農曆春節連假期間（1/21-29）為方便本院同仁持續使用計算中心所提供之系統與應用服務，春節假期各項服務狀況如下：

1. 本中心所提供之各系統及服務，農曆春節假期(1/21-1/29)照常提供。
2. 春節期間如有緊急異常狀通報，請聯絡電腦機房值班同仁，電話：2788-6333、0932152969。
   

高效能計算服務101年2月24日下午8時至29日上午10時暫停服務。

1. 總務組訂於101年2月25日至28日進行行政大樓電力設備更換作業，為配合電力設備更換，高效能計算服務於前述期間暫停服務。
2. 暫停服務期間，有資料使用需求者，請提前備份資料，不便之處，敬請見諒。
3. 本中心部分服務已於天數館電腦機房建立異地備援服務，各項服務受影響情形將另公告通知。
   
   

• 課程名稱：探究Windows 7 運用與實務
• 講師：曹家豪先生(外聘)
• 上課日期：101/02/09 下午1:30~5:30
• 上課地點：人文館3樓遠距會議室
• 說明：
  1. 請務必先經主管同意再線上報名。
  2. 去年下半年已經上過課的同仁請勿重覆報名，重覆報名者逕行取消，不另行通知。
  3. 報名成功並不代表錄取，屆時會再發錄取通知單，同仁課前若未收到錄取通知單，可至線上查詢，以免白跑一趟。
• 課程大綱／相關規定／線上報名請至：http://www.ascc.sinica.edu.tw/train/class/101-1/class_win7.html
• 連絡電話：2789-8863 陳瑞羚
  
  

　Symantec向媒體表示，受到影響的產品為Symantec Endpoint Protection 11.0及Symantec Antivirus 10.2。目前最新的Symantec Endpoint Protection版本為12.1，而Symantec Antivirus 10.2則已終止銷售。

　自稱為Lords of Dharmaraja的駭客組織於1月5日表示取得了Symantec軟體設計文件與Norton AntiVirus防毒軟體的原始碼，隔天（1/6）Symantec便證實駭客的確拿到了該公司兩個企業防毒軟體產品的部份程式碼，但都屬於老舊版本。

　Symantec向媒體表示，受到影響的產品為Symantec Endpoint Protection 11.0及Symantec Antivirus 10.2，這兩項產品皆是屬於企業端產品，而且上市迄今皆已超過4年。目前最新的Symantec Endpoint Protection版本為12.1，而Symantec Antivirus 10.2則已終止銷售。

　Symantec並強調，迄今尚無任何跡象顯示被公布的程式碼會影響該公司軟體的功能或安全性。

　資安業者對此事件的嚴重性看法不一，有的業者認為駭客仍可透過相關程式碼了解程式的弱點，也有業者認為駭客根本不需要檢視防毒軟體程式碼就能打敗它。

　駭客組織是從印度情報機關的伺服器上取得了包括Symantec在內的多家軟體業者的機密資訊，這些業者皆是印度國防計畫或中央情報局的合作廠商，部分政府要求業者提供程式碼證明這些軟體不含間諜程式，以確保國家安全。

　中心於去年12/15完成本院101年度「微軟教育版軟體大量授權」比價程序，訂2/1驗收，其產品內容包括：

•  Windows 作業系統專業升級版（僅限升級版且不含Windows Server，同仁購買新電腦時，請記得選擇隨機版，否則無法啟動Windows 7）
• Office專業版（含Word、Excel、Power Point、Access、Outlook 等）
• Visual Studio 專業版（含Visual Basic、Visual C#、Visual C++、Visual J# 等）
• Core CAL核心「用戶端存取使用權」（含Windows Server、Exchange Server、Office SharePoint Server、Systems Configuration Management Server 2007的使用端授權）
• SQL CAL（SQL Server 的使用端授權）
• Expression Studio
• Publisher

　本方案授權期限為101年1月1日至12月31日。軟體原有安裝光碟及序號可繼續使用，各單位同仁如有使用需求，請洽詢貴單位資訊室。

　鑑於本院人員研究所需，中心已完成辦理101年度「MATLAB軟體新購及維護」採購案。其費用由參與本次軟體採購之15個單位於資訊設備費及業務費項下依套數分攤。同仁如對本項軟體有任何問題，歡迎來電洽詢李世筠小姐，聯絡電話：2789-9253。

　中心為延續總辦事處個人電腦防禦電腦病毒入侵的能力，於去（100）年12月13日完成總辦事處101年度防毒軟體授權採購。

　本案採購趨勢科技之OfficeScan系列產品屬大專院校全校授權方案，授權期間自101年1月9日至102年1月8日。院內已經使用的單位可以原有序號延續使用。

　因OfficeScan為中控型防毒軟體需架設中控伺服器，若各單位同仁有使用意願，請先洽貴單位資訊室。

• 「幾何學賞析」演講係於 12月31日下午2 時舉行；本場演講由本院本院本院彭旭明副院長長主持，丘成桐院士（美國哈佛大學數學系教授兼系主任）主講。
• 12月份知識饗宴「民國傳承與臺灣戰後經濟發展 」係於 12月27日下午19 時舉行；本場演講由本院本院王汎森副院長長主持，瞿宛文研究員（本院人文社會科學研究中心）主講。

  詳細內容請參考網站：http://www.ascc.sinica.edu.tw/php-bin/videosrv/

　2012年數位典藏與數位學習國際會議訂於今(101)年2月21至24日(星期二至星期五)假中央研究院人文社會科學館舉行。本次年會由「數位典藏與數位學習國家型科技計畫」國際合作分項主辦，並與博物館電腦網路協會台灣分會(Museum Computer Network Taiwan)及電子文化地圖協會(Electronic Cultural Atlas Initiative, ECAI)協辦會後工作坊。

　數位化技術迅速的發展，帶動各類數位化資料進行跨主題、跨領域的結合，研究人員進而從中發 展出新的研究題目及研究方法，亦促進更深入的國際合作。本會議作為國內外數位典藏專家學者研究交流的論壇，讓國內學術界與歐、美、亞國家 學者們分享在數位典藏上的發展經驗。今年的會議除了主題及獨特性之成果展示外，更進一步著重於數位保存、數位人文與數位學習等議題。歡迎數位典藏與數位學習國家型計畫成員與相關領域研究機構工作者踴躍報名。

• 時　　間：2012年2月21 日(二) - 24日(五)
• 地　　點：中 央研究院人文科學社會館
• 會議官網：http://indico3.twgrid.org/indico/conferenceTimeTable.py?confId=251#20120221
• 線上註冊：https://collab.teldap.tw/teldap2012/reg/

　台北市雜誌商業同業公會將於今年2月6日(星期五)下午14:00至16:45台北國際書展期間，舉辦三場以「數位閱讀」、「數位應用」與「數位學習」領域為主題的論壇活動，分別邀請湛天創新科技股份有限公司執行長蔡競賢、空中英語教室研發部協理蔡介士、康軒文教事業編務副總經理譚慧婷主講，地點在世貿一館黃沙龍 (近君悅飯店入口)，歡迎民眾到公會官網線上報名，完全免費入場，因場地空間及座位有限，各論壇活動僅60個名額，敬請提早報名，先搶先贏！

• 2月6日（一）14:00-14:45「2012國際書展演講：趨勢篇~數位閱讀新力量」
  報名網址：請按這裡
• 2月6日（一）15:00-15:45「2012國際書展演講：應用篇~電子雜誌未來」
  報名網址：請按這裡
• 2月6日（一）16:00-16:45「2012國際書展演講：學習篇~數位學習在正規教育的新趨勢」
  報名網址：請按這裡

活動洽詢：
台北市雜誌商業同業公會 陳宜婷
TEL:(02)2501-5696
FAX:(02)2501-5697
E-mail: kate_chen@magazine.org.tw

新聞聯絡人：
台北市雜誌商業同業公會 經理 王心怡
E-mail: gladys_wang@magazine.org.tw
TEL:(02)2501-5696
FAX:(02)2501-5697

　欲瞭解開班資訊，請至：
https://itschool.dgbas.gov.tw/epaper/1010101/class02.html 查閱。

一、前言
　隨著資安觀念的普及，來自資通訊系統、設備被發掘的安全弱點數量近年已呈現持平或下降的趨勢。但IBM X-Force 2009年中趨勢及風險報告[1]以及HP 2010年網路安全風險研究報告[2]卻指出，Web應用程式的安全弱點即佔了所有漏洞總數的一半，而且運用網頁惡意工具套件進行複雜有效攻擊行為也大量增加。

　由於Web應用程式通常會連接到後台的資料庫，一旦被駭客入侵，不僅整個資料庫的資料不保，若資料庫管理系統權限設定不當，甚至會讓駭客取得控制權[3]。因此，Web應用程式安全已成為當前重要的資安課題。

二、常見的Web應用程式安全弱點
　OWASP（Open Web Application Security Project）是一個全球性開放社群，也是一個非營利組織，長期致力於改善Web應用程式的安全性，主要目標在於建立Web應用程式安全的標準、工具與技術文件，並提供給政府和業界參考，以降低Web應用程式在設計、開發及部署過程可能產生的安全弱點，防止駭客利用這些安全弱點來進行破壞。

　OWASP從2004年起就開始評鑑Web應用程式的安全弱點並予以排名，該組織在2010年依「攻擊與威脅來源廣度」、「攻擊手法難易度」、「弱點流行程度」、「弱點偵測難易度」、「技術面衝擊程度」及「營運面衝擊程度」等六大因素，評鑑出Web應用程式十大弱點（OWASP Top 10），簡單說明如表一，更詳細的資料請參考[4]。

表一、2010 OWASP Top 10

　與前一次OWASP公布的十大安全弱點比較，2010 OWASP Top 10除了新增「A6.不當的安全組態」與「A10.未驗證的轉址與轉送」兩項，其他八項都相同。這說明在過去的ㄧ段時間以來，已知的Web應用程式安全弱點仍未能獲得妥適的處理，可能原因有：(1)找不到原來Web應用程式的開發廠商或是缺乏足夠的人力進行安全弱點修補；(2)使用未經安全驗證的第三方外掛程式，例如：Joomla、Drupal等；(3)Web應用程式的原始程式碼或架構太過複雜，擔心修補造成不穩；(4)自行開發或委外開發Web應用程式時，未將資訊安全視為功能性需求，嵌入軟體發展生命週期的各大階段，導致產生可被駭客利用的各種安全弱點。
隨著地下經濟體系的發展成熟，網路攻擊活動已形成了由製作提供工具、實施攻擊、盜竊帳號、販售帳號、提供交易平臺等各個環節分工合作的供應鏈。任何人都可以很容易的取得網頁惡意工具套件，並針對存在OWASP Top 10安全弱點的Web應用程式進行自動化攻擊，使得Web應用程式的安全情勢面臨嚴峻挑戰。

三、如何強化Web應用程式安全
　為降低Web應用程式遭受惡意攻擊的風險，下面將介紹4種強化Web應用程式的作法：

1. 建置Web應用程式防火牆
   　如果在短時間內，無法修補所有被發現的安全弱點，或者在修補安全弱點的空窗期，那麼建置Web應用程式防火牆將是最適當的作法。與一般防火牆使用IP位址、通訊埠、通訊協定的存取控制防禦方式不同，Web應用程式防火牆可以針對Web網頁的HTTP要求進行檢測，並阻擋駭客利用Web應用程式安全弱點進行攻擊。如何評估、建置、管理Web應用程式防火牆及其如何防護OWASP Top 10安全弱點，請參考[5]。
2. 定期進行滲透測試
   　滲透測試（Penetration Test）是透過模擬駭客真實的攻擊方法，來評估Web應用程式安全狀態的一種方法。滲透測試主要分為兩種，分別是黑箱工具滲透測試與人工滲透測試。黑箱工具滲透測試是利用工具模擬駭客的攻擊行為，人工滲透測試則是透過資訊安全專家的專業知識滲透系統。人工滲透測試雖然檢查速度沒有黑箱工具滲透測試快，但卻可能發掘黑箱工具滲透測試所找不到與邏輯相關的安全弱點。
   　滲透測試可以很快找出Web應用程式潛在的安全弱點，並讓組織據以採取適當的防護措施，例如：利用Web應用程式防火牆來防護這些被發現的安全弱點。但其缺點是無法確切指出安全弱點是發生在那一行程式，因此若想快速有效的修補程式碼，建議配合原始碼檢測。
3. 原始碼檢測
   　原始碼檢測可以利用自動化工具或是人工檢查。自動化工具可以快速找出原始碼的安全弱點，但對於邏輯相關的安全弱點可能會有疏漏，例如：自動化工具無法判斷什麼是重要資料、哪些頁面需要限制存取、哪些資料數值不得為負數等。而人工檢查雖可以找出邏輯相關的問題，但因需要透過資訊安全專家的專業知識進行原始碼檢測，所需花費的時間及金錢的成本相當高。因此，目前的原始碼檢測大都採用自動化工具進行，除非Web應用程式的安全等級極高以及預算許可下，才會建議採用人工檢查方式。
   　原始碼檢測可以具體的指出Web應用程式的安全弱點發生在哪一行程式，並提供相關的修補建議讓程式開發人員進行修補，這似乎可以有效解決Web應用程式的安全問題。然而，如果程式開發人員不改變撰寫程式的習慣，繼續寫出有弱點的程式，即使原始碼檢測可以快速找出弱點，Web應用程式的安全弱點將永遠沒有修補完成的一天。為了避免這種情形，建議Web應用程式的發展過程導入安全軟體發展生命週期。
4. 導入安全軟體發展生命週期
   　軟體發展生命週期（Software Development Life Cycle，簡稱SDLC）將應用程式的發展分成「需求」、「設計」、「開發」、「測試」和「部署與維運」等五大階段。在愈早的階段修補弱點，所需的成本就愈少。美國NIST的研究指出，應用程式在發布後進行修補其成本比發布前進行修補高出30倍之多。另外，應用程式因設計架構不佳導致問題或弱點無法修正的情形也時有所聞。
   　為從根本解決Web應用程式的安全問題，建議Web應用程式的發展過程導入安全軟體發展生命週期（Security SDLC，簡稱SSDLC），將資訊安全的要求，嵌入安全軟體發展生命週期的各大階段，而不僅僅完成Web應用程式的功能要求而已。
   　關於安全軟體發展生命週期各階段對於資訊安全的要求，請參考技服中心於其網站首頁共通規範公布的《99年Web應用程式安全參考指引(修訂)》[6]。

四、結語
　Web應用程式的安全正面臨嚴峻的挑戰，主要原因是已知的Web應用程式安全弱點仍未能獲得妥適的處理。OWASP從2004年起就開始評鑑Web應用程式的安全弱點，但「A1.注入類」及「A2.跨網站入侵字串」等兩個弱點一直高居前十大弱點的前二名。

　本文介紹了4種強化Web應用程式的作法，這些作法並無排他性，而是相輔相成的，可視組織文化或預算選用。例如：在有限時間、人力不足或擔心程式修補造成不穩的情況下，可先採用Web應用程式防火牆來防護一般的網頁攻擊。如果有足夠的人力，則可以採用原始碼檢測找出Web應用程式的程式碼弱點，並讓程式開發人員進行修補。運用滲透測試除了可以驗證Web應用程式安全弱點的修補成效，也可以將滲透測試發現的安全弱點寫成防護的規則，增加Web應用程式防火牆的防禦強度。而若導入安全軟體發展生命週期，則可於Web應用程式發展過程的各大階段，分別運用滲透測試（於「測試」和「部署與維運」階段）、原始碼檢測（於「開發」和「測試」階段）及建置Web應用程式防火牆（於「部署與維運」階段）等作法，從制度面徹底解決Web應用程式的安全問題。

• [1] IBM X-Force 2009年中趨勢及風險報告，
  http://www-935.ibm.com/services/tw/gts/iss/xforce/trendreports.html
• [2] 2010 Full Year Top Cyber Security Risks Report，
  http://dvlabs.tippingpoint.com/img/FullYear2010%20Risk%20Report.pdf
• [3]如何通過WEB入侵獲得freebsd 4.0的root許可權，
  http://www.cppblog.com/niewenlong/archive/2007/06/19/26595.html
• [4]OWASP Top 10 for 2010，
  https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
• [5]OWASP Best Practices: Use of Web Application Firewalls，
  https://www.owasp.org/index.php/Category:OWASP_Best_Practices
  :_Use_of_Web_Application_Firewalls
• [6] 99年度Web應用程式安全參考指引(修訂)，
  http://www.icst.org.tw/Iwfilelog.aspx?fn=99年度Web應用程式安全參考指引(修訂).zip

前言
　相信不論是私人聚會，或公事上的討論，由於距離、溝通方便性等因素，常常會使用到視訊功能。但目前各類設備的統合還尚未完熟，而不同需求下又得使用不同機器，因此使用上常遇到困境。

　月前數學所電腦室接到架設視訊會議任務，需要與三位外國學者進行遠距視訊會議，我方須拍攝可容納二十人左右的會場，而其中兩位美國學者與所方會議時間為下班在家時段，僅以 Webcam 利用 Skype等方式加入會議。所方部分由於Webcam不容易拍攝範圍較大的會場，畫素也不夠清楚，在經費限制下，希望利用一般的DV拍攝，以影像擷取卡擷取作為視訊輸入來源，但也因此面臨了幾個問題，幾經測試後，發現 Google+ Hangouts 多方視訊聚會開放試用，增加了一個經濟的視訊會議方式，在此為文，整理此次任務心得，冀望對視訊會議使用者，能有所助益。

　會議前我們規劃完成三種方案 : Skype、LifeSize 視訊會議系統和Google+ Hangouts。後來三位國外學者選擇不同的方式，與數學所遠距會議。會議時，三種方案同時上場，很有挑戰性。

Skype　通話＋Streaming 影像

　除了專業視訊會議系統外，Skype 為時下使用最普及語音、視訊通話方式。所方會議室以DV拍攝+擷取卡將影像擷取，測試結果Skype無法抓取DV的影像，詢問擷取卡原廠，回答是目前他們的擷取卡擷取下來的影像尚無法支援Skype，爬文一段時間也沒有看到哪一塊擷取卡，確定支援Skype，所以想從Skype傳送畫面的想法，遭遇瓶頸。另一方面，測試的軟體　Windows Media Encoder串流廣播，提供即時影音，但聲音影像差約十來秒延遲，不同步的情形嚴重。故將兩者結合使用，以Windows Media Encoder做即時影像的播放，再配合Skype的聲音傳輸以及接收對方的 Skype 視訊，以達到即時對話，和大致的會場影像效果。

LifeSize 視訊會議系統　
　LifeSize視訊會議設備，影像非常清晰，通話品質也不錯，但缺點是必須雙方都有相容的設備。對於已經下班的國外學者，我方不敢強制要求標準視訊系統方案。無時差國家學者即選擇標準視訊會議，會議效果還是最好。

Google+ Hangouts多方視訊聚會
　搜尋引擎起家聞名的Google，開始創立社群網站Google+，欲分食社群大餅。為了吸引更多人的加入，Google利用自身的能力，整合並提供相當多實用的功能，我們這次主要所想介紹的，便是Googl+ 的Hangouts視訊聚會。

　測試使用Hangouts時，我們面臨了與Skype一樣的問題，也就是一般WebCam的拍攝沒有問題，但卻抓不到DV的影像。不過Hangouts提供兩種使用版本，其中的進階版本，提供了分享視窗畫面。我們將DV的影像，先用一款名為Amcap的軟體擷取其影像，再將它分享至Hangouts，便解決其無法擷取DV影像的問題。

A.Hangouts 分享螢幕畫面

　「分享螢幕畫面」的功能非常實用，除了DV擷取影像問題此方法解決外，平時我們想將桌面的畫面Show給其他視訊參與者看時，也可利用此功能。

B. 共同創作「線上畫板」、「會議紀錄」、Google Doc
　Hangouts進階版還提供線上畫板與紀錄，讓視訊參與者可即時多方共同編輯。

　這些畫板及會議紀錄都可直接列印出來，也可另存成word、pdf、純文字檔、html等等格式來下載回自己電腦。另外也可以使用已經上傳，儲存於Google Docs中的檔案。對有Google帳號的人來說，其整合讓使用更方便。

Ｃ. 視訊其他功能

　Hangouts一般版本與進階版都提供即時通訊功能(上圖為一般版本之介面，即時通訊功能請見圖中左方格區域)，讓您可用手打傳訊。另外，您點選的參與者，會出現在您畫面的最大的框中。當您不想聽某個人講話，或者您想關閉自己的視訊畫面或聲音，當然也都可以由您控制。

　進階版與一般版本的功能略有不同，進階版本比較適合會議，而一般版本比較適合私人聚會。像是一般版本介面，有個鬍子圖案的按鈕，其按下後，會有個鬍子跟在您臉上。為了因應聖誕節的到來，Google＋還將鬍子變成Reindeer 圖像，讓您化身可愛馴鹿。相當童趣。

　除了內定的馴鹿等，GOOGLE+也提供Hangouts API，供使用者自己發揮創意放自己設計的圖像。
Hangouts也貼心提供YOUTUBE，不但可以自己觀看，還可與視訊參與者同步觀看YOUTUBE的影片，一邊欣賞一邊討論。

結語
　或許您正在使用Skype，但不妨試用Google+的Hangouts。比起Skype的部分付費功能(多方視訊通話)，Google+ 目前可是「完全免費」，只需打開瀏覽器，登入Google 帳號即可使用。當然， Google也不會漏掉智慧型手機使用者的這塊市場，只要去Android Market 或App Store下載Google+，即可使用Google+ 社群的所有功能，包括Hangouts多方視訊。更可怕的是，為了拉開與對手差距，Google+ Hangouts還不斷的增加功能，使用視訊的您不妨參考Google+ 的Hangouts，相信會為您帶來不同體驗，在預算有限或視訊會議對象設備不足的情形下，這會是個不錯的選擇。

　此次遠距視訊會議，三位國外學者選擇三種方式與所方展開視訊會議。事前獲計算機中心周獻彬先生戮力協助和洪紹雄先生技術叮嚀，電腦室以原有設備僅添購零星線材和腳架(支出新台幣5千元以內)，架設完成經濟的視訊會議系統。Skype 和 Hangouts方案中，MIC及擴音採共用的音源設備：Polycom SoundStation，效果很好，同時提供一組市話供聯繫使用。當天三個多鐘頭的視訊會議流暢順利，在此將這架設經驗和 Google+ Hangouts 介紹與讀者分享。(全文完)