專案:在預定的時間內,投入預定的資源,用來完成特定目標。
專案管理:希望透過管理方式,使得專案能順利完成。
Project Management Body of Knowledge (PMBOK)
運用知識、技能、與電腦輔助工具來規劃專案的人力、物力資源之配置與應用,以及各項活動的執行順序與進度,為了達成專案的任務目標。
PMBOK 定義
- 五大程序群組 (Process Groups)
- 九大知識體系領域 ( Knowledge Areas)
[ 五大程序群組 ]
1. 起始階段:定義專案之需求、界定預期的進度與目標、與開始組織專案團隊。
2. 規劃階段:制訂發展策略、計畫執行的各階段性目標、與規劃執行方案。需要明確界定所須達成的任務與達成任務的時間表,依據所需時間、經費與完成日期來預估成本。
3. 執行階段:監控各項活動之進展,並比照實際執行狀況與原訂計畫的內容,進行調整與紀錄。
4. 結案階段:專案完成之後的收尾與善後工作,包括確認專案結果,建立文件檔案以作為顧客正式接受專案的產品。彙整所有專案紀錄,分析專案的成敗及其效益性,並完整紀錄上。
[ 九大知識體系領域 ]
1. 專案整合管理–專案中不同的要素相互配合,含專案計劃書發展、專案計劃執行。
2. 專案範疇管理–確保僅含有所需的工作項目(不要多做)以成功達成專案目的,範疇規劃 、定義、範疇確認、變更控制。
3. 專案時間管理–確保專案如期完成,含活動定義、排序、期程估計、時程控制。
4. 專案成本管理–確保專案在預算內完成,含資源規劃、成本預估控制、預算編列。
5. 專案品質管理–確保專案能滿足需求,含品質規劃、品質保證。
6. 人力資源管理–有效地運用與專案有關的人員,含組織規劃、人員獲得。
7. 專案溝通管理–確保專案能適時及適當地產生、蒐集、散佈、儲存、及最終處置專案資訊,含溝通規劃、資訊發佈。
8. 專案風險管理–敘述專案風險的界定、分析、及回應的程序,含風險管理規劃、風險界定 (Risk Identification)。
9. 專案採購管理–執行自組織外取得商品及服務的程序,含採購規劃、邀商規劃、邀商作業 (Solicitation)、商源評選、合約管理。
4月 28, 2011
4月 27, 2011
知識管理系統 (KMS)
知識管理系統 (Knowledge Management System)
[ 知識 ]
儲存在人類的心智模式,事實、法則、經驗,人類經由學習而獲得,可以用此主導人類的決策、行為。
[ 智識管理流程 ] (常考)
組織用來創造、儲存、轉移、應用知識的一組企業流程。在知識價值鏈中有五個步驟,這些步驟都為原始資料帶來進一步的價值。
知識價值鏈
[ 支援知識管理的 IT ] (常考)
1. 支援組織的知識管理系統
結構化知識:知識庫、搜尋引擎、EIP
知識網路系統:知識地圖、wiki、web 2.0 技術
2. 支援工作者創作知識
讓知識工作者更易創造知識,工具有: CAD、CASE、虛擬實境
3. 支援知識獲取、發掘、儲存的智慧型技術(使用人工智慧技術)
主要技術有專家系統、類神經網路、智慧代理人
[ 知識的分類 ]
1. 內隱:高度個人化,難以正式化。只可以意會,深植在個人的經驗、創意。
2. 外顯:可用文字圖形或者其他象徵物來清楚表達,能定義擷取。
[ 知識螺旋 ]
1. 社會化:內隱知識,經由內隱學習,由一個族群轉到另個族群 (師父教徒弟)
2. 外部化:把內隱知識經由文字,或者其他外顯方式表達 (記者寫文章)
3. 組合化:將不同的外顯知識經由分析、重組,產生新的外顯知識 (討論會)
4. 內部化:將外顯知識,轉為內隱知識。經由不斷教育訓練、自我學習而達到。
[ 知識 ]
儲存在人類的心智模式,事實、法則、經驗,人類經由學習而獲得,可以用此主導人類的決策、行為。
[ 智識管理流程 ] (常考)
組織用來創造、儲存、轉移、應用知識的一組企業流程。在知識價值鏈中有五個步驟,這些步驟都為原始資料帶來進一步的價值。
知識價值鏈
1. 知識獲得
組織獲得知識可以從內部、外部而來。內部像是技術文件、專案文件、簡報。
外部文件則可以透過外部網站檢索、新聞資訊而得。
主要 IT 技術有: 資料探勘、類神經網路、基因演算法、專家系統
2. 知識儲存
知識要經由適當儲存,以利後續使用。通常是使用「資料庫(資料倉儲)」或者「文件管理系統」文件管理系統是將文件數位化,並且製作索引。而「專家系統」也能用來進行知識的儲存。
3. 知識傳播
使用入口網站、電子郵件、搜尋引擎,來讓知識易於分享、容易被找到。
企業內部也可以透過訓練課程、管理者經驗分享,來達到知識傳播目的。
4. 知識應用
KM 最終目的,就是希望能將知識融入企業流程中,組織的知識用來支援決策用途。
常見的 IT 科技有:EIS、DSS、BI、知識地圖、e-learning、知識檢索
[ 支援知識管理的 IT ] (常考)
1. 支援組織的知識管理系統
結構化知識:知識庫、搜尋引擎、EIP
知識網路系統:知識地圖、wiki、web 2.0 技術
2. 支援工作者創作知識
讓知識工作者更易創造知識,工具有: CAD、CASE、虛擬實境
3. 支援知識獲取、發掘、儲存的智慧型技術(使用人工智慧技術)
主要技術有專家系統、類神經網路、智慧代理人
[ 知識的分類 ]
1. 內隱:高度個人化,難以正式化。只可以意會,深植在個人的經驗、創意。
2. 外顯:可用文字圖形或者其他象徵物來清楚表達,能定義擷取。
[ 知識螺旋 ]
1. 社會化:內隱知識,經由內隱學習,由一個族群轉到另個族群 (師父教徒弟)
2. 外部化:把內隱知識經由文字,或者其他外顯方式表達 (記者寫文章)
3. 組合化:將不同的外顯知識經由分析、重組,產生新的外顯知識 (討論會)
4. 內部化:將外顯知識,轉為內隱知識。經由不斷教育訓練、自我學習而達到。
Samsung Google Nexus S
下午在學校手滑就訂了一隻,其實也考慮蠻久了。一直在 Incredible S 與 Nexus S 間天人交戰,最近正好碰到 Nexus S 大降價,原本的定價:
hTC Incredible S 是從一開始的訂價 17900,一週內就陸續掉到 16500,然後最近變成 16300上下。
Google Nexus S 就更誇張了,原本定價是 18900,就在上週變成 16900,最近則是變成 14500 囧
只能說 Nexus S 生不逢時,僅管身披 Google 光環,感覺仍是不敵市場競爭。過往 Nexus One 僅透過網路商店販售,最終慘淡收場;這次 Nexus S 雖然有實體通路,但在台灣上市太晚,加上電信商力拱 Incredible S 作為主力手機,Nexus S 只能在一旁科科。
就現況而言,大多數人也覺得 Incredible S 是較為合適的手機,
4月 02, 2011
FTP 協定介紹
FTP 的連線模式分兩種:主動模式(Active mode) 與 被動模式(Passive mode)
[主動模式] Client 這邊開個 port 之後 Server 要主動連過來
Client 與 Server 連線後,Client 會主動利用 PORT 這個指令來告訴
Server ,未來 Data Channel 請你連線到我這個 port 這邊
在這邊,Client 告訴 Server:
將來若是你有資料(像是檔案列表)要送給我,那麼就送 port: 17*256 + 35 這邊。所以 Server 會主動利用 Server 主機的 Port 20 發出連線到 FTP Client 的主機
[被動模式] 因為 Client 在防火牆內,所以 Server 只能被動等他連過來
如果 Client 在防火牆或者 NAT 下面,那麼Server 的主動連線就會被擋掉
此時就要採用 Passive 被動連線方式:麻煩 Server 額外開一個 port 之後我會連過去
C:X ----你開個 Port 給我,之後會連過去 ----> S:21
C:X <---我會開個 port 在 32*256+89等你 ----- S:21
C:Y ----主動送出 SYN 連線請求--------------> S:8281
note:
(1) 不要再被 port 20 與 21 搞混了,這兩個 port 是 Server 在主動模式用的
(2) 如果是在被動模式下,除了 Server port 21 是確定的之外其他的 port 都是動態指定,並沒有固定要在哪個位置
[主動模式] Client 這邊開個 port 之後 Server 要主動連過來
Client 與 Server 連線後,Client 會主動利用 PORT 這個指令來告訴
Server ,未來 Data Channel 請你連線到我這個 port 這邊
指令: PORT 69,171,224,13,17,35 (17*256+35=4387)
回應: 200 Port command successful.
在這邊,Client 告訴 Server:
將來若是你有資料(像是檔案列表)要送給我,那麼就送 port: 17*256 + 35 這邊。所以 Server 會主動利用 Server 主機的 Port 20 發出連線到 FTP Client 的主機
C:4386 ----myPort:17*256+35----> S:21
C:4387 <--真正有 Data 要送來---- S:20
[被動模式] 因為 Client 在防火牆內,所以 Server 只能被動等他連過來
如果 Client 在防火牆或者 NAT 下面,那麼Server 的主動連線就會被擋掉
此時就要採用 Passive 被動連線方式:麻煩 Server 額外開一個 port 之後我會連過去
指令: PASV
回應: 227 Entering Passive Mode (173,221,21,38,32,89)
C:X ----你開個 Port 給我,之後會連過去 ----> S:21
C:X <---我會開個 port 在 32*256+89等你 ----- S:21
C:Y ----主動送出 SYN 連線請求--------------> S:8281
note:
(1) 不要再被 port 20 與 21 搞混了,這兩個 port 是 Server 在主動模式用的
(2) 如果是在被動模式下,除了 Server port 21 是確定的之外其他的 port 都是動態指定,並沒有固定要在哪個位置
3月 31, 2011
智慧卡 (Smart Card)
Smart Card
名片一樣大小的塑膠卡片鑲嵌一顆晶片,本身就像一台具體而微的電腦,具有自我保護內部資料之能力可以儲存資料、執行指令、完成運算等功能
包含了微處理器(Central Processor Unit,CPU)、唯讀記憶體(Read Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)及可覆寫可程式化的唯讀記憶體(EEPROM)。
Smart Card的作業系統 COS (Chip Operating System),就好像個人電腦與作業系統。Smart Card的 COS 是"燒"(Mask)在 Smart Card的唯讀記憶體 ROM 中,透過COS 所提供介面,呼叫及使用 COS 所提供的功能
Smart Card的特性
含有CPU,以及預先存入之卡片作業系統。記憶容量大,且資料可重覆寫入或刪除安全性高,不易偽造及複製 DES 及 RSA 資料加密 。
Smart Card的功能
智慧卡於實體上及邏輯上所具有的安全特性
1. 確保服務的不可抵賴性
使用者用個人私密金鑰來對所要傳送的資料進行數位簽章,從而達到服務的不可抵賴性。為了保障公開金鑰密碼系統中的公鑰為真,一般所使用的方法是由可信賴的第三者來充當簽証中心(Certificate Authority,簡稱 CA),以簽發公鑰電子憑証的方式來証明公鑰的效力。
一般使用者大部把私密金鑰儲存於個人電腦中,這無形中引發了以下兩個問題:
a. 私密金鑰易遭他人盜拷
b. 私密金鑰的不可攜帶性
為了避免以上問題的發生,可經由將私密金鑰儲存在智慧卡中。智慧卡本身所具有的加密技術,可確保儲存於內部系統及在傳輸通道中資料的隱密性。
2. 確保資料在傳送過程中的機密性
目前大多數的智慧卡都提供內建的加解密模組(包含了 DES 和 RSA),因此可以經由
事先在智慧卡內將要傳送的訊息加密後再對外傳送
3. 確保智慧卡內部資料的真確性
智慧卡內部資料都受到層層保護,智慧卡內的交易資料不易遭到他人竄改
Smart Card的應用
1. 電子錢包
許多電子付款系統皆使用智慧卡來做為電子錢幣的載具,使用電子錢包的好處有:
a. 可離線作業,減少使用信用卡時所需花費的連線認證時間。
b. 可免除找零錢的麻煩,加速消費購物流程。
c. 使用於交通運輸上時,將可加速通行費的繳費程序
電子錢包的實際運作方式如下列所示 :
1) 圈存可消費金額至電子錢包
所謂圈存,即為把錢從持卡人的銀行帳戶轉入IC 金融卡的 IC 晶片中,此時持卡人
就好比擁有了電子錢包,可以利用 IC 金融卡來進行消費了,將錢圈存 IC 金融卡
的好處是使用者可以免除攜帶現金、偽鈔、被搶等風險。除了自動櫃員機可圈存
「電子錢」之外,亦可在 IC 公用電話亭及POS機器上進行圈存的動作。
2) 使用者可經由使用自動櫃員機或其他的特殊電話線路將所要圈存的錢存入電子錢包。
3) 使用者利用電子錢包進行消費
使用者將內存可消費金額的電子錢包放入智慧卡讀卡機內,以購買所要的商品。
4) 自動販賣機確認是否提供服務:
a)電子錢包的真偽。
b)電子錢包上的可消費金額是否足夠支付所購買的商品。
2. 身份識別卡
所謂身份識別卡即為一張代表一個人的唯一身份的卡片。身份識別卡利用了智慧卡所具有的高儲存容量的特性,將持卡人的個人基本身份資料儲存於身份識別卡中,以取代原有的紙式身份證明文件。除此之外,智慧卡本身所具有的高安全存取控制功能也是它被用來開發身份識別卡的另一個主要因素。
目前,專家學者廣為討論的國民卡即可看成是身份識別卡的一種,此外身份識別卡也可用來取代公司員工的職員證、學生的學生證(譬如:校園卡) 國民卡對政府而言,「國民卡」為政府所帶來的好處如下:
1)有助於帶動電子化政府應用。
2)可以提升政府的行政作業效率
3)加強便民服務。
名片一樣大小的塑膠卡片鑲嵌一顆晶片,本身就像一台具體而微的電腦,具有自我保護內部資料之能力可以儲存資料、執行指令、完成運算等功能
包含了微處理器(Central Processor Unit,CPU)、唯讀記憶體(Read Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)及可覆寫可程式化的唯讀記憶體(EEPROM)。
Smart Card的作業系統 COS (Chip Operating System),就好像個人電腦與作業系統。Smart Card的 COS 是"燒"(Mask)在 Smart Card的唯讀記憶體 ROM 中,透過COS 所提供介面,呼叫及使用 COS 所提供的功能
Smart Card的特性
含有CPU,以及預先存入之卡片作業系統。記憶容量大,且資料可重覆寫入或刪除安全性高,不易偽造及複製 DES 及 RSA 資料加密 。
Smart Card的功能
智慧卡於實體上及邏輯上所具有的安全特性
1. 確保服務的不可抵賴性
使用者用個人私密金鑰來對所要傳送的資料進行數位簽章,從而達到服務的不可抵賴性。為了保障公開金鑰密碼系統中的公鑰為真,一般所使用的方法是由可信賴的第三者來充當簽証中心(Certificate Authority,簡稱 CA),以簽發公鑰電子憑証的方式來証明公鑰的效力。
一般使用者大部把私密金鑰儲存於個人電腦中,這無形中引發了以下兩個問題:
a. 私密金鑰易遭他人盜拷
b. 私密金鑰的不可攜帶性
為了避免以上問題的發生,可經由將私密金鑰儲存在智慧卡中。智慧卡本身所具有的加密技術,可確保儲存於內部系統及在傳輸通道中資料的隱密性。
2. 確保資料在傳送過程中的機密性
目前大多數的智慧卡都提供內建的加解密模組(包含了 DES 和 RSA),因此可以經由
事先在智慧卡內將要傳送的訊息加密後再對外傳送
3. 確保智慧卡內部資料的真確性
智慧卡內部資料都受到層層保護,智慧卡內的交易資料不易遭到他人竄改
Smart Card的應用
1. 電子錢包
許多電子付款系統皆使用智慧卡來做為電子錢幣的載具,使用電子錢包的好處有:
a. 可離線作業,減少使用信用卡時所需花費的連線認證時間。
b. 可免除找零錢的麻煩,加速消費購物流程。
c. 使用於交通運輸上時,將可加速通行費的繳費程序
電子錢包的實際運作方式如下列所示 :
1) 圈存可消費金額至電子錢包
所謂圈存,即為把錢從持卡人的銀行帳戶轉入IC 金融卡的 IC 晶片中,此時持卡人
就好比擁有了電子錢包,可以利用 IC 金融卡來進行消費了,將錢圈存 IC 金融卡
的好處是使用者可以免除攜帶現金、偽鈔、被搶等風險。除了自動櫃員機可圈存
「電子錢」之外,亦可在 IC 公用電話亭及POS機器上進行圈存的動作。
2) 使用者可經由使用自動櫃員機或其他的特殊電話線路將所要圈存的錢存入電子錢包。
3) 使用者利用電子錢包進行消費
使用者將內存可消費金額的電子錢包放入智慧卡讀卡機內,以購買所要的商品。
4) 自動販賣機確認是否提供服務:
a)電子錢包的真偽。
b)電子錢包上的可消費金額是否足夠支付所購買的商品。
2. 身份識別卡
所謂身份識別卡即為一張代表一個人的唯一身份的卡片。身份識別卡利用了智慧卡所具有的高儲存容量的特性,將持卡人的個人基本身份資料儲存於身份識別卡中,以取代原有的紙式身份證明文件。除此之外,智慧卡本身所具有的高安全存取控制功能也是它被用來開發身份識別卡的另一個主要因素。
目前,專家學者廣為討論的國民卡即可看成是身份識別卡的一種,此外身份識別卡也可用來取代公司員工的職員證、學生的學生證(譬如:校園卡) 國民卡對政府而言,「國民卡」為政府所帶來的好處如下:
1)有助於帶動電子化政府應用。
2)可以提升政府的行政作業效率
3)加強便民服務。
3月 28, 2011
SNMP
http://goo.gl/we63e SNMP
http://goo.gl/XJw52 MIB
SNMP (Simple Network Management Protocol)
使用 UDP 161 :request/response mode 單純資料查詢
使用 UDP 162 :trap mode 有例外狀況發生時,進行緊急通報
屬於應用層的協定,在 SNMP Ver.2 之前,把網路節點分為 Manager 與 Agent。
因為 SNMP 屬於 Application 層應用,所以實際在運作上,不用考慮網路實體層
所用的架構。
- Manager: 使用 SNMP 協定的主機,用來管理 Agent
- Agent: 可能是一台路由器或者網路設備。
SNMP 的主要功能:
1. 組態管理:系統設定,資料蒐集
2. 故障管理:網路異常時,進行檢測與除錯
3. 效能管理:用來收集運作報告
4. 帳務管理:統計各項資源的使用時間
MIB (Management Information Base)
存放網路元件的狀態資訊,網管架構的核心。用來記錄網路設備的屬性
與功能。不管是網路上的硬體或軟體,都是以物件來加以表示,而物件
的規則、定義與語法是由 SMI 來指定結構與描述資料物件的方法。
在 MIB 中要包括:物件名稱、讀寫權限、型別、物件識別(OID)
SMI (Structure of Management Information)
用以定義 MIB 資料庫中各項欄位之屬性,規範每個網管物件的型別,
可接受的容容值。用來完整描述網管資訊的語法。常見的型別有:
INTEGER、OCTET STRING、OBJECT IDENTIFIED (OID)、IPaddress
http://goo.gl/XJw52 MIB
SNMP (Simple Network Management Protocol)
使用 UDP 161 :request/response mode 單純資料查詢
使用 UDP 162 :trap mode 有例外狀況發生時,進行緊急通報
屬於應用層的協定,在 SNMP Ver.2 之前,把網路節點分為 Manager 與 Agent。
因為 SNMP 屬於 Application 層應用,所以實際在運作上,不用考慮網路實體層
所用的架構。
- Manager: 使用 SNMP 協定的主機,用來管理 Agent
- Agent: 可能是一台路由器或者網路設備。
SNMP 的主要功能:
1. 組態管理:系統設定,資料蒐集
2. 故障管理:網路異常時,進行檢測與除錯
3. 效能管理:用來收集運作報告
4. 帳務管理:統計各項資源的使用時間
MIB (Management Information Base)
存放網路元件的狀態資訊,網管架構的核心。用來記錄網路設備的屬性
與功能。不管是網路上的硬體或軟體,都是以物件來加以表示,而物件
的規則、定義與語法是由 SMI 來指定結構與描述資料物件的方法。
在 MIB 中要包括:物件名稱、讀寫權限、型別、物件識別(OID)
SMI (Structure of Management Information)
用以定義 MIB 資料庫中各項欄位之屬性,規範每個網管物件的型別,
可接受的容容值。用來完整描述網管資訊的語法。常見的型別有:
INTEGER、OCTET STRING、OBJECT IDENTIFIED (OID)、IPaddress
數位信封 Digital Envelope
數位信封 Digital Envelope
發送端產生 對稱金鑰 (Symmetric Key),使用對稱金鑰來加密信件內容:
(信件內容) ---Symmetric Key---> (信件密文)
之後再把這個 對稱金鑰 用 收件者的 Public Key 加密起來:
(Symmetric Key) ---收件者 Public Key---> (對稱鑰的密文)
所以送出的資料包含了:
(信件密文,由對稱鑰加密過)+(由公鑰保護的Symmetric Key)
跟 PGP(Pretty Good Privacy) 相比,數位信封少了簽章的動作,所以沒辦法確實證明信件是由 A 發送的。
發送端產生 對稱金鑰 (Symmetric Key),使用對稱金鑰來加密信件內容:
(信件內容) ---Symmetric Key---> (信件密文)
之後再把這個 對稱金鑰 用 收件者的 Public Key 加密起來:
(Symmetric Key) ---收件者 Public Key---> (對稱鑰的密文)
所以送出的資料包含了:
(信件密文,由對稱鑰加密過)+(由公鑰保護的Symmetric Key)
跟 PGP(Pretty Good Privacy) 相比,數位信封少了簽章的動作,所以沒辦法確實證明信件是由 A 發送的。
3月 27, 2011
IDS IPS 入侵偵測 防禦系統
[ IDS ]
入侵偵測(IDS)系統主要功能在負責監聽網路封包,依據預先設定的安全策略
(Security Policy),對網路與系統的運行狀況進行監測,當發現異常,自動
發出警訊通報給網管人員
傳統的 IDS 最被詬病之處乃是其僅能產生大量的警報事件,無法立即阻絕入侵攻擊。而且因為受限於有限檢測技術及旁聽式(Sniffer Mode)部署模式,產生誤報比率較高。
IDS 分為兩類:
NIDS(Network Intrusion Detection System)
HIDS(Host based Intrusion Detection System)
1. NIDS:
分析從網路收集來的封包,查看封包特徵與資料庫進行比對,收集相關資訊並記入日誌
2. HIDS:
安裝在被檢測的主機之上,即時對網路進行系統「日誌檢查」,進行智慧分析和判斷。
[ IPS ]
入侵防護(IPS)系統則化被動為主動,當發現網路異常封包或行為時,系統除發送警訊通報給網管人員,並立即採取必要的處置措施,例如阻斷來源IP。從保護對象上可將IPS分為三類:
1. 主機的入侵防護(HIPS)
用於保護伺服器和主機系統不受不法分子的攻擊和誤操作的破壞。
2. 網路的入侵防護(NIPS)
檢測網路流量,提供網路系統的安全保護,若有入侵行為,NIPS就阻斷該連線。
3. 應用程式入侵防護(AIPS)
是將基於主機的入侵防護擴展成為位於應用伺服器之前的網路資訊安全設備。
入侵偵測(IDS)系統主要功能在負責監聽網路封包,依據預先設定的安全策略
(Security Policy),對網路與系統的運行狀況進行監測,當發現異常,自動
發出警訊通報給網管人員
傳統的 IDS 最被詬病之處乃是其僅能產生大量的警報事件,無法立即阻絕入侵攻擊。而且因為受限於有限檢測技術及旁聽式(Sniffer Mode)部署模式,產生誤報比率較高。
IDS 分為兩類:
NIDS(Network Intrusion Detection System)
HIDS(Host based Intrusion Detection System)
1. NIDS:
分析從網路收集來的封包,查看封包特徵與資料庫進行比對,收集相關資訊並記入日誌
2. HIDS:
安裝在被檢測的主機之上,即時對網路進行系統「日誌檢查」,進行智慧分析和判斷。
[ IPS ]
入侵防護(IPS)系統則化被動為主動,當發現網路異常封包或行為時,系統除發送警訊通報給網管人員,並立即採取必要的處置措施,例如阻斷來源IP。從保護對象上可將IPS分為三類:
1. 主機的入侵防護(HIPS)
用於保護伺服器和主機系統不受不法分子的攻擊和誤操作的破壞。
2. 網路的入侵防護(NIPS)
檢測網路流量,提供網路系統的安全保護,若有入侵行為,NIPS就阻斷該連線。
3. 應用程式入侵防護(AIPS)
是將基於主機的入侵防護擴展成為位於應用伺服器之前的網路資訊安全設備。
認證機構(CA) / X.509
公開金鑰基礎建設
指發行用於公開金鑰密碼系統之公鑰(public key)及其憑證(certificate)系統稱之,包含確認(certification)與驗證(validation)。
確認是指將一個公鑰值與個體/組織身分(entity/organization identity)或個體相關資訊等繫連一起成為一個憑證,並公開該憑證。
驗證是指驗證一個憑證是否有效,因此,公開金鑰基礎建設是一個發行與提供公鑰憑證之存取的憑證管理基礎建設(certificate management infrastructure)
公開金鑰基礎建設基本參與角色:
1. 註冊機構(RA):執行使用者或CAs註冊程式的機構
2. 憑證機構(CA):PKI架構最底層部分,負責產生發行憑證,並提供憑證驗證
3. 目錄服務(Directory Service, DS):負責維護憑證資料庫
註冊機構之功能職掌
1. 要求CA產生使用者憑證
2. 公鑰是否唯一對應至其所持有的私鑰
3. 維護憑證擁有者的電話號碼、職務及通訊地址
憑證機構之功能職掌
1. 簽署及驗證數位簽章
2. 維護已發行憑證的記錄
註冊管理(Registration Authority, RA)
RA 指前端註冊管理中心(Registration Authority),負責執行憑證申請、廢止及資料審核等作業,透過資料庫比對、臨櫃或書面資料審核等方式進行身分認證,以核發憑證。
RA註冊中心主要任務:其中RA Server主要任務為轉送憑證申請訊息給CA、
轉送憑證註銷訊息給CA、憑證到期通知發送。
認證機構(Certificate Authority, CA)
1. 負責數位憑證(Digital Certificates)的產生、簽發、廢止的過程,它扮演著一個可被信賴的公正第三者。
2. 認證的目的是使某一方能夠確認經認證一方的身分,並獲得經認證一方公鑰。
3. 認證的流程是先由個人或公司自行產生一組具有唯一配對關係的密鑰(公鑰及私鑰)並將公鑰及相關的身分證明文件交由公正的認證機構認證。
4. 認證機構會先核對申請者的身份,及其公鑰是否正確,經驗證無誤後,認證機構將申請者的身份資料、公鑰資訊做成數位憑證,再利用「認證機構私鑰」將其加密 (此舉表示 CA 放上自己的簽章,作為擔保),就是完整的數位憑證。
Smart Card 智慧卡 (自然人憑證卡) 存了什麼?
1. 個人的 private key 私鑰、數位憑證
2. 為了安全起見 private key 會以對稱金鑰(Symmetric key) 加密保護當用戶需要進行簽章作業時,要先把 private key 解出來,再進行簽章。
3. 當接收者收到 簽章、憑證後,可以從憑證中取出 public key ,針對簽章進行解密動作就可以驗證此份文件,是由發件者所簽署。
指發行用於公開金鑰密碼系統之公鑰(public key)及其憑證(certificate)系統稱之,包含確認(certification)與驗證(validation)。
確認是指將一個公鑰值與個體/組織身分(entity/organization identity)或個體相關資訊等繫連一起成為一個憑證,並公開該憑證。
驗證是指驗證一個憑證是否有效,因此,公開金鑰基礎建設是一個發行與提供公鑰憑證之存取的憑證管理基礎建設(certificate management infrastructure)
公開金鑰基礎建設基本參與角色:
1. 註冊機構(RA):執行使用者或CAs註冊程式的機構
2. 憑證機構(CA):PKI架構最底層部分,負責產生發行憑證,並提供憑證驗證
3. 目錄服務(Directory Service, DS):負責維護憑證資料庫
註冊機構之功能職掌
1. 要求CA產生使用者憑證
2. 公鑰是否唯一對應至其所持有的私鑰
3. 維護憑證擁有者的電話號碼、職務及通訊地址
憑證機構之功能職掌
1. 簽署及驗證數位簽章
2. 維護已發行憑證的記錄
註冊管理(Registration Authority, RA)
RA 指前端註冊管理中心(Registration Authority),負責執行憑證申請、廢止及資料審核等作業,透過資料庫比對、臨櫃或書面資料審核等方式進行身分認證,以核發憑證。
RA註冊中心主要任務:其中RA Server主要任務為轉送憑證申請訊息給CA、
轉送憑證註銷訊息給CA、憑證到期通知發送。
認證機構(Certificate Authority, CA)
1. 負責數位憑證(Digital Certificates)的產生、簽發、廢止的過程,它扮演著一個可被信賴的公正第三者。
2. 認證的目的是使某一方能夠確認經認證一方的身分,並獲得經認證一方公鑰。
3. 認證的流程是先由個人或公司自行產生一組具有唯一配對關係的密鑰(公鑰及私鑰)並將公鑰及相關的身分證明文件交由公正的認證機構認證。
4. 認證機構會先核對申請者的身份,及其公鑰是否正確,經驗證無誤後,認證機構將申請者的身份資料、公鑰資訊做成數位憑證,再利用「認證機構私鑰」將其加密 (此舉表示 CA 放上自己的簽章,作為擔保),就是完整的數位憑證。
[申請者 pub key ] +X.509 憑證格式(包含) ... 有包含申請者的 public key
+-> CA 認證 --> CA審可, 拿私key 簽--> 數位憑證
[申請者 身份文件] + (例 VeriSign)
1. 版本 X.509 ver 3
2. 序號 用戶的識別號
3. 演算法 計算此憑證的簽章法
4. 發行者 核發此憑證的單位 (憑證中心)
5. public key 申請人的公鑰
6. 有效期限 憑證的有效期限
7. 數位簽章 由憑證中心簽署,以示認證過了
Smart Card 智慧卡 (自然人憑證卡) 存了什麼?
1. 個人的 private key 私鑰、數位憑證
2. 為了安全起見 private key 會以對稱金鑰(Symmetric key) 加密保護當用戶需要進行簽章作業時,要先把 private key 解出來,再進行簽章。
3. 當接收者收到 簽章、憑證後,可以從憑證中取出 public key ,針對簽章進行解密動作就可以驗證此份文件,是由發件者所簽署。
3月 26, 2011
switch 交換封包的方式
Switch 交換封包的方式分成三種:
Cut through , Store and forward , Fragment free
[ Cut through ]
Cut through 英文意思:抄近路
當 switch 在收到封包時,會去讀取 Destination MAC 位址,並在 MAC table 中找詢相對應的 port 然後把封包遞送出去。這樣的作法的好處,速度快延遲(latency)低;但缺點是,封包在 CRC 檢查前,就會直接送出了,這樣一來即使封包有問題,仍是在網路上傳送。
[ Store and forward ]
封包會整個進入 switch 後,檢查正確性,再行送出
[ Fragment Free ]
Fragment Free 由 Cut through 改良而來,它具有檢查碼框是否碰撞與部份的誤碼偵測能力。延遲時間 比 Cut-through 稍 長 。(Cisco採用的技巧)
Cut through , Store and forward , Fragment free
[ Cut through ]
Cut through 英文意思:抄近路
當 switch 在收到封包時,會去讀取 Destination MAC 位址,並在 MAC table 中找詢相對應的 port 然後把封包遞送出去。這樣的作法的好處,速度快延遲(latency)低;但缺點是,封包在 CRC 檢查前,就會直接送出了,這樣一來即使封包有問題,仍是在網路上傳送。
[ Store and forward ]
封包會整個進入 switch 後,檢查正確性,再行送出
[ Fragment Free ]
Fragment Free 由 Cut through 改良而來,它具有檢查碼框是否碰撞與部份的誤碼偵測能力。延遲時間 比 Cut-through 稍 長 。(Cisco採用的技巧)
訂閱:
意見 (Atom)