網路及通訊安全的新挑戰

臺灣的資訊安全需求，並沒有落後全球發展的腳步太多，大約僅六個月的落差。以2004年資訊安全產值成長100多億元來說，政府就佔了其中一半，而企業對資訊安全議題更是滴水不漏的掌握。企業關心的安全議題

「沒有100％的解決方案，企業能做的是找到具有即時回應機制的解決方案，及經過市場驗證的業者來協助建置安全防護網。」勤業眾信會計師事務所副總經理萬幼筠說。 前陣子他做了三家金控安全專案發現，IT部門總是面臨著兩難的處境。資訊部門總會被營運主管質疑，在花了大把鈔票投資設備後，為什麼還會收到垃圾郵件？在買了IDS、IPS之後，還會不會要買「IxS」嗎？

營運主管眼中安全控管議題，總不脫離其心中所想的企業價值鏈，成本及營運資訊都是為了維護競爭力，「企業內部的研究開發機密，遠比大家心中所想的重要性還高，製造生產的服務及行銷服務也是。」萬幼筠說。

萬幼筠指出，企業資訊安全受到四大議題影響，包括：內部電腦舞弊、營運機密洩露、外在經營環境及法令要求，及資訊科技的便利所衍生的負面影響。萬幼筠觀察到，電子五虎都密切注意營運及研發機密的保護，而且很願意投資，以確保異地同步研發的成果，假設以防火牆為例，他們的研發部門購買預算，是同公司資訊部門的十倍。

因為安全是一個全面性的議題，廣義的資訊安全是連同風險管理都含在內。觀諸國內資訊安全法令的演變，其實是隨著美國的資訊安全規範的腳步，個人資訊保護法已在我國實施，至於GLBA金檢查審原則，目前金管會也在研究導入Sarbanes-Oxley Act of 2002，而研考會則研究導入Federal Information Security Management Act。

資訊科技的發展快速，企業在安全上顧慮，普遍對於Peer 2 Peer技術、網路語音及即時通訊軟體、垃圾郵件、變種病毒及內部系統的舞弊最感到頭痛。從VoIP看網路安全

網路語音與資料透過同一個IP化平臺運作，有助於企業降低成本，同時可以提升員工生產力及行動力，因此，已經有越來越多公司願意採用VoIP作為語音通訊的架構。

然而，VoIP會有什麼樣的安全需求呢？北電臺灣區產品技術資深經理楊光明指出，網路語音比傳統語音更容易發生被偷聽、偷竊及阻斷服務，企業網路遭受攻擊時，語音亦不能倖免。

另外，語音所使用的頻寬與資料是一個通道，但在邏輯上，語音被保護的安全等級應該高於資料，但事實上並不然。這種種威脅都曝露出網路語音的安全亟待重視。

「VoIP安全政策應該被追加到既有的企業網路安全政策中，」楊光明說，企業要想實施一個安全的網路語音環境，就必須將新的網路語音服務及應用融合到企業既有的安全政策，不能獨立存在運作，或是等閒視之。

他提出，在安全的等級上，也不能以一種狀態來放諸四海皆準，作為企業所有安全需求的標準。楊光明說，安全應被分出四種等級，從最小、基本、加強到進階四種類型，不同類型的成本與效能也被區分出來，這兩者也是企業在投資IT時的主要考量。

「安全並不會隨著成本投入增加而正比成長，」楊光明說，最小與基本型的安全等級用於面對今日網路的微幅改變而來，加強安全等級附加了通道切割、內部防火牆及端點安全等等元素，而進階等級則是為終端與伺服端強化認證能力。無線網路安全機制

北電臺灣區網路研發資深經理鄭清文表示，以北電在臺北及高雄兩市建置Mesh無線網路的經驗認為，無線網路的安全可透過Wi-Fi保護存取（WPA）機制來認證內建WPA的設備。

鄭清文指出，完整的無線安全應該經過道通驗證、網卡驗證及802.1x的驗證。因為WPA是開放式可擴展的認證協定，EAP-TLS、EAP-TTLS及EAP-PEAP都可被支援。

在使用者流量的加密方面，是透過動態變更密鑰（TKIP）的方式來作，在使用者終端設備，則以網卡號碼及衍生出的檢查碼來作為驗證基礎，若是支援WPA的設備，就可以受到加密的保護，其他非WPA設備傳送的資訊，就不受到特別加密保護。