看英特爾如何強化管理、提升安全性及改善個人生產力
本屆IDF有別歷屆的最大不同之處,莫過於「如何提昇企業IT應用」的議題上,透過現有及發展中的技術和平臺,予以整合成完整的解決方案,以改善企業經營的方式。「數位辦公室」(Digital Office)一詞首度出現在今年春季IDF,而本屆IDF則將其予以分門別類系統化,也在既有技術的應用上大力著墨。數位辦公室的四大重點
英特爾表示,隨著全球化的趨勢,遍佈全球的工作、聯繫、決策及協同合作的方式,對企業營運人員及IT部門而言,都衍生出許多新問題。下一波影響技術發展的浪潮,將分別有日益成長的企業IT管理成本、工作地點散佈全球各地、急速暴增的資料量、以及行動式運算的必要性,所以可以歸納出嵌入式IT(Embedded IT)、無遠弗屆的網路連結架構(Pervasive Connectivity)、即時的團隊合作(Instant Teamwork)、以及資訊管理協助者(Information Assistant)等四大重點。英特爾就以這四個重點為出發點,開發新一代的相關技術及平臺架構。
首先,今日企業在IT管理上的支出相當驚人,而從1988年至2003年之間,資訊安全事故更是以高達85%的年增長率(GAGR)持續攀升。為了降低企業IT管理成本,必須提供更好的遠端及資產管理機能,以減輕MIS管理大量電腦的負擔。另外,相較於伺服器端和網路環境,用戶端電腦的安全防護其實還有很大的改善空間,有別於今日諸多頭痛醫頭、腳痛醫腳的資安方案,直接從用戶端下手,才是正本清源之道。除此之外,安全運算技術以及虛擬機器技術,也可以有效提升用戶端的安全。
其次,現今網路已經成為企業運作的必備工具,尤其無線網路的重要性與日俱增。但是,今日無線網路的種類相當繁雜,而且要在改善無線網路安全性的同時,也要兼顧使用上的便利性。為此,新一代的行動運算平臺,勢必要支援多種無線網路介面,而且也必須提供簡單易用的工具軟體,方便使用者享受到新一代無線網路技術所帶來的安全性,以避免操作過於複雜,而導致新規格形同虛設。
在國際化的趨勢下,員工分散在世界各地協同工作已經逐漸成為常態,所以視訊會議及VoIP的應用日趨重要。為了達成最佳的影音品質,除了新一代的顯示晶片以及音訊規格,也需要更好的處理器效能,雙核心處理器成為新一代工作平臺的主流,實屬必然。
就算有再好的硬體及平臺技術,使用者最後操作的還是軟體,透過軟體來處理資料,所以軟體必須更便於操作、更直覺化、更自動化、以及更能與無線網路環境高度配合。為此,除了更強大的運算能量外,英特爾也投入了行動化軟體的研發(Intel Mobilized Software Initiative)。
結合上述四大重點,我們已經可以看到英特爾諸多技術的大整合:雙核心處理器、La Grande安全運算技術、微軟NGSCB安全運算平臺、NX防緩衝區溢出攻擊位元、TPM信任平台模組、Vanderpool虛擬機器技術、iAMT主動式管理技術、CPMP跨平臺管理計畫、Universal 3D泛用檔案格式、Gransdale桌上型平臺、Centrino行動運算技術、以及所有無線網路相關的軟硬體技術。更緊密的用戶端管理:iAMT
企業內部數量龐大的個人電腦一向都是MIS心中永遠的痛,除了個別維護不易,飽受軟硬體的小毛病而停擺,零組件被偷,以及更麻煩的病毒攻擊等等,一直都沒有完善的解決方案。
這就是iAMT(Intel Active Management Technology)的功能,換言之,可以把它想像成將伺服器所使用的IPMI Out-Of-Band管理模式,移植至個人電腦上的樣子,只是功能更加強大。為了避免使用者移除重要資產、遠端控制及病毒保護的代理人程式,iAMT採用3rd Non-volatile Storage的做法。目前個人電腦和低階伺服器平臺雖然已經有ASF 2.0(Alert Standard Format 2.0),但是功能卻沒有這麼完整,僅有系統發生錯誤的訊息警告。透過iAMT,企業MIS可以迅速掌握所有個人電腦的狀況,大幅縮短在辦公室內奔波所浪費的時間成本。根據英特爾去年內部的統計數據,有52%的IT技術支援成本,都是「Deskside Visits」,比例之高,由此可見一斑。
根據英特爾的計畫,2005年這將成為企業用個人平臺的必備功能,此外,iAMT僅為技術規格,仍需要其他軟體廠商推出對應的管理軟體。目前BMC的Marimba和Remedy、以及CA的Unicenter都已經支援iAMT。等到支援iAMT的個人電腦大量出現在市場上,屆時將有更多的軟體廠商推出對應的管理系統,大幅降低MIS的負擔。雖然iAMT可能會增加不少個人電腦的成本,不過對企業而言,這應是值得的。推動安全運算技術
相較於長期受到關注伺服器和網路環境,用戶端的資訊安全反而沒有受到太多的重視。很諷刺的,歷史的教訓證明,用戶端往往才是被攻擊的目標。近期內這個議題才開始受到應有的重視,個人用防火牆逐漸普及,就是最好的證明。
雖然英特爾已經在Pentium 4 Prescott核心中實作了La Grande安全運算技術,但是由於La Grande以及微軟NGSCB牽涉範圍太廣,在Longhorn出現之前毫無實用化的可能,TPM就成為目前唯一可行的方案,包含檔案保護、數位簽章、平臺及個人認證、以及遠端網路登入等,都是TPM可以發揮作用的應用。事實上,目前整個軟硬體環境,對於TPM的支援已經相當的完整,微軟的MS-CAPI及業界標準PKCS#11都是被多數應用軟體廣為支援的加密API,英特爾也早已採用了Wave System所開發的安全管理工具。
不過,雖然TPM已經不是新鮮的技術,也得到相當廣泛的支援,但是目前在一般個人使用者中並沒有得到應有的重視。這也意味著,就算有再好的技術,如果沒有適當的宣導及教育,應用上也會大打折扣。對於資安而言,更是如此。
NX位元的諸多限制
微軟自從Windows Server 2003 SP1和Windows XP SP2開始提供DEP(Data Execution Prevention)功能,透過分頁表(Page Table)中PDE/PTE的NX(Execute Disable Bit)位元,標定不可執行的分頁,以阻止緩衝區溢出(Buffer Overflow)攻擊,因為多數該類型的攻擊,大多導因於C語言中對於陣列範圍的檢查方式,所以早在二十年前的Unix系統就相當普遍。由於NX位元是IA-64指令集定義之始就存在的功能,Itanium一開始就已經提供,在x86處理器中,AMD的K8家族以及英特爾新款Pentium 4也支援該功能。
不過,使用NX位元,先決條件是啟動PAE(Page Address Extension)延伸分頁定址模式或著是EM64T模式(因為現有的分頁表並無提供該位元的額外空間),這就會造成現有32位元系統上的驅動程式相容性問題,因為部分驅動程式會誤認系統主記憶體超過4GB之故,這些都需要修改驅動程式及系統韌體才能解決,也必須無視作業系統預設的實體記憶體上限。對Windows Server 2003 Enterprise/Data Center版本而言,必須支援64位元DMA或是Double Buffering。另外,Linux也需要調整記憶體位址的分配。隱而不現的是,在現有32位元作業系統上啟動PAE,對效能所造成的負面影響。
除了要注意NX位元對於既有作業系統、驅動程式及應用軟體的影響外,更重要的,NX位元主要是針對多數「過去的攻擊方式」而生,並非代表系統從此「百毒不侵」、高枕無憂,個人認真做好系統防護,才是最可靠的保障。沒有新穎的技術,卻帶來實際上的應用
我們可以從數位辦公室的相關議程中發現,除了iAMT之外,英特爾其實沒有發表太多全新的技術規格,但卻討論了不少既有技術的應用。事實上,對於企業而言,他們所需要的往往不是最新穎的技術,而是將現有的技術發揮到最大的效益。文⊙劉人豪
熱門新聞
2024-11-05
2024-11-05
2024-11-07
2024-11-04
2024-11-02
2024-11-07