點破安全迷思

	作者：Andrew Briney 翻譯 / 李倫銓 1/17/2005
	相關報導 讀者意見
	如同古代， 現代安全靠著神話、迷思來維持著， 人們對於某些無法用科學來解釋的東西，便陷入迷思之中…在希臘神話中，最可稱做是『安全守護之神』的生物，其實並不是一個神，而是一個巨大的怪物 — 百眼巨人阿格斯(Argus)。因為它擁有上百隻眼睛，所以他被視為最佳的安全守護者。阿格斯是個可怕的戰士，一半是因為他可以看到各種東西，另外是因為 — 他從不睡覺，就算是，他也始終保持部分的眼睛是張開的。 但是阿格斯的力量卻也是他最大的致命傷，他最後選錯邊，與宙斯形成對峙，導致宙斯派遣神之使者漢米斯來殺他。漢米斯用了技巧，哄騙阿格斯完完全全的昏睡過 去，然後在他沒有任何監視以及防衛能力之下，一刀砍下了他的頭。(註一 ) 雖然比喻不是那麼恰當，但是很有趣的，阿格斯就像今天我們資訊安全專家一樣。我們常常過於得意自己的能力，以為可以永遠保持警戒，來保護自己的系統、網路 或資料。但我們仍然常常被駭客狡猾的手法或技巧侵入系統漏洞。 古代神話故事和現代企業安全的相似之處還不僅於此，如同古代，現代安全靠著神話、迷思來維持著，人們對於某些無法用科學來解釋的東西，便陷入迷思之中。古 代人們因為缺乏知識與經驗，無法解釋世界上某些事物，像是星星的移動、四季的變換。在現代，安全專家也是，無法得知到底他們做的安全措施有多少成效。怎樣 才構成『好』的安全?我的入侵偵測系統有沒有效?我該花多少錢在弱點管理機制上?當一切安全都做好時，你又怎麼知道生產力增加了多少? 在缺乏良好工具和知識來分析企業中的資訊安全因素，以及達到我們的資訊安全目標，我們也變的跟古人一樣，接受了一些似是而非的觀念(就像接受神話故事洗腦一樣)，而不去質疑這些做法是否可行或有效。 要建立成熟的企業安全機制，資訊安全專家必須擺脫這些似是而非的迷思，並建立完整而嚴謹的方法，在不失一般原則下，達到企業安全的目標。 以下列出六大安全迷思，讀者可以仔細思考，避免被這些由來已久的迷思，影響了你的資訊安全觀念。 迷思#1 你可以把系統補到滴水不漏 以前的人都會有一個觀念：在駭客利用系統漏洞之前，趕快將系統漏洞修補好，就不會有問題了。很不幸的，對於大部分的企業環境下，這個觀念有點過於理想化，也不太實際。 「有句諺語說：欲速則不達。」 Oracle 策略長瑪莉安岱維森說:「沒有人可以趕的上安全修補程式的速度，實在是太快了。」 有些人會說修補(Patch)並不是資產鑑別／矯正措施循環裡的重要步驟。另外，根據最近的報告顯示，企業對於修補系統漏洞越來越駕輕就熟，根據弱點管理 公司Qualys的資料，過去一年企業將危險漏洞的修補時間從30天降低到21天，你也許會覺得這是一個很大的進步，但是你知道嗎? 現在漏洞公佈到惡意程式出現，僅短短十天甚至更短！ 問題是出在越來越多的IT人員和安全管理者視『系統修補』是一個二元理論，也就是：系統有修補等同安全，沒修補等同有漏洞。這樣的理論也逼著修補管理系統 (Patch management systems)背負著此重責大任進行修補策略(無論手動或是自動地) －盡快地、有系統地進行修補。 「修補系統就像煩人的壞消息。」組合國際CA資深VP安全策略長Ron Moritz說道：「我們以為他是萬靈丹，但其實並不是」。 有效的修補依賴準確的資產管理系統，這也是絕大部分公司所缺乏的，自動修補管理系統(Automated patch management systems) 可以協助達成這個目標，但是仍缺乏足夠的智慧去將弱點、威脅、部署狀態做關聯。 修補的哲學其實是向企業現實環境低頭。知道嗎?讓系統持續運作以及保持系統生產力遠比去處理有風險的系統重要多了，用個簡單的例子來說，你的CEO在公司 大聲疾呼：「資訊安全是公司最重要的責任！」但是等到年度結帳時，卻來了個事態嚴重的SQL資料庫的漏洞，卻沒人敢去把帳務資料庫給關掉進行修補。 將修補納入風險管理循環裡可能是一個做法，Moritz 提出了一個方法，建立一個修補系統模擬中心，所有的風險測試、系統狀況都先在這個環境下模擬以及測試，當你真的立刻需要一個修補後的系統時，馬上就可以將其上線，就像一個備援系統一樣。 迷思#2 防毒軟體無用論 病毒、蠕蟲、間諜軟體、木馬程式、可移動程式碼以及各類變種的惡意程式正以驚人的威力和成長速度襲擊現今企業，各式新型多變的蠕蟲消除磁碟資料、滲透網路、甚至祕密地在伺服器上植入Rootkit(註 二)，這些惡意的行為導致企業每年損失上百萬。 實際上，傳統『以病毒碼偵測病毒的防毒技術』，面對這些新型態的病毒或是惡意程式幾乎已經無能為力了(註三 )，事實上，許多新型蠕蟲以及其變種根本就是要跟防毒軟體一較高下，會刻意又小心的避開防毒軟體的偵查，這也導致許多人認為這些防毒軟體根本就是沒用的。 「防毒軟體大大減少了企業風險。」安全管理公司CyberTrust技術長，Peter Tippett說。事實上他建議在降低企業風險這部分，至少用防毒軟體能達到顯著功效。「即使你只是稍微試試看，在桌上型電腦或gateway上安裝防毒 軟體，你試試看掃十幾個附加檔案的郵件，你就知道有沒有效﹗」 Tippett說︰「這個問題是因為太多公司實在是過分依賴這些防毒軟體」，「他們想要用防毒軟體來百分之百解決這些病毒問題，卻不再靠其他更簡單或便宜 的方法來解決病毒問題」，像是網路分割、防禦主機(Bastion host) 、在網路出口之路由器設定阻擋、關閉IE瀏覽器的active scripting功能。就像防毒軟體一樣，這些方法在單獨運用時，都僅只在某些狀況或環境下有效，但是若將這些方法結合起來對抗企業病毒問題，卻可以收 到非常好的功效。 接下來有人就會說了，人的因素呢? 人的因素是科技始終沒法顧全的，「許多蠕蟲和病毒根本就是針對人性，這點我們沒辦法控制。」Counterpane 公司的技術長 Bruce Schneier說︰其實這個責任都怪到掃毒軟體身上也不盡然，就像你只想聽好消息，壓根不想聽壞消息，哪有這麼好的事情呢？「我們現在用的作業系統還有 應用程式的安全性都很爛，加上人們又有一堆雜七雜八的程式弄得系統環境一團亂，當然容易長蟲中毒！」 迷思#3 資安政策必須要全面性涵蓋所有問題 「我認為我們應當釐清怎樣才構成政策，政策並不像標準或守則一般，政策之所以長，是因為它涵蓋整個作業規範。」 大部分的資安專家畏懼撰寫及實行資安政策，因為他們認為，政策一定要清清楚楚、徹徹底底的涵括所有IT及企業運作步驟，在最近一次的資訊安全研討會中舉辦 了一個調查發現，發現許多企業資安專家同意多就是好，而超過三分之一的人曾制定超過20頁的資安政策，而差不多有五分之一的人甚至超過50頁。 這麼冗長的文件也許可以很完整地涵蓋，但卻一點也不可行，甚至會被人放到一旁。資安管理者應當了解，你花越多精神在鑽研資安文件上，你就得花越多的時間來 制定跟實行，而這些煩瑣冗長的文件，也可能在施行時就已經不適用了! 在上述調查中，14%的人寫了50頁的政策，或是1頁也沒寫。不管你是不是也是這樣的管理者，National Security的資安顧問總裁G. Mark Hardy建議，企業應當建立一頁至兩頁的高階政策宣言，其中包含公司任務及資安目標，來作為企業財產、資源、內容之使用限制的指導方針，這樣簡潔的綱要 方針，更能迅速的使員工接受及執行這些資安政策。 迷思#4 安全為產品 多數管理者視安全為系統架構中的一個產品，像是你安裝它、設定它、然後管理它，就像某遠端管理裝置之類的，但是這裡要告訴各位，安全既不是裝置，也不是某個產品。 「安全可不是產品需求 」 Counterpane公司Schneier說道，產品像是讓你輸入A然後產生B的東西，但是安全是一個能讓運作保持無害且可靠的機制。 安全較適合比擬成『可靠』的子集，Verdasys軟體副總裁Dan Geer說:『安全是一個手段，並非一個目的，『可靠』才是一個目的。』 『可靠』的目的是確保資料或資源的機密性、完整性、可用性。若是資料是『可靠』的，它就是安全的，但是光靠安全等機制並不代表就一定可靠。 迷思#5 IDS已死 就 如同傳統防毒軟體，特徵式(Signature-based)的IDS(入侵偵測系統)，因為沒能為企業安全擔保而大受批評，這樣的批判以2003年， Gartner Group(註四 )的宣告﹕「IDS已死。」最為嚴厲，如果連Gartner都這樣說，當然，這應該是對的… IDS並沒有死，在最近的研究報告，Information Security 研究夥伴TheInfoPro(www.theinfopro.net)發現，80%的財星前1000大企業，現在開始部署各式入侵偵測系統，的確，仍有 少數公司不當它是正式的威脅管理機制。 而許多廠商及企業已將其IDS轉型為一個具有關聯攻擊、網界前哨、及鑑識追查的整合系統。 防火牆廠商像是Checkpoint、Juniper、Cisco、Secure Computing 開始在其產品上加上IDS功能，專門針對一般常被攻擊的通訊協定(像是HTTP、FTP、 SMTP、 XML/SOAP) 來做偵測。這些設備能藉由檢驗通訊協定內容，並可對封包內容比對特徵資料庫，來阻擋特定IP位址、通訊埠、通訊協定，就像IDS一樣。「只不過這些防火牆 跟傳統IDS不一樣的是，傳統IDS只發出告警，而這些firewall直接阻擋這些威脅，算是簡單的IPS而不是IDS。」 IDS也被證明對於受駭後的資料鑑識以及整理很有幫助，當IDS沒辦法有效與及時地避免威脅發生，IDS卻可以幫你藉由整理網路攻擊封包資訊，來追蹤可疑 惡意行為的入侵軌跡，CyberTrust公司 Tippett說︰「鑑識已經成為IDS最大的價值了。」 迷思#6 資安人員要為安全負起責任 有句老話，「沒事就是安全」，所以很自然的，當有事發生時，大家就會去問資安人員，「到底發生什麼了?」 如果此時公司的安全是由散佈在各單位的管理人員負責，那這個資安人員應該會問︰「發生什麼? 應該由你來告訴我呀！」。最後，資安人員倒是沒辦法負起責任；而到處忙著告訴大家，資訊安全不是光他的事，是每一個管理者的責任。 「安全就像是分析裂縫一樣」蒙特婁銀行CISO , Robert Garigue 說道:「有責任去填補這些裂縫的人並不是資安人員，而是操作人員。網路人員操作防火牆或IDS；伺服器及辦公主機工作人員負責注意系統修補狀態，這些事情 都不應該是資訊安全人員去做的，資訊安全人員該做的是去找出下一個資安威脅！」 Garigue 覺得，資訊安全責任應由各單元的管理者或擁有者負責，他覺得，資安人員和企業的關係，有點像是牙醫和病人的關係，病人有責任每天刷牙，保健牙齒，而牙醫師則是有責任對病人每年定時檢查，以及在蛀牙的時候，幫他修補好蛀孔。 組合國際Moritz也說︰「安全的重要性，超越企業架構和使用者」「今天當我們為職員及工作建制程序，明天，我們使程序自動化，並且使職員按照這些程序運作」。 「當一步步改變時，資安的做法也會顯著的改變」，資安人員也需要新的專業技術，這些方法取決於資料屬性分類、企業程序，以及管理目標。「資安人員就像管弦樂團裡的指揮，而不是坐冷板凳的人」。 ANDREW BRINEY, CISSP, Information Security 發行者。也是the TechTarget Security Media Group的副總裁

Dual or Quad Core?Author: Anand Lal Shimpi

The Million Dollar Question: Dual or Quad Core for the Same Price?

Before talk of Intel's July 22nd price cuts surfaced, we were hardly ever asked the question "dual or quad", simply because the price differential was so great. After next week everything changes, as you'll be able to pick up a quad-core Q6600 (2.4GHz) for a measly $266. At the same time, you could get a much higher clocked dual-core E6850 (3.0GHz) for the exact same price - so which do you pick?

This graph is a lot more colorful than our previous ones because the decision just isn't that clear. If you look at the average, quad-core gains an advantage over dual-core over all of our benchmarks, but if you look at the tests themselves you'll see some trends. Encoding and 3D manipulation benchmarks have the quad-core CPU clearly ahead, while general usage and gaming benchmarks mostly favor the higher clocked dual-core E6850. So, which do you choose?

If you're strictly building a gaming box, you'll get more performance out of the dual-core E6850. However, if you do any encoding or 3D rendering at all, the quad-core Q6600 is a better buy. Our pick is the Q6600 and if you want to make up the performance difference you can always overclock to E6850 speeds, but the chip only makes sense if you're running apps that can take advantage of four cores. As the chart above illustrates, those applications are almost exclusively limited to video encoding and 3D rendering.

英雄傳說6空之軌跡mtv

沒有中國製造的一年（A Year without Made in China

別說拒買一個月.美國都有人拒買一年了.不過結論是生活得付出更大代價.而且"常有心痛的感覺"!
以下轉貼去年或前年一篇著名的文章「沒有中國製造的一年（A Year without Made in China）」
===============================================================
路易斯安那州經濟新聞記者邦吉奧尼（Sara Bongiorni）從2005年聖誕過後開始與家人聯合展開
為期一年的「抵制」「中國製造」行動，她強調，她和家人是「懷著友好態度作這項實驗」。

過去一年，邦吉奧尼一家不再使用那些標明「中國製造」的塑料、金屬和木製產品。他們保留了原有的中國貨，
但不再購進任何新產品。

她在書中說，多年來，美國人的生活中充滿了來自中國的各種東西，從玩具、蠟燭、老鼠夾到各種小玩意、家用電器。

「有時，我也擔心流失到海外的就業機會以及有關侵犯人權的報導，但價格最終總是戰勝了我們的價值觀。
我們根本無法拒絕中國出售的產品。」

作為經濟記者，邦吉奧尼經常有機會接觸到美國商業部有關國際貿易的數據，但是她說，
「美國人的現實生活與這些數據相差很大」，很多美國人都明白一個不容辯駁的事實:中國正在占領美國，
中國製造已經根深柢固地滲透美國人的生活。

從桌子上的電視機，門邊的一堆網球鞋，聖誕樹上的洋娃娃，屋子裡面隨處可見「中國製造」。

邦吉奧尼將家中的東西分成「中國製造」和「非中國製造」兩大類，結果發現中國貨25件，非中國貨14件，
她的結論是，「就連美國人最傳統的聖誕節，也早已成為中國人製造的節日」。

放棄中國貨到底需要付出多少時間、金錢和不便的代價？

他們碰到的第一個問題是，為兒子買一雙「非中國製造」的網球鞋。經過兩週的奔波之後，
邦吉奧尼不得不花60美元買了一雙義大利進口的運動鞋，幾週後，又花了60美元給小女兒買了一雙德克薩斯州製造的童鞋。

但這兩件事，還只是邦吉奧尼夫婦一年當中「心痛感覺」的小小一部分。

隨後，夫婦兩在許多小事上遇到了麻煩。為了給丈夫生日買蠟燭，她開車去了六家雜貨店，
最終不得不在廚房裡找到一個落滿灰塵的蠟燭將就。

為了萬聖節裝飾，他們跑遍了整個城市，最後還得多花50多美元，才買到一個「非中國產」南瓜。

在結束一年「抵制中國貨」的行動時，邦吉奧尼一家很感慨地說:沒有中國產品的生活實在是一團糟
（China-free　living has been a hassle）。她在結語中這樣寫道:沒有「中國製造」你可以活下去，
但生活會愈來愈麻煩，而且代價愈來愈大。

讓網站有google的站內查詢功能

Google站內搜尋

參考網頁 - http://www.google.com.tw/searchcode.html

測一下

href="http://www.google.com.tw/">src="http://www.google.com.tw/images/google_80wht.gif" border=0 width="50" height="21" />

視網膜色素變性

一般人大多認為，吃低脂高纖的食物有益健康，不過美國加州大學最新的研究報告顯示，這樣的飲食控制方式，對於乳癌患者並沒有多大的幫助。美國的另外一項研究則顯示，吃太多糕餅類的食物，容易罹患老年黃斑病變，對視力產生影響。

高纖低脂的飲食方式，目前已成為健康的飲食風潮，不過美國加州大學的研究人員卻發現，這樣的飲食方式對罹患乳癌的婦女而言，並沒有太明顯的幫助。

研究人員從1995年到2000年，針對3千名罹患乳癌的婦女進行分組實驗比較，並持續追蹤到2006年，結果發現以低脂高纖控制飲食的乳癌患者，乳癌復發的機率，竟然和沒有控制飲食的患者一樣。

不過有專家指出，這項研究並不代表低脂的飲食方式不好，只能證明想保持健康不能單靠脂肪控制而己。

另外，美國塔夫斯大學最近的研究則是發現，大量食用單一碳水化合物的人，罹患老年黃斑病變，也就是視網膜病變的機率，比少吃這類食物的人高出40%，富含單一碳水化物的食物，包括蛋糕、餅乾、披薩、白麵包，以及其他添加糖的食物。

研究人員表示，這類食物被吸收後，會很快分解成葡萄糖，使血糖濃度升高，也增加病變的機會。

http://tw.news.yahoo.com/article/url/d/a/070718/17/hfum.html


ARTICAL BY 視網膜色素變性人士聯誼會