Issuu on Google+

試閱版


目錄

Contents

封面故事

5 從應用規劃安全 BYOD提昇生產力 •廖珮君

14 永慶集中資料在雲端 管控BYOD資安風險

編輯手記

•廖珮君

特別報導

2 BYOD與企業文化

28 把握最後一個月 5步驟做好個資盤點

資安觀點

•黃頌舜

技術前瞻

3 空喊口號卻不調整體質 個資保護只是半吊子 管理視野

18 滿足新法舉證要求 企業該留存的4種記錄

•朱瑞陽

24 個資風險評鑑5大原則 量身打造最適方法論

•陳信榮

資安人雜誌為企業的資訊安全與管理提供解決方案,是國內目前唯 一能有效幫助資訊經理人,迅速了解資安訊息,並妥善運用及管理 資訊安全的專業雜誌。

•黃靖文

36 直擊Black Hat USA 2012與DEFCon 20 行動安全是共同焦點

•蔡一郎

活動伸展台

44 個資保護1.2.3 循序漸進降低風險

董事總經理暨發行人 總經理 總經理

作對事、用對方法、找對夥伴

32 資料庫行為監控評估的15個提醒 •魯智深

李正雄 李正財 侍家驊

t 資訊安全部 副主編 記者 銷售專員 銷售助理

張維君 廖珮君 張茜茹 楊乙軒

t 美編部 執行美編 美術編輯

法蘭克福新時代傳媒有限公司

Messe Frankfurt New Era Business Media Ltd. 台灣分公司: 114 臺北市內湖區內湖路一段360巷8號2樓 電話:886 2 2659 9080 傳真:886 2 2659 9069 Web site/www.mfnewera.com

法蘭克福展覽(香港)有限公司與前a&s 集團於2009年創立法蘭克福新時 代傳媒有限公司,秉持專業深耕、多元整合、全球化經營的企業理念落 實 We Promote Security ~ 致力推動安全產業發展及創造市場商機。並從安 全管理面向整合實體安全與虛擬網路安全,深入安全防護、消防防災及 資訊安全等領域,探討全方位的安全科技新知與應用,並提供雜誌、叢 書、網站、展覽、活動等全方位整合行銷媒體服務。 ISSN 1729-0899 中華郵政北台字第1573號執照登記為雜誌交寄

展會經理 專案經理 專案副經理 展會專員

t 網站部 林佳雯 陳⼋穎 張惠婷 洪珮育、趙萱

t 總經理室 董事總經理助理

李仲文 張峻貿、吳承恩

林瑞惠

行銷企劃主任 行銷企劃專員

吳承勳 徐世安 陳采襄、洪正芳 張鋒智 賴俊利 郭靜儀、吳怡潔 許書銘

利志宜 高淑云 版權所有,非經本公司書面同意,不得 轉載本刊任何圖文

t 資訊部 袁孔琳 謝一鈴、施明惠 李佳歆

經理 工程師

李其鴻 賴樺穎

t 會計部 t 國內展覽部 部門經理 行銷企劃主任 展會專員

副經理 網站主編 高級網頁企劃 技術經理 程式設計 網頁設計

t 行銷企劃部

t 發行部 部門經理 專員

t 國外展覽部

•編輯部

陳煦淑 李育儒 張湘英、陳怡君

經理 高級助理會計

賓陽普 黃秀華

法律顧問:第一國際法律事務所 余淑杏 律師

本刊所刊登的文章僅代表作者本

t 海外部 經理 副經理 營運主任 專員

Copyright 2012 Messe Frankfurt New Era Business Media Ltd. All rights reserved.

林佳雯 吳孟平、邱耀賢 楊清如 方若榆、何馨卉 陳薈宇

人的意見,不代表資安人雜誌的 觀點。廠商刊登之廣告內容,本 刊已盡廣告內容審查的義務,若 有任何侵權爭議,均與本公司無 關!特此聲明。


編輯手記 Editor's Note

BYOD與企業文化 最近的熱門議題不是個資法就是行動安全。個資法總算日前已經由行政院宣布確定在 10月1日正式上路,儘管是一部風風雨雨的法案,並且法務部也已經預告將來需要再修法, 目錄

Contents

資安觀點 Smart View

但至少是讓大家開始關注自己的個資使用、讓企業合理運用民眾個資的開始。

然而,令人憂心的是,檯面下的攻擊行為不曾間斷。已經有越來越多企業,並非知名 業者,也傳出系統遭攻擊而淪陷,除了進到資料庫甚至被取得系統管理者權限…原因是攻

封面故事 Cover Story

擊刺探工具在網路上隨手可得,系統弱點攤在陽光下。個資法上路後,這些企業恐怕需要 跟法官好好解釋。難怪法律專家預言,將來在重慶南路上,可能會有類似收購股東會委託

管理視野

Management Dialogue

書的小攤販,開始徵求個資外洩團體訴訟的委託書!

特別報導

Special Report

除了個資法議題外,大家會關心的就是行動裝置BYOD。很明顯的,BYOD在特定產業 已蔚為風潮,尤其是藉由平板電腦等行動裝置可以為業務加分的服務業,例如壽險、房仲

技術前瞻

Technology Corner

業等。除此之外,企業究竟是否會開放員工攜帶自己設備上班,與公司文化有絕大關係。 可想而知,在採取民主開放式管理的企業,尊重個人的選擇,比較會允許BYOD,而這些員

活動伸展台

Technology Corner

工為了要能連上企業系統,就算是自己的iPad、iPhone也比較願意配合公司政策。日前採訪 Gart r ner副 r 總裁,他提到韓國的企業幾乎沒有BYOD的情形,因為不可能有yo y ur ow o n device c , 全部都需配合企業規定,這也反映了企業文化的管理風格 風 。

也有廠商認為,BYOD即使不是現在,在明年也勢必是企業無法抵擋的浪潮,CIO與其 抗拒,不如正面思考BYOD或IT消費化所能為企業業務帶來的變革,甚至可以藉此將IT技術 與企業營運目標做連結。而在規劃BYOD的同時,管理性與安全性是不可或缺的要素,希望 本期的文章,能對您的業務工作有所幫助。

副主編

資安人科技網

www.info ww f rmationsecurity ty.co c m.tw t

張維君

2

September 2012


資安觀點 Smart View

空喊口號卻不調整體質 個資保護只是半吊子 目錄

文 ■ 魯智深

Contents

資安觀點 Smart View

著傳聞中 10 月 1 日個資法正式實施的日子越來越近,業務單位開始緊張起來,甚至

一狀告到總經理那,說資訊單位不積極,將來觸法了都不知道。這真是啞巴吃黃蓮,

封面故事 Cover Story

有苦說不出,當初做個資盤點的時候找了業務單位,他們覺得這些作業都沒辦法提升業績, 只要列席會議就好了;當要討論作業流程時,又說要衝刺業績,沒時間參與,結果現在卻

管理視野

Management Dialogue

來一記回馬槍。話雖如此,該做的還是要做,於是找了時間和業務單位討論接下來的作法。

特別報導

Special Report

業務部說,「資訊單位是不是要告訴我們該怎麼做,不要叫我們寫作業程序,我們沒 有那個時間,最好可以設計一些檢核表,我們只要照著做就好了。」「現在新版的個資法

技術前瞻

Technology Corner

對於個人資料的蒐集、處理、利用都有限制,不知道你所謂檢核表的範圍是什麼呢?」「你 就告訴我們一些注意事項就好啦!剩下就我們自己做。」「但新版個資法要求真的很多耶!

活動伸展台

Technology Corner

還有施行細則,更何況有些資料我們資訊單位真的不知道你們以前怎麼運用的,這樣一份 檢核表對我們有些困難。」「這應該很簡單啊!還是資訊處有些什麼新規定,從裡面挑出 適合業務單位的也可以,只要我們沒有違法就好。」「那我舉一個最簡單的例子,像我們 那台檔案伺服器,上面有很多過去業務單位要求提供的會員資料,但這些資料要不要刪除, 或是保留期限多久,我們資訊單位都不知道。」「反正檔案伺服器是電腦,那就是資訊處 要管的,至於裡面的那些檔案資料,你要怎麼處理都沒關係,只要我們要用的時候資料在 就好了。」

說的好像個資法只是資訊單位的事,但我們怎麼知道這些資料要保存多久?甚至業務 單位什麼時候會用到?如果刪了這些行銷資料,到時候一定又是資訊單位的問題,怎麼可 以沒有經過業務單位同意就把這些資料處理掉!但如果這些資料被拿去做其他用途,也還 是資訊單位的問題,認為資料保管不當。反正千錯萬錯,都是資訊單位的錯。

如果沒有辦法讓其他單位人員同樣重視這個議題,如果高階主管沒有下定決心要做整 個體質上的調整,個資保護不管口號喊得多響亮,都只是半吊子作業。 資安人科技網

www.info ww f rmationsecurity ty.co c m.tw t

3

September 2012


BYOD有效管理 化威脅為生產力 活動時間:

五

研討會

"f"

活動地點:集思台大會議中心 B1 蘇格拉底廳 (台北市羅斯福路四段85號B1)

P\\X"OWWOTUIX[O>Q1

活動說明: 各式各樣的調查報告均顯示,讓員工攜帶自己的設備來上班(BYOD)已經是目前企業擋不住的趨勢,允許BYOD的 上班環境甚至也是招募優秀人才的誘因之一。然而,完全開放的BYOD將是場災難,如何讓手持不同作業系統、 不同版本行動裝置的使用者,存取獲授權的企業IT服務?如何化BYOD威脅為企業生產力?目前市面上有不同的 BYOD解決方案,本活動將邀請擁有BYOD管理經驗的企業,現身說法分享BYOD的實施政策,同時讓使用者可一 次了解各種解決方案Showcase。

線上報名網址: P\\X"OWWOT;T+[

主辦單位: 贊助廠商:

議程表 時段

議程

13:25-13:30

開場致詞

13:30-14:00

Speed up! BYOD 加速三陽工業決策引擎

14:00-14:40

桌面虛擬化 解放對使用者的限制

14:40-15:20

BYOD - 整合式有線、無線的網路基礎架構

15:20-15:40

T a Time / 攤位參觀 互動交流 Te

15:40-16:20

安全、管理兼顧的端點行動安全方案

16:20-17:00

2012 Black Hat / Defc f on 聚焦行動安全

※ 主辦單位保留活動地點、日期及議程變更之權利,如有任何更動以活動網頁資訊為準。


Cover Story

永慶集中資料在雲端 管控 BYOD 資安風險 目錄

Contents

資安觀點

永慶房產集團選擇透過系統設計與管理措施,確保 BYO Y D 下的行動裝置與資料安全。 文 ■ 廖珮君

Smart View

熱夏日午后,小蔡一如往常來到捷運站附近的路口擺起售屋看板,希望吸引來 封面故事 Cover Story

往路人的興趣,沒多久,一名中年婦女撐著傘停在看板前開口問道:「除了這 一間,附近還有其他房子嗎?」小蔡連忙拿出包包中的平板電腦,一邊點選螢幕上的

管理視野

Management Dialogue

特別報導

按鈕,一邊說著:「當然有,我幫你查一下,你想要多大坪數的房子呢?」就這樣, 透過行動裝置和無線網路,小蔡順利地幫這名婦女找到理想中的房子。

Special Report

上述所談不是電影情節,而是永慶房產集團房仲經紀人經常在上演的真實人生, 技術前瞻

Technology Corner

隨著房價節節高升,台灣房仲產業的競爭也日趨激烈,走在路上隨處可見各家房仲業 者的服務門市,在如此激烈的競爭環境裡,服務效率與即時性成為留住客戶的重要關

活動伸展台

Technology Corner

鍵,也因此,永慶房產集團一直 直致力於推動行動裝置的應用,永慶資訊開發部協理 陳澤維指出,從 2000 年的 NB、2002 年的 PDA、2007 年的 iPhone、到 2011 年的 iPad,都是屬於 BYOD 的一環,期望透過自行開發的「行動服務平台」提昇客戶滿 意度。

iPad 行動服務平台 提昇客戶服務效率與滿意度 行動服務平台是永慶自行開發的行動裝置 APP,串連內部 ERP 系統,具備物件 查詢、行程管理、客戶聯絡資料、客戶互動教學…等功能。不過,目前只適用於 iOS 作業系統,原因在於 ERP 只要有新的功能,該 APP 就要同步修正調整,然而,各家 行動作業系統支援的程式語法不同,像 iOS 為 C++、Andro r id 使用 Java、Windows 程式語法則是 .NET,如果要做到跨平台支援,必須耗費相當多的時間與人力在修改 程式上,而且會增加管控難度,因此目前只推出支援 iOS 版本的行動應用程式。

陳澤維強調,在規劃 BYOD 時,企業應該思考哪一類的應用適合搬上行動辦公

資安人科技網

www.informationsecurity.com.tw

14

September 2012


Cover Story

環境裡?以永慶來說, 行動服務平台的目的, 是為了讓房仲經紀人可 以更快速方便為客戶提 供服務,像收發 E-mail 目錄

Contents

這種 BYOD 常見的應用 模式,對房仲經紀人來

資安觀點 Smart View

說反而需求不大,因此 並未納入行動服務平台

封面故事 Cover Story

功能中,目前也只開放 高階主管可以使用。換

管理視野

Management Dialogue

特別報導

▲行動服務平台是永慶自行開發的行動裝置 APP,串連內部 ERP 系統,具 備物件查詢、行程管理、客戶聯絡資料、客戶互動教學…等功能。

句話說,BYOD 雖然帶來便利與彈性,讓員工不在辦公室也可以辦公事,但企業也應 該思考當員工不在辦公室時,有沒有必要等同於在辦公室中處理所有的公事?

Special Report

除了開發應用程式 APP,在硬體設備選擇上,由於 iPad 的重量輕、耗電量低, 技術前瞻

Technology Corner

加上螢幕大小適中、觸控操作方式,很適合房仲經紀人隨身攜帶、即時向客戶展示物 件,因此永慶主動倡導同仁使用 iPad,在推廣期更以六期無息分期付款的方式,協助

活動伸展台

Technology Corner

同仁購買設備,從直營店逐步拓展至加盟店房仲經紀人,目前集團內共有 4~5,000 台 iPad 在使用。

另一方面,雖然 iPad 操作簡單、介面友善,但 它畢竟是個全新工具,為 了降低學習門檻,永慶也 應 用 E-learning 數 位 學 習 平台課程,詳細說明 iPad 與 APP 使用流程,並搭配 內部 KM 系統讓經紀人進 行經驗分享、交流與討論, 協助經紀人快速上手。

資安人科技網

www.informationsecurity.com.tw

永慶資訊開發部協理陳澤維指出,在規劃 BYOD 時,企業應該思考哪一類的應用適合搬上行動辦 公環境裡,而不是將內部所有資訊系統通通行動 化。

15

September 2012


Cover Story

目錄

Contents

資安觀點 Smart View

封面故事 Cover Story

管理視野

Management Dialogue

特別報導

Special Report

iPad 的重量輕、耗電量低,加上螢幕大小適中、觸控操作方式,很適合房仲經紀人隨身攜帶,即時向客戶展 示物件或是查詢符合客戶需求的物件。

系統設計與管理政策雙管齊下 確保行動裝置安全 行動裝置的推動,帶來效率提昇與作業方便的效益,但也同時引發資料安全管制

技術前瞻

Technology Corner

的疑慮,陳澤維表示,目前市場上與行動裝置安全管控相關的解決方案,無法完全滿 足需求,因此仍在評估中尚未導入,舉例來說:桌面虛擬化有介面友善性與連網速度

活動伸展台

Technology Corner

的限制,MDM 則有必須維持網路連線、回應速度快慢的考量。目前永慶選擇透過系 統設計與管理措施,以確保行動裝置與資料安全,其作法如下:

一、管理措施: 1、APP 只 在 企 業 內 部 流 通: 永 慶 向 Apple 申 請 企 業 開 發 專 案, 建 置 內 部 App Store r ,好處是 APP 只在永慶內部流通,且 APP 上架不需要通過 Apple 審查。至 於安裝方式,在推廣初期由 IT 人員協助將 APP 下載至經紀人的 iPad,之後則改 為用 E-mail 寄送下載連結,並強制經紀人只能透過內部系統網路下載最新程式版 本,再搭配自動版本更新通知機制,由於 APP 上架與更新不用透過公開的 APP Store r ,非永慶員工也不容易知道 APP 下載網址,在安全防護上有了一定的基礎。 2、重新定義管理政策:隨著科技演變,企業的法令、制度規章也要適度地修正與調 整,搭配行動服務應用的同時,永慶也修改了內部的個人電腦管理辦法、可攜式 設備管理辦法、資訊設備攜出入管理辦法等,目的就是為了支援新服務工具的推 展,並可有效管理其使用狀況,降低不當使用之風險。 3、設定開機密碼:配合政策宣導及各門市店長口頭告知,勸導經紀人在 iPad 上設定 資安人科技網

www.informationsecurity.com.tw

16

September 2012


Cover Story

開機密碼。

二、系統設計規劃: 1、APP 整合 HR 資料庫做權限管控,員工離職後立即刪除使用權限,確保只有在 職員工才能使用系統; 目錄

Contents

2、留存系統使用記錄 (Log) 及管理報表,以便後續稽核或事件追蹤之用; 3、當使用者登入 APP 時,程式會自動檢查該台 iPad 有沒有 Jailbre r ak(越獄破解),

資安觀點 Smart View

確認系統沒有 JB 後才能繼續使用; 4、只要一段時間沒有操作,系統就會自動登出;

封面故事 Cover Story

5、硬體遺失時,可通報 IT 人員緊急取消使用權限; 6、預先設定經紀人的資料使用權限,重要資料只允許讀取,不允許寫入或複製;

管理視野

Management Dialogue

特別報導

Special Report

7、資料統一放在雲端,不允許下載到 Local 端,不過考量到 3G 連網速度較慢, 有些容量比較大的檔案(如:物件的簡報檔),經紀人可以在拜訪客戶前,將 檔案預先儲存 (pre r store r ) 在本機中,而且是雙層加密存放(亦即在 iOS 分配給 APP 的加密資料夾中,再多設計一層加密程序),之後要使用時,只要登入

技術前瞻

Technology Corner

APP 且連網就能看到,使用者無法在不連網的情況下,直接點選資料夾開啟檔 案,避免裝置遺失時的資料外洩風險。

活動伸展台

Technology Corner

陳澤維認為,在 BYOD 應用中,確保資訊安全的機制有很多,企業不可能每一 種都做,必須配合自身應用狀況評估導入的必要性。就以手機收發 E-mail 為例,有 些人擔心開放後,使用者若將 E-mail 下載至手機,可能有資料外洩風險,此時的解 決方案有二種:限制不能下載 E-mail 至端點、或是導入 E-mail 加解密機制來做保護, 只不過加解密都會動用龐大運算資源,而行動裝置又不是以 CPU 運算能力見長,過 於頻繁的加解密行為,可能會影響系統運作順暢度,然而限制不能下載,是否會影 響使用者作業?這就是企業該去評估的地方。

結論 透過 BYOD 應用,永慶創造的效益很多,像是房仲經紀人可以利用通勤時間排 定隔日工作行程、省去往返門市的奔波之苦,新手經紀人快速進入狀況、即時回答 客戶問題…等,陳澤維指出,在這股 BYOD 應用浪潮下,個人化的特色被強調,企 業很難想做什麼就可以做什麼,管理方式自然也要跟著改變,兼顧使用需求與安全, 才能達到當初推動 BYOD 應用希望提昇生產力與服務效率的目的。 資安人科技網

www.informationsecurity.com.tw

17

September 2012


技術前瞻

Technology Corner

目錄

Contents

直擊 Black Hat USA 2012 與 DEFCon 20 行動安全是共同焦點

資安觀點 Smart View

封面故事 Cover Story

國際兩大資安盛會 Black Hat USA 2012 與 DEFCon 20 於日前落幕,今年兩個會議的主要議題都圍繞在行 動通訊安全、雲端安全等領域。

管理視野

Management Dialogue

文 ■ 蔡一郎

特別報導

Special Report

年來,資訊安全因為駭客行動主義 (Hackivism) 的盛行而面臨重大挑戰,這也讓

許多大型網站服務業者、雲端服務供應商吃足了苦頭,從 2011 年起至今,諸如

技術前瞻

Technology Corner

Anonymous 與 Lulzsec 等駭客組織,大規模進行全球性的駭客行動,受害對象不乏知名 企業。對於使用者而言,駭客行動也許會促使其正視資訊安全及隱私保護重要性,但對

活動伸展台

Technology Corner

資訊安全相關的業者與研究人員,新世代資安威脅帶來許多不平凡的挑戰。

隨著網際網路普及、新興服務型態的出現以及雲端服務平台的發展,讓原本擁有安 全防護機制的環境充滿了變數與疑慮,也因此,每年在美國拉斯維加斯舉行的 Blackhat 以及 DEFCon 國際資訊安全會議,就成為眾人注目的焦點,透過研究人員在會議上所揭 露與分享的各類安全問題,如:系統、網路、應用程式、硬體裝置…等,可以提醒我們 許多尚未發佈或是潛在的資安威脅,也讓資訊安全領域向前邁進。

Blackhat 聚焦四大議題: NFC 資料外洩、HTML5 弱點、行動通訊、惡意程式 今年 Blackhat 同樣有專題演講及 16 個不同主題的會議(表 1),在會議走廊上亦 安排了 Ars r enal Station,讓廠商或資安研究人員,自行進行成果分享與技術交流。就 專題演講來說,第一天邀請到前 FBI 高階主管 Shawn Henry r ,以 Changing the security para r digm taking back your netw t ork and bringing pain to the advers r ary r 為題,介紹如何因 應目前網際網路的發展以及新型態攻擊威脅,第二天則以訪談方式進行,由科幻小說作 資安人科技網

www.informationsecurity.com.tw

36

September 2012


技術前瞻

Technology Corner

家 Neal Stephenson 分享對資安及資訊科技發展的看法。

另外,Blackhat 兩天都安排了 2 個 Applied Workshop,吸引相當多的人參加,主要 可以透過實作方式,瞭解講者所分享的研究成果,也包括一些資安工具的發佈,與會人 員透過與開發人員面對面的機會,瞭解工具操作與運用技巧,對於技術人員而言,實為 目錄

Contents

資安觀點 Smart View

不可多得的實戰機會,重要場次如表 2 所列。

NFC 的資料外洩風險 今年的重要焦點之一,就是針對 NFC 安全問題的討論,在現場引起廣大迴響。

封面故事 Cover Story

Charlie Miller 發表 Don’t stand so close to me: An analysis of the NFC attack surf rface, 介紹 NFC 技術目前已被發現的安全問題,透過 NFC 通訊可以在不需要接線的情況下,

管理視野

Management Dialogue

特別報導

Special Report

取得遠端裝置上的資料,因為 NFC 可以直接使用 Andro r id Beam 以及 NDEF 進行資料共 享,瀏覽器在不需要交換檔案的前提下,就可以瀏覽照片、通訊錄以及 Of¿ f ce 文件等資料, 這些將造成未經當事人同意下的資料外洩,這對於目前台灣大力推動 NFC 技術應用的產 業而言,值得多加深思對於裝置安全的防護問題。

技術前瞻

Technology Corner

HTML5 10 大弱點 活動伸展台

Technology Corner

Shre r era raj Shah 則 以 HTML5 To T p 10 Thre r ats Stealth At Attacks and Silent Exploits 為 題, 深 入 介 紹 HTML5 前 十 大 威 脅,

HTML5 前 10 大威脅 A1 - CORS Attacks & CSRF; A2 - ClickJacking, CORJacking and UI exploits; A3 - XSS with HTML5 tags, attributes and events A4 - Web Storage and DOM information extraction

這個議題講者亦曾經在 Blackhat Euro r pe

A5 - SQLi & Blind Enumeration

2012 會議初步揭露過,在這次會議中則是

A6 - Web Messaging and Web Workers injections

以實例驗證的方式,讓與會人員瞭解這些

A7 - DOM based XSS with HTML5 & Messaging

威脅實際所造成的影響。

A8 - Third party/Offline HTML Widgets and Gadgets A9 - Web Sockets and Attacks A10 - Protocol/Schema/APIs attacks with HTML5

這些威脅主要是由,分析已經被揭 露的弱點可能的影響程度,並參考曾經被運用做為攻擊手法的事件而來,對於程式開 發人員而言,在使用 HTML5 增強原本瀏覽器的功能之餘,也必須同時思考可能衍生的 資 訊 安 全 問 題。 另 外 像 是 Serg r ey Sheky k an 與 Va V agn To T ukharian 主 講 的 Hacking With Websockets,Phil Purv r iance 與 Joshua Bra r shars r 主講的 Blended Thre r ats and JavaScript: A Plan fo f r Permanent Netw t ork Compro r mise,這兩場也都有與 HTML5 弱點相關的介紹。

資安人科技網

www.informationsecurity.com.tw

37

September 2012


技術前瞻

Technology Corner

表 1、2012 Blackhat 會議主題 第一天 專題演講

第二天

■主講者:前 FBI 高階主管 Shawn Henry。 ■講題:Changing the security paradigm

目錄

Contents

■主講者:科幻小說作家 Neal Stephenson。

taking back your network and bringing pain

■講題:以訪談方式讓 Neal Stephenson

to the adversary,介紹如何因應目前網際

分享對資安及資訊科技發展的看法。

網路的發展以及新型態攻擊威脅。

■重點:目前許多資訊科技的發展趨勢,

■重點:網路的發展讓傳統資訊環境變得

正與 Neal Stephenson 在小說中所描述

更複雜,在管理上需要同時面對多種不

的情節似曾相似,創新的思維往往牽

同的挑戰,目前大多數的資訊系統,為

引著我們追尋新科技的發展。

資安觀點 Smart View

了提供使用者順利取得所需要的資訊或

封面故事

服務,除了考量便利性之外,對於資訊

Cover Story

安全的要求,將比以往更為重要。

管理視野

Management Dialogue

會議主題

特別報導

Special Report

技術前瞻

Technology Corner

■ Defining the Scope

■ Big Picture

■ Upper Layer

■ Web Apps

■ Lower Layer

■ Malware

■ Mobile

■ Enterprise Intrigue

■ Defense

■ 92.2% Market Share

■ Breaking Things

■ Over the Air and In the Device

■ Gnarly Problems

■ Mass Effect

活動伸展台

資料來源:本文作者整理,2012/8。

Technology Corner

表 2、Applied Workshop 重要場次 講者

演講題目

Chrs r tien Rioux

Lessons of Binary Analysis

Eric Fulton

Mobile Network Forensics

Jonathan Zdziarski

The Dark Art of iOS Application Hacking

Cory Scott, Michael Tracy 與 Timur Duehr

Ruby for Pentesters: The Workshop

Abraham Kang

Code Reviewing Web Application Framework Based Applications

Kyle Osborn 與 Kizysztof Kotowicz

Advanced Chrome Extension Exploitation: Leveraging API Powers for The Better Evil

Javier Galbally

From the Iriscode to the Iris: A New Vulnerability of Iris Recognition System 資料來源:本文作者整理,2012/8。

資安人科技網

www.informationsecurity.com.tw

38

September 2012


技術前瞻

Technology Corner

行動通訊 iOS 安全風險 行 行動通訊設備以及運行於這些裝置上的作業系統、應用程式或是開發平台的資安問 題,也是今年會議的重點,許多場次都在討論相關主題,這也意味著我們必須正視這些 大量成長的行動通訊設備,及其對於企業傳統資訊安全防護架構所造成的影響: ‡

Justin Engler、Seth Law、Joshua Dubik 與 David Vo V 等人以 Intro r ducing: SiRA R Semiautomated iOS Rapid Assessment 為題,介紹目前已經在 iOS 平台上發現的弱點與

目錄

攻擊方式,及 SiRA R 的主要功能,像是讓使用者進行遠端的 SSH 連線、比較系統快

Contents

照 (Snapshot) 的差異、設定網路通訊的代理伺服器以及針對 iOS 進行底層分析,提 資安觀點

供更細部資訊予研究人員分析 iOS 平台對於資料處理的方式 。

Smart View

‡ 封面故事

Dallas De At A ley 則以 iOS Security t 為題,說明目前 iOS 在系統設計上的安全問題,提 供資安研究人員有更完整的分析流程可以依循,改變以往大多採用實機或模擬器的

Cover Story

測試方式,能夠更容易掌握應用程式 (App) 在安裝與使用上可能發生的異常行為,做 管理視野

為後續分析上的重要參考資料。

Management Dialogue

特別報導

Special Report

‡

Jonathan Zdziars r ki 以 The dark art r of iOS application hacking 為題,分享如何在 iOS 上針對已被揭露的弱點進行攻擊,並且介紹一些實務技巧,以提昇系統本身的安全 性,及降低遭到攻擊影響的機會。

技術前瞻

Technology Corner

惡意程式來勢洶洶 活動伸展台

Technology Corner

惡意程式相關的議題,在今年的會議中也相當重要,目前每天出現的惡意程式數量 相當多,以全球的角度來看,幾乎是每一秒鐘就有一種惡意程式出現,除了舊有惡意程 式的變種,亦不乏許多新出現的惡意程式,這些惡意程式背後大多有其隱藏的目的與功 能,有些是單純竊取受害者的資料或是影響受害系統的運作,有些則具備相當複雜的功 能,包括針對特定目標進行進階持續性的滲透攻擊 (APT, T Advanced Pers r istent Thre r at), 其中許多參與攻擊的主角,都是因為受到惡意程式感染所致。

Rodrigo Branco 以 A Scientific Study of Malware Employs Anti-Debugging, Antidisassembly, y and Anti-virt r ualization Te T chnologies 為題,介紹目前惡意程式的發展,針對 如何避免遭到反組譯與靜態分析的作法,目前採用的技術可以讓惡意程式在短時間內變 種,而擁有不同的特徵,加入智慧型態的演算法,以避免過於規則性的活動,遭到網路 與系統偵測機制的發掘,真所謂道高一尺魔高一丈,不折不扣是場偵測與反偵測的競賽。

另外,Chengyu Song 與 Paul Royal 以 Flowers r fo f r Automated Malware r Analysis 為題, 介紹惡意程式的自動化分析平台,改良目前大多採用人工分析所需要耗費的時間與精神, 資安人科技網

www.informationsecurity.com.tw

39

September 2012


技術前瞻

Technology Corner

預估自動化分析平台的發展將是未來趨勢之一。今年 Blackhat 會議參展廠商的數量較往 年大幅成長,許多資訊安全相關的廠商,都利用這場大型的年度資安會議,向與會人員 介紹目前最新的軟硬體技術以及相關產品,今年廠家所展出的解決方案,大多環繞在雲 端安全以及行動通訊這兩個當前最熱的議題。 目錄

Contents

Blackhat 現場直擊

資安觀點 Smart View

封面故事 Cover Story

管理視野

Management Dialogue

特別報導

Special Report

A

B

C

D

技術前瞻

Technology Corner

活動伸展台

Technology Corner

A. 前 FBI 高階主管 Shawn Henry 介紹如何因應目前網際 網路的發展以及新型態的攻擊威脅。

B. 由 Jeff Moss、Adam Shostack、Marcus Ranum、Bruce Schneier 以及 Jennifer Granick 等人,針對目前面臨 的資安議題如:網路攻擊事件、通訊安全、雲端安 全等進行討論,從不同角度來思考這些問題的發生 原因,以及可能的因應方案。

C. 第二天議程的專題演講,採用訪談方式進行,邀請 E

知名科幻小說作家 Neal Stephenson 分享對於目前資 訊安全議題以及資訊科技發展的看法。

D. 今年 Blackhat 會議參展廠商的數量較往年大幅成長,參展主軸大多環繞在雲端安全以及行動通訊這兩個當前 最熱的議題。

E.Amazon 每年都會在 Blackhat 會議中出程式分析的題目,邀請參加會議的研究人員,共同解開程式碼中隱藏 的邏輯問題,也都吸引許多程式開發人員到場參與,依歷年來的分析經驗,題目中的程式不太會有語法上的 明顯錯誤,反而大多隱藏在程式運作過程,可能會出現的邏輯上錯誤,這些是相當好的一種練習方式,可以 讓我們將程式在自己的腦海中「執行」幾次,依據輸入的數值,推估可能輸出的數值,大多就有機會能夠找 到答案,在國內針對程式開發人員,則比較少見到這類型的訓練。 資安人科技網

www.informationsecurity.com.tw

40

September 2012


技術前瞻

Technology Corner

DEFCon 三大熱門議題:GPS、行動通訊、硬體裝置 相較於 Blackhat,DEFCon 的會議型態較為自由,每年參加人數幾乎都超過 1 萬 人,規模大小與內容精彩程度不亞於 Blackhat,今年是 DEFCon 二十週年的會議,在會 議期間安排了相當多的活動,除了研討會議程外,另外還有擴大���辦的 CTF(Capture r The Flag) 比賽,想要到會場參加比賽,必須在會外賽打進前 20 名才行(往年是前 10 名), 目錄

Contents

資安觀點 Smart View

今年入選的團隊還是以歐美國家居多,亞洲地區較少。

會場中的無線網路分成開放及需要註冊申請兩種,前者無安全認證機制,因此在無 線網路環境中充滿許多網路通訊及駭客間的訊息交換,使用無安全性無線網路,如果應

封面故事 Cover Story

用程式採用不安全的通訊協定,很快的通訊內容就會被公開在「綿羊牆 (Shape Wa W ll)」上, 在會議期間的 Workshop 區域也有許多的實際展示,透過簡報、闖關的方式,讓參加者挑

管理視野

Management Dialogue

戰破解資訊平台或是弱點運用,不再是紙上談兵,而是可以實際掌握這些技術的使用。

特別報導

Special Report

在會場上可以看到因為使用不安全的通訊方式,或是遭到破解的受駭者資料,就會 出現在綿羊牆上,不過,登入帳號與密碼部份會做遮罩處理,目的在於提醒大家留意通

技術前瞻

Technology Corner

訊上的安全,現場亦有實務介紹,如:使用 Wire r shark 之類的工具軟體,進行網路封包的 截取與分析技術,每個人分析的手法與方式各有巧妙,而學習與熟練這些基本的技術,

活動伸展台

Technology Corner

才是資安會議想要傳達的重點。

此次議程主要有 4 個 Tra r ck 以及 1 個大型的演講廳,幾乎場場客滿,有許多在 Blackhat 發表過的場次,也會在 DEFCon 會議上看到。今年的重要議程包括以下幾點。

GPS 設備潛藏弱點 Ferg r us Noble、Colin Beighley 介紹的 Making sense of static - New To T ols fo f r hacking GPS,介紹目前在日常生活中大量使用的 GPS 設備的弱點,以往 GPS 訊號都是直接由 多顆衛星計算所在位置,如果因為設備本身的弱點導致計算上的誤差,將會造成設備運 作不正常的情況。

行動裝置使用者不重視安全 Christopher Soghoian、Ben Wizner、Catherine Crump 與 Ashkan Soltani 等 人 以 Can Yo Y u Tra r ck Me Now? Government and Corpora r te surv r eillance of Mobile Geo-Location Data 為題,針對行動裝置記錄使用者地理位置的作法,探討可能的弱點,目前大多數的 資安人科技網

www.informationsecurity.com.tw

41

September 2012


技術前瞻

Technology Corner

行動裝置,都能透過 GPS 或是電信網路基地台進行定位,以提供使用者更貼近當地的資 訊,許多應用軟體也採用這個功能,提供打卡、當地資訊或是導航等相關的應用,這雖 然是相當方便的功能,但這些位置資訊的記錄,若未經當事人或設備使用者的同意,私 自記錄所在位置恐有侵犯個人隱私權之虞,目前雖然已透過系統更新的方式,提供使用 者自行選擇是否採用這項功能,不過大多數的裝置因為硬體或是供應商的限制,有很多 目錄

Contents

資安觀點 Smart View

並未進行更新,導致這個問題仍然存在。

行動裝置的安全問題,除了系統本身之外,在傳統 Windows 或 MAX A OS 環境中經常 困擾使用者的間諜軟體 (Spyw y are r ) 問題,目前已經出現在智慧手機或平板電腦的環境中,

封面故事 Cover Story

因為這些裝置本身系統的防護較為脆弱,再加上許多使用者在使用過程中,對安全的要 求較低,大多以使用便利性為主要考量,也因此讓許多的惡意程式(包括間諜軟體、木

管理視野

Management Dialogue

馬程式、病毒等),能夠有機會入侵與竊取資料。

特別報導

Special Report

Michael Robinson 以 Spy vs Spy: Spying on Mobile Devic e Spyw y are r 為題,提醒與會 人員目前這樣的威脅已經發生,且影響不斷擴大,許多免費的應用程式 (App) 中,開發商

技術前瞻

Technology Corner

為了利益上的考量,大多會強制出現廣告或要求升級的機制,而這些強迫使用者接收的 條件,已發生遭到駭客的惡意利用,運用社群網路進行訊息的快速傳播,吸引使用者下

活動伸展台

Technology Corner

載這些軟體,而達成植入惡意程式至行動裝置的目的。

硬體安全保護機置受到挑戰 DEFCon 會 議 針 對 硬 體 裝 置 安 全 的 討 論 也 有 相 當 多 場 次, 包 括 了 TPM(Trusted Platf tformModule) 晶片的破解方式,原本發展硬體保護機制的目的,就是希望改善目前因 為系統或是應用軟體安全問題,影響整個資訊系統安全的狀況,這樣的硬體保護機制看 起來正逐漸受到駭客挑戰。

Jonathan Bro r ssard r 以 Hard r ware r Backdooring is Pra r ctical 為題,介紹 Core r boot 以及 BIOS、CMOS 等相關硬體的安全問題,目前許多系統採用嵌入式架構,而前述這些都 是嵌入式系統上常用的元件,若存在某些可以被運用的弱點,將可能影響整個系統的運 作。舉例來說,網路設備常用的路由器,扮演決定封包路徑的功能,如果路由器遭到植 入 Rootkit 的攻擊,將可能讓駭客可以遠端操作我們的路由器,進而影響到網路通訊,等 於擁有主宰網路的權利。

資安人科技網

www.informationsecurity.com.tw

42

September 2012


技術前瞻

Technology Corner

DEFCon 現場直擊

目錄

Contents

A

B

資安觀點 Smart View

封面故事 Cover Story

管理視野

C

Management Dialogue

A.DEFCon 每年的駭客市集 (Hacker Market) 也是相當值得花時間尋寶的地方,除了一般常見的資訊設備外,還 特別報導

Special Report

有許多用來進行硬體破解或是訊號分析的設備。

B.DEFCon 會場上可以看到因為使用不安全的通訊方式,或是遭到破解的受駭者資料,就會出現在綿羊牆上, 提醒大家留意通訊上的安全。

技術前瞻

C.DEFCon 會議所使用的識別證,也與往年一樣,採用電路板設計方式,這個是其它會議較罕見的作法。

Technology Corner

活動伸展台

Technology Corner

另外今年發佈的幾個針對路由器的零時差攻擊,也是需要留意的重點,像 Zachary r 以 SQL Inj n ection to MIPS OverÀ r ows: Rooting SOHO Router 為題,介紹如何利用 3 個簡單 步驟來完成遠端路由設備的攻擊行動,也說明如何利用未公開的緩衝區溢位弱點進行攻 擊行動,對於一些家用的網路分享器或路由器設備,都可能會造成影響。

結論 Blackhat 與 DEFCon 這兩個大型的國際資訊安全會議,有人戲稱為黑白兩道齊聚一 堂,依據官方統計,今年 Blackhat 吸引超過 6,500 人參加,而 DEFCon 參加人數更是超 過了 1 萬人,兩個會議的型態雖然不同,卻傳達了相同精神,那就是資訊技術發展越廣, 需要注意的資訊安全問題就越多,今年兩個會議的主要議題都圍繞在行動通訊安全、雲 端安全等領域,亦有許多特定的硬體與軟體進行的弱點揭露,而今年也是 Apple 公司第 一次正式參與 Blackhat 會議,不過仍然是相當低調,隨著資訊科技發展速度越來越快, 資訊安全事件的影響越來越廣,需要了解與解決的問題也越來越複雜,透過參與這兩場 大型的國際資安盛會,實在是掌握當下發展趨勢與潮流的重要管道。 本文作者現為 The Honeynet Project 台灣分會負責人及雲端安全聯盟台灣分會創辦人與研究小組召集人,如您對本 文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com。 資安人科技網

www.informationsecurity.com.tw

43

September 2012


活動伸展台 Technology Corner

目錄

Contents

資安觀點 Smart View

個資保護 1.2.3 循序漸進降低風險 降低個資外洩風險,從管理、技術雙管齊下,規劃因應措施。

封面故事 Cover Story

管理視野

Management Dialogue

特別報導

文 ■ 編輯部

《資安人雜誌》舉辦的個資保護 1.2.3 實務論壇,於 8/9 圓滿結束,吸引來自金融、

電子商務產業等關心個人資料保護法的企業資安、法務人員參加。

Special Report

活動指導單位行政院資通安全辦公室,潘城武主任於致詞時指出,個資法是為了讓 技術前瞻

Technology Corner

大家能夠有一個共同規範來促進個人資料合理使用,而現今大家對網路倚賴越來越深, 也衍生出許多網路犯罪,因此行政院資安辦也希望研議資安法,能夠釐清過去一些灰色

活動伸展台

Technology Corner

地帶,例如查詢資料、人肉搜索等,讓民眾更清楚將來在網路上的行為規範,如此才能 享受美好網路生活。此外,擴大建構網路通報、監控的機制也是資安辦現階段的重要任 務,將來不只政府部門,各個產業都有通報機制且能互相串連,更能做好事前的預警。 而監控網路各個進出流量,並且建立情報交換、集中機制,就能在事中以及事後,集中 做資料分析並採取行為動作,以降低資安事件的影響。 法務部 法律事務司科長 李世德

行政院 資通安全辦公室主任 潘城武 資安人科技網

www.info ww f rmationsecurity ty.co c m.tw t

44

September 2012


活動伸展台 Technology Corner

法務部法律事務司科長李世德提醒目前個資法進行 行修法 法的重點, ,包括第 6 條,特 特種 個資的使用,若經當事人書面同意就可例外蒐集、處理和 和利用特 特種個資。第 54 條,合法 蒐集的個資,利用時併同告知即可,而間接蒐集的個資,原 原版本要求一年 年內告知 知已刪除, 目前將修法改為處理利用前有告知就可以,回溯告知不限一年 年完成。以 以及第 41 1 條,將非 意圖營利而違反個資法蒐集、處理、利用個資的刑事責任刪除。此 此外,在 在最後送審 審的施 目錄

Contents

行細則版本中,也將原先所定義個人資料檔案包括備份檔案、軌跡資料 料,刪 刪除掉軌跡資 料的部分。李世德也在與會中提到個資法施行細則應該在 9 月初 初會對外公布。

資安觀點 Smart View

元富證券個資專案召集人林東和副總經理,以管理角度分享全公司推動個資保護的 封面故事 Cover Story

心得,一開始在進行個資保護專案時,先對所有部門主管進行教育訓練,接著各部門推 派最了解部門業務的代表擔任元富個資小組 Core r Te T am 專案成員,為了不讓個資工作隨

管理視野

Management Dialogue

特別報導

著人員異動而受影響,將個資工作項目納入正式工作職掌當中,並且全公司以 BS 10012 認證為目標。不同於元富證券,立法院則是由資訊部門主導個資保護專案,召集人資訊

Special Report

處副處長秦劍雲則認為,推動個資保護最 關鍵的仍然是認知宣導,他認為教育訓練

技術前瞻

要有效,重點在於宣導內容要與員工的生

Technology Corner

活經驗結合,把使用者當做消費者,這樣 活動伸展台

的宣導內容才能提高使用者的學習意願。

Technology Corner

Fort r inet 資深技術顧問劉乙以 RSA、 韓國知名社交網站 Cyw y orld 等近期資安 Fortinet

事件為例,呼籲企業原有資安防護並非無

資深技術顧問 劉乙 立法院 資訊處副處長 秦劍雲

元富證券 副總經理 林東和 資安人科技網

www.info ww f rmationsecurity ty.co c m.tw t

45

September 2012


活動伸展台 Technology Corner

效,而是需要演化。以現階段的攻擊方式來看,原有的 的防火 火牆、入侵 侵防禦系統須要能透 過地理 IP 來設定 policy c ,不止外對內也要做到內對外的雙 雙向防禦 禦,才 才能及時阻擋 擋因為內 部機器中木馬而造成流量異常暴增的事件。

弱點掃描與滲透測試廠商 Rapid7 亞太區高級資安工程師黎浩勤 勤指出,大部分的 的攻擊 目錄

Contents

並非透過複雜的手法,只有 16% 是針對性攻擊,79% 仍然是因為被攻擊 擊者找出可以利用 的弱點而遭受的伺機攻擊。面對大量的潛在漏洞,Rapid7 認為 為企業應先透過漏洞管理 理作

資安觀點 Smart View

風險評估與排序,了解是否真的有風險,而後經由滲透測試工具去驗證哪個環節會被攻 破,最後漏洞管理工具須能針對漏洞列出修補方法與步驟的建議報表。

封面故事 Cover Story

身分盜用問題向來是阻礙電子商務發展的主因,也造成使用者個資外洩的困擾。總 管理視野

Management Dialogue

特別報導

Special Report

部位於瑞典的網路身分認證解決方案廠商 Keypasco 創辦人兼執行長林茂聰認為,現

NetIQ

今即使有多樣的身分認證工具,如動態密

台灣區產品技術經理 李民偉

碼 To T ken 或 USB 金鑰等,基於硬體佈署 技術前瞻

Technology Corner

的限制與成本等因素,多年來仍然無法擴 大應用到廣大使用者。Keypasco 身分認證

活動伸展台

Technology Corner

解決方案的技術,以個人設備的 ¿ngerprint 及地理位置做認證,提供與現有環境相容、 多一層防護的認證機制。林茂聰認為,只 有本人 ( 及其設備 ) 所在位置連上去的才 是真實的登入。 Rapid7 亞太區高級資安工程師 黎浩勤

Keypasco 創辦人兼執行長 林茂聰 資安人科技網

www.info ww f rmationsecurity ty.co c m.tw t

46

September 2012


活動伸展台 Technology Corner

目錄

Contents

資安觀點 Smart View

封面故事 Cover Story

管理視野

Management Dialogue

特別報導

Special Report

技術前瞻

Technology Corner

活動伸展台

Technology Corner

從事件偵測、漏洞修補到最後事件的調查,NetIQ( 原 Novell) 台灣區產品技術經理李 民偉分析,許多資安事件調查之所以窒礙難行,不是因為難以從鉅量的防火牆日誌找到 線索,就是因為到頭來發現關鍵設備根本沒有做日誌保存,導致調查無法進一步下去。 他認為企業除了集中控管日誌還必須把帳號認證與權限集中控管,兩者互補併行,若缺 少其一就像是路口監視器錄到車禍事件,卻沒照到車牌一樣,不夠完整。

總之,企業個資保護的工作繁雜,從建立表單、程序符合法規,到導入資安方案降 低風險等。先經過個資風險評鑑,從高風險的地方著手規劃控制措施,才能在個資法上 路前將降低違法風險。

資安人科技網

www.info ww f rmationsecurity ty.co c m.tw t

47

September 2012


個資不是氣體 但它一樣會外洩...

全套課程光碟,開始發售!!! 簡介 個人資料保護法即將上路,屆時各行各業、不管企業規模大小均須符合法規,然而,過往許多個資外洩新聞事件,多是因為網頁程式不安全而 引起,造成網站會員個資外洩,在個資法上路前,程式開發者需要知道哪些控制點應該趕快補強、哪些日誌或稽核軌跡應該如何被保留。 本教學光碟邀請不同領域的實務專家,從法規、程式碼分析、與免費工具介紹,逐步引導 IT 人員打造令人安心的 Web 系統。首先要了解法規, 接著從 ASP.NET 與 PHP/JSP 語法來看,該如何打造符合法規的 Web 系統,最後還介紹了與個資保護相關的 opensource 工具,對預算有限的企業來說,這是落實法規遵循的入門,藉由這些 opensource 工具了解解決方 詳細資料 案的運作模式,將有助於企業掌握自己的需求,以利未來商業版產品的評估,也可視為前期的產品教育訓練。 發行:資安人雜誌 類別:DVD ( 僅供電腦播放 ) 片長:8 小時 收錄內容 字幕:中 / 語言發音:中 -Track A:打造符合法規的 Web 程式 1. 實用文章 ( 加贈 ) 2. 講師授課影片 定價:NT 599 元 ( 含稅 ) (1)IT 人員如何因應個資法 (以 .NET 為例) (1) 上午場 購買方式 (2) 打 造 符 合 法 規 的 Web 系 統, 從 - 甚麼是個資法 -Track B:打造符合法規的 Web 程式 ASP.NET 與 PHP/JSP 語法來看 - 個資法施行細則與管理辦法 _IT 人 (以 PHP/Java) 請將以下訂購單填寫後傳真 (3) 個資保護 Opensource 工具介紹 -Track C:實用的個資保護 Opensource 員該知道的事 至 02-87518861 或 e-mail 到 (4) 新版個資法與施行細則條文 工具 - 個資大盜攻擊手法剖析 isnews@newera.messefrankfurt.com (2) 下午場 3. 講師授課用投影片 楊小姐收

基 本 資 料

姓名 服務單位

服務部門

電話

行動電話

傳真

E-Mail

郵寄地址 付 款 方 式

職稱

□□□ - □□

訂購數量與金額: 訂價:新台幣 599 元 / 套 ( 含稅 ) 購買數量:_______ 套 總金額:NTD________________ 付款方式:匯款或 ATM 轉帳 - 戶名:香港商法蘭克福新時代傳媒有限公司台灣分公司 - 銀行:玉山商業銀行 內湖分行 - 銀行代碼:808 - 帳號:0462-940-021759 註:發票將於付款後連同光碟一併郵寄,請先確認訂單後再匯款;付款後請保 留匯款單據,並傳真至 02-8751-8861 或 Email 到 isnews@newera.messefrankfurt. com 楊小姐收。

發票資料 : □二聯式(個人) □三聯式(公司) 統一編號 :

發票抬頭 :



資安人第89期(試閱)