2009年12月30日 星期三

部落格的年度總結(Summary of IT Blog in 2009)

這篇文章的連結 10 則留言:
今年(2009)又快要過完了,不免俗的總是要在接近年底時,來個年度的部落格總結,老實說,如果用文章數量的方式來當作成績單的話!我應該是一整個不及格到了極點,每年幾乎都是以打對折的方式在退步,或許這也跟寫文章的感受與心態有所不同,我想每個部落客心中,都有一把屬於自己專用的尺,更何況寫文章原本也是件相當個人的事。

最早,我從每週試著逼自己一定得寫個三、四篇,去年變成週記之後,今年是覺得想寫的東西,得先在自己心裡有了個完整的雛型,才會真正開始下筆,畢竟要寫出一篇文章,有時也得自己花上不少時間進行測試、驗證,雖然寫文章是個人的事,但是帶給別人錯的觀念或做法,好像就不是自己好就好的一件事,所以,今年的文章數量也是真的銳減不少。(當然也有一些其它的個人因素,繼續往下看就會知道...)

不過,反觀今年的IT內容,老實說也真的沒有太多話題可說,除了「Windows 7」、「雲端」、「小筆電」、「微網誌」和「Facebook」之外,還有誰可以多列舉一些不同的東西嗎?老實說,先前我在寫特定平台或媒體的文章時,腦子裡的想法也很難繞出這些東西之外,或者是說,在金融海嘯之後,在IT中要能夠丟下一顆足以激起漣漪的石頭,不是形狀特別奇怪,就是得要夠大顆的石頭才能看見它的效果,因此,我也就簡短地說說,我在這一年之中看見的種種現象吧!(有些想法並沒有特別發文,或許都是一念之間,而且還得經過時間來證明)

2009年12月21日 星期一

賽門鐵克企業版SEP 11.0之使用心得

這篇文章的連結 沒有留言:
Symantec」這個名字對於一般使用者來說,可能比較沒有印象,如果是改成「Norton」的話,或許很多消費者就能夠馬上反應過來是防毒軟體廠商,其實Norton只是Symantec公司中的一部分,但是換個角度切入的話,如果是企業端的用戶,或許對於Symantec的識別度也就高出許多,因為它們在企業端主推的系統防護軟體,是較為全面性的「端點防護(Symantec Endpoint Protection)」,簡稱為:「SEP」,從SEP 11.0(目前最新的版本序號為11.0.5002.333)推出到今年,已經歷經多次改版,比起以往的Symantec AntiVirus 10版,這次還加入了「主動式威脅」與「網路威脅」的防護功能。

其實對於SEP 11.0這套軟體的測試,比較不能夠以防毒軟體的角度來看待,因為它整合了許多周邊的管理功能,或許可以將它視為一種企業內的解決方案會比較恰當,至於是否適用於每個企業內部,就得視公司對於這部分的重視程度,以及想要管控的範圍到什麼程度而定,其它的就是如果調教這樣子的系統,融入企業內部,並且發揮它最大的效益,我想,這才是資訊(管理)人員所最在意的課題,畢竟這一類的套裝軟體功能頗多,在此我會針對較具特色的相關要點來介紹,如果有興趣的資訊(管理)人員,可以在它們的中文官網上找到相關的說明才是。



軟體名稱:Symantec Endpoint Protection(賽門鐵克端點防護)
軟體版本:11.0.5002.333(2009年9月21日)
適用平台:Microsoft Windows、Linux
軟體類型:商用軟體
官方網站:http://www.symantec.com/zh/tw/business/endpoint-protection
試用下載:http://www.symantec.com/offer?a_id=24829


特點介紹:

其實對於企業端的產品而言,絕大多數都會將管理機制設計在軟體之中,所以對於集中控管的功能來說,應該是這類軟體必備的功能之一,其實以SEP 11.0來說,這部分整合算相當不錯,幾乎所有使用端的設定都能夠在管理介面(主控台)中,透過網路來進行相關的設定與控制,只要再最初派送安裝前,做好相關功能的設定即可。


雖然這些功能或許在具備Windows AD的架構之下,也有相似的解決方案,但是軟體若本身就具備這樣子的功能,或許在企業內應用時,它能夠調整的彈性也比較大,這也是一般消費性產品所無法相提並論的部分。

除了這個中央控管的功能之外,它也利用了這個管理介面的支援性,提供了下面幾種由管理者介面,可以直接控管使用者電腦(被控端)中SEP 11.0的相關功能與設定,其中較具特色的功能如下:

1. 個人防火牆:

在打開主控台的操作介面之後,可以依「政策」、「防火牆」的路徑下,在右方的「防火牆政策」上,按右鍵點選「編輯」之後,就可以在「規則」選單中,看見它相當嚴密的防火牆設定,它能夠依管理者的需求來進行相關的細部設定,雖然剛看見這麼多設定時,會有點不知道該從那邊下手,不過,站在企業內資訊安全角度來看,寧願軟體本身有提供那些功能,也總比需要時卻無法支援來得好。


畢竟公司要選用一套資訊防護的軟體時,就是希望能夠貼近公司擬定的資訊政策,同時藉由這個防火牆的設置,避免使用者的個人習慣,造成公司平白無故的損失,所以這樣子的防火牆設定,的確有其必要之處。

除此之外,它在「流量與隱藏設定」中還提供了一些進階的功能,可以避免使用者受到流竄於區網之中,較難被查覺到的惡意攻擊,例如:MAC的欺騙。


2. 雙層IPS:

除了防火牆之外,SEP 11.0還提供了兩種形態的IPS(Intrusion Prevention System:入侵預防系統),簡單地說就是提供了「主機端」(主動)和「網路端」(被動)的入侵防禦,因為主機可能受到的入侵管道,除了來自網路上的惡意來源之外,就是存在於電腦主機中的惡意程式,我想這種雙層IPS的設計,主要是讓系統具備較為完整的防禦功能,避免過分關注來自外界的危險,進而輕忽了透過別的管道進入內部的惡意程式,甚至它能夠從內部竊取資料,再透過其它管道對外進行傳送(這也是防火牆最常忽略的部分)。

在主機端的IPS中,SEP 11.0採用了「TruScan」的技術(是一種行為分析的技術,據官方資料指出,誤報率僅為0.004 %),管理者只需要從主控台的「防毒與防間諜軟體政策」中,就可以針對「TruScan主動掃描威脅」這部分進行相關設定,設定完成之後,就能夠直接套用在使用者的SEP 11.0之中,不再需要管理者出馬,到每個使用者面前來幫他們進行這部分的設定。


至於網路端的入侵防禦,在SEP 11.0的主控台中,就是直接獨立於「入侵預防政策」的設定當中,預設的狀況下,所有在它管轄的主機,都會透用這裡的設定值,如果你想要排除特定主機在這部分的防禦時,就可以勾選「啟用排除的主機」,並在內部設定中寫入相關的主機資訊即可,當然也可以在主機的群組中先將有這類需求的主機,分類在不同的群組當中,在指派相關設定檔時,直接略過該群組也一樣可行。


3. 應用程式控制與裝置控管:

除了針對主機整體的安全性防護之外,其實SEP 11.0之中也具備應用程式控制的防護功能,讓管理者能夠設定應用程式對於系統資源存取的權限,以免應用程式被惡意程序劫持,進一步對系統造成傷害,舉例來說,先前造成大規模感染的隨身碟病毒來說,如果在應用程式控制的控管之下,我們就可以在這邊將應用程式對於USB設備連線磁碟機的寫入權限給關閉,它就無法進行感染的動作,接著再透過詳細的掃描與檢查,查殺位於系統或是隨身碟中的惡意程式。


甚至,可以採用更為極端的方式,直接從中控台裡進行輸入(出)裝置的控管,降低由實體裝置導至主機受到惡意程式侵襲的可能性,同時能避免內部的重要資料被使用者複製出公司,雖然這部分的裝置管制,可以透過主機的BIOS或是某些資產管理軟體(價格頗)的協助來達成,但是在SEP 11.0中,它也直接將這部分的功能放進了這個套裝軟體中,讓管理者不需耗時去處理這部分的危機發生,甚至有些管理者還會直接用熱融膠或是矽膠(Silicone)來把周邊設備封死或拆除,光是用想的就覺得累,現在只需透過SEP 11.0提供的裝置控管,就可以達到一定的成效。


為什麼我沒有特別題到主控台政策設定裡的其它功能,例:LiveUpdate集中式例外...等,並非是它們的功能不好,而是在實際操作上,這部分比較偏向防毒軟體的運作模式,再加入了中央控管的功能,因此,我在這部分就沒有多加著墨,一般的管理者通常看到這樣子的設定介面,應該也能夠立即上手,不需花費太多的時間來熟悉,我想這也是軟體操作上的一項重要指標。

更何況,在本文一開始我就提過這套軟體不應該用單純防毒軟體的角度來看待,所以,在介紹SEP 11.0的特點時,我比較著重在它周邊能夠提供的解決方案,如果需要瞭解SEP 11.0所使用的防毒或防間諜軟體的技術,應該可以在官網上找到不少資料才是。

總結:

在測試SEP 11.0的過程當中,安裝部分沒有遇到什麼問題,只要事先依照它提出的系統需求,準備好這樣子的安裝環境即可,以我的角度看來,最大的差異就是使用者的電腦是否要受中央伺服器(主控台)控管這一點,除此之外,它提供的端點防護功能,算是一套蠻完整的資訊安全的解決方案,畢竟它的確能夠為管理者帶來更多的附加效益(例:應用程式控制與裝置控管)。

其實以防毒軟體來說,最多人在討論的除了它的功能之外,就是它所佔用的資源多寡(記憶體使用量),以「SEP 11.0」來說,管理主控台(Smcsvc.exe)的部分,視實際的使用狀況,大約會佔去80至100 MB的記憶體,至於使用者所安裝的SEP 11.0套件,包含了五個程序(ccAPP.exe、ccSvcHst.exe、Smc.exe、SmcGui.exe和RtvScan.exe),這些程序在靜置時,佔用的記憶體總量約為 25 至 30 MB左右。


若是直接由使用者自行啟動「完整掃描」的時候,除了原有的「RtvScan.exe」會從 3 至 5 MB,增加到 40 MB之外,還會另外增加一個約8 MB的「SavUI.exe」(掃描介面),若是由管理主控端來指派使用者進行全系統掃描時,就不會多佔用這8 MB的記憶體,由此也能夠看出由中央控管的好處,不僅對於管理者有好處,甚至也能夠幫助使用者節省記憶體的資源。


以企業內部使用的角度來看SEP 11.0,它的確是一個十分具備優勢的資訊安全軟體,只是對於規模較小的公司或中、小企業,或許還是會採用消費端的安全防護軟體(例:Norton Internet Security),畢竟預算的成本對於公司來說可能仍是最大誘因。

不過,當公司內有考慮要導入類似資產管理的軟體時,就可以考慮看看是否能藉由SEP 11.0來替代,這麼做說不定能夠為公司省下一筆相當可觀的軟體授權費用,只是要先評估公司想要管制到什麼程度,如果SEP 11.0能夠符合需求的話,就算它的導入成本較一般消費端的產品高,仍然可以算是一套C/P值頗高的安全套裝軟體,如果有興趣的話,您不妨也可以下載試用版來進行測試,說不定你會發現到更多你所需要的功能,到時候再來進行導入的評估也還不算遲。

2009年12月18日 星期五

即時通訊傳檔的安全掃描(Security Scan for IM Transferring)

這篇文章的連結 6 則留言:
現在的即時通訊(IM)相當的發達,無論是Windows Live Messanger(WLM)、Skype或Gtalk...等,都屬於是即時通訊的一種,先前一波透過即時通訊,來散布病毒與惡意連結的掘起之後,現在的防毒軟體,「基本上」都具備掃描即時通訊傳檔的功能(這邊以WLM為例,至於一般版本的Skype,似乎沒有辦法針對這部分來做手動掃描的設定),至於是由使用者手動設定,或是由防毒軟體本身,來修改即時通訊(WLM)中的檔案傳輸時的病毒掃描設定。


(例:C:\Program Files\...\navwnt.exe)

2009年12月3日 星期四

開機方式的選擇(Options for Starting Computer)

這篇文章的連結 2 則留言:
如果你是經歷過純DOS(不是Windows裡的「命令提示字元」)的使用者,應該對於Windows的開機方式,有著不同的體驗,若是遇過PATA和SATA的驅動問題,我想對於系統開機的流程,應該會更深入的認識,雖然對於一般人來說,真的沒有太多用其它途徑開機的需求,但是對於IT人或是想要自己拯救電腦的人,或許這就成為另外一種不可或缺的技能之一,對於現在愈來愈多沒有配備光碟機的筆電來說,很有可能是救命的曙光。

在正常的狀況之下,電腦可以從硬碟開機進到系統是沒有問題的,一旦中毒或是開機區毀損無法進入系統時,就得要另外想辦法開機進去,拯救珍貴的資料或是修復系統,最常見的方式就是直接透過光碟開機,可惜的是...這種方式對於沒有配備光碟機的筆電,可能就得在費點心力才有辦法解決(甚至在採購時商用PC時,某個牌子連光碟機都是選購商品),不然就是直接在系統的Fuction鍵上,直接按下Fx的鍵就直接做全系統的還原(視各品牌而定,F2、F3或F11都有可能),但是這對於資料的救援而言,並非是最妥當的方法,這時候就得採用其它非正規的開機方式來解決問題。

其它的開機方式:

所謂非正規的開機方式,不外乎就是透過光碟軟碟機或是USB的周邊設備來進行開機,至於開機進去的作業系統則是DOS與Windows皆有,其實最為常見的開機方式應該就是光碟開機吧?(在BIOS中修改設定)至少在Windows的安裝步驟當中,就是要求使用者採用光碟開機的方式來進行安裝,畢竟在一台沒有作業系統的電腦當中,如果沒有採用光碟開機的方式安裝,連敲命令的機會都沒有吧!?(會顯示無系統的相關檔案而無法開機)

可是這個狀況,在沒有光碟機的前提之下(以筆電或是特定的品牌PC居多),通常也只有下述的解決方式:

1.自行透過USB外接光碟機:
直接透過USB轉PATA或SATA的外接設備,接上實體的光碟機來進行處理。

2.直接透過快捷功能鍵,進行系統還原(安裝):
品牌電腦在隱藏磁碟區中所內建的系統還原。(例:SRC一鍵還原)

3.透過USB開機碟處理:
在USB隨身碟中安裝開機的系統檔案,前提是主機板(BIOS)有支援USB-ZIP、FDD或HDD。(例:HPUSBFWWinToFlashXPE

如此一來,就算沒有光碟機的電腦,一樣可以透過上述這幾種方式來處理,不過...這些方法其實都有它適用的限制與條件,並非隨便抓一種來使用就沒有問題,更何況PC的BIOS能夠設定的部分遠比NB來得多出許多,有時候在設定開機程序時,如果是BIOS本身沒有提供相關支援時,或許可以透過修改開機選單來達成目的,但是,至少要先能夠認的出那些設備才行,不然一切也是白搭。

使用上的限制:

1.外接光碟機:
使用者必須先有USB轉PATA或SATA的轉接線,這對於一般使用者來說,使用率真的不高,除非你有習慣透過轉接線來外接儲存硬體,不然,很難想到一般人會買它來做些什麼事。

2.隱藏磁碟區的系統還原:
這個通常也只有在系統還在"乾淨"的狀態之下,才有進行備份或安裝的價值,通常在PC上比較有機會用到(商用PC通常會內建+系統還原光碟輔助),一般來說NB都會內建相關的功能,畢竟NB的可調用性較低,也沒聽過有誰的NB可以內建兩台硬碟的吧?(頂多是HDD+SSD的組合)

3.USB開機碟:
通常會有軟體安裝時的路徑疑慮,因為主機板通常僅支援USB-ZIP、FDD和HDD中的其中幾種,雖然「USB-HDD」最為常見,但是當它開機完成後,會將USB所連接的開機設備視為「C:」,這對於某些無法變更安裝路徑的軟體來說,就不太適用,因為你只能夠把軟體安裝在USB的隨身碟上。

至於USB-ZIP和FDD這兩種開機方式,USB所連接的開機設備視為「A:」,雖然在安裝軟體時較為方便,可是在主機板的BIOS設定中,這往往是較不常見的功能,所以,還是要有所取捨,不然就是在插入USB的連接設備之後,很有可能會面臨設備無法被電腦所辨識的囧境,如此一來,還是只能夠透過USB-HDD的模式,進行外接設備的開機操作。

總結:

這邊我並沒有提到太多實際的做法,因為在網路上的相關資源還算蠻多的,如果有針對那個部分要來討論的話,可以留言來互動一下,其實對於IT或網管來說,透過這種其它的開機方式,除了進行系統維護、安裝比較便利之外,甚至對於病毒的查殺或是資料救援也有不錯的功效,如果手邊有有大容量的USB隨身碟,的確可以製作一個USB的開機裝置來留存,就不用帶著一大堆軟體光碟跑來跑去。

但是...如果遇到較舊的電腦時,我想最方便的開機方式還是光碟機吧!?因為USB在舊式主機上的支援性並不好(公司裡的電腦使用通常較為保守,所以有多年前的主機也不奇怪),至於要採用何種方式,就只能夠依需求而有所不同,但是這方面的相關技術,老實說還有很多值得去研究與討論,例:怎麼在XPE中安裝軟體、製作可攜化(綠色)軟體...等,這些都是衍生出來相關應用。

或許,你可以說平時沒什麼機會可以派上用場,但是「工具」的最大意義,不就是準備以備不時之需嗎?所以,身為IT或網管還是認命一點,多學一些也絕對沒有壞處的,畢竟愈早把事情解決,自己的可支配打混的時間也就愈多,有句話說得好:「時間總是公平的」,所以,一起加油共勉之。

2009年11月26日 星期四

雲端?是躍升還是墜入?(Cloud Computing?Leaping or Falling?)

這篇文章的連結 沒有留言:
雲端運算(Cloud Computing)這個名詞現在已經被IT、媒體炒到已經到了我應該不用加上連結,就算沒有用過,也大概知道它是在說些什麼吧?只是大家都在談著它的效益、遠景、服務或整合...等,甚至大家都開始搶著當那一隻「領頭羊」的當下,對於IT人來說,雲端的進展究竟為我們帶來了什麼樣的衝擊?究竟是躍升了一個層次,跨入了雲端鏈之中,還是從原本的行為模式中打回原形?就像從高處跌入雲端,我想這是更多IT人所關心、在意的未來吧?

或許是先前小筆電的風潮,讓IT業界不敢輕忽任何一條蛛絲馬跡(深怕又來一次金融海嘯?),只要有機會全都想投入試試,以免自己會錯失先機,結果就變成了現在的模樣,百家爭鳴卻群龍無首(看不見實際的立基點),結果就是出現了討論的人一頭熱,觀望的人一大群;投入的廠商在緊張,觀望的廠商"等無人",究竟這樣子的改變對於使用者來說,誘因在那裡?對於公司或出錢買這些服務的公司又能省下些什麼?

甚至,對於身處IT領域的工作人員又有什麼影響,一切都準備好了嗎?難道真的只是換個使用方式這麼簡單?(習慣才是最大的誘因吧?不然Windows市占率也不會這麼高),各個投入廠商所創的(服務)名詞,盡可能避開抄襲之名的雲端應用,甚至還有另外一群反雲端的保衛派人士,IT人又該站在那一端呢?或者只能夠霧裡看花,反正大家都在雲端之上高來高去,在沒有人能一統大局之前,誰都可以說自己是贏家。(這點與電子書的現況很像,但是方向卻是相反)

雲端的衝擊:

為什麼我會有這樣子的疑慮,其實主要也是跟自己未來的生涯規劃有關,假使未來真的全面的邁入了雲端的生態鏈之中,我想第一個衝擊到的就是IT人員的就業機會(量),畢竟真的有受過雲端相關訓練的人也相當有限,或者說一般公司裡還有需要這麼多IT人員嗎?(或許委外的業績會有另外一波成長),再者,一般的IT人員,有辦法輕易的融入雲端鏈之中嗎?(看看現在有雲端實力的公司有那些就可得知)

縱使雲端無法適用於所有的公司、企業,但是無法適用的公司,對於IT人員的需求有能夠有多少?這一點很像先前曾經有討論過,為什麼現在除了特定產業研發部門中,才看得見相關的資訊人員,一般公司裡的資訊人員似乎是稀有品種,不是委外兼任,就是甚至不太需要一樣,我想,若是真的把所有應用全都丟上雲端,似乎連這些還可以立足的空間也一起被壓榨殆盡,再加上硬體的成本持續拉低,未來也不太需要維護,壞了可能換一台的成本比請人維護來得合算,當然,這是在沒有計算到其它的附加成本(例:時間、資料完整性...)的狀況之下。

對於公司來說,也許這些變革可能優大於劣,或者能夠縮減某部分的成本與支出,但是對於IT從業人員來說,似乎又回到沒有趕在最前面,就只有註定會被淘汰的命運,畢竟這原本就是個現實的就業市場,雖然那些號稱採用雲端的應用模式(例:SaaS、PaaS...),還在摸索當中,但是以長遠的角度來看,它能夠省下的軟體成本與資源是否真的比單機使用的軟體或平台便宜,我想這也還有待商榷,畢竟企業在改版的需求上,並沒有跟軟體商一樣的立即需求。(這就跟Windows 2000還是很多公司在用一樣)

IT人能做些什麼?

至於IT人能夠為這樣子的局面做些什麼努力嗎?或許產學業界是有些雲端的課程能夠去上,但是對於非資工背景的人來說(畢竟,不是每個IT人都有辦法專注於寫程式這一塊),或許那可能是另外一場有字天書的體驗,是否每個人都有能力來涉獵這部分的內容,我想大家心裡都有數,那我們還能夠做些什麼事情呢?在未來的雲端服務中,我們該扮演什麼樣的角色?

依照以前的做法,或許覺得還是有某些服務或平台是可以自己在公司內部進行維護,一旦雲端的相關應用更加成熟,我想這些維護的工作,除了某些無法轉移或有時間壓力的服務之外,其它的服務,我想也沒有多少能夠再留在公司內部,畢竟公司還是營利事業,而不是慈善事業

難不成到時候大家都只好投入「協助」導向的顧問職?協助公司導入相關的雲端服務?做完一間換一間,推完一種應用就準備推廣下一種應用?等到某一天真的沒有相關的東西可以推時(這是極端的想法,不然軟體業早就倒光了),回家賣雞排(看看現在還有幾間規模不大的SI廠商...)

當然也不用過於悲觀,現在吵得如此火熱的雲端,或許還有著很多變數,真的等到那一天快要來臨時再來煩惱,或許也還不遲,不過先做好準備總是沒錯,現在應該沒有誰能夠保證自己能夠一直立於不敗之地,只是先做好準備,盡可能地讓自己找到在IT產業中的立足之地,有些人可能開始往軟體面前進,有些人或許可以在這種風潮之中,選一邊來站,甚至在夾縫中找到自己能夠發揮所長的地方(或許還需要時間來探索),無論是那一種,我想也只有咬著牙做下去而已。

所以,雲端究竟帶來的是龐大的商機?還是IT人所懼怕的「」機,這些其實都值得我們靜下心來仔細思索它的可能性,畢竟有很多事情不如我們所想像的這麼美好,我們唯一能夠做到的也就是(人生)風險管理,其它的也就只能夠「Do "IT"!!」

這其實就告訴我們一件事,當別人一頭熱時,我們除了要瞭解它可能帶來的好處誘惑,有時候更該注目的是它所帶來的衝擊影響,就跟有些人總是喜歡一再地讓優點曝光,或許適當的揭露缺點,或許更能夠為人所瞭解與接納,這也是大家更想要瞭解到的部分,可惜的是...對於某些族群的人來說,那一塊簡直就是神聖不可侵犯,或者說,是另外一種不能說的秘密吧?

2009年11月20日 星期五

虛擬化,安全要不要顧(virtualization? how about safty?)

這篇文章的連結 沒有留言:
虛擬化是近年來相當夯的一項技術,從伺服器上的應用,一直到現在多核心的硬體架構問世,幾乎每個人的硬體,都有了足以運作虛擬化環境的能力,在軟體上從VMWare到免費的VirtualBox,甚至是Windows 7裡為了建構XP Mode的Virtual PC。這些都是相當常見的虛擬化軟體或平台。


(VirtualBox的操作畫面)

接踵而來的就是,我們使用虛擬化技術,主要是用來做些什麼事情呢?就算裡面安裝了一個不同的作業系統,是否有需要安裝安全性的相關軟體?或者是單純將虛擬化中的系統做為沙箱(Sandbox)、誘補系統...等,在這種系統當中,這些安全性軟體是利還是弊?或者是要考慮應用層面、使用時間或其它因素?無論如何,虛擬化似乎也不再只是單純地做為特定用途,再反過來說,一般使用者能夠用虛擬化來做些什麼事情呢?我想,這也是值得我們思考的一個方向。

誰是虛擬化技術的使用者?

雖然虛擬化的這個話題也夠久了,一般人又有多少機會可以使用到這樣子的技術?就算硬體的支援上已經大大地提升,軟體也有免費軟體能夠使用,但是,一般人又有什麼時候需要控制兩種不一樣的作業系統?

其實,我覺得一般人不會沒事找事做,搞個虛擬化來自找麻煩,通常一套作業系統對他們來說,就足以應付他們的日常生活所需(當然,帶來的困擾也是),也因為如此,真的會在日常生活中採用這種技術的人,往往都是有特殊需求,或是工作上需要才有可能會這麼做,至於在伺服器上的應用,其實也跳脫不開這些既有的限制,舉例來說:軟體測試員網路管理員系統管理者或是有著IT狂熱自由工作者,我想也只有這些人會在日常生活中,導入虛擬化技術的應用。

至於其它人,或許自己身處在虛擬化所建構出來的工作環境中而不自知,畢竟在很多實體上的應用服務,說不定底層的部分也是建立在虛擬化的環境當中,例:網站租用、代管...等。

如果,真的要在虛擬化的環境中建置安全性的配置,通常這些使用者也都具備一定的觀念及維護能力才對,只要給它們足夠的資源,在虛擬化的環境當中,他們就可以像在真實環境中,安裝上相關的防毒、防火牆及安全性的相關配置,反觀其它人,虛擬化的技術就像是一個深藏不露的應用,更別希望他們能有些什麼樣子的作為,最後很有可能會淪為一種噱頭與口號吧?

縱使,像Windows 7的XP Mode所言,在Virtual PC裡所執行的XP也得安裝安全性的防護軟體,但是,有多少人真的會在裡面安裝防毒軟體或是相關的安全防護措施?甚至,就算系統被搞掛了,再載掛一個就好,使用者真的有這麼在乎嗎?

我想是否要安裝安全性的防護軟體,這應該跟虛擬化中執行的程式有關,如果只是單純為了特定應用軟體,偶爾才進到虛擬化的系統中操作,對於「個人」資料的保密及系統是否穩定,重要性好像就變得不再那麼重要了。

甚至,以我自己來說,進虛擬化系統,通常也只是為了取得BIOS的畫面,或是安裝一些風險較大的軟體時(例:來自於對岸的謎樣軟體),才會刻意的切換到虛擬化的系統之下操作,否則,我也很難想像出「一般人」能夠用虛擬化技術,做些什麼樣的進階應用?

安全性的考量是否適宜?

除了虛擬化的使用者和執行何種的應用程式之外,我們也可以回到現實一點的角度來考量,一般使用者有可能在電腦中,準備兩套安全性的防護軟體嗎?就算是免費的防毒軟體,對於系統資源的消耗及實際上的作為又有多少?

或許,有人會說:「既然要玩虛擬化,本來就得要把這些硬體資源的部分考量在內」,但是實際有在用虛擬化技術的使用者,除了在特定伺服器的應用,或許可以擁有較為相配的硬體資源外,其它人的硬體資源幾乎也是硬擠出來的資源,很有可能在記憶體的分配上,光是應付系統運作就顯得有些吃力,再安裝記憶體殺手的防毒軟體(安全性的防護),這樣子對於實際應用上,是否還有它的效益

如果你是在虛擬化的環境中,安裝的是非Windows的作業系統,或許可以減少一些這部分的顧慮,但是,除了想要熟悉不同作業系統的使用者之外,一般人同時跨兩種作業系統的用途何在?只為了執行在Linux中才能夠運作的程式或軟體?我想屬於這一類型的使用者,應該也是極少數的一部分,更何況,有很多原生於Linux中的軟體,也都移植到Windows系統上了,如此一來,更顯得自己是多此一舉。

經過了以上的說法,對於虛擬化內的系統,是否要安裝安全性的防護軟體,似乎也漸漸趨於明朗,除非是在虛擬化上運作的是特定伺服器主機(長時間的無人運作),為了安全性的考量外,可能會增添防火牆相關的功能之外,一般人所採用的虛擬化應用,除非出發點是為了測試安全性軟體在不同平台上的影響之外,我想安全性的部分可能早就被使用者拋到九霄雲外。

當然,最後還是要提醒一下,既然在虛擬化的平台內沒有做安全性的考量,所以,最好避開在那樣子的平台中,登入所有需要帳密的線上服務,不然,就跟你在網咖上網沒有什麼兩樣,反正原系統只要稍做切換就可以回來,雖然科技始終來自於人(惰)性,但是,多按幾個鍵就可以保平安,還是小心一點比較好,至於虛擬化的安全性,我想...就等到有什麼殺手級的應用時,我們再來重新思考它的重要性吧!

2009年11月9日 星期一

副檔名的危機(Crisis of Filename Extension)

這篇文章的連結 4 則留言:
副檔名這個東西,就跟命令提示字元(文字模式)一樣,雖然漸漸地被人所遺忘,但是它們的重要性卻是依然存在,如果你的電腦少了這個副檔名的支援,我想很多程式應該都會直接變成半殘,因為關聯的檔案全部都找不到該用何種程式執行,不過,從早期只能夠支援3個字元的副檔名,一直到現在可以有256個字元,但是實際能夠做為檔案格式的判斷時,依然只有3個字元有效。


【Windows預設會隱藏副檔名的顯示】