2004秋季IDF特別報導—數位辦公室的願景

看英特爾如何強化管理、提升安全性及改善個人生產力

本屆IDF有別歷屆的最大不同之處，莫過於「如何提昇企業IT應用」的議題上，透過現有及發展中的技術和平臺，予以整合成完整的解決方案，以改善企業經營的方式。「數位辦公室」（Digital Office）一詞首度出現在今年春季IDF，而本屆IDF則將其予以分門別類系統化，也在既有技術的應用上大力著墨。數位辦公室的四大重點

英特爾表示，隨著全球化的趨勢，遍佈全球的工作、聯繫、決策及協同合作的方式，對企業營運人員及IT部門而言，都衍生出許多新問題。下一波影響技術發展的浪潮，將分別有日益成長的企業IT管理成本、工作地點散佈全球各地、急速暴增的資料量、以及行動式運算的必要性，所以可以歸納出嵌入式IT（Embedded IT）、無遠弗屆的網路連結架構（Pervasive Connectivity）、即時的團隊合作（Instant Teamwork）、以及資訊管理協助者（Information Assistant）等四大重點。英特爾就以這四個重點為出發點，開發新一代的相關技術及平臺架構。

首先，今日企業在IT管理上的支出相當驚人，而從1988年至2003年之間，資訊安全事故更是以高達85%的年增長率（GAGR）持續攀升。為了降低企業IT管理成本，必須提供更好的遠端及資產管理機能，以減輕MIS管理大量電腦的負擔。另外，相較於伺服器端和網路環境，用戶端電腦的安全防護其實還有很大的改善空間，有別於今日諸多頭痛醫頭、腳痛醫腳的資安方案，直接從用戶端下手，才是正本清源之道。除此之外，安全運算技術以及虛擬機器技術，也可以有效提升用戶端的安全。

其次，現今網路已經成為企業運作的必備工具，尤其無線網路的重要性與日俱增。但是，今日無線網路的種類相當繁雜，而且要在改善無線網路安全性的同時，也要兼顧使用上的便利性。為此，新一代的行動運算平臺，勢必要支援多種無線網路介面，而且也必須提供簡單易用的工具軟體，方便使用者享受到新一代無線網路技術所帶來的安全性，以避免操作過於複雜，而導致新規格形同虛設。

在國際化的趨勢下，員工分散在世界各地協同工作已經逐漸成為常態，所以視訊會議及VoIP的應用日趨重要。為了達成最佳的影音品質，除了新一代的顯示晶片以及音訊規格，也需要更好的處理器效能，雙核心處理器成為新一代工作平臺的主流，實屬必然。

就算有再好的硬體及平臺技術，使用者最後操作的還是軟體，透過軟體來處理資料，所以軟體必須更便於操作、更直覺化、更自動化、以及更能與無線網路環境高度配合。為此，除了更強大的運算能量外，英特爾也投入了行動化軟體的研發（Intel Mobilized Software Initiative）。

結合上述四大重點，我們已經可以看到英特爾諸多技術的大整合：雙核心處理器、La Grande安全運算技術、微軟NGSCB安全運算平臺、NX防緩衝區溢出攻擊位元、TPM信任平台模組、Vanderpool虛擬機器技術、iAMT主動式管理技術、CPMP跨平臺管理計畫、Universal 3D泛用檔案格式、Gransdale桌上型平臺、Centrino行動運算技術、以及所有無線網路相關的軟硬體技術。更緊密的用戶端管理：iAMT

企業內部數量龐大的個人電腦一向都是MIS心中永遠的痛，除了個別維護不易，飽受軟硬體的小毛病而停擺，零組件被偷，以及更麻煩的病毒攻擊等等，一直都沒有完善的解決方案。

這就是iAMT（Intel Active Management Technology）的功能，換言之，可以把它想像成將伺服器所使用的IPMI Out-Of-Band管理模式，移植至個人電腦上的樣子，只是功能更加強大。為了避免使用者移除重要資產、遠端控制及病毒保護的代理人程式，iAMT採用3rd Non-volatile Storage的做法。目前個人電腦和低階伺服器平臺雖然已經有ASF 2.0（Alert Standard Format 2.0），但是功能卻沒有這麼完整，僅有系統發生錯誤的訊息警告。透過iAMT，企業MIS可以迅速掌握所有個人電腦的狀況，大幅縮短在辦公室內奔波所浪費的時間成本。根據英特爾去年內部的統計數據，有52%的IT技術支援成本，都是「Deskside Visits」，比例之高，由此可見一斑。

根據英特爾的計畫，2005年這將成為企業用個人平臺的必備功能，此外，iAMT僅為技術規格，仍需要其他軟體廠商推出對應的管理軟體。目前BMC的Marimba和Remedy、以及CA的Unicenter都已經支援iAMT。等到支援iAMT的個人電腦大量出現在市場上，屆時將有更多的軟體廠商推出對應的管理系統，大幅降低MIS的負擔。雖然iAMT可能會增加不少個人電腦的成本，不過對企業而言，這應是值得的。推動安全運算技術

相較於長期受到關注伺服器和網路環境，用戶端的資訊安全反而沒有受到太多的重視。很諷刺的，歷史的教訓證明，用戶端往往才是被攻擊的目標。近期內這個議題才開始受到應有的重視，個人用防火牆逐漸普及，就是最好的證明。

雖然英特爾已經在Pentium 4 Prescott核心中實作了La Grande安全運算技術，但是由於La Grande以及微軟NGSCB牽涉範圍太廣，在Longhorn出現之前毫無實用化的可能，TPM就成為目前唯一可行的方案，包含檔案保護、數位簽章、平臺及個人認證、以及遠端網路登入等，都是TPM可以發揮作用的應用。事實上，目前整個軟硬體環境，對於TPM的支援已經相當的完整，微軟的MS-CAPI及業界標準PKCS#11都是被多數應用軟體廣為支援的加密API，英特爾也早已採用了Wave System所開發的安全管理工具。

不過，雖然TPM已經不是新鮮的技術，也得到相當廣泛的支援，但是目前在一般個人使用者中並沒有得到應有的重視。這也意味著，就算有再好的技術，如果沒有適當的宣導及教育，應用上也會大打折扣。對於資安而言，更是如此。

NX位元的諸多限制
微軟自從Windows Server 2003 SP1和Windows XP SP2開始提供DEP（Data Execution Prevention）功能，透過分頁表（Page Table）中PDE/PTE的NX（Execute Disable Bit）位元，標定不可執行的分頁，以阻止緩衝區溢出（Buffer Overflow）攻擊，因為多數該類型的攻擊，大多導因於C語言中對於陣列範圍的檢查方式，所以早在二十年前的Unix系統就相當普遍。由於NX位元是IA-64指令集定義之始就存在的功能，Itanium一開始就已經提供，在x86處理器中，AMD的K8家族以及英特爾新款Pentium 4也支援該功能。

不過，使用NX位元，先決條件是啟動PAE（Page Address Extension）延伸分頁定址模式或著是EM64T模式（因為現有的分頁表並無提供該位元的額外空間），這就會造成現有32位元系統上的驅動程式相容性問題，因為部分驅動程式會誤認系統主記憶體超過4GB之故，這些都需要修改驅動程式及系統韌體才能解決，也必須無視作業系統預設的實體記憶體上限。對Windows Server 2003 Enterprise/Data Center版本而言，必須支援64位元DMA或是Double Buffering。另外，Linux也需要調整記憶體位址的分配。隱而不現的是，在現有32位元作業系統上啟動PAE，對效能所造成的負面影響。

除了要注意NX位元對於既有作業系統、驅動程式及應用軟體的影響外，更重要的，NX位元主要是針對多數「過去的攻擊方式」而生，並非代表系統從此「百毒不侵」、高枕無憂，個人認真做好系統防護，才是最可靠的保障。沒有新穎的技術，卻帶來實際上的應用

我們可以從數位辦公室的相關議程中發現，除了iAMT之外，英特爾其實沒有發表太多全新的技術規格，但卻討論了不少既有技術的應用。事實上，對於企業而言，他們所需要的往往不是最新穎的技術，而是將現有的技術發揮到最大的效益。文⊙劉人豪