HOME 回資訊服務處首頁 Login
ITs通訊
搜尋電子報


含詳全文
訂閱電子報
請輸入E-Mail
 
 
2010.07.22 2010年第15期 設為首頁 | 加入最愛 | RSS 訂閱
最新電子報 | 上一期 | 下一期 | 各期電子報


   
中央研究院計算中心通訊
中央研究院計算中心發行
2010年第15期   民國99年7月22日
簡訊
中心同仁獲得殊榮
 於4/28召開之院方人事委員會第161次會議中,中心同仁獲得殊榮。分別是發展科林晰科長-當選本院99年度模範公務人員;推廣科林俊吉組長-當選本院99年度工作績優人員。在此特別恭賀他們兩位。
Top

道歉啟事

 本(7)月2日晚間,計算中心以電子郵件傳遞本院重大訊息(院長代轉陳垣崇所長給院士及全院同仁的一封信)時,因人員操作疏失,以致重覆寄出相同信件,造成同仁困擾,謹特此致歉。

Top

院士選舉開計票任務達成

 兩年一次的院士選舉於7月8日午後展開,包含院士與名譽院士選舉兩項。正午時分,8位作業人員提前進入會場,就新選票進行全套開計票測試,確認無誤。午後2時起,開始進行院士選舉作業。

 此次為中心第4度支援院士選舉開計票作業。早於4月中評議委員選舉院士候選人開計票作業之後,立即接續籌備。重點在於改善各種特殊狀況的處理,包含選票辨識失敗處理流程、選票影像歪斜、選票編號設定失誤、選票破損、斷電等。此外,鑑於院士選舉的準備時程漫長,又偶有突發狀況必須因應,於任務達成後深入檢討,決定繼續調整應用系統,簡化架構、減少程式間相依性、增加程式彈性、齊備文件,使未來的籌備工作更有效率,更能肆應需求變化。

Top

「本院基礎地理圖資共享平台」討論會7/28舉行

 針對以往院內同仁申請使用基本數值圖的需求,慮及資料版本持續更新、重覆提出申請手續之繁瑣,加上線上提供圖資服務技術趨於成熟,中心GIS組自去(98)年開始規劃建置「本院基礎地理圖資共享平台」,近日已完成雛形。平台正式開放運作前,為確認使用權限設定方案,以及進一步瞭解院內相關使用需求,預訂於7/28上午10:00假中心會議室舉行一場小型討論會議。擬參與本會議之同仁,請Email至lingpai@gate.sinica.edu.tw報名。來信請註明單位及姓名;同一單位請推派一名代表參加。

 有關本專案之說明內容,可參考2010年第14期中心通訊電子報「本院基礎地理圖資共享平台服務介紹」(作者:彭逸帆)一文。

Top

健康檢查預約系統7/16上線

 本院員工健康檢查於本(7)月16日至26日間接受預約。申請者可自本院首頁連「院內行政服務」連接「健康檢查預約系統」,登入預約。此系統採用簡易單一帳號,和文書管理系統、子女教育補助系統等共用相同的帳號與密碼。預約完成後,自動寄發Email通知。

Top

更新主機弱點掃描軟體FoundStone

 中心資安小組的重要伺服器掃描軟體McAfee Vulnerability Manager Software(Foundstone Enterprise Software)已於日前升級至6.7版,該軟體能系統化地檢測院內各單位的主機,找出各種潛藏的系統弱點,並提供強大的報表功能與弱點追蹤管理機制。中心預計自下半年起,針對院內重要伺服器進行弱點掃描服務。同仁如有相關問題,歡迎逕來電(02)2789-8882或Email:chank@gate.sinica.edu.tw洽詢陳新民。

Top

辦理「IBM電腦系統設備維護」

 本中心已於上(6)月29日會同本院資創中心、語言所及民族所共同辦理完成「IBM電腦系統設備維護」採購案。本維護案基於設備相容性之需要,採限制性招標並公開徵求廠商參加比(議)價後決標。

Top

支援「DrupalCamp Taipei 2010」網路服務

 Drupal Taiwan正體中文社群於本(7)月10日假本院學術活動中心第1會議室及第3會議室舉行「DrupalCamp Taipei 2010」,中心系統科網路組同仁配合於7/2上午陪同主辦單位工作人員進行場地勘查,以解說會場之有線與無線網路環境。當日共進行12場主題演講與案例分享,使用無線網路人數約40人,網路連線正常順暢。

Top

資訊應用
製作招標公告經驗談

前言

 新「政府電子採購網」(http://web.pcc.gov.tw)於今年初開張了,筆者舊有製作招標公告之程式已不管用,所以筆者不得已花費許多心思重新改寫程式碼,心想既然都用數月了,累積心得也不少,不如揮筆寫下個人經驗供有興趣者參考之用。

 就大多數處理行政業務的人員而言,對微軟的EXCEL、ACCESS、WORD及DBF資料庫處理軟體應當不陌生。本文即是使用一套小巧的開放自由軟體AUTOIT(詳http://www.autoitscript.com/autoit3/index.shtml),透過呼叫上述軟體元件之功能來讀取資料源(例如MDB、XLS、DBF等),再帶入參數設定檔(INI)後套印到「政府採購公告」所需之XML檔、招標文件DOC檔以及電子公文模板TEXT檔。

流程說明

 使用者必須先建立資料源檔案,包含案號、標的名稱、預算金額…等必須欄位,格式可用MDB、XLS或DBF,並從「政府電子採購網」-【招標管理】-【新增招標公告】-【匯入公告資料到暫存區】-下載XML匯入檔案範本(tender-sample.xml)及XML匯入檔案格式說明-xsd版(TenderSchema-annotate.xsd)。其中,XML匯入檔案範本也可從招標公告之新增或編輯模式下,點【完整檢視】-【資料匯出】下載tender.xml檔。之後,清除XML檔內之不需要欄位。轉換TenderSchema-annotate.xsd為INI格式,並製成多組模板以供套用。

 接著就是撰寫AUTOIT小程式。將上述多個資料源檔案、INI模板檔內之參數對應XML範本檔逐一置換。到「政府電子採購網」-招標公告-新增招標公告-匯入公告資料到暫存區-XML檔案-瀏覽,打開上述完成的XML檔,再點【預覽】,若資料無誤即會出現預覽視窗。以下簡要地說明AUTOIT程序碼供讀者參考。

XML匯入範本檔案(tender-sample.xml)欄位值清理

 因為下載所得之範本檔內容為範例,欄位值並非符合所需,故需先清除以利後續使用,摘錄以下autoit原始碼提供讀者參考:

XSD檔案格式(TenderSchema-annotate.xsd)轉換為參數配置文件(INI)格式

 因xsd檔案格式之結構過於複雜,其選項不利於使用者操作,故先將其轉換為易讀取之INI格式,提供以下autoit部份原始碼提供讀者參考:

製作各式招標公告模板(INI)

 上述轉換所得之INI檔大部份內容有多種選項,使用者可搭配不同招標型式,組合選填為各式模板。例如,未達公告之財物、未達公告之勞務、未達公告之工程、公告以上之財物、公告以上之勞務、公告以上之工程、……等。INI檔內凡有“;”符號之後文字都會被忽略,刪除“;”即可讓其生效。例如以下說明:

(註:目前發現XML內之『TENDER_PROC_CATE』(標的分類)若填值,例如:「勞務類」、「財物類」或「工程類」就出錯,故建議保留空白值,俟編輯時再人工修正,其餘皆正常)。

XLS 資料源匯出

 為填充招標公告XML檔之關鍵欄位,需要搜尋XSL資料檔並取出符合之該筆資料。摘錄以下autoit原始碼提供讀者參考:

MDB資料源匯出

 搜尋MDB資料檔並取出符合之該筆資料。摘錄以下autoit原始碼提供讀者參考:

DBF資料源匯出

 搜尋DBF資料檔並取出符合之該筆資料。摘錄以下autoit原始碼提供讀者參考:

套印至XML檔

 從資料源(XSL,MDB,DBF)與參數檔(INI)取得必需資訊後,接著以參數檔內的變數為基準,對應範本檔(XML)內變數進行逐一置換。摘錄以下autoit原始碼提供讀者參考:

套印至DOC檔

 類似WORD合併列印功能,可用來製作招標公告所需上傳文件之三用文件、投標須知、契約或各式紀錄(如開標、驗收等),以下為部份原始碼範例:

套印至TEXT檔

 類似上述『套印至DOC檔』,可搭配剪貼簿工具程式貼上電子公文系統,以下為部份原始碼範例:

修改Autoit 剪貼簿工具_ArrayDisplay

 原autoit所附之array.au3檔內有_ArrayDisplay功能函數,但係整列複製,為使其更為實用,筆者修改了_ArrayDisplay部份程式碼,讓程式只複製該列需要的欄位,呼叫_ArrayDisplay($avRET, "Data List", 32, 1, ",") 函數,即可開啟剪貼簿視窗;第二欄位為變數名稱(作為識別用);第三欄位為變數值(只複製本欄位)。以下為需插入之部份原始碼範例:

結語

 由於筆者不是專業程式設計人員,只盼借助電腦業務自動化來減少工作量,多些時間放空自己罷了,無暇深究,疏漏在所難免。

 自製程式雖然開始較費時間,但日後受用無窮,且比WORD合併列印功能靈活許多,不僅不限資料源檔數目,又可執行變數運算(例如押標金、履約保證金、投標截止或開標時間等)。另外,也可將資料套印至WORD檔,來製作招標文件或各式紀錄;或套印至TEXT檔,再搭配剪貼簿工具(例如clipx、ay.exe作者:劉兆全、或Autoit之_ArrayDisplay),將取出之資料直接導向剪貼簿工具,來貼上電子公文或表格。經常性的行政公文或許資料輸入繁複,但若能善用相關小工具程式,工作或許會變得輕鬆很多。(註:本文作者任職於應科中心)

Top

資訊安全
Web Security 網站安全基礎篇(一)

前言

 網路安全一直都是相當重要的議題,網站就是所有使用者的入口,提供各種服務的網站也有著各式各樣的風險,因此網站一直以來都是駭客攻擊的首要目標。一個網站的安全與否取決於很多因素,作業系統的版本、網站應用程式的撰寫、架構的設計、使用者的設定等等。只要任何一個環節出問題,都會導致整個網站暴露於風險之中。技術層面來看,管理者必須要時時跟隨系統應用程式的腳步,注意最新的消息、技術和攻擊手法,因應進行修補及防護,才能確保系統處於安全的狀態。

「沒有不安全的系統,只有不安全的人」

 人們在探討資訊安全的時候,往往會有一個想法,就是什麼系統是不安全的,什麼軟體是不安全的,甚至什麼公司出產的軟體都是有問題的。但是其實大家必須要有一個觀念,多數的情況,不安全的其實是人,而不是系統。一個再安全的系統,只要管理者做出了錯誤的設定,攻擊者就可以因此直接進入到我們的系統。在我們遇到的案例中,多數的弱點都是由管理者的疏忽所發生的。

 為什麼資訊安全的重要性越來越高?主要是因為網路為主的應用大量增加,開發技術也越來越簡易,使用攻擊程式進行攻擊的門檻也日漸降低。因此只要有心人士找到相對應版本的攻擊程式,就可以輕易的對我們的主機進行攻擊。

Google Hacking!

 攻擊的門檻到底有多低呢?利用Google Hacking這樣的手法,就可以對一個網站進行攻擊。Google Hacking是一個無技術門檻的攻擊手段,藉由網站管理者錯誤的設定及疏失,以及Google搜尋Index的能力,搜索可攻擊的網址。攻擊者可以因此取得網站資訊、攻擊標的和暴露的弱點等等。

 Google Hacking到底有多危險呢?以下圖為例,我們只要在網路上搜尋一些字串,就可以取得一些令人驚訝的資訊。例如說我們搜尋「密碼表ext:xls」,就會找到以下的資訊。有心人士就可以因此利用以下的資訊進行進一步的攻擊。還有其他攻擊手法,可以找到其他系統資訊,我們在這邊就不多做介紹。如果想要知道更多Google Hacking的語法,可參考以前的「Google Hacking Database」,可以找到一些相關的範例。

 這些問題有一大部分都是因為人為的因素。因此,在探究系統的安全之前,管理者必須先從自身做好資訊安全的規劃。從技術、知識到思維,都要做好建設。

駭客想的跟你不一樣!

 在瞭解系統該怎麼防護之前,一定要先瞭解駭客的思維,因為駭客想的跟你不一樣!一般來說,駭客攻擊的流程可以分為五個步驟:偵查、掃描、取得權限、維持權限、清除足跡。

偵查(Reconnaissance)
攻擊者準備攻擊之前進行的偵查,找尋目標的相關資訊,以利之後的攻擊。

掃描(Scanning)
掃描目標主機的弱點,取得主機作業系統、服務和運作狀況等資訊。

取得權限(Gaining Access)
利用系統弱點取得主機權限。

維持權限(Maintaining Access)
維持目前取得的權限,以便日後再次存取而不需繁雜的步驟。

清除足跡(Clearing Tracks)
清除入侵的痕跡。

真實攻擊事例

 讓我們來看看一個真實的駭客案例。

 駭客鎖定了一個受害者網站,從Google上搜尋此網站所有的相關資訊。並利用Google Hacking技術找到所有網站暴露的目錄及檔案。

 接著,經由網站找到的弱點,嘗試進行攻擊。並且植入Web Shell後門,透過網頁連入操控主機。例如:http://victim.org/webshell.php?cmd=oxox連入主機後發現帳號權限不足,因此從主機內尋找可用的資訊。例如從/etc/passwd找尋可用帳號,利用/var/log查詢系統可用資訊,或者搜尋有無setuid檔案可供利用。

 下個步驟,駭客發現主機Kernel版本過舊,有可提權的弱點。因此撰寫或搜尋Exploit進行攻擊,取得root管理者權限。

 得到權限後,為了方便連入主機,放置後門供日後使用。常用的手法例如建立主機帳號、/etc/rc.d放置後門,代換sshd系統服務等。

 最後,清除自己的足跡,例如指令記錄檔及系統紀錄。
 ~/.history
 ~/.bash_history
 /var/log/*

 這是一個很簡單的駭客思維,但是只要我們瞭解這些,就能夠知道駭客是怎麼進行一次完整的入侵行為,進而知道該如何去防禦。

該如何去確保網站安全?

 就如同前面所講,網站是一個窗口,使用者經由網站取得資訊,攻擊者也經由網站進行攻擊。因此網站的防護就是第一道防線。如果第一道防線都沒有做好,那攻擊者就可以長驅直入。那我們到底要怎麼去確保網站安全呢?目前網路上OWASP組織有提供各種防護方法以及弱點介紹,讓網站管理者依循維護及修改。我們會在下篇繼續有關OWASP的詳細介紹。(註:本文轉載自第150期《自由軟體鑄造場電子報》,經取得同意轉載)(待續)

Top

創刊日期:74年10月15日
發行人 :徐讚昇
總編輯 :曾士熊
編輯小組:林翠娟
網站技術:張錦堂
出版日期:民國99年7月22日


服務專線:(02)2789-8872
E-mail:publish@gate.sinica.edu.tw
訂閱與取消訂閱 | 各期計算中心通訊 | 中研院計算中心 | 中央研究院

本電子報所有文字、圖片版權為中央研究院所有,未經許可請勿轉載。
如對本報有任何意見,請與我們聯繫。
   
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。