Quantcast
Channel: iThome
Viewing all 31750 articles
Browse latest View live

 iPhone 8 今天正式上市銷售

$
0
0

蘋果iPhone 8系列手機在今天(9/22)正式開賣,消費者購買以iPhone 8 Plus為主,iPhone 8也有支持者,但或許是期待11月上市的iPhone X,iPhone 8 現場買氣稍較往年來的冷清。

此次iPhone 8及8 Plus開賣,燦坤、遠傳、台灣大等業者都在今天一早8點提早開店銷售,三大電信業者為炒熱iPhone 8首賣氣氛,在台北市信義華納威秀的電信旗艦店一級戰區祭出優惠吸引消費者,由於三大電信祭出重禮拼首賣,開賣前一天便開始有民眾排隊。

 

中華電信對首位排隊購買手機的民眾直接贈送一支iPhone 8 64GB,申辦用戶還可抽Apple Watch 3,台灣大則是贈送首位購買者價值20000元的myfone購物金,遠傳則是贈送首位購買民眾AirPods無線耳機,其他排隊民眾可抽台北-舊金山來回機票。

遠傳電信表示,今年蘋果同時發表了iPhone 8及iPhone X,是三年來的一大換機潮,遠傳現有130萬蘋果用戶,iPhone 6、6s、7大約各佔1/3,購買iPhone 8的用戶除了忠實的果粉外,還有iPhone 6/6s用戶換機潮。消費者購買手機以大螢幕、大容量為主,除了iPhone 8從今天起開賣外,iPhone X目前開放登記中。

不過,和過去相比,iPhone 8首賣買氣不如往年來的熱絡,業者認為可能與消費者期待功能規格提昇更多的iPhone X有關,可能有一半的消費者等待11月上市的iPhone X,但實際的買氣有多少,要等最後開賣了才能知道。

台灣大哥大則表示,從之前的預約數據來看,金色款較獲得青睞,大螢幕、大容量成為趨勢下,iPhone 8 Plus 256GB的需求最多。

台北信義威秀三大電信在首賣當日祭出好禮拼買氣,現場吸引民眾排隊,要比一般門市熱鬧許多:

為了不落於人後,燦坤、Studio A等蘋果通路也拼首賣,祭出指定銀行信用卡購買手機送提貨券,或是以合作的Line Pay卡購買手機,Line點數、會員點數加碼等等。燦坤表示,早上8點開賣,83家銷售蘋果商品的門市已賣出近千支,民眾偏愛金色,iPhone 8銷售佔約6成,256GB高於64GB。


MongoDB申請IPO

$
0
0

打造開源資料庫的MongoDB Inc.周四(9/21)向美國證券交易委員會(Securities and Exchange Commission,SEC)申請首次公開發行股票(Initial Public Offerings,IPO),計畫登上那斯達克股市(Nasdaq),交易代號為MDB。

該公司在2009年發表的同名資料庫為一文件導向資料庫,被歸類為NoSQL資料庫,迄今下載次數超過3000萬,擁有超過4300家的大型客戶,有一半以上的Fortune 100企業採用MongoDB。

MongoDB為全球最受歡迎的NoSQL資料庫,在供應開源碼產品的同時也推出訂閱服務,提供MongoDB的技術支援,以及各種可搭配MongoDB的私有產品,目前訂閱服務約佔MongoDB總營收的9成。

迄今MongoDB仍是虧損的,今年上半年該公司創下6790萬美元的營收,但虧損了4576萬美元。

儘管處於虧損狀態,但MongoDB的各方面都在成長中,例如大型客戶數量從去年1月的1700家成長到今年1月的3200家,截至今年7月底則有4300家。此外,該公司營收也從2014年的4080萬美元、2015年的6530萬美元,一直成長到去年的1億美元,同時虧損金額也逐步減少中。

MongoDB指出,資料庫為軟體產業最大的市場之一,IDC預測此一市場規模會從2016年的4460億美元成長到2020年的6130億美元,該公司有獨特的平台架構與商業模式,具備龐大的發展潛力,其主要競爭對手包括IBM、微軟、甲骨文、AWS及Google Cloud Platform等。

不想當礦工!? Adblock Plus教你過濾採礦程式

$
0
0

在全球最大BT網站海盜灣被爆暗藏加密貨幣Monero採礦程式之後,內容過濾暨廣告封鎖擴充程式Adblock Plus在本周二(9/21)公布了解決方案,協助使用者過濾特定採礦程式。

由於Adblock Plus除了有預設的封鎖設定之外,也允許使用者自行設定過濾機制,因此,使用者只要在客製化的過濾機制欄位輸入||coin-hive.com/lib/coinhive.min.js,就能攔截該採礦程式。該設定適用於Chrome、Safri、Firefox與Android上的Adblock Plus擴充程式。

此一設定只能用來封鎖Coinhive所打造的JavaScript Miner,不過目前看起來這也是市場上最受歡迎的嵌入式採礦程式,可挖掘Monero加密貨幣。包括海盜灣及疑似被植入挖礦程式的Chrome擴充程式SafeBrowse都是使用Coinhive的採礦程式。

當使用者察覺電腦突然變慢了、CPU資源被大量使用或是在工作管理員上看見不明程序,都有可能是因為電腦上被植入了採礦程式,雖然曾有人建議防毒軟體應該要攔截採礦程式,但有鑑於這些程式可能是使用者特意安裝,因此只會被列管而不會直接被封鎖。

植入CCleaner的後門程式已感染逾200萬台電腦,微軟、HTC、友訊、微星疑遭鎖定

$
0
0

本周Avast旗下知名系統清理軟體CCleaner被發現遭植入後門程式,致上億用戶有電腦機密資料外洩之虞。不過實際情況可能比這更嚴重;研究人員發現,其中潛藏的惡意程式已感染200多萬台電腦,受害者甚至包括微軟、思科、三星,以及微星、友訊、HTC等20家知名公司。
 
透過廣受歡迎的CCleaner 5.33.6162版散佈的攻擊程式,是一個2階段下載的APT(Advanced Persistent Threat)攻擊手法,並與外部C&C伺服器建立連結。Avast Security及Cisco Talos研究人員原本以為還未發生,但在拿下C&C伺服器取得其資料後分析發現,它已經開始向外擴散。
 
Avast指出,在8月15日到9月15日之間全球共227萬台電腦受到影響。從三天的C&C伺服器紀錄來看,來自8個組織的20台電腦收到第2階段的指令,實際收到第2階段命令的電腦數量可能有數百台。

Avast研究人員認為這波攻擊鎖定台灣、日本、英國、德國及美國的大型科技業、電信公司,但不願意公開揭露名單,僅個別私下通知這些公司。

Cisco Talos的研究人員僅採樣9月的4天C&C伺服器連線紀錄,根據研究人員貼出的螢幕截圖(下圖,來源:Talos),包括微軟、思科、HTC、微星、友訊、英特爾、VMware、三星、Sony、Google/Gmail等在清單上。

從9月12日到15日的4天,C&C伺服器的資料即顯示有超過70萬台電腦和其連線。電腦中的重要資訊,包括IP位址、上線時間、主機及網域名稱等都已悄悄傳回外部伺服器,而讓攻擊者決定下一階段準備攻擊哪些機器。而這段採樣的時間,至少20台電腦收到第二階段的指令,顯示是有目標性的攻擊行動。  

研究人員發現,第2階段攻擊程式相當複雜,目前只知它使用的是另一個C&C控制網路,而且包含第3階段的無檔案(fileless)攻擊,會在受害電腦記憶體中注入惡意程式。但因為大量運用反偵錯(anti-debugging)及防模擬的手法隱藏其內部架構,研究人員正在和執法單位還在努力解析中。
 
至於背後攻擊者也還不得而知。但Talos發現該後門程式部門程式碼和一個與中國有關的駭客活動有重疊之處,而且從該C&C伺服器使用的時區研判,可能和中國有關。

 

美國證券交易委員會資料庫EDGAR遭駭,疑被利用來內線交易

$
0
0

美國證券交易委員會(Securities and Exchange Commission,SEC)周三(9/20)指出,該站的電子數據收集、分析及檢索系統(Electronic Data Gathering, Analysis, and Retrieval,EDGAR)遭到駭客入侵,駭客存取了非公開資訊,可能已被用來進行內線交易。

EDGAR為一接收、儲存與傳遞上市公司資訊的資料庫,它每年可收到逾170萬份的電子文件,外界每日存取的頁面數量超過5000萬。

除了可公開存取的企業申報資訊之外,EDGAR也接收及儲存了許多非公開資訊,例如涉及監管的個人資料、自律組織所提交的規則草案、豁免救濟申請書,或是可協助追蹤美國的股票與期權交易市場的綜合審計追蹤(Consolidated Audit Trail,CAT)資料,以及SEC的內部營運資料等。

SEC表示,EDGAR上的申報測試元件中含有一軟體漏洞,駭客藉由該漏洞存取了非公開的資訊。調查顯示駭客並未存取個人資訊,也未能危害SEC的運作或帶來系統風險。

其實SEC在去年就發現EDGAR遭到駭客入侵,並修補了漏洞,但一直到今年8月才察覺駭客可能已經利用EDGAR上的資訊進行交易以牟利。

不過,SEC並未說明駭客是利用哪些未公開資訊獲取不當利益,亦未揭露或無從計算駭客的獲利規模。

傳特斯拉也將和AMD合作開發自駕車晶片,Nvidia股價重挫

$
0
0

CNBC引述消息人士報導,原本正和Nvidia合作的特斯拉(Tesla)又同時找上AMD合作開發自有自駕車晶片。
 
特斯拉的輔助駕駛系統Autopilot過去是採用MobileEye的自駕車軟、硬解決方案。然而2016年美國一名特斯拉車主在啟動Autopilot期間發生死亡車禍,雖然調查結果顯示特斯拉並沒有安全上的問題,然而卻導致特斯拉在同年底終止和MobileEye的合作關係。之後特斯拉就積極尋找非MobileEye的解決方案,包括Nvidia的晶片。
 
對特斯拉來說,開發自有晶片一來可強化生產的垂直整合,另一方面可降低對單一廠商的依賴。
 
報導引述消息來源指出,目前特斯拉自有晶片專案是放在晶片架構長Jim Keller率領的Autopilot系統部門下進行。2016年初加入特斯拉的Keller曾在2008年隨著Palo Alto半導體加入蘋果,同時設計過蘋果A4及A5 晶片。目前該部門大約有50人,包含來自AMD的員工。
 
AMD及特斯拉都拒絕對本消息做出評論。但消息一出AMD股價上漲近5%,而Nvidia則重挫4%。
 
而MobileEye的新東家英特爾本周則和Waymo聯合宣佈,後者將使用英特爾的晶片、連網及感測資料處理技術,開發完全不需人為介入的Level 4/5等級自駕車。
 
相當積極切入自駕車市場的Nvidia,旗下的人工智慧(AI)晶片是許多大廠開發自駕車的選擇,客戶包括豐田、奧迪、賓士、BMW及德國機電大廠Bosch。

 

下載WhatsApp卻被植入間諜程式FinSpy,ESET:疑ISP從中搞鬼!

$
0
0

位於斯洛伐克的資安業者ESET本周警告,間諜程式FinSpy近來透過中間人(Man-in-the-Middle,MitM)攻擊手法散佈,用戶下載WhatsApp、Skype等程式卻被導引下載間諜程式,懷疑ISP業者可能涉嫌協助散布。

又名FinFisher的FinSpy是由專門開發監控器材、軟體並提供監控訓練服務的英國業者Gamma所打造,且專門出售給全球的政府機關,自2013年就可見到它的蹤跡,它能透過視訊攝影機、麥克風或側錄鍵盤來監控目標對象,也能竊取目標對象的檔案。

ESET指出,最近該公司在7個國家發現許多FinSpy變種程式,在其中的兩個國家是透過中間人攻擊散布,且強烈懷疑ISP業者涉入其中。

堪稱是專業級間諜程式的FinSpy有許多散布管道,包括魚叉式網路釣魚(Spear Phishing)、實際存取裝置並手動安裝、零時差攻擊程式或是水坑式攻擊(Watering Hole)等,然而,ESET近來發現開始有駭客利用MitM來散布最新的FinSpy。

在採用MitM的攻擊場景中,當使用者在合法網站或官網上搜尋所要下載的程式時,在點擊下載鍵之後,瀏覽器卻會將使用者導向由攻擊者建立的伺服器,並下載嵌有FinSpy的程式。(來源:ESET)

 

被FinSpy作為散布媒介的程式涵蓋了WhatsApp、Skype、Avast、WinRAR及VLC Player等,這些都是非常知名的程式,很容易找到官方網站。

然而,如下圖所示,當使用者點選合法的下載連結時,卻會被連到惡意的伺服器及檔案,讓安全研究人員不得不懷疑是ISP業者從中作梗。(來源:ESET)

ESET病毒分析師Filip Kafka表示,從技術上來說,中間人攻擊可能發生在瀏覽程序中的任何一點,但觀察FinSpy這陣子的地理分布,此一中間人攻擊應該發生在更高的級別,而ISP即是最有可能的選擇。

ESET的猜測有跡可循,主要是因為FinSpy的製造商也開發一個可將它部署於ISP網路的解決方案FinFly ISP,ESET相信這兩個國家都採用了FinFly ISP,才使得它們使用一致的感染技術,受害者的ISP服務供應商也是一樣的,且其中一個國家的ISP業者曾經利用同樣的方法來過濾內容。

Kafka說,因不想讓任何人陷入險境,所以並不打算公布這些國家的名稱。

沙烏地阿拉伯解禁VoIP,可以用FaceTime、Skype及Line了!

$
0
0

沙烏地阿拉伯通訊暨資訊技術委員會(CITC)本周三(9/20)宣布解除解除對VoIP程式的禁令,周四起境內所有民眾都可使用符合規定的通訊服務,包括FaceTime、Snapchat、Skype、Line、Telegram及Tango等。

CITC發言人表示,此一決定符合資訊暨通訊技術(ICT)領域最近的趨勢,例如仰賴數據營收及加值服務,也是該國電信業者應該追隨的趨勢。

沙烏地阿拉伯是在「阿拉伯之春」革命浪潮啟動的兩年後,於2013年以確保公共利益為由禁用各種語音及視訊通訊程式,以避免活動份子透過這類難以監控的通訊工具集結勢力。

儘管解禁將對當地三大電信業者的國際電話業務造成衝擊,但該國政府認為VoIP將能降低企業的營運成本,亦能鼓勵新創的數位企業。

其實沙烏地阿拉伯還封鎖了色情網站及賭博網站,部份當地人亦利用VPN造訪被封鎖的網站及服務。


又一家證券業搶進Chatbot理財,兆豐證推出一站式理財諮詢Line機器人

$
0
0

兆豐證券今日(9月22日)宣布,與精誠資訊合作,在Line平臺上推出Mega理財小秘書,投資人可以透過語音或是文字的方式,訂閱自選股股價和相關新聞、查詢理財資訊,以及線上開戶等功能。

兆豐證券董事長簡鴻文表示,近來金融科技快速發展,保險業和銀行業,有許多創新的金融服務與商品不斷推出,這波潮流對證券業是挑戰也是轉機,證券公會早在2015年就成立Fintech專案小組,來推動創證券業創新。兆豐也從2年前,開始與精誠資訊開發新的數位行銷方式,近來趁法規鬆綁,兆豐證券也順勢搶進財富管理機器人競爭,推出Mega理財小秘書。

證券業也紛紛搶進理財Chatbot,想保住舊客戶又要開拓新族群

兆豐證券電子商務部資深協理金元宇表示,每家證券都會推出自己不同的App,投資人不但要下載一堆App,還得熟悉每個App的操作模式。因此,兆豐證券在臺灣最常用的通訊平臺Line,建置Mega理財小秘書,提供投資資訊服務。金元宇也表示,使用Line的族群多半為年輕人,這個管道可以讓兆豐證券接觸到新的族群。

以查詢股票價格來看,投資人必須記下股票的完整名稱或是股票代碼,才能正確查詢,不過,投資人不需要講全名,就算是較簡潔的說法,這款理財Chatbot利用自然語言理解的技術,都能了解。

再者,金元宇表示,因為也用理財營業員的考試用書內容來訓練理財Chatbot的模型,可以提供基本金融知識的介紹,就像是一個金融小百科,例如,可以問Chatbot期貨是什麼。另外,投資人投資理財時,不外乎需要選股和投資分析的服務,這款Chatbot還可以提供投資分析策略,包含5個策略大師的投資分析,像是巴菲特,和16個技術型態的評估。不過,Mega理財小秘書目前還無法接受委託下單,只能提供資訊或諮詢。

值得注意的是,Mega理財小秘書還有一項功能e雷達,讓投資人不用再像以往需要盯盤,或是請投資專員幫忙盯盤,可以自行設定的條件,當自選股價變化達到投資人設定的條件,Chatbot就會自動通知投資人,讓投資人掌握最新的即時狀況,又不需要花時間自己觀盤。

精誠資訊在2年前建立了自我學習證券知識的機器人模型,將過去10年,40位客服人員與客戶互動,所累積的客服系統資料,包含語音和文字的數據等非結構化的資訊,經過篩選後,當成訓練模型的資料來源,還加入理財營業員的考試用書內容,經過將近兩年的訓練,終於在近日釋出。

「連臺灣國語都會通!」精誠資訊總經理林隆奮表示,這套自行研發的自然語言辨識不但用不同表達方式,系統都能理解,甚至還有容錯能力,有時候使用者表達的字有些微錯誤,Chatbot也能辨識出使用者的意圖,並給予適當的回應。

具備對話管理能力,能理解上下文來提供諮詢

這款Chatbot的核心技術是由精誠子公司內秋應智能科技自行開發,以Python語言自行撰寫自然語言理解技術,以及機器學習的語意模型,甚至還能做到管理上下文的對話機制。

對話管理機制採用類似Session的方式,在一段對話的區間,記錄使用者回覆的內容,當使用者回覆時,若系統判斷該句與前面的句子有相同的意圖,則會觸發程式,做出相對應的應變。

舉例來說,投資人若先表達兆豐金股票,兆豐理財Chatbot會先回應兆豐金的股市,下一句投資人如果說:「把它加入自選股」,Chatbot就能夠理解「它」是表示兆豐金股票的意思,將兆豐金加入自選股。

比較特別的是,在語意判斷上,內秋應智能科技採取的作法,並非將直接拆解成意圖(Intent)和實體概念(Entity),而是以一個句子為單位,綜合判斷該句的意圖,並比對該句子較可能的對應句子,計算信心度,再選擇前幾個信心度較高的回覆,回傳給使用者。

負責開發自然語言處理技術的內秋應智能科技NLP研發總監林淦偉表示,由於將句子拆解需要細分許多不同的意圖,且常常句子前後的詞句會影響意圖的判斷,因此,採去以句子為單位,來分析意圖會較為準確。

林淦偉也表示,由於精誠過去在證券領域,累積長達10多年的經驗,在開發該專業領域的Chatbot,有足夠的資料來訓練自然語言處理模型,也較能夠掌握要設計什麼樣的流程,給予客戶最佳的體驗,也能了解開發的竅門,這是一般國際大廠比較缺乏的。

由於國際大廠的語意模型,多半偏向一般大眾領域,缺少專業領域的知識,造就競爭的差異性,林淦偉也坦言,對精誠資訊而言,若是要跨足到別的專業領域,也相對困難許多。

林隆奮認為,虛擬個人助理、Chatbot等服務因為數位行動時代的開啟,會變得越來越重要,金融產業並需要力求創新,提供客戶新的使用場景與感受,他甚至表示,將來會走向Fintech AI化的趨勢,金融的創新需要AI技術來輔助。

【儲存陣列:普安EonStor GS系列】國產儲存陣列新經典,SAN+NAS融合式軟體平臺,14款I/O模組全面揭露

$
0
0

長久以來,普安便一直是國產儲存陣列廠商的龍頭,旗下的EonStor與EonStor DS系列儲存陣列,也是國產儲存陣列的標竿性產品,是擁有國際競爭力的入門級儲存陣列,EonStor GS則是這個歷史悠久家族的全新世代,延續了EonStor與EonStor DS功能穩定、實惠的特色,還藉由改用全新軟體平臺,大幅擴展了應用範圍。

EonStor GS除了源自EonStor/EonStor DS系列的SAN區塊儲存服務功能外,又結合以XFS檔案系統為基礎的NAS檔案服務功能,以及雲端儲存服務功能,成為能同時支援SAN、NAS與雲端儲存服務的多功能儲存平臺,搭配全新開發、更易於使用的EonOne管理介面,可提供更完整的企業儲存服務。

國產龍頭的新標竿產品

除了針對入門級SAN應用的EonStor與EonStor DS系列儲存陣列外,普安前幾年還嘗試過幾種不同面向的產品,包括針對中階SAN儲存應用,擁有Scale-Out特性的ESVA儲存陣列,以及涵蓋了從消費端桌上型到企業端機架式款式,針對NAS應用的EonNAS系列產品。

雖然ESVA與EonNAS系列的發展都不甚順利,兩條產品線沒有延續到今日,但普安仍持續嘗試推動產品線的變革,EonStor GS便是最新的成果。

比起先前藉由Scale-Out架構的ESVA系列來提供更高的擴展能力,並透過獨立EonNAS產品線來涵蓋NAS領域應用的做法,EonStor GS系列仍採用傳統的雙控制器Scale-Up架構,但利用新一代硬體核心大幅提高了效能與擴充能力。另外,普安現在也不再維持一個獨立的NAS產品線,而是透過新的EonOne軟體平臺,讓EonStor GS兼顧SAN與NAS兩種應用。

透過SSD的應用,EonStor GS的一般機型可提供11萬到45萬IOPS的效能表現,全快閃版本還能達到70萬IOPS,已經超越以前的ESVA。同時,藉由近期升級的SAS後端擴展連接能力,EonStor GS的最大擴充能力已達到864~900臺磁碟,已經接近ESVA的等級(ESVA最高階的F70與F75分別提供1,344臺與2,880臺磁碟容量)

而藉由EonOne軟體平臺,EonStor GS能同時用於SAN與NAS兩種環境,等於涵蓋了過去EonNAS的應用領域。

結合SAN與NAS的軟體平臺

先前普安是以EonStor/EonStor DS來提供SAN服務,另以EonNAS產品線來提供NAS服務,而當EonNAS退出市場後,在NAS領域便留下空缺。不過,運用兼具SAN與NAS功能的全新EonOne軟體平臺,現在普安以EonStor GS一個產品家族,就能涵蓋先前兩個產品家族的功能。

EonOne可以在同一個底層儲存池空間上,分別提供SAN使用的區塊層級磁碟區,或是供NAS使用的共享儲存空間,形同以一個虛擬的SAN控制器抓取底層儲存池空間,建構為區塊磁碟區來提供SAN服務;同時,另以一個虛擬的NAS閘道器抓取底層儲存池空間,建構出檔案服務用的共享資料夾,SAN服務與NAS服務彼此平行,在當前的儲存陣列產品中,可算是相當新穎的軟體架構。

提供4個產品系列款式

EonStor GS目前分為GS 1000、GS 2000、GS 3000與GS 4000等4個層級的產品系列,隨著產品定位的不同,各系列的處理器與I/O介面規格也有異。

入門級的GS 1000是Atom-C處理器,中階的GS 2000則採用Pentium-D處理器,最高階的GS 3000與GS 4000處理器為Xeon-D。在I/O介面方面,入門級GS 1000只支援8/16Gb FC、1/10 GbE等常見介面,而中、高階的GS 2000、GS 3000與GS 4000系列,還能額外支援56Gb InfiniBand與40GbE等新式高效能傳輸介面。

另外,EonStor GS的每個產品系列,都含有型號後加綴T字樣的高效能款式,基本規格相同,但改用核心數更高的處理器,以提供更高的I/O效能。

除了前述4個基本系列外,普安還提供一個由GS 3000系列中GS 3025機型衍生的GS 3025A全快閃儲存陣列。基本規格與混合陣列版的GS 3025B一樣,都採用普安新推出的3U/25Bay高密度機箱,與相同的硬體核心,但韌體特別針對區塊層級存取作了調校,可提供比混合陣列版本高出許多的I/O效能(但須搭配普安提供的SSD使用)。

擁有類型豐富的I/O模組選擇

GS系列也延續了先前DS系列的主機端介面卡(Host Board)插槽設計,可於控制器中安裝1或2張主機端介面卡,用於擴展前端I/O埠的類型與數量,等同於其他廠商的I/O模組設計。

這次普安特別為我們提供了14種主機端介面卡,其中包括56Gb InfiniBand與40GbE等新規格介面。

EonStor GS系列的儲存組態

延續普安EonStor系列以來的傳統,EonStor GS系列也採用內含磁碟槽的控制器機箱型式,再搭配JBOD磁碟櫃來擴充容量。在機箱型式方面,GS系列提供了2U/12Bay、2U/24Bay、3U/16Bay、4U/24Bay與4U/60Bay等5種較常見的款式,以及新推出的2U/25Bay高密度款式。GS系列中各家族能支援的機箱型式各有不同,GS 3000系列能支援全部6種機箱,GS 4000系列則只提供2U/24Bay與3U/16Bay兩種,最新的2U/25Bay則只有GS 3000系列(含全快閃的GS 3025A)支援,詳見附表。

在GS系列可用的JBOD磁碟櫃方面,也有2U/12Bay、2U/24Bay、2U/25Bay、3U/16Bay與4U/60Bay等5種型式可選,可配合用戶不同的磁碟容量與儲存密度搭配需求。

值得一提的是,普安在上個月發布的升級中,大幅擴展了GS系列的擴充容量。GS系列過去是透過控制器主機板內含的2組SAS埠,來串接JBOD磁碟櫃,最多能串接7組磁碟櫃,若採用4U/60Bay的JBOD磁碟櫃,加上控制器機箱的內含磁碟,最大擴充容量是444臺磁碟。

而在升級後,GS系列中的2000、3000與4000等3個家族,都能在控制器的主機端介面卡(Host Board)擴充槽中,安裝1張SAS擴充卡,藉此提供額外一條SAS連接通道與2組SAS埠,從而加倍了外接的JBOD磁碟櫃數量,也讓GS 3000系列的最大擴充容量一舉提高到900臺,2000與4000系列也提高到864臺,已經達到中階儲存陣列的層次(3000系列的控制器機箱有4U/60Bay款式的控制器機箱,而2000與4000系列則只有2U/24Bay,所以3000系列加上JBOD的總容量,高於其他機型)。

JBOD擴充磁碟櫃

GS系列可搭配5種JBOD擴充磁碟櫃,包含2U/12Bay 的JB 3012A、2U/24Bay的JB 3024BA與2U/25Bay 的JB 3025B、3U/16Bay的JB 3016A,以及4U/60Bay的JB 3060與JB 3060L。

目前GS 2000、3000與4000系列都新增了安裝後端SAS擴充模組功能,可提供額外2組SAS擴充埠,從而把可串接的JBOD擴充磁碟櫃增加一倍。

混搭硬碟、SSD或全快閃組態

EonStor GS系列可以支援當前主流型式的硬碟與SSD,包括3.5吋/7200轉的NL-SAS與SAS硬碟、2.5吋1萬轉與1.5萬轉的SAS硬碟,以及2.5吋SAS或SATA SSD等,不過若選用全快閃機型時(GS 3025A),必須使用普安提供的SSD,以搭配全快閃機型調校過的韌體,發揮最大效能。

 

EonStor GS系列硬體徹底解剖

GS系列的硬體核心分為三個位階,入門級的GS 1000搭載了原稱為Avoton的Atom-C處理器,中階的GS 2000則採用Broadwell-DE平臺的Pentium-D處理器,最高階的GS 3000與GS 4000處理器均為Xeon-D,同樣也是Broadwell-DE平臺。

另外,EonStor GS的每個產品系列,都含有型號後加綴T字樣的高效能款式,基本規格相同,但改用核心數更高的處理器,以提供更高的I/O效能,例如GS 1000T與GS 1000同樣採用2.4GHz Atom-C處理器,但核心數從4核提升為8核;GS 2000原本的處理器是2核心的2.2GHz Pentium-D,GS 2000T則改為4核心的1.6GHz Pentium-D;至於GS 3000T與GS 4000T的處理器,也從GS 3000與GS 4000的4核心2.2GHz Xeon-D,改為6核心2.2GHz Xeon-D。

電源供應器
GS系列均採用具備熱備援與熱抽換能力的雙電源供應器,以我們這裡的GS 3025來說,採用的是2組530W規格電源供應器。

連接埠配置

延續先前EonStor DS系列的做法,GS系列的連接埠也分為2種,一為主機板內建的連接埠,另一為透過選購主機端介面卡提供的額外連接埠。以這裡的GS 3025B來說,每組控制器本身的主機板,都內含了2組用於外接JBOD磁碟櫃的12Gb SAS埠(圖示1)、2組連接前端主機的10Gb iSCSI埠(圖示2)、1組GbE管理埠(圖示3),以及用於連接前端主機的1Gb iSCSI埠(圖示4)。另外還有2個空的主機端介面卡擴充槽(圖示5),可安裝額外的主機端介面卡,提供不同型式的主機端埠。

支援雙控制器組態
GS系列各機型均有單、雙控制器兩種款式可選,單控制器版本均可升級為雙控制器。

 

主機端介面卡
GS系列的控制器均內含了1或2組主機端介面卡擴充槽,可安裝選購的主機端介面卡,提供額外的主機端連接埠。照片中左為兼用於8/16Gb FC、10Gb FCoE與10Gb iSCSI的4埠多功能介面卡,右為雙埠10Gb iSCSI介面卡。

控制器解剖
以我們這臺GS 3025B為例,搭載的是1顆4核心、2.2GHz的Xeon-D處理器(屬於Broadwell-DE架構) ,搭配預設的2條4GB DDR4記憶體。用戶可將記憶體擴充到256GB規格。控制器中還含有斷電備援用的超級電容與Flash模組,發生斷電時,由超級電容提供緊急供電,將記憶體中資料寫入Flash模組。

EonStor GS的軟體架構與管理介面

比起硬體規格的更新,EonStor GS儲存陣列家族最大特色,其實是採用全新的EonOne軟體平臺。

與普安上一代的SANWatch軟體平臺相比較,SANWatch是一個專門針對SAN應用的平臺。而EonOne則是同時結合SAN與NAS兩大儲存服務的軟體平臺。

過去結合SAN與NAS兩種服務的儲存陣列產品,大多不出這兩條路線:

(1)在SAN的底層上搭配NAS控制器頭。也就是先由SAN構成底層儲存區,另外再搭配NAS控制器頭來提供NAS服務,同時存在SAN與NAS兩種控制器,且NAS是建構在SAN的上層。

(2)在NAS的底層上透過軟體模擬來提供SAN服務,在NAS的檔案系統空間上,利用FC或iSCSI Target軟體建構SAN儲存區,並提供SAN存取連接,系統只有NAS控制器,而SAN服務則是以軟體方式建構在NAS的上層。

而EonOne軟體平臺則採用了更新穎的SAN與NAS平行架構,在共享的底層儲存區之上,以類似VM的型式,平行地提供SAN與NAS兩種服務。

在EonOne平臺底層結合邏輯磁碟區而成的儲存池上,用戶可以像標準的SAN儲存設備一樣,建立供SAN環境使用的區塊層級磁碟區,然後以LUN的型式透過FC、iSCSI介面掛載給前端主機使用;也能像標準的NAS設備一樣,建立基於XFS檔案系統的檔案系統磁碟區,然後再於其上建立共享資料夾,讓前端使用者可透過NFS、CIFS、AFP等標準檔案傳輸協定,來存取共享資料夾。

EonOne也提供了新的管理介面,網頁控制臺介面是全新設計,比起先前SANWatch必須安裝獨立管理軟體的麻煩,EonOne只需使用瀏覽器登入系統,便能提供完整管理功能,還可透過內含的Service Manager功能,自動將系統狀況回報原廠。

EonOne軟體平臺架構

在共同的儲存池上,分別透過執行SAN Fireware的軟體模組,與執行CentOS的軟體模組,來提供SAN與NAS的存取管理與服務,SAN與NAS兩種功能彼此平行。圖片來源/普安

儀表板式控制臺

EonOne平臺完全透過瀏覽器操作的網頁控制臺來管理,免除了先前SANWatch須另外安裝管理軟體的麻煩,同時EonOne的控制臺介面外觀也全面翻新,以儀表板為核心,型式更新穎、操作也更親和。

兼具SAN與NAS服務

先將磁碟機建立為邏輯磁碟區(LD),再結合成為儲存池(Pool),就能在儲存池建立提供SAN服務的區塊磁碟區(Volume)與LUN,或提供NAS服務的檔案磁碟區與共享資料夾。

 

EonStor GS系列的主機端介面卡

透過與儲存陣列控制器搭配、可按需選購與彈性搭配的主機端介面卡模組,可以讓儲存陣列擺脫特定I/O介面規格的束縛,依用戶需要來調整主機端介面的型式與數量。

直到幾年以前,只有外商儲存陣列產品才提供這種選購I/O模組的彈性,而普安從4年前發表的EonStor DS 3000系列起,便為儲存控制器引進了主機端介面卡(Host Board)擴充槽設計,並提供了配套的多樣化主機端介面卡,是我們所知最早提供這種設計的國產儲存廠商。

最新的EonStor GS系列,也繼承了這種安裝與選購主機端模組的能力,GS 1000的控制器含有1個主機端介面卡插槽,GS 2000、3000、4000系列的控制器則含有2個主機端介面卡插槽,藉由為控制器選購與安裝主機端介面卡,從而擴充不同形式與數量的主機端介面。我們這裡列出14種主要的主機端介面卡模組,其中又可分為Type 1與Type 2兩種,彼此寬度不同,不能混用,前者是供只有1個主機端介面卡插槽的機型使用(如GS 1000與DS 1000),後者供含有2個主機端介面卡插槽機型使用。。

顧名思義,主機端介面卡是提供連接前端主機的I/O埠。不過普安最近又新增了利用主機端介面卡擴充槽,安裝SAS後端擴充卡(Expansion Board)的功能,可安裝1張內含雙12Gb SAS埠的模組,提供另一條SAS擴充通道,從而增加後端可連接的JBOD擴充儲存櫃數量。

GS系列的控制器均含有1或2組主機端介面卡擴充槽,用於安裝選購的主機端介面卡,藉此提供額外的主機端連接埠。

4 埠1GbE iSCSI模組
提供4 組1GbE的RJ45 iSCSI埠。

4 埠16/8Gb FC+10GbE 模組
提供4 組兼用於8/16Gb FC、10GbFCoE與10Gb iSCSI的SFP+埠。

雙埠40GbE 模組
提供2 組40GbE的QSFP埠。

雙埠10GbE iSCSI 模組(SFP+)
提供2 組SFP+型式的10GbE iSCSI埠。

雙埠10GbE iSCSI模組(RJ-45)
提供2組RJ-45型式的10GbE iSCSI埠。

雙埠12Gb SAS 模組
提供2組連接主機端的12Gb SAS埠。

4 埠16Gb FC 模組
提供4組16Gb FC埠。

4 埠16/8Gb FC+10GbE 模組
另一種FC、FCoE與iSCSI模組,含4組兼用 FC、10Gb FCoE與iSCSI的SFP+埠。

雙埠56Gb Infi niBand模組
提供2組56Gb InfiniBand主機端埠。

雙埠40GbE 模組
另一版本的4 0 GbE QSFP埠模組。

雙埠12Gb SAS 模組
另一版本的12Gb SAS主機模組。

雙埠10GbE iSCSI 模組(RJ-45)
另一版本的RJ-45型式10GbE iSCSI模組。

雙埠10GbE iSCSI 模組(SFP+)
另一版本的SFP+型式10GbE iSCSI模組。

4 埠1GbE iSCSI模組
另一款4埠GbE iSCSI模組。

EonStor GS的資料服務軟體功能

EonOne軟體平臺不僅能兼顧SAN與NAS兩大基本儲存應用,也相對應提供了更多面向的資料保護機制與資料服務功能,來因應不同層級的資料保護與應用需求。

EonOne最基本的保護機制,是底層邏輯磁碟區組成儲存池(Pool)時提供的傳統RAID保護,一共有RAID 0、1、0+1、3、5、6、10、30、50、60等10種可選。

在儲存池之上,EonOne提供了建立磁碟區(Volume)的快照與鏡像(Mirror)功能,其中快照屬於傳統的Copy-on-Write型式,鏡像功能則又分為2大類:一次性的Volume Copy,與連續性的鏡像,均可用於本地端或跨異地端建立鏡像複本,其中鏡像又分為連續執行的同步模式,或按設定排程執行的非同步模式。

磁碟區快照、鏡像或遠端複製都屬於區塊層級的保護,EonOne另外還針對NAS磁碟區的共享資料夾,提供了檔案層級的Rsync遠端複製功能,可將指定NAS共享資料夾的資料,定期複製到指定的遠端資料夾。

除了快照、鏡像與Rsync這幾種資料保護類型的功能外,EonOne還提供了一系列用於支援與強化EonStor GS儲存效率的進階軟體功能,包括提高擴展彈性的雲端整合功能、提高儲存空間使用效率的Thin Provisioning與自動分層儲存,以及提高I/O效能的SSD快取等。

其中最引人注目的是雲端整合功能,可以讓GS系列儲存陣列扮演雲端閘道器角色,只要用戶擁有Amazon S3、微軟Azure或阿里雲等雲端儲存空間帳戶,便可在EonStor GS上建立與雲端連結的Volume,從而可利用Cloud Tiering雲端儲存層、Cloud Cache雲端快取與Cloud Backup雲端備份等3項功能。

Cloud Tiering可視資料存取頻繁程度,將資料在EonStor GS的本地端或雲端儲存空間之間遷移;Cloud Cache則會將寫入EonStor GS的資料一律搬移到雲端儲存空間,只在本地端保留經常存取資料的複本。當用戶啟用Cloud Tiering與Cloud Cache後,則可利用Cloud Backup將快照複本轉到雲端上儲存,節省本地端空間。

至於SSD快取則是利用內含SSD作為讀取快取,強化讀取效能;自動分層儲存則能視GS系列機型,與內含儲存裝置類型,混合SSD與硬碟建立2或4個儲存層,並視存取頻繁程度,在不同儲存層間搬移資料,以便將資料置於合適儲存層上。

區塊層級的快照與鏡像

針對SAN區塊層級的資料保護,EonOne提供了用於儲存池與所含磁碟區(Volume)的快照,可在本地端建立多時間點快照複本;還有 2種磁碟區鏡像功能,包括跨遠端的同步模式與非同步模式鏡像,以及在本地端製作鏡像的Volume Copy功能。

檔案層級遠端複製

EonOne平臺完全透過瀏覽器操作的網頁控制臺來管理,免除了先前SANWatch須另外安裝管理軟體的麻煩,同時控制臺介面外觀也全面翻新,以儀表板為核心,更新穎、也更親和。

獨特的雲端整合應用

EonOne提供了3種雲端儲存整合功能,雲端備份可將雲端儲存空間作為快照備份目標;雲端儲存層則可將雲端作為儲存冷資料的儲存空間;雲端快取則能讓GS儲存陣列作為雲端儲存的快取,本地端只保存經常存取資料。

彈性的自動分層儲存管理

視EonStor GS儲存陣列機型不同,EonOne平臺的自動分層儲存功能可提供2個或4個儲存分層,系統會優先寫入SSD儲存層,用戶能自行設定重新遷移資料分層的時間間隔。

 

 產品資訊 

普安EonStor GS系列

●原廠:普安(02)2226-0126

●建議售價:廠商未提供

●機箱型式2U/12Bay,2U/24Bay,2U/25Bay,3U/16Bay,3U/24Bay,4U/60Bay

●儲存容量:360~900臺磁碟

●主機端介面:8/16Gb FC, 1/10/40GbE iSCSI, 56Gb InfiniBand, 6/12Gb SAS

●資料服務功能:快照,鏡像,遠端複製, Thin Provisioning,自動分層儲存,SSD快取,雲端整合

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

GDPR

$
0
0

號稱是有史以來,管最廣,罰最嚴,外洩罰金7億臺幣的歐盟GDPR通用資料保護規則,明年5月25日就要正式上路了,只要持有歐盟民眾個資,全球企業、網站不論大小,通通得遵守,臺灣也不例外

易寶支付靠容器技術自建私雲,撐起每年2兆筆支付交易

$
0
0

你的智慧型手機裡,現在有幾個支付工具呢?或者,有幾個電子錢包?隨著行動支付逐漸影響人們的日常生活,現在臺灣開始有人試著不帶錢包出門,光靠智慧型手機在外解決一整天的交易需求。

但這件事在中國大陸早已不是新聞,每一個去過中國大陸的人,無不盛讚其第三方支付發展的網絡綿密,帶來的高度便利性已經成為日常中不可或缺的一項服務,甚至很多小店家根本不願意收紙本現金,只接受掃碼支付。

2011年,易寶支付成為了中國境內第一批發放《支付業務許可證》的支付業者,不過,他們早在2003年就展開了行動支付版圖,在2005年推出第一代支付平臺,歷經14年發展,從網路支付一路延展到手機支付。一開始只靠一臺主機就能處理幾千筆的交易,但現在的易寶支付,每秒鐘有4千筆交易正在發生,一年就有2兆筆交易。

早在創辦初期時,易寶支付首席技術官陳斌加入易寶支付,當時他擔任技術副總約一年時間後赴美,先後任職過Nokia美國首席工程師、eBay與PayPal資深架構師。直到2014年他再次回歸易寶支付,這次他帶著更多能量,率領技術團隊,打造易寶集團的技術體系。

3維度架構擴充策略:水平複製、服務拆分和數據拆分

陳斌透露,為了符合越來越高頻、多元的支付交易,初期以水平複製為主的技術架構,接下來的關鍵就是「拆分」策略,還能細分為「服務拆分」和「數據拆分」兩種作法。

他用「3維度策略」來形容易寶支付平臺的技術發展歷程,包括了水平水平複製(X軸)、服務拆分(Y軸),以及可以無限擴展的Z軸擴充作法,也就是數據拆分。這3個維度的成效會相互加乘,任一軸的作法都能提高平臺的整體效能。就像3維座標中,立方體的長、寬、高任一邊增加,都能讓整體體積增加的概念一樣。

易寶支付剛成立時,將所有應用,包含登錄、註冊、處理交易訂單、查詢,結清算等功能的系統都放在同一個伺服器內。但是隨著業務的發展,用戶數開始增長、支付頻率的提升等,當時一天大約只需處理幾萬筆交易,因此易寶支付採取複製資料庫的方式來擴充架構。遇到交易量增加時,就將同一份資料庫,直接複製其他主機來提供查詢,從單一資料庫架構,轉而變成多套讀取用途的資料庫和單一的寫入用資料庫,以分攤大量查詢需求。這個階段,就是陳斌所說的「X軸水平複製」策略(X- Horizontal Scalability),以複製主機的方式進行擴充,來提高平臺效能。

隨著時間拉長,易寶支付開始發現,原始系統中的6個主要功能:登錄、會員、訂單、對帳、結算跟通知的使用型態不一樣,可以進一步歸納分兩類:常用和不常用。例如,訂單和通知,這兩項是每一筆交易都會使用到的常用功能,因此易寶支付改將這類「常用功能」從原有系統內部中,獨立拆分出來成為獨立的服務。陳斌表示,當不同服務的需求規模出現不平衡時,就可以進行拆分。

不只前面2項,後來發現,結算和對帳功能也需抽離到單獨的伺服器上執行。到最後,這6個功能就分別成為了6套系統。不只是功能,也會按系統服務或資源來拆分系統,以提高平臺效能。陳斌指出,這就是第二階段的「Y軸服務拆分」策略(Y-Application Separation)。

到了2009年,易寶支付的業務量,開始出現指數型的爆炸成長,每年激增3倍,先前兩種策略雖有不錯的成效,但當時系統的能力,仍然無法支撐到每秒4千筆交易。更關鍵的考驗是,支付處理的是錢的問題,任何交易作業都必須嚴謹不能有一筆疏漏。

為了避免爆量而讓資料庫系統來不及處理,易寶支付又採取了新的架構策略,陳斌說,從2009年開始,改將原本集中式的資料庫,改依照用戶名稱的字首英文字母,拆分成了26個小資料庫,並分布在3套資料庫系統中,沿著用戶的方向進行拆分。「隨著服務越來越多,分類就得更加細緻,最後分成了5套資料庫系統。」他強調,這個架構調整作法還持續進行中,若需求量再增長,他們可以將資料庫繼續細分,也許將A字母的資料庫,再分割為A1、A2、A3的次資料庫。「一直拆到能滿足處理突發性要求為止。」陳斌指出,這是第三階段的Z軸數據拆分(Z-Data Separation)。

到了2014年,易寶支付的架構拆分工作告一個段落,陳斌說,此時卻又面臨一個全新的挑戰。

日趨複雜的系統架構,設下人工維運的新障礙

強調24小時,全年無休的支付系統,必須要讓用戶隨時隨地都可以交易,那怕只是1%的系統當機時間都是很大的問題。解決了爆量交易的效能問題,但易寶支付卻在2013年到2014年這段時間裡,系統可用性(Availability)程度,大幅在97%~100%之間擺盪,甚至2013年7月~9月間掉到98%以下,意味著,若以30天來看,系統就會有2%將近14個小時無法交易。

造成系統高度不穩定的主因,竟然是架構拆分。因為拆分後,讓既有系統環境變得十分複雜,當時依靠人工處理的維運作業,變得相當困難。根據易寶支付在2014年的數據指出,在這麼複雜的IT環境下,當時,人工失誤的比例就占了所有失誤事件的19%之多。

「以前資料庫只有一個,現在有N個;以前伺服器只有一臺,現在卻有400~500臺,這麼多服務、版本、環境,再加上各有複雜的操作指令,給我們帶來很多問題。」陳斌指出,靠人工維運得面臨的問題就是不可避免的人為錯誤。「人總是會犯錯的,操作伺服器時,一個疏忽就做錯了。」再加上系統越多,同樣的維護動作就得重複越多次,更容易出錯。

而且,在維運人員訓練的成本上,也成為一大負擔。不只得持續告知維運人員系統增加了什麼新程式,甚至還得叮嚀哪些細節的影響,需仔細評估後才能執行操作。而且,一整天下來,反覆做這些例行工作,帶給員工的成就感也很低落。

資料複製、服務拆分後,伴隨而來的複雜環境,無疑地,讓人工維運這件事成為了易寶支付的新挑戰。為了解決這個問題,陳斌表示,他們決定要往智慧化、自動化的方向發展。

攝影/洪政偉

作業流程要更加自動化、智慧化,減少人員干預,讓機器自己去做自己的事。── 易寶支付首席技術官 陳斌

用Docker自建私有雲,往自動化、智慧化的DevOps靠攏

「為了解決這個問題,我們想出了很多自動化作法,都跟DevOps精神不謀而合。」陳斌舉例,不只要將過去人工處理的維運操作,寫成一支支自動化的腳本程式,也想讓研發人員能進入維運體系。因此,從一開始的程式碼、提交、測試,一直到系統正式上線的全套流程,易寶支付都重新審視與調整,要做到研發跟維運之間能無縫接軌,也能快速地實作。

例如,研發人員提交程式碼後,系統可以自動進行建置及全套測試,包含效能、功能、壓力和安全測試等。通過測試後的程式碼,就可以上傳到正式環境中執行,展開自動化部署,這也就能實現持續交付的機制。

不過,為了做到這件事,易寶支付花了整整一年時間來研究容器技術,更建立了一個專案小組,指派全職人力研究容器。評估了多種可能方向後,他們最終決定以Docker容器技術和容器調度工具Kubernetes來自建一朵容器私有雲。

在易寶支付這朵容器私有雲中,主要先透過GitLab管理程式專案和版本控制,一旦有新的程式碼上傳更新,Jenkins腳本程式會先展開建置工作,並將完成的新版Docker映像檔上傳一份到Docker容器映像檔儲存庫保存。建置完成後就會驅動QA測試,這時改由Kubernetes來接手,一方面從Docker儲存庫下載要測試的容器映像檔版本。

通過QA測試後,還要進行正式環境內測,也就是在正式環境中測試新版本(稱為生產內測),這也由Kubernetes來調度,再度從儲存庫取得這個新版容器映像檔,但改部署到與正式環境相同的內測環境上執行。通過正式環境內測後,這個新版容器映像檔就會同步複製到正式環境所用的儲存庫中,由Kubernetes部署到正式環境中啟用,來套用新版程式。

陳斌表示,導入Docker私有雲後,就算機器分布各處,也可以利用日誌系統(Journal)將所有系統Log訊息集中,一旦出現問題時,能在單一系統上掌握全部系統訊息。再者,還可以結合服務探查(Service Discovery)功能,不斷試探系統狀況,自動檢查容器的健康狀況。這些容器運作的健康資訊,還會串連到監測(Monitoring)功能,若發現異常能迅速反應。

「從DevOps的自動化部署,到正式環境中的各種服務監控,易寶支付要擔保的就是服務的彈性與不間斷。」他說。

重設IT基礎架構,高彈性、高靈活讓系統可用性大增

陳斌舉例,一般狀態下只需要5個用容器打包的Tomcat來提供服務,但當流量暴增時,系統能會自動判定是否要增加Tomcat容器,「彈性跟靈活度都高出非常多。」他說。

易寶支付這朵私有雲能自動調度和調整容器的能力,也讓伺服器的使用效率、密度大幅增高。靠著容器私有雲的新架構,易寶支付成功地精簡了伺服器規模,從數千臺,減少到只需要20臺。

不僅如此,陳斌指出,過去遇到系統上線、升級、回復或是擴充時,每次至少需要15分鐘的啟動時間。「改用Docker後,全部的部署工作都是秒級的(速度)。」這類系統維運作業,現在都可以在1分鐘內執行完成。他強調,使用Docker重新設計基礎架構後,好處非常明顯,省時、省力外,系統可用性也大幅提昇。

陳斌指出,對支付服務的平臺來說,可用性、安全性(Security),跟效率(Efficiency)是3個關鍵要素。易寶支付的系統可用性在2013年到2014年特別嚴重,但改用Docker後,大幅度的波動就不存在了,近2年都維持在99.5%以上,接近100%,「這對整個業務的支撐非常有力!」

回顧易寶支付的技術發展之路,從3個維度的擴展、拆分,到後續面臨的維運挑戰,陳斌強調,Docker不會是唯一的解法,但有一個不變的大方向是:「要讓作業流程更加自動化、智慧化,減少人員干預,讓機器自己去做自己的事。」他說。

面對未來技術走向,陳斌也提出他的看法。他指出,現在應用程式彼此相依性高,無法避免出現問題的可能性,解法就是盡可能的將應用跟應用之間脫鉤(Decouple),他說,易寶支付也持續往這個方向前進。

其次,則是軟體將逐漸朝向開源邁進,硬體則將越來越虛擬化。最後則是,自動化維運的大勢將持續成為潮流,維運人員將越來越靠近軟體,而不是跟數據中心或硬體打交道。陳斌表示,易寶支付的技術架構,將會持續往更輕量、更容易管理的方向邁進。

 CTO小檔案 

陳斌

易寶支付首席技術官

學歷:中國吉林大學資工碩士

經歷:自1993年起即投入網路服務產業,曾任日立美國系統集成總監、Abacus首席架構師、Nokia美國首席工程師,及eBay與PayPal的資深架構師。2003年就曾參與易寶支付的初期創業,在2005~2006年擔任易寶支付技術副總,2014年再次回歸,帶領技術團隊,建設易寶集團的技術體系。

 公司檔案 

易寶支付

● 成立時間:2003年8月

● 主要業務:電子支付服務平臺

● 員工數:易寶支付集團整體約2,500人

● 執行長兼共同創辦人:唐彬

● 總裁兼共同創辦人:余晨

 公司大事紀 

● 2003年:易寶支付創立

● 2005年:第一代支付平臺上線

● 2006年:併購西部支付

● 2009年:交易額突破千億人民幣

● 2011年:第一批獲得中國央行頒發《支付業務許可證》的業者

● 2013年:完成中國首筆跨境支付、發表行動支付解決方案「一鍵支付」

● 2015年:發表O2O解決方案「掌櫃通」

● 2016年:獲得《支付業務許可證》的續展

【晶片國民身分證計畫草案終於出爐】十年最大變革,數位身分證要來了

$
0
0

臺灣國民人手一張的身分證,距離上次換發之日已經超過了10年。在這10年間,不時耳聞政府計畫要大規模更換身分證,甚至曾喊出要將自然人憑證、健保卡及身分證三卡合一,但,政府卻未曾付諸行動,直到現在。

主導晶片身分證政策的戶政司、負責身分證文件印刷作業的中央印製廠,近年陸續前往導入歐洲晶片身分證的國家考察。7月中,內政部也召開了一場晶片身分證研討會,為新政策暖身,更從海外找來德國、愛沙尼亞的專家,分享各自國家推動晶片身分證eID的經驗。

9月初,內政部戶政司更在一場開放決策工作坊中,首度揭露了晶片國民身分證換發計畫的政策草案,政府將如何推動晶片身分證的計畫藍圖,終於出爐了。

身分證政策可追溯至日治時期,因應當時戶籍普查需求

臺灣推動全民身分證之政策,可以追溯至日治時期,當時為方便進行大規模人口的戶籍普查而生的政策。時至今日,政府從1954年後,在1965、1976、1986及2005年進行國民身分證的大規模換發,大致維持著10年為一周期的循環進行。

早在1997年,也曾有一度要以BOT方式來發行國民卡,結合身分證、健保卡、生物識別(當時計畫用指紋)、電子簽章、金融卡和電子錢包。這個在當時領先各國的創新計畫,因高度整合了來自不同政府機關的個資,而引起社會對資安風險的疑慮,再加上當時臺灣個資保護法的相關法規尚未完備,以及BOT發行方式要委由私人企業保管個資也引起疑慮。隔年,這項國民卡BOT計畫就終止了,這也讓臺灣重回到紙本身分證的發行形式。

過了幾年,不少亞洲、歐洲國家反而興起一波晶片身分證發行風潮,如2001年馬來西亞,2002年愛沙尼亞,香港和比利時則是在2003年時發行。臺灣國民卡計畫告吹之後,轉而發行專用的晶片卡,如2002年健保IC卡,2003年的自然人憑證IC卡。儘管再次興起身分證IC卡化的討論,但在2005年的十年身分證更換周期時,仍然選擇紙本發行。

2006年後,國外陸續有第二波晶片身分證的換發潮,如西班牙、義大利、沙烏地阿拉伯、德國、以色列,連日本都在2016年發行。

臺灣則是等到個資法2012年正式施行上路後,甚至在2015年個資法再次修法後,政府才開始擬定晶片國民身分證全面換發計畫,但依然非常低調,深怕再次引起社會質疑而告吹,也屢屢到國外參訪,取經,今年也展開一系列與民眾溝通的活動,例如研討會、焦點團體座談、工作坊等,而草案內容也遲遲尚未定案公開,直到現在。

晶片身分證政策4大目標

在剛出爐的草案中,戶政司提出了晶片身分證政策的4大目標。第一目標就是加強戶籍正確性。利用晶片身分證,查對個人戶籍資料,藉此落實戶籍登記作業,同時也能強化政府的行政管理機制。

第二目標則是加強身分證防偽機制。距離上次大規模換身分證的時間已超過10年,近年也不時傳出非法人士偽造身分證,進行盜領、詐騙,讓受害人莫名承受信用、財務損失。也因此戶政司認為,該證件的防衛技術必須與時俱進,配合科技改良、強化,維持金融及社會秩序。

再者,戶政司表示,身分認證的需求與日俱增,但是,政府發行自然人憑證及金融憑證至今超過10年,只有30%的民眾擁有實名的網路身分,至少有7成民眾,還是得靠實體證件來驗證身分。戶政司預估,若能在未來順利推動晶片國民身分證,網路身分實名化的普及率就能達到100%。

在戶政司的構想中,實名化的國民網路身分,可以運用在公部門或私人企業的應用上。例如,過往在年節之時,花東、離島居民往往一票難求,長期飽受熬夜搶票困擾,而推行實名制購票,可以對該購票人資格進行限制。或是用於數位金融服務,像是第三方支付應用,也能減少不法人士使用人頭身分進行洗錢的機率。

而在公部門的使用情境上,也更能實踐公民權利的新服務,例如公投聯署、投票,或是利用晶片身分證,作為身分憑證存取政府所提供的數位服務。內政部戶政司司長張琬宜表示,晶片身分證是一把鑰匙,可以讓民眾更方便透過網路來存取公、私部門的服務。

以愛沙尼亞的經驗來看,正因推動了晶片身分證,也讓政府服務更容易數位化。日前來臺分享eID經驗的愛沙尼亞警察和邊防警衛局首席專家Eliisa Sau就說,愛沙尼亞政府服務高達99%已經數位化,透過網路,愛沙尼亞公民即可存取eEstonia服務,「在這2,500項e化服務中,有500項都是便民服務」,甚至在連公投都可以用國民晶片身分證上網進行。

政策草案最後一個目標,是透過晶片身分證,改造政府行政流程,加速其運作效率。在現階段規畫中,總共含括5大應用層面,分別是公民服務、教育服務、金融服務、醫療照顧服務及商業服務。例如,透過線上程序,設立公司行號、報關作業、調閱電子病歷、申辦戶頭,戶政司預估每年約能節省2,061億元的交通與時間成本。

內政部戶政司司長張琬宜表示,晶片身分證是一把鑰匙,能方便民眾在網上存取公部門、私部門的相關服務。(攝影/洪政偉)

戶政司的政策構想中,網路身分實名制的使用情境,兼具公部門、私部門的應用。例如,過往在年節之時,花東、離島居民往往一票難求,長期飽受熬夜搶票困擾,而推行實名制購票,可以對該購票人資格進行限制。或是在數位金融服務,像是第三方支付的應用,也能減少不法人士使用人頭身分進行洗錢的機率。(圖片來源/戶政司)

推動晶片身分證,行政、技術、法律規畫都要備齊

從草案也可以看到,戶政司規畫多個方向推動晶片身分證,可以分成行政、技術及法律三個面向來看。在行政面上,過去原先預計整合身分證、健保卡及自然人憑證的三合一規畫構想,改為「僅結合自然人憑證」,作為線上身分認證的基礎。相比愛沙尼亞政府強制要求所有政府公部門都得利用晶片身分證存取數位服務,目前戶政司仍有所保留,讓機關自行決定其服務是否要利用晶片身分證,作為憑證、身分認證基礎。而戶政司也承諾,自2003年發行的自然人憑證服務仍持續發卡,「鑑於民眾使用需求,仍將持續維運,不會退場」,假定未來換發晶片身分證時,政府仍會推出自然人憑證,搭配其他各類型式載具的服務方案。

再者,因應行動時代來臨,政府也規畫推出行動國民身分證。結合手機、平板電腦等行動裝置,作為身分驗證的載具。透過這個行動身分憑證,民眾可以存取政府或公、民營機構開發的數位服務。不過,目前還沒看到行動身分憑證的執行細節。以愛沙尼亞政府為例,他們也提供行動ID,技術上則需整合電信SIM卡來強化安全,Eliisa Sau表示,只要電信服務商的SIM卡規格支援該國政府的行動ID系統,除了可以視同電子簽章來簽名,甚至可以手機用來投票。

取得晶片身分證的資格也有限制,目前,年齡超過14歲的臺灣公民總共有2,100萬人,但戶政司計畫只開放18歲以上的國民,才可以換發晶片身分證。不過,像愛沙尼亞政府的規定則是更寬鬆,只要求15歲以上強制申請,但15歲以下不強制可自行決定。

不過,在換發程序上,戶政司計畫仍延續現有身分證由各地戶政事務所負責的分散式製發作法,將在各戶政事務所均設置製證設備,全面免費換發需耗時2年。

在晶片身分證的設計上,臺灣也參考德國、愛沙尼亞的作法。左圖為愛沙尼亞政府發行的晶片身分證,可存取政府2,500項數位服務。右圖則是德國的晶片身分證,該卡相容國際民航組織技術規格,可作為歐盟境內的旅行文件。(圖片來源/愛沙尼亞警察和邊防警衛局、德國聯邦印製廠)

預計相容國際民航組織標準,比現有晶片護照更安全

在技術面,戶政司計畫仿效德國晶片身分證,採取相容於國際民航組織技術規格的做法,預計讓晶片身分證能相容於ICAO 9303規格。戶政司解釋,ICAO 9303除了具備電子防偽、存取控制機制外,該標準「高於現行晶片護照之電子防偽等級。」而目前全球100國發行超過6億本晶片護照,還沒出現晶片資料的安全危機。

另外,戶政司也預計引入4種安全認證機制來防止竄改和防止複製,包含被動認證(Passive Authentication,PA)、主動認證(Active Authentication,AA)、基本存取控制(Basic Access Control,BAC),以及輔助存取控制(Supplemental Access Control,SAC)。

除基本資料,未來考慮納入指紋、虹膜等生物特徵

在晶片身分證卡面上將列出8項資料,正面將註記姓名、相片、出生日期、證件有效期限、身分證統一編號及卡號條碼等資訊。該卡背面則是記錄配偶姓名、戶籍地址,不過,後2項欄位,民眾可決定不揭露。而晶片中所記錄的個人資訊,與卡面上的資料大致相同,不過,戶政司還規畫,將性別、父母性別及役別資訊儲存於晶片中。

同時,戶政司也在研議,納入指紋、虹膜等生物特徵,作為更高強度的身分認證的辨識依據。不過戶政司也強調,根據94年發布的釋字第 603 號解釋,儲存、使用生物特徵資料必須以法律進行規範。

如該解釋文中所提:「國家基於特定重大公益之目的而有大規模蒐集、錄存人民指紋、並有建立資料庫儲存之必要者,則應以法律明定其蒐集之目的,其蒐集應與重大公益目的之達成,具有密切之必要性與關聯性,並應明文禁止法定目的外之使用。主管機關尤應配合當代科技發展,運用足以確保資訊正確及安全之方式為之,並對所蒐集之指紋檔案採取組織上與程序上必要之防護措施,以符憲法保障人民資訊隱私權之本旨。」

戶政司表示,民眾可以自由決定是否要使用生物特徵作為身分辨識使用。同時,政府亦會嚴格規範生物特徵的應用情境,例如,提供民眾護照自動通關服務、協尋失智老人。或利用生物特徵作為換發國民身分證的憑證等。張琬宜也承諾,政府會提供國民選擇自由,「完全尊重民眾意願,不會強制要求必須儲存該人的生物特徵。」

補齊法源依據不足之詬病,避免隱私資料遭濫用

而推動晶片身分證政策,除了解決技術、行政流程,其中還有一大關鍵就是法源依據。而由於晶片身分證牽扯許多隱私資料、資料自主權議題,在法治國家中該政策備齊了相關法源,才能避免政府利用該卡進行大規模監控、侵犯個人隱私的風險。

現今政府發放身分證的法源依據,主要來自《戶籍法》的第51條至62條,其中在51條中明確列定義晶片身分證的使用用途:「國民身分證用以辨識個人身分,其效用及於全國。」

但以德國或愛沙尼亞的作法而言,兩個國家都為此而訂定專法,來規範如晶片身分證應用產生的中介資料、負責核發晶片身分證的機構、設計規格等細節。

德國晶片身分證法源依據的是《身分證及電子識別法案》,內文總計35條。而愛沙尼亞則是《身分證件法》,內文亦有43條。現階段臺灣用於規範晶片身分證應用的法條,只有《戶籍法》及《國民身分證及戶口名簿製發相片影像檔建置管理辦法》。根據內政部所比對,現階段臺灣法規,若與德國《身分證及電子識別法案》相比,還欠缺20條法規,方能跟上該國專法的完整度。而與愛沙尼亞的《身分證件法》比對,則欠缺29條相關規定。

負責統一製作德國晶片身分證的德國聯邦印製廠資深副總裁Roland Heise表示,推動晶片身分證一定要規畫相關專法,避免該政策缺乏法源依據,「如果以國民身分證法為基礎,轉移到晶片身分證應用會出現爭議。」他強調。

因此,參考他國晶片身分證法令,戶政司也計畫修訂《戶籍法》,以及《國民身分證及戶口名簿製發相片影像檔建置管理辦法》,並公布了增修要點,修正重點在於加強臺灣民眾對於該卡的使用自主權,例如,晶片身分證的存取、儲存使用必須經過該持卡人的同意。而服務提供者提供之服務,不得強制讀取晶片身分證,未經過法院、當事人同意,服務提供者亦不能對外提供當事人的使用紀錄。

此外,若該晶片要儲存指紋資料,必須經過當事人同意,而且除了該晶片外,指紋資料不能儲存於其他資料庫。同時,任何機關若想調閱民眾的指紋資料,非經該當事人同意,不得任意儲存、讀取該晶片中的指紋資料。

目前根據內政部現階段計畫,從最初的規畫至全面換發,必須花上4年。戶政司表示,在計畫中的第一年度,總共會進行細部規劃、試作驗證等工作。而在第二年度中,主要著手發證系統的設計、建置、測試。在最後兩年中,則是進行晶片身分證的應用推廣及全面換證工作。

當晶片身分證全面換發之後,戶政司表示,該卡片除了能減少身分證偽造,保障民眾權益外,亦能加速民眾臨櫃申辦的作業程序,減少奔波於不同機關的麻煩。除了時間效益外,戶政司統計,未來如推行晶片身分證,每年度因資料異動所換發的成本可減少約1.48億元,而每年度戶口名度、戶籍謄本的規費成本則節省1.98億。再加上每年度民眾線上申辦案件、交通之時間成本,總計省下超過2,064億元的成本。

各界專家也提出對目前戶政司晶片身分證政策的建議。像是台灣人權促進會(簡稱台權會)臺灣網路透明報告專案經理何明諠表示,雖然戶政司仍較少著墨晶片身分證政策的必要性,「但如果以推動晶片身分為前提的話,現階段所提出修法計畫算是往正確方向發展」,例如,唯有透過當事人同意,才能存取晶片身分證,或未經法院、當事人同意,不得對外提供當事人的使用紀錄,「不過,未來該卡片功能若必須擴張,相關的法源也必須備齊。」

「若多數臺灣民眾都認同推動晶片身分證,則需要訂定專法,規範eID的應用」,何明諠舉例,例如,晶片中存取的資料、儲存使用eID產生中介資料的機關、卡片的用途等。他表示,其他使用晶片身分證的國家,皆已限定政府單位存取資料的權限。以德國為例,只有特定海關、警察單位才有權力讀取晶片卡中的隱私資訊,「所以這些規範也要被列入設計、考量。」

在晶片身分證的技術層面上,專法中也應規定晶片身分證的資安措施,根據存取服務或資料敏感度,設定不同強度的加密機制,「隨技術進步,這些規定應該也要有修正的彈性,加強資訊安全的保障。」何明諠認為。

同時,何明諠認為,即使推動晶片身分證,「政府應該也要保留替代方案,提供非數位的存取管道」,考量使用eID會留下許多數位足跡,如果仍能保留人工作業、匿名作業的空間,「可以確保政府不會掌握過多的行蹤資料,除了可以避免大規模監控的可能,人民也有相對較多的自由空間。」

設計全盲資訊系統,降低單一機構濫用個資可能性

除了從法律層面下手,推動晶片身分證專法保障個人資料自主權外,設計全盲機制的資訊系統,也有確保隱私資料無故被存取、利用的可能。何明諠建議政府,可以參考加拿大不列顛哥倫比亞省的市民卡,透過系統設計來避免遭大規模監控濫用的風險。

在這張市民卡資訊系統從資料傳輸模式的設計著手,從市民存取數位服務開始,從最初提供身分認證服務機關、服務提供機關及提供憑證機關,各自都只能掌握部分資訊,沒有人能拿到完整的資料,簡言之,「各機關都是全盲的。」何明諠解釋,提供身分檢驗的政府機關,不需清楚使用者會使用何種數位服務,僅負責身分驗證,而提供服務的政府機關,除非必要,亦不會知道存取服務人的實際身分,再者,提供憑證服務的機關,亦不知悉該用戶為誰,「利用全盲系統的設計,使用者自行決定何時可以揭露身分,即使有部分不守法的公務人員,這樣的設計也能提高其濫權使用、存取的門檻。」

而何明諠表示,只要符合法律依據,台權會並非害怕政府機關存取內政部中的戶政資料,「而是憂慮eID留下的數位足跡,進而可以拼湊出民眾的生活輪廓。

政府得取得人民信任,才可能推動晶片身分證

而東海大學行政管理暨政策學系教授項靖也提醒,政府應好好考慮晶片身分證的效率及基本人權兩者的平衡。尤其,臺灣不少民眾非常擔憂政府會透過晶片身分證大規模監控人民,因此相當抗拒晶片身分證政策,所以,政府必須先取信於民,讓人民相信政府不會像小說1984中的老大哥監控人民,晶片國民身分證才有發行的可能。

百度重砸100億人民幣成立Apollo基金會,未來3年將投資百項自駕車專案

$
0
0

日前,英特爾(Intel)和Waymo才宣布聯手打造自動駕駛車,百度就於本周四(9/21)宣布,將挹注100億人民幣(約臺幣457億元)成立Apollo基金會,未來3年計畫投資超過100個自駕車研發專案。同時,百度也釋出新版開源自駕車平臺Apollo 1.5。

Apollo平臺目前已經吸引全球70家企業合作,包含了英特爾、博世(Bosch)、Nvidia、微軟、福特汽車(Ford)等,且已有超過1,300家企業下載Apollo開源碼。另外,百度也已經與50多家企業簽定協議,進行大量生產或聯合研發產品。

此外,百度於4月首度發布Apollo專案,包含了汽車平臺、硬體平臺、軟體平臺及雲端資料服務等解決方案,而新版Apollo平臺則新增了5個核心功能,分別是障礙感知、路線規畫、雲端模擬系統、HD高畫質地圖,以及端到端深度學習(End-to-End Deep Learning)技術,提供開發者能加速自駕車研發。

 

【不只是提供端點防護與網路隔離】VMware建立全新應用安全防線

$
0
0

VMware

從伺服器虛擬化平臺,一路擴展到桌面虛擬化、行動應用、雲端服務,VMware的解決方案涵蓋的範圍越來越大,橫跨資料中心環境的變革、公有雲服務的整合、數位辦公空間的驅動,以及網路、安全的轉型,共有四大領域,都有不同的產品對應。

若以安全的層面來看,過去幾年以來,VMware主要是透過伺服器虛擬化平臺vSphere所延伸的vShield,以及網路虛擬化平臺NSX,來提供其他資安產品可施作防護的環境,以這兩個機制,與市面上的各大企業級資安廠商合作,以便將各種專業的偵測與阻擋功能引入。

而在今年的VMworld全球用戶大會上,VMware針對企業資訊安全的整體防護,特別提出了全新的協同防禦框架,藉以推動跨雲環境的資安應用轉型,當中分為三個層次:安全基礎架構、整合生態系統、網路衛生(Cyber Hygiene)。為了完整表達如何做好當代資訊安全的建言,VMware的執行長Pat Gelsinger提出具體的新對策,他也在大會第一天的主題演講當中,特別花了十多分鐘,詳細闡述這個新概念。

如何持續改善網路衛生,將成為VMware推動企業資安新重點

在VMware最新的資安對策當中,關於安全基礎架構的強化,以及整合其他廠商生態系統的作法,已行之有年。

這裡提到的安全基礎架構,VMware主要是透過既有產品來提供不同層面的安全防護,例如,Workspace ONE和AirWatch對應的部份是使用者端,提供數位化工作環境,以及個人端電腦與行動裝置的管理,NSX和vSAN則是資料中心的網路與儲存服務的存取,分別提供微分段(Micro-Segmentation),以及原生的加密機制。

至於整合生態系統,也是VMware向來擅長的部份,旗下的每一套產品都延伸出許多共同合作的廠商。

而最讓人好奇的部分,則是網路衛生。這個詞彙可能很多人都很陌生,其實,它原本是探討建立與維持個人線上安全的議題,由於連帶影響組織的資訊安全,因此,政府機構、企業也越來越重視這項議題。。

對於VMware而言,若要落實網路衛生,他們認為,目前應優先從5個層面來著手,分別是最低權限(Least Privilege)、微分段、加密、多因素身分驗證、漏洞修補。

在上述的作法當中,其實,有些已經在VMware現行產品陸續提供及增強,但這次VMworld大會新發布的資安應用,最特別的部份主要是針對最低權限的施行,一般而言,這能縮減應用系統可能受到攻擊的層面,而VMware正打算以此來保護他們強調的發展願景——支援任何裝置(Any Device)、任何應用程式(Any Application),以及任何雲(Any Cloud)的應用。

然而,面對現今如此複雜、快速變化的環境,他們如何以最低權限的概念來實施全面資安呢? VMware主要是從網路(Network)和運算(Compute)這兩個角度,來檢視系統安全性的風險。

首先是基於網路的觀點。由於當前的應用系統的建置大多採用分散式架構,透過網路連接不同類型的伺服器、容器、共用服務,而使得本身所暴露在外的部份太過廣泛,彼此的交互運作也非常複雜,即便根據這些系統的類型差異進行分區隔離,但各分區仍會透過網路相互連結,因此還是存在遭到入侵的風險,而且分區內的系統若有幾臺淪陷,其他鄰近的同性質系統,因為身處同一個網路區域,所以也有可能會遇害。

接著是基於運算的觀點。由於應用系統所涵蓋到的每一臺伺服器、容器、共用服務,裡面都執行複雜的處理程序、不盡相同的作業系統,而這些軟體元件都有可能因為接觸到惡意軟體,目標式攻擊,而遭到感染、操控。

為了要避免上述狀況發生,我們必須設法減少應用系統暴露在外、受到攻擊的部份,此時,也就出現了所謂的零信任(Zero Trust),或是前面提到的最低權限等概念,原則是僅提供完成各項工作時所需要的資源存取權,授與權限適可而止,不冒任何非必要的風險。

而關於這部份的工作,若從網路的角度來施行最低權限,VMware先前主要是透過網路虛擬化平臺NSX來落實,如此一來,企業能基於當中建立的層疊式隔離網路環境來進行微分段,重新建立不同伺服器之間的邏輯邊界,限制彼此可溝通的範圍與傳遞的資訊。

AppDefense的基本架構

為了縮小應用系統可能遭到攻擊的各種層面,VMware現在除了運用NSX來進行網路隔離,現在又增添了基於vSphere Hypervisor的AppDefense,基於運算的角度來確保需虛擬機器及應用系統的安全,提供更為全面的保護措施。圖片來源/VMware

結合白名單比對與自動偵測、反應,VMware強化應用系統安全

實現最低權限的另一種作法,則是從運算的角度來實現,VMware也在這次VMworld大會上,宣布推出新的雲端服務,他們稱之為AppDefense,搭配應用系統層級的控管,可以做到更積極、主動的因應機制——針對伺服器內部執行的處理程序和作業系統,一旦這些部分遭到駭客或惡意軟體攻擊,這套雲端服務能夠進行有效的判斷與處理,以此保護在伺服器虛擬化平臺上執行的各種應用系統。

防護原理:擷取、偵測、反應

AppDefense是怎麼運作的?它可以協助企業建立授與最低權限的運算環境,主要針對的目標是虛擬機器所執行的應用系統,先行「擷取(Capture)」預期的狀態,之後,持續監控這些運作中的虛擬機器,查看是否符合原先所定義的狀態;一旦發現到有攻擊行為試圖操控應用系統,例如,竄改作業系統的重要檔案與處理程序、擅自執行未經授權的指令碼,AppDefense會「偵測(Detect)」到相關的異常行為與活動,並自動予以反應(Response),發起適當的處理動作,緩解相關威脅。

除此之外,AppDefense還能夠整合第三方解決方案,透過合作廠商的生態系統,拓展受保護應用系統的運作透明度,或是在自動反應時,可藉此執行額外的調度指揮作業。

基本概念:觀善察惡,自動偵防

而在AppDefense推出之後,VMware也希望借助這種最低權限的實現方式,而能以更簡易、單純的方式發現威脅。

因為現行的各種資安解決方案,大多聚焦在識別、追蹤應用系統,查看是否出現「壞」的行為,但這就像大海撈針,往往需耗費大量的心力和時間,才能找出威脅。而相形之下,VMware這次新推出的AppDefense防護機制,可說是一種基於預期(intent-based)的作法,重點在於確保與維持應用系統本自具有的「好」行為,因此所需觀照的防護範圍將大幅縮小,檢查起來也更為聚焦,而使得混雜其中的威脅難以遁形。

實際運作:基於vSphere伺服器虛擬化平臺而行,可整合NSX與其他資安產品

乍看之下,VMware AppDefense所運用的基本概念,不免讓人想到在資安領域風行一時的幾種技術,例如,應用程式白名單(Application Whitelisting),以及近期迅速崛起的使用者行為分析(User Behavior Analytics,UBA)、端點偵防(Endpoint Detection and Response,EDR),VMware似乎是把這些作法結合在一起,但實際上,AppDefense到底會以何種方式運作?

首先,AppDefense這套解決方案會從vSphere hypervisor的系統層級,擷取、認識到「好」的部分,並且透過分析實際處理程序與網路行為來定義,隨後我們即可藉著這個基準來偵測出「壞」的部分,一旦AppDefense發現系統狀態遭到變更、違反了預先定義的規範,就會觸發警報,通知應用系統的負責人,也可以要求當下立即開始自動執行指定的動作,例如,動態變更網路防火牆的規則、擷取網路流量、隔離應用系統。

換言之,在AppDefense的防護架構下,對於資料中心環境當中的各種端點應有的正常行為,我們能夠以更簡便的方式,獲得最可靠的觀察,建立安全防護的底線。從另一方面來看,一旦系統狀態出現任何異動,AppDefense也因為是從Hypervisor的層級來執行,而能在第一時間內掌握各種變化,而非等到這些行為出現在網路時,才能發現。

所以,基於這種依據系統狀態前後脈絡而行的智慧型判斷機制,當我們面臨到各種變更時,也就可以更快判斷這些是合法的行為,抑或是真正的威脅。

在偵測出惡意活動狀態之後,接下來如何自動、精準地反制?AppDefense可以觸發VMware自家的vSphere與NSX,進行運算及網路環境的調度指揮,或延伸整合其他廠商的資安防護方案,以便針對發現的威脅,自動採取正確的處理措施,而不需人為、手動的方式介入。

在單純採用VMware的軟體定義資料中心環境當中,AppDefense目前可供施行自動反應的動作也不少,例如:阻擋應用程式處理程序之間的溝通、暫時停止端點系統的運作(Suspend)、強制端點所在的系統進行關機,以及對端點系統進行快照(Snapshot),便於資安鑑識分析。因此,若妥善運用這些攔阻機制,我們理應可以從Hypervisor層防護,針對惡意軟體停用防毒軟體,或其他端點安全方案的先期攻擊行為,及時作出因應。

若想要搭配其他產品一起使用,AppDefense也開放第三方廠商生態系統的整合,能與端點安全防護、安全事件管理、網路威脅情報等系統,相互協同運作,當這些平臺結合AppDefense之後,將可取得應用系統運作過程的前後脈絡,並且協助虛擬化基礎架構進行矯正,進而保護在當中運作的端點環境。

因此,就AppDefense適用的場景而言,也相當廣泛。因為,在這樣的架構下,除了能在高度虛擬化的企業IT基礎架構使用,也有利於代管服務供應商採用——業者可透過它來建立新的資料中心與雲端安全防護。

延伸生態:已有5家廠商宣布合作

在今年的VMworld大會上,VMware在推出AppDefense的同時,也一併宣布先期合作的5家廠商,分別是IBM、RSA、Carbon Black、SecureWorks、Puppet。

以安全事件管理平臺來說,首要提出支援的是IBM Security的QRadar,與VMware AppDefense整合之後,將可協助資安團隊了解內部威脅,並採取更快反應,讓VMware與IBM Cloud的用戶在多種虛擬化工作負載當中,能夠更直接、清楚地了解運作狀態,以及進行控管,而不需切換多種資安工具,才能完整掌控。

屆時,這套解決方案,也會透過IBM Security App Exchange市集,以App的形式提供企業使用。而在今年VMworld大會的主題演講中,IBM Security的總經理Marc van Zadelhoff也特別現身站臺,強調他們與AppDefense的緊密合作。

端點防護的部分,率先響應的廠商是與VMware同為Dell Technologies集團的RSA,將在進階威脅防護系統NetWitness Suite予以整合,藉此更深入了解VMware虛擬化平臺執行的應用系統,掌握細部的運作脈絡、敵方發起的攻擊活動狀態,並且能夠合作自動調度指揮。同時,VMware伺服器虛擬化平臺也能獲得檢測特殊處理程序的能力,判斷是否屬於可疑行為,之後通知安全分析師或AppDefense的系統管理者,促使他們能夠及早進行阻擋作業。

而在網路威脅情報服務平臺的合作上,VMware將與Carbon Black公司聯手,使AppDefense能夠運用他們提供的信譽分類資料,協助資安團隊更快歸納各種安全警告,以及自動判斷需要額外驗證與批准的行為。VMware虛擬化平臺一旦取得這些信譽情報之後,還有另一個衍生效益,那就是應用系統在升級軟體版本之餘,也能自動更新本身的資產組態清單,如此對於白名單防護常見的系統誤判情況,將可大大減少。

另一個用於網路威脅情報整合的廠商,則是SecureWorks,也是同為Dell Technologies集團的公司,但他們打算以AppDefense來推出新的解決方案,當中將針對虛擬化環境,提供安全性的偵測、驗證、反應機制。而這套方案也將納入Cloud Guardian的雲端防護代管服務當中,結合該公司的全球網路威脅情報,以及長期培養的資安專家團隊。

除了上述這些具有資安產品與技術背景的公司,在DevOps的應用廠警當中,也能支援AppDefense,而這部分的整合,目前率先開始與VMware合作的廠商,就是以應用程式組態管理與自動化調度指揮聞名的Puppet。他們會在Puppet Enterprise這套產品裡面,整合AppDefense,將相關的運作狀態與資料分析,置入虛擬機器的組態,協助區分各種變更動作,確認屬於合法授權,或是惡意行為。

AppDefense提供基於雲端服務的網頁介面管理主控臺

VMware AppDefense是一套SaaS形式的雲端服務,由VMware負責維運,圖中是管理主控臺AppDefense Manager的網頁介面,由於AppDefense運用了擷取、偵測、反應的技術,資安人員必須先取得良好的應用系統組態,作為白名單判斷的基準,然後藉此來偵測出之後的異常狀態,同時自動矯正這些異常背後所代表的惡意活動,因此,首先要界定應用程式的範圍(scope),當中包含了應用系統執行時所需啟用的服務,以及虛擬機器。圖片來源/VMware

促使資安防護團隊與應用系統團隊之間,能夠進行相互合作

AppDefense的最大訴求,主要是希望針對伺服器虛擬化平臺當中執行的應用系統,進行更主動的監控、偵測與阻擋,而且不論它們是位於企業內部或外部公有雲服務的軟體定義資料中心平臺,均可受到保護,其實,VMware還特別考慮到資訊安全團隊及應用系統團隊的應用方式,期望這兩組人馬能夠藉由AppDefense的防護流程,一起攜手合作,並且在不同階段當中發揮所長。

舉例來說,在擷取應用系統狀態與行為,以及套用防護政策時,可以由資訊安全團隊來負責檢核與確認整備度,因為他們對於潛在威脅與對抗的方式較為熟悉;而到了檢測應用系統是否有違規情事,以及觸發自動反應機制時,則由應用系統團隊來監控是否妥善處理,並且發起漏洞修補的作業,因為他們理應最了解應用系統本身的運作架構。

對於這兩組人馬在AppDefense通力合作的必要性,在VMworld的另一場演講當中,VMware資安產品資深副總裁Tom Corn也巧妙地予以解釋。

他用孩童感染疾病的情境,解釋AppDefense與兩方的關聯,並以「醫師」和「父母」比喻扮演的角色——資訊安全團隊就像醫師,了解各種疾病的成因與治療的方式,而應用系統團隊如同父母,很清楚小孩平時生活習慣細節,能判斷行為反常與否。

AppDefense的防護流程

第一階段是擷取(Capture),主軸是應用系統,AppDefense會捕捉虛擬機器與應用系統的主要用途,以及意圖狀態(Intended State,亦即應用系統與功能應該正常表現的狀態)與執行狀態,而且,透過當中提供的分析引擎,可以描繪出應用系統的範疇,進而產生每臺虛擬機器的組態清單(Manifest)。圖片來源/VMware

第二階段是偵測(Detect),重點在於隔離,系統將會針對執行的應用程式進行驗證,並妥善保護虛擬機器的資產清單。結合AppDefense的Hypervisor,能夠切割出受到信任與保護的區域,同時提供應用系統與進行隔離的相關脈絡,而能夠偵測出異常狀態。同時,因為只有Hypervisor才能透視虛擬機器內部的運作,所以仍舊能夠維持彼此之間相互區隔的信任界線。圖片來源/VMware

第三階段是反應(Response),關鍵是自動化,AppDefense可進行調度指揮,透過IT基礎架構的動態調整,例如,要求虛擬機器立即執行關機、暫停、快照等動作,或是延伸整合其他廠商的資安解決方案,進行惡意行為的矯正,協助企業安全維運中心做到緊急突發事件的反應。圖片來源/VMware


真正對手非同行,跨界競爭開戰

$
0
0
天下雜誌出版

誰想付錢睡在陌生人家中的臨時睡墊或空床上,而不去住旅館,享有個人隱私?

事實證明,這種人還挺多的。

大家使用Airbnb不只是為了在某個地方過夜,而是因為在某個地方過夜可以參與某件他們想參與的事,而且還可以擁有比全球一體化的連鎖旅館更真實的在地體驗。

Airbnb一開始是共同創辦人布萊恩.切斯基(Brian Chesky)在生活中需要解決的任務。身為大學畢業的新鮮人,他在舊金山幾乎快付不起房租了,更別說是買門票去看當地舉辦的設計大展。他發現當地的旅館都已經爆滿,肯定有一些跟他一樣懷抱設計夢想的年輕人也很拮据,所以他想到可以「出租」公寓裡的三個床墊來籌措門票錢。他可以想像自己到其他的城市參加設計展時,也會想要租用那種床墊。他可能很想要參與某件事情,但又不想像旅客一樣造訪某地,或為此積欠大筆卡債。

儘管以傳統的標準來看,Airbnb不如飯店或汽車旅館,但那不表示在追求進步方面,Airbnb不是更好的選項。消費者選用Airbnb的情境,和他們選用旅館的情境截然不同。Airbnb的競爭對手不只是旅館,它也為「借住朋友家」或「乾脆放棄旅遊」的人提供了另一種選擇。

表面上看來,那是一個大爆冷門的成功故事。LinkedIn的創辦人及Airbnb的投資人雷德.霍夫曼(Reid Hoffman)表示:「一開始大家說:『你瘋了才會創辦這種公司,誰會想使用這種服務?只有瘋子才會租用陌生人家裡的房間。』但有時候,這種用途只是你目前沒有看見。」

為了簡便起見,我們以「用途」泛指各種消費者想要解決的任務,但這裡必須強調,界定明確的用途有很多層面,而且是複雜多元的。那其實是好事,為什麼呢?因為這表示完美地達成某人的任務可能不只需要開發一種產品,還要為那個任務的許多層面設計及提供一整套的體驗,然後把那些體驗整合到公司的流程中。當你把那一切做好時,競爭對手幾乎不可能模仿你。

改變競爭局面

這裡必須強調一點,我們不是要「創造」用途,而是去發覺用途。用途永遠存在,但是達成用途的方式可能隨著時間的經過而有很大的改變。例如,想想「遠距分享資訊」這件事,根本的用途沒變,但我們達成用途的方式變了,從驛馬快遞到電報、航空郵件、電子郵件等等。

又比如說,數百年來,青少年總是想在不受父母的干預下互相聯絡。多年前,他們的作法是在學校的走廊上傳紙條,或是把電話線拉到家中最遠的角落去偷偷講電話。但近幾年青少年開始使用智慧型手機上的應用程式Snapchat來傳遞訊息,而且訊息讀過就被刪除,他們也使用很多工具,那些都是幾十年前難以想像的東西。

Snapchat的開發者非常清楚青少年想要的用途,所以開發出絕佳的解決方案。但是那不表示Snapchat就不受其他競爭對手的威脅,其他的對手可能更了解青少年在某些情境下的社會面、情感面、功能面的複雜用途。

我們對用途的了解永遠可以更加精進,採用新科技可以改善達成用途的方式,但重點是你必須把焦點放在了解根本的用途上,而不是沉溺於為了用途所想出的某個解決方案。

對創新者來說,了解用途就是了解消費者在追求進步時最在乎什麼。用途理論讓創新者從「哪些效益是必要、哪些效益無關緊要」做出無數詳盡的取捨。了解特定情境下的使用標準,可以促成全然不同的重要洞見。或許最重要的是,競爭局面很可能和你原先所想的截然不同。

這裡可以舉個例子說明。抽菸的人休息去抽根菸時,就某種層面來說,他可能只是為了滿足菸癮,那是功能面的用途。但是抽菸不是只為了解決菸癮,他也是為了放鬆,這是情感面的用途。如果他是在一般的辦公大樓上班,他只能去戶外的指定抽菸區,但是那也兼具社會面的用途,他可以暫時抽離工作,與菸友閒話家常。從這個觀點來看,大家使用Facebook也是基於同樣的原因。他們在上班時間登入Facebook,暫時抽離工作,休息幾分鐘,同時思考其他的事情,感覺像和遠方的朋友聚在虛擬的茶水間聊天。就某些方面來說,Facebook和抽菸是在同樣的用途上競爭。抽菸的人究竟要選擇哪一種,則看他當下煩惱的情境而定。

經理人和產業分析師喜歡簡化「競爭」的框架,把類似的公司、產業和產品歸為一類,例如可口可樂與百事可樂競爭、Sony PlayStation與Xbox競爭、一般奶油與人造奶油競爭。這種競爭局面的傳統觀點,緊緊限縮創新的相關性和可能性,因為它強調要與標竿比較、不落人後。從那種觀點來看,搶奪市占率的機會似乎很有限。多數的公司只能在零合遊戲裡,為幾個百分比的市占率爭得你死我活。

競爭不限於同類產品

但是從用途理論的觀點來看,競爭不只限於同類產品。最近傳奇的創投業者約翰.杜爾(John Doerr)問網飛(Netflix)的執行長里德.哈斯廷斯(Reed Hastings):網飛是否跟亞馬遜競爭?他回答:「其實我們是和你放鬆時做的每件事情競爭。我們和電玩競爭,我們和喝酒競爭,酒是特別頑強的競爭對手!我們也和其他的影片網站與桌遊競爭。」當你從用途理論的觀點來看競爭局面時,就會看出全新的樣貌。那也許令人不安,但也充滿了新潛力。

例如,BMW長久以來認為它是「高性能汽車業」,甚至一度還大言不慚地宣傳它們是「男人的車」。但是二○○八年經濟衰退後,汽車業開始重挫,BMW的領導團隊開始退一步評估消費者買車的用途,他們的研究結果徹底改變BMW對競爭環境的看法。在環保節能車的需求躍居首位(例如加州剛通過法律,禁止未來使用內燃機),城市化的趨勢興起,以及愈來愈少年輕人費神去考駕照下,BMW發現消費者真正想要的用途是移動(mobility):讓我輕鬆從A點抵達B點。

沒錯,BMW是和傳統的高級車競爭,但它也和特斯拉(Tesla)、Uber、Zipcar、Google自駕車以及電動車競爭。「我們發現我們是和十八個月前連名稱都不知道怎麼唸的公司競爭。」BMW的全球品牌管理與行銷服務長史蒂芬.奧特豪斯(Steven Althaus)回憶道:「我們必須開始把比較標竿放眼到我們的產業外。」

這不只促成BMW推出電動和混合動力的BMWi產品線,也促成BMW的DriveNow計畫(類似Zipcar的共乘系統,已經在柏林、維也納、舊金山、倫敦等地推出)奧特豪斯說:「我們已經從供給面的觀點轉變成需求面的觀點。」實際上,這就是從銷售產品轉換成用途導向。以往汽車製造習慣把經銷商視為主要的顧客,但這個框架帶動徹底的改變。從此以後,「顧客」是誰,以及顧客在乎什麼也跟著徹底變了。當然,BMW對創新的觀點也跟著全面翻新。

BMW並非特例,如今很多業者顯然都在搶著了解消費著的用途。二○一五年的下半年,福特汽車的執行長馬克.菲爾德斯(Mark Fields)常告訴員工:「我們不只是汽車公司(automative company),也是移動公司(mobility company)。」

通用汽車(General Motors)投資另類汽車服務Lyft,並於二○一六年初宣布推出自己的共乘服務Maven。通用汽車投資Lyft的計畫中,有一部份是參與開發「隨選」(on-demand)自駕車網路,那是Google、特斯拉、Uber都投入大量資源研發的領域。

從用途理論的觀點思考未來的走向,每家公司都必須從那個觀點去了解複雜多元的用途,接著必須根據消費者解決日常任務的體驗,思考及打造產品,幫助顧客在尋求進步的過程排除障礙。了解用途而且最能有效幫助顧客達成任務的業者,就能獲得競爭優勢。

每家公司如何了解與落實這個新觀點,將決定它們的新嘗試在未來有多成功。

如果你不知道真正的競爭對象是誰,怎麼可能創造出消費者覺得比其他的潛在選項更好的方案?(摘錄整理自《創新的用途理論》)

 

 書名  創新的用途理論:字體縮小:掌握消費者選擇,創新不必碰運氣

克雷頓‧克里斯汀生(Clayton M. Christensen), 泰迪‧霍爾(Taddy Hall), 凱倫‧狄倫(Karen Dillon), 大衛‧鄧肯(David S. Duncan)/著;洪慧芳/譯

天下雜誌出版

售價:450元

 

 作者簡介 

克雷頓‧克里斯汀生(Clayton M. Christensen)

哈佛商學院的克拉克講座教授,著有9本書,發表在《哈佛商業評論》的文章曾五度榮獲麥肯錫的最佳論文獎,合創過四家公司,包括創見顧問公司(Innosight)。在兩年一度的「五十大思想家」(Thinkers50)排名中,於2011年與2013年獲選為全球最具影響力的商業思想家。

一周大事

$
0
0

趨勢家用防毒首度內建企業版AI防毒偵測引擎

資安公司趨勢科技在臺灣正式推出最新家用版防毒軟體PC-cillin 2018,首度將企業版防毒OfficeScan使用的智慧AI防毒偵測引擎XGen,內建在家用版產品中,強化對於各種變種勒索軟體的偵測外,在行動裝置的安全上,也提供針對Line及WhatsApp傳送網址連結的偵測功能,針對安卓(Android)行動裝置新增防盜拍照功能,如果有人企圖輸入手機密碼錯誤3次,會偷偷拍攝試圖解鎖者的相片,並以郵件方式回傳使用者設定的電子信箱。(詳全文)

 

CCleaner遭植入後門,連從官網下載都會中鏢

思科旗下安全研究室Talos發現Avast旗下一款知名系統清理軟體CCleaner遭植入後門程式,使上億用戶電腦可讓駭客入侵及竊取資料,使用者應儘速升級。

CCleaner系統維護軟體隷屬於Piriform,可提供暫存檔清理、系統分析以維護電腦效能,2016 年11月全球總下載次數超過20億,Piriform公司現由Avast持有。今年9月13日CCleaner 5.33版觸發Talos的攻擊偵測系統,研究人員經過分析,員發現這個32-bit binary包含一個具有網域產生演算法(Domain Generation Algorithm, DGA)及寫死的C&C功能的惡意程式。進一步分析顯示,並非僅第三方軟體商店散佈的CCleaner有問題,就連CCleaner官網下載的都是有毒版本。(詳全文)

 

海盜灣遭爆暗藏挖礦程式,用戶不知不覺可能淪為礦工

全球最大BT網站海盜灣(The Pirate Bay)免費提供存取盜版內容服務,但有用戶發現,它其實也試圖收費,但方式是借用用戶電腦CPU來挖礦。

一名用戶發現當他連上海盜灣網站某些torrent網頁時,他的電腦CPU執行緒使用量忽然衝上80-85%,直到關閉該頁才停止。經過分析,發現海盜灣網頁上一段JavaScript正在偷偷執行比特幣挖礦。(詳全文)

 

AWS推出以秒計費的Linux EC2服務

由於Google及微軟都推出以分計價的雲端服務計價方式,現在AWS宣佈推出以秒計費的服務。

在過去以小時為單位的計費方案下,企業即使只用了幾分鐘也被收取一小時費用,形成浪費。AWS表示,因應許多企業客戶希望能縮短EC2執行個體(instances)服務的計價期間,以便將效益發揮到最大,自10月2日起,Linux-based 雲端運算服務EC2,包括On-Demand、Reserved及Spot三種執行個體,以及AWS儲存服務EBS (Elastic Block Store)將開始提供以秒計費。(詳全文)

 

甲骨文開源Java EE,花落Eclipse

甲骨文(Oracle)正式宣布將開源Java EE,並已選定由Eclipse基金會(Eclipse Foundation)接手。甲骨文軟體傳道者David Delabassee說明了甲骨文開源Java EE的步驟,他們先尋求Java EE的兩大貢獻者—IBM及紅帽(Red Hat)對開源及未來發展方向的支持,再擬定開源方案,進而選定Eclipse基金會作為Java EE的落腳處。(詳全文)

 

傳中國將禁比特幣境內交易,比特幣中國先喊停

身為中國前三大比特幣交易中心的比特幣中國(BTC China)9月14日宣布將於9月30日暫停所有交易業務,讓當天比特幣的最高跌幅接近20%,從3874美元一路下滑到3229美元。

比特幣中國指出,此一決定源自於中國在9月4日釋出的《關於對代幣發行融資開展清理整頓工作的通知》,秉持著防範投資風險,最大限度保障用戶利益的原則,決定即日起停止新用戶的註冊,並將在9月30日停止所有交易業務。(詳全文)

 

臺灣版QRCode支付正式啟動,用手機掃碼就能付款

攝影/蘇文彬

由財政部指導,公股銀行、財金資訊及臺灣行動支付公司共同推動的「台灣Pay QRCode共通支付」正式在國內啟動,支援多家銀行金融卡支付功能,未來消費者憑手機掃描店家的QRCode就能完成付款,明年還將支援信用卡QRCode付款功能,與國際QRCode支付標準接軌,讓消費者在國內外都可以使用。(詳全文)

不只送貨到你家,Walmart打算送到你家冰箱

$
0
0

網購之後還要在家等門嗎?美國零售業者Walmart即將與智慧鎖製造商August Home及當日快遞公司Deliv合作測試送貨進門服務,將貨品送進家門並將生鮮放至冰箱。

負責電子商務的Walmart副總裁Sloan Eddleston表示,現代人因為太忙碌,在網路上訂購商品之後,偶爾會錯過送貨時間或無法在家等門,而且冰箱經常只剩垃圾食物,於是他們企圖打造一項服務,能夠在訂完商品之後,直接將商品送進家中,也能把必須冷藏的商品存放至冰箱,創造更便利的生活。

當消費者在Walmart.com下了訂單之後,Deliv的送貨員就會把各式的商品送至消費者家中,若沒人在家,消費者可預先設定智慧鎖的一次性開鎖密碼以允許送貨員進入。

 

消費者即使不在家,仍可利用家中的監視器,在辦公室就能從手機上的August程式監控整個送貨過程。

 

Walmart挑選了智慧家庭相對普遍的矽谷作為該項服務的首個測試區域,並邀請August客戶參與,未來也可望擴大測試範圍至其他城市。

 

Walmart送貨到冰箱服務:

 

誇張! Adobe意外將PGP加密公、私金鑰公佈於網路上

$
0
0

Adobe上周不慎將PGP加密的公、私密金鑰以明文張貼在公司部落格上,引起使用者一陣議論。所幸及時發現後Adobe已經將金鑰取消,並頒佈新的金鑰。
 
安全研究人員Juho Nurminen上周五首先發現Adobe產品安全事件回應小組(PSIRT)不慎搞出的烏龍。他也證實金鑰的確是用於psirt@adobe.com的電郵信箱。
 
PGP(Pretty Good Privacy)是一套用於訊息加密、驗證的應用程式,採用IDEA的雜湊演算法進行加密和驗證。
 
從貼出的文字可以推斷,可能是Adobe小組成員利用Chrome及Firefox的擴充程式Mailvelope將包含PGP金鑰的文字檔從該小組共同帳號匯出到小組部落格。然而原本匯出的應該只有公開金鑰,但卻在無意間連私鑰也公佈出來。一旦私鑰被有心人拿到,他就可以冒充Adobe PSIRT小組的人發出網釣信件、解密Adobe機密資訊,像是尚未修補的漏洞等。
 
Adobe並未正式說明此事,但於周五將包含金鑰的文章自該公司部落格撤下,一度還被Google快取存下。所幸Adobe迅速取消了舊金鑰,發佈更新的PGP金鑰

 

去年美國大選傳有21個州選務系統遭俄羅斯駭客鎖定

$
0
0

美聯社報導,上周國土安全部正式通知21州,在去年大選期間該州選務系統遭到俄羅斯駭客鎖定。
 
去年以來俄羅斯干擾總統大選、竄改各州選務資料、入侵系統的疑雲持續籠罩美國,但直到這次通知才首次有官方正式證實遭鎖定的名單。在此之前歐巴馬政府曾直接直接指控俄羅斯駭入民主黨的電腦
 
有接獲通知的州包括阿拉巴馬、阿拉斯加、亞利桑納、加州、科羅拉多、康乃狄克、德拉威、佛州、伊利諾、愛荷華、馬里蘭、明尼蘇達、俄亥俄、奧勒岡、賓州、維吉尼亞、華盛頓及威斯康辛州。
 
不過這只說明俄羅斯駭客有企圖駭入選務系統的行為,像是掃瞄電腦等預備性的活動,並不等於選舉資訊有被竄改過。國土安全部表示「入侵網路的意圖大部份都不成功」。
 
另外,本月初臉書則坦承俄羅斯的確透過假帳號下廣告方式,企圖推廣不實或激進的政治言論影響選情。

 

Viewing all 31750 articles
Browse latest View live


<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>