微軟資訊系統架構大轉型(下)

SQL Server 2005朝商業智慧應用演進

商業智慧是基於資料庫上的應用，能將資料庫或是EPR、CRM系統的資料加以應用，藉以預測趨勢並協助企業決策。資料庫廠商如Oracle或Sybase都有提供相關工具。此外如Business Objects或Cognos則是致力經營商業智慧平臺，通常具有跨資料庫的能力。

由於近年來企業電子化日益成熟，營造出商業智慧的契機，微軟看準此一趨勢，強化資料庫的商業智慧應用，提供企業一套從資料儲存、擷取轉換、分析及報表的完整解決方案。因此在TechEd 2005的課程上，從資料轉換工具、資料採礦、分析查詢工具、報表工具和即時系統設計等等無一不備，希望讓學員能更認識這套系統。此次TechEd還特別延請微軟總部的在商業智慧部門的資深產品經理Richard Tkachuk，針對Analysis Services、報表製定、新的資料轉換工具SSIS與如何設計即時BI系統授課，帶來第一手的技術資訊。

在資料庫和商業智慧的課程中，筆者選擇「SQL Server 2005 SSIS資料轉換工具介紹」、「SQL Server Analysis Service的進階介紹」、「如何建置高擴充、高穩定、安全的SQL Server 2005企業級資料管理平臺」三門課程。第一堂對於SSIS和DTS的差異、SSIS在架構上的特點、SSIS如何將工作流程與資料流程分開、SQL Management Studio如何管理SSIS等等，講師胡百敬在說明架構技術和操作細節都能照應，對於產品也能持平看待，例如他指出在資料轉換上仍有加強之處，可以讓學員更清楚知道應用上的優點與限制。

Vista、Windows Server 2003 R2新功能披露

TechEd 2005熱烈開場，多達80幾場的課程中，如何在每個時段中選出課程並不是容易的事，筆者在拿著大會製作的隨身課程表細細挑選，最後決定以新產品為導向，選擇將於今年年底上市的SQL Server 2005及明年先後發行的Windows Server 2003 R2與Windows Vista作為選課重點，既可一覽新產品的面貌，又可了解微軟在作業系統及資料庫方面的新技術。

Windows Server 2003 R2是微軟在產品規劃上兩年一次重大更新的中繼版本，在Windows Servcer 2003 SP1的基礎上提供新的工具與功能。Tech Ed 2005提供「分行伺服器管理的最新解決方案：利用Windows Server 2003 R2的最新技術」、「利用Windows Server 2003 R2達到更有效率的儲存管理，包括SAN的部署」、「微軟身分管理之整體解決方案－Windows Server 2003 R2中之聯邦式身分認證服務」等課程，介紹R2在分行管理、儲存管理和身分認證上的新工具。

微軟擁抱更廣義的資訊安全架構

今年TechEd有11場與資訊安全相關的課程，一半的內容由來自美國的資安專家Steve Riley、Jesper M. Johansson主場，談論資訊安全政策規畫、應用程式安全性等議題，兩位專家是第二度來臺參與TechEd，搭配簡報中多張有趣圖片，他們以幽默的口吻和譬喻，描繪容易對資安控管產生的各種迷思，直指一般使用者甚至是IT技術人員的通病。其他資安課程則以微軟現有防護產品為對象，例如企業數位版權管理平臺Rights Management Services與防火牆ISA Server 2004。為了響應年底即將發表的Visual Studio 2005，大會也特別開設一場關於資訊安全開發生命週期與資安強化的新做法介紹。

在最後一天的資訊安全課程中，微軟首度公布全新的資訊安全基準評估（Microsoft Baseline Evaluation，MSBE）與風險衡量工具（Microsoft Risk Assessment，MSRA），並簡介新的訊息伺服器專用防毒產品Antigen。SQL Server 2005朝商業智慧應用演進

SQL Server 2005中文版將於12月份上市，因此今年TechEd的重點之一，即在SQL Server 2005新技術及新功能的介紹。議程將SQL Server 2005分成資料庫與商業智慧二個主軸來介紹，由此可知微軟在新版資料庫伺服器上，強化商業智慧的應用。

SQL Server 2005整合前端工具，加強備援機制

SQL Server 2005在資料庫的管理、維護、開發上，與SQL Server 2000比起來都有大幅的改變，因此TechEd在課程上規劃上可說面面俱到，從新版本資料庫整體架構的介紹、如何開發、管理、維謢都有課程說明，讓學員能一賭新平臺的面貌，更進階的如與ADO.NET的整合，如何利用如容錯移轉叢集、資料庫鏡像（Database Mirroring）、點對點複寫等新功能，讓系統達到高擴充、高穩定要求。就連如何從SQL Server 7.0／2000移轉與升級到2005的規劃實務，也都有相關課程供學員選擇。

SQL Server 2005在資料庫方面所做的改變，推出全新Management Studio開發管理工具，以Visual Studio2005為基礎，整合SQL Server 2000平臺上的Enterprise Manager、Query Analyzer等工具，可以管理關聯式資料庫以及商業智慧的分析、報表服務，另外也可用來建立Transact-SQL、MDX和 XQuery scripts。SQL Configuration Manager提供新的SQL 服務和連線，將伺服器網路設定與使用者端的網路設定全都整合在同一介面，方便管理。其他如SQL Server Surface Area Configuration可以統一管理SQL Server 所提供各項服務的設定，SQLCMD 是新的命令列工具程式可透過它執行 Transact-SQL 語法等，都提供使用者更容易使用的管理工具。在可用性及可靠性上，資料庫鏡像使用 ADO.NET 2.0，提供熱備援（Hot Standby）機制，在資料庫容錯移轉速度上相當快速，不會發生已完成認可資料的損失，並且支援自動化的重新導向。與容錯移轉叢集等功能，讓系統備援更有保障。資料庫鏡像只要利用另一臺伺服器，無須特別硬體規格即可做到備援機制。另外如資料庫快照集、容錯移轉叢集等，都能讓企業的資料在更可靠的環境中運行。

此外，如與.NET整合，讓資料庫開發更為簡便。提供新的XML資料型別，讓XML與資料庫結合更為緊密。SQL Server 2005新的SQL Service Broker能處理非同步的訊息，強化電子商務的應用。

商業智慧工具增加，操作更為簡化

商業智慧是基於資料庫上的應用，能將資料庫或是EPR、CRM系統的資料加以應用，藉以預測趨勢並協助企業決策。資料庫廠商如Oracle或Sybase都有提供相關工具。此外如Business Objects或Cognos則是致力經營商業智慧平臺，通常具有跨資料庫的能力。由於近年來企業電子化日益成熟，營造出商業智慧的契機，微軟看準此一趨勢，強化資料庫的商業智慧應用，提供企業一套從資料儲存、擷取轉換、分析及報表的完整解決方案。因此在TechEd 2005的課程上，從資料轉換工具、資料採礦、分析查詢工具、報表工具和即時系統設計等等無一不備，希望讓學員能更認識這套系統。此次TechEd還特別延請微軟總部的在商業智慧部門的資深產品經理Richard Tkachuk，針對Analysis Services、報表製定、新的資料轉換工具SSIS與如何設計即時BI系統授課，帶來第一手的技術資訊。

SQL Server 2005在商業智慧上兼顧了資料擷取、整合與轉換、資料分析與報表呈現，對應的工具分別是Intergration Service（IS）、Analysis Service（AS）、Reporting Service（RS）。
IS是SQL Service 2000的DTS工具的新版本，採用了.NET架構，能夠整合多種企業異質資料來源如資料庫、XML、Excel或純文字檔等。IS在清理資料上提供多種資料的合併轉換、去除重複作業功能，並提供Fuzzy 群組化與尋查的功能，建置資料倉儲或資料超市將更有效率。

AS是資料採礦平臺，SQL Server 2005從之前2種演算法提升到9種演算法，提高資料的分析能力及預測模式。AS透過Unified Dimensional Model （UDM），在資料整合及分析上都有長足改善，
RS是企業建置、管理與傳送報表的平臺，在SQL Server 2005提供新的組態管理員，提供帳號、網站、郵件整合設定。新的Reporting Builder提供非IT人員報表製作與資料瀏覽的工具，以簡單的介面即可產出報表。

實務與技術並重，呈現
SQL Server 2005雙重面貌

在資料庫和商業智慧的課程中，筆者選擇「SQL Server 2005 SSIS資料轉換工具介紹」、「SQL Server Analysis Service的進階介紹」、「如何建置高擴充、高穩定、安全的SQL Server 2005企業級資料管理平臺」三門課程。第一堂對於SSIS和DTS的差異、SSIS在架構上的特點、SSIS如何將工作流程與資料流程分開、SQL Management Studio如何管理SSIS等等，講師胡百敬在說明架構技術和操作細節都能照應，對於產品也能持平看待，例如他指出在資料轉換上仍有加強之處，可以讓學員更清楚知道應用上的優點與限制。

第二堂提供AS的進階介紹，是由Richard Tkachuk主講，針對AS在商業智慧分析功能從2000版本到2005有哪些演進，UDM如何扮演重要角色，以及KPI的使用等等進行深入討論。課堂上發生一件有趣的小花絮，是關於講課方式的文化衝擊。Tkachunk在課堂上幾次希望引導學員以問答的研討方式進行，他說在國外總會有人爭著舉手或發言，針對操作實務、作法發表看法，但來到這邊卻不太管用。雖然課程是以英文進行，但就筆者觀察，大多數對講課反應都不錯，顯示語言並非討論方式無法進行的關鍵因素，而是聽眾習慣於被動吸收。其實下課時，學員彼此討論或是向講師發問的情況都很頻繁，如果能將這種態度延伸到課堂上，學習的成效也許會更好。

第三堂「如何建置高擴充、高穩定、安全的SQL Server 2005企業級資料管理平臺」從近來卡翠娜、南亞海嘯或911等天災人禍引言，說明企業在資料備援上的重要性，接著緊扣永續經營計劃和SQL Server 2005在高可用性、高保護性和高效能方面的功能如鏡像備份、容錯移轉叢集和點對點複寫等進行介紹，並且分析實務上如何避免伺服器毀損，並以不同條件建議三種實踐順序，配合實機操作，對於這個議題提供了具有實務指引及深入技術的講解。

第二天的議程將商業智慧與資料庫分成兩線同時進行，對於同時想了解兩邊議題的學員是兩難的抉擇，這是筆者稍感遺憾之處。幸好本次TechEd在課堂上都有使用Web Cast技術錄下講課內容，待日後課程上線後，可以彌補錯過的課程。文⊙黃天賜Vista、Windows Server 2003 R2新功能披露

TechEd 2005熱烈開場，多達80幾場的課程中，如何在每個時段中選出課程並不是容易的事，筆者在拿著大會製作的隨身課程表細細挑選，最後決定以新產品為導向，選擇將於今年年底上市的SQL Server 2005及明年先後發行的Windows Server 2003 R2與Windows Vista作為選課重點，既可一覽新產品的面貌，又可了解微軟在作業系統及資料庫方面的新技術。

Vista在安裝、部署與安全性的新進展

TechEd 2005對於眾所矚目下一代作業系統Vista準備了兩堂課，分別是「Windows Vista部署之工具技術與實例」與「Windows Vista前端作業系統安全性更新」，這兩堂課規定上課時不能錄音、拍照，結束後也不會提供課堂上的講義，為Vista增添幾分神祕性。

Vista在安裝和部署過程中，和前面幾版作業系統相較之下，最大的差異來自於使用映像檔的安裝程序。以往安裝過程中，Windows作業系統是將檔案一個一個複製到硬碟中，現在利用全新WIM映像格式，安裝過程將會更快。另外，比起如Ghost之類使用block製作映像檔的方式，Vista採用的是以檔案為基礎製作方法，講師鄔愷民利用Ximage，現場示範映像檔的製作和壓縮比例。他準備兩個資料夾，其中只有一個檔案不同，其他均為相同結構，利用Ximage分別作成映像檔之後，再將兩個5MB以上的檔案合併，合併之後映像檔大小卻只增加幾千個Byte。原來它會比對兩者之間不同之處，只將差異的檔案加到合併的映像檔中，這是以檔案為基礎的映像檔技術才能達成。利用這種方式，管理人員即可將多種版本的作業系統製作在同一個映像檔，但在容量上卻不會增加太多。另外，Vista利用抽象硬體層，當作業系統部署時，能夠減少因為硬體差異而必須準備多個影像檔，不但部署過程簡化，維護影像檔也較為容易。管理者可以利用Windows Setup Manager產生unattend.xml檔案，將相關設定值寫入，與WIM檔放在一起，在安裝過程中達到自動應答。

Vista前端作業系統安全性更新方面，支援更多登入認證模式、解決暫存溢位所導致的安全問題、UAP的使用者模式、家長控制模式等等，均提供使用者更為安全的環境。舉例來說，以前的Windows在登入時，除了密碼保護外，只能提供一種額外的認證措施，例如smartcard或指紋辨識，在Vista可以同時掛載多種方式。UAP則提供執行安裝程式或是變動系統時，要求確認的動作，利用使用者有限權限避免系統遭到攻擊，此外如虛擬機碼功能，能讓使用者變更機碼的值只會影響到該帳戶，而不會寫入系統機碼。父母控制功能提供家長能對網站、程式進行分級設定，讓小朋友能夠避免不良內容或遊戲影響，該功能也提供報表功能，記錄企圖存取受限程式、網站的使用者名稱、時間等等。

Vista於7月底釋出測試版之後，讓人們對Vista的面貌有個梗概，至於明年最後釋出Vista時，哪些功能在或不在都還是未定之數，例如筆者測試Beta 1版本時，在UAP模式下欲增加權限使用安裝功能，必須輸入密碼，但講師曹祖聖在實機示範時，卻變成選擇是否執行，而非輸入密碼，在和講師確認後，才知道上課使用的是Vista Beta 2的版本。因此正式上市之前，Vista的功能仍將變化不定，也許這便是Vista神祕感的來源了。

Windows Server 2003 R2在 三個面向推出新工具

Windows Server 2003 R2是微軟在產品規劃上兩年一次重大更新的中繼版本，在Windows Servcer 2003 SP1的基礎上提供新的工具與功能。Tech Ed 2005提供「分行伺服器管理的最新解決方案：利用Windows Server 2003 R2的最新技術」、「利用Windows Server 2003 R2達到更有效率的儲存管理，包括SAN的部署」、「微軟身分管理之整體解決方案－Windows Server 2003 R2中之聯邦式身分認證服務」等課程，介紹R2在分行管理、儲存管理和身分認證上的新工具。

筆者選擇儲存管理和身分認證這兩門課程，希望能得到對R2的基本輪廓。

在儲存管理上，新增兩樣工具，分別是檔案系統資源管理（FSRM）與SAN架構的儲存管理工具（SMfS）。檔案系統資源管理能做到配額管理、政策管理及儲存空間管理，管制特定目錄或共用目錄的儲存空間，以避免對磁碟空間使用率造成衝擊，並可監控磁碟使用狀況。FSRM提供報表功能，能立即產生目前使用狀況的報，也可以利用排程功能定期檢視。SMfS是簡單易用的SAN管理程式，能簡化磁碟系統的設定與組態，適用於硬體規格簡單、小型架構的SAN。

至於聯邦式身分認證服務（Active Directory Fedation Service，ADFS）能提供外部使用者認證、授權、單一登入的服務，無論是客戶、合作伙伴、員工等透過瀏覽器，可以安全地執行電子商務應用程式。講師周伯彥介紹了如何使用AD或結合ADAM的方式部署ADFS架構，並且在不同的網路環境中如何進階調整架構，也解釋了不同的樹系（forest）之間是如何建立起聯邦式的信任關係。文⊙黃天賜微軟擁抱更廣義的資訊安全架構

今年TechEd有11場與資訊安全相關的課程，一半的內容由來自美國的資安專家Steve Riley、Jesper M. Johansson主場，談論資訊安全政策規畫、應用程式安全性等議題，兩位專家是第二度來臺參與TechEd，搭配簡報中多張有趣圖片，他們以幽默的口吻和譬喻，描繪容易對資安控管產生的各種迷思，直指一般使用者甚至是IT技術人員的通病。其他資安課程則以微軟現有防護產品為對象，例如企業數位版權管理平臺Rights Management Services與防火牆ISA Server 2004。為了響應年底即將發表的Visual Studio 2005，大會也特別開設一場關於資訊安全開發生命週期與資安強化的新做法介紹。

在最後一天的資訊安全課程中，微軟首度公布全新的資訊安全基準評估（Microsoft Baseline Evaluation，MSBE）與風險衡量工具（Microsoft Risk Assessment，MSRA），並簡介新的訊息伺服器專用防毒產品Antigen。

微軟對資訊安全的認知與反省

Steve Riley和Jesper M. Johansson兩人授課的場次，全程皆以英文演講，無中文翻譯。也許是語言的隔閡或是今年參與TechEd課程的學員志不在此，到場聆聽的人數顯著不如開發工具、資料庫管理與開發場次。

兩位講者合講的「破解資安迷思」這堂課特別有趣，兩人一搭一唱，妙語如珠地談論關於廣義資訊安全的各種現象與迷思，不限於特定的作業系統或網路架構。他們開宗明義地挑明網路是不可能安全的，唯有靠不斷防護與良好的設計才能夠防堵，然而安全、低成本與效用正好是三個相互對立的觀點，CIO們只能選擇其中兩者，無法三者兼顧。例如為了確保使用者可以得到應有的IT服務，資安管理人員永遠扮演著限制使用者存取的「黑臉」，甚至得和網路管理唱反調，因此假如讓系統管理人員或網管去管資訊安全，不只是會有矛盾，由於性質上有衝突，其實是會有不良後果的。

一般談到資訊安全都會提到認證、授權與稽核，以密碼為例，雖然目前普遍作為使用者認證的主要方式，但密碼不安全也是事實，這是因為人們很難想出與記住好的密碼，以致於採用容易被猜到的密碼，許多資安專家建議應停止使用密碼，改用更強力的認證措施。但Steve Riley和Jesper M. Johansson可不這麼認為，今日想用其他Token完全取代密碼是不可能的，應搭配其他解決方案強化密碼安全性，例如動態密碼（One-time Password）或智慧卡，需再使用適當協定以避免重複攻擊，他們也建議要為每一套系統服務與使用者帳號建立獨特的密碼，因為那些外加式的認證系統無法支援，還是只能靠密碼認證支撐，密碼仍是不可偏廢的。

除了紙上談兵，在網路駭客攻擊剖析這堂課中，Jesper M. Johansson親自示範如何十個步驟侵入你的網路，透過SQL Injection漏洞先攻佔資料庫，再滲透到網站、網域控制站，過程之簡單、迅速，十分駭人聽聞。每種重要伺服器遭到入侵，背後都有原因，即使聽眾無法充分了解入侵的細部流程與採用的技術，還是可以知道這部伺服器的系統管理密碼破解的原因，有些是遭到木馬側錄，有些則是收集應用程式除錯訊息反推得知。

進軍資安基準評估與風險衡量領域

針對資訊安全的完整架構，微軟已經透過既有的產品做到部署、管理與稽核，例如群組原則、System Management Server、Microsoft Operation Manager和ISA Server等，但關於人與控管範圍的界定，以及資安政策的標準與認證，目前都沒有對應的工具可供使用，因此微軟即將發布兩套評估資安基準與衡量資訊安全風險的工具︰MSBE和MSRA。

這兩套工具並不如一般的想像是執行檔或具有豐富的圖形使用介面，而是以Excel檔的形式提供資訊安全管理人員調查用。這兩份Excel裡面包含很多訪問不同對象需要提問的問題，最後可以產生報告評核計分卡和統計分析。目前檔案裡面的內容都是英文，日後將中文化。

MSBE和MSRA乍看之下似乎差不多，但採用的觀點不同，主講這堂課的講師是臺灣微軟技術中心顧問邱爵榮，他做了一個明快的比喻，MSBE著眼在廣度，而MSRA著重在深度。MSBE是用整個企業的角度檢視安全程序的進行，不針對特定的應用程式或是服務，而MSRA的目的在提供客戶風險評估服務，協助企業管理安全風險。假如我們相互比較這兩份Excel檔所涵蓋的多張工作表來，其實也可以看出相異處，MSBE調查的對象較廣，例如企業裡的各個階層，包括CXO（「長」字輩的高階主管，如執行長、財務長）、高階主管、經理人、系統管理技術人員與一般使用者；而MSRA就比較單純，針對基礎架構、資訊系統、作業流程、人員等面向展開深入調查。

MSBE的資訊安全基準評估可用來評量一個公司的資訊安全成熟度，主要根據業界的習慣與最佳應用，例如COBIT（由國際電腦稽核協會完成的資訊系統稽核與控制標準）、CMU/CMM和ISO 17799，針對管理、程序、技術三個領域評估IT的安全性，使用類似於COBIT的評分法，提出問題、訪談人員，然後根據對方的回答，從「不存在」到「最佳化」定義6級的給分範圍。專案最後會產出計分卡和結果報告。

至於MSRA的風險評估，號稱可以在兩星期內完成分析客戶的IT環境風險，也許有人會好奇這和ISO 17799有什麼不同？邱爵榮說，由於亞洲的企業較喜歡應用標準規範，因此會有這種想法，但MSRA並不等於ISMS（資訊安全管理系統），不是一種完全量化的風險評估，也不是風險管理文件的開發程序，MSRA較近似評估現有的安全政策的執行成效，價值在於評估與檢視現有的安全控管與建置風險，便於企業更新安全控管。

將推出伺服器防毒和垃圾郵件防護

自從微軟買下Sybari這家防毒廠商，許多人都在關心微軟接下來會怎麼步步進逼企業防毒這塊市場。而TechEd 2005資訊安全最後一堂課「安全的電子郵件與協同合作：ISA Server 與Antigen的伺服端防護」，在課程結尾，微軟大中國區育成伺服器事業部區域經理黃健聰順便提及Sybari的最新發展，目前防護的對象以微軟的訊息平臺為主，有關防毒的部份，Antigen將處理Exchange、SharePoint Portal Server /Windows SharePoint Service、Live Communications Server，非微軟的訊息平臺支援IBM Lotus Domino與IMlogic；防垃圾郵件由Advanced Spam Manager、Advanced Spam Defense等產品負責。遺憾的是本場並未直接展示Antigen的相關操作畫面。

無獨有偶，今年在其他場次的課程中，恰好有一堂「Exchange 2003的郵件衛生保健法」在防垃圾郵件、防網路釣魚與多種強化安全建議內，同樣提到Sybari相關防護。

今年號稱是微軟的產品年，不過在資訊安全方面，只有ISA Server 2004 中文企業版上市是伺服器平臺方面較顯著的新消息，相對影響了TechEd的課程分配，學員想了解其他開發端與資料庫相關產品的意願也比較強，然而資訊安全問題仍然在發生，使用者與企業還是不斷希望微軟能協助他們提升安全性，雖然資安課程限於情勢未受重視，但從新的資安架構與蓄勢待發的伺服器防護產品，顯然微軟的企圖心仍不容小覷。文⊙李宗翰