Created
June 20, 2023 16:04
-
-
Save kiang/fb7e528375b60ce285822cdf53df2334 to your computer and use it in GitHub Desktop.
高可用性.sbv
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
0:00:00.000,0:00:02.560 | |
我們今天沒有發講義 | |
0:00:02.560,0:00:04.320 | |
不過我們全部是線上版 | |
0:00:04.320,0:00:05.720 | |
這個是今天投影片 | |
0:00:05.720,0:00:07.720 | |
大家可以直接用手機找Galco | |
0:00:07.720,0:00:10.840 | |
或者是用電腦直接輸入這個網址 | |
0:00:10.840,0:00:18.320 | |
網址 bit.ly/pdis-dr-ha | |
0:00:18.320,0:00:20.320 | |
就可以看到我們的講義 | |
0:00:22.626,0:00:27.626 | |
手機版的話可能觀看效果不一定這麼的好 | |
0:00:27.626,0:00:28.626 | |
不過至少會有東西 | |
0:00:28.626,0:00:30.626 | |
電腦的話就會比較OK | |
0:00:30.626,0:00:34.626 | |
那大家如果是用電腦版或是手機版開啟桌面模式的話 | |
0:00:34.626,0:00:37.626 | |
大家就會Follow我的螢幕畫面 | |
0:00:37.626,0:00:38.626 | |
我畫面切到哪裡 | |
0:00:38.626,0:00:40.626 | |
你的畫面就會自動切到那邊去 | |
0:00:40.626,0:00:41.626 | |
這會更方便 | |
0:00:42.626,0:00:47.626 | |
好 那我先假設大家應該都快要準備好了 | |
0:00:47.626,0:00:51.626 | |
我想請問為什麼不是用政府的短網址 | |
0:00:52.250,0:00:54.250 | |
因為我沒有政府... | |
0:00:54.250,0:00:56.250 | |
因為我沒有政府... | |
0:00:56.250,0:00:58.250 | |
有有有 | |
0:00:58.250,0:01:00.250 | |
有有有 | |
0:01:00.250,0:01:02.250 | |
因為新版設計規劃的版本還沒上線嘛 | |
0:01:02.250,0:01:04.250 | |
因為新版設計規劃的版本還沒上線嘛 | |
0:01:04.250,0:01:06.250 | |
我就等 | |
0:01:06.250,0:01:08.250 | |
好 | |
0:01:09.242,0:01:13.242 | |
期待下一版有做觀看人數追蹤 | |
0:01:13.242,0:01:15.242 | |
更新需求 | |
0:01:15.242,0:01:17.242 | |
可能是又想要做 | |
0:01:17.242,0:01:19.242 | |
那應該都OK | |
0:01:19.242,0:01:23.242 | |
我們請Follow Rabbit Neos | |
0:01:25.616,0:01:28.616 | |
那我們今天要講的 Digital Resilience | |
0:01:28.616,0:01:31.616 | |
那這個分享者的話就是 BlueT | |
0:01:31.616,0:01:32.616 | |
網路上是 BlueT | |
0:01:32.616,0:01:33.616 | |
中文姓名是練喆明 | |
0:01:33.616,0:01:37.616 | |
那我現在是在國家安全研究院韌性架構總顧問 | |
0:01:37.616,0:01:40.616 | |
不要懷疑這是我 至少曾經的我 | |
0:01:40.616,0:01:44.616 | |
不過我知道我現在長得應該比較像這個啦 | |
0:01:44.616,0:01:46.616 | |
我沒有刻意cosplay | |
0:01:46.616,0:01:49.616 | |
我不知道那個理髮師到底跟我結了什麼仇 | |
0:01:49.616,0:01:51.616 | |
不過其實我覺得還蠻合的 | |
0:01:51.616,0:01:53.616 | |
就是因為我們要討論的都是 | |
0:01:53.616,0:01:56.616 | |
什麼東西該炸 什麼東西不該炸 | |
0:01:56.616,0:01:59.616 | |
什麼東西能炸 什麼東西不能炸 | |
0:01:59.616,0:02:01.616 | |
所以還蠻契合的 | |
0:02:02.768,0:02:05.968 | |
那有關於今天分享的東西 | |
0:02:05.968,0:02:08.368 | |
其實前面的講者分享的很有趣 | |
0:02:08.368,0:02:10.868 | |
等一下下一位講者分享的也會很有趣 | |
0:02:10.868,0:02:14.568 | |
就我這一part最乾最無聊 | |
0:02:14.568,0:02:16.368 | |
所以我會想方法 | |
0:02:16.368,0:02:18.668 | |
試著讓它變稍微有趣一點 | |
0:02:18.668,0:02:20.468 | |
中間可能就會有一些 | |
0:02:20.468,0:02:23.068 | |
可能不是那麼政治正確的方式 | |
0:02:23.068,0:02:24.968 | |
所以請各位不要介意 | |
0:02:24.968,0:02:27.068 | |
然後因為這題目真的很乾 | |
0:02:27.068,0:02:28.968 | |
所以有時候我如果有一些梗 | |
0:02:28.968,0:02:29.968 | |
即便它很難笑 | |
0:02:29.968,0:02:31.968 | |
還是可以乾笑兩聲 | |
0:02:33.696,0:02:35.696 | |
好,所以大概是這樣 | |
0:02:35.696,0:02:37.488 | |
那另外是 | |
0:02:37.488,0:02:41.488 | |
我們今天一般來講要分享一些內容的話 | |
0:02:41.488,0:02:46.188 | |
我的習慣會通常分成Hello World系列跟GoDeeper系列 | |
0:02:46.188,0:02:52.188 | |
就是按照它的一些到底有多乾的程度來分 | |
0:02:52.188,0:02:56.988 | |
那我們都知道不可能一個東西或者是一個課程 | |
0:02:56.988,0:02:59.488 | |
或者是一次分享就把所有東西都分享完 | |
0:02:59.488,0:03:02.488 | |
就像我們國內軟體開發或者是在任何領域 | |
0:03:02.488,0:03:07.488 | |
我們都知道good fast cheap三者沒有辦法合一 | |
0:03:07.488,0:03:10.488 | |
要合一只有做夢的時候 | |
0:03:10.488,0:03:12.488 | |
所以我們都會選 | |
0:03:12.488,0:03:15.488 | |
畢竟我們要馬兒跑要馬兒不吃草 | |
0:03:15.488,0:03:17.488 | |
這是比較難的 | |
0:03:18.888,0:03:22.388 | |
另外是因為各位長官們 | |
0:03:22.388,0:03:25.888 | |
或者是前輩們 或是各個人們 | |
0:03:25.888,0:03:27.888 | |
可能有很多的背景抬頭 | |
0:03:27.888,0:03:30.388 | |
我對認人其實有些小小的障礙 | |
0:03:30.388,0:03:32.888 | |
所以待會過程中 | |
0:03:32.888,0:03:35.888 | |
所有cue到的時候 我一律稱朋友們 | |
0:03:35.888,0:03:37.888 | |
希望大家不要介意 | |
0:03:39.888,0:03:42.388 | |
朋友們如果準備好的話 | |
0:03:42.388,0:03:44.888 | |
我們今天就要來分享的就是 | |
0:03:44.888,0:03:48.888 | |
Digital Resilience跟HA High Availability | |
0:03:48.888,0:03:50.388 | |
那要分享這個題目 | |
0:03:50.388,0:03:53.388 | |
我們其實要帶滿多東西的 | |
0:03:53.388,0:03:55.888 | |
大概就是這一狗票的東西 | |
0:03:55.888,0:03:58.388 | |
那我們現在看 如果你們有看懂 | |
0:03:58.388,0:04:00.388 | |
那很棒 如果沒看懂也沒關係 | |
0:04:00.388,0:04:02.888 | |
因為很多東西其實我們在今天的內容 | |
0:04:02.888,0:04:05.388 | |
不一定真的能夠完全帶的到 | |
0:04:05.388,0:04:07.388 | |
那因為要分享的東西非常多 | |
0:04:07.388,0:04:10.388 | |
所以我會把東西濃縮再濃縮 | |
0:04:10.388,0:04:12.388 | |
提煉再提煉 | |
0:04:12.388,0:04:14.888 | |
幫各位準備好一個 Cheat Sheet | |
0:04:14.888,0:04:18.888 | |
所以重點我們今天就是要把這個 Cheat Sheet 填完 | |
0:04:18.888,0:04:20.888 | |
當把這個 Cheat Sheet 填完的時候 | |
0:04:20.888,0:04:22.888 | |
我們就大概能知道 | |
0:04:22.888,0:04:24.888 | |
我們之後在做巡檢的時候 | |
0:04:24.888,0:04:26.888 | |
不是巡檢 對不起 | |
0:04:26.888,0:04:28.888 | |
巡航義診 | |
0:04:28.888,0:04:30.888 | |
巡航義診 不是巡檢 | |
0:04:30.888,0:04:32.888 | |
在巡航義診的時候 | |
0:04:32.888,0:04:35.888 | |
我們可能要根據哪些東西去著眼 | |
0:04:35.888,0:04:38.888 | |
去看他們有沒有做某些事情 | |
0:04:38.888,0:04:40.888 | |
用某些方法 | |
0:04:40.888,0:04:43.888 | |
做出來的成果有沒有符合某些特性 | |
0:04:44.912,0:04:47.912 | |
然後檢查說即便你有做 | |
0:04:47.912,0:04:49.912 | |
你有沒有達到目標 | |
0:04:49.912,0:04:50.912 | |
就像比如說 | |
0:04:50.912,0:04:53.912 | |
我曾經試著想要考MIT | |
0:04:53.912,0:04:54.912 | |
可是我考上了嗎? | |
0:04:54.912,0:04:55.912 | |
我沒有 | |
0:04:55.912,0:04:57.912 | |
所以即便有做 | |
0:04:57.912,0:04:59.912 | |
不一定真的有達到 | |
0:04:59.912,0:05:02.912 | |
然後接下來會有一個流程 | |
0:05:02.912,0:05:03.912 | |
我們在做這件事情的時候 | |
0:05:03.912,0:05:06.912 | |
可能要用什麼樣的流程去做 | |
0:05:06.912,0:05:08.912 | |
以及在做這件事情的時候 | |
0:05:08.912,0:05:10.912 | |
可能要哪一種mindset | |
0:05:12.912,0:05:14.912 | |
每次上台都有點喘 | |
0:05:16.912,0:05:18.412 | |
跟所有文章一樣 | |
0:05:18.412,0:05:20.412 | |
我們今天過程也會有起承轉合 | |
0:05:20.412,0:05:24.412 | |
那我們先開始單就從「起」開始啦 | |
0:05:24.412,0:05:27.412 | |
那「起」的部分通常千篇一律就是intro嘛 | |
0:05:27.412,0:05:29.412 | |
the overview | |
0:05:29.412,0:05:33.412 | |
那到底什麼是數位韌性? | |
0:05:35.304,0:05:37.304 | |
數位韌性這個詞呢 | |
0:05:37.304,0:05:40.304 | |
很多人都覺得別人有做 | |
0:05:40.304,0:05:43.304 | |
很多人也都覺得別人做得很好 | |
0:05:43.304,0:05:45.304 | |
很多人都說自己都在做 | |
0:05:45.304,0:05:47.304 | |
可是很多人都不知道自己在做什麼 | |
0:05:47.304,0:05:49.304 | |
數位韌性這個詞 | |
0:05:49.304,0:05:50.304 | |
其實是比較 | |
0:05:50.304,0:05:52.304 | |
大概是在14還是17年 | |
0:05:52.304,0:05:54.304 | |
從金融韌性開始的 | |
0:05:54.304,0:05:56.304 | |
那後來才開始中文 | |
0:05:56.304,0:05:57.304 | |
或是中文的部分 | |
0:05:57.304,0:05:58.304 | |
那之後才轉移 | |
0:05:58.304,0:06:00.304 | |
升到數位韌性 | |
0:06:00.304,0:06:02.304 | |
所以數位韌性是什麼? | |
0:06:02.304,0:06:04.304 | |
家人有朋友有小孩 | |
0:06:04.304,0:06:05.304 | |
你們都知道 | |
0:06:05.304,0:06:06.304 | |
碰到任性 | |
0:06:06.304,0:06:08.304 | |
耍任性的時候 | |
0:06:08.304,0:06:10.304 | |
那他們越任性 | |
0:06:10.304,0:06:12.304 | |
會有越多小孩在耍任性 | |
0:06:12.304,0:06:14.304 | |
我們就要有越多的韌性 | |
0:06:14.304,0:06:16.304 | |
達到數位韌性 | |
0:06:16.304,0:06:17.728 | |
好 | |
0:06:17.728,0:06:21.728 | |
那講歪話 事實上數位韌性是什麼 | |
0:06:21.728,0:06:24.728 | |
目前可能不一定有一個很明確的定義 | |
0:06:24.728,0:06:26.728 | |
但是我們知道我們可能要達到的目標 | |
0:06:26.728,0:06:28.728 | |
就是我們希望這整個 | |
0:06:28.728,0:06:31.728 | |
不論是資訊系統還是整個組織架構 | |
0:06:31.728,0:06:34.728 | |
要能夠達到難打掛 | |
0:06:34.728,0:06:37.728 | |
然後打掛了也不波及 | |
0:06:38.432,0:06:41.432 | |
即便打掛一個我,還要千千萬萬給我 | |
0:06:41.432,0:06:45.432 | |
這應該是大家應該都同意啦 | |
0:06:45.432,0:06:48.432 | |
那另外是,我們要做到這種狀態 | |
0:06:48.432,0:06:52.432 | |
那不是只有某一個部分要做好所有韌性 | |
0:06:52.432,0:06:55.432 | |
而是整個流程都必須要做好韌性 | |
0:06:55.432,0:06:57.432 | |
整個流程都應該是有韌性的 | |
0:06:57.432,0:06:59.432 | |
那在做這件事情的時候 | |
0:06:59.432,0:07:03.432 | |
我們要保持於 proactive 跟 reactive 的心態跟態度 | |
0:07:04.624,0:07:09.324 | |
那基本上我們就希望我們的 dashboard 像是這樣 | |
0:07:09.324,0:07:11.524 | |
跟北韓的確診人數一樣 | |
0:07:11.524,0:07:14.624 | |
確診人數一樣 一升到 1馬上就變0 | |
0:07:14.624,0:07:16.624 | |
有1,馬上變0 | |
0:07:16.624,0:07:17.824 | |
大概是這樣子 | |
0:07:17.824,0:07:19.824 | |
做到這樣就是很有韌性 | |
0:07:19.824,0:07:21.024 | |
好 | |
0:07:21.024,0:07:23.024 | |
那我們在講數位韌性的話 | |
0:07:23.024,0:07:25.024 | |
可能要把它畫成圖 | |
0:07:25.024,0:07:27.024 | |
大家都喜歡看圖嘛 一圖二表三列表 | |
0:07:27.024,0:07:29.024 | |
四長文嘛 那大概會畫成這樣子 | |
0:07:29.024,0:07:31.024 | |
跟邪教的圖 | |
0:07:31.024,0:07:33.024 | |
跟邪教圖騰差不多 | |
0:07:33.024,0:07:35.024 | |
所以我們稍微看看就好 | |
0:07:35.024,0:07:37.024 | |
我們接下來會用其他方式來跟各位表達 | |
0:07:37.024,0:07:39.024 | |
那在講數位韌性的話 | |
0:07:39.024,0:07:41.024 | |
可能會牽扯到一些keyword | |
0:07:41.024,0:07:43.024 | |
比如說cyber security啊 | |
0:07:43.024,0:07:45.024 | |
現場應該有些資安院的同仁吧 | |
0:07:45.024,0:07:47.024 | |
應該有嗎 | |
0:07:47.024,0:07:49.024 | |
好 還有摸摸的臉 | |
0:07:49.024,0:07:50.768 | |
好 | |
0:07:50.768,0:07:55.268 | |
像是Cyber Security、WBD、Accessibility、Maintainability | |
0:07:55.268,0:07:59.268 | |
那這個Accessibility 大家可能在之前的場次有聽到 Accessibility | |
0:07:59.268,0:08:01.768 | |
不過它是屬於比較偏使用者的部分 | |
0:08:01.768,0:08:03.768 | |
使用者怎麼使用這個系統 | |
0:08:03.768,0:08:06.768 | |
那在我們這邊的 Accessibility 會有不一樣的意義 | |
0:08:06.768,0:08:08.768 | |
待會會跟各位來分享 | |
0:08:09.184,0:08:12.684 | |
好 那開始要進入重點了 | |
0:08:12.684,0:08:15.184 | |
我們真的要做數位韌性 | |
0:08:15.184,0:08:17.684 | |
是整個流程都必須做的 | |
0:08:17.684,0:08:19.684 | |
不是中間有哪個部分長得比較帥 | |
0:08:19.684,0:08:21.184 | |
它就不會被攻擊 | |
0:08:21.184,0:08:24.184 | |
不是你比較帥 你的系統就不會被打 | |
0:08:24.184,0:08:26.684 | |
每一個地方 每一個點 | |
0:08:26.684,0:08:28.684 | |
都是必須做好數位韌性 | |
0:08:28.684,0:08:30.684 | |
才不會產生 Single Point of Failure | |
0:08:30.684,0:08:32.184 | |
如果說 比如說 | |
0:08:32.184,0:08:35.184 | |
我們現在上面所有東西都做得好好的 | |
0:08:35.184,0:08:37.664 | |
結果我們網路線只有一條 | |
0:08:37.664,0:08:41.264 | |
簽了什麼種草電信的 | |
0:08:41.264,0:08:44.064 | |
就這一條 ADSL | |
0:08:44.064,0:08:48.064 | |
這樣G了就G了 不論你其他東西做得再好 | |
0:08:48.064,0:08:50.464 | |
只要有任何一個部分是沒有數位韌性的 | |
0:08:50.464,0:08:52.464 | |
整個系統就是沒有數位韌性 | |
0:08:52.464,0:08:56.064 | |
那這個圖我們等一下會再往下看 | |
0:08:56.064,0:09:00.864 | |
那除了這些東西 比如說我們從最上面的application | |
0:09:00.864,0:09:05.264 | |
就是對外的服務 不論你是網站系統還是你是提供一個軟體 | |
0:09:05.264,0:09:06.464 | |
我們要有 | |
0:09:06.464,0:09:11.264 | |
那另外我們要再加上資料 他這樣組成服務嘛 | |
0:09:11.264,0:09:14.064 | |
那所以application跟data還有服務 | |
0:09:14.064,0:09:16.864 | |
我們都要去檢查 他是不是具備這樣的特性 | |
0:09:16.864,0:09:20.064 | |
另外這些東西他會需要跑在某些東西上面 | |
0:09:20.064,0:09:23.664 | |
不可能說一個軟體飄在空氣中他就可以提供服務了 | |
0:09:23.664,0:09:25.664 | |
他總是要run在某些地方 | |
0:09:25.664,0:09:28.064 | |
所以下面的system比如說OS | |
0:09:28.064,0:09:31.264 | |
這可能是一種system OS | |
0:09:31.264,0:09:34.464 | |
network還有hardware比如說你的power | |
0:09:34.464,0:09:37.664 | |
那像是比如說我們以前在做機房在做外商的時候 | |
0:09:37.664,0:09:43.264 | |
我們一個data center他接電不是說我牽兩條電源線進來就在接兩個電腦 | |
0:09:43.264,0:09:47.664 | |
我們要從兩個不同的供電區接電進來 | |
0:09:47.664,0:09:50.864 | |
這樣任何一個供電區如果挑電 我們都還會有電 | |
0:09:50.864,0:09:53.664 | |
另外cooling cooling我想應該大家都知道 | |
0:09:53.664,0:09:56.464 | |
冷氣不開24小時 台灣夏天都會受不了 | |
0:09:56.464,0:09:58.464 | |
機房也是一樣 | |
0:09:58.464,0:10:04.064 | |
那冷氣假設掛掉 人忍一下或去星巴克就好了 | |
0:10:04.064,0:10:06.064 | |
機器跑不了 | |
0:10:06.064,0:10:08.064 | |
所以這些 cooling 相關的東西一定要有redundancy | |
0:10:08.064,0:10:10.064 | |
所有東西都要 | |
0:10:10.064,0:10:14.064 | |
除了這些準備好之外我們還要再去考慮下一層的infra | |
0:10:14.416,0:10:16.416 | |
比如說你有沒有firewall | |
0:10:16.416,0:10:18.416 | |
有沒有其他設備 | |
0:10:18.416,0:10:20.416 | |
所以整個infra我們都是要去考慮的 | |
0:10:20.624,0:10:24.624 | |
即便這些有的沒的東西 花錢買得到的東西 | |
0:10:24.624,0:10:26.624 | |
我們都處理好了 | |
0:10:26.624,0:10:28.624 | |
如果你的人沒有具備韌性 | |
0:10:28.624,0:10:30.624 | |
不論是韌性的意識 | |
0:10:30.624,0:10:34.624 | |
或者是整個數位部都只有一個網管人員 | |
0:10:34.624,0:10:36.624 | |
這樣有韌性嗎? | |
0:10:36.624,0:10:39.624 | |
沒有 所以全部都會需要具備 | |
0:10:39.624,0:10:42.624 | |
另外當然還有一些像compliance | |
0:10:42.624,0:10:43.624 | |
compliance這些東西 | |
0:10:43.624,0:10:46.624 | |
可能是我們今天level 1不太會去討論到的東西 | |
0:10:46.624,0:10:48.624 | |
或是在之後 | |
0:10:48.624,0:10:50.624 | |
我們接下來就可以稍微看一下這個金字塔 | |
0:10:50.624,0:10:53.624 | |
依據剛才我們的敘述跟說明 | |
0:10:53.624,0:10:55.624 | |
我們可以看到金字塔 | |
0:10:55.624,0:10:58.624 | |
從最上面是從使用者去接觸到的 | |
0:10:58.624,0:11:00.624 | |
使用者去接觸到的會是服務的部分 | |
0:11:00.624,0:11:03.624 | |
服務會需要application跟data去組成 | |
0:11:03.624,0:11:05.624 | |
再接下來是一層叫做hardware | |
0:11:05.624,0:11:06.624 | |
這是infra的部分 | |
0:11:06.624,0:11:07.624 | |
這些東西準備好之後 | |
0:11:07.624,0:11:09.624 | |
最後是personal的部分 | |
0:11:09.624,0:11:10.624 | |
比如說員工 | |
0:11:10.624,0:11:13.624 | |
這個圖會是一個重點之一 | |
0:11:13.624,0:11:16.624 | |
講義我們現在沒有提供 | |
0:11:16.624,0:11:18.624 | |
不過之後我們會稍微把一些重要的東西整理出來 | |
0:11:18.624,0:11:20.624 | |
變成另外一份文件講義 | |
0:11:20.624,0:11:22.624 | |
當然還是很歡迎筆記 | |
0:11:22.624,0:11:24.624 | |
剛才有講 | |
0:11:24.624,0:11:26.624 | |
在過程之中 | |
0:11:26.624,0:11:28.624 | |
如果有任何地方覺得 | |
0:11:28.624,0:11:30.624 | |
我好像講得不是很清楚或是有疑問 | |
0:11:30.624,0:11:31.624 | |
都歡迎直接打斷 | |
0:11:31.624,0:11:33.624 | |
我們就喜歡有互動的感覺 | |
0:11:33.624,0:11:37.624 | |
畢竟獨自在前面當小丑有點孤單 | |
0:11:37.624,0:11:39.624 | |
需要一點互動 | |
0:11:40.464,0:11:42.464 | |
所以剛才我們已經檢查好了 | |
0:11:42.464,0:11:44.464 | |
到底我們要檢查些什麼東西 | |
0:11:44.464,0:11:46.464 | |
以Level 1來說的話 | |
0:11:46.464,0:11:48.464 | |
我們要檢查的標的 | |
0:11:48.464,0:11:50.464 | |
有哪些 從最上到最下 | |
0:11:50.464,0:11:52.464 | |
所以這個 Cheat Sheet | |
0:11:52.464,0:11:54.464 | |
最簡單的部分 這個 Stack 的部分 | |
0:11:54.464,0:11:56.464 | |
我們處理好了 接下來我們要開始往下 | |
0:11:56.464,0:11:58.464 | |
好 | |
0:11:58.464,0:12:00.464 | |
到目前為止OK嗎 | |
0:12:00.464,0:12:02.464 | |
好 沒有人搖頭 應該是OK吧 | |
0:12:02.464,0:12:04.464 | |
好 | |
0:12:05.640,0:12:07.640 | |
接下來我們再討論model | |
0:12:07.640,0:12:10.640 | |
不論是做資安還是做任何東西 | |
0:12:10.640,0:12:12.640 | |
大家都喜歡model或framework | |
0:12:12.640,0:12:14.640 | |
那我們如果去搜尋 | |
0:12:14.640,0:12:16.640 | |
網路上有關於Digital Resilience | |
0:12:16.640,0:12:18.640 | |
相關的model相關的framework | |
0:12:18.640,0:12:20.640 | |
我們會找到蠻多東西的 | |
0:12:20.640,0:12:22.640 | |
或者是我們去問 ChatGPT | |
0:12:22.640,0:12:24.640 | |
說Digital Resilience Model | |
0:12:24.640,0:12:26.640 | |
他會給你一些 | |
0:12:26.640,0:12:28.640 | |
看起來就好像有點對 | |
0:12:28.640,0:12:30.640 | |
又好像有點不對 | |
0:12:30.640,0:12:32.640 | |
因為大家都知道 ChatGPT 它產生就是 | |
0:12:32.640,0:12:34.640 | |
資訊站會餵給我們的東西 | |
0:12:34.640,0:12:36.640 | |
現在變成我們主動去問 ChatGPT | |
0:12:36.640,0:12:38.640 | |
他有七成的真實 | |
0:12:38.640,0:12:40.640 | |
加上三分的錯誤 | |
0:12:40.640,0:12:42.640 | |
人們最喜歡這種資訊了 | |
0:12:42.640,0:12:44.160 | |
好 | |
0:12:44.160,0:12:46.560 | |
那我們如果去查的話 其實會查到一些東西 | |
0:12:46.560,0:12:48.560 | |
比如說 NIST | |
0:12:48.560,0:12:51.560 | |
美國什麼國家標準 | |
0:12:51.560,0:12:53.560 | |
中文我不太知道 | |
0:12:53.560,0:12:55.560 | |
反正就是很高大上的一個組織 | |
0:12:55.560,0:12:57.560 | |
NIST | |
0:12:57.560,0:13:01.560 | |
NIST還有Cyber Security Framework | |
0:13:02.224,0:13:03.924 | |
那它是Cyber Security Framework | |
0:13:03.924,0:13:05.224 | |
ISO有沒有相關的東西? | |
0:13:05.224,0:13:05.724 | |
有啊 | |
0:13:05.724,0:13:09.224 | |
像比如說ISO 27001、27002之類的東西 | |
0:13:09.224,0:13:10.224 | |
它們管的是什麼? | |
0:13:10.224,0:13:12.224 | |
它們是ISMS | |
0:13:12.224,0:13:14.224 | |
也不是Digital Resilience | |
0:13:14.224,0:13:15.724 | |
那你如果再繼續找下去 | |
0:13:15.724,0:13:18.224 | |
會發現更玄的東西出現了 | |
0:13:18.224,0:13:20.224 | |
世界永續發展 | |
0:13:20.224,0:13:22.724 | |
它裡面SDG9 | |
0:13:22.724,0:13:26.224 | |
它講的是企業的一個韌性 | |
0:13:26.224,0:13:27.224 | |
它講的是什麼? | |
0:13:27.224,0:13:29.724 | |
我們企業要降低碳排放 | |
0:13:29.724,0:13:31.724 | |
來達到我們的永續發展 | |
0:13:31.724,0:13:34.724 | |
聽起來好像跟我們的Digital Resilience不太一樣 | |
0:13:35.584,0:13:38.084 | |
還有很多相關的 | |
0:13:38.084,0:13:40.084 | |
但是目前沒有一套 | |
0:13:40.084,0:13:41.084 | |
公認的 | |
0:13:41.084,0:13:43.084 | |
大家都覺得適合的 | |
0:13:43.084,0:13:44.084 | |
完整的 | |
0:13:44.084,0:13:46.084 | |
可以去follow的一個model | |
0:13:47.584,0:13:48.084 | |
所以 | |
0:13:49.520,0:13:53.520 | |
所以我們就先從原本大家比較熟悉的 | |
0:13:53.520,0:13:55.520 | |
像比如說如果有資安院同仁 | |
0:13:55.520,0:13:57.520 | |
一定會熟悉CIA | |
0:13:57.520,0:13:59.520 | |
不是美國那個CIA啦 | |
0:13:59.520,0:14:01.520 | |
CIA這個model | |
0:14:01.520,0:14:03.520 | |
就是confidentiality | |
0:14:03.520,0:14:05.520 | |
integrity | |
0:14:05.520,0:14:07.520 | |
availability | |
0:14:07.968,0:14:12.128 | |
就是訪問性、完整性跟可用性 | |
0:14:12.128,0:14:16.328 | |
這是說,你如果說要做資安的話 | |
0:14:16.328,0:14:18.328 | |
要確認每個東西或每個資料 | |
0:14:18.328,0:14:20.328 | |
要有這些項目 | |
0:14:20.328,0:14:22.328 | |
好,那我們就試試看 | |
0:14:22.328,0:14:25.648 | |
把CIA Model套到我們這個裡面來 | |
0:14:27.610,0:14:33.610 | |
CNN Model Application能不能套,好像可以,非常能套,非常可以 | |
0:14:33.610,0:14:43.610 | |
System Network Hardware | |
Safe,好,我們想辦法套進去,想辦法把它做到,想辦法滿足 | |
0:14:43.610,0:14:50.610 | |
套完之後我們覺得很開心,但是還是倒機了,還是倒機了 | |
0:14:50.610,0:14:55.610 | |
這個Model大家都公認的,套進去還是倒機了,為什麼? | |
0:14:57.108,0:15:01.888 | |
我們先做一個很簡單的,這不是非常客觀、非常政治正確 | |
0:15:01.888,0:15:07.488 | |
什麼叫客觀?客觀就是一群人的主觀,merge、merge戳一戳就變成群眾暴力 | |
0:15:07.488,0:15:09.488 | |
不是,我是說客觀 | |
0:15:09.488,0:15:17.288 | |
其實在客觀的東西,由任何人來表達,都會帶自己的一些想法跟自己的意識 | |
0:15:17.288,0:15:19.288 | |
這是我的客觀 | |
0:15:20.128,0:15:24.288 | |
社會裡面的客觀,Potentiality、Integrity、Availability | |
0:15:24.288,0:15:26.288 | |
那我們再去看看,什麼是Availability? | |
0:15:26.288,0:15:30.288 | |
要做到High Availability,有哪些東西要注意? | |
0:15:30.288,0:15:37.288 | |
我們要注意Cyber Security,要注意Accessibility、Maintainability... | |
0:15:37.288,0:15:42.288 | |
那我們要做到High Availability裡面的Cyber Security,要做什麼? | |
0:15:42.288,0:15:46.288 | |
CIA,這A是什麼? | |
0:15:46.288,0:15:48.288 | |
那所以我們到底要做什麼? | |
0:15:48.288,0:15:56.288 | |
所以CIA其實你做了之後,我們只能說,好,我們保障了Cyber Security這一部分 | |
0:15:56.288,0:16:01.288 | |
可是Digital Resistance其實還多很多,還廣很多 | |
0:16:03.232,0:16:06.032 | |
所以後續還是會打倒機 | |
0:16:06.032,0:16:07.932 | |
我們還會這樣慘叫啊啊啊 | |
0:16:07.932,0:16:09.232 | |
慘叫功解決問題 | |
0:16:09.232,0:16:12.232 | |
剛才 Kiang 好像也有一件說除了慘叫 | |
0:16:12.232,0:16:13.232 | |
還要 | |
0:16:14.232,0:16:15.232 | |
自己也忘了 | |
0:16:15.232,0:16:16.232 | |
對自己也忘了 | |
0:16:18.232,0:16:21.232 | |
除了慘叫我們還是要想辦法 | |
0:16:21.232,0:16:23.232 | |
還是要發揮點效用 | |
0:16:23.232,0:16:27.232 | |
那我們就想想看我們能不能藉由慘叫啊啊啊 | |
0:16:27.232,0:16:29.232 | |
來發揮點效用 | |
0:16:29.232,0:16:31.232 | |
左思右想 | |
0:16:31.232,0:16:33.232 | |
我覺得我實在太聰明了 | |
0:16:33.232,0:16:35.232 | |
我們可以用啊啊啊 | |
0:16:35.232,0:16:37.232 | |
來做些事情 | |
0:16:39.232,0:16:41.232 | |
來達到我們現在宣傳的 | |
0:16:41.232,0:16:43.232 | |
島在人在,島亡人亡 | |
0:16:43.232,0:16:45.232 | |
那是電視 | |
0:16:45.232,0:16:48.232 | |
就是希望達到的效果是 | |
0:16:48.232,0:16:50.232 | |
就算海纜斷光光 | |
0:16:50.232,0:16:52.232 | |
島那個國內對不起 | |
0:16:52.232,0:16:54.232 | |
國內還是很正常的使用 | |
0:16:54.232,0:16:57.232 | |
就算整個國內所有基礎建設被炸光光 | |
0:16:57.232,0:17:00.232 | |
我們還可以在其他國家重啟政府 | |
0:17:01.200,0:17:03.200 | |
這是非常美好的願景 | |
0:17:03.872,0:17:05.872 | |
保持著良善的心 | |
0:17:05.872,0:17:06.872 | |
好 | |
0:17:06.872,0:17:08.872 | |
所以說我們能夠試著做一些什麼東西呢 | |
0:17:08.872,0:17:10.872 | |
試著做一些什麼事情 | |
0:17:10.872,0:17:12.872 | |
試著讓他滿足哪些東西呢 | |
0:17:12.872,0:17:14.872 | |
第一個那是automation | |
0:17:14.872,0:17:16.872 | |
剛才Kiang也大概有分享過 | |
0:17:16.872,0:17:18.872 | |
任何事情只要能夠自動化 | |
0:17:18.872,0:17:20.872 | |
就自動化 | |
0:17:20.872,0:17:22.872 | |
不要說全部靠人 | |
0:17:22.872,0:17:24.872 | |
不要等事情發生了 | |
0:17:24.872,0:17:26.872 | |
人才被電話摳起來 | |
0:17:26.872,0:17:28.872 | |
可能電話都不是自動打的 | |
0:17:28.872,0:17:30.872 | |
還是長官打電話來 | |
0:17:30.872,0:17:32.872 | |
我要上線我要報稅怎麼不會動 | |
0:17:33.872,0:17:35.872 | |
不要這樣講 | |
0:17:35.872,0:17:37.872 | |
什麼事情能自動化都自動化 | |
0:17:38.576,0:17:41.576 | |
所有東西一定要建立Redundancy | |
0:17:41.576,0:17:44.576 | |
Redundancy當然我們可能有Online跟Offline | |
0:17:44.576,0:17:47.576 | |
Online的可能就是我們一般說的那種會員系統啊或什麼之類的 | |
0:17:47.576,0:17:52.576 | |
那如果到資料的話 就可以把它套用到比如說Backup | |
0:17:52.576,0:17:56.576 | |
那Backup當然就有321原則之類的東西 | |
0:17:56.576,0:18:00.576 | |
那Responsive 我們整個系統要能夠快速反應 | |
0:18:01.248,0:18:07.248 | |
那在發生事情的時候 要能夠Recovery | |
0:18:07.248,0:18:11.248 | |
而且這個Recovery還必須要是能自動化的 | |
0:18:11.248,0:18:15.248 | |
那在所有的事件發生 或所有事件要去執行的時候 | |
0:18:15.248,0:18:18.248 | |
我們必須要準備好 SOP Guidelines | |
0:18:18.800,0:18:20.800 | |
然後接下來當然就是系統 | |
0:18:20.800,0:18:22.800 | |
還是要hardening 還是要強化 | |
0:18:22.800,0:18:24.800 | |
強化當然就包含很多也包含 | |
0:18:24.800,0:18:26.800 | |
Cyber Security的部分 | |
0:18:26.800,0:18:28.800 | |
那另外還有就是Monitoring | |
0:18:28.800,0:18:31.800 | |
不過Monitoring我們可能會在後面一點講 | |
0:18:31.800,0:18:34.800 | |
在 PDCA 裡面的CA的部分 | |
0:18:34.800,0:18:36.800 | |
那如果說 | |
0:18:36.800,0:18:38.800 | |
啊不是 還沒有如果說 | |
0:18:38.800,0:18:40.800 | |
那如果說 | |
0:18:40.800,0:18:42.800 | |
還是如果說 對不起 | |
0:18:42.800,0:18:44.800 | |
(笑) | |
0:18:44.800,0:18:46.800 | |
我們剛才那個金字塔那個 Stack | |
0:18:46.800,0:18:48.512 | |
那個 Stack | |
0:18:48.512,0:18:50.512 | |
我們就可以稍微想一下 | |
0:18:50.512,0:18:52.512 | |
你們現在還是先用想的就好 | |
0:18:52.512,0:18:54.512 | |
你們現在畫面還沒調過去 | |
0:18:54.512,0:18:56.512 | |
想一下 如果剛才那些東西 | |
0:18:56.512,0:18:58.512 | |
我們做了這些事情 | |
0:18:58.512,0:19:00.512 | |
它是不是 | |
0:19:00.512,0:19:02.512 | |
能夠提升特殊軔性 | |
0:19:03.392,0:19:06.392 | |
好像有點 feeling | |
0:19:06.392,0:19:09.392 | |
但是做完這些東西 | |
0:19:09.392,0:19:13.392 | |
裡面最難理解的就是 Hardening | |
0:19:13.392,0:19:16.392 | |
Hardening 要確保哪些東西 | |
0:19:16.392,0:19:18.392 | |
我就用寫例子 | |
0:19:18.392,0:19:20.392 | |
因為我們就要下載 | |
0:19:20.392,0:19:23.392 | |
Hardening 我們都熟悉原本的CIA | |
0:19:23.392,0:19:26.392 | |
我們有沒有辦法稍微把它拿回來重用 | |
0:19:26.392,0:19:31.392 | |
因為畢竟 Hardening 包含security以及其他東西 | |
0:19:31.392,0:19:33.392 | |
我們這邊稍微替代一下 | |
0:19:33.392,0:19:35.392 | |
Hardening 我們加上isolation | |
0:19:35.392,0:19:37.392 | |
加上readiness | |
0:19:37.392,0:19:41.392 | |
以及我們把availability換成accessibility | |
0:19:41.392,0:19:43.392 | |
試想一下 | |
0:19:43.392,0:19:46.392 | |
像比如說它可能有些朋友們 | |
0:19:46.392,0:19:48.392 | |
有用GitHub | |
0:19:48.392,0:19:51.392 | |
包含我們有一位GitHub前員工 | |
0:19:51.392,0:19:53.392 | |
我有在用GitHub | |
0:19:53.392,0:19:55.392 | |
那GitHub假設說 | |
0:19:55.392,0:19:57.392 | |
上面的repo open source | |
0:19:57.392,0:20:00.392 | |
然後有些人需要按讚和星星之類的 | |
0:20:00.392,0:20:02.392 | |
他就會說恭喜你 | |
0:20:02.392,0:20:04.392 | |
你的source code已經被收錄進 | |
0:20:04.392,0:20:06.392 | |
什麼南極的地窖裡 | |
0:20:06.392,0:20:08.392 | |
還是什麼之類的 | |
0:20:08.392,0:20:09.392 | |
好 很棒 | |
0:20:09.392,0:20:11.392 | |
假設今天發生核災 | |
0:20:11.392,0:20:12.392 | |
台灣本島被攻擊 | |
0:20:12.392,0:20:14.392 | |
海纜斷光光 | |
0:20:14.392,0:20:16.392 | |
你的資料有沒有備份 | |
0:20:16.392,0:20:18.392 | |
有 它available | |
0:20:19.152,0:20:21.152 | |
你存取的到嗎 | |
0:20:21.152,0:20:23.152 | |
存取不到 | |
0:20:23.152,0:20:25.152 | |
所以資料跟系統 | |
0:20:25.152,0:20:27.152 | |
它不但要available | |
0:20:27.152,0:20:29.152 | |
它還要是要可存取的 | |
0:20:29.152,0:20:31.152 | |
雖然說availability本身其實應該 | |
0:20:31.152,0:20:35.152 | |
隱含了可被存取的意思 | |
0:20:35.152,0:20:38.152 | |
但是通常人們在看available的時候 | |
0:20:38.152,0:20:41.152 | |
都只會想到它available | |
0:20:41.152,0:20:43.152 | |
但是不是accessible | |
0:20:43.776,0:20:49.376 | |
所以我們如果能把這個詞稍微調整一下,讓它更直觀,可能會更好 | |
0:20:49.376,0:20:57.276 | |
那available 本身的有關備份相關的東西,我們其實在剛才的那個 R 裡面已經提到了 | |
0:20:57.276,0:21:00.776 | |
所以我們把這個availability 換成accessibility | |
0:21:00.776,0:21:06.276 | |
再加上幾個,CIA裡面其實沒有討論到風險控制 | |
0:21:07.664,0:21:12.664 | |
他可能有提到的是風險預防,他沒有提到比較多的風險控管 | |
0:21:12.664,0:21:14.624 | |
比如說 | |
0:21:15.624,0:21:17.624 | |
像以前我們在打教育部系統 | |
0:21:17.624,0:21:23.624 | |
不是,我夢到我朋友以前在對大考中心做一些友善的測試的時候 | |
0:21:23.624,0:21:27.624 | |
或者是幫忙他們備份資料之類的,我夢到的 | |
0:21:27.624,0:21:29.624 | |
或者是遊戲產業之類的 | |
0:21:29.624,0:21:34.624 | |
他們通常進去之後一個點 | |
0:21:34.624,0:21:37.624 | |
可能不是從主要的防火牆大門進去 | |
0:21:37.624,0:21:40.624 | |
從旁邊的 ADSL 繞進去 | |
0:21:40.624,0:21:45.624 | |
一旦進內網,如入無人之境,超級爽的 | |
0:21:45.624,0:21:51.624 | |
什麼NAS啊,什麼網芳啊,什麼東西,隨便你進去 | |
0:21:51.744,0:21:53.744 | |
資料庫隨便你拉 | |
0:21:53.744,0:21:55.744 | |
或者是 | |
0:21:55.744,0:21:57.744 | |
你打了一台系統 | |
0:21:57.744,0:21:59.744 | |
比如說他們最近在 | |
0:21:59.744,0:22:01.744 | |
測試一些系統的時候 | |
0:22:01.744,0:22:03.744 | |
把一個站打下來了 | |
0:22:03.968,0:22:06.968 | |
很難打很難打 大概花了半天吧 | |
0:22:06.968,0:22:10.968 | |
打進去之後 防火牆 做得好做得好 | |
0:22:10.968,0:22:14.968 | |
裡面控管沒有 一台主機連三個區網 | |
0:22:14.968,0:22:17.968 | |
兩邊通兩個AD | |
0:22:17.968,0:22:20.968 | |
AD只要我們sneak一下Credential | |
0:22:20.968,0:22:23.968 | |
AD就登進去了 | |
0:22:23.968,0:22:25.968 | |
然後最後權限都拿到了 | |
0:22:25.968,0:22:28.968 | |
接下來要做什麼 我就不多說了 | |
0:22:28.968,0:22:32.968 | |
所以避免災害的橫向擴展這件事情 其實是很重要 | |
0:22:32.968,0:22:36.968 | |
所以我們在CIA裡面 再多加一個I | |
0:22:36.968,0:22:38.968 | |
另外是Readiness | |
0:22:38.968,0:22:40.968 | |
Readiness是什麼東西呢 | |
0:22:40.968,0:22:42.968 | |
所有東西它應該是qualified | |
0:22:42.968,0:22:44.968 | |
configured | |
0:22:44.968,0:22:46.968 | |
well prepared | |
0:22:47.232,0:22:49.232 | |
比如說以人來講的話 | |
0:22:49.232,0:22:51.232 | |
我們剛剛講了 | |
0:22:51.232,0:22:53.232 | |
假設整個數位部 | |
0:22:53.232,0:22:55.232 | |
只有一個人做網管的話 | |
0:22:55.232,0:22:57.232 | |
肯定不行嘛 | |
0:22:57.232,0:22:59.232 | |
那我多找幾個工讀生還可以啦 | |
0:22:59.232,0:23:01.232 | |
假設那個網管 | |
0:23:01.232,0:23:03.232 | |
去休假了 | |
0:23:03.232,0:23:05.232 | |
機器倒機了,我們還有沒有人 | |
0:23:05.232,0:23:07.232 | |
有啊,我們請了十個工讀生啊 | |
0:23:09.232,0:23:11.232 | |
但這些工讀生能用嗎 | |
0:23:11.232,0:23:13.232 | |
他們能夠幫忙修數位部的系統嗎 | |
0:23:14.872,0:23:16.872 | |
他們是qualified嗎 並不是 | |
0:23:16.872,0:23:18.872 | |
那我們再想想看 再另外 | |
0:23:18.872,0:23:21.872 | |
比如說我們有資料 我們有備份 | |
0:23:21.872,0:23:26.872 | |
資料備份不是用光碟丟在那邊就被人家拿出去戶政系統 | |
0:23:26.872,0:23:28.872 | |
我沒有在暗指哪件事情 | |
0:23:28.872,0:23:31.872 | |
沒有說去年或什麼事情 我沒有在暗指哪件事情 | |
0:23:31.872,0:23:34.872 | |
資料 我們有備份 | |
0:23:34.872,0:23:37.872 | |
然後我們說我們要符合CIA | |
0:23:37.872,0:23:39.872 | |
所以我們要加密 | |
0:23:39.872,0:23:43.872 | |
我們就最強力把亂數密碼 | |
0:23:43.872,0:23:45.872 | |
越長越好的亂數密碼 | |
0:23:45.872,0:23:48.872 | |
加密完我們還要怕金鑰被人家偷走 | |
0:23:48.872,0:23:51.872 | |
所以加密完之後直接把金鑰刪掉 | |
0:23:51.872,0:23:53.872 | |
超讚的 沒有人能夠破解 | |
0:23:53.872,0:23:55.872 | |
資料在不在 資料在 | |
0:23:55.872,0:23:58.872 | |
資料完不完整 資料完整 | |
0:23:58.872,0:24:00.872 | |
資料有沒有保密 大家有保密 | |
0:24:00.872,0:24:01.872 | |
CIA符合 | |
0:24:01.872,0:24:04.872 | |
他能用嗎 他不能用 | |
0:24:04.872,0:24:06.872 | |
他不ready | |
0:24:06.872,0:24:09.872 | |
所以我們如果能夠把剛才的東西 | |
0:24:09.872,0:24:12.822 | |
加上稍微微調過的CIA Model | |
0:24:12.822,0:24:14.822 | |
加上比如改一下 | |
0:24:14.822,0:24:16.822 | |
加上isolation 加上readiness | |
0:24:16.822,0:24:18.822 | |
我們可能還能夠 | |
0:24:18.822,0:24:20.822 | |
讓它更符合 | |
0:24:20.822,0:24:22.822 | |
先用大家習慣的model | |
0:24:22.822,0:24:24.822 | |
調整一下讓它更符合 | |
0:24:24.822,0:24:26.822 | |
Digital Resilience 它的需求 | |
0:24:26.822,0:24:28.822 | |
那 | |
0:24:28.822,0:24:30.822 | |
這個東西隨便你怎麼叫 | |
0:24:30.822,0:24:32.822 | |
CIA+IR | |
0:24:32.822,0:24:34.822 | |
或者是cry | |
0:24:34.822,0:24:36.822 | |
或者是用日文發音叫什麼 | |
0:24:36.822,0:24:38.822 | |
賽拉 都可以啦 | |
0:24:38.822,0:24:40.822 | |
那賽拉我覺得有點難聽 | |
0:24:40.822,0:24:41.819 | |
所以我就 | |
0:24:41.819,0:24:46.319 | |
接下來我會用 Cry 來稱呼 先暫時這樣取個名字 | |
0:24:46.319,0:24:47.819 | |
Cry 好 | |
0:24:47.819,0:24:51.819 | |
好 我們填了蠻多的東西的 | |
0:24:51.819,0:24:54.319 | |
速度不要很快 我好像講太快了 | |
0:24:54.319,0:24:56.819 | |
沒關係 等下開放QA | |
0:24:56.819,0:25:00.819 | |
所以我們這張表裡面就填了好一些東西 | |
0:25:00.819,0:25:02.819 | |
我們要檢查什麼 | |
0:25:02.819,0:25:06.319 | |
哪些東西是我們應該要去確認的項目 | |
0:25:06.319,0:25:10.319 | |
確認的目標 標的 或者是whatever 不論怎麼稱呼 | |
0:25:10.827,0:25:13.827 | |
我們要去確認他們有沒有做什麼事情 | |
0:25:13.827,0:25:15.827 | |
或者是我們自己在規劃的時候 | |
0:25:15.827,0:25:18.827 | |
我們在去規劃這個系統 資訊系統的時候 | |
0:25:18.827,0:25:22.827 | |
我們要記得要做哪些相關的事情 | |
0:25:22.827,0:25:25.827 | |
讓這個系統具有這些能力或特性 | |
0:25:25.827,0:25:27.827 | |
難道自動化 自動化 | |
0:25:27.827,0:25:30.827 | |
像比如說Data 大家最熟悉Data | |
0:25:30.827,0:25:33.827 | |
Data 備份 要自動備份 | |
0:25:33.827,0:25:35.827 | |
要備份三份 | |
0:25:35.827,0:25:38.827 | |
在兩種不同的媒體 至少一份遠端 | |
0:25:38.827,0:25:39.827 | |
這大家都很熟了 | |
0:25:40.475,0:25:47.075 | |
那隨著資料增長 或者是資料的種類變多了 | |
0:25:47.075,0:25:51.475 | |
我還只備份原本的嗎?不是嘛 我要隨著能夠彈性調整嘛 | |
0:25:51.475,0:25:55.475 | |
當資料出現問題的時候 或者是資料遺失的時候 | |
0:25:55.475,0:25:57.475 | |
我是不是能夠快速反應 | |
0:25:57.475,0:26:00.475 | |
當系統掛掉的時候 | |
0:26:00.475,0:26:06.475 | |
原本的硬碟被比如說你看廠房 之前去看人家機房 | |
0:26:06.475,0:26:09.475 | |
就把人家機房硬碟抽出來看型號 好像在檢查一樣 | |
0:26:09.979,0:26:11.979 | |
當資料真的壞掉之後 | |
0:26:11.979,0:26:13.979 | |
我們有沒有辦法快速的recovery | |
0:26:13.979,0:26:15.979 | |
這個資料備份機制 | |
0:26:15.979,0:26:17.979 | |
跟整個還原過程中 | |
0:26:17.979,0:26:19.979 | |
我們有沒有guideline 我們有沒有SOP | |
0:26:19.979,0:26:23.979 | |
資料備份出來的東西 | |
0:26:23.979,0:26:25.979 | |
就是這種東西 | |
0:26:25.979,0:26:27.979 | |
這個項目做完這些之後 | |
0:26:27.979,0:26:29.979 | |
出來的result | |
0:26:29.979,0:26:33.979 | |
有沒有符合這些 | |
0:26:33.979,0:26:35.979 | |
比如說備份完資料 | |
0:26:35.979,0:26:37.979 | |
有沒有符合 | |
0:26:37.979,0:26:38.979 | |
有沒有加密 | |
0:26:39.067,0:26:41.067 | |
blah blah blah blah blah | |
0:26:41.067,0:26:43.067 | |
所以這張表目前填起來 | |
0:26:43.067,0:26:44.067 | |
大概是這樣 | |
0:26:44.067,0:26:45.067 | |
這張表是一個 Cheat Sheet | |
0:26:45.067,0:26:47.067 | |
它是一個工具表 | |
0:26:47.067,0:26:49.067 | |
我們可能今天沒有辦法針對 | |
0:26:49.067,0:26:51.067 | |
每個項目大家一起來做探討 | |
0:26:51.067,0:26:53.067 | |
它裡面的一些細節 | |
0:26:53.067,0:26:54.067 | |
每個項目到底該怎麼做 | |
0:26:54.067,0:26:56.067 | |
可能還沒有辦法 | |
0:26:56.067,0:26:57.067 | |
不過這個會是一個 | |
0:26:57.067,0:27:02.067 | |
還蠻好下手的一個小Tool | |
0:27:07.067,0:27:08.067 | |
接下來 | |
0:27:08.091,0:27:11.091 | |
目標,這就超級乾了,這真的沒什麼好講的 | |
0:27:11.091,0:27:15.591 | |
那所以說,整個系統如果做完的話 | |
0:27:15.591,0:27:17.591 | |
我們就回到 Digital Resilience | |
0:27:17.591,0:27:20.591 | |
Digital Resilience 到底要讓這個系統 | |
0:27:20.591,0:27:25.091 | |
有哪些現象,哪些效果,要滿足哪些條件 | |
0:27:25.091,0:27:27.591 | |
這整個系統是有 Digital Resilience | |
0:27:27.591,0:27:29.591 | |
當然第一個是 Security 嘛 | |
0:27:29.591,0:27:31.591 | |
Redundancy | |
0:27:31.591,0:27:33.591 | |
Recovery | |
0:27:33.591,0:27:35.591 | |
Automation | |
0:27:35.591,0:27:36.619 | |
然後這個系統 | |
0:27:36.619,0:27:39.619 | |
能不能夠隨著時代的進步 | |
0:27:39.619,0:27:41.619 | |
或者是系統的演進 | |
0:27:41.619,0:27:44.619 | |
而隨時做出相對的即時調整 | |
0:27:44.619,0:27:46.619 | |
當事件發生的時候 | |
0:27:46.619,0:27:49.619 | |
它是不是能夠非常快速的、即時的反應 | |
0:27:49.619,0:27:52.619 | |
甚至無論是災害或者是變動、變更 | |
0:27:52.619,0:27:54.619 | |
做快速的反應 | |
0:27:54.619,0:27:56.619 | |
那隨著世界的進步 | |
0:27:56.619,0:27:59.619 | |
一定有很多Standard在往上持續提升 | |
0:27:59.619,0:28:01.579 | |
或者是比如說 | |
0:28:01.579,0:28:06.579 | |
加密系統本身就是 加密的演算法本來就是一個 | |
0:28:06.579,0:28:09.579 | |
會一直進步嘛 以前大家都用MD5嘛 | |
0:28:09.579,0:28:12.579 | |
應該說是Hash值啦 不是加密 | |
0:28:12.579,0:28:16.579 | |
對不起 我叫這個名字 | |
0:28:16.579,0:28:19.579 | |
我叫這個名字 | |
0:28:19.579,0:28:21.579 | |
那姓氏有點怪 名字有點怪 | |
0:28:21.579,0:28:23.579 | |
應該蠻容易記得 | |
0:28:23.579,0:28:26.579 | |
所以從小不能做壞事 要不然都會被記得 | |
0:28:27.579,0:28:29.579 | |
我剛剛有講到 | |
0:28:29.579,0:28:31.179 | |
對不起 | |
0:28:31.179,0:28:38.179 | |
所以時代進步,有新的技術出來,或者演算法出來 | |
0:28:38.179,0:28:43.179 | |
我們要適時的去能夠快速的響應,快速套用 | |
0:28:43.179,0:28:46.179 | |
像比如說以前我們在做資安的時候 | |
0:28:46.179,0:28:50.179 | |
那個時候我們可能連上一台系統是用Telnet | |
0:28:50.179,0:28:54.179 | |
連上去之後,一台系統上OS,主機好了 | |
0:28:54.179,0:28:58.179 | |
密碼打入,使用者打入,密碼打入的應該都進去了 | |
0:28:58.179,0:29:01.179 | |
現在實在不一樣了,現在要SSH | |
0:29:01.227,0:29:03.227 | |
這也很難唸 | |
0:29:03.227,0:29:05.227 | |
examination | |
0:29:05.227,0:29:07.227 | |
沒有唸錯吧 | |
0:29:07.227,0:29:09.227 | |
所有東西 | |
0:29:09.227,0:29:11.227 | |
只要沒有被驗證 | |
0:29:11.227,0:29:13.227 | |
它就是不存在 | |
0:29:13.227,0:29:15.227 | |
只要無法被驗證,它就是不存在 | |
0:29:15.227,0:29:17.227 | |
你只要沒有辦法準確的去評估 | |
0:29:17.227,0:29:19.227 | |
針對它去評估 | |
0:29:19.227,0:29:21.227 | |
你就不能說它存在 | |
0:29:21.227,0:29:23.227 | |
就像DNA報告沒出來 | |
0:29:23.227,0:29:25.227 | |
誰能證明他是我孩子 | |
0:29:25.227,0:29:27.227 | |
這例子不是很好啦 | |
0:29:27.227,0:29:28.667 | |
對不起 | |
0:29:28.667,0:29:31.667 | |
做東西需要真的被驗證你才能說它存在 | |
0:29:31.667,0:29:34.667 | |
要不然你並不知道你到底有沒有做好 | |
0:29:34.667,0:29:37.667 | |
就像一樣嘛 我以前 | |
0:29:37.667,0:29:40.667 | |
我以前想要去當太空人 我有朝太空人努力 | |
0:29:40.667,0:29:44.667 | |
就看我現在在為國家做更好的事情 | |
0:29:44.667,0:29:48.667 | |
對 所以沒有驗證 | |
0:29:48.667,0:29:51.667 | |
就沒有辦法說我到底成功了沒 | |
0:29:51.667,0:29:53.667 | |
我現在在這邊說我一定沒有成功當太空人吧 | |
0:29:53.667,0:29:57.667 | |
不過我有另外一種方式貢獻社會嘛 | |
0:29:58.531,0:30:02.871 | |
所以這東西大概是以Digital Resilience來說 | |
0:30:03.131,0:30:06.451 | |
它應該具備的幾種大方向跟大特性 | |
0:30:07.231,0:30:10.311 | |
好,那我們再把這個超級乾的,這沒什麼好講的 | |
0:30:12.611,0:30:14.151 | |
還有一些其他東西 | |
0:30:14.391,0:30:16.191 | |
是我們今天應該不會帶到的 | |
0:30:16.451,0:30:18.231 | |
不過也是非常重要的 | |
0:30:18.491,0:30:21.571 | |
像比如說這個Vendor Management | |
0:30:22.851,0:30:23.351 | |
就是 | |
0:30:23.871,0:30:26.171 | |
供應鏈管理 | |
0:30:26.691,0:30:27.711 | |
Vendor Management | |
0:30:28.299,0:30:35.399 | |
那如果說你採用了某某廠牌的技術 | |
0:30:35.399,0:30:36.699 | |
我們先隨便講 | |
0:30:36.699,0:30:42.699 | |
比如說某M公司他的雲端服務很棒 | |
0:30:42.699,0:30:47.199 | |
可是如果你所有整個系統完全是圍繞他的技術架構去建 | |
0:30:47.199,0:30:49.899 | |
所有東西都是為他特化的 | |
0:30:49.899,0:30:56.399 | |
你可能滿足了剛才說的HA相關的特性 | |
0:30:56.779,0:30:58.779 | |
但事實上也就被他 Lock In | |
0:30:58.779,0:31:05.779 | |
如果今天美國政府突然說不想跟你們好了 | |
0:31:05.779,0:31:07.779 | |
甚至還要打你們 | |
0:31:07.779,0:31:10.779 | |
叫這些企業不要再支援我們 | |
0:31:10.779,0:31:12.779 | |
我們還活不活得下去 | |
0:31:12.779,0:31:15.779 | |
雖然這個例子有點誇張 | |
0:31:15.779,0:31:18.779 | |
另外一個例子像比如說我們需要一些系統 | |
0:31:18.779,0:31:21.779 | |
我們覺得 Kiang 好像能做,我們會做地圖 | |
0:31:21.779,0:31:23.779 | |
所以什麼東西都要 Kiang 做 | |
0:31:23.995,0:31:27.995 | |
Kiang 今天拍拍屁股說不跟你們玩了,我要去遊四海了 | |
0:31:27.995,0:31:30.995 | |
你們跟Vendor Locking,你們要找其他人 | |
0:31:30.995,0:31:35.995 | |
人只能付越來越高的金錢,想辦法留住他 | |
0:31:35.995,0:31:37.995 | |
如果他還是不要,他賺夠了 | |
0:31:37.995,0:31:38.995 | |
我是不知道他有沒有賺夠啦? | |
0:31:38.995,0:31:41.995 | |
一定不夠啊 | |
0:31:41.995,0:31:43.995 | |
假設他賺夠了,他還是不要 | |
0:31:43.995,0:31:46.995 | |
我們這系統基本上就是打掉重練 | |
0:31:46.995,0:31:47.995 | |
這就是Vendor Lock In | |
0:31:47.995,0:31:49.995 | |
剛才我提到 Deploy 是很重要的 | |
0:31:49.995,0:31:51.995 | |
Digital Resilience 裡面很重要一環 | |
0:31:52.283,0:31:55.283 | |
另外是Vendor Management的部分 | |
0:31:55.283,0:32:01.283 | |
我們要能夠去掌控整個Vendor的供應鏈 | |
0:32:01.283,0:32:03.283 | |
我們需要了解它的Dependency | |
0:32:03.283,0:32:06.283 | |
所以我們可能以軟體來講的話 | |
0:32:06.283,0:32:08.283 | |
可能就需要 SBOM | |
0:32:08.283,0:32:11.283 | |
那 SBOM 有些人很熟 | |
0:32:11.283,0:32:13.283 | |
有些人我假裝他們聽不懂 | |
0:32:13.283,0:32:15.283 | |
Jedi 應該聽不懂吧 | |
0:32:15.283,0:32:17.283 | |
Jedi 聽不懂啦 | |
0:32:17.283,0:32:20.283 | |
SBOM 就是軟體的Dependency的列表 | |
0:32:21.499,0:32:24.499 | |
那 SBOM 其實如果沒有的話 | |
0:32:24.499,0:32:26.499 | |
我們就沒有辦法去驗證 | |
0:32:26.499,0:32:28.499 | |
它的Dependency,它用的函式庫 | |
0:32:28.499,0:32:30.499 | |
到底是OK的還是不OK的 | |
0:32:30.499,0:32:33.499 | |
這個東西剛才 Kiang 也稍微有點講過 | |
0:32:33.499,0:32:36.499 | |
那我們等一下也會再繼續提 | |
0:32:36.499,0:32:40.499 | |
其實有關於選擇 SBOM 格式標準之類的 | |
0:32:40.499,0:32:42.499 | |
也是有另外一番掙扎 | |
0:32:42.499,0:32:47.499 | |
那另外還有那個Regulation Compliance | |
0:32:47.499,0:32:49.499 | |
這些東西我們今天大概也不會提 | |
0:32:49.707,0:32:51.707 | |
想說Level 2 或更後面 | |
0:32:51.707,0:32:53.707 | |
那還有像IR | |
0:32:53.707,0:32:55.707 | |
Incident Response | |
0:32:55.707,0:32:57.707 | |
相關的一些規劃 | |
0:32:57.707,0:32:59.707 | |
那IR 我也是一個假設 | |
0:32:59.707,0:33:01.707 | |
Jedi 還聽不懂 | |
0:33:01.707,0:33:03.707 | |
就是如果你被打了 | |
0:33:03.707,0:33:05.707 | |
如果你已經被入侵了 | |
0:33:05.707,0:33:07.707 | |
如果你已經中毒了 | |
0:33:07.707,0:33:09.707 | |
我到底要怎麼樣找出 | |
0:33:09.707,0:33:11.707 | |
這到底是中毒 | |
0:33:11.707,0:33:13.707 | |
還是有人惡意的去刪東西 | |
0:33:14.251,0:33:17.251 | |
這個加密 到底是有人自己在那邊加密 | |
0:33:17.251,0:33:20.251 | |
然後說我電腦被加密 報告繳不出來 | |
0:33:20.251,0:33:23.251 | |
還是我是真的中勒索病毒 | |
0:33:23.251,0:33:27.251 | |
那這個是IR Incident Response的部分 | |
0:33:27.251,0:33:33.251 | |
那還有像是企業持續 | |
0:33:33.251,0:33:36.251 | |
不知道中文怎麼講 | |
0:33:36.251,0:33:38.251 | |
Business Continuity | |
0:33:38.555,0:33:41.055 | |
還有那個 Disaster Recovery 相關這些東西 | |
0:33:41.055,0:33:43.255 | |
可能不是我們今天會去探究 | |
0:33:43.255,0:33:46.055 | |
但是這些東西都是我們在規劃一個完整的資訊系統 | |
0:33:46.055,0:33:50.555 | |
甚至是一個完整的資訊相關組織的 Digital Resilience | |
0:33:50.555,0:33:54.055 | |
會需要去注重跟規劃考慮的 | |
0:33:54.055,0:33:55.555 | |
好 | |
0:33:55.555,0:33:57.555 | |
好的這個 | |
0:33:57.555,0:34:00.055 | |
那個我們整個系統都需要做到 | |
0:34:00.055,0:34:02.555 | |
像是如果這種鹹豬手啊 | |
0:34:02.555,0:34:06.555 | |
然後樹大有枯枝 人大有 | |
0:34:06.555,0:34:07.555 | |
不說了 | |
0:34:07.555,0:34:08.507 | |
好的 | |
0:34:08.507,0:34:13.747 | |
沒事就順手拔一拔硬碟 踢一踢電源線 拔一拔網路線 | |
0:34:13.747,0:34:18.247 | |
出這種事情的時候 你的系統還要是穩定能夠運作的 | |
0:34:18.247,0:34:23.147 | |
很重要喔 有的時候 攻擊者不是外面的人 是你的長官 | |
0:34:23.147,0:34:28.747 | |
這個大家都會有點 fee l啦 任何種類的攻擊啦 好不好 | |
0:34:28.747,0:34:33.347 | |
好 從這個表到目前上面這邊填完了 | |
0:34:33.347,0:34:35.347 | |
我們再稍微review一下 | |
0:34:35.347,0:34:38.331 | |
我們要針對什麼東西 | |
0:34:38.331,0:34:40.331 | |
來去做確認 | |
0:34:40.331,0:34:43.331 | |
我們在Digital Resilience 需要注重哪些東西 | |
0:34:43.331,0:34:45.331 | |
一樣 下面我們先不管 | |
0:34:45.331,0:34:47.331 | |
什麼compliance啊 什麼東西 | |
0:34:47.331,0:34:48.331 | |
governance我們先不管 | |
0:34:48.331,0:34:50.331 | |
我們先做level 1的部分 | |
0:34:50.331,0:34:52.331 | |
那有關系統的部分 | |
0:34:52.331,0:34:55.331 | |
online跟offline | |
0:34:55.331,0:34:57.331 | |
系統也都要去顧 | |
0:34:58.331,0:35:00.331 | |
那對這些東西 | |
0:35:01.331,0:35:03.331 | |
做這些事情 | |
0:35:03.331,0:35:05.331 | |
或者確保他們能做這些事情 | |
0:35:06.587,0:35:11.087 | |
產出的東西要符合這些條件 | |
0:35:11.087,0:35:15.587 | |
這些東西做完之後 | |
0:35:15.587,0:35:18.087 | |
就代表他們有努力 | |
0:35:18.087,0:35:20.087 | |
或是我們努力過了 | |
0:35:20.087,0:35:22.087 | |
努力過到底有沒有達到效果 | |
0:35:22.087,0:35:24.087 | |
我們一樣再過來看 | |
0:35:24.087,0:35:27.087 | |
有沒有滿足這些條件 | |
0:35:27.087,0:35:31.087 | |
所以這其實就是待會要講 PDCA 的 | |
0:35:31.087,0:35:33.087 | |
這邊是P跟D嘛 | |
0:35:33.087,0:35:34.087 | |
Plan 跟Do嘛 | |
0:35:34.087,0:35:35.087 | |
好 做得好 | |
0:35:36.531,0:35:38.531 | |
這是CA的部分 | |
0:35:38.531,0:35:41.531 | |
所以是在一整個流程中的不同時段 | |
0:35:41.531,0:35:43.531 | |
我們要去顧 | |
0:35:43.531,0:35:48.531 | |
不過當然我們去做數位韌性的巡航義診的時候 | |
0:35:48.531,0:35:50.531 | |
我們就是全部要一起看 | |
0:36:00.531,0:36:02.531 | |
然後接下來我們看 這邊還是空的 | |
0:36:02.531,0:36:04.531 | |
所以我們接下來把剩下這兩個東西 | |
0:36:04.939,0:36:06.939 | |
填上來 | |
0:36:06.939,0:36:09.939 | |
那這東西應該大家都很熟啦 | |
0:36:09.939,0:36:11.939 | |
不論是做軟體的人 | |
0:36:11.939,0:36:13.939 | |
什麼 Agile Development | |
0:36:13.939,0:36:15.939 | |
什麼DevOps | |
0:36:15.939,0:36:17.939 | |
或是有關於說什麼 | |
0:36:17.939,0:36:19.939 | |
什麼開發計畫啦 | |
0:36:19.939,0:36:20.939 | |
或什麼之類的 | |
0:36:20.939,0:36:22.939 | |
應該都對這個cycle很熟 | |
0:36:22.939,0:36:24.939 | |
P、D、C、A嘛 | |
0:36:24.939,0:36:26.939 | |
那這個A可能有些人說Action | |
0:36:26.939,0:36:28.939 | |
我比較習慣 | |
0:36:28.939,0:36:30.939 | |
我比較喜歡把它稱作Adjust | |
0:36:30.939,0:36:32.939 | |
因為Check之後的Action | |
0:36:32.939,0:36:34.043 | |
就是標準 | |
0:36:34.043,0:36:36.043 | |
那如果Check完之後 | |
0:36:36.043,0:36:38.043 | |
還有什麼Action | |
0:36:38.043,0:36:40.043 | |
不是調整 那我就不知道 | |
0:36:40.043,0:36:42.043 | |
是什麼東西了 | |
0:36:42.043,0:36:44.043 | |
這是PDCA | |
0:36:44.043,0:36:46.043 | |
Plan Do Check Action | |
0:36:46.043,0:36:48.043 | |
應該大家很熟 | |
0:36:48.043,0:36:50.043 | |
那我們要 | |
0:36:50.043,0:36:52.043 | |
在 PD 的過程之中 | |
0:36:52.043,0:36:54.043 | |
要去 | |
0:36:54.043,0:36:56.043 | |
確認一些東西 | |
0:36:56.043,0:36:58.043 | |
比如說我們要做風險控制 | |
0:36:58.043,0:37:00.043 | |
跟風險預防 | |
0:37:00.043,0:37:02.043 | |
雞蛋不要放在同一個籃子裡面 | |
0:37:02.043,0:37:03.899 | |
核彈也不要只投一顆 | |
0:37:04.899,0:37:10.899 | |
今天不放同一個籃子 我想應該是大家都很熟悉的一句話 | |
0:37:10.899,0:37:14.899 | |
但是真的在做系統的時候 我們會不會記得這件事情 | |
0:37:14.899,0:37:17.899 | |
有些人會 有些人會忘記 | |
0:37:17.899,0:37:23.899 | |
想說這東西很棒 好棒棒 就全部都用它 全部都靠它 | |
0:37:23.899,0:37:29.899 | |
比如說有些VPN買一台600萬的 像以前在外商的時候 | |
0:37:29.899,0:37:33.899 | |
那個防火牆 Hudo Robinson 一台600萬 | |
0:37:33.963,0:37:35.963 | |
600萬喔 便宜啦 一次進三台 | |
0:37:35.963,0:37:39.963 | |
他們都知道 外商都知道一次進三台了 | |
0:37:39.963,0:37:41.963 | |
我們聰明的國人 | |
0:37:41.963,0:37:43.963 | |
我們數位寶島的人 | |
0:37:43.963,0:37:45.963 | |
怎麼會一次只進一台呢 | |
0:37:45.963,0:37:48.963 | |
所以 所有東西不能只有一個 | |
0:37:48.963,0:37:50.963 | |
不要造成 single point of failure | |
0:37:50.963,0:37:54.963 | |
那包含 我們再延伸一點點 | |
0:37:54.963,0:37:56.963 | |
像比如說我以前外商的時候 | |
0:37:56.963,0:37:59.963 | |
我們團隊看任何的部門 | |
0:37:59.963,0:38:02.635 | |
比如說這部門有十個人好了 | |
0:38:02.635,0:38:06.635 | |
我們全部員工旅遊或是去某個國家 | |
0:38:06.635,0:38:08.635 | |
去做教育訓練 | |
0:38:08.635,0:38:10.635 | |
我們一定要分兩到三個班機 | |
0:38:10.635,0:38:12.635 | |
不同的班機 | |
0:38:12.635,0:38:15.635 | |
搭巴士也一定要分兩到三個不同的巴士 | |
0:38:15.635,0:38:16.635 | |
為什麼呢? | |
0:38:16.635,0:38:18.635 | |
就算飛機掉下來死了人 | |
0:38:18.635,0:38:20.635 | |
沒關係有公司能繼續嘛 | |
0:38:20.635,0:38:21.635 | |
公司能繼續就好 | |
0:38:21.635,0:38:23.635 | |
人死有保險嘛 OK的 | |
0:38:23.635,0:38:27.635 | |
公司能否賺錢才是嚴重的 | |
0:38:27.635,0:38:29.635 | |
所以人的團隊 | |
0:38:29.635,0:38:31.635 | |
我們也需要這樣去處理 | |
0:38:32.043,0:38:34.043 | |
那這裡就要順便帶到另外一個 | |
0:38:34.043,0:38:36.043 | |
我通常在輔導一些企業的時候 | |
0:38:36.043,0:38:39.043 | |
會試著幫他洗腦他們的 | |
0:38:39.043,0:38:42.043 | |
1.3規則 1.3 Rule | |
0:38:42.043,0:38:44.043 | |
什麼是 1.3 Rule 呢 | |
0:38:46.043,0:38:49.043 | |
一個人 他應該在自己的專業領域裡面 | |
0:38:49.043,0:38:51.043 | |
就在這團隊裡面 | |
0:38:51.043,0:38:53.043 | |
自己的專業領域裡面 | |
0:38:53.043,0:38:57.043 | |
還要多了解三分其他人的專業領域 | |
0:38:59.043,0:39:01.019 | |
換一個角度來講 | |
0:39:01.019,0:39:07.019 | |
每一個專業領域至少會有1.3個人了解 | |
0:39:07.019,0:39:11.019 | |
所以當這個職務的負責人 | |
0:39:11.019,0:39:14.019 | |
他不論是拉肚子還是飛機掉下來 | |
0:39:14.019,0:39:16.019 | |
不要講飛機掉下來好了 | |
0:39:16.019,0:39:19.019 | |
他是拉肚子還是去日本玩 | |
0:39:19.019,0:39:20.019 | |
一玩就玩一兩個禮拜 | |
0:39:20.019,0:39:23.019 | |
或者去結婚生小孩之類的 | |
0:39:23.019,0:39:25.019 | |
不論他想要幹嘛 | |
0:39:25.019,0:39:29.019 | |
我們隨時這系統都有人能夠繼續run | |
0:39:29.659,0:39:32.659 | |
都有人能夠去負責它是穩定維運的 | |
0:39:32.659,0:39:35.159 | |
當事件發生的時候 | |
0:39:35.159,0:39:38.659 | |
這個另外一個只懂三成的人 | |
0:39:38.659,0:39:42.659 | |
加上剛才我們準備好的各種automation、SOP | |
0:39:42.659,0:39:47.659 | |
他能夠把事件發生之後該怎麼處理的事情都處理完 | |
0:39:47.659,0:39:49.659 | |
所以這 1.3 Rule | |
0:39:49.659,0:39:52.659 | |
每個人應該具備1.3個專業 | |
0:39:52.659,0:39:56.159 | |
至少像以前我們有說什麼專業型的人 | |
0:39:56.159,0:39:57.659 | |
後來變 Pi 型人 | |
0:39:57.659,0:39:58.659 | |
後來變川型人 | |
0:39:58.659,0:39:59.659 | |
像是 | |
0:40:00.659,0:40:01.159 | |
人 | |
0:40:01.159,0:40:02.659 | |
我都不知道到底是 | |
0:40:02.659,0:40:04.659 | |
以後可能就是 GPT 人之類的 | |
0:40:05.659,0:40:06.659 | |
所以1.3 | |
0:40:06.659,0:40:07.659 | |
每個專業 | |
0:40:07.659,0:40:09.659 | |
不要只是壓寶 壓在 | |
0:40:09.659,0:40:10.659 | |
一個人身上 | |
0:40:10.659,0:40:11.659 | |
1.3個人 | |
0:40:11.659,0:40:13.659 | |
是最少最少限度 | |
0:40:14.659,0:40:15.659 | |
每個人 | |
0:40:15.659,0:40:16.659 | |
不要只 | |
0:40:16.659,0:40:18.659 | |
不能夠只懂得自己的專業 | |
0:40:19.659,0:40:20.659 | |
要不然 | |
0:40:20.659,0:40:21.659 | |
就是 | |
0:40:21.659,0:40:23.659 | |
你可能很容易被取代 | |
0:40:23.659,0:40:24.659 | |
那是另外一回事 | |
0:40:25.659,0:40:27.659 | |
那這個是對於成員的部分 | |
0:40:27.707,0:40:29.707 | |
那另外我們再講另外一個例子 | |
0:40:29.707,0:40:31.707 | |
比如說系統 | |
0:40:31.707,0:40:34.707 | |
他們可能會依據不同的需求 | |
0:40:34.707,0:40:37.707 | |
像比如說政府短網址服務 | |
0:40:37.707,0:40:40.707 | |
自從我們成立之後 | |
0:40:40.707,0:40:42.707 | |
他們就對我們慘遭巡檢 | |
0:40:42.707,0:40:43.707 | |
慘遭巡航 | |
0:40:43.707,0:40:45.707 | |
就需要做一些調整跟改變 | |
0:40:45.707,0:40:47.707 | |
他可能不符合人的這個accessibility | |
0:40:47.707,0:40:49.707 | |
不符合high availability | |
0:40:49.707,0:40:51.707 | |
不符合這個不符合那個 | |
0:40:51.707,0:40:53.707 | |
所以我們要持續進步 | |
0:40:53.707,0:40:56.707 | |
但是誰能保證新版本沒有問題 | |
0:40:57.099,0:40:59.099 | |
沒有人能保證嘛 | |
0:40:59.099,0:41:01.099 | |
有個規則 | |
0:41:01.099,0:41:03.099 | |
有個很有名的規則 | |
0:41:03.099,0:41:05.099 | |
我想有些人也聽過 | |
0:41:05.099,0:41:07.099 | |
全世界所有的軟體 | |
0:41:07.099,0:41:09.099 | |
都至少會有一行多一個程式碼 | |
0:41:09.099,0:41:11.099 | |
以及一個bug | |
0:41:11.099,0:41:13.099 | |
所以總結下來 | |
0:41:13.099,0:41:15.099 | |
世界上所有的軟體都可以 | |
0:41:15.099,0:41:17.099 | |
濃縮成一行程式碼 | |
0:41:17.099,0:41:19.099 | |
並且裡面有一個bug | |
0:41:19.099,0:41:21.099 | |
這不是我亂講的 | |
0:41:21.099,0:41:23.099 | |
這不是說弄個偉人 | |
0:41:23.099,0:41:24.347 | |
然後隨時說 | |
0:41:24.347,0:41:27.347 | |
他沒講過 不是喔 這是真的有人講 | |
0:41:27.347,0:41:30.347 | |
這是軟體開發產業裡面的一個有名對不對 | |
0:41:30.347,0:41:34.347 | |
所以沒有人能保證軟體跟系統是沒有問題的 | |
0:41:34.347,0:41:36.347 | |
我只能保證它會有問題 | |
0:41:36.347,0:41:39.347 | |
什麼時候出問題不要問我 反正我覺得它有問題 | |
0:41:39.347,0:41:41.347 | |
所以一個系統新上線之後 | |
0:41:41.347,0:41:43.347 | |
你不知道它到底會不會壞掉 | |
0:41:43.347,0:41:47.347 | |
可能我們用非常好 非常棒 非常先進的技術去做它 | |
0:41:47.347,0:41:50.347 | |
但是因為中間小小的部分沒有注意到 | |
0:41:50.347,0:41:51.347 | |
就壞了 | |
0:41:51.347,0:41:53.347 | |
所以我們在更版的時候 | |
0:41:53.755,0:41:56.475 | |
但我們還要考量很多東西 或是舉例 | |
0:41:56.475,0:41:59.975 | |
如果我們是用K8S Kubernetes的環境的話 | |
0:41:59.975,0:42:03.175 | |
它裡面支援Rolling Update的功能 | |
0:42:03.175,0:42:07.175 | |
就是有點類似AB Test的這種概念 | |
0:42:07.175,0:42:09.175 | |
舊版的系統跑得好好的 | |
0:42:09.175,0:42:12.675 | |
同時我們也把幾個新系統上上去 | |
0:42:12.675,0:42:17.675 | |
把使用者也許七成在舊系統 三成在新系統 | |
0:42:17.675,0:42:22.175 | |
去觀察新的系統運作是否正常 | |
0:42:22.283,0:42:25.683 | |
如果經過一定時間,這個新系統運作正常 | |
0:42:25.683,0:42:29.283 | |
我們要導50%到新系統,然後70%到新系統 | |
0:42:29.283,0:42:31.283 | |
最後全部到新系統 | |
0:42:31.283,0:42:34.283 | |
雞蛋不要放在同一個籃子裡 | |
0:42:34.283,0:42:37.283 | |
不要在禮拜五的下班之前 | |
0:42:37.283,0:42:40.283 | |
上系統之後把所有使用者導到新系統 | |
0:42:40.283,0:42:43.283 | |
那應該就沒有周末可言了啦 | |
0:42:43.283,0:42:48.283 | |
所以這個是一些小小生活中可以應用的一個地方 | |
0:42:48.283,0:42:51.283 | |
那另外就是剛剛提到的isolation | |
0:42:51.915,0:42:55.915 | |
我們在P跟D在規劃的時候跟在實作的時候 | |
0:42:55.915,0:42:58.915 | |
就要去考慮到風險的控制跟預防 | |
0:42:58.915,0:43:01.915 | |
那isolation主要是在控制的部分 | |
0:43:01.915,0:43:05.915 | |
像有很多種的isolation方式 | |
0:43:05.915,0:43:07.915 | |
從一個application runtime | |
0:43:07.915,0:43:09.915 | |
到它的network層 | |
0:43:09.915,0:43:11.915 | |
到它整個element層或是OS層 | |
0:43:11.915,0:43:13.915 | |
像比如說很多人聽說 | |
0:43:13.915,0:43:15.915 | |
虛擬機器、VM | |
0:43:15.915,0:43:17.915 | |
又有些人聽過container | |
0:43:17.915,0:43:19.915 | |
還有一些是什麼 | |
0:43:20.059,0:43:23.139 | |
Lightweight VM 啊 Lightweight Container 啊 | |
0:43:23.139,0:43:24.859 | |
或者 blah blah blah 之類的 | |
0:43:24.859,0:43:26.659 | |
各式各樣的名詞隨他們取 | |
0:43:26.659,0:43:28.459 | |
不過都是在做 | |
0:43:28.459,0:43:32.259 | |
他們都是能夠達到某種程度的isolation | |
0:43:32.259,0:43:34.459 | |
即便安全等級不一樣 | |
0:43:34.459,0:43:35.859 | |
都是在做isolation | |
0:43:35.859,0:43:37.859 | |
而且這種隔離環境 | |
0:43:37.859,0:43:39.459 | |
這種infra 這種規劃 | |
0:43:39.459,0:43:41.459 | |
不是在出事的時候 | |
0:43:41.459,0:43:44.459 | |
人才去 啊 幹 倒機了 倒機了 去按 | |
0:43:44.459,0:43:45.459 | |
絕對來不及的 | |
0:43:45.459,0:43:46.659 | |
我們自動化攻擊程式啊 | |
0:43:46.659,0:43:48.443 | |
他們自動化攻擊程式 | |
0:43:48.443,0:43:52.443 | |
或是很自動的在零點幾秒之內就處理完了 | |
0:43:52.443,0:43:55.443 | |
所以在平常你們的系統裡面 | |
0:43:55.443,0:43:57.443 | |
你們的系統在運作的時候 | |
0:43:57.443,0:44:01.443 | |
就應該是已經運作在隔離受控的環境中 | |
0:44:01.443,0:44:06.443 | |
當事件發生的時候 它才不會擴散 | |
0:44:08.443,0:44:11.443 | |
那我們可能再多加上一些Keyless switch | |
0:44:11.443,0:44:15.443 | |
或其他Backup plan來做到這個風險控制 | |
0:44:15.493,0:44:18.693 | |
另外當然還有一些要注意的 | |
0:44:18.693,0:44:21.893 | |
比如說你的資安、驗證 | |
0:44:21.893,0:44:25.013 | |
有關於資料、Infra、Bluetooth之類的東西 | |
0:44:25.013,0:44:27.973 | |
有沒有顧到Scalability、Availability | |
0:44:27.973,0:44:34.213 | |
還有另外一個就是需求管理與變更管理 | |
0:44:34.213,0:44:41.733 | |
這個部分,可能等一下是在宥辰 下一位分享者 | |
0:44:41.733,0:44:45.333 | |
他會在這部分有關Maintainability相關的部分 | |
0:44:45.467,0:44:47.467 | |
或者有更多的分享 | |
0:44:47.467,0:44:49.467 | |
不過這邊稍微提一下 | |
0:44:49.467,0:44:51.467 | |
我們只要東西更變 | |
0:44:51.467,0:44:53.467 | |
沒有管理 | |
0:44:53.467,0:44:55.467 | |
那就是老闆說什麼做什麼 | |
0:44:55.467,0:44:57.467 | |
做了之後老闆又不認帳 | |
0:44:57.467,0:44:59.467 | |
苦的是誰 | |
0:44:59.467,0:45:01.467 | |
我就不說了 | |
0:45:01.467,0:45:03.467 | |
大家心裡都會有點 Feel | |
0:45:03.467,0:45:05.467 | |
或者是一個系統 | |
0:45:05.467,0:45:07.467 | |
你禮拜五下班之前 | |
0:45:07.467,0:45:09.467 | |
還是好的 | |
0:45:09.467,0:45:11.467 | |
禮拜一的時候是壞的 | |
0:45:11.467,0:45:13.467 | |
是你做的 還是同事做的 | |
0:45:13.963,0:45:16.963 | |
只要沒有做相關的管理 變更管理 | |
0:45:16.963,0:45:18.963 | |
這些東西就是成謎 | |
0:45:18.963,0:45:20.963 | |
大家就只是說 不是我 不是我 | |
0:45:20.963,0:45:22.963 | |
在我的電腦上是好的 | |
0:45:22.963,0:45:24.963 | |
都是這樣子 | |
0:45:24.963,0:45:27.963 | |
好 細節講完 下一位分享者會分享 | |
0:45:27.963,0:45:30.963 | |
好 剛才P跟D的部分 | |
0:45:30.963,0:45:33.963 | |
要注意的東西大概稍微介紹一下 | |
0:45:33.963,0:45:35.963 | |
我們先稍微 Pause 一下 | |
0:45:35.963,0:45:38.963 | |
就是我喘口氣 大家想一下有沒有什麼問題要問 | |
0:45:43.963,0:45:44.325 | |
好 謝謝大家 | |
0:45:44.325,0:45:46.325 | |
我期待的眼神 | |
0:45:46.325,0:45:48.325 | |
(笑) | |
0:45:48.325,0:45:50.325 | |
沒有嗎?好吧 | |
0:45:50.325,0:45:52.325 | |
(笑) | |
0:45:52.325,0:45:54.325 | |
好,那P、D、C、A | |
0:45:54.325,0:45:56.325 | |
P跟D可能要注意的東西 | |
0:45:56.325,0:45:58.325 | |
就是剛才列表中不一定有提到的 | |
0:45:58.325,0:46:00.325 | |
額外的可能一些小地方要注意的 | |
0:46:00.325,0:46:02.325 | |
我剛剛稍微提了一下 | |
0:46:02.325,0:46:04.325 | |
現在是有關C的部分 | |
0:46:04.325,0:46:06.325 | |
C,check | |
0:46:06.325,0:46:08.325 | |
驗證 | |
0:46:08.325,0:46:10.325 | |
其實是檢查啦 | |
0:46:10.325,0:46:12.325 | |
我們先用驗證來代表 | |
0:46:12.325,0:46:14.325 | |
驗證 | |
0:46:15.077,0:46:20.397 | |
如果有一個東西,沒有辦法驗證,你要怎麼驗證? | |
0:46:20.397,0:46:28.397 | |
所謂什麼東西,我們在一開始規劃的時候,就需要考慮到可驗證性 | |
0:46:28.397,0:46:34.597 | |
那它具備可驗證性,你在check,在C的步驟中才可驗證 | |
0:46:34.597,0:46:41.397 | |
那有蠻多東西,細節,眉眉角角的小細節,其實是需要去注意的 | |
0:46:41.397,0:46:42.475 | |
像比如說 | |
0:46:42.475,0:46:46.115 | |
如果當初一開始在規劃,在P跟D的時候 | |
0:46:46.115,0:46:49.075 | |
我們就沒有去規劃有關 SBOM 的部分 | |
0:46:50.475,0:46:54.175 | |
那我們要怎麼做 Vendor Management? | |
0:46:55.075,0:47:00.475 | |
我們要怎麼去驗證軟體跟供應鏈的安全問題跟穩定度? | |
0:47:00.475,0:47:01.475 | |
沒有辦法 | |
0:47:02.275,0:47:05.175 | |
或者是說我們在備份資料的時候 | |
0:47:05.175,0:47:08.975 | |
如果說這個東西是不是完整的 | |
0:47:08.975,0:47:11.975 | |
這件事情我們沒有去規劃可驗證性 | |
0:47:12.043,0:47:14.043 | |
那就會出現剛才說的 | |
0:47:14.043,0:47:16.543 | |
我們直接亂輸取超長的密碼 | |
0:47:16.543,0:47:18.543 | |
加密完之後把key丟掉 | |
0:47:19.543,0:47:21.543 | |
然後我們說回來它是完整的 | |
0:47:21.543,0:47:23.543 | |
你怎麼驗證它是完整的 | |
0:47:23.543,0:47:25.543 | |
你沒有辦法驗證 | |
0:47:25.543,0:47:27.543 | |
所以我們一定要把可驗證性 | |
0:47:27.543,0:47:29.543 | |
規劃在整個資訊系統 | |
0:47:29.543,0:47:31.543 | |
在一開始最一開始 | |
0:47:31.543,0:47:33.543 | |
就比如說在顯規格書或什麼之類 | |
0:47:33.543,0:47:35.543 | |
或者更早的時候 | |
0:47:35.543,0:47:37.543 | |
我們就要去考慮到這件事情 | |
0:47:37.543,0:47:39.543 | |
所以 | |
0:47:39.543,0:47:41.543 | |
再說回來 | |
0:47:41.643,0:47:44.643 | |
我們在去規劃這件事情的時候 | |
0:47:44.643,0:47:46.643 | |
或者驗證的步驟的時候 | |
0:47:46.643,0:47:47.643 | |
我們可能要考慮到 | |
0:47:47.643,0:47:51.643 | |
到底什麼東西是該被驗證的 | |
0:47:51.643,0:47:53.643 | |
可能很多東西都該被驗證 | |
0:47:53.643,0:47:56.643 | |
最棒的是全世界任何東西 | |
0:47:56.643,0:48:01.643 | |
包含當天的宇宙射線的量 | |
0:48:01.643,0:48:03.643 | |
都可以去驗證 這當然是最好的 | |
0:48:03.643,0:48:04.643 | |
畢竟系統出錯 | |
0:48:04.643,0:48:06.643 | |
誰知道是鬧鬼還是人 | |
0:48:06.643,0:48:09.643 | |
還是宇宙射線打穿 | |
0:48:09.643,0:48:11.371 | |
宇宙射線這不是一個 | |
0:48:11.371,0:48:14.371 | |
假議題的 宇宙射線真的一天到晚都在打 | |
0:48:14.371,0:48:15.371 | |
據統計 | |
0:48:15.371,0:48:17.371 | |
好 我們要統計數據 | |
0:48:17.371,0:48:19.371 | |
很多很多的系統bug | |
0:48:19.371,0:48:21.371 | |
以及我們就算是 | |
0:48:21.371,0:48:22.371 | |
有做RAID | |
0:48:22.371,0:48:24.371 | |
就是資料有做RAID | |
0:48:24.371,0:48:26.371 | |
他們都會有 | |
0:48:26.371,0:48:27.371 | |
那個 | |
0:48:27.371,0:48:28.371 | |
bit rot | |
0:48:28.371,0:48:30.371 | |
就是某個bit壞掉 | |
0:48:31.206,0:48:36.206 | |
那有些人會覺得說這可能是硬體設備商他們做的問題 | |
0:48:36.206,0:48:40.206 | |
但事實上就是以Cern他們在做研究的時候 | |
0:48:40.206,0:48:44.206 | |
發現其實有很多是被宇宙設線打壞的 | |
0:48:44.206,0:48:49.206 | |
那你一個資料碟裡面只要有一個bit壞掉 | |
0:48:49.206,0:48:54.206 | |
那個區段的資料至少是那個segment可能就是有問題的 | |
0:48:54.646,0:48:57.246 | |
所以不要覺得說這是玄學 | |
0:48:57.246,0:48:58.046 | |
然後這不是玄學 | |
0:48:58.046,0:48:59.046 | |
這是科學 | |
0:48:59.046,0:49:02.146 | |
我表弟就是在做這個相關的設備的 | |
0:49:02.146,0:49:06.246 | |
就是說我們以後要射上天的那些一顆一顆的東西 | |
0:49:07.222,0:49:09.222 | |
我不知道是不是機密 反正那些東西 | |
0:49:09.222,0:49:10.222 | |
他就說 | |
0:49:10.222,0:49:12.222 | |
通常拿到晶片 | |
0:49:12.222,0:49:14.222 | |
第一件事情 | |
0:49:14.222,0:49:16.222 | |
就是跟醫院合作 | |
0:49:16.222,0:49:18.222 | |
放進有一個箱子裡面 | |
0:49:18.222,0:49:20.222 | |
全部都是 | |
0:49:20.222,0:49:22.222 | |
強力射線那邊打 | |
0:49:22.222,0:49:23.222 | |
打個三天兩夜 | |
0:49:23.222,0:49:25.222 | |
拿出來通電看是好的壞的 | |
0:49:25.222,0:49:27.222 | |
如果這一批裡面 | |
0:49:27.222,0:49:29.222 | |
十顆壞的 兩顆好的 | |
0:49:29.222,0:49:31.222 | |
另一批是 | |
0:49:31.222,0:49:33.222 | |
八顆壞的 五顆好的 | |
0:49:33.222,0:49:35.222 | |
就選擇好的 | |
0:49:35.222,0:49:37.222 | |
因為他壞掉的比例 | |
0:49:37.222,0:49:39.222 | |
大概是將近二分之一 | |
0:49:39.222,0:49:41.222 | |
所以我們到時候要射上天的時候 | |
0:49:41.222,0:49:43.222 | |
會有三個模組同時run | |
0:49:43.222,0:49:45.222 | |
然後每天重開機 | |
0:49:45.222,0:49:47.222 | |
輪流重開機 | |
0:49:47.222,0:49:49.222 | |
沒有什麼很厲害的東西 | |
0:49:49.222,0:49:51.222 | |
反正就是都放幾個重開機而已 | |
0:49:51.222,0:49:53.222 | |
扯遠了 | |
0:49:53.222,0:49:55.222 | |
反正是可驗證 | |
0:49:55.222,0:49:57.222 | |
宇宙射線這件事情 | |
0:49:57.222,0:49:58.743 | |
它是不是該驗證的 | |
0:49:58.743,0:50:00.743 | |
但它是不是可驗證的 | |
0:50:01.743,0:50:02.743 | |
很難 | |
0:50:03.743,0:50:06.743 | |
所以我們除了什麼東西是該被驗證之外 | |
0:50:06.743,0:50:09.743 | |
當然我們也要考慮什麼是可被驗證的 | |
0:50:11.047,0:50:14.347 | |
有了這兩個,那它是該被驗證、可被驗證 | |
0:50:14.347,0:50:16.347 | |
接下來我們才要確認 | |
0:50:16.347,0:50:18.347 | |
這是不是已被驗證 | |
0:50:18.347,0:50:22.746 | |
所以我們到時候在巡航健診的時候 | |
0:50:22.746,0:50:25.246 | |
健檢的時候要再考慮一下 | |
0:50:25.246,0:50:26.746 | |
他們這套系統裡面 | |
0:50:26.746,0:50:28.746 | |
可能哪些東西是該被驗證 | |
0:50:28.746,0:50:30.746 | |
他們有沒有驗證 | |
0:50:30.746,0:50:32.746 | |
該被驗證,是不是可被驗證 | |
0:50:32.746,0:50:34.246 | |
有沒有驗證 | |
0:50:34.246,0:50:36.246 | |
舉個小例子,大家都知道的例子 | |
0:50:36.246,0:50:37.746 | |
不過我還是要講一下 | |
0:50:37.746,0:50:39.746 | |
因為畢竟我快要時間嘛 | |
0:50:40.447,0:50:42.447 | |
比如說一個Service、Web Service | |
0:50:42.447,0:50:44.447 | |
什麼東西是該被驗證的 | |
0:50:44.447,0:50:46.447 | |
大家Brainstorm一下 | |
0:50:46.502,0:50:48.502 | |
沒有獎徵答 | |
0:50:48.502,0:50:50.502 | |
什麼叫驗證 | |
0:50:50.502,0:50:52.502 | |
Web Service | |
0:50:52.502,0:50:54.502 | |
樁腳 | |
0:50:54.502,0:50:56.502 | |
他們都不講 樁腳 | |
0:50:56.502,0:50:58.502 | |
我才剛寫 | |
0:51:00.294,0:51:02.294 | |
連不連的上 | |
0:51:02.294,0:51:04.294 | |
連的上 這邊沒有寫吧 | |
0:51:04.294,0:51:06.294 | |
(笑) | |
0:51:06.294,0:51:08.294 | |
連不連的上 | |
0:51:08.294,0:51:10.294 | |
這的確是該被驗證沒錯 | |
0:51:10.294,0:51:12.294 | |
而且這是我們之後要去check的嘛 | |
0:51:12.294,0:51:14.294 | |
因為 Web Service 來講的話 | |
0:51:14.294,0:51:16.294 | |
user data | |
0:51:16.294,0:51:18.294 | |
都點了要被驗證嘛 | |
0:51:18.294,0:51:20.294 | |
只要是做資安的人或者是寫軟體的人 | |
0:51:20.294,0:51:22.294 | |
應該都知道 | |
0:51:22.294,0:51:24.294 | |
使用者輸入就直接歸類 | |
0:51:24.294,0:51:26.294 | |
預設他是不安全的 | |
0:51:26.294,0:51:28.294 | |
誰知道他們會幹嘛 | |
0:51:28.294,0:51:30.294 | |
比如說一個網址 | |
0:51:30.294,0:51:32.294 | |
url後面 | |
0:51:32.294,0:51:34.294 | |
show id=1 | |
0:51:34.294,0:51:36.294 | |
我們在打網址的時候 | |
0:51:36.294,0:51:38.294 | |
小指抽筋 | |
0:51:38.294,0:51:40.294 | |
不小心多了一個單引號 | |
0:51:40.294,0:51:42.294 | |
單引號 | |
0:51:42.294,0:51:44.294 | |
送進DB裡面 | |
0:51:44.294,0:51:46.294 | |
query就壞了 | |
0:51:46.294,0:51:48.294 | |
壞了 不然我幫他補齊好了 | |
0:51:48.294,0:51:50.294 | |
當然 | |
0:51:50.294,0:51:52.294 | |
OR 1=1 又過了 | |
0:51:52.294,0:51:54.294 | |
不然我再show data base | |
0:51:54.294,0:51:56.294 | |
一下 也出來了 | |
0:51:56.294,0:51:58.294 | |
好 | |
0:51:58.294,0:52:00.294 | |
我都夢到或聽朋友講的啦 | |
0:52:00.294,0:52:02.294 | |
好 | |
0:52:02.294,0:52:04.294 | |
所以user report 鐵定是該被驗證 | |
0:52:04.294,0:52:06.294 | |
能不能驗證 | |
0:52:06.294,0:52:08.294 | |
可以啊 | |
0:52:08.294,0:52:10.294 | |
外面的那個 | |
0:52:10.294,0:52:12.294 | |
ORM 那麼多 | |
0:52:12.294,0:52:14.294 | |
外面的那個library那麼多 | |
0:52:14.294,0:52:16.294 | |
當然可被驗證 | |
0:52:16.391,0:52:20.491 | |
那我們發包出去做系統 系統廠商做完之後 | |
0:52:20.991,0:52:22.531 | |
這東西有沒有被驗證 | |
0:52:24.331,0:52:26.371 | |
這個大家可以想一下 | |
0:52:26.891,0:52:31.231 | |
各位朋友們自己經手過的系統裡面 | |
0:52:31.654,0:52:35.654 | |
到底有多少系統裡面有做資安檢測 | |
0:52:35.654,0:52:37.654 | |
多少系統資安檢測是真的 | |
0:52:37.654,0:52:41.654 | |
多少系統你們真的去看過、複測過 | |
0:52:41.654,0:52:45.654 | |
因為我以前在業界 | |
0:52:45.654,0:52:47.654 | |
也看過很多資安檢測廠商 | |
0:52:47.654,0:52:49.654 | |
掃完之後說 | |
0:52:49.654,0:52:51.654 | |
這份報告可不可以 | |
0:52:51.654,0:52:54.654 | |
你們可以容許幾個high、幾個critical | |
0:52:54.654,0:52:56.654 | |
三個是不是我幫你調 | |
0:52:56.654,0:52:58.654 | |
不能有critical | |
0:52:58.654,0:52:59.654 | |
我幫你全部調 | |
0:52:59.654,0:53:00.654 | |
調到這邊去 | |
0:53:00.654,0:53:03.654 | |
或是說這個工具測出來怪怪的 | |
0:53:03.654,0:53:05.654 | |
或是說最新版的測出來你可能不會過 | |
0:53:05.654,0:53:07.654 | |
要不然你們裡面 | |
0:53:07.654,0:53:10.654 | |
spec裡面沒有寫說要求在哪個版本 | |
0:53:10.654,0:53:11.654 | |
沒有要求 | |
0:53:11.654,0:53:13.654 | |
okok 跟你講2008年的會過 | |
0:53:14.886,0:53:16.386 | |
這個東西 | |
0:53:16.386,0:53:19.187 | |
他們給你報告 你就信了嗎 | |
0:53:19.187,0:53:21.886 | |
通常是啊 這我也知道啊 | |
0:53:21.886,0:53:23.886 | |
但是我們還是要稍微動動手 | |
0:53:23.886,0:53:25.886 | |
小指抽筋一下 | |
0:53:25.886,0:53:27.386 | |
看會不會有問題 | |
0:53:27.386,0:53:28.886 | |
那個是 | |
0:53:28.886,0:53:31.886 | |
手不好電腦打太多都會這樣 | |
0:53:31.942,0:53:33.942 | |
我是中風啦 | |
0:53:33.942,0:53:37.942 | |
什麼該被驗證什麼可被驗證的被驗證了沒 | |
0:53:37.942,0:53:41.942 | |
這些東西都是我們在規劃的時候就應該要規劃進去 | |
0:53:41.942,0:53:45.942 | |
我們才能在check這個步驟去落實 | |
0:53:45.942,0:53:50.942 | |
去真的了解這些東西到底是不是有做到 | |
0:53:50.942,0:53:53.942 | |
另外是剛剛講web service | |
0:53:53.942,0:53:56.942 | |
那如果我出的是一個web application | |
0:53:56.942,0:54:00.942 | |
或者是我出的是一個web server | |
0:54:01.446,0:54:03.446 | |
看可不可以驗證 | |
0:54:05.446,0:54:07.446 | |
來玩一下看一個application | |
0:54:07.446,0:54:09.446 | |
或是一個web server | |
0:54:09.446,0:54:11.446 | |
我們講web server好了 | |
0:54:11.446,0:54:13.446 | |
我們有沒有辦法驗證它的安全性 | |
0:54:13.446,0:54:15.446 | |
沒有獎徵答 | |
0:54:15.446,0:54:17.446 | |
或者是點點頭或搖搖頭也可以 | |
0:54:19.446,0:54:21.446 | |
我有點孤單 | |
0:54:21.446,0:54:23.446 | |
大家這邊風很大很冷 | |
0:54:23.446,0:54:25.446 | |
點點頭或搖搖頭好不好 | |
0:54:26.087,0:54:28.087 | |
點點頭 | |
0:54:28.087,0:54:30.087 | |
啊好棒好棒 | |
0:54:30.087,0:54:32.087 | |
這位朋友有支持我 | |
0:54:32.087,0:54:34.087 | |
很棒 | |
0:54:34.087,0:54:36.087 | |
這些binary application也都是可以驗證的 | |
0:54:36.087,0:54:38.087 | |
從白箱比如說從source code | |
0:54:38.087,0:54:40.087 | |
就是我說 | |
0:54:40.087,0:54:42.087 | |
run的時候是binary | |
0:54:42.087,0:54:44.087 | |
從白箱從source code | |
0:54:44.087,0:54:46.087 | |
比如說用 | |
0:54:46.087,0:54:48.087 | |
有一位朋友之前任職公司的github | |
0:54:48.087,0:54:50.087 | |
或者是說我們現在正在用的github | |
0:54:50.087,0:54:52.087 | |
之類的 | |
0:54:52.087,0:54:54.087 | |
這些工具他都可以外掛一些 | |
0:54:54.087,0:54:56.087 | |
其他的小工具 | |
0:54:56.087,0:54:58.087 | |
比如說什麼snyk啊 | |
0:54:58.087,0:55:00.087 | |
或者是一些其他的工具 | |
0:55:00.087,0:55:02.087 | |
我好像不能只講一間公司 | |
0:55:02.087,0:55:04.087 | |
要不然我會犯那個什麼 | |
0:55:04.998,0:55:07.998 | |
不能推廣某一間公司的Solution | |
0:55:07.998,0:55:08.998 | |
採購法 | |
0:55:08.998,0:55:10.998 | |
對之類的 可是我就想不到其他公司 | |
0:55:10.998,0:55:12.998 | |
所以大家自己幫我腦補一下 | |
0:55:12.998,0:55:14.998 | |
反正有很多工具可以在你 | |
0:55:14.998,0:55:16.998 | |
做程式軟體開發的時候 | |
0:55:16.998,0:55:18.998 | |
就自動過這個工序 | |
0:55:18.998,0:55:19.998 | |
過完之後 | |
0:55:19.998,0:55:21.998 | |
它就會噴一堆Error | |
0:55:21.998,0:55:23.998 | |
然後你就可以選擇 | |
0:55:23.998,0:55:26.998 | |
把它關掉還是修它 | |
0:55:26.998,0:55:28.998 | |
通常我因為強迫症 | |
0:55:28.998,0:55:30.998 | |
我會把它全部修掉 | |
0:55:31.998,0:55:33.998 | |
這就是有點累啦 | |
0:55:35.998,0:55:37.998 | |
除了白箱部分的話 | |
0:55:37.998,0:55:39.998 | |
比較難做的其實是D | |
0:55:39.998,0:55:41.998 | |
剛才說靜態 靜態測試的部分 | |
0:55:41.998,0:55:42.998 | |
SST | |
0:55:42.998,0:55:44.998 | |
這其實是比較容易做的 | |
0:55:44.998,0:55:46.998 | |
那DAST就比較難做 | |
0:55:46.998,0:55:48.998 | |
就是動態的一個驗證 | |
0:55:48.998,0:55:49.998 | |
動態分析 | |
0:55:50.583,0:55:56.183 | |
不過其實像交大有個 Lab 他們有做一些工具叫 CRAX | |
0:55:56.183,0:55:58.183 | |
CRAX 之類的 | |
0:55:59.511,0:56:02.511 | |
我跟他們老師不認識,我跟他們團隊人認識而已 | |
0:56:02.511,0:56:05.511 | |
那它就是說,我們把一個軟體 | |
0:56:05.511,0:56:08.511 | |
用虛擬化的技術,比如說用到 VM | |
0:56:08.511,0:56:10.511 | |
讓在 VM 裡面 | |
0:56:10.511,0:56:14.511 | |
VM 的記憶體事實上會被 Host OS 管理的 | |
0:56:14.511,0:56:18.511 | |
所以我們就可以去修改它記憶體裡面的東西 | |
0:56:18.511,0:56:21.511 | |
亂塞些亂七八糟的東西 | |
0:56:21.511,0:56:23.511 | |
然後讓程式繼續去跑 | |
0:56:23.511,0:56:27.511 | |
看這些被污染的變數,會往程式的哪裡流 | |
0:56:28.167,0:56:33.766 | |
當它 crash 的時候,它做快照,再恢復,再去污染,一直不斷的污染 | |
0:56:33.766,0:56:39.667 | |
找出所有可能變數的污染路徑,然後分析出這個軟體可能的弱點 | |
0:56:39.667,0:56:44.667 | |
因為有些東西,它是我們驗證程式碼本身,不一定驗證的出來的 | |
0:56:44.667,0:56:50.167 | |
或者說它要驗證要花很多功夫,它可能甚至跟你CPU架構之類的東西都有關係 | |
0:56:50.167,0:56:53.667 | |
像比如說sidechain or tech之類的東西 | |
0:56:53.667,0:57:00.167 | |
它們其實是可以被驗證、該被驗證、可被驗證,但通常都沒有被驗證 | |
0:57:01.110,0:57:04.510 | |
那沒有被驗證有什麼原因呢? | |
0:57:04.510,0:57:08.810 | |
很小的比例是因為budget不夠 | |
0:57:08.810,0:57:12.810 | |
很大的比例是因為沒人想到 | |
0:57:12.810,0:57:17.510 | |
所以我們一樣要去看到底什麼是該被驗證的 | |
0:57:17.510,0:57:22.210 | |
然後我們去找找看到底它是否可被驗證 | |
0:57:22.210,0:57:28.110 | |
先天馬行空的想,再來縮減 | |
0:57:28.110,0:57:32.010 | |
那另外還有像是Netflix或是Google | |
0:57:32.010,0:57:36.810 | |
我貼兩間公司,Netflix或Google或這些大公司 | |
0:57:36.810,0:57:40.110 | |
其實它們在做系統的韌性測試的時候 | |
0:57:40.110,0:57:42.810 | |
它們用一些類似chaos monkey的東西 | |
0:57:42.810,0:57:46.810 | |
基本上它們就是模擬一堆猴子在那邊 | |
0:57:46.810,0:57:49.910 | |
隨機的拔線、拔電源線、抽東西 | |
0:57:49.910,0:57:54.710 | |
或者這樣隨機找人ㄅㄧㄤˋㄅㄧㄤˋㄅㄧㄤˋ,看系統是不是還是好的 | |
0:57:54.710,0:57:57.710 | |
像那個北韓第三次新冠病毒一樣 | |
0:57:57.810,0:58:00.610 | |
ㄅㄧㄤˋㄅㄧㄤˋㄅㄧㄤˋ就清零了 | |
0:58:00.610,0:58:02.910 | |
如果ㄅㄧㄤˋ的時間中 | |
0:58:02.910,0:58:08.210 | |
要注意整個流程從上到下 | |
0:58:08.210,0:58:11.810 | |
我們今天level1只有上到下,沒有旁邊 | |
0:58:11.810,0:58:16.710 | |
從上到下,每一個環節都是需要去被數位韌性的 | |
0:58:16.710,0:58:18.910 | |
只要有任何一個環節缺乏了 | |
0:58:18.910,0:58:21.410 | |
它就可能會變成single point of failure | |
0:58:21.410,0:58:25.810 | |
就是從它這邊斷掉,整個鏈就斷掉 | |
0:58:25.810,0:58:27.410 | |
就像木桶理論 | |
0:58:27.410,0:58:30.910 | |
一個木桶能裝多少水,取決於它最短的邊 | |
0:58:33.310,0:58:35.310 | |
我們要去持續確認 | |
0:58:35.310,0:58:39.310 | |
不是只有在開發流程跟部署的時候去確認一次 | |
0:58:39.310,0:58:41.310 | |
我們在系統運作的過程中 | |
0:58:41.310,0:58:43.310 | |
也需要持續去確認 | |
0:58:43.310,0:58:45.310 | |
怎麼確認就是monitoring | |
0:58:45.310,0:58:50.310 | |
那這可能下一位講者會分享到一點點嗎? | |
0:58:50.310,0:58:52.310 | |
我想可能也許 | |
0:58:52.310,0:58:54.310 | |
我在等他點頭還是搖頭 | |
0:58:58.310,0:59:00.310 | |
我沒想到默契還不夠 | |
0:59:00.310,0:59:02.310 | |
我們認識的話 二十年有了吧 | |
0:59:06.310,0:59:08.310 | |
monitoring大家都知道這個詞 | |
0:59:08.310,0:59:10.310 | |
持續的監控 | |
0:59:10.310,0:59:12.310 | |
持續監控 | |
0:59:12.310,0:59:14.310 | |
這是我們這個 | |
0:59:14.310,0:59:16.310 | |
不是找碴小組 | |
0:59:16.310,0:59:18.310 | |
數位健檢義診小組 | |
0:59:18.310,0:59:20.310 | |
之後可能會想要協助做一件事情 | |
0:59:20.310,0:59:22.310 | |
持續協助monitoring | |
0:59:22.375,0:59:24.375 | |
好,然後再來回來 | |
0:59:24.375,0:59:26.342 | |
Cry | |
0:59:26.342,0:59:28.342 | |
加上 CIA IR 7 Component | |
0:59:28.342,0:59:30.342 | |
加上 ARRRGH | |
0:59:30.342,0:59:32.342 | |
加上這個東西 | |
0:59:32.342,0:59:34.342 | |
這整個加起來 | |
0:59:34.342,0:59:37.342 | |
到底是否達到我們的目的 | |
0:59:37.342,0:59:39.342 | |
就像我們剛才有講到 | |
0:59:39.342,0:59:41.342 | |
所有東西都要與時俱進 | |
0:59:41.342,0:59:43.342 | |
我現在的這個 Cheat Sheet | |
0:59:43.342,0:59:45.342 | |
是依據過去的經驗 | |
0:59:45.342,0:59:48.342 | |
加上我自己的天馬行空 | |
0:59:48.342,0:59:50.342 | |
想辦法把它編出一個 | |
0:59:50.342,0:59:52.342 | |
讓我自己以及各位 | |
0:59:52.342,0:59:54.342 | |
也許接下來會比較容易 | |
0:59:54.342,0:59:56.342 | |
使用的一個工具 | |
0:59:56.342,0:59:58.342 | |
但是這東西也許在十年之後 | |
0:59:58.342,1:00:00.342 | |
是不是還可用 | |
1:00:00.342,1:00:02.342 | |
是不是還合適,不一定 | |
1:00:02.342,1:00:04.342 | |
我們還是要持續的去驗證它 | |
1:00:04.342,1:00:06.342 | |
那另外再提兩個小小的 | |
1:00:06.342,1:00:08.342 | |
像比如說 | |
1:00:08.342,1:00:10.342 | |
之前有 | |
1:00:10.342,1:00:12.342 | |
某一位司長有提到說 | |
1:00:12.342,1:00:14.342 | |
他經歷過一個案子 | |
1:00:14.758,1:00:20.258 | |
廠商說 他前面有放一台 Load Balance | |
1:00:20.258,1:00:26.058 | |
廠商也說 他們的伺服器很好很大很強大 | |
1:00:26.086,1:00:28.086 | |
但還是倒機了 | |
1:00:28.086,1:00:29.086 | |
為什麼? | |
1:00:29.086,1:00:33.086 | |
因為整個服務只跑在那一台很強大的伺服器上 | |
1:00:33.086,1:00:36.086 | |
所以那台倒了之後 前面的 Load Balance | |
1:00:36.086,1:00:38.086 | |
要load去哪裡? | |
1:00:38.086,1:00:41.086 | |
沒有地方可以load啊 | |
1:00:41.086,1:00:43.086 | |
有東西是不是代表可用 | |
1:00:43.086,1:00:45.086 | |
剛才說的readiness | |
1:00:45.638,1:00:47.638 | |
這個東西我們一定要去確認 | |
1:00:47.638,1:00:50.138 | |
另外還有就是 它說它可以scale | |
1:00:50.138,1:00:52.138 | |
這系統是可以scale的 | |
1:00:52.138,1:00:55.138 | |
我們要注意它是可以scale up | |
1:00:55.138,1:00:57.138 | |
還是可以scale out | |
1:00:57.926,1:00:59.926 | |
scale up的意思是說 | |
1:00:59.926,1:01:03.926 | |
這系統可以scale 我現在這硬體可以撐一千個人 | |
1:01:03.926,1:01:05.926 | |
你要讓它撐兩千人 可以呀 | |
1:01:05.926,1:01:09.926 | |
你換一台更強的硬體來裝這個軟體就可以了 | |
1:01:09.926,1:01:11.926 | |
所以我們要scale的時候 | |
1:01:11.926,1:01:13.926 | |
就是我們要把這服務關機 | |
1:01:13.926,1:01:15.926 | |
把新的主機準備好 | |
1:01:15.926,1:01:17.926 | |
插上去改IP | |
1:01:17.926,1:01:19.606 | |
它才起來 | |
1:01:19.606,1:01:25.606 | |
我不知道現在政府系統這樣子停機以下八個小時是可不可以 | |
1:01:25.606,1:01:29.606 | |
不過以前在外商的時候我們有些客戶是金融服務的 | |
1:01:29.606,1:01:31.606 | |
那個不用說停機八小時喔 | |
1:01:31.606,1:01:34.606 | |
停機八秒鐘 CEO電話就來了 | |
1:01:34.606,1:01:36.606 | |
之前有停機兩個小時的 | |
1:01:36.606,1:01:39.606 | |
CEO就從新加坡搭飛機來 | |
1:01:39.606,1:01:41.606 | |
搭了四個小時沒處理好 | |
1:01:41.606,1:01:43.606 | |
然後站在我們DBA後面 | |
1:01:43.606,1:01:45.606 | |
DBA他就這樣子 | |
1:01:45.606,1:01:46.606 | |
站在DBA後面 | |
1:01:46.606,1:01:48.606 | |
喔~在處理喔 | |
1:01:48.606,1:01:50.606 | |
那現在怎麼樣 | |
1:01:50.606,1:01:51.606 | |
喔~還好 | |
1:01:51.606,1:01:54.606 | |
集團的CEO站在我們這邊 | |
1:01:54.606,1:01:55.606 | |
哇~那個很可怕的 | |
1:01:55.606,1:01:57.606 | |
就像現在假設說什麼 | |
1:01:57.606,1:01:59.606 | |
訂便當系統倒機了 | |
1:01:59.606,1:02:00.606 | |
不是很重要嗎 | |
1:02:00.606,1:02:04.606 | |
可是也許我們的總統他就想要訂便當 | |
1:02:04.606,1:02:05.606 | |
他說欸~ | |
1:02:05.606,1:02:07.606 | |
然後我也看一下同仁 | |
1:02:07.606,1:02:09.606 | |
欸~那訂便當系統好了沒啊 | |
1:02:09.606,1:02:11.606 | |
壓力大不大 | |
1:02:11.606,1:02:13.606 | |
習匪大喔 | |
1:02:13.606,1:02:15.606 | |
所以scale up | |
1:02:15.606,1:02:16.606 | |
不是可以scale up | |
1:02:16.606,1:02:17.606 | |
不要被他騙了 | |
1:02:17.606,1:02:19.606 | |
他不scale | |
1:02:19.606,1:02:21.606 | |
scale out | |
1:02:21.606,1:02:22.606 | |
才是可以scale | |
1:02:22.606,1:02:24.606 | |
怎麼樣scale out呢 | |
1:02:24.606,1:02:26.606 | |
這台機器可以撐一千人 | |
1:02:26.606,1:02:27.606 | |
你讓他撐兩千 | |
1:02:27.606,1:02:28.606 | |
沒問題 | |
1:02:28.606,1:02:30.606 | |
準備一台機器在旁邊 | |
1:02:30.606,1:02:32.606 | |
Load Balancer自動就導過來了 | |
1:02:32.606,1:02:33.606 | |
一台機器壞掉 | |
1:02:33.606,1:02:35.606 | |
沒關係 Load Balancer | |
1:02:35.606,1:02:36.606 | |
他會自動去偵測到 | |
1:02:36.606,1:02:39.606 | |
他就把流量從那台機器拿開 | |
1:02:39.606,1:02:41.606 | |
流到旁邊去 | |
1:02:41.606,1:02:44.606 | |
可以依靠加機器的數量 | |
1:02:44.606,1:02:45.606 | |
來scale 的 | |
1:02:45.606,1:02:46.606 | |
scale out | |
1:02:46.606,1:02:47.606 | |
才是可以scale | |
1:02:47.606,1:02:49.606 | |
靠加 ram 加CPU的 | |
1:02:49.606,1:02:51.606 | |
不是可以scale | |
1:02:51.606,1:02:52.606 | |
這個是 | |
1:02:52.606,1:02:55.606 | |
我想在座各位應該都懂 | |
1:02:55.606,1:02:57.606 | |
可是我們去做義診的時候 | |
1:02:57.606,1:03:00.606 | |
可能整個機關就只有一個資訊人員 | |
1:03:00.606,1:03:02.606 | |
他去沒有顧到 | |
1:03:02.606,1:03:04.606 | |
他看scale ok過 | |
1:03:04.606,1:03:07.606 | |
他忘記後面是up還是out | |
1:03:07.606,1:03:08.606 | |
這種可能 | |
1:03:08.606,1:03:10.606 | |
要去幫他確認一下 | |
1:03:10.606,1:03:12.606 | |
好 | |
1:03:13.511,1:03:18.511 | |
那我現在的進度到這邊 | |
1:03:18.511,1:03:20.511 | |
我預計講到這邊 | |
1:03:20.511,1:03:22.511 | |
如果有機會講到這邊 | |
1:03:22.511,1:03:24.511 | |
應該不太可能 | |
1:03:24.511,1:03:26.511 | |
我預計講到這邊 | |
1:03:26.511,1:03:30.511 | |
那大家會需要先稍微五分鐘休息還是還OK | |
1:03:32.102,1:03:34.102 | |
點頭是OK | |
1:03:34.102,1:03:36.102 | |
OK嗎 好 | |
1:03:36.102,1:03:38.102 | |
我們只有一位 | |
1:03:38.102,1:03:41.102 | |
所謂的群眾暴力就是聲音最多的 | |
1:03:41.102,1:03:43.102 | |
當全部都沒有人有意見 只有一個人有意見 | |
1:03:43.102,1:03:45.102 | |
他就絕對多數 | |
1:03:45.102,1:03:47.102 | |
跟投票一樣嘛對不對 | |
1:03:47.102,1:03:49.102 | |
如果大家都不投票 | |
1:03:49.102,1:03:51.102 | |
那扯遠了 不講政治 | |
1:03:53.102,1:03:55.102 | |
好 再接下來 | |
1:03:55.102,1:03:57.102 | |
readiness 剛才一直在講的 | |
1:03:57.102,1:03:59.102 | |
readiness | |
1:03:59.102,1:04:01.102 | |
什麼是readiness呢 | |
1:04:01.815,1:04:05.815 | |
買個產品不代表它是可用的 | |
1:04:06.815,1:04:11.815 | |
它會運作不代表它真的很如你所想的運作 | |
1:04:12.678,1:04:15.878 | |
就即便它自己本身如你所想運作 | |
1:04:15.878,1:04:19.078 | |
它跟整個系統配合起來是不是真的OK的 | |
1:04:19.078,1:04:21.678 | |
好 像比如說買WAF | |
1:04:21.678,1:04:22.778 | |
大家都買WAF | |
1:04:22.778,1:04:24.878 | |
這年頭誰不買WAF嘛 | |
1:04:24.878,1:04:26.178 | |
你們有沒有買WAF | |
1:04:26.178,1:04:28.078 | |
有嘛 你們有沒有買WAF | |
1:04:28.078,1:04:29.378 | |
你們有沒有買WAF | |
1:04:29.378,1:04:30.978 | |
鐵定有嘛 誰不買WAF | |
1:04:30.978,1:04:33.878 | |
你們WAF有設定好嗎 | |
1:04:35.038,1:04:36.038 | |
讚 有人有信心 | |
1:04:36.038,1:04:37.038 | |
我們等一下來看 | |
1:04:37.038,1:04:38.038 | |
不是啦 | |
1:04:40.038,1:04:41.038 | |
好好好 | |
1:04:41.038,1:04:42.038 | |
沒有 開玩笑 | |
1:04:42.038,1:04:45.038 | |
很多買了WAF就覺得 | |
1:04:45.038,1:04:46.038 | |
讚 | |
1:04:47.038,1:04:48.038 | |
事實上功能有沒有開 | |
1:04:48.038,1:04:49.038 | |
很多是沒有 | |
1:04:49.038,1:04:50.038 | |
或者說 | |
1:04:50.038,1:04:51.038 | |
我有開 | |
1:04:51.038,1:04:52.038 | |
我開什麼 | |
1:04:52.038,1:04:55.038 | |
所以沒有無關緊要的功能 | |
1:04:55.038,1:04:56.038 | |
為什麼 | |
1:04:56.038,1:04:57.038 | |
你買一台WAF | |
1:04:57.038,1:04:58.038 | |
你看它規格 | |
1:04:58.038,1:05:01.038 | |
哇 可以承受 1G 的流量 | |
1:05:01.511,1:05:04.391 | |
你沒有看到的是 當他功能全開的時候 | |
1:05:04.391,1:05:06.391 | |
他只能承受100Mbps的流量 | |
1:05:07.230,1:05:09.630 | |
WOW他寫規格的時候都會寫說 | |
1:05:09.630,1:05:13.591 | |
當我都不開 我能承受最大流量是多少 | |
1:05:13.591,1:05:16.591 | |
或者當我開了某一個單一的功能的時候 | |
1:05:16.591,1:05:17.591 | |
我們承受多少 | |
1:05:17.591,1:05:20.791 | |
他會講說 如果我一二三都開了 | |
1:05:20.791,1:05:22.791 | |
我還能承受多少流量 | |
1:05:22.791,1:05:23.791 | |
他不會跟你講 | |
1:05:23.791,1:05:25.791 | |
除非你直接借測進來 | |
1:05:25.791,1:05:29.791 | |
像業界的公司 我們通常一個 WAF 借測進來 | |
1:05:30.071,1:05:32.071 | |
就是三個月 半年在測的 | |
1:05:32.071,1:05:33.071 | |
好像用免錢一樣 | |
1:05:33.071,1:05:35.071 | |
公部門我是不知道 | |
1:05:35.071,1:05:38.071 | |
公部門應該是馬上說要付錢 | |
1:05:38.071,1:05:41.071 | |
可是廠商可能三到五六個月才會收到錢之類的 | |
1:05:41.071,1:05:42.071 | |
我不知道 | |
1:05:43.607,1:05:48.607 | |
那我們進來之後 借測 我們就會直接開始打 直接做壓測 | |
1:05:48.607,1:05:52.607 | |
去verify 實際上可動 我們才付錢 | |
1:05:52.607,1:05:54.607 | |
功能 Confirm 這樣 | |
1:05:54.607,1:06:00.607 | |
那有關於WAF一件可能有些人知道 但是很多人不知道的事情是 | |
1:06:00.607,1:06:05.607 | |
你以為的WAF是幫助你抵抗攻擊 | |
1:06:05.607,1:06:10.607 | |
事實上的WAF是 一旦有人攻擊他 他就跑了 | |
1:06:12.087,1:06:17.347 | |
那為什麼這樣呢 廠商給你一個設備 你買了設備 | |
1:06:17.347,1:06:24.746 | |
這叫兩個選擇 一個是 當你受DDoS攻擊的時候 所有人都連不進來 | |
1:06:24.746,1:06:30.947 | |
一種是當你接受DDoS攻擊的時候 有一部分的人能夠連進來使用 | |
1:06:30.982,1:06:32.982 | |
抉擇一或二 | |
1:06:32.982,1:06:34.982 | |
想都不用想 | |
1:06:34.982,1:06:37.982 | |
有部分人能夠連進來 肯定才是好的嘛 | |
1:06:37.982,1:06:39.982 | |
所以廠商在做的時候就是 | |
1:06:39.982,1:06:42.982 | |
一旦他流量大到他承受不住 | |
1:06:42.982,1:06:44.982 | |
他直接bypass | |
1:06:44.982,1:06:46.982 | |
所有流量不經過過濾 | |
1:06:46.982,1:06:48.982 | |
直接往後面送 | |
1:06:48.982,1:06:50.982 | |
能不能達到剛才說的 | |
1:06:50.982,1:06:52.982 | |
部分人使用才能進來 | |
1:06:52.982,1:06:54.775 | |
可以 | |
1:06:54.775,1:06:56.775 | |
沒有流量的時候 或你在壓測的時候 | |
1:06:56.775,1:06:58.775 | |
它可不可以過濾?可以 | |
1:06:58.775,1:07:00.775 | |
但是我們要買WAF | |
1:07:00.775,1:07:02.775 | |
你是要幫我擋流量 | |
1:07:02.775,1:07:04.775 | |
不是有人在打你就跑 | |
1:07:04.775,1:07:07.775 | |
這件事情是很多人不知道的事情 | |
1:07:07.775,1:07:09.775 | |
所以這就要稍微再提一個是 | |
1:07:09.775,1:07:11.775 | |
我們現在Lv1不會講 | |
1:07:11.775,1:07:14.775 | |
可是Lv2如果我們能 | |
1:07:14.775,1:07:16.775 | |
如果大家願意支持我們 | |
1:07:16.775,1:07:18.775 | |
我們能到Lv2的話 | |
1:07:19.159,1:07:22.659 | |
我們希望能夠稍微叮嚀一下 | |
1:07:22.659,1:07:25.659 | |
Log的自動分析非常重要 | |
1:07:25.659,1:07:27.859 | |
很多人現在都做到 | |
1:07:27.859,1:07:30.559 | |
有沒有做Log收集 有 | |
1:07:30.559,1:07:33.159 | |
我有收集 我超屌 | |
1:07:33.159,1:07:34.659 | |
什麼時候看Log | |
1:07:34.659,1:07:36.459 | |
不看 | |
1:07:36.459,1:07:38.559 | |
或者是當真的出事了 | |
1:07:38.559,1:07:40.859 | |
阿嬤出事了啊 | |
1:07:40.859,1:07:42.659 | |
才來看 那都來不及了 | |
1:07:42.659,1:07:44.359 | |
當你發現出事 | |
1:07:44.359,1:07:46.859 | |
代表說事情已經嚴重到 | |
1:07:46.859,1:07:48.459 | |
別人來告訴你了 | |
1:07:48.459,1:07:49.959 | |
那你出事很久了 | |
1:07:49.959,1:07:52.459 | |
通常我們在做這個IR的時候 | |
1:07:52.459,1:07:54.859 | |
他們可能Log只收 | |
1:07:54.859,1:07:56.559 | |
可能因為被 D | |
1:07:56.559,1:07:58.059 | |
被 DDOS 的Log量很大 | |
1:07:58.059,1:08:01.359 | |
所以可能只存了一個星期或三個月 | |
1:08:01.359,1:08:04.359 | |
他們現場可能是半年之前就被打穿了 | |
1:08:04.359,1:08:07.059 | |
只是現在才開始偷資料 | |
1:08:07.059,1:08:09.059 | |
你如果沒有做即時分析 | |
1:08:09.059,1:08:10.359 | |
你根本不知道 | |
1:08:10.359,1:08:12.959 | |
你Log都調不回來的 | |
1:08:12.959,1:08:15.259 | |
所以各種不論你有沒有WAF | |
1:08:15.259,1:08:17.759 | |
有沒有什麼A 有沒有什麼B | |
1:08:17.759,1:08:19.259 | |
有沒有什麼東西 | |
1:08:19.259,1:08:20.859 | |
Log即時分析 | |
1:08:20.859,1:08:22.759 | |
Log收集鐵定要 | |
1:08:22.759,1:08:25.058 | |
Log即時分析 | |
1:08:25.058,1:08:28.359 | |
這件事情是我目前看到大部分的業界 | |
1:08:28.359,1:08:31.359 | |
以及政府單位都缺乏的 | |
1:08:31.359,1:08:33.359 | |
而這件事情是我覺得 | |
1:08:33.359,1:08:35.759 | |
我們應該要去重視的 | |
1:08:35.759,1:08:37.759 | |
擋不擋得下來 | |
1:08:38.119,1:08:40.679 | |
你不知道 除非可驗證 | |
1:08:41.438,1:08:44.518 | |
要怎麼驗證 你要搜 Web Server Log | |
1:08:45.039,1:08:47.339 | |
你才知道到底有沒有擋下來 | |
1:08:48.098,1:08:49.379 | |
所以這是可驗證的一環 | |
1:08:49.639,1:08:52.199 | |
WAF買進來 怎麼驗證 | |
1:08:52.459,1:08:53.999 | |
Log 分析 你才能驗證 | |
1:08:55.735,1:08:59.735 | |
另外是我們在有一些自評表裡面 | |
1:08:59.735,1:09:02.235 | |
又有看到有些同學們 | |
1:09:02.235,1:09:05.735 | |
他們是說你們的系統是不是在架雲端 | |
1:09:05.735,1:09:06.735 | |
是雲端 | |
1:09:06.735,1:09:09.235 | |
你們要做什麼HA或什麼東西 | |
1:09:09.235,1:09:10.235 | |
好像太深了 | |
1:09:10.235,1:09:12.235 | |
我說我們的系統很棒 | |
1:09:12.235,1:09:14.235 | |
我們放在AWS | |
1:09:14.235,1:09:15.735 | |
我們放在GCP | |
1:09:15.735,1:09:17.735 | |
聽起來很厲害 | |
1:09:17.735,1:09:20.235 | |
雲端廠商應該都幫你顧好了吧 | |
1:09:20.235,1:09:22.235 | |
他沒告訴你的是 | |
1:09:22.235,1:09:24.735 | |
他們用的方式是起了一台VM | |
1:09:24.735,1:09:27.735 | |
把所有軟體全部裝進去 | |
1:09:27.735,1:09:29.735 | |
然後就開始跑了 | |
1:09:30.102,1:09:32.102 | |
請問這有HA嗎? | |
1:09:32.102,1:09:34.102 | |
這有 Digital Resilience 嗎? | |
1:09:34.102,1:09:36.102 | |
只有一台VM | |
1:09:36.102,1:09:38.102 | |
所以那台VM如果空間爆了 | |
1:09:38.102,1:09:40.102 | |
服務還在嗎? | |
1:09:40.102,1:09:42.102 | |
那台VM如果被不小心刪掉了 | |
1:09:42.102,1:09:44.102 | |
服務還在嗎? | |
1:09:44.102,1:09:46.102 | |
或者是那個機房 | |
1:09:46.102,1:09:48.102 | |
像前陣子Google法國的機房 | |
1:09:48.102,1:09:50.102 | |
做水災啊 | |
1:09:50.102,1:09:52.102 | |
被灌水嘛 | |
1:09:52.102,1:09:54.102 | |
那在早期Facebook機房 | |
1:09:54.102,1:09:56.102 | |
在機房裡面下雨啊 | |
1:09:56.102,1:09:58.102 | |
我不知道大家知不知道 | |
1:09:58.742,1:10:01.742 | |
因為裡面很熱嘛 外面又冰冷 | |
1:10:01.742,1:10:04.742 | |
然後弄一弄弄一弄就吸滿水氣了 | |
1:10:04.742,1:10:07.742 | |
接下來一陣冷風進來 水氣 | |
1:10:07.742,1:10:10.742 | |
遇到冷風凝結之後 機房裡面在下雨 | |
1:10:10.742,1:10:12.742 | |
外面在下雪 裡面在下雨 | |
1:10:12.742,1:10:14.742 | |
整個資料中心毀掉 | |
1:10:14.742,1:10:20.742 | |
請問你那台珍心寶貝的 VM 在那邊還在嗎 | |
1:10:20.934,1:10:22.934 | |
不在嘛 | |
1:10:22.934,1:10:24.934 | |
所以你用了雲端服務 | |
1:10:24.934,1:10:26.934 | |
是不是就具備 Digital Resilience | |
1:10:26.934,1:10:28.934 | |
不一定 | |
1:10:29.974,1:10:34.974 | |
或者是說你擺的 Programs, Blablabla 之類的沒有設定好的,像剛才舉的例子 | |
1:10:34.974,1:10:43.974 | |
所以Readiness是通常在過去做檢測的時候會漏掉的一環 | |
1:10:43.974,1:10:48.974 | |
這也是我們之後在看系統的時候,如果大家還有心力 | |
1:10:48.974,1:10:51.974 | |
沒有被打垮,我們要堅強 | |
1:10:51.974,1:10:54.974 | |
無論碰到什麼問題我們都要努力 | |
1:10:54.974,1:10:56.974 | |
稍微注意一下 | |
1:10:57.558,1:11:01.058 | |
好 那最後這東西應該就會講了啦 | |
1:11:03.838,1:11:06.838 | |
會啦 大泥球模塊 | |
1:11:06.838,1:11:11.838 | |
會啦 可維護性 模組化之類的 | |
1:11:11.838,1:11:16.838 | |
PDCA A的部分 Adjust 更變管理 需求管理 | |
1:11:16.838,1:11:21.838 | |
那要去處理的話 我們通常系統要包含可維護性 有模組化 | |
1:11:21.838,1:11:25.838 | |
你的系統如果是一大坨的義大利麵條 那一定很難維護嘛 | |
1:11:25.838,1:11:28.838 | |
所以我們要選擇分工 拆模組 | |
1:11:28.838,1:11:35.838 | |
或者說你的模組化只有一個因素 可能很難處理 很難維護 | |
1:11:35.838,1:11:38.838 | |
所以我們用 Microservices 或什麼之類的 一狗票方法 | |
1:11:38.838,1:11:40.838 | |
下一位講者會分享 | |
1:11:41.990,1:11:43.990 | |
會分享 | |
1:11:43.990,1:11:45.990 | |
呵呵呵呵呵 | |
1:11:45.990,1:11:47.990 | |
好 我們回來 | |
1:11:49.271,1:11:52.271 | |
這一整張圖 上面大家都已經很熟了 | |
1:11:52.271,1:11:55.271 | |
我們重複觀看了非常的多次 | |
1:11:55.271,1:11:57.271 | |
像PDCA | |
1:11:57.271,1:11:59.271 | |
這邊就有個小地方 | |
1:11:59.271,1:12:01.271 | |
一開始的時候我把它標顏色 | |
1:12:01.271,1:12:03.271 | |
因為第一場的時候 | |
1:12:03.271,1:12:07.271 | |
就有位長官問我說 | |
1:12:07.271,1:12:09.271 | |
這邊的東西跟這邊的東西看起來蠻像的啊 | |
1:12:09.271,1:12:12.271 | |
為什麼沒有 Merge 起來呢 | |
1:12:12.271,1:12:14.271 | |
因為前天晚上我在睡眠不足 | |
1:12:14.271,1:12:17.271 | |
當下我傻了說 | |
1:12:17.271,1:12:19.271 | |
我印象中它會卡住 | |
1:12:19.271,1:12:21.271 | |
我會再檢查看看 | |
1:12:21.271,1:12:23.271 | |
我曉得標的顏色 | |
1:12:24.423,1:12:27.662 | |
這邊是我們的target | |
1:12:27.662,1:12:30.822 | |
這邊是PD | |
1:12:30.822,1:12:31.963 | |
這邊是CA | |
1:12:31.963,1:12:34.662 | |
這邊是C | |
1:12:34.662,1:12:36.263 | |
我們對什麼東西 | |
1:12:36.263,1:12:36.923 | |
做了什麼 | |
1:12:36.923,1:12:38.763 | |
要做什麼事情 | |
1:12:38.763,1:12:43.162 | |
接下來我們要確認他有沒有做好 | |
1:12:43.162,1:12:44.662 | |
就像我以前 | |
1:12:44.662,1:12:46.063 | |
我的大學第一志願 | |
1:12:46.063,1:12:48.563 | |
我是想要讀哲學系 | |
1:12:48.563,1:12:50.162 | |
可是後來驗證就是 | |
1:12:50.162,1:12:51.662 | |
我沒有讀上哲學系 | |
1:12:51.662,1:12:52.662 | |
我努力過了 | |
1:12:52.662,1:12:54.642 | |
我想要讀哲學系 | |
1:12:55.642,1:12:58.642 | |
可是check完之後結果是我沒有讀到哲學系 | |
1:12:58.642,1:13:00.642 | |
所以這邊是用來check的 | |
1:13:00.642,1:13:04.642 | |
這邊是我們在過程之中需要去注意的東西 | |
1:13:04.642,1:13:06.642 | |
這工具大概是這樣子用的 | |
1:13:06.642,1:13:08.642 | |
好 那最後 | |
1:13:08.642,1:13:11.642 | |
Boring的部分快要結束了 | |
1:13:11.642,1:13:12.642 | |
Mindset | |
1:13:12.642,1:13:13.642 | |
Proactive | |
1:13:13.642,1:13:14.642 | |
Reactive | |
1:13:14.642,1:13:17.642 | |
我們什麼東西都有防範未然 | |
1:13:17.642,1:13:21.642 | |
就像什麼一個偉大的領袖為了要防範戰爭 | |
1:13:21.642,1:13:23.642 | |
所以我們要鼓勵和平 | |
1:13:24.578,1:13:26.578 | |
要做到和平 | |
1:13:26.578,1:13:28.578 | |
我們在事情發生之前 | |
1:13:28.578,1:13:30.578 | |
就應該要想好 | |
1:13:30.578,1:13:32.578 | |
要去預防 | |
1:13:32.578,1:13:34.578 | |
要去 | |
1:13:34.578,1:13:36.578 | |
這個中文的詞 | |
1:13:36.578,1:13:38.578 | |
我已經想過很多次了 | |
1:13:38.578,1:13:40.578 | |
有找到一個合適的 | |
1:13:40.578,1:13:42.578 | |
要忘記在哪個中文 | |
1:13:42.578,1:13:44.578 | |
遇到事情的時候 | |
1:13:44.578,1:13:46.578 | |
要能夠快速的反應 | |
1:13:46.578,1:13:48.578 | |
要能夠好好的反應 | |
1:13:48.578,1:13:50.578 | |
不但快速也要好好的反應 | |
1:13:50.578,1:13:52.578 | |
好 就這一頁補完了 | |
1:13:53.586,1:13:58.586 | |
這個表過程的階段 | |
1:13:58.586,1:14:04.586 | |
這個表大概裡面內容是長這樣子 | |
1:14:04.586,1:14:08.586 | |
如果我們晚一點還有時間的話 | |
1:14:08.586,1:14:13.586 | |
我們可以來做一點小小的選擇系統 | |
1:14:13.586,1:14:16.586 | |
大家可以選自己熟悉的系統 | |
1:14:16.586,1:14:17.586 | |
我們就不看了 | |
1:14:17.586,1:14:19.586 | |
我們就不要讓別人看 | |
1:14:19.586,1:14:21.586 | |
有時候會害羞嘛 | |
1:14:22.114,1:14:24.114 | |
可是我們可以做一點小小的check | |
1:14:24.114,1:14:26.114 | |
好 起承轉 | |
1:14:26.114,1:14:28.114 | |
現在才到轉 | |
1:14:28.114,1:14:30.114 | |
一半而已 | |
1:14:30.114,1:14:32.114 | |
好 抉擇 | |
1:14:32.114,1:14:34.114 | |
夢想很美好 | |
1:14:34.114,1:14:38.114 | |
現實往往不一定 | |
1:14:38.114,1:14:40.114 | |
在MATRIX大家看過嗎 | |
1:14:40.114,1:14:42.114 | |
大家應該跟我年紀類似吧 | |
1:14:42.114,1:14:42.626 | |
嗨 各位 | |
1:14:43.626,1:14:45.626 | |
你以為搖頭呢 | |
1:14:45.626,1:14:49.626 | |
因為我前幾天在跟一個民間單位在分享的時候 | |
1:14:49.626,1:14:52.626 | |
我說抉擇 你要紅藥丸還藍藥丸 | |
1:14:52.626,1:14:55.626 | |
藍藥丸他說 那是什麼 | |
1:14:58.626,1:15:01.626 | |
瞬間感覺到那個年代差有沒有 | |
1:15:01.626,1:15:04.626 | |
他年紀快要可以當我們小孩了 | |
1:15:04.626,1:15:07.626 | |
哇 真的是 現在年輕人啊 | |
1:15:07.626,1:15:10.626 | |
好 抉擇 選擇紅藥丸還是藍藥丸 | |
1:15:10.850,1:15:12.350 | |
很多東西都在抉擇 | |
1:15:12.350,1:15:14.850 | |
人生就是一直不斷地選擇跟妥協 | |
1:15:15.850,1:15:17.850 | |
說到這眼淚都快流下來了 | |
1:15:18.850,1:15:19.850 | |
所以我們在選擇 | |
1:15:19.850,1:15:21.850 | |
我們除了剛才那個 Guideline 之外 | |
1:15:21.850,1:15:24.850 | |
我們其實有很多東西是需要做選擇的 | |
1:15:25.850,1:15:26.850 | |
我們要選擇什麼樣的技術 | |
1:15:26.850,1:15:28.850 | |
我們要選擇什麼樣的解決方案 | |
1:15:28.850,1:15:29.850 | |
那我們該怎麼選擇 | |
1:15:29.850,1:15:31.850 | |
首先我們要了解需求 | |
1:15:31.850,1:15:34.850 | |
需求等一下下一位講者也會分享 | |
1:15:37.466,1:15:39.466 | |
很肯定的點頭了,很棒 | |
1:15:39.466,1:15:41.466 | |
需求 | |
1:15:41.466,1:15:43.466 | |
先判斷需求 | |
1:15:43.466,1:15:45.466 | |
我們到底想要做什麼 | |
1:15:45.466,1:15:47.466 | |
我們想要做到哪裡 | |
1:15:47.466,1:15:49.466 | |
這個系統的使用量 | |
1:15:49.466,1:15:51.466 | |
到底多大 | |
1:15:51.466,1:15:53.466 | |
像比如說剛剛講的訂便當系統 | |
1:15:53.466,1:15:55.466 | |
說真的,他如果倒機一天 | |
1:15:55.466,1:15:57.466 | |
啊頂多你們出去 | |
1:15:57.466,1:15:59.466 | |
大概午餐就好了吧 | |
1:15:59.466,1:16:01.466 | |
不是很重要嘛 | |
1:16:01.466,1:16:03.466 | |
如果是訂下午茶系統可能就很重要了 | |
1:16:03.466,1:16:05.466 | |
下午茶大家不能夠 | |
1:16:06.018,1:16:09.018 | |
合法合理的出去買東西 | |
1:16:09.018,1:16:11.018 | |
偷偷的就先不算 | |
1:16:11.018,1:16:14.018 | |
訂下午茶系統更重要 所以我們可以多花一點effort | |
1:16:14.018,1:16:17.018 | |
使用量多大 | |
1:16:17.018,1:16:20.018 | |
使用的對象是誰 | |
1:16:20.018,1:16:22.018 | |
如果我們是民生關鍵系統 | |
1:16:22.018,1:16:24.018 | |
我們面對這些民眾 | |
1:16:24.018,1:16:27.018 | |
通常就是真的迫切需求的人 | |
1:16:27.018,1:16:30.018 | |
像比如說有些人生小孩沒辦法報戶口 | |
1:16:30.018,1:16:33.018 | |
有些人結婚了沒辦法登記 | |
1:16:33.018,1:16:35.018 | |
或者是有些人買了房子 | |
1:16:35.282,1:16:39.782 | |
結果過一個月之後發現 房子呢 還沒轉移到他名下 | |
1:16:39.782,1:16:43.782 | |
這個就有點問題了 | |
1:16:43.782,1:16:46.282 | |
接下來最後就是成本 | |
1:16:46.282,1:16:48.282 | |
我們什麼東西都要做好 鐵定很棒 | |
1:16:48.282,1:16:51.282 | |
但是我們的預算到底有沒有 | |
1:16:51.282,1:16:54.282 | |
像那個宥辰剛才在跟我聊說 | |
1:16:54.282,1:16:57.282 | |
覺得說最好的方式不是給這張表 | |
1:16:57.282,1:17:00.282 | |
是直接給一張圖 一個best practice | |
1:17:00.282,1:17:03.282 | |
說一個完整的系統要長怎樣 | |
1:17:03.282,1:17:04.194 | |
我講說 | |
1:17:04.194,1:17:08.194 | |
這個圖我有三個版本的 都很棒 | |
1:17:08.194,1:17:11.194 | |
如果現在有人有大把大把的錢 | |
1:17:11.194,1:17:15.194 | |
就說老子有錢 花下去做成這樣就好 | |
1:17:15.194,1:17:18.194 | |
我可以有信心說這系統 | |
1:17:18.194,1:17:22.194 | |
反正是 9999 很多個 9 不會倒 | |
1:17:22.194,1:17:24.194 | |
但是有那個錢嘛 | |
1:17:24.194,1:17:28.194 | |
公部門預算 還有很多很多的層層的關卡嘛 | |
1:17:28.194,1:17:32.194 | |
私企業當然就是 公司就沒錢嘛 | |
1:17:33.194,1:17:35.194 | |
所以成本考量 這些都是需要考量 | |
1:17:35.194,1:17:38.194 | |
有這些考量你才能夠再去推斷說 | |
1:17:38.194,1:17:43.194 | |
好 那我們到底該做到哪裡 能做到哪裡 | |
1:17:43.194,1:17:47.194 | |
再接下來是 我們在選擇一些技術跟 solution 的時候 | |
1:17:47.194,1:17:52.194 | |
我們也要考慮我們到底需要什麼樣的能力 | |
1:17:52.194,1:17:56.194 | |
我們到底需要這個技術有什麼樣的能力 | |
1:17:56.194,1:18:00.194 | |
以及擁有這個技術我們自己需要什麼樣的能力 | |
1:18:00.194,1:18:02.194 | |
我們才能撐得住 | |
1:18:02.434,1:18:07.834 | |
那這個技術它在整個系統裡面的角色的重要性到底有多大 | |
1:18:07.834,1:18:11.034 | |
這個角色它使用頻率到底為何 | |
1:18:11.034,1:18:13.834 | |
如果這些都是其實沒有那麼重要我幹嘛 | |
1:18:13.834,1:18:16.434 | |
那即便我們現在預算很多 | |
1:18:16.434,1:18:18.834 | |
我們可能也不一定要把預算花下去 | |
1:18:18.834,1:18:21.234 | |
花在我身上還值得一點 | |
1:18:21.234,1:18:25.834 | |
那接下來成本我們可以有很多東西要考量 | |
1:18:25.834,1:18:28.634 | |
像比如說購買成本、維護人力成本 | |
1:18:28.634,1:18:30.234 | |
以及 | |
1:18:30.434,1:18:32.434 | |
維護力的可及度 | |
1:18:33.434,1:18:36.434 | |
像比如說我最近在看的幾個程式語言 | |
1:18:36.434,1:18:37.434 | |
Zig | |
1:18:37.434,1:18:39.434 | |
還有 V Lang | |
1:18:39.434,1:18:41.434 | |
這兩個語言好像滿棒的 | |
1:18:42.434,1:18:46.434 | |
可是我們如果要找新的人來維護 | |
1:18:46.434,1:18:48.434 | |
我們找得到嗎 | |
1:18:48.434,1:18:50.434 | |
所以它可能蠻難的 | |
1:18:50.434,1:18:52.434 | |
這部分是有時候也會被 | |
1:18:52.434,1:18:56.434 | |
被一些工程師在互相debate的時候 | |
1:18:56.434,1:18:58.434 | |
被忽略掉的 | |
1:18:58.434,1:18:59.434 | |
那 | |
1:18:59.714,1:19:03.714 | |
維護力的水準,不是水平,這題中文是水準 | |
1:19:03.714,1:19:07.714 | |
我最近看公部門有出一些文宣 | |
1:19:07.714,1:19:09.714 | |
有講什麼叫做水平 | |
1:19:09.714,1:19:11.714 | |
這好像有點 | |
1:19:11.714,1:19:13.714 | |
維護力的水準可及度 | |
1:19:13.714,1:19:17.714 | |
除了要找到ZIG或V Lang的人之外 | |
1:19:17.714,1:19:19.714 | |
他們的能力是不是有到我們的需求 | |
1:19:21.714,1:19:25.714 | |
然後另外一次,我們在選擇這些Solution的時候 | |
1:19:25.714,1:19:27.714 | |
他的社群的大小 | |
1:19:27.714,1:19:29.106 | |
文件的Support | |
1:19:29.106,1:19:31.346 | |
整個成熟度 到底夠不夠 | |
1:19:31.346,1:19:34.986 | |
這些都是全部會被考量在成本裡面 | |
1:19:36.286,1:19:38.286 | |
那當然還有蠻多東西的 | |
1:19:38.286,1:19:40.786 | |
那以成本來講 我們就隨便舉個小例子 | |
1:19:41.106,1:19:44.306 | |
像比如說 如果我們現在需要一個Web Server | |
1:19:44.706,1:19:46.186 | |
來提供一些服務 | |
1:19:46.946,1:19:49.106 | |
現在當紅的有 Nginx | |
1:19:49.446,1:19:50.446 | |
Apache | |
1:19:50.906,1:19:52.106 | |
SWS | |
1:19:52.706,1:19:53.306 | |
Lighting | |
1:19:53.306,1:19:54.706 | |
Lighting HTTPD | |
1:19:54.706,1:19:55.986 | |
最常大家稍微想 | |
1:19:56.046,1:19:57.446 | |
稍微不一定有沒有聽過 | |
1:19:57.446,1:19:59.126 | |
哪個最好 | |
1:19:59.730,1:20:01.730 | |
哪個最好? | |
1:20:01.730,1:20:03.730 | |
(看情況) | |
1:20:03.730,1:20:05.730 | |
沒錯,哪個最好? | |
1:20:05.730,1:20:07.730 | |
不一樣的答案 | |
1:20:07.730,1:20:09.730 | |
(一定是Apache,因為我只會Apache) | |
1:20:09.730,1:20:11.730 | |
對,Apache最好,也對 | |
1:20:11.730,1:20:13.730 | |
你 Nginx ,也對 | |
1:20:13.730,1:20:15.730 | |
每個都對 | |
1:20:15.730,1:20:17.730 | |
所以都是看情況 | |
1:20:17.730,1:20:19.730 | |
如果你就是要一個one for all | |
1:20:19.730,1:20:21.730 | |
Apache | |
1:20:21.730,1:20:23.730 | |
如果你要的是 Static File | |
1:20:23.730,1:20:25.730 | |
你要服務的就是 | |
1:20:25.730,1:20:27.730 | |
單純的靜態檔案服務 | |
1:20:28.578,1:20:30.578 | |
每一個講就是Lighting | |
1:20:30.578,1:20:34.978 | |
Lighting在不論是記憶體 或是靜態檔案的服務上 | |
1:20:34.978,1:20:36.978 | |
它效能最好 最能吃最少 | |
1:20:36.978,1:20:38.978 | |
如果你要的是一個 | |
1:20:38.978,1:20:40.978 | |
一個在前面類似Proxy的角色 | |
1:20:40.978,1:20:43.978 | |
很多人連上來 但他們不怎麼做事情 | |
1:20:43.978,1:20:46.978 | |
這就是Nginx最好 | |
1:20:46.978,1:20:49.978 | |
如果你現在是一個Embedded System | |
1:20:49.978,1:20:51.978 | |
記憶體很少 要很輕量 | |
1:20:51.978,1:20:53.978 | |
PWS最好 | |
1:20:53.978,1:20:55.978 | |
每個環境都不一樣 | |
1:20:55.978,1:20:57.122 | |
都要不斷考量 | |
1:20:57.122,1:21:01.522 | |
SWS的社群就很小 可是他有其他特性 | |
1:21:01.522,1:21:07.722 | |
所以沒有說 什麼東西能夠一套標準套下去 到時候用 | |
1:21:07.722,1:21:11.222 | |
那另外我們可能要考慮是 | |
1:21:11.222,1:21:16.922 | |
如果這個技術 這個Solution它失效了 | |
1:21:16.922,1:21:18.922 | |
我們有沒有Backup Plan | |
1:21:18.922,1:21:20.922 | |
我們能不能Fallback | |
1:21:20.922,1:21:22.922 | |
我們能不能Rollback | |
1:21:22.922,1:21:24.130 | |
有些東西 | |
1:21:24.130,1:21:28.030 | |
你一旦進去你就會越陷越深 | |
1:21:28.030,1:21:30.030 | |
再也出不來 | |
1:21:30.030,1:21:33.030 | |
所以我們這些東西可能都是要去考慮的 | |
1:21:33.030,1:21:37.330 | |
那另外再來回來聊點技術它本身是什麼特性 | |
1:21:37.330,1:21:38.330 | |
它的特性 | |
1:21:38.330,1:21:42.330 | |
我們到底要這技術是為了要解決什麼問題 | |
1:21:42.330,1:21:49.330 | |
如果我要的只是要提供一個 | |
1:21:49.330,1:21:51.830 | |
比如說短網址服務好了 | |
1:21:51.830,1:21:53.730 | |
我可能就不需要 | |
1:21:53.730,1:21:57.730 | |
用什麼IIS加一大堆的外掛 | |
1:21:57.730,1:22:02.230 | |
然後再用什麼Reactor去View前端 | |
1:22:02.230,1:22:07.230 | |
然後再用什麼Aurora Database | |
1:22:07.230,1:22:10.230 | |
或什麼亂七八糟那種很Fancy的東西 | |
1:22:10.230,1:22:11.730 | |
我可能不需要 | |
1:22:11.730,1:22:16.230 | |
因為我們要的就是一個快、狠、準的Solution | |
1:22:16.230,1:22:18.730 | |
我們要解決的問題是什麼 | |
1:22:18.730,1:22:21.230 | |
那這些東西有什麼限制 | |
1:22:23.676,1:22:27.676 | |
另外,還有就是標準的選擇 | |
1:22:27.676,1:22:29.676 | |
選擇標準 | |
1:22:29.676,1:22:33.676 | |
市面上很多各式各樣的Standard | |
1:22:33.676,1:22:35.676 | |
很多各式各樣的Framework | |
1:22:35.676,1:22:37.676 | |
很多各式各樣的Model | |
1:22:37.676,1:22:39.676 | |
你到底要怎麼選擇適合的標準 | |
1:22:39.676,1:22:41.676 | |
像比如說 | |
1:22:41.676,1:22:43.676 | |
SBOM 、SPDX | |
1:22:43.676,1:22:45.676 | |
應該所有做軟體的人 | |
1:22:45.676,1:22:47.676 | |
如果要接觸 SBOM 的話 | |
1:22:47.676,1:22:51.676 | |
都會聽過 SPDX | |
1:22:51.676,1:22:53.010 | |
那如果你不是 | |
1:22:53.010,1:22:55.410 | |
專門做軟體他可能不一定會聽過 | |
1:22:55.410,1:22:59.010 | |
可是如果你專門做軟體可能就會聽過 SPDX | |
1:22:59.010,1:23:01.010 | |
它是Linux Foundation | |
1:23:01.010,1:23:03.010 | |
Linux基金會他們主要推的 | |
1:23:03.010,1:23:05.010 | |
那大家一聽到 | |
1:23:05.010,1:23:07.010 | |
Linux基金會推的這個標準 | |
1:23:07.010,1:23:09.010 | |
那鐵定讚讚就用就對了 | |
1:23:09.010,1:23:13.010 | |
我們也經歷過這個階段 | |
1:23:13.010,1:23:15.010 | |
Linux Foundation | |
1:23:15.010,1:23:17.010 | |
它的背景是什麼 | |
1:23:17.010,1:23:19.010 | |
它是做軟體做系統開發的 | |
1:23:19.010,1:23:20.978 | |
Linux核心嘛 | |
1:23:20.978,1:23:24.978 | |
它在 SBOM 管那些軟體的dependency 軟體的library | |
1:23:24.978,1:23:26.978 | |
聽起來很棒 | |
1:23:26.978,1:23:28.978 | |
但是一個系統只有軟體嗎 | |
1:23:28.978,1:23:30.978 | |
不一定只有軟體 | |
1:23:30.978,1:23:34.978 | |
它還有硬體 還有其他vendor 還有雲端提供商 | |
1:23:34.978,1:23:37.978 | |
還有你的Firewall 還有 Load Balancer 之類的東西 | |
1:23:37.978,1:23:39.978 | |
這些是 SPDX 這個格式 | |
1:23:39.978,1:23:41.978 | |
這種 SBOM 格式裡面沒有辦法告訴你的事情 | |
1:23:41.978,1:23:43.978 | |
它沒有辦法去登記 沒有辦法去記錄 | |
1:23:43.978,1:23:45.978 | |
你沒有辦法去追蹤 | |
1:23:45.978,1:23:47.978 | |
那在市面上還有另外一個 | |
1:23:47.978,1:23:49.978 | |
比如說 Cyclone DX | |
1:23:50.418,1:23:53.418 | |
它是 OWASP 他們在推的 | |
1:23:53.418,1:23:56.418 | |
OWASP 他們主要就是做資安相關的嘛 | |
1:23:56.418,1:23:59.418 | |
相信大家應該多少都聽過或者是很熟 | |
1:23:59.418,1:24:03.418 | |
他們推的標準就是 Cyclone DX | |
1:24:03.418,1:24:07.418 | |
它的格式跟 SPDX 比起來比較複雜 | |
1:24:07.418,1:24:08.418 | |
比較凌亂一點 | |
1:24:08.418,1:24:11.418 | |
但是它可以追蹤的 | |
1:24:11.418,1:24:13.418 | |
就不只是純軟體本身 | |
1:24:13.418,1:24:16.418 | |
還有其他的這些 Hardware 甚至 Vendor 的東西 | |
1:24:16.418,1:24:18.418 | |
它也都可以管 | |
1:24:18.418,1:24:20.418 | |
所以標準大概該怎麼選擇 | |
1:24:20.434,1:24:23.034 | |
我們當初在做規劃的時候 | |
1:24:23.034,1:24:25.834 | |
也可能就要去想好 | |
1:24:25.834,1:24:30.834 | |
好 接下來就是要稍微偷臭一下 | |
1:24:30.834,1:24:36.234 | |
這個很多法尊法規法條的引用跟解讀 | |
1:24:36.234,1:24:41.234 | |
有些過時的或是錯誤的引用或是曲解其一 | |
1:24:41.234,1:24:45.034 | |
我沒有罵誰 誰答腔我就罵誰 | |
1:24:45.034,1:24:49.434 | |
好 偷臭一下password | |
1:24:49.434,1:24:50.620 | |
好 謝謝 | |
1:24:50.620,1:24:52.620 | |
再統計一下 | |
1:24:52.620,1:24:54.620 | |
稍微閉一下眼睛 | |
1:24:54.620,1:24:56.620 | |
不要看別人 | |
1:24:56.620,1:24:58.620 | |
密碼16個字元以上 | |
1:24:58.620,1:25:00.620 | |
可以舉個手嗎 | |
1:25:00.620,1:25:02.620 | |
12個位元以上 | |
1:25:02.620,1:25:04.620 | |
可以舉個手嗎 | |
1:25:08.620,1:25:10.620 | |
8個位元以上 | |
1:25:10.620,1:25:12.620 | |
可以舉個手嗎 | |
1:25:12.620,1:25:14.620 | |
不到8個位元可以舉個手嗎 | |
1:25:14.620,1:25:16.620 | |
有些手機密碼 | |
1:25:16.620,1:25:18.620 | |
都不到8個位元 | |
1:25:18.620,1:25:20.402 | |
可以睜開眼睛 | |
1:25:20.402,1:25:22.402 | |
啊 對不起 我還要問 | |
1:25:22.402,1:25:24.402 | |
先不用閉眼睛 | |
1:25:24.402,1:25:29.402 | |
密碼裡面包含特殊符號 英文大小寫 | |
1:25:29.402,1:25:31.402 | |
舉手 | |
1:25:31.402,1:25:33.402 | |
OK 好 | |
1:25:33.402,1:25:36.402 | |
恭喜你們成為盜版軟體的受害者 | |
1:25:36.402,1:25:38.402 | |
好 | |
1:25:38.402,1:25:40.402 | |
那這東西 | |
1:25:40.402,1:25:44.402 | |
不論是業界 民間 還是政府部門 | |
1:25:44.402,1:25:46.402 | |
都有很多的朋友來跟我講 | |
1:25:46.402,1:25:48.402 | |
到底為什麼密碼規則要設這樣子 | |
1:25:48.402,1:25:50.402 | |
為什麼 | |
1:25:50.626,1:25:52.626 | |
想必應該有來源吧 | |
1:25:52.626,1:25:54.626 | |
我們政府會這樣推廣 | |
1:25:54.626,1:25:56.626 | |
我們政府一堆部門的密碼規則都這樣子 | |
1:25:56.626,1:25:58.626 | |
民間部門也都這樣子 | |
1:25:58.626,1:26:00.626 | |
總該有個原則 總該有個來源吧 | |
1:26:00.626,1:26:02.626 | |
我們就想辦法去找 | |
1:26:02.626,1:26:06.626 | |
在很久很久很久以前的確是有 | |
1:26:06.626,1:26:08.626 | |
但是在很久很久以前 | |
1:26:08.626,1:26:10.626 | |
我第一個是三個很久 | |
1:26:10.626,1:26:12.626 | |
第二個是兩個很久以前 | |
1:26:12.626,1:26:14.626 | |
已經不再是這樣的 | |
1:26:14.626,1:26:16.626 | |
隨便去Google一下 | |
1:26:16.626,1:26:18.626 | |
或者是你來問 ChatGPT 都可以 | |
1:26:19.106,1:26:21.866 | |
隨便找,比如說我們看看GDPR的規則 | |
1:26:21.866,1:26:24.166 | |
我們看看ISO7000、ISO12700的規則 | |
1:26:24.166,1:26:25.666 | |
我們看看NIST的規則 | |
1:26:25.666,1:26:27.666 | |
我們去看BCI DSS的規則 | |
1:26:27.666,1:26:30.666 | |
裡面有沒有人說明複雜度 | |
1:26:30.666,1:26:33.866 | |
好像有一點提到 | |
1:26:33.866,1:26:37.366 | |
裡面有沒有講到密碼定時要改 | |
1:26:37.366,1:26:40.366 | |
你們有沒有成為密碼定時要改的受害者 | |
1:26:40.366,1:26:42.366 | |
大家都點頭 | |
1:26:42.366,1:26:43.866 | |
好,我們來看一下 | |
1:26:43.866,1:26:45.866 | |
NIST 800 | |
1:26:46.626,1:26:47.626 | |
裡面講到 | |
1:26:47.626,1:26:49.218 | |
Verified Should | |
1:26:49.218,1:26:51.218 | |
not | |
1:26:51.218,1:26:53.218 | |
require 就是反正各種字元 | |
1:26:53.218,1:26:55.218 | |
不應該要求他make sure | |
1:26:55.218,1:26:57.218 | |
然後 | |
1:26:57.218,1:26:59.218 | |
也不應該should not require | |
1:26:59.218,1:27:01.218 | |
要定時的更變 | |
1:27:01.218,1:27:03.218 | |
人就越難記 | |
1:27:03.218,1:27:05.218 | |
人越難記 密碼就 | |
1:27:05.218,1:27:07.218 | |
會取得越簡單 | |
1:27:07.218,1:27:09.218 | |
所以可能大家都是 原本是 | |
1:27:09.218,1:27:11.218 | |
ABCD | |
1:27:11.218,1:27:13.218 | |
後來就變成 | |
1:27:13.218,1:27:15.218 | |
驚嘆號 大寫A 小寫BCD | |
1:27:15.218,1:27:17.218 | |
都會是一樣的pattern | |
1:27:18.066,1:27:28.066 | |
然後又定時要改 驚嘆號大寫ABCD 1 又改2 3 再1 再2 再3 | |
1:27:28.066,1:27:30.066 | |
裡面都是這樣子的 | |
1:27:30.066,1:27:35.066 | |
符合歸什麼 符合啊 但事實上是不OK的 | |
1:27:35.066,1:27:42.066 | |
阿德有講 根據現在市面上各種野生的Database 全部收集過來 | |
1:27:42.066,1:27:45.066 | |
密碼複雜度並不具有明顯的指標 | |
1:27:45.066,1:27:47.066 | |
什麼具有明顯的指標 | |
1:27:47.666,1:27:51.666 | |
密碼的長度 | |
1:27:51.666,1:27:53.666 | |
密碼的長度才是明顯指標 | |
1:27:53.666,1:27:55.666 | |
所以以現今來講 | |
1:27:55.666,1:27:57.666 | |
好的密碼不是複雜的密碼 | |
1:27:57.666,1:27:59.666 | |
好的密碼是什麼 | |
1:27:59.666,1:28:01.666 | |
An Apple A Day Keeps The Docotor Away | |
1:28:01.666,1:28:03.666 | |
大家不要直接用這句 | |
1:28:03.666,1:28:05.666 | |
不要直接用這句 | |
1:28:05.666,1:28:07.666 | |
那個我用啦 | |
1:28:07.666,1:28:09.666 | |
長度很長很長 | |
1:28:09.666,1:28:11.666 | |
這才是安全的 | |
1:28:11.666,1:28:13.666 | |
這裡稍微讓大家猜一下 | |
1:28:14.658,1:28:18.058 | |
假設 因為剛才有八位的嘛 八位密碼的 | |
1:28:18.058,1:28:20.058 | |
一個八位的密碼 | |
1:28:20.058,1:28:26.558 | |
裡面有各種大小寫啦 特殊字元啦 數字什麼東西之類的 | |
1:28:26.558,1:28:29.558 | |
我大概需要多少時間來破解 | |
1:28:29.558,1:28:33.058 | |
我們不要講我啦 就是我啦 | |
1:28:33.058,1:28:35.058 | |
需要多少時間來破解 | |
1:28:35.058,1:28:37.058 | |
我們有三個選項 | |
1:28:37.058,1:28:39.058 | |
一個是五週 | |
1:28:39.058,1:28:41.058 | |
另外一個是五天 | |
1:28:41.058,1:28:43.058 | |
第三個是五分鐘 | |
1:28:43.362,1:28:45.362 | |
第四個選項 低於五分鐘 | |
1:28:45.362,1:28:47.362 | |
雖然我剛剛講三個 現在是四個 | |
1:28:47.362,1:28:49.362 | |
他覺得是 | |
1:28:49.362,1:28:51.362 | |
五週的舉手 | |
1:28:53.362,1:28:55.362 | |
五天的舉手 | |
1:28:55.362,1:28:57.362 | |
五分鐘的舉手 | |
1:28:57.362,1:28:59.362 | |
不到五分鐘的舉手 | |
1:28:59.362,1:29:01.362 | |
恭喜你們 | |
1:29:01.362,1:29:03.362 | |
不是盜版受害者 | |
1:29:03.362,1:29:05.362 | |
恭喜你們答對了 | |
1:29:05.362,1:29:07.362 | |
平均大概兩分鐘左右就可以暴完 | |
1:29:07.362,1:29:09.362 | |
而且這個數字是在 | |
1:29:09.362,1:29:10.594 | |
大概是 | |
1:29:10.594,1:29:14.894 | |
六年之前 那個時候菲律賓跟我們 好像在海上交惡 | |
1:29:14.894,1:29:17.894 | |
我們去 跟匿名者去玩他們 | |
1:29:17.894,1:29:20.894 | |
不是 我朋友們跟匿名者去玩他們的時候 | |
1:29:20.894,1:29:22.894 | |
在暴他們DNS的密碼 | |
1:29:22.894,1:29:26.894 | |
去改他們的 他們去改DNS的密碼的時候 | |
1:29:26.894,1:29:28.894 | |
對 大概就是 很久以前就是這樣子 | |
1:29:28.894,1:29:30.894 | |
所以各位可以想想看 | |
1:29:30.894,1:29:33.894 | |
現在你們用的密碼多長 | |
1:29:33.894,1:29:35.894 | |
現在你們用的密碼pattern是什麼 | |
1:29:35.894,1:29:37.894 | |
對 剛剛講的 | |
1:29:38.226,1:29:41.726 | |
不過當然我們還是會受一些限制 | |
1:29:41.726,1:29:44.726 | |
像比如說有些系統它甚至說 | |
1:29:44.726,1:29:47.226 | |
密碼仍不能包含空格 | |
1:29:47.226,1:29:51.226 | |
彎腦耶 密碼裡面不能包含單引號 | |
1:29:51.226,1:29:55.226 | |
密碼僅在8到12個字元之間 | |
1:29:55.226,1:30:01.226 | |
好 那個不說了 越說越難過 | |
1:30:01.226,1:30:05.226 | |
這邊說這些東西都不該做 | |
1:30:05.226,1:30:07.226 | |
所以這些規則哪裡來的 | |
1:30:07.458,1:30:09.458 | |
總會有個地方來 | |
1:30:09.458,1:30:11.458 | |
沒錯 真的有個地方來 | |
1:30:11.458,1:30:13.458 | |
PCMDSS | |
1:30:13.458,1:30:15.458 | |
但是魔鬼藏在細節裡 | |
1:30:15.458,1:30:17.458 | |
他說什麼呢 | |
1:30:17.458,1:30:19.458 | |
Non-Customer | |
1:30:21.458,1:30:23.458 | |
或者是Administrator | |
1:30:25.458,1:30:27.458 | |
需要定時換密碼 | |
1:30:27.458,1:30:29.458 | |
以及密碼要複雜 | |
1:30:29.458,1:30:31.458 | |
為什麼要這樣做 | |
1:30:31.458,1:30:33.458 | |
因為管理人員或包商離職之後 | |
1:30:34.898,1:30:38.898 | |
怕外洩所以要定時改密碼 合理啊 | |
1:30:38.898,1:30:41.398 | |
因為你的密碼如果很容易被記的話 | |
1:30:41.398,1:30:43.398 | |
怕別人飄一眼之後記住 | |
1:30:43.398,1:30:44.898 | |
就出去就開始用了 | |
1:30:44.898,1:30:47.898 | |
所以密碼複雜度合理啊 | |
1:30:47.898,1:30:51.398 | |
但是客戶他們記的密碼只有自己在記耶 | |
1:30:51.398,1:30:53.398 | |
人 以前豐年果糖說 | |
1:30:53.398,1:30:55.898 | |
寶寶 人腦比電腦好啊 | |
1:30:55.898,1:30:58.898 | |
沒這回事 人腦永遠都比電腦差 | |
1:30:58.898,1:31:01.898 | |
現在AI都快取代我們的工作了對不對 | |
1:31:02.242,1:31:05.642 | |
這邊講義說不定大家 ChatGPT 弄一弄 | |
1:31:05.642,1:31:09.242 | |
鐵定是寫不出這麼好的啦 | |
1:31:09.242,1:31:11.642 | |
所以它的確其來有自 | |
1:31:11.642,1:31:14.542 | |
但是它是被錯誤的解讀 | |
1:31:14.542,1:31:18.042 | |
所以我們在選擇各種法則跟標準規範的時候 | |
1:31:18.042,1:31:22.042 | |
我們千萬要小心 | |
1:31:22.042,1:31:24.642 | |
偷臭先臭到這邊就好 | |
1:31:24.642,1:31:27.842 | |
希望這個種子種在各位的心裡 | |
1:31:27.842,1:31:29.542 | |
以後寫規格書的時候 | |
1:31:29.542,1:31:32.242 | |
可以稍微調整一下 | |
1:31:32.258,1:31:34.258 | |
好,所以起承轉合 | |
1:31:34.258,1:31:36.258 | |
最後合 | |
1:31:36.258,1:31:40.258 | |
可能有些朋友們當過兵 | |
1:31:40.258,1:31:42.258 | |
最喜歡喊口號 | |
1:31:42.258,1:31:44.258 | |
我們要打不掛 | |
1:31:44.258,1:31:46.258 | |
不擴散,打掛也不怕 | |
1:31:46.258,1:31:48.258 | |
數位韌性 | |
1:31:48.258,1:31:50.258 | |
要堅穩踏實的做 | |
1:31:50.258,1:31:52.258 | |
要能從容靈活 | |
1:31:52.258,1:31:54.258 | |
要能自省求進 | |
1:31:54.258,1:31:56.258 | |
設計兼顧穩定 | |
1:31:56.258,1:31:58.258 | |
落實要確實 | |
1:31:58.258,1:32:00.258 | |
應變方案要妥善 | |
1:32:00.258,1:32:00.738 | |
反應要靈活 | |
1:32:00.738,1:32:03.738 | |
要持續檢核認證 進步也要持續 | |
1:32:03.738,1:32:06.738 | |
所以假設心法的話 大概是這樣子 | |
1:32:06.738,1:32:09.738 | |
雖然說 你知道心法也不知道該怎麼做 | |
1:32:09.738,1:32:11.738 | |
不過心法大概是這樣子 | |
1:32:11.738,1:32:14.738 | |
等一下阿斯匹靈之類的 | |
1:32:14.738,1:32:16.738 | |
必備良藥 | |
1:32:16.738,1:32:18.738 | |
我剛剛說大概講到這邊吧 | |
1:32:18.738,1:32:20.738 | |
差不多快了 | |
1:32:20.738,1:32:22.738 | |
所以這個是一個review | |
1:32:22.738,1:32:24.738 | |
Cheat Sheet review | |
1:32:24.738,1:32:27.738 | |
好 再給我三分鐘 | |
1:32:28.770,1:32:33.770 | |
我們巡航的時候 其實有很多的單位他們並沒有病識感 | |
1:32:33.770,1:32:36.770 | |
他們並不知道自己的系統到底狀況是如何 | |
1:32:36.770,1:32:39.770 | |
那我們要做的其中一個部分 | |
1:32:39.770,1:32:45.770 | |
因為我們是資安、健檢、輔導等等 免費 重點免費 | |
1:32:45.770,1:32:49.770 | |
所以我們主要是要提出他們對於這個覺識 | |
1:32:49.770,1:32:54.770 | |
前一位講者 前前一位講者有講到覺識嘛 | |
1:32:54.770,1:32:55.770 | |
那個 Jass | |
1:32:55.770,1:32:57.770 | |
覺識 | |
1:32:57.938,1:33:00.338 | |
所以我們其實我們要有覺識 | |
1:33:00.338,1:33:04.138 | |
我們要引起他們對於系統韌性的覺識 | |
1:33:04.138,1:33:07.338 | |
所以我們在驗證系統的時候 | |
1:33:07.338,1:33:10.338 | |
我們有一個小小的table | |
1:33:10.338,1:33:12.338 | |
這幾個步驟 | |
1:33:12.338,1:33:14.938 | |
先看他們所填的自評表 | |
1:33:14.938,1:33:16.938 | |
跟他們提供的文件 | |
1:33:16.938,1:33:19.938 | |
我們已經知道寫什麼 | |
1:33:19.938,1:33:22.938 | |
大概有點概念 | |
1:33:22.938,1:33:26.938 | |
接下來我們知道我們不知道寫什麼 | |
1:33:27.010,1:33:29.010 | |
有點概念 | |
1:33:29.010,1:33:33.010 | |
什麼 知之為知之 不知為不知 | |
1:33:33.010,1:33:35.010 | |
對對對讚讚 | |
1:33:38.010,1:33:40.010 | |
之之之沒錯 | |
1:33:40.010,1:33:42.010 | |
我們知道我們知道寫什麼 | |
1:33:42.010,1:33:45.010 | |
我們知道我們不知道寫什麼 | |
1:33:45.010,1:33:48.010 | |
可能有什麼東西漏掉了 | |
1:33:48.010,1:33:51.010 | |
看一看想一想 | |
1:33:51.010,1:33:55.010 | |
接下來當然就是開始寫作文了 | |
1:33:55.010,1:33:57.010 | |
可能要怎麼去改善它 | |
1:33:57.250,1:34:01.250 | |
細節用個時間 之後有機會再來交流 | |
1:34:01.250,1:34:03.250 | |
所以大概就這樣子 | |
1:34:03.250,1:34:07.250 | |
那case study的話 大概有機會的話 | |
1:34:07.250,1:34:10.250 | |
大家可以直接拿出自己負責的系統 | |
1:34:10.250,1:34:13.250 | |
或自己填報過的系統簡核表或是feedback表 | |
1:34:13.250,1:34:16.250 | |
對照我們的 Cheat Sheet | |
1:34:16.250,1:34:18.250 | |
看看連連看連連看 | |
1:34:18.250,1:34:21.250 | |
是不是有做到 大家就知道了 | |
1:34:21.250,1:34:25.218 | |
好 那這個小小的 | |
1:34:25.218,1:34:28.218 | |
一分鐘小小的case study | |
1:34:28.218,1:34:33.218 | |
大家在自己的辦公室或者是自己的單位有沒有放機器 | |
1:34:33.218,1:34:36.218 | |
有的舉個手 | |
1:34:36.218,1:34:38.218 | |
放一台伺服器 | |
1:34:38.218,1:34:40.218 | |
擺在那邊 | |
1:34:40.218,1:34:42.218 | |
大家都沒有嗎 | |
1:34:42.218,1:34:45.218 | |
大家都丟別人家把責任給別人是不是 | |
1:34:45.218,1:34:46.218 | |
那我這樣講 | |
1:34:46.218,1:34:50.218 | |
大家有沒有任何系統是在地端的 | |
1:34:50.218,1:34:53.218 | |
他的單位裡面有沒有任何系統在地端的 | |
1:34:53.218,1:34:54.674 | |
放你的電腦 | |
1:34:55.674,1:34:57.674 | |
或者是任何系統 | |
1:34:57.674,1:34:58.674 | |
如果有的話 | |
1:34:58.674,1:35:00.674 | |
我們就可以來看這個表 | |
1:35:00.674,1:35:02.674 | |
所有的資料機房 | |
1:35:02.674,1:35:03.674 | |
資料中心機房 | |
1:35:03.674,1:35:04.674 | |
我們其實有分Tier | |
1:35:04.674,1:35:06.674 | |
Tier一到四 | |
1:35:06.674,1:35:07.674 | |
當然也有零啦 | |
1:35:07.674,1:35:09.674 | |
不過那個零我們就先不管了啦 | |
1:35:10.674,1:35:13.674 | |
我們如果能夠做到完全的Photorens | |
1:35:13.674,1:35:15.674 | |
就是任何一隻猴子進去 | |
1:35:15.674,1:35:17.674 | |
澆花、噴水、拔電線 | |
1:35:17.674,1:35:19.674 | |
嘰嘰叫、拔硬碟 | |
1:35:19.674,1:35:20.674 | |
都不會掛的 | |
1:35:20.674,1:35:22.674 | |
我們可能在Tier4 | |
1:35:22.706,1:35:25.306 | |
那如果說你們所有東西都有Redundancy | |
1:35:25.306,1:35:27.106 | |
N+1就是有一套備援 | |
1:35:27.106,1:35:29.706 | |
就算你們有四條網路線是在用的 | |
1:35:29.706,1:35:31.206 | |
加上一條備援線 | |
1:35:31.206,1:35:32.206 | |
大概這種 | |
1:35:32.206,1:35:35.206 | |
你們Downtime平均一年也沒有1.6小時 | |
1:35:35.206,1:35:37.706 | |
或者以下,這是Tier3 | |
1:35:37.706,1:35:39.206 | |
那接下來往下 | |
1:35:39.206,1:35:42.706 | |
這是可能說有一部分Power的Redundancy | |
1:35:42.706,1:35:45.706 | |
一部分Cooling Redundancy之類的東西 | |
1:35:45.706,1:35:47.706 | |
這可能是Tier2 | |
1:35:47.706,1:35:50.706 | |
那在這邊的話就是說 | |
1:35:50.882,1:35:55.562 | |
你裡面有些重要的基礎關鍵設備 | |
1:35:55.562,1:35:57.562 | |
有多一些零件存在 | |
1:35:57.562,1:35:59.562 | |
這可能是Tier 1 | |
1:35:59.562,1:36:02.562 | |
那你們如果是全部給外包商處理 | |
1:36:02.562,1:36:04.562 | |
你們就Tier 0 | |
1:36:04.562,1:36:06.562 | |
根本就沒有Tier | |
1:36:06.562,1:36:07.562 | |
因為時間關係 | |
1:36:07.562,1:36:09.562 | |
這東西網路上都可以找得到 | |
1:36:09.562,1:36:11.562 | |
就是Data Center Tier | |
1:36:11.562,1:36:13.562 | |
Data Center Tier | |
1:36:13.562,1:36:15.562 | |
如果說各位 | |
1:36:15.562,1:36:17.562 | |
不是各位同學,各位朋友們有興趣的話 | |
1:36:17.562,1:36:19.562 | |
可以在Data Center Tier Class 5 | |
1:36:19.986,1:36:23.266 | |
就可以稍微review一下 你們地端的系統 | |
1:36:23.486,1:36:26.146 | |
到底現在處在什麼樣的環境 | |
1:36:26.246,1:36:29.426 | |
你們精心照顧產生的這個小baby | |
1:36:29.426,1:36:32.046 | |
你們到底給他什麼樣的環境生活 | |
1:36:32.326,1:36:33.746 | |
稍微review一下 | |
1:36:33.746,1:36:36.746 | |
好,那其實有準備一些其他東西 | |
1:36:36.746,1:36:38.946 | |
不過,那個就 | |
1:36:39.706,1:36:40.706 | |
再說吧 | |
1:36:40.706,1:36:43.866 | |
好,那我們現在就休息4分鐘 | |
1:36:43.866,1:36:46.026 | |
4分鐘,好 | |
1:36:49.986,1:36:51.501 | |
(掌聲) |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment