今年的The Honeynet Project Annual Workshop遠在波蘭的華沙舉行，包括了三天的公開會議以及二天的組織會議，非營利型的組織其實最欠缺的就是穩定的財源，從幾年前開始辦理公開的會議之外，除了擴大研究成果的分享之外，主要也能夠透過會議的收入，多多少少補貼一些年會的支出，這點就跟個人每年在台灣辦理HoneyCon台灣誘捕網路技術研討會一樣，都是需要依賴贊助商的支持，尋找贊助之餘又希望能夠保有原本組織的特性。

今年的議題，主要聚焦在誘捕技術的發展現況、工具的開發進度、VirusTotal與Shadowserver的資安情資平台分享、行動裝置的安全議題、關鍵基礎設施誘捕系統的發展等，偵測與誘捕技術的發展上，必須與目前或是未來可以成為主要資訊安全威脅的項目有關，例如：Thug、Conpot、Ghost、Hpfeeds等，這些都是在The Honeynet Project中發了一段時間的誘捕系統，可以協助需要掌握網路上的資安現況，前兩天的會議以資安的趨勢與誘捕技術最新的發展為主，第三天則進入實作的課程，此次的課程包括了Understanding and Mitigating Botnets、Virtualization Security、Reverse Engineering Android Malware以及Malware Reverse Engineering等，這些都是可以應用在資安實務上的技術，對於研究工作可以節省許多的時間。

今年的會議由NASK支持舉辦，當然少不了介紹一些關於波蘭的資訊安全威脅現況，也讓其它各國的與會人員做個參考，可以對應到自己國家境內的資訊是否雷同，相對於台灣的資訊安全現況。

Conficker雖然已是古董級的問題了，不過因為惡意程式仍然持續的變種以及許多的資訊系統不一定已經處理了這個問題，造成在網路上偵測到的結果，Conficker仍然佔了大宗，不過許多的威脅仍然以Bot所造成的影響最大，這也許是因為許多的使用者並不知道自己所使用的電腦早已威染了惡意程式，並且加入了殭屍網路(Botnet)所致。

針對家用的設備，波蘭境內仍然與國內相似的個案，利用家庭使用的IP分享器，對於使用者進行資訊的竊取，並且假冒其身份存取網路上的服務。

目前惡意程式所形成的殭屍網路(Botnet)，採用了動態網域名稱的技術，以增加分析上的複雜度，不過關於DGA的問題，目前已投入許多的研究，希望可以針對域名的產生規則進行分析，以掌握可能會被運用的域名，甚至進行相關的預測。

帳號與密碼是資安的防線，也是重要的問題，因為與人的使用習慣有關，而密碼的強度就直接影響了系統本身對於安全管理上的強度，目前透過誘捕系統，可以檢測遠端對於資訊系統的帳號、密碼探測，也瞭解一下這些自動化的攻擊工具，經常使用的密碼有那些，也可以提供系統管理人員千萬不要選擇這些會被猜測的密碼，降低可能的風險。

資安威脅情資以及資訊的視覺化處理技術，是今年的重點項目之一，許多的研究人員或是組織，分享了對於巨量資安資料的處理以及如何應用視覺化的技術，減輕分析上的複雜度，透過視覺化的分析平台，做為趨勢預測以及情資掌握的參考依據。

對於資訊的處理是一門大學問，不同的組織或是不同的研究人員，在選擇適合的分析方式時，往往與希望掌握的情資有關，所以設計出的來處理流程不盡相同，但是亦不脫離對於資料如何進行處理的大原則。

許多的朋友，每年藉著參加會議的機會，能夠聚上個幾天是多麼高興的一件事，每天都有不同的話題可以聊，也分享一下各自國家在資訊安全領域上的發展現況、最近在進行的研究等等。

後記：後兩天的組織內部會議就不方便分享了。

相關網站：
The Honeynet Project
The Honeynet Project Annual Workshop 2014

The Honeynet Project Taiwan Chapter
HoneyCon 2014

最近最熱門的資安議題，就屬OpenSSL所導致的致命弱點，可以讓攻擊者利用這個弱點取得目標主機記憶體中的機敏資料，Heartbleed Bug (CVE-2014-0160)可以稱得上是目前影響範圍最大的弱點之一，關於這個弱點的詳細資料，可以參考http://heartbleed.com/網站上的資訊，大多數的網站為了在通訊過程能夠確保資料傳遞的安全，都會啟用https的加密方式，尤其是對於網站提供用者登入或是具備網站後台的登入畫面，都會採用加密的通訊協定，希望在網路上的通訊無法被側錄與解析出其中的內容，一個多年來被公認是安全的處理方式，就在Openssl.org發佈了以下的弱點消息，一多之間成了許多系統與網站管理人最急需解決的資安問題，從1.0.1到1.0.2-beta都存在這個嚴重的漏洞，這幾天在資安領域投入了像核爆般的震撼，許多資安研究人員與駭客忙了起來，前者是為了把問題解決，後者是為了找出有問題的網站，大家都在比時間與速度，看誰能夠取得網站的機敏資料：

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley and Bodo Moeller for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

上述這段簡短的公告，揭漏這個核爆級的資安問題，主要在於目前許多的網路服務，採用了OpenSSL的套件，以增強通訊上的安全，而這個關鍵點卻出了資安的大漏洞，影響的層面之廣可想而知，攻擊者可以使用這個漏洞，讀取目標主機的記憶體中64KB的資料，再利用傳送Heartbeat的封包，利用memcpy控制變數來複製錯誤的記憶體資料，而取得其中的機敏資料，這些資料可以包括了使用者的登入資訊、連線的Cookie等，當取得使用者的登入資訊後，攻擊者可以利用這些資訊假冒身份登入系統。

【電腦環境運作的檢測工具】
以下為目前主要在一般電腦上執行此漏洞檢測的平台，可以將測試的目標主機透過這些平台進行遠端的分析，以驗證目前目標主機所使用的系統環境，以及是否存在此漏洞。

• 檢查套件的版本

透過套件管理程式，查看目前的使用的OpenSSL版本。以Ubuntu為例：

可以輸入 sudo apt-cache showpkg openssl 指令，就可以知道目前系統上所使用的版本。

...

blinc-server-maker, openssl 0.9.8

openvpn, openssl

openssl-blacklist, openssl 0.9.8g-9

...

• Heartbleed test

網址：filippo.io/Heartbleed

• eartbleed test

網址：possible.lv/tools/hb

• LastPass Heartbleed checker

網址：lastpass.com/heartbleed

• Qualys SSL Labs Server Test

提供相當完整的測試，並且模擬多種使用者端的環境以驗證是否在特定的版本將會出現這個資安問題。

網址：www.ssllabs.com/ssltest

• Chromebleed擴充功能

網址：chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic

• ssltest.py Test

網址：http://pastebin.com/WmxzjkXJ

#!/usr/bin/python

# Quick and dirty demonstration of CVE-2014-0160 by Jared Stafford (jspenguin@jspenguin.org)

# The author disclaims copyright to this source code.

import sys

import struct

import socket

import time

import select

import re

from optparse import OptionParser

options = OptionParser(usage='%prog server [options]', description='Test for SSL heartbeat vulnerability (CVE-2014-0160)')

options.add_option('-p', '--port', type='int', default=443, help='TCP port to test (default: 443)')

def h2bin(x):

    return x.replace(' ', '').replace('\n', '').decode('hex')

hello = h2bin('''

16 03 02 00  dc 01 00 00 d8 03 02 53

43 5b 90 9d 9b 72 0b bc  0c bc 2b 92 a8 48 97 cf

bd 39 04 cc 16 0a 85 03  90 9f 77 04 33 d4 de 00

00 66 c0 14 c0 0a c0 22  c0 21 00 39 00 38 00 88

---

• 美麗島雲端安全科技OpenSSL Heartbleed Tester

網址：http://www.formosaauditor.com/

• Mass scanning tools

網址：https://github.com/robertdavidgraham/masscan
網址：https://gist.github.com/search?q=ssltest.py

【行動版的檢測工具】
行動裝置是目前的主要的發展趨勢，許多人會在行動裝置上安裝許多的應用軟體，因此如果想要檢測Heartbleed的漏洞，也可以使用行動裝置上的應用軟體(APP)進行自我檢測。

• Bluebox Security Heartbleed Scanner

網址：https://play.google.com/store/apps/details?id=com.bblabs.heartbleedscanner

• Heartbleed Detector

網址：https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

• CMSecurity Heartbleed Detector

網址：https://play.google.com/store/apps/details?id=com.cleanmaster.security.heartbleed

• Heartbleed Pulse

網址：https://play.google.com/store/apps/details?id=com.trustlook.heartpulse

【反向測試工具】
Heartbleed的漏洞影響的並不止於伺服器端的資訊外洩，對於使用者端也會造成部份的影響，因此在檢測的過程中，務必需要使用反向測試的工具，測試本身目前的環境是否存在同樣的問題。

• Reverse Heartbleed

網址：https://reverseheartbleed.com/

• Heartbleed Tester for Client

網址：http://heartbleed-detector.locsec.net/

【解決方案】
要解決這個問題，最好的方式就是將目前系統上所使用的OpenSSL昇級至1.0.1g的版本，能夠儘快的把這個已知的大漏洞修補好，另外再使用檢測工具以及反向檢測工具，同時驗證伺服器端與使用者端是否仍然存在漏洞所衍生出來的風險。

下載OpenSSL的位址：
http://www.openssl.org/source/

如果無法立即進行版本的昇級，建議可以加入-DOPENSSL_NO_HEARTBEATS參數後，重新編譯OpenSSL。

1314是一個滿有意義的組合，在情人之間代表著「一生一世」，希望彼此能夠長長久久，對於我而言，回想自己投入資訊這個領域，再走到資安這條路，從小學畢業時擁有第一台八位元電腦開始，就迷上了資訊技術帶來的驚奇，一路走來到目前已超過30個年頭，對於生涯發展而言，還真的跟「資訊」有著一生一世、長長久久的緣份，回顧2013年真的是忙碌的一年，剛結束短短的假期，2014年又緊接著到來，在年底利用最後一個周末與剩下的兩天年休假，讓自己算是小小的放鬆，也讓自己投身志工的行列，經歷一個未曾有過的體驗，雖然每天手機依然響個不停，還好已有不同的團隊可以幫忙處理，讓自己可以忙裏偷閒一下，看看公司每月統計的育才指標，畢竟一年下來超過50場次的演講，累加下來超過了3000人次，也花費了不少的時間，不過換個角度想，也讓團隊的成果有機會讓許多人知道，雖然有時候早上在南部處理公務，趕搭十二點前的車，下午上台北開會，一年搭乘超過120次以上的高鐵，往返北部、南部的過程，讓時間更顯得不夠使用，雖然老婆常說我好像在台北工作的上班族，雖然外面的工作機會不少，一年下來常常有邀約，不過我還是喜歡在南部，能夠放慢自己的步調，現在交通那麼的方便，以前的南北落差也正在縮小中。

如同往年一樣，新的一年到來，總得整理一下自己的辦公室，把屬於去年的打包起來，邊整理也邊規劃今年進行的計畫，在去年參加了不少的資安會議，看著不同的識別證，就回想起當時會議以及分享的內容，以及會後建立的人脈關係，現在Facebook相當的方便，因此也不太需要像以前還得換個名片或是留下連絡資料才行，「會後有任何的問題，只需要到Google或是Facebook上找我」，這是一句我在做完Q&A之後，常常會提到的一句話，這也代表著傳統的傳遞資訊的方式，跟以往已大不相同，這一年來到不同的場合分享公司的團隊與個人的研發成果與心得，主要是希望讓大家更瞭解到資訊安全的重要，當然也串起各種不同的連結與可能。

(圖)2013年參加會議的識別證

2013年在工作上有著幾件主要發展，這些也將做為2014年發展的規劃之一。

第一是帶領的資安團隊，完成了第一個惡意程式知識庫，在二月份於杜拜舉辦的The Honeynet Project Workshop，我們在年會上分享了這個知識庫的規劃與設計，以及目前的成果，也在八月底在國內透過記者會的方式，讓大家知道我們目前的成果，雖然整個平台還有許多需要改善的地方，這幾個月來有許多的使用者，也回饋了許多寶貴的意見給我們，個人是相當感謝這些人可以花費時間，將我們目前平台上的缺點說出來，畢竟資訊系統的發展，從過往到現在的經驗，

第二是將台灣雲端安全聯盟正式在內政部立案成立了，在成立前的這段期間，許多的志工的投入與付出，讓成立的過程更為順利，終於在7月26日完成了所有的申請程序，也收到了內政部正式的公文，個人也獲選成為第一屆的理事長，負起推動國內雲端安全與國際雲端安全聯盟(CSA, Cloud Security Alliance)橋接的角色，因此歡迎對於雲端安全有興趣的資訊產業，能夠參與投入雲端安全產業的推動，目前已踏出了第一步，個人的責任就是讓這個組織能夠發展的更健全與完整，也能夠對國內的資安產業有些許的貢獻。

第三是讓公司發展的資安平台(TWMAN, Taiwan Malware Analysis Net)取得了台灣與美國的商標專利，這個平台是中心投入多年來的研究成果，其中包括了前端分散在各主要學校的誘捕網路(Honeynet)、惡意程式的沙箱測試平台(Malware Sandbox)以及做為資訊展現的惡意程式知識庫(Knowledge Database)與今年預計發佈的資安趨勢觀察站，整個平台讓我們掌握惡意程式的活動更為透明，這些需要團隊的投入與經營。

2013年國際間的幾件大事，個人覺得以美國國安局大行網路監控一事最為重要，從國家安全的廣義解釋上，掌握安全的情資是相當重要的，因為未發生事件時，如果能夠預防它的發生，對於人民是有幫助的，只是有時候過了頭，這些立場就會遭到質疑了；另外是幾個重要的網路服務商或是資安的廠商，機敏資料的外洩等，這些都是對於資訊安全上的警訊，對於使用者而言，在使用這些服務時，必須要特別的考量到資訊安全的問題；再來是像歐洲的SPAMHAUS反垃圾郵件的組織，遭到史上最大一次的分散式阻斷服務攻擊(DDoS, Distributed Denial of Service)，幾百Gbps的網路流量，是絕大多數ISP所無法承受的；韓國的金融與媒體遭到破壞性的攻擊事件；台灣與菲律賓之間的網路攻擊，這些都是真實的案例，只是每次事件過程，許多人只把它當歷史來看待，對於自身的資訊安全防護，鮮少有積極的行動來改善現有的問題。

資訊安全不可能做得滴水不漏，只能提高遭到威脅的困難度與降低發生事件時損失，在上星期擔任了一個資訊安全產業分析的研究計畫的委員，看到研究資料中掌握的國外投入在資訊安全上的預算，這是國內需要深深思考的，為什麼我們無法像韓國一樣有計畫與規模的發展出自有的資安產業，還能夠產生經濟效益，除了國內各單位對於資訊安全只有在發生事件時，才覺得它的重要之外，平時都是被認為不具效益的投資，不論在專業人才的養成以及設備資源的投入都顯得不足，許多對於資安的觀念也是需要加強的，往往新聞媒體爆出資料外洩的事件之後，接下來的那幾天會有人去討論它，不然就是遇到系統架構設計有問題，造成服務無法提供時，就全怪給「駭客入侵」，推諉與卸責成為政府與許多企業的一貫手法，把問題都推給看不見的駭客，但是真正願意去改善的，實在是少之又少。

2014年剛開始，但是推動的計畫與工作早已展開，除了去年持續進行的工作之外，當然今年還需要有新的成果，巨量資料、開放資料、資料探勘等，這些技術都與資料的處理有關，當然加值後的資訊，才會是有價值的，至於如何加值，就得回歸到歷年來的研究經驗與成果，結合不同的團隊共同投入，才可能創造出不一樣的機會；行動裝置的安全預計在今年會成為主要的資安威脅來源，雲端服務平台的安全問題，也將較往年為更重要，因此許多的企業或政府單位，已開始評估將現有的資訊系統，以及巨量的資料轉移到雲端服務的平台上處理，若傳統的資安問題與新興的資安問題交雜在一起，對於資訊安全事件的處理而言，將會是一大挑戰。

前陣子媒體發佈針對國內政府單位進行了資安的演練，發掘了超過100個漏洞，這其中隱藏了幾個問題，第一個是這些資訊系統定期進行的系統漏洞檢測機制面臨了挑戰，可能做得不確實或是單純的使用軟體掃一掃就結案，而未針對其中的漏洞進行修補或檢視所造成的威脅，另一個可能是這些單位所使用的系統弱點分析的工具出了問題，無法有效的找到現有系統上的漏洞，如果是後者的話，這個就值得省思了；第二個是凸顯資安專業人才不足的問題，政府目前需要透過學研界以及特定單位的人力支援，才有辦法針對網站的資安問題進行分析，而不是一個常設的組織，擔負起國安資訊安全的責任，當演練結束後，這些專業人員又回到原本的單位，那演練結束後就不會有資安事件了嗎？這些答案應該是顯而易知的。

2014年的發展是未知的，但可以想像的就是資訊安全事件不會中斷，只是規模的大與小，被攻擊的對象有所不同，不過所有的資訊事件都可以掌握部份的證據，以證明曾經發生過的事，對於資訊安全事件的預防，往往是專業與非專業之間的拔河，目前國內已有許多資訊安全維運中心(SOC, Security Operation Center)，不論是政府單位或是民間企業，大多自建或是委外針對資訊安全進行防護，當受到防護的單位接收到事件單時，大多會有二種不同的反應，第一種是「趕快處理」，第二種是「可能嗎？應該是誤報。」，為何會有兩種不同的結果，主要在於資訊安全的認知不同，也可以看到國內對於資安的認知是普遍不夠的，這些是需要時間的。

後記：
預告一下，今年從二月中旬後到三月底，因為需要等待與陪伴著第二個小朋友的到來，若有演講邀約、授課、北部或是國外的活動，可能暫時無法前往，先跟大家說聲不好意思了...

相關網站：
NCHC資安服務  http://www.nchc.org.tw/tw/rd/cyber_security/
惡意程式知識庫  http://owl.nchc.org.tw/
台灣雲端安全聯盟  http://www.cloudsecurityalliance.org.tw/
台灣惡意程式分析網  http://twman.nchc.org.tw

日期	講題	地點	主辦單位
2013/12/27	網站弱點分析實務	吳鳳科技大學資訊管理系	吳鳳科技大學資訊管理系
2013/12/23	惡意程式與殭屍網路因應對策	國立成功大學計算機與網路中心	國立成功大學計算機與網路中心
2013/12/20	網路封包分析技術與實務	吳鳳科技大學資訊管理系	吳鳳科技大學資訊管理系
2013/12/13	Google Hacking技術與實務	吳鳳科技大學資訊管理系	吳鳳科技大學資訊管理系
2013/12/12	雲端服務與資訊安全	國立中山大學	國立中山大學
2013/12/6	巨量資安資料分析	國立中興大學	國立中興大學
2013/12/3	從CSA看雲端安全發展趨勢	中華民國資訊軟體協會	如何確保雲端運算的安全研討會
2013/11/27	網路封包分析與新世代資安威脅攻防	高雄市警察局	資策會
2013/11/14	深入剖析新世代資安威脅	恆逸教育訓練中心	資安講堂
2013/11/13	個資法與公務機關因應對策	恆逸教育訓練中心	資安講堂
2013/10/31	TANet SOC與因應策略	桃園區網中心	桃園區網中心
2013/10/29	網路釣魚與詐騙解析和因應作為	高雄市警察局	資策會
2013/10/25	網路浪潮下的新世代資安威脅	高雄少年及家事法院	高雄少年及家事法院
2013/10/25	資訊安全威脅與案例分析	高雄少年及家事法院	高雄少年及家事法院
2013/10/21	誘捕網路進階應用課程	Confidential	Confidential
2013/10/8	新世代的資安威脅	中華電視公司	中華電視公司
2013/10/3	深入剖析APT攻擊手法與趨勢	光點台北	網路資訊
2013/10/2	系統漏洞解析與安全原則	高雄市警察局	資策會
2013/9/30	雲端技術與應用	Confidential	Confidential
2013/9/26	看不見的敵人	中華電視公司	中華電視公司
2013/9/34	雲端資安與SOC	Confidential	Confidential
2013/9/13	殭屍網路與視覺化分析	國立清華大學	BOT 2013 第五屆台灣區Botnet 偵測與防治技術研討會
2013/8/30	封包分析找出異常	資安人	【對付APT 你應該具備的技能】實戰養成班
2013/8/20	資安紀錄分析技巧	Confidential	Confidential
2013/7/29	網路浪潮下的資訊安全威脅	國立政治大學	102年政大區網研習會
2013/7/29	誘捕網路應用與分析技術	國立政治大學	102年政大區網研習會
2013/7/22	原來駭客跟我們一起上班	國家高速網路中心台中分部	國研院菁英研討會
2013/7/10	資訊安全巨量資料分析	Confidential	Confidential
2013/7/9	惡意程式的巨量資料分析	趨勢科技	趨勢科技
2013/7/3-4	Information Gathering	Confidential	Confidential
2013/6/28	PT-NG(Kali Linux)	集思台大會議中心	HoneyCon 2013台灣誘捕網路研討會
2013/6/27	The Honeynet Project Annual Workshop 2013趨勢分享	集思台大會議中心	HoneyCon 2013台灣誘捕網路研討會
2013/6/13	雲端時代中的資安威脅	華漾大飯店(大立店)	新世代網路行為管理研討會
2013/6/3	個資保護與檢測	Confidential	Confidential
2013/5/31	漫步在雲端	真理大學資訊工程學系	真理大學資訊工程學系
2013/5/30	網路安全工具介紹	Confidential	Confidential
2013/5/29	漫談個資法與新世代資訊安全威脅	崑山科技大學崑山會議廳	崑山科技大學資科院
2013/5/27	資訊安全威脅與案例分析	國立中興大學圖書館	國立中興大學圖書館
2013/5/23	從CSA看雲端資訊安全威脅與隱憂	六福皇宮	2013 SafeNet Data Protection Solution Day
2013/5/22	從台菲衝突看網路攻擊技術之發展趨勢	國立成功大學計算機與網路中心	台南區網會議
2013/5/21	日誌分析技術與應用	國立中山大學資訊工程學系	電子商務與資訊安全課程
2013/5/11	資料視覺化技術與應用	國立雲林科技大學	網路攻防實作研習營
2013/5/9	巨量資安資料分析與應用	逢甲大學中科校區	Hadoop研討會
2013/4/28	從資安事件看網路攻擊趨勢	國立中山大學圖資大樓	TWAREN技術小組會議
2013/4/28	網路封包分析技術與應用	國立中山大學資訊工程學系	電子商務與資訊安全課程
2013/4/27	誘捕網路規劃與建置實務	國立雲林科技大學	網路攻防實作研習營
2013/4/26	巨量資安資料分析與應用	高雄國際會議中心	Hadoop研討會
2013/4/25	Splunk與分散式巨量資料即時分析應用	寒舍艾美酒店	大數據時代的資安事件分析研討會
2013/4/22	Google Hacking技術與應用	國立中山大學資訊工程學系	電子商務與資訊安全課程
2013/4/19	巨量資安資料分析與應用	台大創新育成中心會議展示室	Hadoop研討會
2013/4/16	巨量資安資料分析與應用	集思竹科會議中心	Hadoop研討會
2013/4/13	Google Hacking技術與應用	國立雲林科技大學	網路攻防實作研習營
2013/3/26	網路應用服務安全	中山大學資訊工程學系	電子商務與資訊安全課程
2013/3/25	揭開APT的真面目	中華電信學院	中華電信學院
2013/3/6	從CSA看雲端運算安全趨勢	國家高速網路與計算中心	雲端運算技術與應用研討會
2013/1/30	誘捕系統技術與實務基礎	Confidential	Confidential
2013/1/24	個人資料保護法實務	高苑工商職業學校	高苑工商職業學校
2013/1/8	新世代資訊安全威脅	國立交通大學	國立交通大學資訊工程學系

跟老婆從大學相識了七年半，邁入人生的另一個階段，共同組成了家庭，這一切還像停留在昨天的回憶，轉眼間時間過得真快，今天我們已經結婚了十年，這十年來也共同經歷許許多多美好與辛苦的回憶，翻出之前的照片，看看十年前的我們，跟現在相比多了點成熟，也更加有了自信，畢竟這十年也一同經歷了許多的挑戰與困難，至今我們也都有小小的成就，當然也有了我們可愛的小朋友，一切就變得更忙碌，但生活卻也更加的有趣，我們有太多的第一次，也有許多共同的回憶。

(台南-成功大學榕園)

老婆跟我其實還喜歡中國的歷史文化，這個可能跟老婆是成大歷史系畢業的有關，因此在拍婚紗時，還特別選了文人雅士的風格，頗有徐自摩的感覺，記得當天在孔廟拍照時，還有幾位來台灣旅遊的外國人，特地問我們能否拍照，這個當然是沒有問題的。

(台南-孔廟)

成功大學是我們一同求學的地方，尤其榕園更是我們常常課後騎車跟聊天的地方，拍婚紗照當然要來這囉！回想初次來到成大，就感受到成大人的特質，以及整個校園風氣，讓我們在這完成了學業。

(台南-成功大學榕園)

難得的婚假，當然挑的是較遠的歐洲，當時年輕不懂事，想說難得機會到歐洲，還選了個十天走訪義大利、瑞士、法國的行程，整團有五分之四是來度蜜月，可見當時的選擇是許多人的首選，也是熱門的蜜月行程，整團的人都是走到那，買到那，LV一個個不手軟，從義大利一路買到巴黎，實在有夠厲害，不過當時因為結婚、買房子一起來，這一趟蜜月之行，倒是相當的克制與節省，原本今年也是預計安排到歐洲二度蜜月，不過老二準備來報到，還是等明年再成行了，到時候再讓老婆發揮十年前沒施展的功力。巴黎的羅浮宮常常聽到，這次終於第一次有機會來這，而且跟自己的老婆一起來，整路都有個隨身的導遊，細說著每一個城市、文物的歷史。

(法國巴黎-羅浮宮)

第一次來到下雪的地方，居然就是零下15度，在瑞士的鐵力士山上，一踏出山頂的服務區，腦海中只有一個念頭：「怎麼這麼冷啊！」，撐不到三分鐘，趁著相機的電池還沒結凍之前，趕緊抓時間拍好照片，就趕快回到服務區取暖一下，很難想像有人可以在冰雪中走來走去，不過冰天雪地的感覺倒是相當的特別，住在台灣除非真的來現場體驗一下，實在是很難想像有這樣的地方。

(瑞士-鐵力士山)

平時忙於工作，解決生活上的問題，到了週末當然有空就往戶外跑了，幾年下來，台南附近的許多景點大多走遍了，也讓自己的心靈可以放鬆一下，充滿電再重新挑戰下一個星期即將到來的工作與挑戰。

(台南新營-八老爺牧場)

國立臺南藝術大學，是相當有特色的學校，到處都充滿著文化的氣息，第一次來雖然就遇上天候不佳，不過兩個人在雨中漫步，倒是有著不一樣的氣氛，一邊看著校園風景，聊著聊著也就忘了天空正下著毛毛雨了。

(台南-國立臺南藝術大學)

日本是我們兩個人都喜歡的旅遊的國家，結婚後這幾年下來，日本的關東、關西走了好幾遍，這兩個地區的主要景點，大多數都有我們的足跡，不過每次到日本自由行都有不同的收獲，尤其有一次跟一位老伯伯問路，他用英語講不清楚，流利的日語我們是聽不懂，後來居然就帶著我們往目的地走了快十分鐘，原本還以為他要去的地方跟我們同方向，帶我們到了目的地之後，就看著他往回走，才知道原來他是特地帶我們過來的。

(日本橫濱)

第一次來台中奧萬大，是跟同事一同來旅遊，歷經幾年來的部門調整以及人事異動，雖然當時的同仁目前不一定還在現在服務的中心，但看著每張照片還是有著過往的回憶，大家有留意到老婆的肚子已經微凸了嗎？因為我們有了第一個小朋友，也正期待著他的到來，相信我們的生活會變得更不一樣。

(台中奧萬大)

老大有著我們共同的特徵，這是不可否認的，滿月的時候依照傳統的習俗，我們特別安排了製作胎毛筆的師傅來家中，這是第一次理胎毛，準備了十全十美，除了希望小朋友能夠健康的長大之外，當然也希望他有著幸福的人生，不過剛睡醒的小朋友，還一臉疑惑的看著媽媽，到底我們從睡夢中叫醒他，是要對他做什麼呢？

(台南家-老大滿月)

老大最喜歡的就是跟著我們到處走走，這個倒是滿像我的，只是還小的時候，打理大包小包的出門，再加上推車等等，還真的是一個大工程。

(台南-走馬瀨農場)

從小老大就對周遭充滿著好奇，動作又大又有力，雖然有時候不小心還會從床上掉下來，不過從老婆教他怎麼自己爬下床後，掉下來的次數就很少了，不過他一下床到到處爬來爬去，玩東玩西的，還是得盯著點，第一次帶他坐五分車，是從八老爺車站坐到新營糖廠，滿有懷舊之旅的感覺。

(台南-新營糖廠)

從台南到墾丁不用三個小時，也成為我們旅遊常去的地方，幾乎一年之中都會來個二、三次以上，帶小朋友來墾丁當然是到海生館看魚囉！第一次來時幾乎小朋友幾乎是目不轉睛的看著水族館中各式各樣的魚，對什麼都充滿著好奇的眼神。

(屏東墾丁-海生館)

谷關是我國、高中時，經常跟同學搭著公車來玩的地方，從彰化早點出門，算好車次，在中午前就可以到達谷關，在當時算是不近不遠的景點，結婚後當然也是帶著全家到谷關來回味一下，不過二十年過去了，這邊的景物早已不一樣，也因為先前風災的關係，多了點冷清，但是遊客少了，也更能夠慢慢的享受這個好山好水的地方。

(台中-谷關)

老大還小的時候，當然出國是沒他份的，畢竟又是大包小包的出國是件辛苦的事，因此就託長輩幫忙顧一下，我們兩個就忙裏偷閒又到日本了，這次來關西就住在京都，也搭著電車、騎著腳踏車，享受一下難得的清閒，從京都市區到磋峨野有一小段路，算是在郊外，不過也因為遠離了市區，也更能好好的看看山光水色，搭著磋峨野小火車一路到龜岡，雖然來得季節還沒楓紅，不過在山林中穿梭的感覺，實在是相當的好，尤其是兩個人自己跑出來放鬆一下。

(日本京都-嵐山磋峨野)

彰化的田尾，印象中是每隔一段時間，就會到這來買買花花草草，近幾次來這，原本的園藝都還在，不過又多了好幾家特色的餐廳，賣著各式的簡餐與輕食，當然有些會配合一些聯花花草草的料理，吃飯喝足之後，小朋友最喜歡的就是餐廳旁的兒童遊樂器材了。

(彰化田尾-公路花園)

第一次聽到德元埤，真的不知道這是什麼地方，又再知道這個就在台南，就更加的覺得奇怪，讓我們想要一探究竟，在朋友的帶路下，穿過不算大的小路來到這，才發現居然還有這個地方，而且還在台南，風車建築是最先吸引我們目光的，有著濃濃的荷蘭風情，不過現在路標已經都很清楚了，有來台南柳營的話，不妨到這走走。

(台南-德元埤)

我們一同到離島旅遊，當然首選是澎湖囉！一路上小朋友超開心的，主要是一邊可以騎著車，還偶爾會被他發現在農地上的黃牛，以前還沒看過真正的牛，居然跟我們說怎麼那麼大一隻，一路上只要看到牛，就得停下來讓他看個幾分鐘，這次有好幾個小朋友的第一次，第一次離開台灣、第一次搭飛機、第一次搭船...，當然也包括了第一次看到真正的牛。

(澎湖-風櫃洞)

在老婆從國小老師轉到健康產業之後，跟著老婆來韓國參加Herbalife會議之前，根本沒想過會來這，既然來了當然也得瞭解一下這個常聽到卻又陌生的國家，這個國家的文化其實跟中國的文化是滿相像的，包括文化、建築、禮俗等，都跟我們有些相像，但是又覺得有些不一樣。

(韓國首爾)

加拿大的美景是不可否認的，有著充沛的天然資源，這次來加拿大旅行，主要是前往冰川國家公園，看看萬年的冰河，因為全球暖化的關係，每年以幾百公尺的速度在消失中，到了這也才真正的感受到大自然的威力，搭著雪車上了冰川，腳下所踩著的冰河，存在的時間遠大於我們的年紀，在這萬年冰川之上，喝著剛融化的雪水，不禁對大自然充滿著尊敬。

(加拿大-冰川國家公園)

來了露意絲湖，真正的感受到每個人有生之年都要來一趟，在現場感受到天然美景，不是三言兩言可以傳達的，只有自己親身來到這，才能夠真正體會這句話，湖光山色就在眼前，真不在話下，飯店本身就滿美了，再加上旁邊由山上的融雪所形成的湖泊，聽當地人說冬天湖面結冰時，還在會在上面辦冰上的活動，可以直接在結冰的湖上行走。

(加拿大-露意絲湖)

我們一同來到了這個以前在書上常聽到的城市-北京，因為短短幾個小時的航程，就一起帶著小朋友同來，第一次來北京其實就明顯感受到因為都市與經濟發展下，所造就的現代化北京，許多的設施與建築都是滿現代化的，比起台北目前老舊的建築而言，還真的是有相當大的差別，來了北京當然得試一下北京烤鴨-全聚德，有人說它好吃，有人說它普通，我們是覺得反正之前沒吃過，就先試試囉！師傅會親自把整隻鴨在餐桌旁分解，倒是滿特別的。

(中國北京-全聚德)

登上長城是這次來北京滿特別的經驗，也是我們一家三口同時登上了這個在中國歷史上相當重要的建築物，以前從太空看大陸的照片，最容易看到的建築物就屬長城了，因此這次特別搭車前往這個一直想來爬一下的地方，長城並不像我們所想像的是很好走的，隨著山脈陵線所建的長城，當自己親身在長城上時，總免不了走一段就得爬上爬下的，不過在纜車站的降近，人倒是最多的，建議下回來這的朋友，可以挑戰一下長一點的路段，可以避開許多的人潮，不過可能得預估半天到一天的時間，才能夠走到下一個鋒火台，也才有路可以下山。

(中國北京-長城)

台灣各地也是到處都有我們的足跡，難得在台北過夜，再加上參加Herbalife辦的健行活動，隔天當然再繼續前往陽明山一遊，以前都是開車上來，這次沒交通工具，只好選擇搭公車，不過後來也覺得其實搭車也是滿方便的，擎天崗上有很多的人在這「曬」太陽，不過主要是徐徐的微風從山坡上吹來，當中的青草香真的讓人非常的舒服，我居然躺著就睡著了，不知過了多久，才從睡夢中醒來。

(台北陽明山-擎天崗)

近兩年我們都會到南投信義鄉的布農族部落走走，跟著一大群的朋友，享受一下不一樣的假期，聚會、聊天再喝著啤酒，人生再快意不過，伴隨著山上的蟲鳴鳥語，讓我們的身心靈都經過了大自然的洗滌，讓我們對未來更充滿了活力。

(台中信義鄉-望鄉布農部落)

花蓮是比較少機會可以隨時來的，每次來花蓮總免不了俗，要到一些著名的景點再走一走，不論是自己來還是帶著朋友一起來，也正因為每次一起來的朋友不同，都有著不同的回憶，但這些都是我們大家共同的回憶，將來當我們一起話說當年時，這一段就是我們的交集。

(花蓮-松園別館)

跟著老婆的Herbalife事業，除了我自己的國外行程外，也越來越多可以當跟班的機會，這也是第一次到澳門來，這個城市給我們滿特別的感覺，區域不大但是充滿了異國的風土文化，再加以上是外國殖民地的關係，有許多的建築都跟中國傳統的建築不同，不過時空背景的不同，在這生活的大多是華人了，現在帶小朋友出門另一個好處，就是可以充當我們的攝影師了，而且可能有我的真傳，拍照技術越來越好。

(澳門-大三巴)

我們一家人又來日本了，不知道為什麼，特別的喜歡京都，這幾年幾乎到日本，都會到京都住上個幾天，隨著不同的季節來這，其實風景是不一樣的，不同的季節來，可以感受一下不同的美，清水寺是相當有特色的地方，雖然要從山下走上一段路才能夠到這，不過絕對是值得的，尤其天氣好的時候來，建築物與山間的美景融合在一起的感覺，讓我們也留下了深刻的回憶。

(日本京都-清水寺)

日本的神戶，跟大阪一樣有著許多外來的文化，這次前往日本時，就安排了神戶的行程，看看以前這些外國的領事館以及相關的建築物，目前都已發展成觀光的地區，帶著小朋友在日本看看其它國家的文化，倒是滿特別的感覺。

(日本神戶-北野異人館)

趁著老二在肚子中，入海關還看不出來的時候，抽空到了美國舊金山一趟，此行主要是拜訪以前一同工作的長輩，也是相當好的朋友，尤其每次到美國出差，都得讓他接待一番，這次因為要飛十幾個小時，就沒帶小朋友一起來了，不過讓我們兩個也有一個小小的假期。

(美國舊金山-金門大橋)

來舊金山當然要搭一下重要的纜車，這個在現代化的城市中，倒是相當獨特的，在車水馬龍的路上，還有著傳統的纜車跑來跑去，隨著舊金山市區高高低低、起起伏伏的地形，可以想像當時纜車在整個交通運輸上扮演著相當重要的角色。

(美國舊金山-纜車站)

舊金山另一個必來的景點，就是漁人碼頭了，我們一起看著海獅，聽著牠們的叫聲，倒是相當的有趣，也讓老婆每次聽我說著39號碼頭的海獅，能夠親身的體驗一下，其實我們人類是可以跟動物合平相處的。

(美國舊金山-漁人碼頭)

在去年(2012)我們第一次開了自己的店，就在台南人來人往的裕農路上，賺多少錢事小，但是我們看著週遭的朋友不少因為健康的問題所苦，連自己的長輩也因為健康的問題讓我們身為子女的擔憂，而感念到不論追求事業或是人生的成功，健健康康的身體才是一切的根本，縱然有多少的財富，健康永遠是最前面不是零的那個數字，當健康沒有了，就是一切歸零，多遠大的抱負或理想，早就不復存在了，「幸福御守」是對我們自己的要求，希望透過健康資訊的傳達，讓我們自己、自己的長輩、自己的親朋好友能夠越來越有健康的思維，未來也才能長長久久，這個是對我們另一半的責任。

(台南-幸福御守)

如果有人問我，十年了對於婚姻有什麼感覺，其實就是盡責與讓對方幸福兩件事，做好自己的責任，包括了對另一伴、小朋友以及家庭的責任，也讓身在其中的人都能夠有幸福的感受，就像我們一起在奇美農場所共同種下的那一畝青菜，細心的灌溉與呵護，總有收成的一天，而我們都能夠共同享受美好的成果。

(台南善化-奇美農場)

細心經營，我們會有更多個十年可以共同回味...