BQJournal Vol 10 2011 by Business Quotient Journal

32 頁完整版歡迎登記下載

雲端保安方案大巡禮 VOL 10

Full Edition

cover00.indd 1

商業 ‧ 科技 ‧ 智慧

世界最快最準

秒發放特徵碼

2011 年 10 月號

雲端運算好處與顧慮

Network Box 董事總經理 Michael Gazeley

19/9/2002 11:38:36

NO. 2011 年 10 月號

編者話

CEO TALK 03

Z-Scan

去月老編問我，我們是否將 CRM 遷移上雲端？我說是！為何我們要遷往雲端？因為我們

世界最快最準

要同步協作和分工，尤其要對客戶進行不同領域上的分析，今時今日的商業活動，無時無

3 秒發放特徵碼

刻都在轉變。舊的購買軟體硬體部署方法已不能符合現今世界的變遷，而雲端服務以租賃方式提供服務，速度快，功能按世界潮流轉變，更能迎合現今中小企的需要。

人事管理 04

老編再問：「我們 CRM 遷到雲端，重要的資料流出，以後就不能回頭了，怎麼辦？」我說：「你可以像一些傳統中小企用 Excel 來作 CRM，但你會發現整家公司的步伐會不及使用雲端 CRM 的公司快，甚至會大幅落後 !」

企業僱員願意放棄休假

以獲得在工作場所使用流動設備

老編再問 :「那資料放在雲端安全嗎？又或者若對方有甚麼三長兩短，大家豈非要共赴黃泉？」

調查顯示 71% 人事部經理

資訊科技薪酬趨升

我說：「對的！如果你不了解今時今日的雲端服務背後的保安問題、部署手法、法律和慣例便使用是相當危險的！當然在過渡雲端的進程中，我們可以使用 Hybrid Cloud，這樣我們便可以有「兩手準備」。

會查閱應徵者 Facebook 簡介

所以今次編輯部特別來了一個《雲端保安方案》特輯，從不同類型和角度介紹最新的雲端保

得罪求職者隨時影響生意

安方案，希望通過這個最齊的特集，助企業在使用或部署雲端應用時可以參考！

Andrew Wong Editor BQJournal Magazine

電子商務 07

團購買家賣家新服務

WeB-CS 收取易郵局收貨服務

Business Quotient Journal《商智謀略》

調查：港人網上付款保安意識不足

Fortinet 虛擬設備擴展雲端安全

看圖解說 08

針對網頁防衛的 Web-UTM

支援 Web 2.0 應用進行控管

減低人為錯誤

企業資訊安全 8 大指引

保障雲端資料及網絡服務安全

第一線 CDS 及 vFirewall 服務

華南創意發展中心入駐卡布奇諾專題企劃

出版人︰蕭友強主筆：麥經倫編輯：黃沛成封面：燕地址：香港九龍觀塘鯉魚門道 2 號新城工商中心 2 樓 9 號室編輯部 / 廣告傳真：（852）25275126

九倉電訊雲端防護方案

編輯部電郵：editorial@bqjournal.com

針對郵件的保安服務

廣告部電郵：sales@bqjournal.com 網址：www.bqjournal.com

雲端運算好處與顧慮

雲端保安方案大巡禮三種雲架構所遇到的安全問題

網路保安 24

Deep Security 入侵防禦方案

NETGEAR UTM 新雲端過濾技術

支援應用管理及網頁病毒防護 VMware 虛擬基礎架構

為雲端服務加入統一身份識別

承印：鴻基印刷有限公司香港發行：勤力德發行有限公司地址：新界葵涌打磚坪街 57-61 號中央工業大廈 2 樓 A 室電話：（852）2720-8888 台灣發行：勤力國際股份有限公司地址：台北縣新店市寶高路 20 號

HP 最細彩色多功能鐳射印表機

電話：（886）02-29106880

高清網路攝像機 NVR 方案

＠本書如有缺頁、破損、裝訂錯誤，請寄回本公司更換

Surveon 殺入香港

Check Point 3D Security 為公司服務走出外

HP 新儲存聯合技術 3PAR

擴展融合儲存

加入虛擬機保安功能 360 度強化網上安全

Advanced Persistent Threat 商業科技

保護實體、虛擬與雲端免受攻擊保護雲端資料安全 SecureCloud

認識 APT 進階持續性滲透攻擊

製作：燕

技術應用 26

Windows Server 2008

防止員工盜取智慧資產（下）限制非公司裝置存取網路資源

電話：(852) 25272878 《商智謀略》免費派發地點：灣仔電腦城 247-248 號 i-Shop 電子 PDF 版下載登記 www.linuxpilot.net/user/register

* 顏色部分為網上版及 PDF 登記版內容

02.indd 2

19/9/2002 11:15:35

CEO Talk

3 秒發放特徵碼

Z-Scan 世界最快最準 N

etwork Box 在美國保護超過一百五十家銀行和金融機構，Network Box 董事總經理 Michael Gazeley 說，美國很多銀行的 ATM 提款機很多仍然是使用老舊的 Windows XP，不少駭客很期望能入侵到其中一台，然後按一個魔術號碼來大量提款。所以網上很多駭客攻擊主要都是以金融機構為主。

Network Box 董事總經理 Michael Gazeley 說︰「現在網上的攻擊活動相當之快，對不少保安公司來說，即使特徵碼更新如何快，我們發現更新特徵碼的保安公司最快也要兩個小時，但 Network Box 新研發的 Z-Scan 技術將這個過程加快至三秒鐘，這個結果連歐美測試機構 Tolly Group 也感到疑惑，並要求我們授權他們多次複檢核實。」

為何 Z-Scan 可以做得那麼快？ Network Box 的雲端保安技術在全球不同地方佈下大量的 Malware Trap（誘捕器），它們通常是一些未有防毒軟體和修正檔更新的電腦，吸引了大量惡意程式，很多這些攻擊都先由這些誘捕器發動。Michael 說駭客通常在咖啡店使用免費的 WiFi 上網來為它的病毒進行測試，他們首先利用 VirusTotal.com 將病毒上載，直至病毒全部「通過」過各大保安公司的掃瞄引擎才進行發動攻擊，企業能否抵擋這些攻擊很視

乎保安公司在這段「空窗期」能否快速更新特徵碼，我們發現最快的傳統技術一般最快都要兩小時，但對 Network Box 來說兩小時亦已經太久了！ Z-Scan 透過雲端自動製作識別碼，為了減少受到互聯網的延遲性（Latency）影響，Network Box 每台 Managed UTM 都配備 Geo-Based 定位技術，Z-Scan 曉得自動找尋最近的 Network Box，由雲端直接主動推特徵碼到裝置上。為了尋找客觀的標準來證明 Network Box 技術的真實性，Network Box 早前委託了美國獨立認證機構 Tolly Group 進行測試，在他們的內部測試中，Tolly Group 向 Network Box 表示，希望它們授權多一次複檢測試，並希望將測試地點伸延至歐洲進行，對 Tolly Group 突如其來的要求，Michael 說令 Network Box 上下憂心忡忡，擔心測試是否出現負面結果？所以對方才要求複檢，結果原來是 Tolly Group 在第

一次測試中，發現 Network Box 是極少數保安產品中能於 HTTP、SMTP、POP3 和 FTP 協定，其過濾技術能全部做到 100% 防毒，而其他世界級的保安最強也只能做到 90% 以上，礙於 Tolly Group 這份懷疑才要求複檢，最後證明無論在歐洲抑或美國進行測試，Network Box 保安裝置均能做到 100% 防毒。這個成功令Network Box 的研發部十分鼓舞， Michael 說一位參與 Z-Scan 研發的工程師忽發奇想，將 Z-Scan 技術應用於垃圾電郵過濾上，並用了一星期時間進行修改推出 Z-Scan Anti-Spam，結果將垃圾郵件過濾由原先的 90-98% 提升至 99% 以上。Michael 說這個 99% 過濾能力是客戶的機件毋須預先進行 Mail Training 和 Adaptation，在安裝上全部均以 Default Setting 運作。Michael 說若電訊商能應用 Network Box 於網路過濾上，必能節省他們大量寶貴頻寬，並歡迎各大電訊商驗證！

3.indd 3

19/9/2002 11:15:53

人事管理

調查發現企業僱員願意放棄休假以獲得在工作場所使用流動設備【香港訊】有流動軟體公司發表一份由 Kelton Research 進行的調查，當中指出企業員工不僅渴望 IT 部門支援流動設備，也願意放棄休假希望在工作場地使用流動設備。是次調查共涵蓋美國及英國超過五百名僱員，針對企業 IT 部門如何在企業內更靈活及部署流動應用程式。事實上，企業轉型需要公司內部仔細審查及快速執行行動方案策略，才能快速滿足員工不斷增長的需求。在這個關鍵的轉折點，該報告還揭露了僱主與僱員雙方已取得共識，就有關如何讓企業流動方案橫跨多種設備與平台。

在工作間盡享流動性 01 選擇的自由有一半的受訪者寧可自行選擇在工作時所使用的流動設備，而並非由公司為他們作出決定。有百分之五十九採用現有流動設備的受訪者認為，僱員的選擇對公司而言是最佳的選項；相比之下，有百分之四十四的受訪者則使用公司所提供的設備。

02 流動應用軟體就是未來用戶對於與工作有關的流動應用要求極高，有 56% 受訪者指出在工作過程中使用這些軟體有助提升生產力。當中有超過十分之八（約 82%）在工作中採用三種以上流動應用軟體的人士有這種感覺，而只有 63% 在工作時會採用少於三種應用軟體。

03 專為工作而設的應用軟體商店倘若僱員能夠輕易獲得相關的應用程序，將會使他們更容易上手。差不多有一半（約 45%）的受訪者表示他們會採用由僱主提供的網上商店去下載獲公司核准的流動應用程式，亦有另外 40% 受訪者相信同事都會有相同做法。

4-7-new.indd 4

04 受訪者可放棄的部分調查發現一個有趣的現象，有 71% 的受訪者會強烈考慮至少放棄一種在工作場所正在使用的物品去換取繼續保持使用他們欲保留的設備。當中免費咖啡 (58%）成為受訪者的首選項目，其次為免費食物 (39%）及辦公室用品 (30%）。有部分人甚至願意放棄收費停車場 (26%）或一天假期 (20%）。

05 不足之處有關支援及安全性的顧慮限制了使用量

06 管理層不支援只有約 19% 的受訪者強烈認同他們的僱主讓他們可以輕易從一個工作電腦平台轉移到一個流動設備當中。差不多有一半受訪者 (44%）表示他們未有足夠的流動應用程式，以確保在流動設備上工作無異於工作電腦平台。

07 落後市場平均標準調查報告亦反映出一個較複雜的問題，只有 29% 人士聲稱其 IT 部門善於管理流動設備，而有約 27% 的受訪者更表示其

IT 部門有能力設定與解決流動應用的問題或程式。

08 來自僱員的保安風險一般僱員也許會在不知不覺中，在將與工作有關的電郵 (35%）或文件 (32%）傳送至自己的私人電郵戶口，或透過遠程 (29%）登入公司的內聯網時使公司的數據。當中有四分之一 (25%）更以個人流動設備傳送工作有關的電郵。一個發表於今年初，名為「 Sybase Survey Finds Mobile Enterprise Apps Poised to Take Off in 2011 」的報告指出，有 90% 的 IT 主管表示會在今年內實施新的流動應用軟體，而差不多有四分之一（約 21%）欲將二十項或以上的應用引入其機構當中。這項最新的調查報告無疑對那些欲擴大及加快其企業流動策略的企業敲響了警鐘。僱員現在已經開始對流動方案有更深入的認識，並期望 IT 能夠為公司帶來更大的效益。調查機構亦觀察到欲透過流動應用方法以提高生產力的企業需求與日俱增，例如已有企業在工作場所內採用各式各樣的流動設備，又或已有企業讓企業應用方案與網上商店環境連結。

19/9/2002 11:16:14

人事管理

調查顯示 71% 人事部經理會查閱應徵者的 Facebook 簡介【香港訊】根據 Robert Half 最新的職場研究調查，71% 的人事部經理承認在聘請應徵者前會查看對方的 Facebook 個人簡介，遠高於區內 50% 的平均值（澳洲 36% ；紐西蘭 34% 及新加坡 50%）。此外，69% 的受訪者表示曾見過因使用社交網站而影響職場人事關係的個案，當中 24% 的受訪者更指出這其實是自己的親身經歷。 Robert Half International 大中華區總裁莫安祖（Andrew Morris）先生表示：「Facebook 和 LinkedIn 等社交網站確是建立人際網絡的優秀工具，但同時亦可令僱員和管理層的關係變得緊張。」他續說：「在今天的數位化時代，維持良好的網上聲譽及注意自己於網上投射出來的個人印象是十分重要的。你永遠不會知道誰在查看你 Facebook 的簡介。」莫先生補充道：「在專業地使用社交網站來與別人聯繫之前，員工應先檢視自己的私隱設定，並可考慮修改個人簡介，例如只保留一些可隨意跟上司、同事、客戶及有機會成為未來僱主的人士分享的內容。」

戰。雖然有 41% 的受訪者稱所屬機構已有一套清晰的社交媒體政策，作為員工的網上行為守則，但仍有接近四分一（22%）的受訪者指出其公司並無制定任何社交媒體政策。

Robert Half 職場研究調查的 410 名香港受訪者中，有 44% 對於在社交網絡上與上司聯繫會感到不安。上司同樣地對此有所保留，47% 的經理表示跟下屬在社交網路聯繫會感到不安。相對而言，同輩間的交往則憂慮較少，僅 36% 的受訪者有不安的感覺。

Robert Half International 大中華區總裁莫安祖（Andrew Morris）先生提供以下指引，以協助專業人士及求職者管理他們在 Facebook 的一舉一動。

一如所料，專業人士較樂意與工作夥伴在專業社交網如 LinkedIn 上聯繫。只有 35% 的受訪者會因為在專業社交網上接觸上司而感到不安，以及 36% 的上司會因為在專業社交網上跟下屬聯繫而產生不安的感覺。新的科技為日常社交禮儀帶來新的挑

加入照片

相片的意義相當重大。一張個人照片可增加內容的真確性，並確定你正是別人所認識的「陳大文」。所選的照片可以是生活照，但必須要顯得專業。

02 尊重留言牆（Wall）若你不想將留言牆的內容公諸於世，那就不要把它放在你或任何人的 Facebook 留言牆上。切記你每個網上的朋友都可看到你的評論、照片及 YouTube 短片的連結。取

而代之，你可使用電郵或 Facebook 的通訊功能。

03 用途專一若你在工作上會運用到 Facebook，那就請你稍作克制，不要張貼有關遊戲、智力測驗和所屬群組的最新消息。試想想，當你每次在農場遊戲 FarmVille 加入了一隻羊的時候，你是否希望所有朋友都知道？

04 避免言詞激烈不要張貼負面的評論，或說有關僱主、上司和同事的閒話，甚至觸及其他敏感話題，因為對方有可能會偶然看到你的留言。

05 接受被拒若想在社交網站與人結友，只發一次的朋友邀請便足夠。要知道有些人可能不想跟你在網上聯繫，包括你的上司或同事。請不要太在意，不同人會利用不同準則來建立自己的虛擬社交網，又或許他們並不是 Facebook 的常客。

大企業如何簡化招聘人才流程？對大企業來說，要將招攬人才過程縮減絕不容易！最近有本地銀行 ( 中信銀行國際），就利用了 Oracle PeopleSoft 企業招聘方案 (Oracle's PeopleSoft Enterprise Recruiting Solution) 簡化招聘流程。該招

該應用軟體方案為應徵者、招聘者及管理人員提供智能招聘及職位搜索工具。它具備直觀及簡單易用的操作界面，讓應徵者以至外來用戶都能在網上搜索、檢視及申請工作職位。透過內置的追蹤申請者功能，招聘

這個全新的電子招聘平台包括一個專為應徵者而設的入門網站，他們可以在招聘首頁中上載其履歷，有關資訊將會自動納入由 PeopleSoft 招聘方案管理的人力資源系統中。透過建立一個虛擬人才數據庫 (virtual

聘方案能夠為跨國機構有效解決端到端的人力資源權責管理的問題；同時，該方案亦集人才管理、工作團隊管理及工作團隊服務供應效能於一身。

及管理人員能夠更快捷的物色及吸納優秀人才。據了解，使用了這項方案後有效提升招聘人員對應徵者的第一個印象，以及收到求職申請時，能夠協助銀行快速處理。

talent pool)，以便銀行在進行招聘時能夠尋找適當的人才擔任有關職位。

4-7-new.indd 5

19/9/2002 11:16:16

人事管理

資訊科技薪酬趨升

得罪求職者隨時影響生意【香港訊】企業營銷與資訊科技已密不可分。人民幣升，港元不斷貶值，加上最低工資立法，令很多企業老闆實在吃不消。除了要調整員工薪金留著人材外，有調查更說老闆要覓得好員工甚至要當他如其客戶般寬待。據香港電腦學會公佈，今年度香港資訊科技（IT）及電訊科技業界有近 8 成僱員可獲加薪，其中 7 成僱員的加薪幅度高於 4%，有 1 成更高於 10%，可見 IT 行業的薪酬前景理想。此外，今年有一半受訪公司增聘應屆大學 IT 畢業生，其中，九成 IT 畢業生的入職薪酬高於港幣一萬元，有 35% 以上公司的入職薪酬，較去年增加 4% 以上，另有近 43% 的公司，平均增幅亦達 1% 至 3%，可見大學主修 IT 的畢業生亦不愁出路。香港電腦學會會長劉嘉敏工程師太平紳士指出，香港電腦學會於 7 月份向多家會員機構發出問卷調查，成功收回 43 家機構的問卷，包括香港多家大型公營及私營機構；其中，超過八成受訪機構聘用超過 100 名員工，近六成受訪機構的 IT 部門聘用超過 100 名員工，因此相信調查結果具有相當大的代表性。而今次是香港電腦學會首次進行的業內薪酬趨勢調查，以後亦將定期進行。香港電腦學會香港 IT 行業就業及薪酬趨勢調查的結果顯示，本年度香港 IT 行業有 79.1% 的僱員可獲加薪，有 54.5% 的公司加薪幅度為 4% 至 6%，有 9.1% 的受訪公司加薪幅度更達 10% 以上。除本年度 IT 從業員有加薪外，應屆主修 IT 的大學畢業生，如果投身 IT 行業，九成畢業生的入職薪酬超過一萬元港元，與去年比較，入職薪酬亦有所提升。在 43 家受訪機構中，有 51.2% 的公司在本年度增聘應屆主修 IT 的大學畢業生，其中 9 成公司的平均入職薪酬，均高於港幣一萬元港元，25% 公司的入職薪酬更高於港幣一萬六千元港元；整體而言，IT 行業本年度普遍的平均入職薪酬，為一萬元港元至一萬二千元港元，約佔 40%。香港電腦學會副會長（人才培訓）梁建文先生解釋，其實隨著電腦、電訊、互聯網及無線科技的發展一日千里，對人才的需求亦與日俱增。然而，自科網股熱潮爆破後，本地中學生入讀大專院校時，願意以修讀資訊科技為第一選擇之青年人數目顯著下降，入讀的學生質素亦未如以往；主要原因在於家長及學生均對 IT 行業的理想發展前景缺乏

4-7-new.indd 6

統一的品牌體驗，以確保在招聘過程中不會讓購買他們服務的潛在客戶失望。潛在客戶就是求職人士，而求職人士亦是潛在客戶，俗語有云：『顧客至上』」

了解，而今次香港電腦學會公佈的就業及薪酬趨勢調查結果顯示，薪酬的年度增幅，以至大學生的入職薪酬，均十分理想，行業的前景其實不俗。

對待求職人士如同客戶人才招聘解決方案服務商 Alexander Mann Solutions ( 下稱 AMS) 在另一份研究報告指出，企業老闆要覓得好員工，除了要調整員工薪金外，若未能在面試過程中實踐其品牌價值，也將會影響他們招攬頂尖人才，導致收入損失。該研究項目調查了英國、美國及中國的消費者意見，發現有超過半數 (52%) 的受訪者表示，負面的求職經驗會影響該求職者在未來會否願意購買該公司的產品或服務，這對企業帶來了一個重大的盈利警號。中國的受訪者對不愉快的求職經驗特別敏感。當中有 47% 表示，一個欠佳或負面的求職經驗「肯定會」，或「可能」對他們未來的購買決定有破壞性的影響。另外，有 37% 表示負面的經驗可能會影響未來的購買意向。一個不愉快的求職經驗也可能不只影響該求職者。正所謂古語有云「醜事傳千里」，在所有地區的受訪者中有 77% 表示，他們很有可能會在個人或專業網路中分享他們的經驗。在中國，有 70% 的受訪者表示，他們會將事情與朋友分享，而有 13％表示會將事情張貼在他們的專業社交網路上。在英國，有 87% 的求職人士表示，他們可能會在工作及個人社交網路上分享他們的看法。然而，在美國，求職者會在該兩個社交網路上分享經驗的數字則相對較低，只有 64%。 Alexander Mann Solutions 行政總裁 Rosaleen Blair 指出：「企業須要給予外界

Blair 續道：「不愉快的求職經驗可能會長期嚴重影響該求職人士對企業品牌的觀感，這促使他們更樂意透過社交媒體與他人分享他們的經歷。企業必須定立出自己的品牌價值，並確保這些價值貫徹於所有招聘的地點、渠道及過程中執行。否則，他們將難以招攬頂尖人才，並會影響收入。在目前的經濟環境下，這兩個情況皆是企業不願意看見的。」貫徹品牌價值是須要建基於求職者之間如何交流，以及他們如何在網上了解品牌。雖然有許多人力資源決策者在以往對使用社交媒體與求職人士交流，及了解他們的行為一直猶豫不決，然而 AMS 的研究指出，有許多求職人士都樂於接受這種溝通方法。 AMS 僱主品牌團隊創辦人及環球董事 Martin Cerullo 表示：「在亞洲，企業可能還沒有完全意識到求職人士對品牌觀感的重要 ─ 這不只限於招聘過程，而是更廣闊的商業角度。不論成功與否，企業必須開始積極制定策略，以管理求職者對品牌的觀感。」他續道：「求職者對企業品牌的觀感非常重要。因為亞洲有越來越多的求職者會在他們的朋友圈及工作社交圈內分享意見。面試經驗是求職者對一家企業建立一個長期正面觀感關鍵的一步，而這正面觀感有助推動商業價值。」近 48% 的中國求職者表示，他們不介意潛在僱主查閱他們在社交網路的個人資料，並將那些資料列作為應徵過程的一部分。同時，有 38％認為這有助求職者對僱主產生正面的觀感，但亦有少於 16% 表示，這會使他們對該公司產生負面影響觀感。有 60% 的英國求職者表示，他們對潛在僱主查閱他們在社交網路上的個人資料沒有任何感覺，同時有 22% 表示會對僱主產生正面的觀感，而只有 15% 表示會對該僱主產生負面的感覺。至於在美國的受訪者，則對此類互動形式抱持著較開放的態度。其中有 41% 表示，他們會對該機構產生正面的觀感。

19/9/2002 11:16:18

電子商務

團購買家賣家新服務 WeB-CS 收取易郵局收貨服務【香港訊】互聯網已成為我們日常生活中不可或缺的環節。香港住戶寬頻普及率達 84%，登記寬頻上網用戶超過二百萬，成為全球其中一個互聯網使用率最高的城市。Boston Consulting Group（BCG）顯示 2009 年互聯網為香港經濟帶來約 1,000 億港元收益，佔香港國民生產總值（GDP）5.9%，比率與許多先進的歐洲經濟體系看齊。然而，香港雖有完善的互聯網基建與使用率，但電子商貿方面較其他巿場落後，令人驚訝。

Wharf T&T eBusiness Limited（WeB）最新宣佈旗下團購網站 Qpon818.com 推出 WeB-CS 收取易郵局收貨服務，該服務為首個團購網與郵政署合作於郵局提供交貨服務。網上團購為嶄新的社交互動銷售模式，客戶於預設時間及團購人數內，在網上集體訂購產品及服務，享受團購價帶來的優惠。買家需列印優惠券向賣家出示，以享折扣。成功的團購網站，通常具備計劃完善、運送方便及安排妥當的物流支援。有別於香港其他團購網站以銷售服務為主，對貨物遞送的需求極少，Qpon818.com 提供種類繁多的產品及服務，以促進買賣雙方更多的互動與交易活動。有鑑於此，WeB 於香港首推 WeB-CS 收取易（郵局收貨服務），為團購業界建立物流管理概念。

全新 WeB-CS 收取易利用香港郵政物流服務，為 Qpon818.com 團購網站提供櫃位領件服務。推出初期，Qpon818.com 的客戶可於六間指定郵局領取團購貨品，包括郵政總局、興發街郵局、尖沙咀郵局、觀塘郵局、荃灣郵局及沙田中央郵局。郵局選址均位處香港主要商貿地區，方便商戶與顧客提存貨品。

面的零售網絡和服務市民的悠久經驗，能進一步提升我們的電子商貿服務。我們相信這個為團購網站而設、安全可靠的櫃位到取物流方案，將能為客戶和廣大市民提供方便、安全而且私隱度高的物流服務。」 WeB 方面表示，WeB-CS 收取易為客戶提供高度安全及私穩的服務，讓客戶能按其日程自行領取貨品。

WeB-CS 收取易的推出，不但為客戶提供方便的領件服務，同時減輕商戶於物流安排上的負擔。

關於 Qpon818.com

香港郵政服務拓展、推廣及銷售科總監周伊君女士表示：「香港郵政已提供一系列國際派遞方案，使客戶於網上購買的物品方便地送遞到海外不同目的地。這個專為團購網站而設的本地物流方案善用了我們覆蓋全

Qpon818.com 是一個於 2010 年 8 月 18 日由 Wharf T&T eBusiness 成立的團購網站。Qpon818.com 為會員提供多元化的產品，當中包括美容、飲食、旅遊和電器等不同產品。

調查顯示港人網上付款保安意識不足【香港訊】香港城市大學與香港 PayPal 聯合公布一項調查結果，揭示出香港網民對網絡世界中保護個人資料的認識和行為習慣。為了了解日益普及的智能手機、社交網絡、團購活動如何令網上透露個人資料更添風險，城大接受 PayPal 委託，對 1,200 餘名香港網民做了調查。調查結果顯示，儘管 38% 的受訪者對於網上透露個人資料有所顧慮，但仍有七成受訪者承認會在平均七個網絡賬戶上使用同一個密碼。調查結果揭示了港人疏於保護個人資料免受網絡入侵，暴露出網民的日常上網習慣行為讓網上不法之徒有機可乘。這項調查由城大設計並進行，結果顯示有近 70% 的受訪者承認將同一個密碼使用於多個賬戶。受訪者被問及有多少個網站掌

握他們的個人資料，答覆為平均 7 個；這一情況令人擔憂，因為一旦網絡罪犯破解其中一個網上賬戶的密碼，便可迅速竊取其個人身份資料，用於不法行為。此外，有六成的受訪者承認從未更換網上密碼，或僅僅在非更換不可時才這樣做。其實，最簡單有效的保安措施，就是經常更換密碼，並使用難以破解的強效密碼，保護賬戶免遭不法之徒進入，以免個人資料被竊，或遭受網上欺詐等危害。負責調查的城大資訊系統學系謝煥坤博士指出：「儘管大眾日益認識到黑客入侵和網上攻擊的風險，大多數人卻仍不改變危險的上網習慣。各組受訪者人群，無論受教育程度、收入水平的高低相差多大，犯有將同一密碼用於多個賬戶等危險做法者的比例，

竟然出乎意料，一致地高達近乎七成，這反映網上保安漏洞極為普遍。」 75% 的受訪者時常在網上購物和付賬，至少每月一次，這顯示很多香港人早已習慣網上付款的交易方式。但是，儘管如此， 78% 的受訪者對網上付款方式的安全仍然存疑，因此不會多加使用。

4-7-new.indd 7

19/9/2002 11:16:24

大指引

減低人為錯誤

企業資訊安全

人事管理

認識數據中心 8 層保安級別

建立風險管理架構建立一分公司保安政策的文件指引，列出如何保護公司在資訊科技上的實體和軟體資產。這份文件並不是一份最終文件，需要不停按情況來更新，並對員工及行政人員進行教育。

企業保安政策文件可以包括 :

身

在真實的電腦或伺服器的世界中，電腦病毒、惡意軟體，甚至是駭客行為都是以企業內敏感的資料為目標。資訊安全和保護資料私隱往往成為企業最頭痛的問題。現階段為止沒有百份百的保安方案可以保護企業這些智慧財產，但通常數據中心針對資訊安全常用以下 8 級安全準則，可以減低企業受到無謂或人為的傷害。

虛擬運算管理法則

當公司電腦網路壯大時，不論員工從公司登入，或在家裡及公司外，必須建立遠存管理法則

資訊資產的保安環境

份認證是在電腦網路中確認操作者身份的過程。身份認證可分為用戶與主機間的認證和主機與主

機之間的認證，用戶與主機之間的認證可以基於如下一個或幾個因素：用戶所知道的東西：例如命令、密

一份給員工的政策文件（文件必須得到員工諒解和願意遵循，特別在網路資源存取的問題上）

企業伺服器必須存放於安全位置，避免員工不必要的觸碰，甚至在自然災害發生時有後備的保護措施

碼等，用戶擁有的東西，例如智能卡 ( 如信用卡等）；如員工公育護，教來保訓中指引培些內部循這產。何遵慧財司智

用戶所具有的生物特徵：例如指紋、聲音、視網膜、簽字、筆跡等。電腦網路世界中一切訊息包括用戶的身份訊息都是用一組特定的數據來表示的，電腦只能識別用戶的數位身份，所有對用戶的授權也是針對用戶數位身份的授權。如何保證以數位身份進行操作的操作者就是這個數位身份合法擁有者，也就是說保證操作者的物理身份與數位身份相對應，身份認證就是為了解決這個問題，作為防護網路資產的第一道關口，身份認證有著舉足輕重的作用。

解釋公司如何實行這些資安方法

身份認證方法

建立程序來評估保安政策的成效，如遇漏洞時需要更正

在真實世界，對用戶的身份認證基本上可以分為三種： 1 根據你所知道的訊息來證明你的身份（你知道什麼？） 2 根據你所擁有的東西來證明你的身份（你有什麼？） 3 直接根據獨一無二的身體特徵來證明你的身份（你是

平台安全考量法則

系統登入

資訊處理、傳遞及儲存指引

登入認証、網路監管及報表查詢

誰？），比如指紋、面貌等。系統登入

在網路世界中認證手法與真實世界中一致，為了達到更高的身份認證安全，某些場合會將上面三種挑選其二混合使用，即所謂的雙因素認證（2 Factors Authenication）。

8-9.indd 8

將監管之資料寄存和建立文本

分析已建立好的政策了解實際使用之效率

系統登入

19/9/2002 11:16:37

人事管理

（以給予最少為原則），避免不必要或過份接觸非與公務相關的數據及軟體使用權。

身份認證

保安系統必須能準確認證使用者身份

虛擬運算管理法則

這個登入的用戶真是他本人？

他是誰？

司電腦網路壯大時，員工從公司登入，或裡及公司外，必須建存管理法則

一個登入用的方法（可簡單至一個密碼）一個身份認證用的方法（可以是一個手指模）

法則的建立是要鼓勵員工在家裡也可以進行工作，及同時可以保護公司網路安全和智慧財產

資訊資產的保安環境

或甚至是一張認證用的智能卡

整個認證過程中，關鍵精神是登入者與系統共同享有同一個秘密，目的是要明確肯定登入為所獲授權之當時人

身份認證

服器必須存放於安，避免員工不必要，甚至在自然災害有後備的保護措施

一個認證機制來決定用戶讀取或存取公司數據庫上的資料，這些資料不能過多，只需能令員工完成其工作任務便可以。認證系統必須能就以下問題向員工查詢：

平台安全考量法則

員工甲是否獲授權讀取（或更改）這些資料？

建立一套完善保安基制來確保系統軟體和硬體的安全，減低保安風險

資訊處理、傳遞及儲存指引對資料使用、處理、儲存及傳訊進行風險管理

資料存取的權限和身份管理這個步驟需要為使用者先建立身份認證，然後按使用者日常工作性質來提供相對的權限

身份認證方法在於企業使用方案的類型，其精神是要肯定使用者確實是其本人，給予其工作需要所完成的最少授權，避免重要資料不必要地獲取。

員工甲是否容許執行這項工作？如改變某些權限

員工甲是否獲授權在資料上執行該個動作？

常見的認證形式短信密碼技術短信密碼以手機短信形式請求包含 6 位隨機數的動態密碼，身份認證系統以短信形式發送隨機的 6 位密碼到客戶手機上。客戶在登入或者交易認證時輸入此動態密碼，從而確保系統身份認證的安全性。它利用 What you have 方法。目前最為安全的身份認證方式，也利用 What you have 方法，也是一種動態密碼。動態密碼技術動態密碼是客戶手持用來產生動態密碼的終端，主流的是基於時間同步方式，每 60 秒變換一次動態密碼，密碼一次有效，它產生 6 位動態數字進行一次一密的方式認證。由於它使用起來非常便捷，85% 以上的世界 500 強企業運用它保護登入安全，並廣泛應用在 VPN、網上銀行、電子政務、電子商務等領域。動態密碼是應用最廣的一種身份識別方式，一般是長度為 5~8 的字符串，由數字、字母、特殊字符、控制字符等組成。用戶名和密碼的方法幾十年來為伺服器提供一定程度的保護。當你每天訪問自己的電子郵件伺服器，伺服器要採用用戶名與動態密碼對用戶進行認證，一般還要提供動態密碼更改工具。現在系統（尤其是互聯網上新興的系統）通常還提供用戶提醒工具以防忘記密碼。典型例子：USB KEY，其身份認證系統主要有兩種應用模式：一是基於衝擊 / 響應 ( 挑戰 / 應答 ) 的認證模式，二是基於 PKI 體系的認證模式，目前運用在電子政務、網上銀行。生物識別技術運用 Who you are 方法，通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一可以測量或可自動識別和驗證的生理特徵或行為方式。生物特徵分為身體特徵和行為特徵兩類。身體特徵包括：指紋、掌型、視網膜、虹膜、人體氣味、臉型、手的血管和 DNA 等；行為特徵包括：簽名、語音、行走步態等。目前部分學者將視網膜識別、虹膜識別和指紋識別等歸為高級生物識別技術；將掌型識別、臉型識別、語音識別和簽名識別等歸為次級生物識別技術；將血管紋理識別、人體氣味識別、 DNA 識別等歸為「深奧的」生物識別技術，指紋識別技術目前應用廣泛的領域有門禁系統、微型支付等。雙因素身份認證所謂雙因素就是將兩種認證方法結合起來，進一步加強認證的安全性，目前使用最為廣泛的雙因素有：動態密碼牌 + 靜態密碼、USB KEY + 靜態密碼、二層靜態密碼等等。

8-9.indd 9

19/9/2002 11:16:39

亞太區手機程式下載量大增根據歐文的研究，到了 2011 年底，屆時亞太區手機應用程式下載數量將會高達將近 50 億次，相較於去年 16 億次的下載數量，增長了 189%。獨立電信分析師在最新的報告中指出，2011 年可能會看見手機應用程式下載數量出現絕佳的表現，預計亞太區在 2016 年將有高達 140 億的下載次數。同時，歐文預測 2011 年亞太區手機付費應用程式的收入，將高達美金 8 億 7100 萬，相較之下 2010 年僅有美金 3 億 200 萬。歐文發現市場將持續增長，2016 年的收入將高達 22 億美金。歐文設備分析師 Nick Dillon 評論表示：「消費者對於手機應用程式的需求就像是無底洞，今年還在持續成長，世界各地的應用程式商店下載數量也在持續增加中。長期預測的展望也是正面的，消費者預計會繼續忙著使用新應用程式來增加他們手機的新功能和拜訪他們最愛的服務。」今年除了強勁的下載數量和收入增長之外，Ovum 還預測 Android 將會超越 Apple，首度從 iPhone 手中搶下整體下載數量的寶座。Android 在亞太區將以 18 億次的下載數量，遙遙領先 Apple 的 15 億次下載數量。去年兩大業者各自在亞太區達成 2 億 4400 萬次和 4 億 2400 萬次的下載數量。 Android 在亞太區的領先地位未來將會持續好幾年，到了 2016 年，屆時 Android 手機應用程式的下載數量相較於 iPhone 的下載數量，將有將近兩倍的領先，分別為 60 億 7 千萬次和 34 億次。其他轉變包括 Windows Phone 作業系統的崛起，2015 年時它將會取代 Blackberry，成為整體下載數量和收入排行榜的第三名。Dillon 評論表示：「Android 下載數量將大幅領先 Apple，得歸功於平台越來越受歡迎和推出低價手機的緣故。」「儘管 Android 手機的下載數量將取得領先，iPhone 未來將依舊蟬聯亞太區付費 App 營收的霸主，在 2016 年時創造美金 8 億 800 萬的營收，相較之下 Android 的營收為 3 億 9400 萬。歐文消費者電信首席分析 Eden Zoller，注意到現在新興市場中較富裕的消費者，對於手機應用程式相當熟悉。隨著消費者越來越早接觸到應用程式，他們對應用程式的期望也越來越高。他表示：「人們不太能忍受二流應用程式，這讓消費者越來越精挑細選，越來越挑剔。如果他們打算購買應用程式的話，這會影響下載數量和營收的成長。」高價的智慧型手機 App 變得越來越難銷售。大多數付費 App 價格落在日用品的區間，那些有能力賣得比美金 5 元貴的是鳳毛麟角。歐文設備說：「了解 App 的消費者除了『非買不可』的 App 外，不太願意購買任何高價的 App。這裡的挑戰是，什麼被認為是『非買不可』，這應人而異，不同的消費者區隔喜好也不同。然而，能增加生產力並帶來方便的工具 App，或是那些被認為很酷炫，很流行、很有趣的 App，例如讓人等待很久的遊戲大作，都很有可能雀屏中選。」同時，Dillon 相信儘管 HTML5 已經對原生應用程式和 App 商店造成威脅，App 商店未來依然是消費者取得手機應用程式的主要管道。他補充說到：「 App 商店提供熟悉的環境讓消費者探索；下載和購買 App，而我們預期未來多數 App 商店的型錄將會同時擁有 HTML5 和原生應用程式。」

華南創意發展中心入駐卡布奇諾【中國訊】華南創意發展中心開幕儀式暨卡樂會創意綻放活動在廣州市白雲區卡布奇諾舉行，並舉行揭牌儀式。廣州市人大常委會財經工委副主任高殿瀛、白雲區同和街道書記黃哲明、廣州市嘉捷投資諮詢有限公司總經理孫璐、香港中小企商會聯席會議創會主席黃鵬緒等人出席了活動。華南創意發展中心是為了進一步加強粵港兩地經濟合作交流，滿足香港中小企業在國內投資和發展的需要，為眾多香港中小企業主在內地提供的一個創意服務平台。該中心位於廣州市白雲區廣州大道北同和路 333 號卡布奇諾綜合商圈 (Cappuccino-Complex) 內，區內交通便利，適合香港企業擴展內地市場。中心的主要任務包括有重點解決合作中遇到的問題、矛盾與障礙，推動內外聯動、互利共贏、安全高效的開放型經濟體系。華南創意發展中心本著「交流、共享、便利、服務」為宗旨，整合各項資源優勢，將吸引各類型中小企業入駐，是文化行業、創意產業、IT 行業、服務行業、物流行業、服裝行業、環保行業、科技行業等中小企業在華辦公和經商的最佳選擇。以資源整合為手段，著力推進商務服務公共訊息平台的搭建，在廣州北部未來的商務中心區域中創造出適合中小企業、尤其是適合創意產業的發展空間。該中心為發展商務服務業打造產業聚集平台，以服務新型行業、協會、商會為己任，為商務服務業發展提供周到的軟、硬環境。利用廣東產業升級、政府鼓勵建立現代內需主導型服務業體系的良好機遇，充分把握粵港澳三地經濟合作的不斷加深與區域商務服務需求急劇擴大的機會，依託卡布奇諾商務綜合體區域的優勢來推動粵港澳創意產業集群商務服務業的合作，進入新紀元。

10.indd 10

卡布奇諾項目介紹： http://goo.gl/7wcz6

19/9/2002 11:16:48

雲端保安方案巡禮

保護雲端服務私隱與安全

雲端保安服務大巡禮全球互聯網業者相信 2011 年是「雲端運算服務年」，預計雲端運算今年將大有作為！據市場調查公司 IDC 估計，全球雲端運算服務市場的規模將從目前的 72 億美元，在 2013 年達到 442 億美元。互聯網業者對於雲端運算的信心滿滿，認為其前景相當樂觀。但是，雲端運算也有其可慮之處，處理不當也可能會造成大災難，甚令全公司倒閉。雲端好處與顧慮比一比性質

好處

顧慮

安全性

在雲端數據中心儲存數據，不怕遺失和病毒攻擊。

雲端商家履行合約和保護客戶私隱與數據的能力和決心如何。

便利性

隨時隨地登入雲端存取資料，不用保持軟體的最新版本，一切由雲端上的專業人員負責

提供雲端運算的企業是否能在面對意外或災難導致服務中斷時，迅速恢愎服務。

無需擔心數據遺失，因提供商會備份數據，不會因系統崩潰而報銷。

若有關提供商被收購或破產，需時多久才能交還數據？或者交還的數據儲存格式，能否導入新的提供商的雲端之中？

持續性

硬體設備

大大降低購買硬體設備的需求，以及人員管理費用，一切由提供商負責。

企業未能親自維護和更新數據，擔心數據遭盜

SaaS (Software as a Service)：將軟體透過租賃給中小企或收取廣告服務費用來獲取佣金的營運模式。

PaaS (Platform as a Service)：透過提供執行環境或者編程環境，讓客戶可以在平台上發展自己的 Application 或者客製化應用，目前 Google 的 GAE 或者微軟的 Azure 都是屬於 PaaS 的範疇。

IaaS (Infrastructure as a Service)：這部分屬於硬體面支撐，一般而言傳統的 ASP 廠商只能提供 SaaS 或者 PaaS 的服務，但底層的硬體支撐大多需要透過其他硬體廠商的協助來達成。

11-22.indd 11

19/9/2002 11:14:22

Text ︰ HP 香港軟體部主管張翔

三種雲架構所遇到的安全問題公用雲

私有雲「雲端運算」一詞無處不在，幾乎每位資訊科技總監都正研究採用至少一種雲端運算模式的某些部分。HP 香港軟體部主管張翔說，現時雲端運算都有不同的模式，而它們當中每一

混合雲

種都帶來一定的安全挑戰。

私有雲：內部資源及外界存取私有雲的資源及數據均於企業內部進行運作。就像現時的數據中心，操作集中共享資源，供各種內部及外界用戶及系統存取。私有雲不但具備傳統數據中心的多項優點，更採用嶄新技術 ( 例如虛擬化 ) 處理瞬息萬變的工作量。私有雲通常會使用全新種類的存取模式，包括流動裝置、瀏覽器及網路服務，以支援更廣大的用戶群。因此，私有雲引起一些關鍵問題：

行動裝置安全性 – 由於用戶使用其私人行動裝置連接企業網路，IT 人員便難以監控行動裝置。私有雲應該提升行動及分散在不同地方用戶的能力，讓工作更具成效，同時杜絕未經授權的存取請求以保障系統。但行動裝置未必支援傳統的保安產品，較易令惡意軟體透過私有雲服務入侵企業網路。

合作夥伴的存取 – 不論企業與合作夥伴的互信程度如何，合作夥伴的身份辨認資料一般都較為薄弱。加上合作夥伴的員工或會共用同一個企業帳戶，因此實在難以準確得悉存取企業雲端服務之合作機構的員工身份。再者，如合作夥伴的員工已辭職，合作機構卻沒有作出通知，該名前員工或仍能存取有關資料。因此，要確保私有雲合規，就必須在靈活性以及整合安全性和監控方面取得平衡。

追縱存取 – 以雲端為基礎的應用程式及數據服務最顯而易見的好處，就是能夠讓其他系統輕易存取及再用。雖然雲端 API 有助易於建立複合應用程式，但卻令身份認證模式變得更模糊，難於辨認實際存取服務的「用戶」身份。

11-22.indd 12

公用雲基礎架構：企業應用程式外判

SaaS 模式導致一定的安全挑戰：

追縱員工的存取 – 要緻細無遺地追縱用戶

在公用雲模式中，企業的應用程式編碼及數據庫均於外判環境中運作。此基礎架構讓企業在存取模式及用戶配置方面有更多控制權，但亦添加新的安全隱憂：

存取的遠端應用程式，即使理論上能做到，但實施過程也甚為艱難。大部份 SaaS 供應商不會為客戶提供存取記錄，因此企業缺乏審計追縱。

供應商員工的存取 – 供應商的員工能否存

監管員工的存取 – 當員工離職並投身於競

取企業的數據或應用程式 ? 供應商如何追縱企業知識產權的存取 ?

爭對手，按政策規定，該員工的內聯網存取權限會被終止。然而，企業必須監管及終止該員工於寄存應用程式的存取權限，這是企業經常忽略的漏洞。

實體安全 – 數據中心的安全度是否足以保障企業應用程式的可用性 ?

供應商的特權 – 供應商員工可進行哪方面系統的可用性 – 若運行企業存取控制系統的雲端伺服器出現故障，將為應用程式的安全性帶來甚麼影響 ?

的存取 ? 這些存取如何受政策保障及如何進行追縱 ?

混合數據 – 企業可能已設定內部數據與其系統挪用 – 最後，若運行應用程式編碼的伺服器存有潛在非法的數據，導致執法程序須提取伺服器，企業的數據會出現什麼情況?

SaaS: 外判應用程式及供應商由於此模式將第三方應用程式寄存於第三方供應商，企業毋須對應用程式進行維護或延展。然而，這亦表示數據存在於一個並非由企業建立的應用程式及環境之中。

他公司數據混合在一起使用的準則，不過對於設於企業以外的遠端寄存應用程式，有否這些準則 ?

IT 安全沿著的範圍：在一端是高度安全及控制，這幾近僵化；而另一端卻靈活性十足，幾乎毫無安全性可言。單憑將 IT 轉移至雲端模式並不能改變此基本事實，企業必須以更宏觀的 IT 及雲端運算目標查看安全問題。

19/9/2002 11:14:24

雲端保安方案巡禮

Deep Security 入侵防禦方案保護實體、虛擬與雲端免受攻擊 Deep Security 方案特色

Deep Security Manager（DSM）

保護重要應用程式與機密資料

防止軟體漏洞攻擊所導致的資料外洩

協助遵循重要標準與法規，例如： PCI、FISMA 與 HIPAA

找出隱藏的惡意活動

提供可供稽核的詳細報表，例如記載了已防止的攻擊

提供虛擬與雲端環境所需的安全性，消除這些環境特有的安全疑慮

藉由即時防止因未定期更新修補程式造成的漏洞攻擊來降低營運成本

圖解 Deep Security 運作 BQJournal 商智謀略

Editor Choice 趨勢科技香港首席顧問陳紹斌表示：「隨著企業向混合式雲端踏出第一步，數據保護將成為關鍵。當敏感數據移到企業防火牆以外，企業必須保持資訊方面的掌控。」

因為成本考慮，愈來愈多中小企將網路服務遷住雲端。自從多家銀行和大企業相繼受到駭客攻擊和竊取資料後，服務主機放到雲端的安全性再次成為企業的關注焦點。大多數的企業都已經感覺到雲端運算帶來的資安問題，例如早前香港港交所網上服務被 DDoS

並且讓企業遵循重要的標準與法規，例如： PCI、FISMA 與 HIPAA。

就架構而言，Deep Security 一共包含 Deep Security Manager（DSM）主控台、 ESX Filter Driver、Deep Security Virtual Appliance（DSVA），以及 Deep Security Agent（DSA）等四個軟體元件。其中，提供 Deep Security 介接 VMsafe 的 ESX Filter Driver，以及 DSVA 虛擬設備，是部署在 vSphere/ESXi 4.0 伺服器；至於 DSA 則是安裝於不受 VMsafe 所保護的作業環境。 01 Deep Security 客端軟體適用於

Microsoft、Solaris 及 Linux 平台。甚至是 Red Hat Enterprise Linux、Novell SUSE 及 HP-UX、Solaris 等高階的 UNIX 系統。圖中軟體部署於群組協作伺器和數據庫伺服器中。 02 針對數據庫等伺服器，Deep Security 能保護機密資料與重要應用程式，例如 Cross-Site Scripting，協助預防資料竄改，

癱瘓就是其中例子。趨勢科技的 Deep

03 DSM 以儀表板的形式，在網頁管理界面的首頁，提供受管轄主機的狀態報表，方便管理者能夠快速理解主機目前的安全狀態。而當我們點選防火牆，或 IPS 事件的趨勢圖，Deep Security 會以條列形式顯示各項事件的詳細資訊。另外，也有搭配 SPI 的狀態檢測機制，阻擋異常的封包傳輸。而 IPS 的特徵碼可透過網路進行更新，該項功能能根據封包表頭內的資訊，辨別流量的真實類型，以便控管應用程式，或者是惡意攻擊的封包。註：DSM 更可與目錄服務以及 SIEM 整合，可以通過 SIEM 平台與其他保安方案公司產品統一監控。

Deep Security Virtual Appliance（DSVA） 04 為了減少於逐台虛擬機上部署客端軟體，針對 vSphere ( 或舊版的舊版 ESX）上的虛擬機，Deep Security 以 VMsafe 提供防護，就是透過 DSVA 掃瞄出入 vSphere 的數據封包，檢測完畢後，再根據結果，決定放行，或者在此直接丟棄，從而達至保護所有虛擬機的安全目標。這設計最大優點是避免逐台虛擬機上部署 Deep Security Agent 令整個雲端架構效能降低。 05

對於企業環境中，產品還支援其他虛擬化方案，包括 Microsoft HyperV 和 Citrix XenServer 等虛擬平台）。至於實體主機，則可以利用安裝代理程式 (Deep Security Agent) 的方式，納入該款產品的保護範圍。不同的實體和虛擬環境都使用統一的 Deep Security Agent 代理程式。

Security 是一款針對虛擬及實體，與及雲架構支援兼備的防護方案。它能提供

入侵偵測及防禦、防火牆、數據流的檢查能力。若然企業在雲端上部署了大量伺服器（Server Farm），管理員更可透過 Deep Security 的控制台了解每台伺服的即時保安狀況和異動，防範未然！

01 03

電話查詢：香港（852）2866-4362 台灣（886）2-23789666

11-22.indd 13

19/9/2002 11:14:27

保護雲端資料安全 SecureCloud 自 DropBox 洩密事件發生後，令不少使用者對於放置資料到雲端供應商的存著很大戒心。事實上，當我們將實體機虛擬化後，遷移至如 Amazon Elastic Cloud 等 PaaS 平台，整個虛擬機上的資料是沒有被加密的，換言之只要 Amazon 其中一個資安人員操守不好，你的虛擬機隨時可能被拷貝偷走，可怕嗎？ SecureCloud 是一個針對雲端系統及資料的加密技術，提供數據保護功能。方案能將客戶的數據由虛擬技術演進至私人和公共雲端時，加強數據保護。透過採用加密和基於政策的加密鑰匙管理，SecureCloud 能夠保護雲端內的數據，並且具有可轉換雲端供應商的靈活性，毋須被任何一間供應商的加密系統所綑綁。

SecureCloud 操作圖解管理者先在 SecureCloud 控制中心產生兩條加密鑰匙 ( 公匙及私匙 )，私匙用作資料提取之用並寄存於虛擬機及作資料加密之用，公匙則寄存於 SecureCloud 控制中心。

01 當伺服器要求存取受保護的儲存時， SecureCloud 會認證該伺服器的身份和完整性，藉此控制數據如何存取及存取的位置。該方案保護資訊，避免在未獲授權的情況下被泄露或盜竊，有助確保客戶符合加密要求，並可自動協助加密鑰匙的發放。

02 當虛擬機要求存取受保護的儲存時，寄存於虛擬機上的私匙，會透過預先裝於虛擬機上的客端軟體與 SecureCloud 控制中心發出請求。 03 SecureCloud 控制中心會檢查每個接入虛擬機 instance 的 IP 位址是否在預先受規管之上（因為若虛擬機被偷取，從別的地方啟動，基於 IP 位址的變更，SecureCloud 會限制它的存取）。 04 SecureCloud 讓企業更緊密掌控其雲端數據。現在用家可以由趨勢科技的代管 SecureCloud 服務，或者由設於客戶自有的實體數據中心內的鑰匙伺服器，管理其用於 Amazon EC2、Eucalyptus 及 VMware vCloud 的加密鑰匙。

總結當今的保安方案必須能同時兼顧實體機和虛擬機兩大層面，Deep Security 特別適合一些計劃實施伺服器虛擬化的公司，又或者是希望為客戶提供增值服務的雲端服務供應商。Deep Security 的出現大大幫助管理員照顧實體機和和虛擬機的網路監控和防護，而針對虛擬機的保安上，由於不用安裝端點防毒軟體，也大大減少虛擬系統的工作負荷。虛擬機的流動性令它在雲端服務商構成安全關注，SecureCloud 透過加密匙為虛擬機在雲端進行加密，減少資料外洩、虛擬機被盜，甚至是網上不法的服務請求，為虛擬機在雲端的安全上大大注入強心針。

SecureCloud 上提供大量控制虛擬機安全的法則，例如當發現要求讀取加密資料的虛擬機病毒定義碼不是最新的時候，可以拒絕存取要求。

11-22.indd 14

SecureCloud 上可檢查各虛擬機讀取加密資料的記錄。

19/9/2002 11:14:30

雲端保安方案巡禮

提升公司安全及生產力

NETGEAR UTM 新雲端過濾技術 2007 年裡，安全專家收到了接近 200 萬個惡意軟體樣本。直到 2008 年底，這個數字估計超過了 1500 萬。隨著新威脅類型和攻擊的不斷出現，Web 上存在的威脅成為了不斷增長的問題。別以為這些惡意軟體只存於色情網站或賭博網站，事實上 79% 的合法網站發現已經被黑客通過注入惡意應用程序而劫持。使用 NETGEAR ProSecure UTM 能在不降低網路性能的前提下，來保護網路免受來自於 Internet 的威脅破壞。如病毒、蠕蟲、間諜軟體、特洛伊木馬、Rootkits、鍵盤記錄器等。 ProSecure 可以基於數百萬的已知威脅和未知威

BQJournal 商智謀略

Editor Choice 專利技術：過濾快一般 UTM 五倍 ProSecure 安全平台採用了 NETGEAR 專利的串流掃瞄技術，可在數據流進入網路時便掃瞄。而傳統的掃瞄技術需要等到整個完整的文件接收完才能對其進行掃瞄。因此 UTM 能夠高效地處理大量的數據，並且在威脅進入網路之前就在網關的位置將其阻止。

雲端技術的網頁內容管理網頁的增長速度為每天 10 億個。這樣 UTM 幾乎要無限量地收集訊息，不僅規模越來越大，而且其也越來越複雜。傳統的方法已經不能夠勝任準確地，有效地分類網站。 NETGEAR 的 URL 過濾使用雲端技術，當用家嘗試瀏覽一個新的網站時，它會按這個網站的源碼分析其內容種類，並實時更新上雲端。目前 UTM 的內容分類包含了 64 個 URL 分類。其過濾引擎可以自我適應並分類之前未知的的 URL 條目。不像一些低效的方式，需要管理員手動逐個提交新的條目。URL 過濾功能不僅阻止對禁止網站的訪問，也阻止對包含間諜軟體網站的訪問。

脅庫來掃瞄 HTTP、HTTPS（安全 HTTP）和 FTP 的雙向流量的內容，主動發現並阻止安全威脅進入網路。

件被定義為垃圾郵件，那麼掃瞄器將分配給它一個特徵碼，並且立即生成特徵文件—— 這種方法可以高效地在郵件廣泛傳播前阻止郵件爆發。 1

高檢測率：可以阻止高達 97% 的的垃圾郵件

對所有垃圾郵件均有效：包括中文子元和圖片垃圾郵件

低誤判錯判率：誤判錯判率低於 1/1 500,000

能控管員工的應用程式 ProSecure 通過對應用程式特徵碼的判斷，可智能識別網路中的各種應用程式代碼，從而通過對應用程式的控制功能來執行公司中的網絡使用政策。通過阻止使用 IM 軟體（MSN、QQ），可以保持工作效率。而通過阻止流媒體、視頻程式可以為公司節約帶寬。目前 ProSecure 支援的常用程式控制如下表：

安裝簡單！容易管理 NETGEAR ProSecure UTM 可以 10 個步驟引導用戶在幾分鐘內將 UTM 成功安裝並正常運行。UTM 通過基於 Web 的頁面進行直觀的管理。通過管理界面來設置定時的策略和警報、查詢統計訊息和圖形報表，方便決策者了解公司網路的一舉一動。另外，對很多管理員來說，管理一個個單一的許可證向來是最大的煩惱。在電腦、員工數量上升的時候另行購買額外的許可證既浪費時間又增加開銷。ProSecure 系列產品直接提供 Web 和 Email 的保護服務許可證而不對「每用戶」進行單獨授權，這也是 ProSecure 一大賣點。

方案名稱：ProSecure UTM 總代理：Winco Paciﬁc Ltd. 查詢電話：(852) 2857-7227 代理網頁：www.winco.com.hk 產品網頁︰ www.prosecure.netgear.com

減底垃圾電郵造成的困擾 Email 仍然是一個流行和廣泛傳播威脅的媒介。垃圾郵件，網路釣魚攻擊，和惡意附件等是企業網路環境引入威脅的通用方法。ProScure UTM 基於高效的雲分佈對垃圾郵件的爆發進行實時檢測和阻止。一旦郵

11-22.indd 15

19/9/2002 11:14:33

LINUX PILOT 14092011.pdf 1 14/09/2011 11:18:28 AM

CMY

雲端保安方案巡禮

VMware 虛擬基礎架構加入虛擬機保安功能安全與合規向來是企業遷移到雲端運算過程中最關切的問題，也是主流 IT 部門採用雲端運算的主要障礙。目前的安全維護方式主要受制於物理基礎設施

因素，依賴物理安全設備例如硬體防火牆或 IPS 來進行防衛，同時作業系統也要依賴會影響性能的傳統防毒軟體，但是雲端環境的動態性質，即應用程式和服務都是具移動性的，並且充分利用共用基礎設施的特質，使資訊安全防護方案必須採用新方式。方案： VMware vShield 5 元件： vShield App vShield App with Data Security vShielf Edge vShielf Endpoint 對象： vSphere 架構下提供 VM 保安網址： goo.gl/ngWIP

體網路架構執行保安政策及技術，而應從單一政策框架上建立保安及法規遵循。通過與 VMware vShield App with Data Security，它能讓企業成功在虛擬機器中搜索敏感數據並進行分類。

02 VMware vShield Edge 則是一款虛擬設備，提供了防火牆功能、虛擬專用網（VPN）、Web 負載均衡，其特色包括： 1 網路位址轉換（NAT）：NAT 服務保護內部的私有網路跟公網隔離。NAT 規則可以設定為只允許擁有私有位址的虛擬機訪問。

VMware vShield 5 是建基於 VMware VSphere 上的雲端保安方案，它包含 vShield 系列產品 vShield App、vShield Edge、vShield Endpoint 和 VMware vShield App with Data Security。

01 V M w a r e v S h i e l d A p p （ w i t h D a t a Security）是一個軟體防火牆，它安裝在每個 VMware vSphere 主機上，依據政策而非物理邊界來提供 VM 虛擬機保安，能控制和監測虛擬機之間的流量。VMware vShield 5 能讓企業發現虛擬機器中的敏感資料，並讓管理員能夠準確搜尋儲存於虛擬化環境內如 PCI、PII、及 PHI 等敏感數據並進行分類。 VMware vShield App 透過 80 多個預先定義範本（其中包括不同國家和行業的具體法規），資安人員可以選擇自己適用的政策，方案將不斷掃瞄虛擬機器，尋找信用卡的等敏感資訊，並提供詳細的調查報告。被發現包含敏感性資料的虛擬機器可自我調整及隔離分段。藉由 VMware vShield App 5，管理人員可降低違規及損害聲譽的風險。

2 動態主機配置協議（DHCP）：該功能支援 IP 位址池和一對一的靜態 IP 位址分配。靜態 IP 位址的捆綁可以基於請求終端的 vCenter 管理對象 ID 或接口 ID 進行。 3 站點間 VPN：Edge 支援在 Edge 和遠程站點間的 IPsec（Internet Protocol security） VPN 連接。同時也可以支援共享密鑰模式，IP 位址單向傳播而不是採用在 vShield Edge 和遠程 VPN 路由器之間的動態路由方式。在每個遠程 VPN 路由器之下，您還可以設置多個子網路通過 IPSec 通道連接到 vShield Edge 保護內網。

4 Web 負載均衡：vShield Edge 提供了 HTTP 流量的負載均衡功能。負載均衡（包括第七層協議的支援）功能允許 Web 應用可以自動擴展。管理者可以把外部（或公網） IP 位址映射到一組內部伺服器上實現負載均衡。負載均衡器可以接受外部 IP 位址的 HTTP 請求並決定使用哪台內部伺服器。 5 端口組隔離：該服務在受 Edge 保護的虛擬機和外部網路之間設置了隔斷。端口組隔離和 vLAN 具有相同的效果。vShield Edge 還可以支援各種 vSphere 的 vSwitch 模式，標準的、分佈式的 vSwitch 包括 Cisco Nexus 1000V 都可以。

03 vShield Endpoint 在作業系統安裝防毒軟體對 VM 構成極大的資源消耗，vShield Endpoint 把反病毒（AV）軟體功能卸載到一台專用的虛擬安全設備上。通過這種機制，虛擬機可以透過 Endpoint 驅動對虛擬機進行病毒和惡意軟體監控。同時，防病毒引擎和特徵碼的升級只需在供應商的 AV 設備上進行一次就可以，不再需要對運行於每台虛擬機上的 AV 代理端進行。另外，通過 AV 設備可以進行集中策略管理。VMware 提供了知識庫和 API，方便防毒軟體公司把自己的產品集成到 vShield Endpoint 中。現在趨勢科技的 Deep Security 是唯一可以支援 vShield Endpoint 的產品，它提供了無客戶端保護，不會在客戶端虛擬機內留下任何痕跡。

在新興雲端運算的架構範例中，IT 人員需要重新思考如何確保基建安全，不要在實

11-22.indd 17

19/9/2002 11:14:35

Check Point 3D Security 360 度強化網上安全

現時企業上網究竟面對甚麼問題呢？惡意程式、資料外洩和寬頻量使用肯定是管理員最關心的課題。據一些資安調查顯示，資料外洩的主要途徑包括筆記電腦遺失、駭客入侵、Web 網站攻擊、惡意程式網站等等，要有效解決這些問題，Check Point 認為資安全必須從 Policy（防護政策）、People（人）和 Enforcement（落實）三方才能解決。隨著流動使用者增加，管理者不能單靠 IP 地址和位置就能認出用家身份，加上一個人可以擁有很多設備，一個用戶可能涉及多個不同 IP 地址，所以要有效地提供防護，確認使用者身份是需要的。因為能確認用家身份，你才可以落實安全證策實施和執行。Check Point R75.20 是一個基於軟體刀片架構的網路安全方案。這個軟體刀片提供以下特色：

URL過濾

目前 Check Point 基於雲計算的 Web 分類引擎中涵蓋 1 億多個網站和 24 萬種 Web 2.0 的應用及工具。URL 過濾方案能為企業提供一個全面的 Web 訪問控制，透過 Check Point 的 UserCheck 技術，此技術能教育及提醒員工公司的安全政策，卻又讓他們在有需要時訪問網站及使用互聯網應用。現今保護 Web 不單純是控制如 Facebook、 YouTube 或者 Yahoo ！等網站訪問，公司還希望給予員工訪問權限作商業用途，但同時也出於隱私條例、安全、帶寬及工作效率等因素控制 Web 的使用。通過採用 Check Point 的整合解決方案，公司可以輕易地控制訪問 URLs，以及此等網站內的應用及工具，例如遊戲、即時通訊及流媒體等，因為此等應用會令公司網路暴露於惡意軟體的攻擊風險，或者影響工作效率。

SSL 檢測

R75.20 令企業能檢查其所有軟體刀片的 SSL 加密數據傳輸，提供深入的安全分析，以及針對 Gmail、eBay 和 Facebook 等應用的數據丟失防禦。有了這個新功能，企業能更好地落實公司的安全政策，並仍可以保護員工在一些網站點上如網上銀行或者醫療保健網站的隱私。Check Point 的各種軟體刀片包括 DLP、IPS、應用控制、防病毒、防惡意軟體及 URL 過濾等都具備 SSL 檢測技術。

數據丟失防禦 (DLP)

R75.20 可減低企業內部數據洩露的風險。R75.20 與 Microsoft Exchange 整合，使得企業能檢測公司內部發送的數據，防止個人或部門的數據洩密。互聯網的發展一日千里，而惡意軟體也變化多端，這促使企業需要採用打破傳統的 web 保護方法。Check Point 的 3D Security 技術，能針對 URL 方案整合應用控制，提供一種獨特的 web 控制方法。現今企業通過實施單一、集中的政策，就能夠控制數百萬個網站、應用及工具的訪問。

11-22.indd 18

19/9/2002 11:14:40

雲端保安方案巡禮

為公司服務走出外為雲端服務加入統一身份識別雲是一種混雜的、由商業驅動的 IT 現象，其建立目的在於降低成本，提高計

方案： CA Cloud Security

算的效率與靈活性。雲端運算解決了很多難題，但也產生了許多新的問題。雲服務

產品： CA SiteMinder CA Federation Manager CA SOA Security Manager CA Identity Manager

的消費者和供應商在雲時代都面臨著前所未有的巨大挑戰，那就是訊息的安全性，它像是一個巨大的「原子彈」隱患，成為很多企業仍對雲服務持觀望態度的原因。

網址： goo.gl/8lKw9

3 2 4

傳統企業 IT 部署於公司內

企業將內部 IT 遷往雲端服務，那如何…外間的雲端服務統一認證？

大型機構會詢問如何擴展現有 IAM 系統，以管理用戶雲端運算應用的訪問 ; 小型機構會考慮如何在不干擾用戶、自身機構不會失控的情況下，利用大量雲端服務 ; 雲端服務供應商會關注如何以一種極為高效的方式提供 IT 服務，滿足企業與消費者的安全需要。作為企業的重要服務，管理與控制都取決於身份認證與訪問管理（IAM），它絕對是安全採用雲端服務的中心焦點。因此，如何充分利用現有的 IAM 解決方案，將其範圍擴展到混合了內部部署（on-premise）與外部部署（off-premise）的環境之中，這是針對眾多企業的安全挑戰。

CA 將 IAM 支援至雲端服務層面，支援的服務首先要支援 SPML 協議

CA 將 IAM 由傳統網路服務身份認證和管理的 SiteMinder 延展至雲端服務認證上，並由 Cloud Based IAM Services 來實現。後者是一項軟體即服務應用程式（SaaS），它可升級及支援多用戶，且能根據使用需求配置。方案採用的技術，無論對於 PC 或智能手機，皆可以獨特方式確定設備身份，有助防止欺詐，保護用戶私隱。該產品能收集並分析與特定設備相關的多種可用數據，無需使用設備上的 cookie 資訊或代理程式。目前方案可識別可疑設備，並可依據安全政策，

目前支援的 SPML 服務包括 Salesforce.com、 Amazon EC2、Webex 和 Google App 等等

當風險評分達到某標準時，有關設備的訪問便會遭阻止。流動設備已變得如錢包般普遍，方案亦採用 CA Arcot OTP 技術的流動認證，可保障智能手機、iPad 或其他流動設備之安全和認證，可以建立一次性的密碼及無需攜帶 fob 等附加認證設備。該應用程式還採用其他雙因素流動認證方式，抵禦密碼攻擊。

11-22.indd 19

19/9/2002 11:14:41

於 VMware hypervisor 之上運行

Fortinet 虛擬設備擴展雲端安全虛擬環境的規模與日俱增，虛擬環境之盲點及安全控制的不足增加了風險。Fortinet 供企業選擇實體和虛擬設備提供「單一虛擬管理平台」（Single pane of glass），讓他們靈活結合實體和虛擬設備，以便在效能、能見度及控制方面達到適當平衡。 Fortinet 的虛擬安全設備於 VMware hypervisors 之上運行，其 FortiGate 虛擬設備透過綜合式多重威脅安全功能，保護網路基礎設施。FortiGate 虛擬設備與傳統的 FortiGate 實體設備同樣能夠讓企業整合其獨立安全技術以對抗各種風險，並可節省成本及簡化其安全基礎設施的複雜性。管理員可以結合防火牆、VPN、入侵預防、惡意軟體預防、應用安全及完全內容保護、數據損失預防、網頁過濾、防濫發訊息功能，並獲得能夠檢查跨區域 (inter-zone) 流量的額外效益。此外，FortiGate 虛擬設備亦可配合傳統 FortiGate 實體設備，以確保虛擬環境的周邊及虛擬層更能獲得保護，同時提升其可觀性及加強管理。方案： FortiGate 對象：企業或雲端服務供應商網址： goo.gl/WMlBQ

中央管理工具

FortiManager 虛擬設備提供所需工具包括 FortiGate、FortiWiFi、FortiMail，及至 FortiClient 端點代理，以便管理任何規模的 Fortinet 安全設備，由數部至數以千計設備及端點安全代理均可應付。

綜合分析保安數據

FortiAnalyzer 虛擬設備以安全方式集合 Fortinet 裝置及其他 syslog 兼容裝置的 log 數據。用戶可以採用一套自訂及周全的報表，過濾及檢視紀錄，憑流量、事件、病毒、攻擊、網頁內容及電郵數據，挖掘數據以判斷安全情況，有助確保企業符合法定要求。 FortiAnalyzer 亦提供先進的安全管理功能，例如隔離檔案歸檔、事件關連功能、漏洞評估、流量分析，以及電郵、網頁存取、即時訊息及檔案傳輸內容的歸檔。

郵件保安工具

FortiMail 虛擬訊息安全設備專門攔截內送的濫發訊息或惡意軟體，在它們堵塞網路及影響用戶前及早解決。該方案亦有預防其他防濫發訊息網閘（包括 3G 流動網路流量）將資料發放給黑名單用戶。各款虛擬設備的功用與其硬體版本相似，Fortinet 亦繼續提供虛擬網域 VDOM 及管理網域 (Administrative Domain, ADOM) 技術以保護及管理虛擬及多個租戶（multitenant）環境。各虛擬技術與業界標準虛擬區域網（Virtual LANs, VLANs）互相配合，讓單一虛擬或實體 Fortinet 裝置可支援該環境內數以百計的網域，提供各區域之間至為重要的能見度和安全控制，同時維持虛擬技術的效益。

11-22.indd 20

19/9/2002 11:14:43

雲端保安方案巡禮

針對網頁防衛的 Web-UTM

更支援 Web 2.0 應用進行控管現時很多 UTM 都不能對 Web 2.0 服務進行細分和控制，例如 Linkedin、Facebook、Gmail、Flickr、Youtube、 MySpace 等等。為了加強上網安全，尤其是 DLP（Data Loss of Prevenetion）及對 Web 2.0 的應用能夠仔細控制，不少公司除了使用 UTM 外，更透過安裝 BlueCoat 的 Desktop Connector Agent 強制式的群組政策，將任何瀏覽的資料流強制映射到街外的 Proxy 來進行安全過濾，Blue Coat Cloud Service 就是其中一種類似的網路服務。這種 SaaS 服務最大的好處是毋須添置硬體保安閘道和過濾伺服器，用家在瀏覽網頁時，先發出請求至 BlueCoat Cloud Service，然後通過它的 Proxy 進行 URL 分類和保安檢查、甚至在 Proxy 預先定義好的政策，來對登入者所使用的 Web 2.0 服務進行細分。

支援 Granular 控制舉一個例，為了加強公司 DLP 控制能力，管理員可以限員工將資料上載至任何 Web 2.0 的網頁應用，例如 Facebook 只能閱讀，不能發文和發放照片，甚至限制員工玩網上的 Facebook Games；公司也可允許員工使用 Webmail，但不能傳送附件。這就是 BlueCoat 所稱的 Granular Web Application Controls 中的 Granular（微細）意思。

方案： Blue Coat Cloud Service 產品： Web Security Module 網址： goo.gl/OHkrH

WEB 網頁保護

按位置找資料中心

即時察覺 Web 威脅

BlueCoat Cloud Service 結合了 Blue Coat WebPulse 與 inline 惡意程式掃瞄技術，提供 Web 保護，並即時分類新的、和未知的 Web 內容。 WebPulse 利用分析技術，偵測 Web 環境中是否有可疑和惡意的網站，以及發現惡意程式，無需依賴識別碼（Signature）或軟體升級即可自動保護所有使用者。

方案內建的自動追蹤功能能夠根據使用者當時的地理位置，動態地將 Web 流量導向最近的 Blue Coat 資料中心（Proxy），不論員工位於何處皆能施以同樣的保護。

IT 管理人員透過該服務內建的報表介面，能夠輕易檢視有多少威脅試圖侵入網路，快速辨識遭惡意程式感染並嘗試傳送敏感資訊至惡意程式主機的終端使用者。

11-22.indd 21

19/9/2002 11:14:45

保障雲端資料及網路服務安全

第一線 CDS 及 vFirewall 服務不少公司已將網路服務遷移至雲端平台，以往伺服器放在公司內聯網有硬體防火牆保護，但一遷到雲端平台，若沒有相應的 IDS 和防火牆，網站遭癱瘓和攻擊的機會肯定倍增。有見及此，第一線推出了雲端資料庫（Cloud Data Safe, CDS）和虛擬防火牆（vFirewall）服務。這兩項服務是其雲端專屬寄存（Cloud Dedicated Hosting, CDH）服務的增值服務系列。

方案：CDS/VFirewall 對象：第一線現有的 CDH 客戶查詢：852-21877688 網頁：www.dyxnet.com

目前，第一線已建構 6 個 CDH 服務節點，覆蓋香港、台北和北京，它亦計劃將在上海和廣州建立更多的節點，以全面滿足大中華區客戶龐大的業務需求。據環球調研公司 IDC 最新發表的數位世界研究報告顯示，全球數據總量每兩年就翻一番。2011 年的數據量將達到 1.8ZB。IDC 同時也認為，企業級的應用數據將會佔數據總量的 80%。對於企業使用者來說，隨著業務數據規模的不斷增長，採用一個具成本效益的數據備份解決方案勢在必行，而第一線 CDS 服務就具有低行政費用、低初次投入成本和低營運成本等優勢。與傳統的磁帶備份相比，CDS 服務還能協助企業快速恢復並重啟業務營運。此外， CDS 服務在數據備份上所具有的高安全性也受到企業用戶的青睞。

第一線的 CDS 服務是建立於其 CDH 平台，提供企業系統及數據雲端備份服務。該服務配備企業級的數據備份功能，通過加密的互聯網傳輸，為數據庫伺服器、郵件伺服器、檔案伺服器，甚至桌上電腦或手提電腦提供數據備份。所有網路儲存設備均擁有冗餘磁碟控制台、獨立磁碟冗餘陣列（RAID）+ 熱備碟（Hot Spare）硬碟保護及冗餘儲存區域網路（SAN）渠道。CDS 服務能夠對伺服器系統檔和應用數據進行預定和特別的備份，自動壓縮以節約數據傳輸頻寬。此外，該服務在所有備份檔案上還具有強大的加密功能以及異地備份可供選擇。除了 CDS 服務以外，第一線還推出了虛擬防火牆（vFirewall）服務。該服務是建立在 CDH 平台和公共互聯網之間的一個硬體防火牆。vFirewall 除提供常用的防火牆解決方案以外，它還支援入侵偵測防禦服務（Intrusion Prevention Service，IPS)、防病毒、防垃圾郵件和內容過濾等多用途解決方案。

九倉電訊雲端防護方案

針對郵件的保安服務近年網路威脅產生了明顯的變化，越來越多的網路罪犯利用混合攻擊的策略，試圖繞過防禦系統，破壞系統或竊取敏感商業資料，而機構的員工亦未必能有效地防禦網路攻擊，任何規模的機構均需要遠離惡意的攻擊，網路安全對大部份企業非常重要。九倉電訊「雲端防護」是一項專為機構應付各種電郵威脅的防護方案，結合保護、監控和連續服務。該服務服務能將病毒、間諜軟體及其他網路威脅進入客戶網路前，於互聯網路層面徹底攔截。透過其 Hosted Services 全球 24 x 7 資訊保安服務，防止用戶進入不恰當的網站；同時透過執行有效企業網路使用政策，保持員工的工作效率。

方案特色降低總擁有成本和簡化管理

對象：郵件防護

消除網絡威脅及減少頻寬使用，有效提升生產力

查詢：852-21121121

機密、敏感及專有材料可安全地保存於公司內

網頁：www.wharftt.com

使用加密技術確保訊息安全，並遵從法律要求

11-22.indd 22

方案：雲端防護

19/9/2002 11:14:45

查詢了解供應商監控系統

服務合約

雲端服務使用最佳習慣

供應商與你所立的合約是否對你提供足夠保障 ?

公司商譽查看供應商在網上的商譽及服務的可用率能否達至 99% 以上

重大更新要高度警覺

避免員工接觸不該接觸的資料

重要數據

尋找審核

查詢供應商如何和在哪裡保存閣下公司的資料

獨立保安公司進行審核，了解供應商的合作夥伴或客戶是否有權限取得你的資料

密碼準則對員工密碼建立一個良好政策了解供應商是否符合你的保安政策原則

23 23

23.indd 23

19/9/2002 11:21:47

Edit ︰ Andrew Wong

認識 APT

Text ：趨勢科技香港首席顧問陳紹斌

Advanced Persistent Threat 進階持續性滲透攻擊你要知

什麼是 APT ？簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 可能持續幾天，幾週，幾個月，甚至更長的時間。APT 攻擊可以從蒐集情報開始，這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊，這可能很快速或持續一段時間。例如，試圖竊取商業機密可能需要幾個月收集有關安全協定、應用程式弱點和文件位置的情報，但當計畫完成之後，只需要幾分鐘的執行時間就可以了。在其他情況下，攻擊可能會持續較長的時間。例如，成功部署 Rootkit 在伺服器後，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）進行審查。

今天的 APT 非常先進無論是就攻擊者所使用的技術還是他們對於目標內部的了解來看，APT 攻擊是非常先進的。APT 可能會採取多種手段，像是惡意軟體，弱點掃瞄，針對性入侵和利用惡意內部人員去破壞安全措施。

其實，APT 不是一種新的攻擊手法，也不是可以透過阻止或破壞一次攻擊就讓問題消失。APT 更像是一個網路攻擊活動而不是單一類型的威脅；可以想成是進行中的過程。防毒程式可能會阻止 APT 攻擊所使用的惡意軟體，但並不意味著停止攻擊。就其性質而言，一個 APT 是一段持續的攻擊。如果一個

APT 攻擊的早期階段可能集中在收集

戰術行不通，就會再嘗試另外一個。實際上，

關於網路設定和伺服器作業系統的的詳細

我們不應該只去思考單一對策，或只是在多

資訊，接著，精力會放在安裝 Rootkit 或

層次安全策略上增加更多防禦層，相反的，

其他惡意軟體去取得控制權或是跟命令與

我們應該思考將其他例子中可能用來攔截、

控制伺服器（C&C Server）建立連線。

偵測和遏制的各種方式都組合起來。現在，

再下來的攻擊可能集中在複製機密或是敏

很合理的我們會想問，要如何做到這一點？

感數據來竊取數據。

24-25.indd 24

不斷演變的資訊保安威脅環境企業和政府面臨著一個不斷演變的資訊保安威脅環境。從一開始為了用來吹噓而去攻擊媒體網站或用阻斷式攻擊 (DoS) 來切斷流行網站的服務，到現在是為了經濟利益而攻擊。攻擊者能夠透過詐騙或竊取知識產權來直接獲取利益，或是間接地經由破壞競爭對手的服務或進行大規模資料竊取攻擊來入侵客戶的個人金融資訊。而除了動機上的變化，攻擊手段上也有所改變。應用程式架構的改變和將核心作業去中央化都為攻擊者帶來機會。在過去，

19/9/2002 11:21:14

網絡保安銀行職員和自動提款機是銀行帳戶進行交易唯一的途徑，現在你可以用手機做到這一點。也就在不久之前，每當談論到零售商就會想到有實體店面的店家或商場，現在它會讓人們聯想到可以出售各種東西的網站，從書籍到電器都有。網頁應用程式提供多種業務相關服務來完成整個工作流程，而且還能串到後勤管理系統，像是庫存管理和應收賬款等。這些都很容易成為弱點掃描，注入攻擊和其他用來找出應用程式結構或潛在漏洞等資訊探測器的目標。演變中的資訊保安威脅環境裡的另一項因子是會組合多項技術。惡意軟體可以被用來執行特定任務，如側錄鍵盤，或者它可能包含一個通訊模組，可接收命令和控制伺服器（C&C Server）所下達的指令，來讓攻擊者去進行探測，搜尋，並且根據找到的資訊來改變戰術。我們在 APT 中所看到的某些技術，在之前的混合式攻擊（在一次單一攻擊中使用多種的惡意軟體）中就已經看過了。我們還看到攻擊會因應使用者對策而改變。當防毒軟體成功的利用病毒碼比對技術來偵測到病毒時，惡意軟體作者會採用加密和多形技術來讓自己的程式得以避免偵測。同樣的，如果一條進入系統的路徑被封鎖了，APT 會尋找另一條路徑。APT 可變動的性質是資訊保安威脅的共同特點，但有其他特點可以區別 APT 和其他類型的攻擊。

公司如何知道自己被 APT 攻擊？從最基本面來看，有三項特點讓我們認為這攻擊是 APT： 1

出於經濟利益或競爭優勢

一個長期持續的攻擊

針對一個特定的公司，組織或平台

企業和政府是 APT 的目標原因很明顯。企業擁有高度價值的金融資產和知識產權。而從有政府組織以來，政府組織就是會面臨外來的攻擊。因此，APT 的概念在許多方面都沒有什麼新意。唯一新的是執行這種威脅的方法，已經進入網路和應用程式的領域了。長期攻擊可能持續幾天，幾週，幾個月，甚至更長的時間。APT 攻擊可以從蒐集情報開始，這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可

以塑造出後期的攻擊，這可能很快速或持續一段時間。例如，試圖竊取商業機密可能需要幾個月有關安全協定，應用程式弱點和文件位置的情報收集，但當計畫完成之後，只需要一次幾分鐘的執行時間就可以了。在其他情況下，攻擊可能會持續較長的時間。例如，成功部署 Rootkit 在伺服器後，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）進行審查。有一些廣為人知的 APT 攻擊演示了發動 APT 的手段和動機：以 Zeus 當例子，一開始是作為攻擊金融機構的平台，但被改成一個框架（Framework）提供給其他類型的 APT。極光（Aurora）APT 攻擊 Google 和其他科技公司，似乎試圖取得存取權和可能去修改應用程式碼。 Stuxnet 是高度針對特定產業的惡意軟體，其中包含一個針對用在工業設備上可編程序控制器（Programmable Logic Controller, PLC）的 Rootkit。所以新聞界有人猜測 Stuxnet 是由一個或多個政府來開發的。而這些 APT 可以利用我們提供服務的改變來加以攻擊。

變化中的企業運作使問題更加複雜使用技術和攻擊動機的改變只是 APT 成為如此嚴重威脅的部份原因。我們如何去設計系統讓使用者存取商務應用程式也是原因的一部分。想到去邊界化。過去防火牆會阻止未被明確允許的連線。由於進階應用需要有更靈活的網路連線。外部人員需要訪問內部資源。開發人員開發應用程式去建立通道讓被封鎖的協定藉由被允許通過的協定（也就是 HTTP）穿過。現在並不是用單一邊界包圍著所有的網路資產，企業開放存取更多的伺服器而只依賴基於設備的控管和網路流量監控。另一個原因是可以被 APT 所利用的是手機和其他無法被管理的設備使用增加。IT 部門並不總是能夠要求在防毒軟體或存取控制到位之後，設備才可以使用內部服務。這些設備可以被 APT 利用來做為攻擊企業或政府網路的一部分。

料庫內容或是程式結構相關的情報。藉由擴大員工訪問重要資訊系統的能力，企業可以讓員工更容易也更有效率的進行必要的工作。但是，這樣也增加了可能的攻擊入口。技術和組織方面的因素在工作上會導致 APT 攻擊的可能性。其中許多因素，像是提供員工更多功能和可以從移動設備來存取應用程式都是這麼的有幫助，很難想像要去削減它們。我們可以降低 APT 的風險，而不必犧牲這些好處。

從實務面來評估控制 APT 的可能性從實務面來看，在可預見的未來，APT 將會一直與我們同在是很合理的假設。在網路安全的歷史中充滿了更多新型態攻擊出現以因應新型態控制的例子。APT 是長期的過程導向攻擊，是攻擊者動機和攻擊手段改變下的產物。既然 APT 已經存在了，有什麼合適的策略可以用來減輕相關的風險呢？我們應該繼續部署攔截對策。防毒軟體，加密，弱點掃描和上修正程式（Patch）都是很好的做法。但是他們還不夠去應付 APT，所以我們應該假設會被攻擊成功。並不是說這些對策有問題，這觀點只是認定一個事實，就是有決心而且堅持的攻擊者始終會找到一條路擺脫所有的防堵辦法的。所以在某些點上會被攻擊成功的前提下，我們必須即時的監控網路流量和電腦上的活動。萬一攻擊發生了，能夠儘快偵測到攻擊和遏制它所造成的影響是迫切需要的。遏制方法可以包括隔離被入侵的設備，關閉伺服器和收集資料以作鑑識分析之用。

資料庫甚麼是 APT ？ APT 是一類會對 IT 和資訊保安專業人員產生特別挑戰的資訊保安威脅。它出於經濟或其他長期收益的動機，利用多種惡意軟體和駭客技術來武裝自己，這些攻擊者願意花時間跟精力去打破組織的防禦能力。過去的許多最佳做法在今天還是必需的，但正如我們將在下一篇文章中所看到的，我們需要在我們的對策組合中加入即時監測和遏制技術。

同樣，增加外部可用的網頁應用程式提供另一種可能的攻擊方法。舉例來說，對於網頁應用程式的注入攻擊可以用來收集資

24-25.indd 25

19/9/2002 11:21:14

HP 新儲存聯合技術 3PAR 擴展融合儲存 IDC 估計在 2012 年前，85% 的新應用程式將專為雲端存取而設計。要靈活交付這些以虛擬及雲端為基礎的應用程式，它們必須連接多個儲存系統，使其成為單一系統。這就是聯合儲存（storage federation），其功能可消除額外的虛擬化設備，從而降低成本、行政支出及數據中心架構的服務水平風險。 HP 以全新的聯合儲存（federated storage）軟體 HP Peer Motion 擴展其融合儲存（Converged Storage）組合。該軟體讓客戶在虛擬及雲端運算環境中，能透明地移動磁碟系統之間的應用程式工作量。

HP 亦推出全新 HP P10000 3PAR

新的 HP Peer Motion

軟體適用

Storage Systems，在公用雲及私有雲中

於 HP LeftHand

提供「IT 即服務」（IT-as-a-Service）

Systems，提供業界首個 peer-to-peer 儲

的企業 IT 交付。這些功能包括多租戶工

存聯合功能，涵蓋虛擬儲存區域網路（SAN）

作量整合（multitenancy for workload

軟體設備至中端及高端儲存系統。HP 3PAR

consolidation）、為高效的容量使用率

及 HP LeftHand Peer Motion 軟體讓客

及自主負載再平衡（autonomic load

戶：

rebalancing），擴展精簡技術（thin technologies），以推動企業靈活性。 HP 香港企業伺服器、儲存及網路部總經理楊建峯表示：「二十年前建構的傳統儲存系統，並非為現今這個動態『 IT 即服務』世界而設，令企業在別無選擇下

及 3PAR Storage

based 聯合儲存，不但可處理不間斷及多

透過聯合資產管理（federated asset management），在儲存資產進行更新時，消除停機時間或服務中斷的機會，確保數據無中斷地從退役的陣列轉移至新系統，進一步改善生產力。

1 在回應難以預測的環境，透過聯合工作量平衡（federated workload balancing），確保持續生產力及無中斷地重新分配工作量。

HP 收購 3PAR 後不足一年，便已推出兩個全新型號的 HP P10000 3PAR 儲存系統，包括 V400 及 V800（HP 3PAR V-Class）。HP 3PAR V-Class 是一個功能強大、以關鍵任務為本的儲存系統，可在單一高效能陣列，同時支援混合、難以預測及

使用昂貴及低效率的額外虛擬方法來應付需求。HP 融合儲存解決方案中採用 peer-

多租戶的工作量。透過聯合 Thin Provisioning，將

租戶環境中各種難以預測的需求，更可降

應用程式數據透明地移動至具備足夠

低支出、管理開支及服務水平風險。」

容量的系統，減低將來購買儲存的需要，從而增加投資回報。

配 System

備 HP 3PAR V-Class Storage 的 HP VirtualSystem

及 HP

CloudSystem 解決方案，將於今年稍後時間推出。HP P10000 3PAR Storage System 現已有售。

26-27.indd 26

19/9/2002 11:20:49

商業科技

最細的 HP 彩色多功能鐳射印表機雲端列印將主導未來市場趨勢。研究預測到 2013 年，將有 260 億頁紙張由流動裝置進行列印，同時 85% 智能手機用戶希望可透過智能手機進行打印，反映出市場的巨大潛力。 HP 兩款全新的多功能鐳射印表機系列。針對寸金尺土的環境而設，HP LaserJet Pro 100 Color M175 印表機系列為 HP 體積最細小的多功能彩色鐳射印表機，最適合家庭辦公室或中小企使用。而 HP LaserJet Enterprise M4555 多功能印表機系列，則為需要應付大量打印工作的中大型企業而設。作為 HP 最細小的多功能彩色鐳射印表機，HP LaserJet Pro 100 Color M175 打印機系列的體積只有 441（闊）x 480（深）x 441（高）亳米，方便擺放在家中或辦公室任何位置，更能節省空間。雖然機身細小，此打印機系列齊集列印、掃描和影印三大功能；內置 Smart Install 技術，毋須 CD 驅動程式，USB 一插即自動進行安裝，印表機於短時間內即可使用。而且，每頁黑白列印成本與 HP 黑白鐳射印表機成本相若，為用戶省回更多列印費用。除了 HP LaserJet Pro 100 Color M175a（售價：HK$2,488）外，HP LaserJet Pro 100 Color M175nw 型號（售價：HK$2,988）更內置了以太網及無線網路，支援 HP ePrint 雲端列印技術，可以隨時隨地透過任何流動裝置進行列印，同時支援 Apple AirPrint 及 WiFi 無線列印，列印從此不受地域所限。 HP 香港影像及列印部市場發展經理廖錦輝先生

LaserJet Pro 100 Color M175 1

印表機配備特設的 HP Easy Select

在功能及設計上納入環保因素是 HP

Pivoting Colour 控制面版，操作容易，更

印表機的一大特色，這兩款多功能鐳射印表

可利用預覽模式有效調整掃描作業。而且，

機系列亦不例外。除了具備 ENERGY STAR

利用 HP 的管理工具，用戶安裝及配置列印

能源標籤外； HP LaserJet Pro 100 Color

機非常簡單，方便將印表機整合至企業列印

M175nw 型號支援 HP Auto-Off 自動關

環境，從而提升整體的營運效率。印表機所

透過 HP 取得製作宣傳品的意念、工具及範本，方便評估列印成本；

機技術，能省電達 50%，而 HP LaserJet

具備的多元化和先進保安功能，更是企業防

Enterprise M4555 系列內置 Instant-on

範重要資料外洩的必備工具。

利用 ID copy 功能將雙面證件影印至同一頁面上，更可即時將文件掃描至電腦或電子郵件等。

技術及 Instant-on Copy，有效減少能源

LaserJet Enterprise M4555

消耗，使用原裝 HP LaserJet 碳粉盒具

可列印於任何呎吋的紙張 – 由 8.9 x 12.7 厘米至 21.6 x 35.6 厘米；容易調整專色，再透過基本配色設定應用於整份文件；

備高效節能特色，能減少能源消耗量超過

使用 HP FutureSmart 固件方便更新、管理及擴充網路印表機功能；

18%。此外，HP Planet Partners 提供免

HP High-Performance Secure Hard Disk 的加密功能，有助保護儲存在印表機內的公司重要資料；

帶來的影響。

通過用戶身份認證、IPSec 及 IPv6 列印安全更有保障；

經加密電郵及 PDF 檔案，建立、列印、掃描及共享公司重要業務資訊更加安全。

費油墨盒回收再造服務，亦有助減少對環境

（左）HP LaserJet Pro 100 Color M175

另一系列全新推出的 HP LaserJet Enterprise M4555 多功能鐳射印表機（售價：HK$23,988 起），專為中至大型企業擴展業務所需要而設計。印表機的最高列印速度達每分鐘 55 頁，每月最高列印量為 250,000 頁，加上 2,100 頁的高容量入紙匣，足以應付大量列印作業。此系列印表機同樣支援 HP ePrint 雲端列印的先進技術，利用遙距列印打破地域限制。

HP LaserJet Enterprise M4555

HP ePrint iPhone 程式

26-27.indd 27

19/9/2002 11:20:58

商業科技

高清網路攝像機 NVR 方案 Surveon 殺入香港你有使用入門的 IP-CAM（MPEG-4 制式）和

若

NVR（Network Video Recorder），都會發現當

錄影的視頻不斷增加時，NVR 普遍都不勝負荷，莫說是錄影高清的 IP-CAM 了。傳統閉路電視朝向數位發展，監控系統走進 IP 化已是不可逆轉的事實。而要能廣泛用於企業監控市場，關鍵是產品必須穩定、可靠和易用，甚至是罪案發生時必須能迅速協助警方作搜證之用。台灣知名的網線攝像機廠商 Surveon 正式進軍香港，其高清數位監控和錄影方案最高可支援二百多個高清 IP 攝像機進行錄影，適合大企業、商場、屋苑和政府機構使用。 Surveon 網路視頻監控方案總代理：WINCO 查詢：(852) 28577227 網頁：www.winco.com.hk

BQJournal 商智謀略

Editor Choice

Surveon 百萬高清 IP 視頻解決方案提供各類的網路攝像機選擇，包括：網路槍機、網路一體機、網路球機、網路高速球機，每個機型均涵蓋了從標清到高清（1Mega、2Mega、3Mega）的系列產品，以及具有先進的日 / 夜模式、WDR（寬動態）、逆光補償、白平衡、寬溫和防風雨功能的機型，以應對各種對攝像機要求極為苛刻的環境下使用。Surveon 所有機型都是自主設計和製造，工藝和部件均符合工業級的標。其光學工程優化技術，包含圖像處理及編解碼器集成、為 Surveon 網路攝像機提供了理想的圖像清晰度和低光敏度。先進的部件設計，如日 / 夜 ICR、LED 燈、寬動態範圍和低光圖像傳感器以及 ISP 控制器，也確保了攝像機對各種色彩和燈光組合的高度適用性。

網路攝像機的性能和穩定性主要依賴於它本身運行的固件，Surveon 產品能做到零丟幀率，最小化延遲，並且可確保全年 365 天 7x24 小時的可靠運作。其智能視頻分析（VI）軟體，支援網路攝像機實時智能視頻分析、外來物體偵測、失蹤物體偵測、禁區侵入偵測和攝像機防破壞自我檢測等功能。這些實時視頻分析功能可以有效地幫助提高監測人員的環境感知能力，提高監測效率。產品亦已通過最高考驗的 ISO9001/14001 認證。

針對這些網路攝像機，Surveon 提供 NVR 錄影方案，產品備有

防破壞預警技術 Surveon 設計的網路攝像機，無論是在室內還是室外等各種複雜環境都

企業級 RAID 架構，統一的硬體上能支援 4 到 200 個高清監控頻道。產品從設計驗證到生產，包含溫度，結構和電氣測試，每個 NVR 服務器、IP 攝像頭和存儲解決方案在開發階段都通過數百小時專業驗證人

能夠運行，並配備了防破壞，防風雨，支持寬溫度範圍等多種品質保固技術。

員的測試。此外，通過 24-48 小時標準燒機測試確保每個 NVR 的質

例如賊人若刻意在監控鏡頭噴上色油或移動鏡頭方向，其監控系統會即時發

量。這些步驟減少全天候運作條件下的故障率。

出警告，監管者更可以翻看鏡頭「出事」前的畫像，令賊人相貌無所遁形。

28.indd 28

19/9/2002 11:20:19

技術應用

Windows Server 2008

防止員工盜取智慧資產（下）限制非公司裝置存取網路資源接續上期，完成了網路交換器設備端的相關設定之後，接下來讓我們來看看有關於 Windows Server 2008 網路原則伺服器（NPS）的設定。首先請開啟【系統管理工具】下拉選中的【網路原則伺服器】管理界面，接著展開至【網路存取保護】\【系統健康狀態驗證】節點上，然後針對預設的【Windows 安全性健康狀態驗證程式】連續點選開啟。 Step 01 開啟之後請緊接著點選【設定】按鈕，執行之後將會開啟如下所示的頁面，在此你可以分別針對 Windows Vista 與 Windows XP （SP3 版本），設定各自所要檢驗的項目，在測試階段的環境中最直接的方式就是指針對防火牆或是自動更新設定來檢驗就可以了。

靈頁面，在這個頁面中首先必須從下拉選中挑選【IEEE 802.1x（有線）】選項，接著系統將會自動產生一個唯一的識別名稱，點選【下一步】繼續。

03 接著在【指定 802.1x 驗證交換器】頁面中，必須新增 RADIUS 用戶端，而這裡所指的便是這一部 802.1x 的網路交換器設備，點選【新增】按鈕之後讓我們來看看相關的設定。 Step

Windows 安全性健康狀態驗證程式設定。

Step 02 有關於 Windows 安全性健康狀態驗證程式設定部份，值得注意的是 Windows Vista 與 Windows XP 所能夠設定的項目有些許的差異，畢竟 Windows XP 直接內建的安全性功能比較少，例如： Windows Defender 在 Windows XP 中就沒有，不過說也奇怪，因為 Windows Defender 一樣可以從 Microsoft 來下載安裝在 Windows XP 上，可是在此原則設定中卻無法來勾選。請注意！有關於 NAP 針對防火牆與防毒軟體的偵測部份，基本上只要是 Windows 資訊安全中心管理界面中，所支援與偵測的到的都可以喔。接下來我們必須以最快速的方法，來完成有關於 802.1x 網路交換器設備與 NAP 的整合設定。請在網路原則伺服器界面中，先點選至最上層的項目節點上，然後在該頁面中點選【設定 NAP】連結，來開啟設定 NAP 精

NAP 設定精靈。

著必須輸入位址（IP 或 FQDN），然後點選【驗證】按鈕，來確認這個伺服器與這個設備的連線是沒有問題的。接著必須設定 RADIUS 伺服器（NPS）與用戶端（Switch）的共用密碼，只要注意在這兩個部份的密碼都必須設定一樣即可，點選【確定】完成設定，點選【下一步】繼續。 Step 05 接下來在【設定使用者群組與電腦群組】的頁面中，可在此預先強制設定好哪一些電腦群組或使用者群組才能夠進行 802.1x 的連線驗證，當然啦！你也可以直接點選【下一步】省略掉這一部份的設定，必要的話可以等到後續再來進行修改即可。

管理 RADIUS 用戶端。 Step 04 在【新增 RADIUS 用戶端】設定頁面中，首先必須輸入一個好記的名稱，建議你可以直接輸入該設備的廠牌與型號。接

設定使用者群組與電腦群組。

新增 RADIUS 用戶端設定。

Step 06 接下來在【設定驗證方法】的頁面中，必須點選【選擇】按鈕來挑選所要用來進行安全驗證的 NPS 伺服器憑證，在選擇之前當然你在這部伺服器上的電腦憑證必須預先申請與安裝完畢才可以。接著在同樣此頁面的【EAP 類型】中，預設只會勾選一般常用的【安全性密碼（PEAP-MS-CHAP v2）】驗證類型，後續如果你想要整合智慧卡或其它憑證的驗證方式，則可以後續再來

29-32.indd 29

19/9/2002 11:19:13

將【智慧卡或其他憑證（EAP-TLS）】設定勾選。點選【下一步】繼續。

Step 13 接著將會開啟【屬性資訊】頁面，請在選取【一般用於 802.1x】項目之後，從下拉選單中選取【802（includes all 802 media plus Ethernet canonical format）】，然後點選【確定】繼續。

設定 Tunnel-Type 屬性。

設定驗證方法。

接著將會開啟【屬性資訊】頁面，請在選取【一般用於 802.1x】項目之後，從下拉選單中選取【Virtual LANs （VLAN）】，然後點選【確定】繼續。 Step

Step 14 接著又回到了【RADIUS 標準屬性】頁面，請在選取【Tunnel-Pvt-GroupID】項目後點選【編輯】按鈕繼續。

接著會來到【設定虛擬區域網路（VLAN）】頁面中，在此我們必須開始來分別設定【組態網路 VLAN】以及【限制的網路 VLAN】兩部份，首先我們先針對前者來進行設定。 Step

指定一般用於 802.1x 設定。

接著回到了【RADIUS 標準屬性】頁面，請在選取【Tunnel-Medium-Type】項目後點選【編輯】按鈕繼續。 Step

設定虛擬區域網路（VLAN）。

設定 Tunnel-Pvt-Group-ID 屬性。

15 接著在 Tunnel-Medium-Type 【屬性資訊】的頁面中，請點選【新增】繼續。 Step

Step 08 在點選【設定】按鈕之後將會開啟此頁面，首先在【RADIUS 標準屬性】頁面中請取【Tunnel-Type】項目，然後點選【編輯】按鈕繼續。

設定 Tunnel-Medium-Type 屬性。

如下圖所示接著在 TunnelMedium-Type【屬性資訊】的頁面中，請點選【新增】繼續。 Step

編輯 Tunnel-Pvt-Group-ID 屬性。

16 上述範例中的屬性值事實上是筆者已經完成的設定，而如下圖所示的頁面才是設定的頁面，在格式輸入中必須選擇【字 Step

RADIUS 標準屬性設定。 Step 09 接著在【Tunnel-Type】屬性資訊頁面中，預設的狀態下是沒有任何設定值的，請點選【新增】按鈕繼續。

Tunnel-Pvt-Group-ID 屬性值設定。

29-32.indd 30

編輯 Tunnel-Medium-Type 屬性。

19/9/2002 11:19:23

技術應用

串】，然後輸入你要讓合法 NAP 用戶端正式連線存取的 VLAN 編號即可。點選【確定】繼續。

Step 17 接著又回到了【RADIUS 標準屬性】頁面，請切換到【特定廠商屬性】頁面中，然後點選【新增】按鈕繼續。

接著將會再回到【設定虛擬區域網路（VLAN）】的頁面中，前面操作中我們已經完成了合法的組織網路 VLAN 設定，因此接著必須針對【限制的網路 VLAN】來進行設定，請點選【設定】按鈕繼續。 Step

自動修復功能】設定選項，在測試階段期間則建議你先不要勾選，如此一來才能夠看到整個不符合用戶端的隔離狀態。而對於不合格的 NAP 用戶端處理方式，則可以以預設的拒絕 NAP 不合格用戶端電腦擁有完整的網路存取權，僅允許存取限制的網路設定即可，點選【下一步】繼續。 Step 24 最後在此完成 NAP 設定的確認頁面中，你可以看到系統將自動幫我建立的幾個主要新增設定，分別是 RADIUS 用戶端、健康原則、連線要求原則以及網路原則，確認無誤之後請點選【完成】繼續。

特定廠商屬性設定。設定限制的網路 VLAN。 Step 18 在【新增特定廠商屬性】的頁面中，首先請先在【廠商】的下拉選單中選取【Microsoft】，然後在【屬性】的下拉選中選取【Tunnel-Tag】並且點選【新增】按鈕繼續。

新增特定廠商屬性。 Step 19 在 Tunnel-Tag 屬性資訊頁面的欄位中，請輸入 1 並點選【確定】即可。

Step 22 關於整個限制的網路 VLAN 設定步驟我們不再一一列舉，只讓各位讀者看看設定結果，相信聰明的你一定會發現它的設定和組織網路 VLAN 設定是一樣的，唯一只有在 Tunnel-Pvt-GroupID 設定值部份不一樣，因為在這個測試環境中我們將隔離的 NAP 用戶端導向至 VLAN2。另外可不要忘記了在設定限制的網路 VLAN 中，有關於在【特定廠商屬性】頁面中的新增設定，也要一樣完成相同的設定。

完成限制的網路 VLAN 設定。

設定 Tunnel-Tag 屬性值。

Step 23 接下來在【定義 NAP 健康原則】頁面中，首先當然就必須先將前面所設定好的【Windows 安全性健康狀態驗證程式】項目勾選，至於【啟用用戶端電腦的

Step 20 如下圖所示便是完成特定廠商屬性新增設定後的顯示頁面。

檢視 NAP 組態設定。 Step 25 我們完成 NAP 802.1x（有線）的新增設定結果頁面，以網路原則來說系統就已經幫我們完成了三種原則的定義，分別是符合標準、不符合標準以及不支援 NAP。以這個範例來說，建議你連續點選開啟 NAP 802.1x（有線）不支援 NAP 的項目內容，然後在【概觀】頁面中的存取權限設定，變更為【拒絕存取】。如此一來便可以有效防範所有不相容 NAP 的用戶端嘗試進行連線了。

完成 802.1x NAP 新增設定。

NAP 用戶端設定好不容易完成了 Cisco 3560G 網路設備以及 Windows Server 2008 網路原則伺服器的 NAP 設定，請再忍耐一下完成這最後 NAP 用戶端的配置設定即可開始嚐到豐碩的測試果實了。關於設定 802.1x 的 NAP 用戶端組態方法，最快速定義 NAP 健康原則。

完成設定廠商屬性。

29-32.indd 31

19/9/2002 11:19:36

簡單的方法就是透過群組原則來進行配置即可。在建立群組原則設定之前，建議你最好是將所要套用的用戶端對象先集中存放在相同的組織單位中（OU），然後在對於所要建立的群組原則物件（GPO）套用在這個組織單位上。在群組原則管理的編輯器中，首先請展開至【電腦設定】\【原則】\【Windows 設定】\【Network Access Protection】 \【增強型用戶端】節點上，在這個頁面中請將【EAP 隔離強制用戶端】設定為【已啟用】。

制台】中開啟【網路連線】，然後針對區域連線項目連續點兩下開啟【區域連線內容】，在此請確認【啟用 IEEE802.1x 驗證】項目已經勾選，並且在選擇網路驗證方法下拉選單中選取【Microsoft Protected EAP （PEAP）】設定，然後點選【設定】按鈕繼續。接下來在【受保護的 EAP 內容】頁面中，請將【確認伺服器憑證】選項勾選，然後將位在【受信任的根憑證授權單位】中的公司憑證勾選，並且將下方的【啟用隔離檢查】設定勾選，以及確認在【選擇驗證方法】的下拉選單選取了【Secured password（EAP-MSCHAP v2）】。

【Down】以及 VLANs 目前是標記為 1 （預設的 VLAN）。接著當筆者將這一部 NAP 的用戶端網路線連接至 Gi0/19 的連接埠之後，如＜ 0043 所示請注意！作業模式（Operational Mode）狀態已經自動變更為【Static Access】，並且 VLANs 的編號也自動變更為 2。還記得 VLAN2 我們是用來做甚麼的嗎？答對了！就是用來隔離不符合的 NAP 用戶端的，然而為什麼筆者的 NAP 用戶端電腦會被隔離呢？其實就是筆者沒有將 Windows 防火牆啟用啦。如果你將它啟用成合法的 NAP 用戶端狀態，那麼你將會發現不到 5 秒之內就會它將自動被丟到合法網段的 VLAN3 中了。

啟用 EAP 隔離強制用戶端。接下來請展開至【電腦設定】\【原則】\【Windows 設定】\【安全性設定】 \【系統服務】節點上，然後如下圖所示分別針對【Wired AutoConfig】與【Network Access Protection Agent】兩個服務設定為【自動】即可。

遭隔離至 VLAN2 的連接埠。設定 Wired AutoConfig 服務組態。接下來請切換到【系統管理範本】\【資訊安全中心】節點上，針對唯一的【開啟資訊安全中心】項目設定為【啟用】即可。

評：最符合企業需求的規劃方式受保護的 EAP 內容設定。

實測 NAP 整合 802.1x Switch

啟用資訊安全中心。

終於完成了從 NAP 用戶端、Cisco 網路設備到 Windows Server 2008 網路原則伺服端的設定。接下來就讓我們來實際測試一下它整體的運作結果。首先請開啟【Cisco Network Assistant】管理工具，然後開啟目前 VLANs 的配置狀態表，在此筆者以 Gi0/19 為例子，請注意！在筆者把 NAP 用戶端的網路線連接上去之前，它的作業模式（Operational Mode）為

有關於 802.1x 的 NAP 部署是所有 NAP 支援架構中最複雜的一關，不過那也只設定的步驟多了一些罷了，要說它很複雜其實也還不至於，不過無論如何它卻也是實務應用中最直接符合企業需求的規劃方式，但是相對在部署規劃中可能要付出的成本也是最高的，因為無論是有線的網路還是無線的區域網路，都得換成支援 802.1x 的設備才行。

完成了 NAP 用戶端的群組原則套用設定之後，接下來請來到用戶端電腦的【控

區域連線驗證設定。

29-32.indd 32

未連接的動態 VLAN 狀態。

19/9/2002 11:19:48

商業及科技月刊《BQJournal 商智謀略》將再於 2011 年 12 月號推出「最佳 IT 超級品牌 2011」《IT Super Brand Award 2011》大選，編輯部現正徵求各 IT 廠商及代理提名參賽，歡迎與我們聯絡。

BQJournal 商智謀略雜誌

IT 超級品牌獎 2011

報名表

資料提供參選公司請詳盡提供下列資料給編輯部作為評選之用：（總字數不多於 5,000 字，如有需要，請以附件提供額外說明。）

( 總字數不多於 5,000 字，如有需要，請以附件提供額外說明。) 1

參選公司名稱：

參選公司聯絡人：

聯絡方式 Email：

電話： 3

參選產品或服務名稱：

貴公司的業務範疇針對哪一個方案市場？

過去一年，貴公司在品牌建設有哪些具體的成就及對業績帶來多大的幫助？

貴公司如何推動創新品牌形像？

貴公司如何提升消費者對貴公司的品牌認知？

評審標準 BQJournal 將按以下評審標準選出優勝作品：品牌認知率 2 市場推廣成效 3 業務表現 4 品牌價值及創新力 1

參

選

辦

法

如果您認為貴公司的 IT 企業品牌深受市場認可，歡迎與我們聯絡，參與今次的「最佳 IT 超級品牌獎 2011」《IT Super Brand Award 2011》大選，獲選者將可以向業界宣告你們努力的成就，增強企業品牌的知名度，BQJournal 更會向全港傳媒頒布結果。提名截止日期：2011 年 11 月 31 日參選廠商請將資料電郵至：editorial@bqjournal.com 查詢電話：(852) 2527 2878

mkt.indd 1

13/8/2002 11:56:42