紅外線異常監測 & 放電檢測報告 & 機電線材報價系統

    感謝新竹科技大廠 聯合機電股份有限公司 以及 啟洋科技工程股份有限公司  因為多次洽談合作，因為專業的信任 給網智數位軟體開發團隊 陸續進行開發 紅外線異常監測、紅外線異常統計表、紅外線異常趨勢圖、以及許多自動化統計報表，異常與檢測報告管理系統、機電線材報價系統 ，也讓我們開發團隊更深入了 機電公司 的營運作業流程與產業知識。                  而服務了該知名產業公司後，更深深發覺客戶主管的經驗與機電專業知識、線材、環境感測專業水準，讓 Allen 我更有使命傳遞公司的企業價值，就是專業服務、與客戶共同努力透過 IT 資訊科技的技術、軟體研發能力，盡可能協助各產業客戶完成系統化管理、數字化管理、智慧化管理。       ...

Read More

伺服器被攻擊後的處理措施

     安全總是相對的，再安全的服務器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。 一、處理服務器遭受攻擊的一般思路 系統遭受攻擊並不可怕，可怕的是面對攻擊束手無策，下面就詳細介紹下在服務器遭受攻擊後的一般處理思路。 1.必須馬上切斷網絡 所有的攻擊都來自於網絡，因此，在得知系統正遭受黑客的攻擊後，首先要做的就是斷開服務器的網絡連接，這樣除了能切斷攻擊源之外，也能保護服務器所在網絡的其他主機。 2.開始試著查找攻擊源 可以通過分析系統日誌或登錄日誌文件，查看可疑信息，同時也要查看系統都打開了哪些端口，運行哪些進程，並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。 3.進行分析入侵原因和途徑...

Read More

停止火狐(Firefox)傳送下載檔案資訊給Google

在上一篇中有提到目前的 Google Chrome 瀏覽器中其實有內建「安全瀏覽」功能，可以在使用者上網時自動幫用戶阻擋不安全網站、禁止用戶下載惡意程式，所以如果您已經使用Google Chrome瀏覽器一段時間，你可能會發現，當你下載到惡意軟體的時候Google Chrome會跳出警告視窗，並中斷您的下載。 這是因為您下載的檔案資訊會送到Google 安全中心去做比對。當發現您所下載的檔案與Google 惡意軟體列表有吻合，就會跳出警告視窗，並詢問您是否要繼續下載。對於使用Firefox 瀏覽器的用戶來說，其實相同的功能也Copy到Firefox 上（從版本31以後），不過根據Mozilla's wiki的說法，Firefox 只會傳送執行檔 exe 檔案給Google 做分析。但是如果你不是Google 的粉絲也不想Firefox 傳送任何資訊給Google 那怎麼辦呢？其實有兩種方法可以停止Firefox 傳送下載檔案資訊給Google，但要先確認Firefox 的版本要在31以後喔。第一種方式是改變Firefox...

Read More

如何回報 Google，詐騙、惡意、釣魚網站

如果您有在使用 Google 搜尋引擎、Google 瀏覽器 Chrome，或是防毒軟體，當您瀏覽了嵌入惡意程式、木馬病毒的網頁或詐騙用的釣魚網站….等，通常都會跳出警告訊息給我們。 有了這些安全機制，在加上自己有些資安的防範意識其實基本上被入侵成功的機率就會比較低，可以參考： WebInspector-免費線上檢測網站安全 [資訊安全]如何有效防範社交工程Social Engineering 不過即使有了萬全的防護，也不能保證100%安全，因為現在的釣魚/詐騙網站、惡意中繼站，型態多變、成長與更新速度非常快，Google 蜘蛛在多分析在快，也很難即時的發現新的惡意網站。 所以Google 提供了一個讓網友回報的一個平台，當您連結到某一個URL的時候，發現那個URL明明就不是Facebook、Google、Hotmail、Yahoo 等網域名稱，但頁面卻長得一模一樣，且 Google 搜尋引擎或 Chrome 瀏覽器上卻沒有明確標示該網站有問題，那就回報 Google...

Read More

WebInspector-免費線上檢測網站安全

網路詐騙案例層疵不窮，最難防的莫過於社交工程(Social Engineering)了，因為社交工程是利用人性的弱點，如好奇、恐懼、貪心、情色、信任、不在意等，來設計成各式各樣的詐騙手法，讓人防不慎防。 駭客最常利用的就是： 1.新聞事件 天災人禍像是復興空難、高雄氣爆、台北捷運隨機殺人事件 等.. 2.新產品或服務的推出 假的iPhone 6 照片曝光透過電子郵件去誘騙受害者點擊。 3.名人的八卦消息 足以毀掉小賈斯汀的影片 李宗瑞XX影片 4.利用朋友的名義 駭客鎖定目標後，會蒐集目標周邊所熟悉的人、事、物，駭客在利目標所信任的人傳送社交工程郵件誘使受害者點擊。 這些郵件不外乎都是使用人性的弱點，來誘使受害者來點擊，進一步的取得控制權，竊取機密資料，植入木馬與後門等。那麼如何有效的防範社交工程郵件呢？可以參閱： [資訊安全]如何有效防範社交工程Social Engineering 不過這篇只是針對Outlook的設定做初步防範而已，真正有問題是信件裡的附加檔案與連結，所以通常Chris收到一個非開不可的檔案，都會先使用本機的防毒軟體掃毒，在丟到VirusTotal...

Read More

免費版 WAF ModSecurity 增加網站安全性

在大部分成功被駭客入侵的網站案例中，大多都屬於網頁程式設計師的疏忽，或本身缺乏安全的意識而開發的軟體，很容易造成網頁主機被入侵成功的危機，如果不確定自己有沒有被入侵，可以參考我之前寫的5個自我檢視資料庫之安全性的方法，先自行檢測看看。 一般為了預防像是 XSS、SQL Injection 此類的安全性漏洞，大多會購買WAF（Web Application Firewall，網頁應用程式防火牆）來阻絕駭客，但類似的產品，價格往往相當的昂貴，絕非一般中小企業所能負擔。 相關 WAF 資訊可以參考： 網頁應用防火牆(Web Application Firewal, WAF) 或許有人會說為什麼要砸大錢買WAF？WAF不過是至標不治本的東西，程式本身有漏洞應該是將漏洞修補起來就好了，當然這是正確的觀念，如果你的維護的是小系統可能還可以迅速做修補，但如果是大型的 ERP 系統在現實上就沒有那麼簡單了，而且在修補的過程中沒有任何防護的話，還是有一段的空窗期喔。 為了獲得最好的安全效果，我們需要雙管齊下，一方面必須提高管理者和開發者的安全意識，另一方面儘可能提高應用系統的安全性。 因此，本文將介紹這款開放原始碼的軟體 ModSecurity，免費為您的網站主機多加一層保護。 ModSecurity...

Read More

OpenSSL 再爆嚴重漏洞CCS 注入

前一陣子OpenSSL（4/8）發佈緊急安全修補公告，公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。這個漏洞鬧得沸沸揚揚的，因為這個漏洞很多系統管理者都措手不及，但是最近OpenSSL 又被發現弱點了，這一次共有兩個弱點CCS Injection (CVE-2014-0224)及DTLS DOS 攻擊(CVE-2014-0195) 延伸閱讀： [資訊安全]OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞 (1) CVE-2014-0224 利用中間人攻擊進行CCS Injection攻擊竊取，成立的條件是Server端與Client端的OpenSSL都要是有弱點的版本，由中間人在Hello之後立即送出ChangeCipherSpec 訊息，使伺服器先去做 ChangeCipherSpec 的動作，跳過原本應該先進行憑證交換與驗證程序，造成內文資料可被竊取成功，如下圖：   OpenSSL存在MITM中間人攻擊弱點，根據外部組織公告，惡意人士可先行掌握已有弱點的OpenSSL版本存在於伺服器及用戶端，透過中間人攻擊手段及ChangeCipherSpec...

Read More

[資安鑑識工具]Rootkit 殺手GMER 掃描移除程式

在介紹GMER這套軟體之前，先來介紹一下什麼是Rootkit?  Rootkit是指其主要功能為：隱藏其他程式行程的軟體，可能是一個或一個以上的軟體組合；廣義而言，Rootkit也可視為一項技術。在今天，Rootkit一詞更多地是指被作為驅動程式，載入到作業系統核心中的惡意軟體。因為其代碼執行在特權模式之下，從而能造成意料之外的危險。最早Rootkit用於善意用途，但後來Rootkit也被駭客用在入侵和攻擊他人的電腦系統上，電腦病毒、間諜軟體等也常使用Rootkit來隱藏蹤跡，因此Rootkit已被大多數的防毒軟體歸類為具危害性的惡意軟體。Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目標。 簡單的來說Rootkit 是躲在系統底層的程式，偽裝成一般的系統檔或應用軟體讓人無法察覺，有些還可躲過防毒軟體的監控與掃描，所以當初Rootkit的出來，對於防毒軟體是一大挑戰。很多中了木馬或被植入Rootkit的電腦在外觀或使用上並無太大的差異，但實際上可能已經暗中竊取資料或等待時機執行其他攻擊任務。 而今天要介紹的Rootkit...

Read More

[資訊安全]不要再用弱密碼了，教您如何設置安全又好記的密碼

當您進入電腦帳號時，總會被要求輸入帳號名稱（username）與 密碼（password），帳號名稱是用來確認進入系統的使用者身份， 密碼則是證明該使用者有權使用此帳號。在現今通行無阻的網際網路世界，通行密碼是系統安全的第一道防線，但是有許多使用者認為只要有設定密碼，別人就讀不到他的檔案，所以不需要一個好密碼。事實上，使用一個容易猜到的密碼，就好像打開大門邀請小偷進來一般危險， 不只對被侵入的帳號有影響，更可藉由此合法帳號埋下許多披著羊皮的炸彈（如 Trojan Horse），進而毀掉系統重要檔案或侵入其它系統。 安全機構Imperva Application Defense Center（ADC）做的一項研究顯示，有36%的人使用6位數以下的密碼，60%的人總是使用固定幾組英數字當密碼，50%的人使用姓名、俚語、單字、連續數字或鍵盤上相鄰的字母組合作為密碼。最常為人使用的密碼形式為連續數字，再來就是如「Password」、「iloveyou」、「abc123」等單字以及英文名字。 而駭客使用的密碼破解軟體日新月異，遇到上述簡單的密碼，短時間內就可破解，根據ADC統計，大約只要17分鐘就可以破解1000個帳號！ 那麼該如何設計安全的密碼呢？安全專家們基於研究數據，及參考美國國家航空暨太空總署制訂的密碼政策，提供了以下建議： 絕對避免的密碼： 不設密碼 不設與帳號相同的密碼 不設與主機名稱相同的密碼 不使用個人資料，如生日、身份證字號、英文姓名或羅馬拼音或漢語拼音、公司部門簡稱、電話號碼...等一些平常在填寫表格不知不覺就會透露出去的資訊 不使用重覆性或連續性或過於簡單的密碼，如123456、abcdef、1qaz2wsx（鍵盤上的連續鍵）、abc123...等此類簡單的組合 不要使用英文單字或句子為密碼 不要設密碼全為數字或全為英文 較佳的設密碼原則： 密碼要至少八碼 密碼最好要英數字參雜且含英文大小寫 若環境允許的話密碼最好要連特殊符號也包含進去，但儘量不要包含空白鍵（有些系統會自動省略空白鍵） 密碼要任何沒有意義的組成 密碼要記的住，最好能夠自己迅速的不看鍵盤就可以打出來（別人偷看想記的時間都來不及） 確保密碼安全要點： 請不要在不熟悉的電腦上設置您的密碼，例如網咖、圖書館、共用系統、會議室...，不要相信您的一舉一動不會被側錄 不告訴任何人你的密碼，但可視情況選擇一人共知密碼，例如親密的配偶 不把密碼存在電腦裡面，不要為了方便而讓電腦記住你的帳號及密碼 若怕密碼忘記的話，可將密碼寫下來，但須提供這個被寫下來的密碼一個適當且安全的地方存放。...

Read More

7項措施因應弱點CVE-2014-1776，IE瀏覽器零時差攻擊

微軟瀏覽器 Internet Explorer 被發現存在零時差弱點，在存取已刪除或錯置的記憶體內容時，可破壞(或修改)記憶體內容以置入攻擊者之惡意程式碼。攻擊者可利用此弱點製作惡意網頁，當使用者使用存有弱點的瀏覽器瀏覽該惡意網頁，會使攻擊者有可能以使用者的權限執行任意程式碼。目前已經發現駭客使用此一弱點發動網路攻擊的案例。提醒Internet Explorer瀏覽器使用者，應多加留意透過不明信件的連結，與瀏覽不明網站被攻擊的可能性。  攻擊手法 那麼，什麼是「Zero Day」呢？它是一個遠端程式碼執行漏洞。白話就是：攻擊得手後，駭客能讓目標電腦執行（特定）軟體。Microsoft 的警告描述：「該漏洞會使記憶體崩潰，並讓攻擊者能在使用者當前使用的 IE 瀏覽器中執行任意程式碼。」 該漏洞源自 Flash——透過一些著名的技術手段（技術細節請參看此處），再進一步利用而侵入電腦記憶體。 在某些情境下，攻擊者會建立一個特定網站來幫助「Zero Day」入侵，該網站會誘使...

Read More

[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

說明 弱點：CVE-2014-1776 Microsoft Internet Explorer 含有允許遠端執行程式碼的Zero-Day 弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Internet Explorer 6~11 版本，網智數位建議請使用者評估暫時改用其他瀏覽器。 微軟官方對此漏洞的解釋  該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法，針對目標瀏覽器使用群(Internet Explorer 6 ~ 11)可能會瀏覽的網站植入Flash...

Read More

[教學]CentOS 6.4 安裝 vsftpd FTP Server

我們有個企業解決方案(無論您需要哪種項目的服務，我們都可以滿足你的需求，如果我們沒有適合您的解決方案，我們也會您開發適合您的解決方案)，最近一個客戶請我們架設FTP Server，需求是便宜、快速、穩定與安全，我第一個就想到使用Linux(免錢)來架vsFTPd(本身系統非常快速與穩定)啦，vsFTPd (very secure FTP daemon) 作者為Chris Evans其主要著眼於安全、快速、穩定，在Linux系統中是很常用到的服務。安裝也非常的快速及簡單，安裝方法如下： 1. 安裝 vsftpd： [root@localhost ~]# yum -y install vsftpd [root@localhost ~]# touch /etc/vsftpd/chroot_list [root@localhost ~]# chkconfig vsftpd on 2. 安裝完後讓防火牆可以通過 21 Port： [root@localhost ~]# iptables...

Read More

網頁應用防火牆(Web Application Firewal, WAF)

隨著 Web2.0 時代的到來，網站應用也逐漸被大眾廣泛的接受和使用。企業的ｅ化雖然可為企業帶來可觀的商業利益，但建置網站的資安問題也緊跟著浮出檯面。 事實上，網站攻擊會越來越氾濫的原因，其實跟網站本身有很深的關聯。由於網路的興起，從政府機關、金融機構、中小企業以至於學校、個人都開始架設自己的網站，而且，為了與來訪者互動，多半都會使用ASP、PHP、CGI、JSP等網路應用程式。但是因為這些程式的開發者程度不一，有些甚至沒有受過專業訓練，只是從網路上隨便抄程式碼拼湊起來，所以這些程式可說是良莠不齊，漏洞百出。 若想解除Web的安全威脅，最根本的解決方式在於重新檢視所有的Web程式，即所謂的白箱測試Code Review，從中找出不安全的程式碼再加以修改，而且有些程式碼的掃瞄軟體可幫忙程式設計師找出不安全的程式碼。但是Code Review的工程浩大，很不切實際，因此網頁應用防火牆(Web Application Firewal, WAF)應運而生。而面對網站的安全問題，許多廠商推出了像是IDS、IPS、WAF等..網站防護的資安產品，這些產品是什麼？有什麼不同之處呢？今天會針對網頁應用防火牆(Web...

Read More

[資訊安全]如何有效防範社交工程Social Engineering

何謂社交工程(Social engineering) 所謂「社交工程」，就是詐騙！透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙…社交工程是利用人性的弱點進行詐騙，是一種非「全面」技術性的資訊安全攻擊方式，藉由人際關係的互動進行犯罪行為。 簡單的說利用人與人之間的關係，讓使用者信任來源，例如家人、同事、長官….等等。偽裝成可信任的寄件者發送夾雜病毒的e-mail，當使用者對信件判斷為可信任來源時，戒心的下降打開信件附檔，造成了開啟復健後木馬病毒順利植入的情況。有時病毒不見得只在復健的執行檔中，有時會夾雜於文件、圖檔甚至影音檔中，讓使用者防不勝防。 常見的社交工程攻擊手法除了電話之外，常見的社交工程攻擊還包括︰ 電子郵件隱藏電腦病毒 駭客利用社交工程的概念，將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，這些看似朋友所寄來的郵件，卻是應用社交工程的電子郵件陷阱，例如過去造成重大損害的I LOVE YOU蠕蟲，就是一種利用社交工程散播的電腦病毒。 網路釣魚 有一種偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結，可能就下載了惡意程式；或者在假網頁上輸入了帳號密碼或信用卡資料等，造成銀行戶頭被盜領或盜刷等的嚴重後果，這是近年來造成個人與企業極大損害的犯罪手法，而網路釣魚就是一種典型的社交工程攻擊。 圖片中的惡意程式...

Read More

網路型入侵偵測系統(Network-based Intrusion Detection System)

隨著網絡的蓬勃的發展，在我們的生活中已經很難脫離Internet了，但也因為Internet這樣的盛行而產生了各種各樣的資訊安全問題，如網絡中蠕蟲、病毒及垃圾郵件肆意氾濫，木馬無孔不入，駭客攻擊行為幾乎無時無刻都在發生。如何及時準確的發現違反安全策略的事件，避免資訊資產遭受破壞，並及時處理，是所有企業用戶迫切需要解決的問題。 資訊資產是企業的命脈，許多企業甚至是國家重大民生設施，例如電力、航空、銀行等，都需依賴資訊系統才得以運行，假若資訊資產遭受破壞或中斷，這些企業將受到重大傷害。 為了更強化企業網路的安全性，上一篇有介紹到什麼是HIDS主機型入侵偵測系統，其中文章也有提到，入侵偵測系統IDS的偵測類型除了HIDS主機型入侵偵測系統、還有網路型入侵偵測系統（Network-based Intrusion Detection System，以下簡稱為 NIDS），那什麼是NIDS呢？ NIDS可以幹嘛？NIDS又跟HIDS有什麼差異呢？ 先來回顧一下，在您的網路環境中，HIDS是佈署在主機端上，即時的監控日誌檔，檢查系統檔案是否遭更改過並偵測出潛在的惡意活動。 那麼NIDS呢？顧名思義前面的N就是只Network，用來監控與分析網路上的所有封包是否有異常的攻擊行為，當NIDS發現封包中有惡意的行為或攻擊跡象(檢測到常見攻擊，如後門類、FTP類、HTTP類、DNS類、Mail類、ICMP類、Finger類、RPC類和DoS類等...)，NIDS也會主動立即通知系統管理者。 簡單的說NIDS就是網路監控工具，而HIDS就是系統與檔案監控工具。 NIDS佈署範例參考 從上圖可以看得出來，NIDS是佈署在個網段的節點中，分析各網段的封包流量，好處是不會增加網段中主機的負擔。 NIDS也可以安裝在： 放在防火牆外...

Read More

主機型入侵偵測系統﹙Host-based Intrusion Detection System , HIDS﹚

入侵偵測系統 IDS 是 Intrusion Detection System 的簡稱，它是一種是一種監控工具，監控網路封包與系統日誌內容，或者是分析主機內的檔案是否遭到竄改，當發現可疑的活動，IDS可依照設定通知系統安全管理員。 入侵偵測系統IDS依偵測類型可分為網路型入侵偵測系統（Network-based Intrusion Detection System，簡稱為 NIDS）及主機型入侵偵測系統（Host-based Intrusion Detection System，簡稱為 HIDS）兩種類型。今天針對HIDS做一個簡單的介紹。 HIDS是從主機系統稽核日誌檔演進而來。傳統的作法是，系統管理人員在每天的空閒時間，在日誌檔中檢查是否有任何可疑的非法行為。 可以參考 [資訊安全]開啟Windows稽核，監控檔案的動作 [資安鑑識]-手動尋找system32目錄中可能存在的木馬 但這種方式不僅耗時費力更是沒有效率，而且無法即時的偵測出潛在的惡意活動。透過安裝HIDS後，執行監控的工作就完全交給HIDS來負責就好，從此自動化的監控，在也不必人工介入去分析，而HIDS的運作方式只要在Cleint端每一台主機上安裝一個代理程式﹙Agent﹚，常駐在系統之中，若有任何系統事件﹙Event﹚被記錄至日誌檔，代理程式便會立即將系統事件與攻擊特徵碼資料庫做比對，有些HIDS能夠監控應用程式的日誌檔，甚至檢查系統的檔案是否遭更改過，簡單的來說HIDS會記錄監控中的檔案或目錄，他們的屬性（如權限、大小、修改時間等），並將會建立一個校驗碼（如SHA1或MD5...

Read More

[資安鑑識]檔案校驗工具FCIV (Microsoft File Checksum Integrity Verifier)

說明： 前一陣子有po一篇文章，[資安鑑識]-手動尋找system32目錄中可能存在的木馬，但這個方法需要透過寫批次檔才可執行且檔案只是做個簡單的比對而已，今天介紹一個更方便的工具叫FCIV (Microsoft File Checksum Integrity Verifier)。 檔案總和檢查碼完整性檢查器 (FCIV) 是一個微軟出的命令提示字元公用程式，會計算並驗證檔案的密碼編譯雜湊值。FCIV 可以計算 MD5 或 sha-1 密碼編譯雜湊值。這些值可以在螢幕上顯示或儲存在 XML 檔案資料庫以供日後使用和查驗。  使用 FCIV 公用程式，您可以也計算所有的重要檔案的雜湊，並儲存為 XML 檔案資料庫中的值。如果您懷疑您的電腦可能已遭入侵，及重要檔案已經變更，您可以執行FCIV並存成 XML 資料庫，以判斷哪些檔案已被修改。 FCIV支援 MD5、SHA1雜湊演算法，預設為MD5，支援遞迴查詢，並將查詢的結果存到XML檔案 檔案下載： http://www.microsoft.com/en-us/download/details.aspx?id=11533 使用方式 語法 fciv.exe...

Read More

NIST雲端資訊安全相關議題

雲端運算是一項新興的技術，並且包含了一些問題，其中部分問題在以前的傳統分散式運算可能已被討論了數十年，但因雲端運算的出現也引發更多相關的問題，大致上分成五個方面，運算能力、雲的可靠性、經濟目標、法規遵從性、資訊安全。 因篇幅的關係我們今天針對雲端資訊安全(Information Security)來介紹。 資訊安全涉及保護機密性以及資料完整性並確保資料的可用性。 一個組織或公司，如果有在執行IT業務，通常會採取以下幾種類型的資訊安全措施： 組織/管理控制 指定人員在資料的相關操作及存取行為 控制儲存媒體的保護及儲存設備的機房 控制身分管理並加密存放與傳送中的資料與稽核 用戶為了確保提供商是否提供完整的安全控管措施的相關問題 用戶要求具有特定等級的稽核紀錄，建立告警機制，活動的報告和資料保留。由於這些可能不是由供應商提供的標準的SLA的一部分，但是這些東西會影響到使用者的意願，提供商需要把重要資料的保護責任歸屬明訂於合約中，並且把這些保護重要資料的機制列入標準作業程序 即使有達到使用者要求的資料保護需求，提供者仍需要給予使用者存取的方法 資料加密需要強健的加密演算法...

Read More

[資訊安全]OpenSSL CVE-2014-0160 Heartbleed 嚴重漏洞

OpenSSL（4/8）發佈緊急安全修補公告，公佈OpenSSL中一個可能潛伏長達二年之久的OpenSSL重大安全漏洞CVE-2014-0160。OpenSSL是一個開放源碼網路傳輸加密函式庫，使用相當廣泛，連全球佔Web伺服器一半以上的Apache都是使用這套軟體來進行SSL/TLS加密。Heartbleed臭蟲已存在2年以上，受影響的版本遍及2011年12月的OpenSSL 1.0.1到1.0.1f。另也有許多內含OpenSSL的作業系統受到影響。OpenSSL並已同時釋出OpenSSL 1.0.1g修補該漏洞。這項漏洞是由安全公司Codenomicon及Google安全部門的Neel Mehta發現。 由於這個漏洞存在OpenSSL的TLS/DTLS 傳輸安全層的heartbeat（心跳）擴充功能之中，該漏洞受到攻擊時會造成記憶體內容的外洩，可能從伺服器端外洩到客戶端，或者由客戶端外洩到伺服器端，因此研究人員將它命名為Heartbleed（心在淌血） 臭蟲（Heartbleed...

Read More