最近在不同的電車站，都看到「為香港・搏到盡」幾個剛勁有力的大字，原來這是阿里巴巴集團旗下的雲計算平台阿里雲最新的宣傳主題。公司自 2014 年以來已在本港設立兩個數據中心，多年來大力推動香港企業數碼化轉型，這輯宣傳展示了幾個本地知名企業的應用實例 ，包括英皇金融集團及香港快運航空。 「在我們看來，金融跟物流業是支撐香港經濟的中流砥柱，在全球也處於領先地位，這兩家香港本地企業，在各自領域都做得非常出色，而同樣都選用了阿里雲的安全產品。阿里雲亦希望通過我們的雲端和 AI技術為行業客戶帶來業務裨益。」 安全不僅僅是針對雲端，而是整個業務流程 劉彬星指出，現時大部份客戶採用雲端跟 AI 技術時，都非常關注技術的安全性。「安全不僅僅是針對雲端技術，而是不同企業本身的整個業務流程，有沒有安全可控的解決方案。」阿里雲服務範疇涉獵甚廣，從網絡、服務器、應用、業務安全到安全管理服務一應俱全，為企業提供 Anti-DDoS、WAF （網頁應用系統防火牆）等解決方案，同時亦有團隊專責進行全面的滲透測試，更在全球多個地區設立大流量的 DDoS 雲清洗中心，服務極之全面。「其實概念很簡單，上雲就等於你把錢放在銀行的保險箱，我們的防衛能力一定比客戶自己構建的更牢固、更可靠，才能讓客戶信任我們。 」 劉彬星，阿里雲港澳及韓國區總經理：阿里平台每天都抵禦非常多的網絡攻擊， 確保幾億消費者放心愉悅地使用服務，所以說「十年攻防，一朝成盾」。阿里雲將阿里巴巴集團內的最佳實踐方案，商業化推送至客戶。 十年攻防，一朝成盾 「以英皇金融為例，作為一個交易網站，講求的是彈性擴充的能力，我們的 Elastic…

阿里巴巴集團旗下的雲計算平台阿里雲（Alibaba Cloud）剛舉辨 Infinity 2019 生態峰會，以「為香港‧搏到盡」主題，支援香港成為智慧城市。大會邀得多位業內猛人出席，分享使用雲技術經驗，全力推動香港智慧城市發展 香港國際機場應用 DataV，數據可視化 大會的其一個矚目焦點，香港國際機場應用阿里雲的大數據分析解決方案 DataV。作為全世界其中一個最繁忙機場，香港國際機場必須要最進先進技術，維持高效運作。DataV 方案可透過實時匯集數據的技術，同時分析多項數據，並作訊息可視化，展示於大屏幕，有效地機場管理團隊監測及分析客運大樓內的人流及停機坪上的交通，從而及時向不同單位發送提示和預警訊息，推進香港國際機場成為智能機場。 阿里雲港澳及韓國區總經理劉彬星。 推出多項新產品，加快企業數碼化步伐 阿里雲亦於會上展示其他新產品，包括彈性計算、存儲、內容分發網絡(CDN)和數據庫、區塊鏈、數據安全、數據分析、大數據、網絡和雲端通信產品。阿里雲港澳及韓國區總經理劉彬星表示：「阿里雲以技術應對日常生活的挑戰，提升現代生活質素。我們致力與所有合作夥伴共同推動各行各業的數碼化轉型。我們的產品融合數據分析技術、人工智能、機器學習和物聯網等科技，提供全面的解決方案，推動創新，無論公營部門及不同規模的企業都能在智慧城市中蓬勃發展。」 生態峰會舉行當日，阿里雲更買下頭版廣告大力宣揚「為香港‧搏到盡」。 撐香港！加入香港智慧城市聯盟 阿里雲宣布正式加入到香港智慧城市聯盟，為香港的智慧城市發展出力。阿里雲將以其技術知識和優勢，從流動性、安全性、能源和環境等範疇著手，，改善城市基礎設施和營運標準。劉彬星指出，阿里雲紮根並致力發展香港市場，「香港是一個中西融合的地方，不只本地客戶，來自世界各地的大型企業都把總部設在香港，而來自中國內地的企業又會通過香港出海，香港地方雖小，但這裡的客戶質量很高，數量也很多，阿里雲有很大的決心攜手這些合作夥伴實踐數字化轉型。」

在 2019 年消費性展覽 CES 上，實體安全金鑰開發商 Yubico 首度推出支援 iPhone 的新款金鑰 YubiKey，iPhone 用戶密碼安全保護從此多一種選擇。 其實實體金鑰的原理就同普通屋企鎖匙一樣，只不過將網上帳戶密碼轉換成物理鎖匙。用戶使用時，要先在支援該功能的網站註冊一個「瑣頭」，從此登入該網站，就只需將安全金鑰插入電腦或手機設備便可「開鎖」，無需再輸入密碼。因為需要用到物理鎖匙，安全度便可大大增加，對於堅持使用弱雞密碼「123456」的懶人嚟講，可話一大恩物。 Yubico 為目前市面上較多人使用的金鑰品牌，好長一段時間，該公司僅面向 PC、Mac 及其它移動設備。如今推出 YubiKey for lightning，已獲得 Apple…

用 C++ 撰寫嘅資料庫管理系統 MongoDB 雖然好用，但已經不止一次被揭發有外洩資料曝光，不過今次非常大量，流出 202,730,434 份 CV，即超過十份一中國人嘅資料。 上星期由 HackenProof 揭發，MongoDB 上面有 854.8GB、超過 2 億份 CV 未被保護，資料包括求職者全名、生日日期、電話號碼、電郵地址、駕照號碼等，連同履歷、要求待遇等一併放題任攞。MongoDB 於事件被揭發後已進行補救，然而，已有有超過 10 個…

一般大眾對 Big Four 印象都是專責會計、審計、稅務，而其實 Big Four 業務範圍早已涉足一切企業管理服務，包括 IT Security。PWC 為其中表表者，而且於此範疇有豐富經驗及技術支援，最近不單舉辦 Hackday 比賽，最新研發產品有 Hackbot，不得了。 從審計到資安 「傳統上，PWC 的業務是審計，所以會見到客戶業務的各種問題，因此衍生了不同範疇的顧問服務，包括網絡安全方面的服務。」Samuel 於 Big Four 行頭有二十多年經驗，正是從審計變成資安專家嘅活生生例子。「審計工作其實不只看財務數字，還要看…

中國的大型科技公司：百度、阿里巴巴和騰訊（統稱為 BAT）這三巨頭正努力把自己定位成為 Smart City 解決方案領導者，並希望打造自身為──自動駕駛、語音對話式 AI、面部識別技術、預測性醫療保健方面等的全球領導者。 BAT 的優勢 BAT 有資金和資源，除了積極擴展到亞洲其他國家，正努力招募外國人才，並投資外國的 AI 創業公司，形成全球合作夥伴關係。再加上中國市場有得天獨厚的 AI 應用的條件，包括人口龐大、數據量大、科技人才湧現、廣泛電子商貿應用，更有大量物聯網設備也在中國生產。綜合起來，會給予 BAT 在打造 AI 平台的優勢。 BAT 面臨的最大挑戰…

上一期講過甚麼是「白帽黑客」（White Hat），是指在完全合法的情況下對系統進行攻擊，以求找出安全漏洞，令對方作出修補的黑客。我上個月剛與一位國寶級的白帽黑客見過面，並對網絡安全作深入交流。 這位高手是來自北京的陳宇森，現年只是 26 歲，臉上還有一點稚氣，但跟他溝通，卻感覺到他是非常成熟和有目標的。他除了近年在中國區的各類黑客大賽勇奪各項大獎之外，在 2016 年的全球 DEFCON CTF 黑客大賽獲得第二名，以及在 2017 年另一個全球大型黑客大賽 Pwn2Own，獲得世界第三名。年紀輕輕已在國際大賽打響名堂，實在殊不簡單。但他跟我說：往後應不會再參與同類型的比賽了。畢竟已獲過獎項，可以說是得到業界對他技術能力的肯定。 最令我欣賞的是這位年輕白帽黑客，在 2014 年已成立了安全技術公司，運用自身的專長，開發了一些高端安全產品，來應付日益複雜的黑客攻擊，並獲得一些在中國的大企業所採用。所謂「知己知彼、百戰百勝」，以黑客的思維制訂安全方案去對付黑客攻擊，從邏輯來說，應會更有效。 除了安全產品外，陳宇森也有一套獨特的技術人員培訓計劃，可以說是比較實戰型。點解？一般網絡安全培訓機構都比較學術性，市場上的安全證書如 CISSP、CISM 等，也比較着重理論。但陳宇森所提供的是一套「網絡攻防實訓平台」，內裡包括模擬訓練、線上比賽、線下實訓等。在快速多變的網絡安全領域裏，我個人也認同實戰比證書更重要，也正考慮如何把這套實戰平台引入，來提升本地網絡安全人才應對網絡攻擊的能力。

上文提到，權要有限。那麼職責呢？要分。權要限、職要分，夠鐘要放工，得閒要睇 wepro180。 在系統中，有一條重要保安原則：職責分離。在系統及流程中，要把重要功能、職責拆開。在流程中，申請新帳號或者IT服務者，與批准者，須是不同的人。又如有 D 公司將一個超級帳號密碼拆開前後兩截，一人管一截（有 D 似古代果 D 虎符）。又如寫程式的人，不可以把程式直接安裝入系統，要透過另一個團隊。以上這些職責分離，目的是要減少差錯及舞弊。文藝一些講：避免監守自盜。 （再文藝一些…在歷史中，這些職責分離比比皆是，例如中國的皇權與相權的分離、唐代的三省制，以至謀與斷的分工、三權分立等，都有古仔可以講。） 講到呢度，就可以明白，保安系統設計要嚴密，須要包括：有各系統權限的人，他們的職責是否有合理的分離。所以，大機構的 SIEM / Log Management 要求完備，因為要有足夠的 Audit Trails 去審計各程交易 (Transactions)…

傳統的網絡保安業，美國已壟斷了一段日子。主要原因是美國擁有強大的軍事資源，把軍用的技術慢慢發展成民用的網絡保安技術，例如 GPS 全球定位技術最初亦是軍事用途。 以色列也是軍事強國，再加上地緣政治原因，所以在網絡保安這個領域亦大力發展，也佔了一定的市場份額。至於俄羅斯和英國，在網絡保安市場中也有點成績。 要發展網絡保安產業，其實有個重要元素， 就是需要國家的支持。中國近年也視網絡保安為國家重要的發展項目，大力支持國有化的產品，網絡保安產品和技術已經大大提升。有很多國內的網絡保安品牌一點都不比國際品牌遜色，一些新的安全技術更達到世界領先的水平。 美國又怎可能沒留意到中國開始發力呢？所以對中國的安全技術進行打壓，亦不希望中國的網絡保安產品打入國際市場，在貿易上加強國家保護，中美現處於貿易冷戰時期。 作為投資者，大家可以留意一下中國的網絡保安技術公司，前景仍然是十分樂觀，關鍵在於中國能否打破這個貿易壁壘，開拓海外市場，在國際市場爭取一席位，說不定很快有另一家阿里巴巴或騰訊出現！