 |
更新日期:2007-4-2 |
想要知道誰把你的 MSN 封鎖了嗎? 千萬不要中了釣魚網站詭計,一個號稱可以查詢「誰把自己從連絡人清單中封鎖」的網站正在網路上流傳, 微軟 已經證實這是一個釣魚網站,目的就是要竊取網友的帳號及密碼,呼籲網友千萬不要受騙上當,而已經登入過的網友,要趕快更改MSN的密碼。(張德厚報導)
網友利用MSN傳遞訊息越來越普遍,不過有人會好奇為什麼有一些連絡人總是顯示不在線上,是不是對方把自己給封鎖了?一個名為「get-messenger」的網站(http://www.get-messenger.com)近日就在網路及MSN上流傳,號稱只要輸入自己MSN的帳號密碼,就可以查出誰把自己給封鎖了。不過經微軟證實,這其實是一個釣魚網站,跟MSN一點關係都沒有,目的就是要竊取網友的帳號及密碼,同時也可能把病毒寄送給竊取來帳號之中的所有聯絡人,微軟呼籲登入過的用戶盡快更改自己的密碼。台灣微軟MSN行銷經理鍾婉珍:『這個網站很明顯是一個釣魚網站,就是要取得你的帳號及密碼,那假如有用戶不小心輸入了帳號及密碼,建議趕快到MSN的網站去把密碼改掉,以免有人竊取到之後拿你的帳號去做其它的事情。』
目前MSN微軟總部已經緊急把「get-messenger」這個網站的字眼及網址都封鎖,即使輸入MSN的對話視窗也無法傳遞,不過還是有許多人再口耳相傳,微軟呼籲網友千萬不要受騙上當。微軟指出,目前並沒有任何方法或工具,可以查尋誰把自己給封鎖了,任何宣稱有此功能的軟體或網站,都是想要藉此進行詐騙。
《Storage》雜誌的編輯群們,回頭檢視過去一年的技術研討會、產品介紹與儲存標準,試圖找出那些我們預期會在2007年大熱門的儲存技術。如經常出現在雜誌文章中的iSCSI區域儲存網路及虛擬化。不過這兩項技術在接下來的一年,正準備要超越一些重要的門檻。其他的項目,如硬體層級的磁帶加密,因應磁帶遺失導致企業機密外洩的趨勢而顯的重要。
「儲存資源隨需分配( Thin provisioning)」技術,過去長期由單一儲存系統供應商3PAR掌握著優勢,此技術也開始獲得其他廠商的注意,推出相關產品。我們預期「儲存資源隨需分配」將會變成磁碟陣列的基本功能,因為這項技術能在任何特定時間避免掉儲存空間出現不足的狀況,可以節省營運成本。
硬碟機的製作技術,持續打破對於資料容量的成長預測,儲存科技工業將會在2007年導入1TB的硬碟, 且很快地就會有更大容量的機種出現。其他的新科技:重複資料刪除(Data Deduplication)、連續資料保護(CDP)、資料分級與資訊生命週期管理(ILM),看起來頗有前途,但仍需要一些時間來成熟發展,獲得更高的接受度。以下是我們挑選出來在2007年熱門的儲存科技。
iSCSI區域儲存網路
因為iSCSI的低花費與易於建置,中等規模的組織早已選擇了此技術。從前,1Gb/sec的頻寬與IP網路差不多快的,(現在IP網路已經更進步)不過這並不構成問題。「效能並非主要考量,成本才是更大的效益」Shiloh Industries公司iSCSI區域儲存網路、虛擬化、儲存資源隨需分配技術、高容量的磁碟機、硬體層級的磁帶加密,將會成為明年一定要知道的技術。
(俄亥俄州Valley City的自動化工業元件領導廠商)的網路服務管理者Steve Meckling說道。iSCSI已經穩定地成為趨勢。依據最近Framingham的報告,iSCSI
協定預期可以取得超過一成的儲存設備市場,甚至在2008年會佔有更高的百分比。以前的儲存網路,大型企業視iSCSI區域儲存網路為企業的輔助方案,也許會繼續擴展為光纖區域儲存網路帶來企業等級的效能。
光纖已經穩固地由2Gb/sec進步到4Gb/sec。但是IP/Ethernet最近在效能競賽上則超越光纖來到10Gb/sec。因此,iSCSI提供一個比光纖更快的管道,即使未來的數年光纖的速度將會進展到8Gb/秒,iSCSI仍佔有優勢。然而,iSCSI不僅是效能上的考量。GlassHouse Technologies策略服務主任Stephen Foskett表示,「iSCSI區域儲存網路因為使用Ethernet而節省了經費;但是使用者真正歡迎的是使用iSCSI區域儲存網路所獲得的自動化特性。」對於企業來說,兩者共存會是不錯的方案。Boulder公司資深分析師Mike Karp表示:「許多地點已經建置了光纖區域儲存網路及iSCSI區域儲存網路。他們會想要選擇其中之一。iSCSI不會取代光纖卻可能因為大型企業基於經營需求,決定採用的儲存方式。近來幾乎每個儲存製造商都已經支援iSCSI」。即便是企業級儲存產品製造商,如EMC及IBM,也已經擁抱了iSCSI技術。
由成本的觀點來看,iSCSI區域儲存網路仍會優於光纖。例如:Shiloh Industries現正使用17TB的儲存量,運行於4座EqualLogic的iSCSI區域儲存網路,每座iSCSI區域儲存網路約需四萬美元。
硬體層級的磁帶加密
備份資料需要加密的需求明顯地浮現,一連串的資料備份磁帶遺失事件;美國聯邦政府要求政府機構將已經儲存的資料加密;另外三十四個州現在正要求企業或公司要告知與其有關的顧客,他們的資料可能已經因為資料磁帶遺失而導致洩漏。
有幾個方法可以將儲存資料加密:在伺服器主機端、使用閘道加密設備以及儲存設備或是磁帶櫃裡,但備份設備應該要能夠在對環境最小的衝擊下保持最高的效能。我們預期在硬體層級的磁帶加密方法,將成為大型企業資料中心最受歡迎的選擇。這些大型資料中心,例行性將上萬名顧客的敏感資料備份起來。
他們需要能夠信賴的效率以及通透的維運模式。IDC研究主任Robert Amatruda表示:「這些企業得長期地管理存放於備份磁帶上的資料。」
硬體層級的磁帶加密將會出現於下一代的LTO裝置或設備中(LTO-4)。每個LTO相關設備的供應商會以相對廉價的價格供應硬體層級的磁帶加密解決方案。Freeman Reports 資深分析師Robert Abraham指出:「LTO-4等級的產品未來可能只比無加密功能的LTO裝置,價格上稍高一點。」就大型資料中心來看,IBM與Sun Microsystems(併購StorageTek)的儲存方案中已經導入了加密方案。然而,企業等級產品並不便宜。Decru公司(已經被NetApp併購)、NeoScale Systems公司、Vormetric公司、以及LTO-4廠商,將會提供更低廉的加密方案,而IBM與Sun的產品仍會吸引將資料中心運行在大型主機的企業。IDC的Amatruda表示:「資料中心想要端對端的完整儲存方案,會想要使用原廠所提供磁帶備份裝置,不希望因為改用其他公司的產品,而導致不相容或其他的不確定性。」
雖然企業等級的產品並不適合所有的企業或組織,只要LTO-4等級的備份磁帶加密方案開始供貨,預期支援加密功能的磁帶機會更多且價格合理。
高容量的儲存裝置
由於磁性單元可能會面臨無法再變得更小或是不能再被放的更靠近,所以部分專家預測,磁性硬碟機將會到達本身技術上的容量上限。然而,工程師們總還是能找到一些新的途徑來讓一個磁碟機能塞入更多的資料。
「如同摩爾定律(Moore's Law)所預言,科技是一直持續不斷地進展。」Seagate企業磁碟部市場經理Peter Steege說。今年,因垂直寫入技術可以在個別磁碟上更緊密地疊放資料的發明,證明「摩爾定律」的預測。藉由使用垂直寫入技術,Seagate期望能在2007年導入1TB的磁碟機,隨後也能推出更大容量的磁碟機產品,2TB磁碟機可能在幾年內見到。在實現高容量的同時卻仍然能保持高可靠性,現在企業等級SATA磁碟機誇稱可以有103萬小時的平均故障間隔時間(MTBF),其1TB的磁碟機則將可以有120萬小時的平均故障間隔時間。
企業級SATA磁碟會發展到1TB容量的原因,是由於資料中心要在有限的機架空間、地面空間以及電力下,塞入更多的資料。「磁碟陣列供應商正被要求更大空間的磁碟機」Steege說。一個750GB的磁碟機不會比一個500GB的磁碟機使用更多的電力;使用相同的磁碟陣列機櫃,每1TB的磁碟機每瓦電力能使用多五成的容量。
虛擬化
2007年我們期望虛擬化將會開始嵌入整個儲存基礎建設環境。Foskett說:「當虛擬化被正確地使用,它將會延展至任何地方。」至今,虛擬化已經實際出現於網路儲存環境的每個環節:RAID控制器、伺服器配接卡、磁碟陣列、路由器、網路設備、交換器、虛擬磁帶櫃等。虛擬化是集中儲存策略的主要元件,所有自動化、異質儲存的管理策略都將會需要一個虛擬化的環境來掩護所有在其下錯綜複雜的儲存設備。我們雖不認為在2007年,虛擬化應建置於哪個層面會有明確的答案,但是我們相信大家都會贊同虛擬化的價值。
TheInfoPro 公司Robert Stevenson表示,檔案的儲存虛擬化將會在2007年特別熱門。由於資料中心NAS設備使用量飛快地成長,在2007年儲存設備管理者將要留意,透過檔案虛擬化產品所帶來檔案使用率或資料內容保存方式的改善。
儲存資源隨需分配
要了解儲存資源隨需分配(Thin provisioning)技術的最好方式,就是參考航空公司的超額劃位情形,經由分析搭機旅客的行為模式,航空公司發現到有些預定機票的旅客是不會出現在登機門來搭機的。所以航空公司都會在他們的每個航班,賣出比實際數目還多一些的座位。
StorageIO Group創始人GregSchulz表示:「儲存資源隨需分配技術與航空公司的超額劃位的情形沒什麼兩樣,管理者讓每座伺服器以為它裝設了比實際上還要多的儲存空間。原因是,伺服器在短期不可能會需要用到全部的存放空間。」
儲存資源隨需分配技術的關鍵是,嚴密地追蹤儲存空間的使用情形,然後在真正需要如此多容量前安裝上更多的實體磁碟空間。「很多供應商正開始提供儲存資源隨需分配技術,差別在於如何妥善地追蹤並且預測儲存空間的使用情形。」Schulz說。
儲存資源隨需分配技術與隨選儲存(Storage on Demand) 是不同的,隨選儲存是實際地把額外的儲存空間裝置進磁碟陣列,但是直到你付費以取得啟用的方法前是無法使用到的。相對於儲存資源隨需分配技術,並沒有實際多出的儲存容量,如果需要更多的實體空間時,只要將新增的磁碟機安裝進磁碟陣列裡即可。
在2007年蓄勢待發
以上所提的五項科技,是我們覺得在2007年將會「熱起來」技術。將資料中心運行在大型主機的大型企業,會發現備份磁帶層面的硬體加密技術,是對持續增加中的企業資料保全問題的完整解決方案;中小型的組織或企業已經被iSCSI區域儲存網路給吸引,而且會有更多的組織或企業跟著被引起興趣。現在,大型組織可以將iSCSI區域儲存網路考慮進他們的基礎建設,作為企業有需要時,調配儲存資源時的選擇。
幾乎每個企業或組織都可以在大容量磁碟機,得到備份、遵守標準及資料歸檔上的好處;儲存資源隨需分配技術提供所需並且符合現況的儲存資源,並因此節省了經費。最後,雖然我們以前曾表示虛擬化是當時的熱門技術,但請相信我們:「今年會是虛擬化的一年,特別是『檔案虛擬化』真的會變得熱起來。」
Alan Radding是儲存雜誌的特約撰稿
一個跨國詐騙集團利用網址嫁接(pharming)的駭客技巧,對全球超過65家的財務金融機構和電子商務公司展開攻擊並且偷走個人資訊,駭客行動首先發生在澳洲,然後迅速擴展至全球各地,偷走了使用者的帳號和密碼。受害的企業包括英國巴克萊銀行、一家蘇格蘭銀行、美國運通卡、Discover Card、eBay、PayPal等。雖然還不清楚這些駭客行動造成多嚴重的損失,韓國已對各財務金融單位發出警報,韓國在去年有超過5,000台的電腦遭到pharming攻擊。
駭客從澳洲一家全國性報紙「澳洲人報」偷走了電子報讀者的電子郵件,並且編造澳洲總理心臟病發情況危急的假新聞,讀者在讀取該郵件後即被植入木馬,並且在他們造訪財務金融公司的網站時,會被自動導引到假的網站,駭客則趁機偷走他們的帳號和密碼,並在取得使用者帳號和密碼後將其再轉到真正的網站,這樣的技巧顯示駭客的手法及計畫更加的縝密。
賽門鐵克發表第十一期全球網路安全威脅研究報告 (Internet Security Threat Report)。報告中顯示當今網路威脅環境中,最明顯的現象為資料竊取、資料外洩、以及具特定目標的惡意程式碼攻擊數量增多,並且透過這些攻擊手法來竊取機密資料以達到獲取金錢的目的。網路犯罪者不斷改良其攻擊方法,試圖以更為隱匿的方式建立全球合作網路,做為犯罪活動增長的後盾。
報告中總結幾項研究重點:
• 在 2006下半年期間,全球一共有超過 6 百萬台受 Bot 傀儡程式感染的電腦。與 2006上半年相比增加了 29%。然而,賽門鐵克也發現以往當作Bot 跳板的受控制伺服器 (Command and Control Servers) 卻減少了 25%,這顯示了傀儡網路幕後主使者合併網路數目且擴大其現有規模。
• 前 50 大提報到賽門鐵克的惡意程式碼樣本中,木馬程式就佔了 45%,相較於 2006上半年增加了 23%。這也印證了賽門鐵克在前一期研究報告中所預測的結果:攻擊者會從使用大量寄發郵件病蟲的方式,轉而使用木馬程式進行攻擊。
• 賽門鐵克在 2006 下半年一共記錄了 12 個零時差弱點,數量遠遠超過 2006 上半年所紀錄到的 1個零時差弱點,讓無數的消費者與企業暴露在危險、未知的威脅環境中。
• 「地下經濟伺服器」被犯罪組織用於交易所竊來的機密資訊,這些資訊包括政府核發之識別碼、信用卡、銀行卡、個人識別碼、使用者帳號、以及電子郵件地址清單。
• 電腦與資料儲存媒介如USB中的資料遭竊,在所有與身分竊取相關的資料外洩總數之中,佔了54%。
• 賽門鐵克首次公佈惡意活動數量最多的來源國。美國為第一位,佔全球總數的 31%,中國以10% 居次,德國則以 7% 位居第三。
在本次報告中,賽門鐵克首次針對已遭竊機密資訊的交易進行追蹤,同時也截獲時常流通於地下經濟伺服器之間買賣的機密資訊。所謂「地下經濟伺服器」,就是駭客與犯罪組織用於交易所竊得機密資訊的伺服器,這些資訊包括社會安全號碼、信用卡、個人識別碼 (PIN) 以及電子郵件地址清單。在 2006 下半年,全世界所有已知的地下經濟伺服器中,有51% 是位於美國,數量比任何國家都還要多。美國的信用卡 (具有信用卡驗證卡號) ,可以美金 1 元至6 元間的價格購得。而一個含有美國銀行帳號、信用卡、出生日期以及政府所發之識別碼的身份帳號,也可以美金 14 元至18 元間的價格購得。
同時觀察到因應木馬程式及傀儡網路攻擊手法的增加,駭客更能自由操縱受害者電腦的情況下,導致機密資訊洩漏威脅性的提高。若攻擊造成受感染電腦上的資料損壞,將導致重大財物損失,特別是信用卡或相關銀行訊息曝露在外,情況將更嚴重。提報到賽門鐵克的前 50 大惡意程式碼樣本中,機密資訊威脅就佔了 66%,比前一期研究報告高出了 48%。此外,輸出使用者資料 (包括使用者名稱與密碼) 的攻擊,在 2006下半年佔了機密資訊威脅總數的62%,比起 2006上半年的 38% 增加許多。
另外,2006年一般工作日的釣魚訊息平均數量為961則,但週末會比平均數量少了27%。此一現象表示,網路釣魚活動和公司上班時間幾乎是同比例增長的,因為攻擊者會嘗試模仿合法公司寄發電子郵件的行為。同時這種模式亦指出,網路釣魚活動的壽命通常都很短,而且網路釣魚郵件最有效的時間,通常也只有在發送之後到受害者收到並閱讀這段時間。尤其在主要節日或其他大型活動期間,例如 FIFA 世界杯足球賽,網路釣魚活動也會同時增加,而其原因在於攻擊者認為透過這一類特殊活動來巧妙包裝社交工程攻擊,更容易達到效果。
當堪薩斯市「藍十字與藍盾協會」的CIO Kevin Sparks在佈署身分識別與存取管理(IAM)系統時,有三項目標:簡化對員工與外部客戶等關鍵系統的存取,讓存取的安全性堅不可摧,並減輕IT管理者以及支援中心主管的負擔。
這項計劃既不容易,也不便宜。HMO花了50萬至1百萬美元,以及大概三年的時間進行IAM佈署。Sparks在其中也花了一些時間與費用,以期能夠更進一步地保護隱私權。他正試著建立出複雜的Userprovisioning自動化系統,但又不想「大興土木」。這意謂著他必須重新進行各種基礎工程,如重新定義企業程序,整理Active Directory(AD)架構,以及清理HR資料庫等。
到最後,堪薩斯市藍十字與藍盾協會(BCBSKC)終於完成了任務。這個平台在今年秋天上了線,而Sparks也高度地預期能夠實現他所有的目標。他已經看到一些成效了:RSA Security的存取管理員已將使用者必須記憶的密碼由10個減少為1個,藉此去除了許多支援中心的電話量。成果是,原先專門處理密碼相關問題的人力(大約是兩個全職員額),已重新配置到「具有高度價值的工作」。
這是如何做到的?IAM可將管理密碼以及控制使用者存取權限等基本安全作業自動化。隨著應用程式與系統的增加,手動進行這類的作業將會變得更複雜並更繁瑣;每個目錄服務以及使用者資料庫都需要手動登入,要管理使用者帳戶也得透過不同的工具集。造成的結果是,「長期以來建立的權限控管,就像攀附在船上的藤壺一樣,」Burton Group CEOJamie Lewis說。另外,現在的系統存取常常會延伸至企業夥伴以及外包廠商,更進一步加大了使用者資料庫,增加管理員的負擔。
法規遵循與其他益處
雖然中型企業的數據不容易取得,但根據Gartner的研究,IAM的總體市場呈現每年20%的快速成長。Burton Group的Lewis表示,中型企業的IT高層主管面對著同樣的內部安全問題與法規壓力,使得企業也開始採納。以Unicco Service公司為例,不需直接接受HIPAA或是沙賓法案的控制,但「我們的顧客會」IT資深主任,Bill Jenkins說。
「他們總是會問我們是如何進行控管,如何管理使用者帳戶等問題。如果我們不遵循安全法規規定的話,我們便會成為他們的負擔。這還不算是個大問題,但我們的CFO希望我們朝正確的方向前進。」Jenkins最近便佈署了一套有限制,預先包裝版的IBM Tivoli Identity Manager。財務顧問公司Financial Engines的CISO兼風險與技術作業副總,Matthew Todd說,「我們要遵循金融服務法(Gramm-Leach-Bliley)規範,也要遵守沙賓法案,即使我們不是公共事業,但會向金融公司提供服務。」該公司已建立了正式的離職員工存取權終止程序,並利用Serena Software的TeamTrack將雇用與辭退等程序自動化。在重要程式上採用雙層驗證。若要存取重要的財務程式,使用者必須輸入自己的密碼,以及RSA SecurID所提供的一次性密碼。
法規遵循僅是IAM的益處之一;另外則是能減少支援中心的電話通數。「我們曾經看過一家真實的案例,藉由密碼管理,減少了支援中心將近80%關於密碼問題的來電!」Lewis說。「它就像是自助式的密碼重設主控台一樣。」Burton Group估計有將近30%至40%的支援中心來電與密碼相關,自助式的密碼管理可節省大量的IT人力時間,即使是中型企業也是如此。
單一簽入(SSO, single signon)不但可以減少支援中心的求助電話,還有助於安全性與使用者滿意度。RSA Security在2005年中對大約1,700位使用者進行的一項調查顯示,有25%的受訪者將他們的密碼存在PC上的試算表或其他文件中,22%的人存在PDA或手持設備上,而有15%的人則是寫在紙上。SSO可讓員工只利用一個密碼便可存取所有可用的系統,不但可簡化員工的生活,更可讓使用者改掉這不安全的壞習慣。而這樣還能讓IT人員強制實施強通行碼政策,不但強化安全性,也不致於過於擾民,Forrester Research首席分析師Jonathan Penn表示。
綜合套餐讓你一次吃飽
過去幾年來,像CA、HP、IBM、Oracle及Siemens AG等公司,都提供了制式的IAM組合包,其中包括了自助式密碼服務、User provisioning系統,以及SSO等。這些具競爭性的整合式軟體通常會建立在中立的目錄服務上,再向各種目錄服務及資料庫蒐集資料,消除了重覆與不一致性,並在集中的儲存區中建立出單一的項目集合。使用者身分識別與存取權限都可透過政策來集中管理。使用者帳戶的變更都會自動傳播到所有的使用者資料庫中。
直到最近, 這種軟體組合都只會針對大型企業客戶,主要是因為要設立中介的目錄服務本身就是一項大計畫,需要高度的IT資源與知識,這通常是中型企業所無法負荷的。「中型企業不太喜歡利用中介的目錄服務來做為自己的User provisioning,」IBM Tivoli部門IAM解決方案主任Joe Anthony說。通常會透過系統整合商來實作。一般IAM組合方案不便宜,「這些都是昂貴的工具,」Gartner研究副總,Ray Wagner說。「內部使用的User provisioning系統,若加上完整的ID管理與維護功能,通常要價每個使用者80~100美元。」
而授權費不過是個開端罷了。「你不能只是買個工具就希望問題會煙消雲散。」Wagner警告。「你必須檢視現行的程序,並將其定義成你希望的樣子。」對於中型企業來說,「第一次規劃、購買,以及安裝軟體,並對5~10項重要程式(如電子郵件與Active Directory等)提供ID管理功能,平均就得花費6~10個月,有時還得更久。」Wagner說。但情況已有了改觀。大多數領先的IAM廠商,都已為IT資源與預算有限的中型企業提供產品。預先設定好的應用以及企業組合的「精簡」版功能較少,且不容易客製化,但卻更為便宜,並容易佈署。
許多的組合產品都可以一次購買一個模組。以Novell的Identity Manager為例,便可讓顧客以基本的ID管理組合包作為開始,它包括了中介目錄、識別整合、User provisioning,以及密碼同步等功能。接下來他們可視需求加入以工作流程為基礎的供給或Web SSO功能。一些廠商除了以電腦為基礎的授權外,也提供了以使用者為基礎的授權方案。
「只要企業願意以Active Directory作為他們的中央驗證服務,並以Windows伺服器作為存取控制的基礎建設,那麼他們就不會需要太多的使用者ID,剩下的就是Active Directory帳戶管理的問題,」Gartner表示。他們在User provisioning系統的2006 Magic Quadrant報告中,這家研究公司指出,「顧客表示其軟體授權費用以及整合成本要比其他〔User provisioning〕產品的佈署要便宜的許多,因此值得這麼做。」
大興土木
IAM技術對中型企業已不再遙不可及,但企業的安全基礎建設必須正常運作,否則便無法帶來效益。若要像廣告說的方式運作,IAM系統如Web存取管理、SSO,以及User provisioning自動化等,得需要一致且同步的ID、使用者設定檔,以及存取權限。
「SSO算是容易實作的技術,」BCBSKC的Sparks說,但由於它讓使用者能夠透過一次登入來存取廣泛的資源,因此IT必須立即填補安全漏洞以及異常的存取權限,如「棄嬰帳戶」(例如離職員工仍有存取權限)。
Sparks的多年計畫必須深入考量這些因素。隨著完整的IAM平台剛上線,他正等著看投資會帶來如何的報酬。「我們中型企業的需求是想要找尋能夠讓我們心安的東西,但又不能麻煩到讓人們無法使用我們網站或應用程式所提供的功能,」他說。「IAM理應可以做到:目前仍無法自ROI得出評斷,但我們會拭目以待。」
Elisabeth Horwitt是自由作家。
引述 http://malware-test.com/blog/archives/2007/03/18/815 文章:時報旅遊 (中國時報旅行社) 網站又被植入惡意連結。這是一個旅遊資訊網站,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦。對於一個旅遊網站常常被植入惡意連結,導致消費者權益受損,實在是不應該,他們的網管人員真的該檢討。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。
很多企業網管人員,第一時間接到好心人的通知,說他們網站被入侵。有三種結果,一者被當成詐騙集團,二者被當成兇手,還問你要付多少錢。真的是病了!第三種會虛心跟你請教,好好找出問題的並不常見,過幾天,同一個網站又被入侵,因為問題根本沒解決!
呼籲消保相關組織應該正視此問題!網路受害的狀況越來越嚴重,如果消費者(上網民眾)根本無法之知到已經被入侵!帳號密碼、個人隱私資料、通信記錄通通被偷走,這算竊盜嗎?還是看不見的就不算?誰還能保障大眾的權益?
邁入2007年後,資訊安全不再只是技術層面的問題,甚至需要拉高至政府政策的層級,未來企業在防火牆後的資料防護,將成為資訊安全的重點。
RSA會議每年都會吸引相當多人參加,就算是開幕儀式也是座無虛席,等待接下來精彩的主題演講。
在今年RSA 會議中,防護資訊安全的技術研發似乎沈寂下來,取而代之的反而是資安策略及整體解決方案,從微軟、Oracle甚至是前美國國務卿鮑爾都參與演講的狀況看來,資訊安全不再只是科技產業獨自研究開發的範疇,甚至需要拉高至政府政策的層級。而未來企業資安的走向,將更著重在防火牆之後的系統,減低企業內部資訊安全可能帶來的隱憂。
防火牆內環境的防禦,將是未來資安重點
現今企業面臨越來越多的資訊交流需求,資安的威脅逐漸由外部的入侵,轉而將重心放在內部合法使用者的安全上,因此企業需要能夠針對資料流向的控管,以及能夠發現內部使用者異常的相關設備。
打造更安全的網頁運用與整體防禦架構
除了網頁編寫中的漏洞令人防不勝防之外,新興網路與應用服務也漸漸成為攻擊目標,這包括無線網路與VoIP。
日益深入應用的身分認證機制
在會議中,包含信用卡組織(如VISA、Master與JCB)、銀行甚至政府單位,都開始尋求更方便與安全的身分認證機制,如Smart Card、PKI與生物特徵辨識等多項革新的技術。
RSA會議已成為全球資安年度焦點
資安領域中包含很多項目,每個廠商都在自己的專長項目中耕耘,少有可從整體輪廓看待資安的會議,而RSA會議則是可以兼顧技術、商業營運與政策法規的研討會。
2007年資安應用將面臨的趨勢與挑戰
臺灣資訊安全廠商阿碼科技執行長黃耀文,受邀在RSA Conference 2007大會發表研究論文,據他在現場的觀察,發現應用程式安全問題在今年受到相當的重視。
2007 RSA會議新發表產品介紹
九家廠商在RSA期間,就各資安項目推出各種產品,包含身分認證、防毒軟體、UTM、VPN、IPS、網頁安全、NAC與無線網路安全等產品。
日期 |
2007 年 4 月 16 日 (星期一)~ 4 月 18 日(星期三) |
時間 |
4 / 16、17 AM 10:00 ∼ PM 18:00 4 / 18 AM 10:00 ∼ PM 17:00 |
地點 |
台北世貿展覽一館( 台北市信義路五段五號 ) |
簡介 |
「 SecuTech Expo 台北國際安全博覽會 」 是一個亞洲地區探討安全議題、展示安全設備、消防安全、建築防火、工業安全及資訊安全等安全相關設備與整合應用的年度盛會。 2007 年的展覽規模首度擴大至台北世貿展覽一館全區,展出規模達 24,000 平方米,計 1300 個攤位,將吸引 650 家國內外重要安全廠商前來參展。 SecuTech Expo 展覽內容包含台北國際安全設備展、台北國際防火與防災應用展、台北國際資訊安全科技展外,並舉辦超過百場探討安全管理、資訊安全、消防安全、建築安全、工業安全.......等議題的研討會,將邀請國外內專業家者、國際大廠發表亞洲最先進的產品與技術及符合市場趨勢的應用案例,以促進國內外買主與廠商的互動與交流,每年皆吸引眾多的全球重要買主、大型企業、政府相關機構....等從業人員踴躍參與,是國內業者接觸潛力客戶、全球買主尋找 OEM 合作伙伴的最佳場所。 |
活動連結 |
http://www.secutech.com/tw/is/index.asp |
研討會議程 |
http://www.secutech.com/edm/is_070319/index.htm |
時間/地點 |
|
||||||||||||
簡介 |
今日企業在面臨全球複雜競爭環境下,需要強而有力的資訊系統基礎架構來增加企業營運能力,然而伴隨著員工數與應用系統、服務的倍增, 「管理」 與「 安全」 變成資訊管理人員目前最關注的兩項議題。 信賴與安全是微軟公司對用戶高度重視的承諾,因此在安全開發生命週期 (SDL)、初始設定安全 (Default Secure) 的理念下,新一代作業系統 Microsoft Windows Vista 提供企業用戶安全、可信賴的基礎工作環境, 更進一步微軟展望「管理」與「安全」二者兼具的趨勢,將透過微軟系統管理產品與資訊安全產品系列等解決方案預先為企業準備了最佳方案。 2007 微軟資訊安全日 研討會將從資訊技術人員與開發技術人員的角度來談『管理』與『安全』,在資訊技術主題方面將分享最新上市之 系統管理產品 - System Center Operations Manager 2007 與 資訊安全產品 - Forefront 系列等從閘道端到作業系統上的解決方案,另外也針對新一代的 Smartcard 身分識別管理系統 Identity Lifecycle Manager 2007 做一個完整的介紹,提供企業整合系統管理工具和資訊安全技術的藍圖,保護您企業中重要的核心資料以及 IT 環境的存取控管;在開發人員相關的主題上將包括:以安全開發生命週期 (SDL) 貫穿所有的開發理念、介紹 Windows Vista 上應用程式的安全相關議題、利用 Visual Studio 開發工具撰寫更具安全性的程式碼、此外,更擴及到 Web 2.0 觀念下 AJAX 網頁的危機與防禦術,在透過全面性的安全開發觀念,將帶給您不一樣的安全視野。 微軟不斷地提供更多額外的保護,希望藉此強化企業 IT 的管理與安全,灌注商業營運新動力,誠摯地邀請您的出席和參與! 參加方式 :本活動均為 免費參加 ,與會者有機會獲得精美贈品 |
||||||||||||
活動連結 |
http://www.microsoft.com/taiwan/events/secday07/ |
微軟MOS國際認證-台灣區翊利得資訊總代理 版權所有 2001 Elite Information Technology Co. All Rights Reserved
│諮詢專線:02-2370-9977│經銷服務專線:099-111-9977 │ 傳真熱線:02-2370-9976│
│客服信箱:service@mos.org.tw│地址:100台北市南陽街13號9F│