民國105年12月


最新消息與公告
協助辦理教檢作業		教學平台
因應106年教檢考試報名在即，本中心協助教檢小組之照片匯出功能開通與伺服器汰換事宜，進行採購之伺服器新機上架、作業系統安裝、環境設定、虛擬機版本升級、防火牆開通、網路設定、資料庫同步設定等，並盤點下架設備共8台，後續將進行網站分流測試，協助系統改版作業等相關事宜。		本中心執行教卓計畫中子計畫《4》學習無所不在~整合式學習網與課業輔導APP，在11月8日與11月22日各舉辦一場APP教育訓練，此外亦有舉辦相關的NTUE行動學習APP推廣活動，第一階段活動已於11月15日結束，並於隔天公布得獎名單，目前NTUE行動學習APP使用人數已達200人以上

宿舍網路更新案		辦理新進職員教育訓練
本中心協助學務處進行與學生幹部代表召開學生宿舍網路委外說明會，並提供技術說明。		辦理本校新進同仁「MS WORD文書排版編輯」線上教學及完成實作練習，除使同仁熟悉文書排版操作外，未來提報計畫時，能讓文件的建立更加美觀且快速。

本校對外網路流量分析


本校個人電腦維修統計資料

電腦專欄

資訊安全資料來源：iThome

HITCON創辦人教你三大容器安全術加強網頁安全

文/王立恒 | 2016-12-25發表

       作為一名資安工作者，臺灣資安技術社群 CHROOT 、臺灣駭客年會 HITCON 創辦人，目前任職於美商 vArmour 資深工程師的徐千洋，已經養成習慣，經常在各大網站瀏覽，檢查是否有該站管理者沒有察覺的漏洞存在。他表示，位居Alexa網站評比全球網路流量第61名的色情網站Pornhub，由於使用者人數眾多，自然是吸引駭客攻擊的大目標。為此，Pornhub也發起一個漏洞懸賞計畫，歡迎資安高手回報該網站存在的任何漏洞及弱點，成功入侵者也能獲得豐厚的獎賞。

       Pornhub懸賞最高金額的前兩名漏洞，都是歸類在遠端命令執行漏洞，總計金額高達2萬5千美元，「而最高金額的獎金已經被人領走。」

       即便如Pornhub，使用者眾多、營收規模如此大，更用砸重金打造的安全防護不亞於他人的網站，都能夠被駭客找到遠端執行的漏洞，「這意味著全球更多網站都暴露在類似風險之下。」

       讓駭客領取Pornhub最高懸賞金的遠端命令執行漏洞，不僅是駭客常見的攻擊手法，一旦執行成功也相當具有威力，網站中各類的設定檔、原始碼，或是儲存在SQL資料庫的使用者帳號密碼，全部都在攻擊者的掌握，更讓管理者近乎喪失網站的主導權。徐千洋也直言，許多大型網站一旦使用者帳號密碼外洩，往往並非是單純SQL injection攻擊事件，「很可能該網站已被徹底地入侵、掌控了。」這不禁讓徐千洋思考，一名網站管理員有無可能阻絕這些攻擊，即便駭客找到零時差漏洞，也無法成功的入侵？

       市面常見的網站，大多都會透過網頁伺服器如Httpd執行連線服務，串連到程式語言直譯器，最後透過PHP等程式語言執行網頁應用程式。但是這段常見的運作流程，從一開始接通網路連線後，就已經暴露在遠端執行的風險中，徐千洋表示，若中間任何一環存在漏洞，就可能導致駭客入侵，例如執行Shell等命令。他觀察，目前網頁服伺服器而言，想找到漏洞並非易事，風險最高的遠端命令執行漏洞數量更是稀少。不過程式語言、網頁應用程式則不乏高風險漏洞，像是通用漏洞平臺CVE的資料庫中，PHP存在漏洞的漏洞，範圍涵括6至10等高風險，「網頁應用程式的漏洞更是多如牛毛。」

       徐千洋也歸納駭客經常使用的遠端執行攻擊手法，像某網站經常性的遭入侵，很可能是該網站存在遠端攻擊漏洞，比方說熱門開發套件Wordpress如果突然爆出來不及修補的零時差漏洞，就很可能遭致駭客攻擊。或該網站開放上傳外部資料的功能，如傳送大頭貼、文件等檔案。這類允許外部程式執行寫入權限是高風險行為，一旦使用者疏忽，攻擊就可以將檔案寫入特定目錄，留下後門作為發動攻擊的入口。在成功拿下Webshell後，也能植入簡單的PHP後門一句話木馬，下達攻擊指令。乍聽之下，網站管理者只能成為駭客的待宰羔羊，徐千洋表示，解法就是利用容器技術強化網站安全。

       徐千洋表示，過去利用Unix運行網頁伺服器的時代，避免使用root權限執行系統服務是基本的安全守則，碰上非用root權限不可的情況，使用者執行完服務後，也一定要執行權限降低為一般使用者。再者，搭配chroot環境運作網頁伺服器也能提高整體安全性，「就像是加上了一把鎖」，即便遭受攻擊也能將損害限縮在此環鏡，而利用Container建立網站，其中安全觀念與Unix的操作不謀而合，「容器是chroot的強化版本，照理來講安全性會更高。」他說。

容器3大安全強化術

       徐千洋表示，使用者可透過Docker中內建的3個原生機制，加強使用容器的安全性。第一個安全術是善用命名空間（Username Space），讓Container不再使用root權限執行。在去年推出的Docker 1.9.0版本中，Docker就將此機制納入其中，「即使在Container用root權限執行服務，也並非host主機握有的root權限。」

       當Container在運作程式時，位在使用者命名空間的執行環境，系統會透過host主機取得其執行身份。即使在Container中，某使用ID利用 root權限執行程式也不會有影響，「因為Username space中，系統會以該使用者真正握有root權限」，但是在Container底下有root權限的帳號，僅是host主機底下的一般權限帳號，「從 host主機的角度來看，所有容器下執行的程序都只是一般權限執行而已。」

       第二是善用安全機制Capabilities，劃分特權帳號所能能執行的數十個程序，一一給予控制。徐千洋表示，雖然此機制早在Linux中就能使用，但是礙於使用者必須要熟悉Unix底層操作，並且具備Linux Kernel的相關之至，「因此一直無法普及。」

       利用Capabilities機制，使用者可以將root權限所能執行的功能，向下切割成數十個，讓無root權限的使用者也能執行某些程序。舉例，在 Unix的設計中，使用者如果想要啟用數字小於1024的port，必須取得root權限。但是利用Capabilities，不需要透過root權限，就可以讓某些服務開啟低於1024的port。

       最後一招則是Linux內建的安全模組AppArmor，掌管某程式在執行的當下，對於其他檔案的操作。例如，如果某檔案被限定只能讀取，即使使用者取得可以任意讀寫的root權限，也會被AppArmor所阻擋。

       徐千洋也歸納，使用者可以利用3個基本法則，加強網站服務的安全性。第一原則就是避免使用root權限運作服務，「即便使用Container也盡量不要使用root權限。」

       再者，不得將網頁程式、設定檔寫入納入服務執行的權限。他表示，許多開發者會因為使用者群組的設定而輕忽此事。例如網站管理者、網頁應用程式擁有者都給予相通的權限，當駭客成功利用遠端攻擊打入網站時，就可以將許多惡意程式植入其中。但是，要防範此事，「只要讓網頁應用程式擁有者的權限，跟網站伺服器擁有者的權限不一致即可。」最後則是服務程序具有寫入權限的檔案不可以被執行。

使用習慣也影響網站安全

       但是，除了技術面問題，使用者習慣也是安全的一大考驗，「有些使用者就是不信邪，非得要用root權限運作服務」，一旦駭客取得最高權限，不管系統管理者如何搶救都是徒勞無功。

       所以針對Container安全強化，徐千洋也提出了幾個建議。例如，如果不了解Capabilities機制如何運作，「就將它所有的權限去除」，發現某些程序無法執行，再依序地加回原有的權限。

       而容器映像檔也是能增進安全的施力點，像是移除不需要的檔案及程式，「像是運行微服務、網站伺服器，根本不會用到GCC編譯器」，多餘的檔案只是徒增駭客所能攻擊的範圍。也因此，開發環境、正式環境中，應要使用不同的容器映像檔。再者，如果網站開發使用者上傳檔案的功能，也必須做出相關管制。偵測到 Container中新增了檔案，也可呼叫外部防毒系統掃描。一旦偵測到攻擊事件，產生Log的記錄也要傳送到資安監控中心SOC及資安事件管理平臺 SIEM，「不只是阻擋攻擊，還要知道攻擊來源為何，以及使用何種攻擊手法，這樣就可以找到系統內可能存在的漏洞。」

科技新聞資料來源：iThome

【改善會議管理，以App應用促成無紙】從行動應用思維帶動會議效率提升

文/羅正漢 | 2016-11-27發表

      在三四年前，隨著平板電腦逐漸熱門，政府提倡無紙化會議，一改以往開會需要列印多份資料的會議型態，當時就有公務機關和企業，改用平板電腦開會以取代傳統紙本會議，期望落實環保節能減碳精神，降低紙張的用量，同時也期望會議e化後，可加快會議作業的準備流程，提升開會效率與會議品質。

       現在，無紙化會議的潮流仍然在發酵，但發展趨勢已從重視環保、CSR企業社會責任為先，改以行動化應用擴展為主要。畢竟，企業關注的還是如何有效改善會議管理流程，近期的安侯建業聯合會計師事務所（KPMG）就是一例，以行動加速無紙會議應用。

       對於安侯建業這樣大型的會計事務所來說，可以想像，過去印出厚厚一疊文件來開會，是稀鬆平常的事。安侯建業聯合會計師事務所資訊長陳秋正表示，他們看待會議流程的管理改善時，主要分成兩個面向，一種是內部性的員工會議，另一種則是對外會議活動的情境。其中內部開會要做到無紙化不難想像，但對外會議活動的應用則相當少見。到底他們是如何進行的呢？

       在過去的會議活動場景中，作法都很傳統，像是要活動參加者自行印出報到資料，或是主辦方在現場印出簽到表，或擺上簽到簿，之後再一一輸入電腦。

       現在他們的作法是，用一個App串連起整體會議流程的進行。讓外部報名參加的成員，透過App就能檢視課程、報名，而且，報名後就會得到一組 QRCode，方便讓使用者到現場時，只要在條碼機前掃一下，就能報到成功。另一方面，主辦方也很關心活動來了多少人，有多少人沒來，現在他們透過系統查詢，也就能快速地知道應到與未到人數，或是要怎麼聯繫那些還沒到的成員，讓會議活動的作業流程更簡便。

       此外，現在我們參加這類活動會議時，大家可能都習慣拿手機出來拍下投影的簡報資料，而主辦單位在報到當下，通常可能也會準備許多紙本資料提供給參加的人員。陳秋正表示，其實透過同個會議App，就能夠直接線上檢視這些會議活動資料，比過去方便許多。

       當然，問卷也是活動現場常見的需求，在他們的App上，其實也設計了問卷功能，這也足以改變印出紙本問卷的需要，並且不用為了方便大家填寫問卷，還要準備筆、寫字板，或是大家還要特地尋找適合寫字的平面。

       特別的是，他們也在會議App上加入了投票、提問機制，像是讓臺上報告的人，想要知道臺下聽眾的想法時，就能發起投票讓大家用App點選，而結果也能即時在後臺上顯示。而以往都是用舉手，不知要花久時間才能統計結果。

       從上述應用來看，不僅是改變主辦方的會議流程，同時也讓參加會議活動的人有新的體驗，用行動App就能解決會議大小事，不用煩惱報到時沒帶報到資料，或是還要提醒自己要跟主辦方要資料等瑣碎的事。

       陳秋正表示，目前所有KPMG對外的課程講座，都是以這種方式發起。不過他們也坦承，這種讓外部會議活動做無紙化的型態，在大眾市場推展其實相對不易，因為客戶不像員工可以有向心力，能由上而下的要求來達到快速普及。現在，他們則必須透過獎勵措施，例如贈品或將有價資訊放在App上，而且只有在App上才看得到，來提高用戶接受度。舉例來說，讓參加會議活動者在App上填完問卷後，才能獲得會議檔案，或是得到一組條碼以領取贈品。

       讓使用者開會更自在，同時也簡化會議準備與管理

       對內部的施行的無紙化會議也是如此。陳秋正表示，現在安侯建業的高階主管們，只要拿著平板，不論在何時何處都能檢視議程、大綱、會議文件與會議相關資訊。開會時，不用印文件，會議成員也不用帶任何資料，拿著iPad到會議室就可以進行會議。重要會議也只要輸入驗證密碼，就能解鎖瀏覽。

       如果是過去想要隨時檢視會議相關資訊，你可能還要開電腦、翻文件，一點都不直覺。

       為了讓會議進行更順利，他們也在App上整合會議通知等功能。這是因為在他們的會議經驗中，開會常見的狀況是，有時會改時間、改地點，過去往往都是以電子郵件方式通知，通知到最後對方可能不確定那個是最新的時間。現在透過App推播訊息，隨時看到最新的會議資訊，也不用再切換到電子郵件或行事曆去查詢。

       要和紙本開會一樣，在資料上筆記也行。筆記結果可以直接顯示在文件上的表層，使用者下次開啟仍然能夠看到自己的筆記內容。針對機密資料的防護，陳秋正也表示，他們的應用也能達到資料不落地的效果，使用者沒辦法截圖、轉寄。而且，在他們高階主管所配發的iPad上，本身也都有搭配MDM控管的措施。

       另外，會議文件除了上傳到這個會議平臺上，也能整合接到他們內部的文件管理系統SharePoint，因此也能不改變既有的文件安全管控策略。

       陳秋正也提到，這套系統雖然是由KPMG臺灣開發，但目前也已經應用在KPMG亞太區的董事會議上，而KPMG全球總公司看到這樣的應用，現在也在測試導入，像是前面提到連接SharePoint的需求，就是總公司提出的要求。而這樣的行動應用，不僅改善了自身企業內部流程，也期望推廣至其他企業環境。

       至於未來無紙會議是否會擴展到一般會議上，陳秋正也提出他們的作法，在高階主管會議之外，他們也打算用這套系統來安排所有員工的教育訓練，因為它可以很容易的管理報名、報到、訊息傳遞與問卷調查等作業。

       另外，因為一般會議溝通較不結構化，也不是每位員工都有iPad，加上各系統用途還是有點不太一樣，所以一般會議他們還是採用電腦傳遞文件，或是用通訊軟體分享文件。。

計中資訊

電腦教室課表

無線網路

計中電腦教室課表(每週更新)

無線網路使用說明

軟體服務

電子郵件信箱

資訊相關規範