报告预测 60 % 企业会加强监视员工社交网络

社交网络已经成为企业不可或缺的一个宣传途径,只不过要有效控制员工使用社交网络的权限,一直以来都令企业感到头痛不已。事关企业往往只可以封锁或允许使 用社交网络,并未可以完全有效针对社交网络之内的不同功能细分使用权限,因此在 IT 管理员心目中,社交网络往往是一个安全隐忧。

在最新一份由 Gartner 进行的调查便预测,在 2015 年前将有多达 60 % 的企业会增添设备以图加强对社交网络使用上的监控。报告之中指出现时只有不足 10 % 的企业会针对社交网络进行监控工作,而最常被监控的社交网络服务包括 、LinkedIn 等,当然对于华人企业看来,似乎更应着手针对微博进行监控,但很可惜现时有效完美针对微博的监控方案似乎仍未出现。

或许在未来企业能够利用方案有效监控员工于社交网络之中的一举一动,但另一个问题就是要如何有效保障员工的私隐同时,又要避免触犯法律呢?我相信单是这个问题就足以令企业头痛不已。

全新无线网络架构为 ISP 节省 40 倍资本

ISP 为一个国家/地区提供有效率的服务,除了依赖技术人员的协助之外,背后的架构是否能应付不断增长的客户数目亦是影响速度、稳 定性的主要原因;笔者的好友于一家售卖天线的公司工作,他便向笔者透露香港某家 ISP 曾经尝试过在 4G 天线及基建设备还未準备好的时候便向外推出服务,而后果就是连市区都出现接收问题,所以基建设备绝对直接影响着 ISP 的服务质素。

另外由于混合流量紓缓和管理服务的需求迅速上升,一个能跨保安、管理、服务质量(QoS)及自携设备(BYOD)管理,并具大规模及企业级效能的组合方案是各家 ISP 乐于见到的。刚刚于世界移动通信大会 (Mobile World Congress 2013) 中,便有一家网络硬件商宣布全新、针对 ISP 的 HybridControl Wi-Fi 基础架构,有关架构由 Aruba 提供,官方指架构能为服务供应商提供突破性的规模,大幅度节省开支并提升企业级效能。

透过使用 Aruba HybridControl 配合 Aruba 7200 流动控制器便可支援超过 32,000 个 Wi-Fi 热点,方案供应商指出有关方案与其他同类产品相比,资本成本可节省达 40 倍,同时亦可减低 14 倍能源消耗及只需三分之一的机架空间。每个热点亦可利用多个 Aruba Instant 存取点进行部署,使每个单一控制器可聚集超过 100,000 个存取点。

每个位置的 Aruba Instant 存取点均可于本地把行动网络的流量紓缓至互联网,以及智能地集中必要的流量,例如使用 IPSec 连接到于核心部署的 7200 控制器而进行计费及法律拦截,从而减低核心频宽需求。多个控制器可以集中在一个弹性的 N1 配置,向外扩展基础架构,并为电讯服务供应商的 Wi-Fi 部署提供极高扩展性能。另外值得一提的是 Aruba HybridControl 能应付庞大规模的需要,并提供深度封包检测达致 4-7 层感测,从而优化无线网络。

除了上述提到的种种,Aruba HybridControl 亦有针对应用程式提供增值功能,而此等应用程式则是从流动核心和在公用互联网上运作的互联网(Over-the-Top)应用程式交付至流动装置。整合的防火墙能提供保安效能,从而能够因应身份而开放存取、提供入侵防禦服务和应用层保安功能。HybridControl 使用了 Aruba 的 AppRF 效能辨识及实时优先处理应用权限,例如 Microsoft Lync、托管及云端应用程式,因为这些应用程式所需的并不是一般应用程式所预设最多的服务,而是不同类别的服务。

针对现时流行的 BYOD 趋势,方案亦透过其 ClearPass Access Management System 提供自携设备(BYOD)管理效能,包括策略管理、装置登入、访客存取及装置状态评估;同时控制器亦提供以位置为本的数据,供企业分析应用程式使用。

加快部署速度

HybridControl 可在无需任何手动配置的情况下,让出厂预设的存取点在零接触下启动,令 Wi-Fi 热点的部署成本显着减低达 75%。最新付运的出厂预设存取点与 Aruba Activate 云端服务接轨,从而检测电讯服务供应商的配置管理系统。每当他们下载其配置时,存取点会使用防干扰的 X.509 认证,与流动控制器进行验证,并同时设置 IPSEC 隧道。

另外 Aruba Activate 云端服务已可与处于电讯服务供应商数据中心内的 Aruba ClearPass Policy Management 平台接轨,从而验证最新存取点以加入流动核心网络。自动化工序有助取代过往繁琐的部署过程,大大减低营运成本,同时确保高度保安防护。

美军强化网络防禦技术以应付网络战争

为了加强日新月异的网络攻击,美军现在正研发一项名为 National Cyber Range (NCR) 的虚拟网络测试场,透过这个测试场美军将能够随时模拟针对互 联网进行不同的攻击测试,从而找出预防不同攻击的方法。另一个用途是透过这测试场训练美军的网络作战能力,同时改善在保卫国家网络时的能力及反应。

同时这计划将分别支付 Lockheed Martin 30.8 千万及 Johns Hopkins University Applied Physics Laboratory 24.7 千万,用以增加其本的防禦攻击能力,以免研发机构亦受到黑客的攻击,同时亦用以协助美军的研发计划。

这个测试场将会完全模拟所有政府部门、军队、人民在受到网络攻击时的情况,而同时亦会模拟到人类的行为模式及反应。除此之外更可以模拟一旦大型基建受到攻击时的情况以及应如何採取适当的回应。

整个计划预计会在 2012 年中期完成,早在四年多年美国便已经跟多家厂商签定总数达 1 亿 3000 多万美元合约,用以研发这个测试场。

SJC2海底电缆动工 提升亚洲地区网络传输能力

SJC2海底电缆动工 提升亚洲地区网络传输能力

随着网络应用的高速发展,普通及商业用户对网络速度要求越来越高。 中国移动国际有限公司 (CMI)与所有东南亚 – 日本2号(SJC2)海缆会员正式签署协议,将共同建造一条连接新加坡、泰国、柬埔寨、越南、中国香港、中国台湾、中国大陆、韩国以及日本的超高速海底电缆。

SJC2 海缆长10,500公里,连接亚洲11个登陆站,预计将于2020年第四季度完成。该海缆将会配备8对高容量光纤,总容量高达每秒 144T,相当于同时播放576万个超高清视频。SJC2 海缆的高容量使其能够支持如物联网、机器人、数据分析和人工智能或虚拟现实应用等高带宽的需求。

SJC2 由全球8家电信及公司筹建和运营,包括中国移动国际、新加坡电信、中华电信、柬埔寨创为公司、、日本 KDDI、韩国 SK broadband 以及越南邮政通信集团。

中国移动国际有限公司董事长兼行政总裁李锋博士表示「SJC2 海缆由日本开始一直向南延伸至新加坡,是对国家共建『一带一路』倡议的积极回应。SJC2 的建设能更好地为全球客户提供东南亚地区的带宽容量和更快的传输速度,不仅及时回应了该地区对宽带的高度需求,同时也为 5G 时代的到来做好準备。中国移动国际积极参与投资兴建 SJC2 海缆,并全权负责上海及香港的两个登陆站建设,提供了打通亚洲与中国连接的双重门户。」

报告指黑客改变彊尸网络隐藏玩法

在一个月前的大型 DDoS 攻击活动后,笔者一直等待着 Akamai 针对 DDoS 的报告;Akamai 在互联网的影响力不容忽视,全球 30% 的网络流量均通过 Akamai 的伺服器,所以 Akamai 发表的互联网趋势 及威胁报告有绝对的参考价值。

由于 Akamai 是一家商业机构,很多时按常理应尽量避免涉及政治,然而上月针对 Popvote 的 DDoS 服务,Akamai 在最新的 2014 年全球 DDoS 攻击报告之中虽没公开事件,然而报告中却提到于今年的 5 月 28 日及 5 月 30 日香港的攻击量出现巨额上升,相信 Akamai 亦录得该次攻击。

而报告之中亦明显得见,DDoS 攻击总数、平均及高峰频宽仍持续高企。恶意攻击者可以通过铺天盖地的网络频宽,除去整个数据中心。强大的攻击背后,反映了攻击者建立、部署的隐藏 殭尸网络 技术不断变化。伺服器端的殭尸网络往往利用网站的弱点,再加上 反射 和放大技术,令网络攻击事半功倍。

攻击者改变玩法

攻击者建立伺服器端的殭尸网络时,通常着手于 平台即服务 (Platform-as-a-Service)和 软件即服务 (Software-as-a-Service)供应商所用的伺服器运行软件的弱点,例如 Linux、Apache、MySQL、PHP (LAMP) stack 和 Microsoft Windows 伺服器作业系统等;此外,他们亦会攻击较为脆弱的常见内容管理系统(Content Management Systems),如 WordPress、Joomla 或他们的外挂程式。

伺服器感染者itsoknoproblembro (Brobot)殭尸网络

伺服器端殭尸网络正在兴起的同时,itsoknoproblembro (Brobot)殭尸网络一种依靠伺服器感染的 病毒 ,仍然是个威胁。Brobot 殭尸网络在 2011-2013 年,阿巴比尔攻击金融机构行动时已开始使用。2014 第二季的攻击报告显示,Brobot 的威胁仍然存在。纵使已经把威胁剷除,但事实上殭尸网络却在伺服器端秘密保存。

与 2013 年同期相比,报告显示第二季反射及放大攻击变得更为普及化,影响超过 15% 的基础架构。这些攻击普遍针对互联网协定功能和伺服器配置错误的漏洞。社会清理工作使 2014 年第二季度的 NTP 反射攻击显着下降,但 SNMP 反射攻击却激增,填补了反射攻击的下降。

报告重点

与 2013 年第二季相比

•    DDoS 攻击总数上升 22%
•    平均攻击频宽上升 72%
•    基础架构攻击(第三及第四层)上升 46%
•    平均攻击时间下跌 54%38 对 17 小时
•    平均高峰频宽上升 241%

与 2014 年第一季相比

•    DDoS 攻击总数上升 0.2%
•    平均攻击频宽下跌 14%
•    应用攻击(第七层)下跌 15%
•    平均攻击时间下跌 0.2%17.38 对 17.35 小时
•    平均高峰频宽下跌 36%

分析及新兴趋势

涉及伺服器端的殭尸网络攻击,Akamai 的专家只能在最复杂和精心打造的 DDoS 活动中才能观察得到。这些殭尸网络的高流量基础架构攻击似乎经过特别制造,能避过 DDoS 缓和技术的检测。因为这些攻击的有效性,加上脆弱的云端计算软件广泛普及,殭尸网络的攻击很可能会持续,并可能在 DDoS 地下市场货币化。他们对企业、政府和其他组织构成了重大的潜伏危险。

港澳青少年网络技能大赛完满结束

Cisco 与教育界一同举办的思科网络学院第十届港澳青少年网络技能大赛圆满结束,比赛旨在促进大专及中学生的知识,深化他们的资讯技能,并增强他们对网络的兴趣及体验。 活动亦首次把大专组的比赛,于 2014 年 7 月 3 日移师至澳门举办,而中学组的比赛亦于 2014 年 7 月 5 日在香港专业教育学院 (青衣分校) 顺利举行。

今年的比赛主题为「培养未来人才,打造『 万物互联 』」,透过严谨的技能及理论测试,考验学生基本的网络技能,为踏入「万物互联」( Internet of Everything )-即是透过「联所未连」,将人 (People)、流程 (Process)、数据 (Data) 及物件 (Thing),智能地相互连结于互联网上,从而带来新一代互联网发展阶段。

大专组的技能测试范围包括思科网络学院计划的 CCNA 1 (Cisco Certified Network Associate 1) 至 CCNA 4 的课程内容;而中学组则包括 IT Essentials、CCNA 1 的课程内容,以及香港资讯及通讯科的必修部分 (网络有关内容) 及网络选修部分。比赛更为中学组参赛学生特设工作坊,介绍基础网络应用,为比赛作更好準备。在过往十年,比赛提供了一个理想的平台,让过往的比赛胜出者及业界专家,向现届参赛学生分享从事 IT 行业的经验及成功故事。

活动中亦宣佈了 8 队金奖队伍,包括中学组共 7 队,以及大专组 1 队,从接近 150 名学生组成的 73 队参赛队伍中脱颖而出。所有得奖队伍参赛时均展示了高水平的网络设计技巧。思科网络学院港澳青少年网络技能大赛举办十年,共吸引了逾千二名来自香港及澳门的学生踊跃参与。

思科网络学院第十届港澳青少年网络技能大赛金奖得主 (中学组)

元朗商会中学    梁国鹏,蔡奇峰
元朗商会中学    曾家乐,伍豪贤
天主教郭得胜中学    陈嘉裕,李文杰
乐善堂顾超文中学    黄鑫浩,岑健秋
澳门生产力暨转移中心    曾泽宏,周家熙
澳门生产力暨转移中心    伍煒怡,黎志华
澳门生产力暨转移中心    张嘉辉,吴文希

思科网络学院第十届港澳青少年网络技能大赛金奖得主 (大专组)

澳门生产力暨转移中心    吴健迪,区阳洁霞

中兴通讯将建造全国性 LTE/DC-HSPA+ 商业网络

今天中兴电讯宣佈将与 Hutchison 3G Austria 合作在奥地利建造一个全国性的 LTE/DC-HSPA 商业网络,看来 4G 的无线服务将会愈来愈普及。根 据合约内容,中兴电讯将会为 Hutchison 3G Austria 建设一个全国性的无线网络存取

服务,以及整个核心网络、服务,并用作替换现时营运商使用的基础架构,此项计划会于 2011 年正式建成,完成后其 HSPA 服务将能够覆盖到全国 94 % 人口,并且在各大城市提供 LTE 服务。

Hutchison 3G Austria 在全球多国提供网络营运服务,他们预期全球各地的用户将会对无线网络的需求大增,现时透过不断的在世界各地建立无线网络以及将网络速度提升至 LTE/DC-HSPA,将可以令公司提供更加优质以及更快的网络

服务,成为提供最快速无线网络的营运商。

网络行为管理方案助防止员工 Facebook、IM

员工上班时偶然 、IM 一下基本上是问题不大的,不过有些员工不自觉「做坏规矩」的时候,身为管理人员便可「视而不见」。今次我们介绍一个内地的平价 网络行为管理方案 – 飞星鱼 (Volans),这品牌香港用户可能未必听过,不过在内地却是十分知名的品牌,根据官方数字,这品牌在国内市场已超过200,000个中小企业及80,000间网吧客户使用。

很多时,网络行为管理方案大多数的目标客户都是中至大型企业,而Volans推出的方案其实是比较少有,针对中小企的行为管理方案。而今次介绍的是一款无线路由器 – VE602W。VE602W 只有 8 ” 大小的机身设计,适合中小企业、个人客户及网吧等环境使用。同时亦备有上网行为管理功能、透过内置的网页及程式分组,有限控制用户网上活动。机身提供2 个 WAN埠,支援load balancing及failover,中小企设备但不失企业级数功能。

当然VE602W亦整合了11N 300M无线传输功能,配置2*5dBi强效天线,绝对能覆盖一般办公室环境;而新方案更支援3G上网,用户只需将3G USB Modem接驳到VE602W的USB埠就能将连线分享予多人使用,兼可将3G设定为备缓连线,令中小企网络多一层保障。另外,很多时公司都会有客户来访,这时候更可在路由器之中启用客人网络,这样客人便可以透过公司网络连线的同时,亦可做到完全分隔内网及外网用户,保障机密资料不会外泄,真正机身小,功能大!

上网行为管理

面对日益复杂的网络行为,VE602W 现在亦特设透过简易的文字及智能选项,让管理员更轻易管理公司的网络应用。在预设情况下,管理员最多可以将应用分为10组管理,包括社交网站、金融股票到网上购物或论坛等均有涵盖。用户只需点选有关分类,便能阻截员工连到网页。即时通讯、金融股票以及线上遊戏或BT等大流量应用程式,亦预设多个分类选项,点选后程式便不能连到网络,节省公司网络频宽,留予其他重要程式,如VoIP, ftp伺服器等使用。

免配置 Smart QoS II 优化资料传输

传统的QoS,会要求管理员自行定义各种网络应用的先后次序,但设定者需要对网络配置有一定程度的认识,多需技术人员操作。而 Volans 独有的 Smart QoS II,内置智能程序,由装置根据即时网络流量情况,去决定用户及程序使用的优先次序,凭藉以上技术,VE602W能将企业网络效能尽情发挥,达至最佳化。

独家客人网络 分隔员工访客

刚才都有提到,很多时都会有访客来到公司,而客户很多时都要求使用公司的无线网络以便存取。今次介绍的 VE602W 备有专利客人网络 (Guest Network) 技术,透过此技术将能够给予访客使用专用的无线网络设定,这样访客除了浏览网页及无线打印外,同时亦有效限制连结到公司内部网络,以防机密资料外泄。公司员工则可透过主人网络,自由连到内网或外网;VE602W亦有AP isolation,限制无线用户之间的通讯。

繁体/ 英文/ 简体随意切换

别以为内地品牌便只有简体介面,现时在香港销售的VE602W的智能管理介面已备有繁体/ 英文/ 简体语言可供选择,管理员可因应需要随时转换,更切合中港两地人员所需。

300 Mbps 无线网速!香港正部署 LTE Advanced 300 网络

从 3.5G 到 4G LTE ,香港在这方面的发展一直走在最前线,至于 4G LTE 后,下一步会是如何?当然是传闻已久的 LTE Advanced 网络,现时全球仍未有 ISP 提供 LTE Advanced 网络服务,然而香港却开始有 ISP 部署方案,希望能成为全球首家提供 LTE Advanced 网络的供应商。

率先部署 LTE Advanced 的 ISP 可能大家都估到了,那就是当年率先提供 4G LTE 网络的 CSL 1010 / one2free ,从今日起她们将开始部署 LTE Advanced 300(LTE-A300)网络,并于今天进行首次 LTE-A300 的技术示范;1O1O 及 one2free 结合了两段 20 MHz 的 2600 MHz 频谱及 1800 MHz 频谱,以实现高达 300 Mbps 理论的最高下载速度。

LTE-A300 是 LTE 技术发展的重要基石,可应付未来流动数据用量的急剧增长。目前,全球尚未有网络商推出传输速度高达 300 Mbps 的 LTE-A 网络,假如部署工作能快速完成的话,那香港将成为全球首个能提供到 LTE Advanced 300 网络的地区。

骇客小工具也可帮你网络检修

HoverIp 是一个免费的网络小工具,内里提供大量免费的网络检修功能。

例如检查 IP 地址、修改路由表、路径追踪甚至骇客常用的 Port Scanning 都有提供。 HoverIp 最好用的地方是它够轻巧,几乎即按即启动。

1. IP Config一栏只要点选网络卡类型,然后按动 Release IP 和 Renew IP 两个按键,便可以最替常于 Command Prompt 下的 ipconfig /release 和 ipconfig /renew 两个日常动作。

2. Nslookup用来检查一个网站的在线情况,例如这个网站的反应速度,通常被攻击中的网站,其回馈之数据都会出现延误。

3. Routing Table如果你对 VPN 的设定有疑问,又或者想加入自己的 Routing List,很多时候都要在 Command Prompt 以指令方式添加,其实方法都几吓人,何不用 HoverIP 下的 Routing Managment?这些设定在这里同样可以做到。

4. Ping不用我多说,它是用来瞭解一个网址或网站是否存在,但对于存有 IPS/IDS 等装置的网络闸道,通常对 Ping 可以是无回应的。

5. Traceroute是我常用的工具,通常若我想知一个网站究竟架设在哪家公司的数据中心,又或者是否架在家中,我都可以用 Traceroute 找出伺服器出街的第一组 IP,然后利用 WhoIS 来找出 IP 拥有者的身份。

6. Port Scanning最典型的用法是寻找一个 IP 地址上开放了的埠口,从而估计该网址或伺服器究竟在运行甚么服务。