給NxO組織的資安實作建議(二)網站系統-地端租用空間

閱讀時間約 13 分鐘
本圖由Adobe Express產生

本圖由Adobe Express產生

從第二篇開始,我會以我的經驗(不足之處請多多建議),針對盤點過後的【資產種類】一一說明在資安上要注意的項目,您可以藉此檢視,您的系統是否要進行一些強化措施。

【資產種類】網站系統-地端租用空間(您不會進機房)

這個部分先不談組織自己建機房(或組織有租機房) 和 雲端(如:Azure) 的部分喔(後面的篇幅會談),這裡通常是您的組織和廠商(例如: 中華電信、遠振、捕夢網、戰國策、網軟...之類的)租了一個網站服務,有合作的開發廠商將網站的程式放在他們機房的主機中,讓民眾可以來連線這個網站,獲取我們組織的資訊(就是類似 官網 啦)。在您組織的作業中,您是不需要有人員到機房裡面管理電腦機器,網站系統的管理就全部委外了。

若您的資訊系統是屬於網站系統的類型,此類系統通常會分為 前台後台 兩個部分,以下分別說明:

前台部分

通常是給一般民眾使用。若您的資訊系統網站是只允許組織內某些同仁使用,並不開方給一般大眾使用的話,我們把他先歸類至後台系統,資安注意項目與後台相同,稍後再說。

以組織官方網站為例,公開給大眾看到的部分就是前台,因為是公開的,大家都可以連線上的,他的資安措施簡單建議如下:

1.要啟動 SSL 安全憑證。

就是人家連您網站時,網址列上至少要有 "鎖頭",代表是走 SSL 安全通道,避免傳輸的訊息被竊取。

另要注意,網站主機上 SSL 憑證到期日是什麼時候到期,要提前進行更換憑證(或 續約)動作,不要到期了不知道(如果您有啟用下述的 WAF,沒更新憑證,搞不好聯網站都連線不到喔),影響網站連線。

2.如果系統內有高機敏資料,建議加購 WAF(網頁應用防火牆)服務

舉例,如果網站是捐款網站,網站內的資料有捐款人姓名,聯絡電話...這就算是機敏資料了,那麼一定會有些人(駭客)嘗試竊取那些資料,它們會利用程式攻擊您的網站,嘗試撈取那些"可利用"資料出來,WAF 就是阻擋那些攻擊的服務。

WAF 的防護原理很簡單,當您啟用 WAF 服務後,廠商會幫忙進行相對應的設定,要進入您網站或流出網站的資料,會讓 WAF 先行檢查,進來的網路流 WAF 會看看是否夾帶有攻擊指令碼,流出去的資料也會進行一些過濾,看是否有可疑的機敏資料。

大概原理如上啦,但每家主機廠商的 WAF 可能不盡相同,就看您租用的廠商有什麼樣的 WAF 服務囉。

WAF 服務不便宜喔,一個月大概 10000 元台幣上下。看看貴組織能否考慮看看。

3.必要的話,請至少進行過一次網站的弱點掃描。

弱點掃描原則上是要花錢購買的(找網站服務商),以網站網域計價,一個網站要個八千元~一萬多一點吧(再殺個價),看您有幾個網站要進行弱點掃描!

若有規劃要弱點掃描,要跟 網站服務商 和 程式開發合作廠商 先講好,通常是挑晚上半夜來執行,比較不會影響網站的正常運作。

如果真的執行了弱點掃描,您會拿到一份弱點掃描報告,落落長,一堆英文(如果您有拿到中文版的請告知我一聲,我也想用那家公司的),沒關係,裡面有寫到 "重大缺失(可能會分三或五個等級)" 的,務必請網站程式開發廠商修正程式,修正好後,應該可以再掃描一次,至少要沒有中度以上的風險才可以。

另,若網站有進行重大改版之後(比如說網站程式大升級,下述!),是要考慮重新進行弱點掃描,確認改版後的網站安全!

4.前端使用的程式語言是否該升級

這可能是個大工程,網站的設計是透過各式各樣程式語言的,程式語言用久了,程式語言中的漏洞就會被發現的越來越多,這些程式語言的漏洞,慢慢就會被有心人士利用,因此網站程式語言(或主機上程式環境)的升級與改版,是必須定期(可能3~5年)更新的,但的確會是一個大工程,要確認廠商是可靠可信任的,再來進行,或者乾脆整個換一套新系統,或許也是個方法。

5.如果有會員機制,會員是否應該要定期變更密碼(或啟用二階段驗證呢?)

這個問題,就是視會員個人資料內,是否有機敏資料來做抉擇,如果有,其實應該要十分注意,做好基本防護是必要的。

您可以自己設身處地想想,如果您在某一個網站上,有您的聯絡資料,有您每次捐款的時間(或購物的明細),當有人打電話來,細數您的捐款紀錄,是否就能取得您的信任,然後您就被詐騙了呢?

若您網站有客戶資料,千萬要注意呀! 一定要善盡客戶資料保護責任。

6.網站的隱私權申明與個資使用申明

這點非常重要,務必要在網站上顯眼的地方放上隱私權申明與個資使用申明,這部分我沒有那麼瞭解,如果您網站上還沒有,要去網路上多查查資料,要去研究一下。
在此推薦一個網頁,可以過去看看範例與說明:
隱私權政策是什麼?網站絕不能缺少的頁面。


後台部分

後台的部分其實包含了內部系統(就是同仁操作,並不開放給大眾知道的系統,例如:個案管理系統)。

1.鎖定後台可進行登入的 IP

後台的使用者通常是有限的使用者,就以捐款系統,舉個實例來說,我們只允許後台的維護同仁在辦公室登入捐款系統後台,所以後台系統就只能接受辦公室的 IP 位置,只允許在辦公室連線。

後台的登入權限非常重要,務必最好能做到限制使用者的 IP,不是合法的 IP 就連登入介面都連不到(非法 IP 導址向前台網站),這是必要的。

2.登入時需要二階段驗證

除了鎖定使用者 IP 之外,後台每一個帳號登入時,一定要使用二階段驗證,花點錢請軟體廠商加上去,尤其,若您系統的使用情境是使用者無法在辦公室處理業務的,也就是無法讓使用者以固定 IP 登入的話,二階段驗證必不可少。如果沒有的話,快找網頁軟體設計廠商進行新增吧!

3.定期檢查使用者權限區分(必要的)

後台每個使用者的管理與使用內容的權限原本「應該」就有明確的律定了,但提醒您:

要定期檢視每個使用者的使用權(最小權限存取原則)是否要進行調整,因為使用者可能有其職務調動,或甚至調單位、離職...各種變化,若無定期檢視,可能會讓某使用者有不當的使用權限(或不該登入),增加資料不當使用的風險。

4.系統是否有要求後台使用者定期變更密碼功能

如果可以,系統最好有定期要求使用者變更密碼的功能。當然。若已經有二階段驗證,或許密碼的變更週期可以放寬一點,我個人覺得無妨。

5.登入與使用紀錄

系統一定要設計登入記錄以便事後查核,不只是登入,重要的後台動作都應有紀錄以供稽核或是後追查。若系統中有機敏資料,這部分一定要予以補強,而且,系統管理員要定期檢視或不定期抽查。

檢視的注意要點如下建議:

A.登入記錄是否有多次的登入錯誤? 登入的 IP 位置是合法的嗎(有鎖 IP 的話,應該不會有此問題)? 哪些使用者常常登入錯誤,總要去關心一下。

B.使用者登入時間是否有疑慮? 比如同仁凌晨三點登入系統,不會怪怪的嗎? 當然,系統如果有鎖定登入 IP,或許被人偷用的機率不大啦。但也要注意。

C.重要功能的使用頻率是否恰當? 次數如何? 使用時間是否合理。

其他,就自行想想囉。

6.下載(匯出)資料與外寄信件功能

如果系統有需要以 EMail 寄送資料 或 設計有大量資料的下載(匯出) 方式,請務必... 下載的資料要設計密碼保護,看是已經律定好密碼(不建議 or 需要定期變更),或是下載功能將檔案加密後,以 EMail 通知下載者密碼,此時,接受密碼的信箱一定要律定為組織(公司)使用的信箱,不能允許寄送到非組織(公司)擁有的信箱,也就是說EMail 出去的資料或密碼要在組織(公司)的控管之下,不能是外面的個人信箱。

若後台有這樣的匯出和信件寄送密碼的功能,後台的功能權限設計,要限制一般的使用者可以自行變更聯絡Email信箱的功能,或者在變更時要予以限制(特別鎖定或再次認證)和警示系統管理員,因為在一般狀況下,使用者在組織內信箱是不會變更的。會不會是有人入侵(或竊取到)使用者帳號,而嘗試想要匯出並收取密碼。這點要留意。

7.機敏資料在畫面上的顯示是否該顯示部分即可

若網站的後台有機敏資料,比如說: 身分證號,信用卡號(最好不要有)... 之類的,在進行個人資料查詢時,一定需要顯示出來嗎? 什麼情境需要顯示出來? 以上面這身分證號,信用卡號為例,需看到完整資料的使用情境應該是十分特定的,因此,該功能在權限上就應認真釐清哪些使用者可以用(特定少數),或者,使用(要看到完整內容)前要再度進行權限認證且此認證應該要有時效性(逾時操作應要再度驗證),以確保資訊安全。

8.資料庫內的機敏資料是否應該加密儲存

其實,我們的能力很難確認資訊廠商的資料庫保護措施如何? 萬一廠商的整個資料庫外洩(被打包下載),我們要如何保護(保證)資要庫中的個資不會被利用,這是一個相對困難的問題,因為(很久)以前的系統設計並不會考量到此一方面,而且此功能通常會影響系統效能,也不利使用者搜尋。

如果可以,某些特定非常機敏的資料,儲存到資料庫內時,可以進行加密後再進行儲存,如此一來,就算整個資料庫被下載,也無法以明碼直接看到資料了。這點參考一下囉,或者能否請廠商多多加強資料庫安全,以避免資料庫直接外洩的可能。

系統備份重點提示

備份很重要! 備份很重要! 備份很重要!

由於是租用網站的服務,機器不在自己組織中,所以只能信任廠商了,要跟廠商明確溝通以下的問題,了解他們的備份週期,與災難復原預估會需要多少時間。

以下可能會分成兩種情況(或許也有其他我沒想到的狀況啦):

1.您網站的合作廠商,整合服務,網站服務是一體包辦,只要付一份費用就好。

您使用他的服務,您不用管他主機在哪裡,反正付費(年、季、月)就有得用,有網址可以公布,有後台可以登入。一切都那個廠商負責,那麼簡單! 就問清楚他們的備份機制如何(有沒有異地備援)? 備份頻率如何? 最好有到每日備份,"應該"就可以了。

至少要去問喔! 雖然可以說是一切託管,但,有時候是不問不知道,一問嚇一跳。如果他們回答的支支吾吾,要小心,一定要問到明確資料。

2.網站軟體設計有廠商,機房還有廠商,兩邊都有費用。

這有點複雜:

A.問一下機房廠商那邊,我們組織的主機(或 租用空間),備份機制如何呢? 有沒有異地備援呢? 通常是沒有(如果要異地備援,要花錢買喔)! 備份頻率如何? 最好有到每日備份,就可以了。

機房廠商通常會有基本備份的,原則上您租用的空間,裡面就會有一份網站程式在了,所以機房廠商備份時,會連程式一起備份到,但,反而,要特別再詢問一下資料庫的備份情況與頻率如何,以我的經驗來說,因為我們之前是租用獨立主機,整機備份時自然會連資料庫一起備份到,但若您租用的只是某台主機的某部分空間(就是和別人家和租啦),我就不確定他們的資料庫的備份情況如何了,資料庫說不定是在您們租用空間外的其他主機,要特別問一下。

如果您組織的網站服務,是有機房的話,要多花點心思跟機房端問清楚資訊喔!

B.網站軟體設計廠商那邊,也要問一下網站程式的備份狀況

續上所述,補充說明: 網站軟體設計廠商~ 通常是不會幫忙備份網站資料庫,因為如果他們有幫忙備份資料庫的話,那麼,您組織的資料,廠商有一份,不是很奇怪嗎? 他們不該擁有資料的,私下探尋一下,要注意,如果程式設計過程需要資料,應以測試資料來進行,不建議使用正式資料。

網站程式通常是網站的程式的合作廠商會有最新版,所以原則上,只要有保持好良好的合作關係,風險不大(公司倒掉、設計師離職不算啦),每年有交保護費(維護費),他們手邊應該會有最後更新的版本。

就問問您們程式有好好地備份吧?,"通常" 就可以了。

系統災難復原提示

以下只是通則參考,不是標準或一定要如此。而且以下內容寫得很隨便,可能實際狀況不如以下輕描淡寫就可以解決的。

1.廠商聯絡電話與聯絡人資訊

網站軟體設計廠商的和機房的,平時就要準備好。

2.釐清問題發生原因

如果網站沒有任何反應(完全連線不到)通常是機房的問題,先找機房詢問。若連得到網站,只是某些網頁錯誤,或者網站被入侵,網頁被篡改過的,先聯絡網站軟體設計廠商。

網站被入侵,網頁被篡改過~ 其實問題就很大了,硬體和軟體廠商都要聯絡,釐清問題,加強軟硬體資安。(見下方第四點)

3.請相關廠商復原或修正

如果是機房廠商主機壞了,他們應該會有備援機,使用備援資料復原。也有可能是主機零件壞了、硬碟滿了...不是很大的問題,換個零件重新開機後通常就正常了。

4.是否產生資安危害

如果有產生資安危害(如資料外洩,或網頁內容被篡改...等),問題就複雜了,有資安危害,第一步是報警。而後,前文提過的應變小組就要開始運作了。

此時要跟廠商討論的是: 要不要先關站,然後請廠商調出後台登入記錄,調出網站連線記錄,一方面可能需要轉交警方,另一方面,要從此記錄中找出蛛絲馬跡,了解是如何被入侵與資料外流的。

... 情況繁雜與複雜,要耐心處理,一定要釐清原因,修補資安漏洞後(如: WAF 和 弱點掃描),網站才能再度開放。

5.系統復原或修補漏洞後,開站。

結語與作業

如果您組織中有此類系統,請認真想想,您主機內資料的機敏程度,並檢視 前台 與 後台 是否還有需要加強資安措施喔。如果不知道如何與廠商溝通,也可以直接分享此文章給合作廠商,讓他們看看,他們是否有什麼想要建議的。


34會員
88內容數
然而,這個世界是多元性的,人生也是。
留言0
查看全部
發表第一個留言支持創作者!
多元人生記事錄 的其他內容
注意! 我並非什麼資安專家,因此,以下的文章內容,純粹是個人在組織內的做法分享,不符合任何法規或所謂的「標準做法」,若您有更好的做法,請多多給予建議,我們可以一起前進(或請您帶領我們前進)。
老實說,這個錯誤訊息實在不太明確... 這個問題,我測試了一下,在您登入電腦時,若使用 Office 365(microsoft 365) 帳號登入,就會出現。但若用電腦本機的帳戶登入,遠端桌面就沒有此問題。蠻妙的! 或許,Office 365 有啥安全性的措施吧! 不知道真相是啥? 哈哈!
由於我個人英文能力實在不太好,經常查一些電腦相關資訊查到一些英文網頁或英文影片去了,英文網頁還好,慢慢看~還能看出個端倪,了不起來個整篇翻譯,還是大概能看懂。 影片~ 雖然 Youtube 是有自動翻譯成中文字幕的功能,但... 如果是看稍微技術方面的影片,我常常看得是一個頭兩個大。
如果想看官方文件的話~ 請看 使用 Azure 監視器監視虛擬機器,我是有看沒有懂啦~ 以下,我直接以我能了解的方式,進行實作。 一般而言,從「概觀」功能下的「監視」~可以看到一些主機的運行狀況。
最近發生的事~ 容我模糊的講,我們發生問題的電話主機是這一台(NEC SL1000),此一連結是網路上搜尋到的一篇說明手冊 PDF 檔案。 受駭單位原本有四線電話,某日發現其中兩線電話怪怪的,而且電話機在沒人撥打情況下,電話機會出現佔線情況,於是他們就自己測試了電話,發現,該兩線打進去,會被轉..
我發現,我在 2023/7/12 日起,Office 365 內管理者帳號,會收到幾封 Office 365 的一些提示信件,信件內共通的內容是會有一行 Questionable URLs detected in message...
注意! 我並非什麼資安專家,因此,以下的文章內容,純粹是個人在組織內的做法分享,不符合任何法規或所謂的「標準做法」,若您有更好的做法,請多多給予建議,我們可以一起前進(或請您帶領我們前進)。
老實說,這個錯誤訊息實在不太明確... 這個問題,我測試了一下,在您登入電腦時,若使用 Office 365(microsoft 365) 帳號登入,就會出現。但若用電腦本機的帳戶登入,遠端桌面就沒有此問題。蠻妙的! 或許,Office 365 有啥安全性的措施吧! 不知道真相是啥? 哈哈!
由於我個人英文能力實在不太好,經常查一些電腦相關資訊查到一些英文網頁或英文影片去了,英文網頁還好,慢慢看~還能看出個端倪,了不起來個整篇翻譯,還是大概能看懂。 影片~ 雖然 Youtube 是有自動翻譯成中文字幕的功能,但... 如果是看稍微技術方面的影片,我常常看得是一個頭兩個大。
如果想看官方文件的話~ 請看 使用 Azure 監視器監視虛擬機器,我是有看沒有懂啦~ 以下,我直接以我能了解的方式,進行實作。 一般而言,從「概觀」功能下的「監視」~可以看到一些主機的運行狀況。
最近發生的事~ 容我模糊的講,我們發生問題的電話主機是這一台(NEC SL1000),此一連結是網路上搜尋到的一篇說明手冊 PDF 檔案。 受駭單位原本有四線電話,某日發現其中兩線電話怪怪的,而且電話機在沒人撥打情況下,電話機會出現佔線情況,於是他們就自己測試了電話,發現,該兩線打進去,會被轉..
我發現,我在 2023/7/12 日起,Office 365 內管理者帳號,會收到幾封 Office 365 的一些提示信件,信件內共通的內容是會有一行 Questionable URLs detected in message...
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
說到暴政,我們可以很容易指出幾個政權,也可以指出他們做了哪些事迫害無辜的人,但當我想到要怎麼定義「暴政」或「極權專制」,在制度上的說明詞彙就會在腦中形成模糊的概念,什麼也說不出來。我讀這本書主要是想更了解暴政具體會怎麼實踐,而我們該如何警惕,可以做些什麼。
親愛的兒子,上次提到如何進行資產配置。就一直股債80/20配置下去?然後呢?要不要賣出?何時賣出? 80/20是20多歲年輕人的股債配置,30歲就股債70/30配置,40歲就股債60/40配置。股票大漲後配置有可能自然而然變成股債85/15,此時就賣出股票,轉成債券,比例又調回80/20,叫做再平衡
投資自己也是好的投資! 如何投資自己?養成良好的三習慣!一是閱讀的習慣;二是運動的習慣;三是理財的習慣。 閱讀的習慣可以讓你博覽群書、鑑古知今、鍛鍊文筆、學習新知、探究學問。英文或外語要學好,才能打國際杯! 運動可以讓你活動筋骨、強化心肺功能、頭腦清晰、身體健康、團隊合作。慢跑、打球、游泳、、、都是
親愛的兒子,股市開戶後,電子下單軟體裝好後,就像學習電腦軟體一樣,練習買進與賣出就可以開始股票買賣了。當然,必須留意戶頭中有多少錢,以免違約交割(買太多,沒有足夠的錢進行交割)。 建議你一開始買ETF,什麼是ETF?ETF是exchange traded fund,簡單來說,是一籃子股票,是一堆股票
股票是什麼?是公司在市場上發行的股份,買了就是股東,公司賺錢要分給股東!簡單又容易懂。公司賠錢呢?股價下跌也不發股息。所以買賣股票要知道風險與利潤是相伴而來的。 方式:低買高賣就賺錢,其他包括手續費、稅費、配股配息、除權息、交割、開盤收盤、、、慢慢學嘍! 到券商開戶買股票:開戶然後下載軟體線上買股票
Thumbnail
如果有「最好的人生」,這種模板,可以讓每個生命的長成,作為楷模般一部按圖索驥地走去,那「在人生裡過的最爽的人」這種模板,會是什麼樣子呢? ! 閱讀不只是用來區分知識與資訊的差別而是內容深度,讓我們能透過像顯微鏡下的切片,看見別人生命深邃之處,與此相遇,也可能是靈魂碰撞或只是被啟發了。
Thumbnail
不少家長擔憂:如果學童戴的是「手錶型兒童智慧手機」,會不會讓孩子在應該專心上課時,難以抵擋各種社群 App 和遊戲的誘惑?而大家吵得最兇的議題,就是這些兒童智慧手錶的資安疑慮。
      ”哈利波特"這部電影相信大家都耳熟能詳;電影裡的鄧不利多教授在辦公室養了一隻鳳凰,牠的眼淚可以加速傷口癒合,而且牠還有一個神祕的力量--"重生",並在重生中得到新的昇華......然而,大家都只知道牠有多厲害,卻忽略了在鳳凰獲得重生之前,牠需要經歷一段多麼巨大的痛苦和輪迴......
Thumbnail
那扇窗富麗堂皇,一片、兩扇、多張,緩緩地,漸漸地如行板般舒醒著,太陽光芒慢慢地隨時光撒在走廊上,太陰與太陽交接持續閃耀,那飽滿的黑暗漸有層次,使的這巴洛克建築好似天界珍珠被賜予人類一般,伴隨著菊色皇徽與伊斯蘭風情,就靜靜的矗立在島嶼之北,紫葡萄與綠葉銘刻於灰牆之上,成就了不凡的奇蹟。
Thumbnail
Morten T. Hansen 高績效心智 工作績效的研究分為組織與個人兩種派別,前者強調學習效率,像是Stan與Vermeulen的學習迴圈或者其他人提出的學習曲線。後者則是前陣子討論到Erics
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
說到暴政,我們可以很容易指出幾個政權,也可以指出他們做了哪些事迫害無辜的人,但當我想到要怎麼定義「暴政」或「極權專制」,在制度上的說明詞彙就會在腦中形成模糊的概念,什麼也說不出來。我讀這本書主要是想更了解暴政具體會怎麼實踐,而我們該如何警惕,可以做些什麼。
親愛的兒子,上次提到如何進行資產配置。就一直股債80/20配置下去?然後呢?要不要賣出?何時賣出? 80/20是20多歲年輕人的股債配置,30歲就股債70/30配置,40歲就股債60/40配置。股票大漲後配置有可能自然而然變成股債85/15,此時就賣出股票,轉成債券,比例又調回80/20,叫做再平衡
投資自己也是好的投資! 如何投資自己?養成良好的三習慣!一是閱讀的習慣;二是運動的習慣;三是理財的習慣。 閱讀的習慣可以讓你博覽群書、鑑古知今、鍛鍊文筆、學習新知、探究學問。英文或外語要學好,才能打國際杯! 運動可以讓你活動筋骨、強化心肺功能、頭腦清晰、身體健康、團隊合作。慢跑、打球、游泳、、、都是
親愛的兒子,股市開戶後,電子下單軟體裝好後,就像學習電腦軟體一樣,練習買進與賣出就可以開始股票買賣了。當然,必須留意戶頭中有多少錢,以免違約交割(買太多,沒有足夠的錢進行交割)。 建議你一開始買ETF,什麼是ETF?ETF是exchange traded fund,簡單來說,是一籃子股票,是一堆股票
股票是什麼?是公司在市場上發行的股份,買了就是股東,公司賺錢要分給股東!簡單又容易懂。公司賠錢呢?股價下跌也不發股息。所以買賣股票要知道風險與利潤是相伴而來的。 方式:低買高賣就賺錢,其他包括手續費、稅費、配股配息、除權息、交割、開盤收盤、、、慢慢學嘍! 到券商開戶買股票:開戶然後下載軟體線上買股票
Thumbnail
如果有「最好的人生」,這種模板,可以讓每個生命的長成,作為楷模般一部按圖索驥地走去,那「在人生裡過的最爽的人」這種模板,會是什麼樣子呢? ! 閱讀不只是用來區分知識與資訊的差別而是內容深度,讓我們能透過像顯微鏡下的切片,看見別人生命深邃之處,與此相遇,也可能是靈魂碰撞或只是被啟發了。
Thumbnail
不少家長擔憂:如果學童戴的是「手錶型兒童智慧手機」,會不會讓孩子在應該專心上課時,難以抵擋各種社群 App 和遊戲的誘惑?而大家吵得最兇的議題,就是這些兒童智慧手錶的資安疑慮。
      ”哈利波特"這部電影相信大家都耳熟能詳;電影裡的鄧不利多教授在辦公室養了一隻鳳凰,牠的眼淚可以加速傷口癒合,而且牠還有一個神祕的力量--"重生",並在重生中得到新的昇華......然而,大家都只知道牠有多厲害,卻忽略了在鳳凰獲得重生之前,牠需要經歷一段多麼巨大的痛苦和輪迴......
Thumbnail
那扇窗富麗堂皇,一片、兩扇、多張,緩緩地,漸漸地如行板般舒醒著,太陽光芒慢慢地隨時光撒在走廊上,太陰與太陽交接持續閃耀,那飽滿的黑暗漸有層次,使的這巴洛克建築好似天界珍珠被賜予人類一般,伴隨著菊色皇徽與伊斯蘭風情,就靜靜的矗立在島嶼之北,紫葡萄與綠葉銘刻於灰牆之上,成就了不凡的奇蹟。
Thumbnail
Morten T. Hansen 高績效心智 工作績效的研究分為組織與個人兩種派別,前者強調學習效率,像是Stan與Vermeulen的學習迴圈或者其他人提出的學習曲線。後者則是前陣子討論到Erics