內容提供:
旗標出版公司 |
|
旗
標 電 腦 文 摘
第249期 2004.12.9 |
3 小時做出簡報、3 天成為簡報高手
書號:F007
定價:380 元
張德明、施威銘研究室 著
我要線上購買 |
|
本期文摘:如何建立正確的簡報觀念?
本文摘錄自旗標 F007「3
小時做出簡報、3 天成為簡報高手」一書
我們以前的簡報之所以不成功, 最主要的因素就是我們對於簡報的認識不夠深刻。要做好一項成功的簡報, 可不能邊打邊想, 必須要先有完整且深入的瞭解,
才能按就班地獲得一切成功的條件, 讓簡報水到渠成、成果唾手可得。
簡報的重要性
簡報的重要性當然無庸置疑, 但如果你認為簡報之所以重要, 只是要讓台下的人點頭同意你的提案的話, 那就太淺薄了--這樣可是會大大地限制自己的發展的!
發揮影響力
簡報不只是讓你在台上毫無障礙地溝通、傳遞你的想法, 更是一個發揮影響力的機會。在台上不僅可以很清楚地表達自己的看法和觀念,
也可以讓別人更仔細地觀察你整個人的儀態與舉止--這是一個很難得的機會, 可以完整地呈現你自己, 它的效果不是書面撰寫、E-mail
或甚至一對一電話溝通所能達到的。
高效率溝通
一般而言, 簡報是一種一對多的傳遞方式。從溝通的理論和角度來講, 它是非常有效率的--這個效果可以是正面的、也可能是反面的--如果你傳遞的內容和傳遞的方式是錯誤的時候,
所帶來的負面殺傷力也是非常大的!反之, 如果你傳遞的方式是正確的、所呈現的形象是良好的, 它所帶來的正面效果, 可能勝過你寫很多的
e-mail、很多的文章或者是很多通的電話!
失之毫釐 差之千里
以香港賽馬的例子來說, 通常第一名和第二名的獎金可能會差到 5 倍、10 倍、數十萬甚至百萬港幣,
可是牠們之間的距離其實並沒有差到 5 倍、10 倍、百倍, 甚至有時也只差一個鼻子的距離而已, 可是牠們的身價卻有如此大的天壤之別!
以一個上班族來講, 不管是工程人員或者業務人員, 甚至是一個基層或中階主管, 都可能會發現別人的實力並沒有高你很多, 但是他的升遷速度、職位、或甚至有形與無形的報酬,
卻是你的 5 倍、10 倍、或甚至百倍之多!有時我們可能會怪運氣不好, 但這當中應該還有個很重要的因素:他不必贏我們太多, 可能跟我們只有一個地方有關鍵上的差距
(可能只是一個「鼻子」子的距離), 可是結果卻有天壤之別!所以對一個上班族來講, 必須仔細思考那個「鼻子」到底是什麼?那個微小的差距為什麼會造成這麼大的影響?
提高身價的捷徑
在台上溝通的能力, 應該就是其中很重要的一部份。有許多人很優秀, 但就是因為沒有機會站在台上去發揮他們的影響力,
或是他們曾經有過很好的機會、但卻沒有好好把握, 而錯失了呈現自己最好一面的時間點。
所以在這邊要特別強調, 簡報不只是把話講清楚而已, 它可能會對我們的職場生涯有關鍵性的影響, 也可能可以藉此改變別人的想法、發揮我們的影響力。在工作的職場當中,
簡報應該是值得專注投入的最重要事情之一, 它可以提升你在組織中的價值。
學習簡報最好的方法
要找到學習最好的方法, 就必須先瞭解自己, 這是千古不變的道理。
Johari Windows
在此我們引用 Johari Window 當作我們學習的 Growth Path (如圖)。就如同
Johari 所說的, 人其實分成 4 個部分, 一個部分是我自己知道、別人也知道的部分;另一個就是, 我有些盲點、但別人卻看得很清楚的;還有一個部分,
就是我知道、但別人卻不知道的;最後一個則是我不知道、別人也不知道的部分。
尋求台下的回饋
訓練簡報能力最好的方法就是, 藉著別人的回饋來瞭解自己所不知道的盲點。你可以找一群朋友對他們做練習,
或是每次做完簡報之後, 都虛心地請別人告訴你剛剛這場簡報的呈現方式、遣詞用字等等, 是不是有什麼地方不錯、或者有什麼地方可以作得更好的。
錄影反覆看
更重要的一個秘訣是, 最好能夠用錄影帶錄下來, 然後反覆地看, 看看有什麼地方可以調整的。因為在台上的時候,
會看不到自己的問題和毛病--那就是「背面的我」。藉著放自己簡報錄影帶的方式, 你可以不斷地提醒自己, 並發現自己在這一方面是不是需要改進。
學習名家
另外一個強化的方法是, 把電視上一些所謂的名家、一些成功在台上溝通的人士、甚至在選舉時一些政治人物在台上的表達方式錄下來,
然後反覆地看, 取其優點、避掉他們的缺點, 這也是一個非常重要的方式。
找武功秘笈
而最簡便的一種方式, 就是找到一本武功秘笈, 反覆地融會貫通, 不斷地提醒自己--這就是我們要出這本書的主要目的,
是比較偏重在實作上 面的。
--- 本篇完
|
|
| |
|
|
| |
........................................︽
........................................ |
|
| |
|
802.11 無線區域網路理論與實務
書號:F8748
定價:650 元
顏春煌 著
我要線上購買
| |
本期文摘:來自無線網路的攻擊【上】
本文摘錄自旗標 F8748「802.11
無線區域網路理論與實務」一書
無線的攻擊種類很多, 組織網路的有 3個層次 : core layer、distribution layer與access layer。無線網路多半位於access
layer, 不過來自無線的攻擊不限於access layer, 只要取得網路的使用權, 就可以長驅直入, 對系統產生各種安全上的危害。從另外一個角度來看,
WLAN是企業組織網路安全上的一個據點, 一旦失守, 將會產生後續的各種安全問題。認識了本章介紹的無線攻擊以後, 到了第16章再來看看有那些防禦的方法。
攻擊的序曲
想要進行攻擊的駭客通常都需要先對攻擊的目標進行資訊的蒐集(target profiling) , 掌握的資料越多,
當然攻擊力就越強。我們在介紹WLAN現場探勘的時候曾經看過一些工具, 可以用來進行測量與蒐集資料, 對於網路管理者來說是好幫手,
但是在駭客的手中, 則是發動攻擊的武器之一。
◇新知加油站
2000年末期出現war driving的名詞, 專指用來發現免費的網際網路存取通道的技術, 例如有人開車在市區閒逛,
試著發現無線網路, 找到以後利用軟體工具開始了解WLAN的SSID、是否使用WEP、使用的頻道, 以及IP子網路等資訊,
接著與網路關聯, 使用DHCP, 取得使用網際網路的存取通道。War driving不見得是一種犯罪的行為, 但是產生的結果或副效應有可能構成犯罪成立的條件。
|
WLAN的稽查工具(auditing tools)
要確保無線網路的安全並不容易, 即使運用了安全的措施, 還是要經常檢驗是否有漏洞或是弱點, 一般組織的安全策略(security
policy)都會要求進行定期的稽查(audit), 看是否有一些改變會造成安全上的問題。有很多工具可以幫助我們進行稽查, 這些工具同樣能幫助駭客入侵。
發現WLAN的工具
目前大多數的WLAN是Wi-Fi相容的DSSS網路, 所以市場上很多工具專門用來找尋這一類的網路。NetStumbler是Marius
Milner寫出來的工具, 可以用來發現WLAN, 支援多種無線網路卡, 是很多探索WLAN的人喜歡使用的工具, 有一些名詞專門用來稱呼這樣的人,
例如war drivers、war walkers、war flyers與war chalkers。
NetStumbler作業時掃瞄2.4 GHz到2.5 GHz的頻率範圍, 找尋AP或是對等式網路(例如IBSS)。NetStumbler找到AP的時候會顯示下列的資訊
:
- MAC位址。
- SSID。
- AP的名稱。
- 頻道。
- 製造商。
- 安全性, WEP機制on或off。
- 訊號強度。
- 假如有GPS設備則會顯示GPS座標。
假如稽查工具落入駭客的手裡, 有沒有什麼反制的方法呢 ? 有些方法可以降低稽查工具的效果, 例如使用假的AP, 只要一台裝有無線網路卡的電腦加上適當的軟體,
像Black Alchemy's FakeAP for Linux, 就能像一般的AP一樣產生Beacon frames, 通常駭客遇到這種情況可能會懶得再花時間去分析。
基本的802.11b的安全功能像MAC filters、WEP與封閉系統, 都可以隱藏SSIDs, 但是無法有效防止駭客的攻擊,
802.1x/EAP與VPN相對地比較有效, 除此之外, 員工與安全人員應該要有一些基本的警覺, 事先發現周圍環境中駭客的蹤跡。
◇新知加油站
稽查工具除了讓網路管理者了解網路的安全之外,也有可能淪為駭客的入侵工具,所以無線網路的探索在法律上有時候不太容易界定其合法性。即使在美國,各州的法律對於網路的入侵在定義上都還有差異。
|
密碼的擷取與解密
電腦的安全還是對密碼有很大的依賴性, 脆弱的密碼往往不堪一擊。駭客可以透過猜測的方式破解很多密碼,
由於密碼也會經由網路傳遞, 一般人開始警覺到無線網路中密碼被擷取甚至破解的可能。密碼加密(password encryption)是常見的安全機制,
例如Kerberos, 還有軟體工具可以專門用來檢視密碼的明文(clear text passwords) , 例如WinSniffer與ettercap。
與作業系統相關的工具
作業系統本身就是一種安全漏洞的來源, 有一些安全掃瞄工具可以自動回報作業系統的安全漏洞, 例如LANGuard,
以微軟的Windows作業系統來說, 就經常成為駭客下手的目標, Windows registry裡頭可能會記載一些預設的設定值,
入侵者可以利用遠端存取registry資料的方式, 修改應用系統的參數, 甚至複製WEP keys。
在網路上可以對作業系統發動全面的攻擊, 俗稱作業系統的指紋建檔(operating system fingerprinting)與通訊埠掃瞄(port
scanning) , 駭客先試著找出網路上有那些作業系統, 以及有那些開放的通訊埠, LANGuard可以用來自動進行這樣的資料蒐集。圖15-1顯示LANGuard廠商的網站。
分析的工具(analyzer)
無線協定分析器(wireless protocol analyzer)可以即時地擷取封包, 進行解碼,
同時篩選(filter)封包, 使用的頻段包括802.11b與802.11a網路所用的頻道。網路管理者可以透過無線協定分析器來發現一些安全的問題,
例如沒有加密的流量、rogue hardware、rogue software、範圍過大的cell, 或是暴露的IP位址。Layer
2與layer 3的加密可以防止駭客蒐集敏感的資訊, 例如WEP、IPSec與SSH2等。
應用層次的分析工具(application layer analyzer)可以擷取資料, 然後把資料重組成原來應用的格式, 提供給稽查者(auditor)。例如網路上即時傳訊(instant
messaging)的應用, 就可以利用應用層次的分析工具來取得雙方交談的訊息。其他像e-mail、使用者登入資訊或是網頁, 也都有可能利用應用層次的分析工具來取得相關的資料。
其他各種相關的工具或方法
網路的主要優點之一是檔案的共享, 不過有時候不當的設定會造成檔案曝光的風險, 假如共享的檔案跟系統或是其他檔案的設定有關,
而駭客知道如何利用這樣的漏洞, 則後續的安全風險是很高的。利用共享來推演得到入侵管道的方式也稱為share enumerators,
Legion可以用來快速掃瞄一個子網路, 列出開放的共享檔案。預防的方法包括移除不當的共享, 組織的安全策略可以明訂禁止對等式的檔案共享(peer-to-peer
file sharing)。
WLAN剛建置好的時候有很多設備還使用出廠預設的設定(manufacturer defaults) , 由於這些設定記載於使用者手冊中,
是公開的, 假如不改變的話, 很可能成為駭客下手的目標, 例如 :
- IP位址與子網路範圍。
- 設備的登入資訊。
- WEP金鑰。
- SNMP字串。
- SSID。
資訊的蒐集
網路管理可以透過稽查(audit)來了解無線網路的安全狀況, 除了一些管理與分析工具以外, 還有很多跟WLAN的安全相關的背景。通常駭客入侵時採取的第1個步驟是蒐集資料,
然後決定該如何入侵網路。假如安全措施健全, 會讓駭客浪費很多時間。
目標的特徵建立(target profiling)
目標的特徵建立(target profiling)是指先選擇一個攻擊的目標, 然後花時間來了解該目標的相關特徵,
由於網際網路上的資訊越來越開放, 很多資料都可以從網路上蒐集。通常會進行這一類攻擊的駭客都比較專業, 而且攻擊的目標有特定的價值。攻擊的時間可以專注而且拉長,
運用多種工具。
- 公共資訊 : 網際網路上有很多公共資訊, 其中不乏個人資訊, 駭客可以一面蒐集資料, 一面進行一些分析,
取得可資利用的資訊。
- 公開的WLAN地圖 : WLAN的所在逐漸變成一種公開的資訊, 駭客可以透過WLAN取得進入網際網路的管道。
- 搜尋引擎(search engine) : 搜尋引擎的功能越來越強大, 駭客可以針對攻擊的目標利用搜尋引擎來進行資料的蒐集,
試著找到密碼等有利於攻擊的資訊。
- 驅車式的攻擊(war driving) : 駭客可以進行所謂的驅車式的攻擊, 找尋鄰近的WLAN, 或是所經過的地點的WLAN。然後利用軟體工具來取得網路的使用權。
- 驅車劃記(war chalking) : 驅車劃記是war driver之間互助的方法, war driver在發現的WLAN附近劃記有關於WLAN的資訊,
讓其他的war driver得到線索。圖15-2顯示war chalking使用的表示方法。
多元化的滲透技巧
前面介紹了很多蒐集無線網路的工具, 這些工具可以讓駭客獲得不少寶貴的資訊, 不過隨著安全技術的進步,
很多漏洞都漸漸地被大家了解而事先做了防備, 這樣一來, 駭客只好尋找其他的方法來攻擊。所謂的社交工程(social engineering)就是一種比較非技術層面的攻擊,
主要是透過溝通來讓人提供一些有助於攻擊的資訊。那些人可能會有駭客所需要的資訊呢 ?
- 服務櫃台(help desk) 。
- 委外合約廠商(contractor) 。
- 員工(employee) 。
組織必須要讓相關的人員具備安全的警覺與防範的素養, 以無線網路來說, 有的資訊不適合公開讓外人知道, 例如AP的SSID、WEP
key、設備的位置、進入網路的使用者名稱與密碼, 以及設備在網管上的名稱與密碼等。駭客進行社交工程時可能會以半強迫又專業的語言,
但是又面帶無知的表情, 來引導對方不經意地道出重要的資訊。事實上稽查員也可以試著扮演駭客的角色, 看看社交工程能否突破組織的安全防護。
◇新知加油站
駭客取得網路的使用權以後可以對網路內的流量進行分析,了解資源的所在。在防護上可以建立所謂的誘捕系統(honeypot)
,例如以軟體來模擬網路上的電腦,誘使駭客發動攻擊,趁機蒐集駭客的資訊。 |
--- 未完待續
|
|
| |
|
|
| |
........................................︽
........................................ |
版權所有人:旗標出版股份有限公司 本電子報內容未經授權請勿轉載
|
|
