網路的蓬勃發展,使傳統的資訊安全市場產生巨變;不斷翻新的網路入侵技術、類型多變的病毒破壞,藉著貫通全球的網際網路和電子郵件傳遞,讓邁向電子化的企業飽受威脅!
為了避免因發生網路安全問題造成直接或間接的金錢損失,企業應積極採取主動防範策略,對網路進行弱點掃描的安全評估,了解並掌握本身的網路安全狀況以進行改善,進而降低資訊安全風險。此外,根據資策會MIC調查指出「光買資訊安全產品,已經不能保護企業資料」,企業需要的是整合性的資訊安全解決方案和專業的服務,才能有效提升競爭力!
近來,整體資訊安全環境產生巨幅變化,單點產品的發展雖然出現許多可以保護企業網路的防護技術,但上百種偵測器複雜且多元的本質,卻使得情況幾乎難以管理與控制。單一產品如防火牆、IPSec、及VPN等已無法全然面對各項網路威脅,唯有完整安全解決方案和專業服務才能因應日漸複雜的企業網路環境。
維持企業內部網路完整性
當您連上網際網路時,電腦就開始與超過5萬個未知網路以及其使用者進行連線。雖然這種連線會開啟許多管道,讓您連結多項應用系統並獲得資訊分享的機會,但大多數私有網路的資料皆不宜讓外部使用者隨意取得,更何況並非所有網際網路使用者的行為都會遵循法律的規範。
資訊通常以兩種狀態存在於網路中,分別為實體媒體,例如像硬碟、記憶體,或是以封包的型態在實體網路線路中傳輸。而這兩種資訊狀態卻顯示出內部網路以及網際網路上的使用者有許多機會發動攻擊。在規劃網路防護時,應注意如何維護實體網路的完整性、網路軟體以及其它網路資源。網路的完整性包括電腦與使用者的身份、網路提供的服務運作能力、以及最佳化的網路效能,這些都是維繫最佳網路環境的重要因素。
思科系統針對企業網路完整性提出思科網路身份認證服務(Identity Based Networking Services;IBNS),此服務為一套整合型解決方案,其結合多種思科產品,藉由提供授權、存取控制及使用者管理政策,以保護網路之連線與資源。 透過思科網路身份認證服務,可提供網路管理者智慧型調整層級設定,以提高網路彈性與機動性,並結合授權、存取控制及使用者管理機制來確保企業網路安全。
網路安全五大要素
由於企業對網路資料的安全與可靠性愈見重視,相關解決方案發展也更加快速與完整,企業如要詳細審視企業網路的狀況以及需求,就需先瞭解網路安全五大要素,並對其中關鍵嚴加評估,才可擬定完善的網路安全策略,有效保護企業的網路與資源。網路安全五大關鍵要素包括:
- 資料隱私(Data Privacy)
當資訊必須被嚴加保護以防他人竊取時,可配合需要提供驗證與機密通訊的功能,此為一項關鍵要素。有時利用通道(tunneling)技術分離資料的方法能提供有效的資料隱密性,但當有額外的隱私需求時,則必須採用數位加密科技與協定,例如IPSec;以建置企業虛擬網路(VPN)為例,此種額外的安全保護則特別重要。
- 辨識(Identity)
辨識是指正確地分辨網路使用者、主機、應用程式、服務和資源。提供辨識功能的標準技術包括一些驗證協定,如RADIUS、TACACS+、Kerberos以及單次有效的密碼工具等。而數位認證、Smart Card與目錄服務(Directory Service)等新技術也開始在辨識方面扮演越來越重要的角色。
- 安全監督(Security Monitoring)
為確保維持網路安全性,必須定期監測安全狀態。系統及網路安全漏洞掃描工具能主動辨識安全缺失,進入偵測系統監督並回應安全事件。企業可以藉由安全監督方案,深入掌握系統及網路資料流和安全狀態。
- 周圍網路安全性(Perimeter Security)
此要素提供一些保護方法,以控制關鍵網路應用程式與資料及服務的存取,並確保唯有合法使用者與資訊才能通過網路。具備存取控制表單或"stateful"防火牆功能的路由器、交換器,以及專門的防火牆設備等,皆可提供此項控制能力,而輔助性的工具也有助於控制網路周邊安全性,其包括病毒掃描與內容過濾等。
- 政策管理(Policy Management)
隨著網路規模與複雜性的增加,集中化政策管理工具需求也相對提高。具備分析、解譯、組態和監督安全政策狀態的高功能工具,加上以瀏覽器為基礎的使用者介面,皆能顯著強化網路安全方案的使用性和效率。
建立安全周圍網路
當您在擬定網路安全策略時,必須規劃相關的作業程序來保護網路,避免其中的內容與使用者遭受損失或損壞。從這個角度來看,網路安全策略扮演的角色就是推動組織整體安全策略執行者。
網路防火牆是整體安全解決方案的重要部份,它負責根據安全策略監視跨越各周圍網路的資料流。周圍路由器配置在網路邊界,例如像私有網路、內部網路、外部網路、或是網際網路之間。防火牆大都負責區隔內部(私有)與外部(公共)網路。網路安全策略主要應用在控制網路流量與使用權限。其定義網路的各種資源與威脅狀況、規範網路的使用與責任、以及當違反安全策略時的細部作業計畫。
圖1: 現有的三種周圍網路: 最外層、內層、以及最內層
圖2: 顯示雙周圍型網路安全設計
網路安全與經營環境
根據IDC的市場調查顯示,72%的企業曾遭遇網路安全入侵事件;另有39%的企業認為,過去一年來所面臨的資訊安全性威脅與日增加。雖然大多數的企業具有某種程度的網路安全措施,但卻偏重於現成的單一產品,而非全面性的網路安全解決方案。隨著資訊安全的危機事件日益增多,加上電子商務的應用逐漸普及,企業必須開始重視災難復原與加密機制等進階的安全性解決方案,不要只是停留在老舊的網路安全觀念中。
另外,由於網路安全的佈署對企業來說不會產生實際的利潤,或直接降低企業的成本支出,所以在全球經濟不景氣的情況下,企業的網路安全預算編列也會有所遲疑,但事實上,全球有許多案例都陸續證明,一旦資訊安全遭到入侵,都會直接或間接影響營收。
大多數企業最常面臨的安全性威脅,主要來自於電腦病毒的攻擊和駭客入侵的問題,所以企業e化的成熟度越高,網路安全的重要性也隨之增加,而網路使用率與電子商務的增加,也顯示出新時代的企業經營環境,對網路的重要性與依賴度已逐漸擴大。
結論
1995年時,全球只有5000萬人連上網路,但調查顯示2003年將有8.07億人會在網路上購物,所以不論企業已經部署了哪種系統,都需瞭解整體網路安全解決方案才可有效防護網路攻擊事件。網際網路雖然提供企業一個符合成本效益的商業運作平台,以銷售他們的產品與服務給廣大客戶,但擁有健全防範準則及穩固網路安全的企業至今仍是十分有限。處於激烈競爭環境的現代企業皆需改善網路安全機制以保護資料的完整性、隱密性及合作夥伴網路等,進而強化防禦機制以及降低網路風險,讓企業持續保有商業競爭力與高效生產力。