談向下管理
Wednesday, September 27, 2006, 11:55 - 管理自修筆記
最近單位裡要進行組織調整,由於要進行整併,所以勢必管理職位的數目會受到影響。在面臨選擇時,除了考量此管理人選過去績效的表現外,可能更必須要考慮到的是這個人選向下管理的能力。如果說績效表現是向上管理的能力,那麼是否能讓你的團隊能夠認同你,與你一起打拼是向下管理很重要的一件事。

在談到向下管理的時候,似乎大部分人都談到怎麼授權,而這常常會導致很多的中階管理人因為這樣的一個認知,把自己只當成命令的傳聲筒,於是很多衝突就因此而生。而當這樣的衝突發生時,對中階經理人來說是最痛苦的事,因為他會變成兩面不討好的夾心餅乾。要避免這樣的問題發生,中階經理人在收到上層交辦的指令時,我覺得有幾個重點要把握:

  1. 這樣的任務執行的達成率為何? 如果這個任務不是Mission Impossible,那麼當然是以盡力達員成目標為第一要務。但很多時候任務的達成率是不可能百分之百的,而且在把工作下達時,底下的同仁最常見的反應會是:「你為什麼又去攬了一個這樣的工作回來?」所以中階經理人在接到棘手的任務時,最好不要讓上層主管感到你排斥的心態,但同時又要能讓上層主管知道預期的執行風險。
  2. 向下交辦任務的員工過去的工作心態為何? 這點其實是真正影響工作完成的重要因素,因為很多時候,工作的困難度不是關鍵因素,誰來執行才是關鍵因素。有心的員工,再困難的工作他都會想辦法完成,推託的員工,再簡單的工作也永遠找的到沒辦法完成的藉口。因此如果向下交辦任務的員工是負責任的,那麼放心的授權加上定期的工作檢視就足夠了。但如果是推託的員工那麼就必須要做到下面一點:儘早釐清執行方式與重點。
  3. 儘早釐清執行方式與重點。這點對於常會推託的員工是必須的,因為如果中階主管只把工作交代下去,然後期待下次開會就會有進度,那幾乎是癡人說夢。所以中階經理人必須要跳下來參與工作前期的討論,儘早釐清執行方式與重點,並且與員工達到共識。只是中階經理人自己有沒有料很重要,我們剛剛講的有些中階經理人自己把自己當成命令的傳聲筒,常是因為中階經理人自己不用功,提不出好的執行想法,因此只有以命令的傳達來掩飾自己的心虛。
  4. 技巧性的利用你的老闆。有時候對一些比較「頑劣」的員工,可能還需要技巧性的在討論工作時,讓上層主管也在場。這可以讓員工感覺到這個工作是大老闆重視的,因此「頑劣」的員工畫押之後,就比較不敢再找推託的藉口。
  5. 讓員工覺得你是跟他們站在一起的。有一個小技巧要注意的是,因為中階經理人有時並沒有太多的權限,尤其是專案經理,因此必須要保持著自己是協調人而非自己是老大的心態,讓同仁覺得你是跟他們站在一起的,而非對立的兩方。同時很重要的是,所謂的站在一起不是站在一起罵上頭。


[ 發表回應 ]   |  permalink
何謂Botnet
Monday, September 25, 2006, 12:00 - 資訊電腦, 資訊安全
從Google Analytics淺談科技的誤用這篇部落格裡,我有提到Botnet的定義,Bot 為 Robot 機器人之簡稱,意指「一個可像機器人一樣遠端控制的程式」。Bot 更是駭客利用已知的漏洞控制機器的方法之一,攻擊者只需向 Bot 遙控程式發送特定指令,受控制的每一台PC皆會根據指令做出對應的行為。

Bot 主要是藉由 IRC 管道遠端控制受感染的系統,攻擊者可下攻擊指令,發動所有殭屍電腦攻擊指定網址,或尋找有漏洞電腦,然後不斷地進行複製,讓有漏洞電腦也成為機器人網路/殭屍網路的一員。

駭客可輕易偷取殭屍電腦應用程式的密碼、終止系統運作、download /upload上 file、掃瞄開啟的port,或是接手其他駭客種下的後門程式加以改造入侵系統。

這群被植入 Bot 程式的電腦形成一個殭屍網路(Zombie Network)或機器人網路(Botnet) 的成千上百的節點,它們亦成為阻斷服務攻擊 (DDoS)或漏洞攻擊亂槍掃射的發射台。

不過文字總是比不上圖片,圖片又比不上動畫。剛好在BusinessWeek的網站上看到說明Botnet的Flash動畫,相信一般的使用者看過之後對上述的文字會比較有深刻的了解。

Source: BusinessWeek


[ 1 回應 ] ( 34預覽 )   |  permalink
VML零時差弱點入侵展示
Sunday, September 24, 2006, 19:04 - 資訊電腦, 資訊安全
我想絕大多數不在資訊或資訊安全領域的人,即便看了前面幾篇有關零時差攻擊的部落格,大概對於這個問題的嚴重性還是很難有感覺。國外的資訊安全研究公司Websense針對這個問題,特別製作了一段video來展示這個問題的嚴重性。

這段video是在9/21剛錄製完成,影片一開始就告訴觀看者,畫面上顯示的電腦環境是Windows XP, Service Pack 2,而且所有微軟已經公佈的弱點都已經修補完了。接著畫面顯示以IE瀏覽器瀏覽一個目前被發現實際存在有VML零時差攻擊程式的網頁[註],接著畫面顯示再以IE瀏覽器開啟PayPal網站,同時以PayPal的帳號與密碼登入PayPal網站。

到此為止,使用者完全感覺不到他的電腦有任何不對勁,接著Websense的專家就開始解釋背後到底發生了什麼可怕的事。首先在使用者瀏覽實際存在有VML零時差攻擊程式的網頁中,隱藏有一個看不到的iframe,這個iframe裡面就被黑客(Cracker)埋藏了VML零時差攻擊程式。當使用者瀏覽這個網頁時,事實上電腦裡已經被植入了一個鍵盤側錄程式,這個程式會把使用者在瀏覽器中打的所有字都偷偷的側錄下來,並傳回去給黑客。影片中將這個鍵盤側錄程式所錄到的PayPal帳號與密碼都顯示出來了。

有興趣看這段影片的人,可以點選此連結下載觀看。建議最好在全螢幕模式下看較為清楚。

[註] 在Netcraft上有報導一家叫做HostGator的Web Hosting公司遭入侵,並被利用作為VML弱點攻擊。

[ 1 回應 ] ( 6預覽 )   |  permalink
目前如何避免IE VML弱點影響你的電腦
Sunday, September 24, 2006, 18:30 - 資訊電腦, 資訊安全
最近在資訊安全領域最熱的新聞之一就屬微軟的向量標記語言(Vector Markup Language, VML )弱點。這個弱點發生的原因是由於微軟在產生向量圖形(Vector Graphics)的程式庫vgx.dll中有緩衝區溢位漏洞,即使是完全修補的Windows XP SP2系統,使用者在瀏覽到利用了此弱點的網頁後,使用者電腦便會被植入惡意的後門程式。並且vgx.dll同時也被微軟的電子郵件軟體Outlook使用,即便使用者僅是預覽郵件(以HTML格式),使用者電腦同樣會被植入惡意程式。目前會受到影響的Outlook版本可以上Sunbelt公司的部落格查。

Sunbelt軟體公司首先在色情網站中發現利用此弱點的惡意網頁,後來VeriSign的 iDefense 團隊發現該程式碼可以在郵件中被執行,即使用戶只是預覽郵件並未進行開啟信件或是點選連結等動作,該惡意程式仍可趁機進入電腦。目前這個程式碼已經在病毒網站間快速流傳,由於該程式碼可以輕易被人複製使用,因此可能造成相當大的問題。

目前要避免IE VML弱點影響你的電腦,除了等待微軟公佈補丁程式或是去下載ZERT所公佈的補強程式外(只是真要安裝3rd party的補丁程式還是讓人怕怕的),也可以透過簡單的設定來避免這個問題。目前專家建議的做法包括:

  • 改用其它的網際網路瀏覽器產品,例如FirefoxOpera
  • 使用純文字格式瀏覽郵件
  • 微軟建議的反註冊Vgx.dll檔案workaround
    1. 點選「開始」-->「執行」-->輸入cmd,按下確定。
    2. 輸入:regsvr32 -u "%ProgramFiles% \ Common Files \ Microsoft Shared \ VGX \ vgx.dll"
    3. 出現一對話方塊確認反註冊已經成功,按下確定。
    未來微軟釋出的補丁程式應該會再啟動vgx.dll,若vgx.dll沒有被啟動,可以重複上述的動作1,然後輸入:regsvr32 "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll"


[Note] 較深入的資訊可參考Windows VML Vulnerability FAQ (CVE-2006-4868)

[ 發表回應 ]   |  permalink
One Web Day
Sunday, September 24, 2006, 16:36 - 資訊電腦, 網際網路
延續昨天的話題,網際網路已經不可能消失,而且它會以我們無法想像的方式滲透到我們的每一個生活細節裡,不論你喜歡與否。最近國際上有人提出一個叫做One Web Day的線上活動。這個活動的想法是希望號召「實體地球」上的每個人從2006年開始,每一年的9月22號來慶祝Web。選擇9月22號的原因是因為OneWebDay是受到世界地球日的啟示,同時為了表示對世界地球日─每年的4月22日的尊敬,所以選擇這天為OneWebDay。

想參與OneWebDay的人,可以到OneWebDay所設立的ProjectWiki網站上,把你想慶祝的想法寫下來,OneWebDay將透過這個網站媒合與你想法類似的人,一起來舉辦活動。OneWebDay的網站提出了一些可能的慶祝方式,包括

音樂的網路混合服務(mashup) [註]
用投影片或在flickr網站上用照片做出OneWebDay的手勢
口述Web如何改變我的生活
我怎樣在網路上發現我的工作
我怎樣在網路上交到朋友
Web對我的意義
我怎樣在線上工作
教你的祖母寫部落格
教市長寫部落格
把你的數位照片放上網
為你的俱樂部、教堂或學校製作一個網站
把你的街坊登記在Wikipedia上
收集你鄰居的電子郵件地址,並做成鄰居互動的mailing list
企業可以為在家工作的員工舉行線上虛擬會議(virtual meeting)
員工可以教你的老闆用及時通訊
父母可以請你的子女教你使用及時通訊
醫生可以設立一個讓病人自己掛號的網站
圖書館和學校可以開網站建置的研討會


[註]
Mashup is a web page or site made by automatically combining content from other sources, usually by using material available via RSS feeds and/or REST interfaces.

[ 發表回應 ]   |  permalink

前一頁 下一頁