協定的監視。當流量同時被重新路由到其他路徑(透過人為的間諜技術)時,入侵行為會被自動偵測,並且關機。
另外一個光纖IDS 的解決方案是CompuDyne(www.compudyne.com)的Fiber SenSys,並且廣受世界各地政府與軍方、機場、煉油廠、變電所、核能發電廠、淨水廠與儲存倉庫、企業總部、製造中心的採用。
Oyster Optics(www.oysteroptics.com)從2001年開始,便著手開發光纖安全與監控的前端技術。Oyster Optics的解決方案是與供應商及通訊協定無關的,因此可以降低某些風險,例如竊聽、企業或政府的間諜活動、網路遭受恐怖攻擊而損毀等威脅。
這樣看來,這些偵測解決方案想要防止光纖網路上面的資料遭竊的唯一辦法,還是在於應該要將傳輸的資料加密。
「我想我們已經在各種網路媒介中看到加密獲得了廣泛的採用,包括光纖網路─因為加密可以使竊聽形同無效。」Gartner的Pescatore表示。「一般而言,我認為安全已經往上升級了,而且光纖相較於許多其他的線路,想要竊聽其中的資料仍舊還是比較困難的。不過我們給企業的忠告是,將所有的網路連線加密,因為無論是銅線、光纖、無線─都是不夠安全的。」
許多組織都犯了一個錯誤,就是同時為資料與傳輸進行加密,這基本上是浪費金錢的行為。如果資料經過加密,那麼就不需要再多花錢透過安全通道來傳送這些資料了。目前的趨勢傾向於在資料層加密,如此可以減少傳輸方面的延遲與負擔。
光纖網路的不足
犯罪威脅仍然持續在成長當中。美國消費者事務部估計,因為資料安全防護不夠牢靠的緣故,2005年有超過5千萬名美國人收到通知,說他們的個人資料遭竊。
FBI電腦犯罪單位估計,每年因為商業間諜損失的金額超過1,000億美元。為了反制這種情形,個人與組織每年花費上億美元在資訊安全產品的採購上面。美國系統網路安全協會所列出的聯邦政府2006年IT安全預算,僅僅只有16.85億美元─只比前一年增加了7.2%。
不幸的是,大部分傳統的安全防護方法都無法有效用來處理光纖駭客入侵事件。金融、健康、保險與公開交易的公司們雖然致力於符合法規,但是卻很少考慮到一個事實-透過光纖通訊傳輸的私人與機密資料同樣是可以被擷取到的,駭客只是尚未被偵測發現而已。換句話說,你傳輸的資料可能已經被洩漏了,只是你還不曉得而已。要保護光纖傳輸的安全通常代價昂貴而且不易達成目的,況且壞人總是在我們開始採取保護措施之前就已經先下手為強了。Sandra Kay Miller是《Information Security》的技術編輯
2007年1月25日 星期四
To migrate ODBC data sources, perform the following steps:
To migrate ODBC data sources, perform the following steps:
Start regedit.exe. Go to HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI, and highlight the ODBC.INI key in the left pane. From the Registry menu, select Export Registry File. Select odbc.reg, and save it to a network share. Go to your target machine and browse to the same key in the registry. Right-click ODBC.INI and choose Rename. As a backup, rename ODBC.INI as ODBC.INI.OLD. Highlight ODBC.INI's parent registry key (ODBC). From the Registry menu, select Import Registry File and browse to the network share where you saved odbc.reg. Double-click odbc.reg to import it. Test your applications that use the data sources to verify that the import worked properly.
Remember, you can always roll back by renaming ODBC.INI.OLD to ODBC.INI.
Start regedit.exe. Go to HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI, and highlight the ODBC.INI key in the left pane. From the Registry menu, select Export Registry File. Select odbc.reg, and save it to a network share. Go to your target machine and browse to the same key in the registry. Right-click ODBC.INI and choose Rename. As a backup, rename ODBC.INI as ODBC.INI.OLD. Highlight ODBC.INI's parent registry key (ODBC). From the Registry menu, select Import Registry File and browse to the network share where you saved odbc.reg. Double-click odbc.reg to import it. Test your applications that use the data sources to verify that the import worked properly.
Remember, you can always roll back by renaming ODBC.INI.OLD to ODBC.INI.
2007年1月24日 星期三
Exchange 2003 之 Direct Push Mail
關於Push Mail在經過測試情況下,最少使用兩台Server來建置前後端的架構,
才能避免要手動修改IIS及Registry後仍不見得可以使用的情況下出現。
因為在同一台Exchange要在IIS開啟SSL及使用FBA(Exchange中的Form Base驗證),
兩者在同一台Server下運作會相衝突,而導致出現錯誤==>如無法驗證
經與一些人討論後,一些對部份有研究的網友,他們提出一個最簡單的問題描述。
就是FQDN不同(內部及外部)所產生的問題。
如果確定要試只有一台的情況下運作,請參考~
http://support.microsoft.com/kb/817379/
http://support.microsoft.com/default.aspx/kb/817379/en-us
問題描述:Activesync not working; users encountering error 0X85010014 on mobile device
解決方法: The issue occurs in a single server environment, if the Exchange server has Forms-based authentication (FBA) enabled or if SSL is enabled.Carrying out the action items (Method 2) mentioned in Microsoft KB article 817379, we should resolve the issue.重要 方法 2 只適用於沒有 Exchange Server 2003 前端伺服器的環境。您應該只修改信箱所在位置之伺服器上的登錄。針對不需要 SSL 的 Exchange 建立次要虛擬目錄,然後新增登錄值來指向新的虛擬目錄。您必須使用 Internet Information Services (IIS) Manager 來建立此虛擬目錄,Exchange ActiveSync 及 Outlook Mobile Access 才能運作。如果您使用的是 Windows Server 2003,請遵循下列指示:注意 這些步驟會同時影響 Outlook Mobile Access 連線及 Exchange ActiveSync 連線。執行這些步驟之後,Outlook Mobile Access 及 Exchange ActiveSync 連線都會使用您所建立的新虛擬目錄。
1.
啟動「網際網路資訊服務 (IIS) 管理員」。
2.
找出 Exchange 虛擬目錄。預設位置如下:
Web Sites\Default Web Site\Exchange
3.
用滑鼠右鍵按一下 Exchange 虛擬目錄,按一下 [所有工作],再按一下 [儲存設定到檔案]。
4.
在 [檔案名稱] 方塊中,輸入名稱。例如,輸入 ExchangeVDir。按一下 [確定]。
5.
用滑鼠右鍵按一下此網站的根目錄。這通常是「預設網站」。按一下 [新增],再按一下 [虛擬目錄 (從檔案)...]。
6.
在 [匯入設定] 對話方塊中,按一下 [瀏覽],找出您在步驟 4 中建立的檔案,按一下 [開啟],再按一下 [讀取檔案]。
7.
在 [選取要匯入的設定] 之下,按一下 [Exchange],然後按一下 [確定]。隨即顯示對話方塊,說明「虛擬目錄已經存在」。
8.
在 [別名] 方塊中,輸入您要讓 Exchange ActiveSync 及 Outlook Mobile Access 使用之新虛擬目錄的名稱。例如,輸入 exchange-oma。按一下 [確定]。
9.
用滑鼠右鍵按一下新虛擬目錄。在此範例中,請按一下 [exchange-oma]。按一下 [內容]。
10.
按一下 [目錄安全設定] 索引標籤。
11.
在 [驗證及存取控制] 之下,按一下 [編輯]。
12.
確定只有啟用下列驗證方法,然後按一下 [確定]:
•
整合式 Windows 驗證
•
基本驗證 (使用純文字傳送密碼)
13.
在 [IP 位址及網域名稱限制] 下,按一下 [編輯]。
14.
依序按一下 [拒絕存取]、[新增]、[單一電腦],輸入您要設定之伺服器的 IP 位址,然後按一下 [確定]。
15.
在 [安全通訊] 之下,按一下 [編輯]。確認沒有啟用 [必須使用安全通道 (SSL)],然後按一下 [確定]。
16.
按一下 [確定],然後關閉「IIS 管理員」。
17.
按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]。
18.
找出下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters
19.
用滑鼠右鍵按一下 [Parameters],指向 [新增],然後按一下 [字串值]。
20.
輸入 ExchangeVDir,然後按 ENTER 鍵。在 [ExchangeVDir] 上按一下滑鼠右鍵,然後按一下 [修改]。注意ExchangeVDir 必須區分大小寫。如果您沒有完全按照本文所顯示的 ExchangeVDir 來輸入,當 ActiveSync 在尋找 exchange-oma 資料夾時,會找不到該機碼。
21.
在 [數值資料] 方塊中,輸入您在步驟 8 建立之新虛擬目錄的名稱,前面要加上斜線 (/)。例如,輸入 /exchange-oma。按一下 [確定]。
22.
結束 [登錄編輯程式]。
23.
重新啟動 IIS 管理服務。如果要執行這項操作,請依照下列步驟執行:
a.
按一下 [開始],再按一下 [執行],輸入 services.msc,再按一下 [確定]。
b.
在服務清單中,用滑鼠右鍵按一下 [IIS 管理服務],然後按一下 [重新啟動]。
注意 如果伺服器是 Microsoft Windows Small Business Server 2003 (SBS),則 Exchange OMA 虛擬目錄的名稱必須是 exchange-oma。Microsoft Windows Small Business Server 2003 的整合式安裝會在 IIS 中建立 exchange-oma 虛擬目錄。此外,它會在初始化安裝期間,將 ExchangeVDir 登錄機碼指向 /exchange-oma。其他 SBS 精靈,例如:設定電子郵件及網際網路連線精靈 (CEICW) 也會預期 IIS 中的虛擬目錄名稱為 exchange-oma。參考文件:Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required for Exchange Server 2003http://support.microsoft.com/?id=817379
http://support.microsoft.com/kb/280823
方法 2: 使用 ADSUtil 以刪除 DS 2 MB 機碼
a.
請遵循步驟到市要備份 Metabase 的 " 方法 1: 重設 \uc1 HighWaterMarks 」 區段。
b.
展開 [ 預設 Web 站台 , 然後刪除下列虛擬目錄:
•
Microsoft - Server - ActiveSync
•
OMA
•
Exadmin
•
Exchange
•
公用
•
ExchWeb
c.
開啟命令提示字元, 輸入 c:\inetpub\adminscripts , 並按 ENTER 鍵。
d.
鍵入 adsutil , 並按下 ENTER 鍵。 如果 CScript 是主應用程式在這部電腦上, 指令碼不是預設值會收到下列訊息:
這段指令碼與 WScript 無法運作。
按一下 [ 確定 ] , 按一下 [ 是 ] , 登錄 CScript 按一下 [ 確定 ] , 然後再次按一下 [ 確定 ] 。如果 CScript 注意 已經為指令碼文字, 以描述如何使用 Adsutil . vbs 工具就會出現主應用程式, 預設值。
e.
輸入 刪除 ds2mb adsutil , 並按下 ENTER 鍵。
f.
重新啟動 Microsoft Exchange System Attendant 服務來重新建立在 IIS 中的虛擬目錄。 請注意 重新如果無法重新建立虛擬目錄都是在 15 分鐘後, 啟動伺服器。
g.
在 IIS 管理員, 展開 [ 預設 Web 站台 、, Exchweb ] 上按一下滑鼠右鍵然後按一下 [ 內容 ] 。
h.
按一下 [ 目錄安全性 ] 索引標籤, 及在 [ 驗證及存取控制 [ 編輯 ] 。
i.
確認已選取只 啟用匿名存取 核取方塊。
j.
以滑鼠右鍵按一下 [ 預設 Web 站台 , 並按一下 [ 停止 ] 。
k.
以滑鼠右鍵按一下 [ 預設 Web 站台 , 並按一下 [ 開始 ] 。
才能避免要手動修改IIS及Registry後仍不見得可以使用的情況下出現。
因為在同一台Exchange要在IIS開啟SSL及使用FBA(Exchange中的Form Base驗證),
兩者在同一台Server下運作會相衝突,而導致出現錯誤==>如無法驗證
經與一些人討論後,一些對部份有研究的網友,他們提出一個最簡單的問題描述。
就是FQDN不同(內部及外部)所產生的問題。
如果確定要試只有一台的情況下運作,請參考~
http://support.microsoft.com/kb/817379/
http://support.microsoft.com/default.aspx/kb/817379/en-us
問題描述:Activesync not working; users encountering error 0X85010014 on mobile device
解決方法: The issue occurs in a single server environment, if the Exchange server has Forms-based authentication (FBA) enabled or if SSL is enabled.Carrying out the action items (Method 2) mentioned in Microsoft KB article 817379, we should resolve the issue.重要 方法 2 只適用於沒有 Exchange Server 2003 前端伺服器的環境。您應該只修改信箱所在位置之伺服器上的登錄。針對不需要 SSL 的 Exchange 建立次要虛擬目錄,然後新增登錄值來指向新的虛擬目錄。您必須使用 Internet Information Services (IIS) Manager 來建立此虛擬目錄,Exchange ActiveSync 及 Outlook Mobile Access 才能運作。如果您使用的是 Windows Server 2003,請遵循下列指示:注意 這些步驟會同時影響 Outlook Mobile Access 連線及 Exchange ActiveSync 連線。執行這些步驟之後,Outlook Mobile Access 及 Exchange ActiveSync 連線都會使用您所建立的新虛擬目錄。
1.
啟動「網際網路資訊服務 (IIS) 管理員」。
2.
找出 Exchange 虛擬目錄。預設位置如下:
Web Sites\Default Web Site\Exchange
3.
用滑鼠右鍵按一下 Exchange 虛擬目錄,按一下 [所有工作],再按一下 [儲存設定到檔案]。
4.
在 [檔案名稱] 方塊中,輸入名稱。例如,輸入 ExchangeVDir。按一下 [確定]。
5.
用滑鼠右鍵按一下此網站的根目錄。這通常是「預設網站」。按一下 [新增],再按一下 [虛擬目錄 (從檔案)...]。
6.
在 [匯入設定] 對話方塊中,按一下 [瀏覽],找出您在步驟 4 中建立的檔案,按一下 [開啟],再按一下 [讀取檔案]。
7.
在 [選取要匯入的設定] 之下,按一下 [Exchange],然後按一下 [確定]。隨即顯示對話方塊,說明「虛擬目錄已經存在」。
8.
在 [別名] 方塊中,輸入您要讓 Exchange ActiveSync 及 Outlook Mobile Access 使用之新虛擬目錄的名稱。例如,輸入 exchange-oma。按一下 [確定]。
9.
用滑鼠右鍵按一下新虛擬目錄。在此範例中,請按一下 [exchange-oma]。按一下 [內容]。
10.
按一下 [目錄安全設定] 索引標籤。
11.
在 [驗證及存取控制] 之下,按一下 [編輯]。
12.
確定只有啟用下列驗證方法,然後按一下 [確定]:
•
整合式 Windows 驗證
•
基本驗證 (使用純文字傳送密碼)
13.
在 [IP 位址及網域名稱限制] 下,按一下 [編輯]。
14.
依序按一下 [拒絕存取]、[新增]、[單一電腦],輸入您要設定之伺服器的 IP 位址,然後按一下 [確定]。
15.
在 [安全通訊] 之下,按一下 [編輯]。確認沒有啟用 [必須使用安全通道 (SSL)],然後按一下 [確定]。
16.
按一下 [確定],然後關閉「IIS 管理員」。
17.
按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]。
18.
找出下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MasSync\Parameters
19.
用滑鼠右鍵按一下 [Parameters],指向 [新增],然後按一下 [字串值]。
20.
輸入 ExchangeVDir,然後按 ENTER 鍵。在 [ExchangeVDir] 上按一下滑鼠右鍵,然後按一下 [修改]。注意ExchangeVDir 必須區分大小寫。如果您沒有完全按照本文所顯示的 ExchangeVDir 來輸入,當 ActiveSync 在尋找 exchange-oma 資料夾時,會找不到該機碼。
21.
在 [數值資料] 方塊中,輸入您在步驟 8 建立之新虛擬目錄的名稱,前面要加上斜線 (/)。例如,輸入 /exchange-oma。按一下 [確定]。
22.
結束 [登錄編輯程式]。
23.
重新啟動 IIS 管理服務。如果要執行這項操作,請依照下列步驟執行:
a.
按一下 [開始],再按一下 [執行],輸入 services.msc,再按一下 [確定]。
b.
在服務清單中,用滑鼠右鍵按一下 [IIS 管理服務],然後按一下 [重新啟動]。
注意 如果伺服器是 Microsoft Windows Small Business Server 2003 (SBS),則 Exchange OMA 虛擬目錄的名稱必須是 exchange-oma。Microsoft Windows Small Business Server 2003 的整合式安裝會在 IIS 中建立 exchange-oma 虛擬目錄。此外,它會在初始化安裝期間,將 ExchangeVDir 登錄機碼指向 /exchange-oma。其他 SBS 精靈,例如:設定電子郵件及網際網路連線精靈 (CEICW) 也會預期 IIS 中的虛擬目錄名稱為 exchange-oma。參考文件:Exchange ActiveSync and Outlook Mobile Access errors occur when SSL or forms-based authentication is required for Exchange Server 2003http://support.microsoft.com/?id=817379
http://support.microsoft.com/kb/280823
方法 2: 使用 ADSUtil 以刪除 DS 2 MB 機碼
a.
請遵循步驟到市要備份 Metabase 的 " 方法 1: 重設 \uc1 HighWaterMarks 」 區段。
b.
展開 [ 預設 Web 站台 , 然後刪除下列虛擬目錄:
•
Microsoft - Server - ActiveSync
•
OMA
•
Exadmin
•
Exchange
•
公用
•
ExchWeb
c.
開啟命令提示字元, 輸入 c:\inetpub\adminscripts , 並按 ENTER 鍵。
d.
鍵入 adsutil , 並按下 ENTER 鍵。 如果 CScript 是主應用程式在這部電腦上, 指令碼不是預設值會收到下列訊息:
這段指令碼與 WScript 無法運作。
按一下 [ 確定 ] , 按一下 [ 是 ] , 登錄 CScript 按一下 [ 確定 ] , 然後再次按一下 [ 確定 ] 。如果 CScript 注意 已經為指令碼文字, 以描述如何使用 Adsutil . vbs 工具就會出現主應用程式, 預設值。
e.
輸入 刪除 ds2mb adsutil , 並按下 ENTER 鍵。
f.
重新啟動 Microsoft Exchange System Attendant 服務來重新建立在 IIS 中的虛擬目錄。 請注意 重新如果無法重新建立虛擬目錄都是在 15 分鐘後, 啟動伺服器。
g.
在 IIS 管理員, 展開 [ 預設 Web 站台 、, Exchweb ] 上按一下滑鼠右鍵然後按一下 [ 內容 ] 。
h.
按一下 [ 目錄安全性 ] 索引標籤, 及在 [ 驗證及存取控制 [ 編輯 ] 。
i.
確認已選取只 啟用匿名存取 核取方塊。
j.
以滑鼠右鍵按一下 [ 預設 Web 站台 , 並按一下 [ 停止 ] 。
k.
以滑鼠右鍵按一下 [ 預設 Web 站台 , 並按一下 [ 開始 ] 。
Outlook 通訊錄不見
於 Outlook 中,欲寄出郵件時,看不到通訊錄裡的聯絡人,此時請先檢查是否有多個通訊錄:
點選 [工具] 功能表->[電子郵件帳號]
勾選[檢視或變更現有的目錄與通訊錄]->[下一步]在這邊可以看到目前既有的通訊錄個數,如果有多個的話,就要把空的通訊錄移除另外也可使用下列步驟先將空的通訊錄移除,然後再將原有通訊錄設定成預設的通訊錄
點選 [工具] 功能表->[電子郵件帳號]
勾選 [檢視或變更現有的目錄與通訊錄]->[下一步]
點選 [Outlook通訊錄],按右方之移除,再按下完成
請再重複以上步驟,於步驟 3 改為按下 [新增],再將 [Outlook通訊錄]加入
請點選您個人資料夾內之通訊錄,按滑鼠右鍵,選擇 [摘要資訊]
請於第三個標籤頁 [Outlook通訊錄],勾選 [將此資料夾顯示為電子郵件通訊錄] 即可
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
點選 [工具] 功能表->[電子郵件帳號]
勾選[檢視或變更現有的目錄與通訊錄]->[下一步]在這邊可以看到目前既有的通訊錄個數,如果有多個的話,就要把空的通訊錄移除另外也可使用下列步驟先將空的通訊錄移除,然後再將原有通訊錄設定成預設的通訊錄
點選 [工具] 功能表->[電子郵件帳號]
勾選 [檢視或變更現有的目錄與通訊錄]->[下一步]
點選 [Outlook通訊錄],按右方之移除,再按下完成
請再重複以上步驟,於步驟 3 改為按下 [新增],再將 [Outlook通訊錄]加入
請點選您個人資料夾內之通訊錄,按滑鼠右鍵,選擇 [摘要資訊]
請於第三個標籤頁 [Outlook通訊錄],勾選 [將此資料夾顯示為電子郵件通訊錄] 即可
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
如何知道上次登入系統的時間 - 使用現成指令法
如果是單機的作業系統環境,可以鍵入如下的指令來查詢上次登入系統的時間:net user %username% findstr "上次登入時間"如果是登入到主網域電腦環境時,可以使用如下的指令:net user %username% /DOMAIN findstr "上次登入時間"您可能會好奇,知道這個資訊有用嗎?當然有用,您可以知道是否有人使用您的帳號登入系統,比方說,在公司網域環境中,您如果發現上次登入系統的時間,自己根本沒有登入系統,就應該趕緊更改密碼,以免自己的機密資料被他人竊取!
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
如何快速備份 Outlook 相關的設定
使用 [儲存我的設定精靈] 可以讓您的 Office 設定或設定檔(姑且稱它為「組態」吧)完整備份,所謂的「組態」是一群定義您的 Office 程式偏好及選項的設定。這些設定包括以下:
工具列修改
功能表修改
[選項] 對話方塊中的設定 ([工具] 功能表)
範本、檔案及美工圖案的預設位置
儲存檔案的預設格式
[自動校正] 清單
自訂字典
Office 快捷列自訂
範本那麼 [儲存我的設定精靈] 在哪裡呢?請從 [開始]->[程式集]->[Microsoft Office]->[Microsoft Office 工具]->[Microsoft Office 2003 儲存個人設定精靈]要注意的是,當您重新安裝 Outlook 之後,因為新的 Outlook 與舊的 Outlook 兩個內容的唯一識別碼(GUID)不一樣,因次您可能需要重新手動鍵入郵件密碼。
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
工具列修改
功能表修改
[選項] 對話方塊中的設定 ([工具] 功能表)
範本、檔案及美工圖案的預設位置
儲存檔案的預設格式
[自動校正] 清單
自訂字典
Office 快捷列自訂
範本那麼 [儲存我的設定精靈] 在哪裡呢?請從 [開始]->[程式集]->[Microsoft Office]->[Microsoft Office 工具]->[Microsoft Office 2003 儲存個人設定精靈]要注意的是,當您重新安裝 Outlook 之後,因為新的 Outlook 與舊的 Outlook 兩個內容的唯一識別碼(GUID)不一樣,因次您可能需要重新手動鍵入郵件密碼。
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
程式背景化(服務化)及移除
如何移除「服務」
移除服務的方式有下列幾種:1. 撰寫 Script 程式:若您知道您要移除什麼服務的話,建議使用這個方式,但請注意:若您移除了核心的服務,將可能造成系統嚴重的問題。
---程式碼開始---
Const title = "服務移除工具"
Set oWS = CreateObject("Wscript.Shell")
sService = inputbox("請輸入欲移除的服務名稱",title,"Service_name")
If sService = "" then
msgbox "程式停止執行,沒有移除任何服務。", vbInformation, title
wscript.quit
End If
'//確認是否移除服務result = MsgBox ("即將移除 " & sService & " 這個服務,您確定嗎?", vbQuestion + vbYesno, title)
If result = vbNo Then
Msgbox "程式停止執行,沒有移除任何服務。", vbInformation, title
wscript.quit
End If
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
'//檢查要移除的服務是否存在Set colListOfServices = objWMIService.ExecQuery _("Select * from Win32_Service Where Name = '" & sService & "' ordisplayName = '" & sService & "'")
If colListOfServices.count > 0 Then
For Each objService In colListOfServices
objService.StopService()
'//暫停 5 秒鐘,以確保服務已停止
wscript.Sleep 5000
objService.Delete()
Msgbox sService & " 已移除或已被標示成刪除。", vbInformation, title
Next
Else
Msgbox "找不到 " & sService & " 這個服務。", vbInformation, title
End If
---程式碼結束---
2. 使用 Windows 2000/2003 Resource Kit:Resource Kit 裡有兩個程式可以將服務移除:instsrv.exe 與 srvinstw.exe 。srvany.exe 需要透過 srvinstw.exe 或 instsrv.exe 把它安裝成服務,而且還要手動編輯機碼。srvinstw.exe 或 instsrv.exe 可以安裝和刪除服務,而 srvany.exe 可以讓程式以系統服務方式運行。其命令列語法如下 :
instsrv <服務名稱> <可執行檔的完整路徑與檔案名稱>
instsrv <服務名稱> remove這兩種語法分別用於安裝及刪除服務,其中:<服務名稱> 為要建立的服務之名稱 ,若名稱內含空白字元,須以雙引號(")將整個名稱包起來 。<可執行檔的完整路徑與檔案名稱> 為欲安裝的服務其可執行檔的完整路徑與檔案名稱 ,請注意:一定要輸入完整路徑。remove 指定要進行移除服務的程式,記得在移除前請先停止該服務。若經此命令安裝的服務尚須透過控制台的服務圖示或使用 NET START 指令將服務手動啟動,而使用這種方式安裝的服務,預設會使用指定帳號 (this account) 啟動、而非系統帳號(system account),因此須透過控制台的啟動設定鈕設定該服務的啟動帳號。下面的範例為安裝一個名稱為 Alex Service 的服務 :instsrv "Alex Service" c:\alex\alexsrv.exe下面的指令則將移除此服務 :instsrv "Alex Service" remove3. 刪除機碼:
找到下列的機碼位置並刪除: HK_LocalMachine\System\CurrentControlSet\Services\<服務名稱>
參考網站:
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;137890
http://www.electrasoft.com/srvany/srvany.htm
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
移除服務的方式有下列幾種:1. 撰寫 Script 程式:若您知道您要移除什麼服務的話,建議使用這個方式,但請注意:若您移除了核心的服務,將可能造成系統嚴重的問題。
---程式碼開始---
Const title = "服務移除工具"
Set oWS = CreateObject("Wscript.Shell")
sService = inputbox("請輸入欲移除的服務名稱",title,"Service_name")
If sService = "" then
msgbox "程式停止執行,沒有移除任何服務。", vbInformation, title
wscript.quit
End If
'//確認是否移除服務result = MsgBox ("即將移除 " & sService & " 這個服務,您確定嗎?", vbQuestion + vbYesno, title)
If result = vbNo Then
Msgbox "程式停止執行,沒有移除任何服務。", vbInformation, title
wscript.quit
End If
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
'//檢查要移除的服務是否存在Set colListOfServices = objWMIService.ExecQuery _("Select * from Win32_Service Where Name = '" & sService & "' ordisplayName = '" & sService & "'")
If colListOfServices.count > 0 Then
For Each objService In colListOfServices
objService.StopService()
'//暫停 5 秒鐘,以確保服務已停止
wscript.Sleep 5000
objService.Delete()
Msgbox sService & " 已移除或已被標示成刪除。", vbInformation, title
Next
Else
Msgbox "找不到 " & sService & " 這個服務。", vbInformation, title
End If
---程式碼結束---
2. 使用 Windows 2000/2003 Resource Kit:Resource Kit 裡有兩個程式可以將服務移除:instsrv.exe 與 srvinstw.exe 。srvany.exe 需要透過 srvinstw.exe 或 instsrv.exe 把它安裝成服務,而且還要手動編輯機碼。srvinstw.exe 或 instsrv.exe 可以安裝和刪除服務,而 srvany.exe 可以讓程式以系統服務方式運行。其命令列語法如下 :
instsrv <服務名稱> <可執行檔的完整路徑與檔案名稱>
instsrv <服務名稱> remove這兩種語法分別用於安裝及刪除服務,其中:<服務名稱> 為要建立的服務之名稱 ,若名稱內含空白字元,須以雙引號(")將整個名稱包起來 。<可執行檔的完整路徑與檔案名稱> 為欲安裝的服務其可執行檔的完整路徑與檔案名稱 ,請注意:一定要輸入完整路徑。remove 指定要進行移除服務的程式,記得在移除前請先停止該服務。若經此命令安裝的服務尚須透過控制台的服務圖示或使用 NET START 指令將服務手動啟動,而使用這種方式安裝的服務,預設會使用指定帳號 (this account) 啟動、而非系統帳號(system account),因此須透過控制台的啟動設定鈕設定該服務的啟動帳號。下面的範例為安裝一個名稱為 Alex Service 的服務 :instsrv "Alex Service" c:\alex\alexsrv.exe下面的指令則將移除此服務 :instsrv "Alex Service" remove3. 刪除機碼:
找到下列的機碼位置並刪除: HK_LocalMachine\System\CurrentControlSet\Services\<服務名稱>
參考網站:
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;137890
http://www.electrasoft.com/srvany/srvany.htm
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
原作者:alex chuo http://alexchuo.blogspot.com/2006/08/outlook.html
網路應用日漸複雜,加速產品有其空間
即便現在有企業仍覺得不需要此類產品,但是隨著在企業內廣域網路上跑的應用日益增多,未來應用程式加速產品,必然會是企業解決網路效能上,一塊重要解決方案。 事實上,根據調查機構IDC針對今年至2011年全球應用程式加速產品的報告,應用程式加速產品還能夠滿足未來企業在業務部署需求上幾個方面的優勢。該份報告中指出,未來企業網路上的應用流量將會更多元,諸如整合語音、資料、影像的3合1網路架構;虛擬化的相關建置,以及類似SaaS(Software as a Service)等的服務開始崛起;或是越來越多的行動工作者開始使用手持裝置接取資料,在這些流量需求趨勢的改變下,將使得企業內部廣域網路,必須能夠機動的控管或隨時撥出頻寬來提供給新的應用流量,這代表應用程式加速產品,將會日漸受到有這些需求的企業所青睞。
http://www.ithome.com.tw/itadm/article.php?c=41055&s=1
http://www.ithome.com.tw/itadm/article.php?c=41055&s=1
訂閱:
文章 (Atom)