虛擬化的備份與還原策略

根據 How to follow the 3-2-1 backup rule with Veeam Backup & Replication本文，有以下三大原則，非常重要。

1. 同樣資料最好要有三份備份，這也是最低要求。

2. 儲存媒介必須是兩種完全不同的媒介。根據此原則，你不能夠儲存磁帶兩次，或是擺在雲端兩次當作不同份的備份。

3. 至少保存一份資料在不同地理位置。因此，異地備份是非常重要的。

理想策略情況是：磁帶備份、異地備份、雲端備份同時存在，避免資料損失所造成的衝擊。
在成熟運轉的企業環境中，備份與HA(High Availability)同等重要，在災難還原演練當中，兩著都扮演著不可或缺的角色。

接下來是還原計畫，還原就相對單純的多，但是先有還原才有備份，必須先確定還原需要哪些資料確保還原成功，才開始估算要備份下多少資料。如果還原測試不能夠確實演練，備份將會流於形式上的運作，因為無法確定這項備份能夠被還原就是無效備份。

還原要點有以下各點：

1. 還原的資料的時程估算，這通常可以理解為歷史資料的平均，然後加上人為操作的時間去估計需耗掉多少時間。

2. 步驟先後順序。如果這是一個區域性的大災難，那我們必須要先起哪些服務，例如：從實體設備購置，到作業系統還原，資料復原計劃，還原原有服務的順序如何備執行，哪些可以同時間被執行，通常必須包含硬體跟軟體兩個大範圍。

3. 服務可以忍受被中斷的時間。當一間企業並不能忍受這樣的服務被中斷時，應該考慮HA機制，而不是更快的還原計畫，畢竟還原計畫再快也是需要人去執行，而不是全自動化。

根據以上資訊就能打造出一系列的備份還原SOP，而且是高可用與高可靠性的，當然，評估這些計畫往往幾落實花上更多的時間，希望以上的解釋會對企業MIS有所幫助。

CISSP領域重要名詞釋疑 - 案例學習：避免風險 與 定性定量風險分析

案例學習：避免風險

有一間公司在線上銷售Apple iPods。基於安全考量，每一次客戶進行購買都需要重覆輸入信用卡密碼。這麼作可以避免存儲信用卡資訊在網際網路上的風險(例如他們可能更容易被盜)。
基於客戶的反饋，再重複購買的客戶裏面有有可以提供”儲存我的信用卡資訊”功能。一旦新功能被提出伴隨著就是風險分析的評估，該事業群也會記算投資回報此功能的比率。風險分析表示，信息安全架構需要顯著改善，以安全的面對網際網路系統存儲信用卡資訊。

這樣做還必須要更嚴格的支付行業(PCI)的審議，增加相當數量的人員工作時間，並且增加TCO的總成本。

一旦所有所有費用都被記錄下來，該TCO超過兩倍的投資回報率。該公司決議為了避免風險，並沒有實現儲存信用卡資訊的功能。

定性與定量風險分析

定量與定性風險分析為風險分析的兩種方法。

定量的風險分析使用的是硬性的單位，例如：美元。定性的風險分析使用的簡單的近似值。定量是比較客觀的，而定性比較主觀。

考試警訊

定量的風險分析要求你去計算你所要保護的資產。定量是考試時必須謹記的重點。

統計ALE(年度預期損失)就是一個定量風險評估的例子。輸入ALE有兩個重要的數字：AV(固定資產)美元計價，風險因素(以百分比顯示)和年發生率(硬數字)。

在風險分析矩陣當中，就是一個定性的風險分析案例。可能性和後果是比較粗糙的值，範圍從1-5。真對一個有一定程度風險的事件很容易發生給與4或5的辯論。

定量風險分析是比較困難的：定量風險分析的地震破壞數據由於地震中心提供，你需要計算資產數據中心的價值：建築成本，伺服器，網絡設備，計算機機架，顯示器等，然後計算出曝光係數，依此類推。
定性分析同樣的風險，你會研究的風險，並同意該可能性是2，而其後果是4，並使用風險分析矩陣確定的風險“高”。

CISSP領域重要名詞釋疑 - 風險接受的準則 降低風險 與 轉換風險

風險接受的準則
低可能性與影響小的風險可以被風險評估接受。高頻率與影響範圍大的風險不能被接受。這裏有些案例，例如立法規定和法規規範的數據保護或，危害人類生命或安全的，這些風險接受就不會成為選項。

降低風險
降低風險意味著將風險降低到可以被接受的程度。在筆記型電腦加密的案件中，年前預期損失部分給與加密就是風險減輕的例子。筆記型電腦被盜所損失的個人資料資訊通過加密數據獲得緩解，風險並未消除到安全：過弱的密碼或是可能暴露的個資，但風險已經降低到一個可以接受的水平。

在某些案例中，風險可以被完全的消除，這就是所謂的消除風險。

轉換風險
轉換風險是一種”保險模式”。就像多數人並不承擔房子火災風險，而由保險公司去承擔，保險公司是由專家在作風險分析，買入風險是他們的事。如果發生火災的年平均貨幣分險，每1000家為$500,000($500/house)，他們出售1000家火災的保單是$600/year，則他們會有20%的利潤。當然前提是他們已經正確的評估出風險。

關於AP IOS升降版初始化找不到tftp server的問題

昨天在Nike與公司環境都有發生過初始化AP的問題，以下針對AP開機按住Reset Button將預設IP設定回10.0.0.1，卻無法連上同網段Tftp Server時提供解決方式。

以下幾行為在AP上進行設定的關鍵指令，請參考：
debug capwap console client
debug capwap client no-reload

archive download-sw /overwrite tftp://10.66.74.250/ap3g2-k9w7-tar.default
最後一行請改成相對應的邏輯路徑，AP即可利用IP位址從Tftp Server端下載指定的IOS。

CISSP領域重要名詞釋疑 - 風險選擇 與 同意風險

風險選擇
每一次我們風險評估，我們總是決定要如何去做。選項包含接受風險、減輕或者消除風險、轉換風險、避免風險。

同意風險
某些風險可能被同意：在同樣的案例中，該資產的價值低於被保護的風險，低於保護它所做出的效益(以及所花費的金錢)。這並不是一個無知的決策，所有風險造成的影響與同意風險前的考慮。

案例學習：同意風險
一間公司進行風險分析，確定大型主機是風險來源。該大型主機不再用於新的交易，他僅進行歷史資料的運作。隨著時間推移，硬碟故障回復能力降低，硬體的保固年限，支援合約的服務到期並且沒有續約，大型主機的服務人員陸續離開。公司沒有信心當資料遺失後還能夠成功救回及時的數據，如果它發生的話。

這些歷史資料必須維持在線上長達六個月或更久，才會轉換到新架構的系統。所以有需要進行即時的備份嗎？有必要購買新的大型主機與購買支援服務和聘用外部大型主機專家嗎？

風險管理團隊要求團隊支持下載升級檔，”如果明天這些數據消失了，會發生甚麼情況，前六個月的新檔案去留？” 答案是：該公司可能在期中的使用紙張記錄數據，這將會是一個小的操作上的不便。沒有法律或法規禁止的這一類計畫。

該公司決定接受失敗的數據存檔灰復，評估主機故障後的風險。請注意，這個決定是經過深思熟慮的。利益相關方面進行了協商，對運行的影響層面進行了評估，並針對法律和法規進行了審議的結果。

Understanding the Cloud Computing Stack: SaaS, PaaS, IaaS

軟體即服務（SaaS）Software as a Service
平台即服務（PaaS）Platform as a Service
基礎設施即服務（IaaS）Infrastructure as a Service

看一下Rackspace對於這三者的解釋。
Rackspace是全球三大雲計算中心之一，1998年成立，是一家全球領先的主機託管及雲端運算提供商，公司總部位於美國，在英國，澳大利亞，瑞士，荷蘭及香港設有分部。

RUCKUS WLC LAB

RUCKUS WLC(Wireless LAN Controller) 與 AP(Access Point) 的初始化設定步驟與報告。

Word 連結文件下載