DCI網路安全監控系統2.0

以一擋六，監控加上防洩密

由數位商業資訊（簡稱數訊）所開發的DCI網路安全監控系統（簡稱DCI），能夠分析電子郵件（SMTP、POP3）、FTP、WWW、Telnet、SSH及IM（MSN、ICQ、QQ、Yahoo即時通等）的封包，監控所傳送的內容，並利用關鍵字和檔案名稱，攔截特定的訊息和檔案。以封包特徵進行分析，即時攔阻非法訊息

為了防止洩密，企業建置各種內容過濾和監控系統，但在這樣的情況下，網路分流是很大的麻煩，特別是對中小型企業而言，無法有足夠的成本和人力去管控。使用Sniffer技術是另一個可行的方式，但它僅能記錄內容，無法直接進行阻擋。DCI網路安全監控系統則是建置在閘道端，除了監控和記錄進出的封包，並能夠攔載非法傳送的資料。

DCI是針對封包的特徵進行監控，即使伺服器主機的IP改變或使用Proxy，仍然可以阻擋，以MSN Messenger的內容過濾為例，除了能夠利用關鍵字過濾對話內容，也可以禁止執行遊戲、影音交談及檔案傳輸。

對於電子郵件監控，DCI的重點放在關鍵字及附帶文件過濾上，所以外寄（SMTP）的任何郵件，都會經過「延遲」，以檢查其內容，而內送（POP3）的信件，則備份其完整內容，以供事後查閱。你可能會問，Outlook的用戶端需要連結Exchange主機，才能傳送郵件，如何延遲呢？當系統收到郵件時，會發出封包讓用戶端相信郵件已經傳送出去，讓管理者有時間檢查信件內容。另外，有些郵件稽核產品在攔下郵件時，會發訊息通知使用者，但DCI並不會另行通知使用者，廠商表示，由於產品定位在防洩密，這樣的做法可能會讓使用者找出關鍵字漏洞。

產品針對電子郵件、FTP、WWW、Telnet、SSH及IM，都可以制定不同的處理方針，例如Telnet和SSH是以攔截為主，WWW則是以記錄為主，但要注意的是，如果管理者要禁止使用者瀏覽某些網頁，必須手動輸入網址。另外，如果要禁止使用Webmail，可以封鎖伺服器主機，但如果是要監控Webmail，由於各家廠商的協議都不同，需以專案客製化進行。群組管控，多種管理者權限

目前DCI最新版本是2.0版，可上網申請試用。由於廠商考慮到資料穩定性及成本，目前資料庫僅支援SQL Server與MSDE，SQL Server版本約10MB，MSDE版本是40MB， 可試用10天。

在建置上，系統是設置在路由器和防火牆之後，並可跨網段監控，但用戶端必須設定此伺服器IP為閘道端，而且監控主機必須啟動路由或由NAT配置。針對大型企業，DCI提供兩種備援方式，第一種是直接利用硬體（多部主機）分開成多個閘道，第二種則是採用負載平衡裝置，設置成多個WAN。

系統的用戶端管控蠻方便的，管理者可以自行掃描網段，偵測有哪些電腦，也可手動設定每臺電腦的IP和MAC位址，之後再歸類到不同群組，設定相關的權限（是否過濾管制電子郵件、IM及FTP等），舉例來說，高階主管的電腦可以不受管控，可將他們設定成Bypass群組，不執行記錄與監控；如果是一個外來的訪客，它會自動登錄到Other群組，預設的權限只能上網，無法上傳任何檔案。

管理者也可以針對流量和上網時間進行管制，如果超過設定的流量，即停止該群組的連線，或是限制可以使用（郵件、IM或上網）的時段，而且流量管控更可避免內部電腦傳送過大流量癱瘓網路的風險。

雖然系統建置完成後，所有內對外的通訊埠將全部關閉，必須由管理者開啟需要的埠，不過，安全沒有百分百，各種軟體越來越刁鑽，會一直改變其協議或特徵，有時候還是有可能從漏洞出去，並無法完全阻擋，例如Skype不斷改變其行為模式，QQ會加密其通訊內容，也沒有產品能夠檢查HTTPS及SSH連線，所以定期調整管理政策是必要的工作之一。即時流量監控

由於所有的資料都會記錄到硬碟中，包括大量的日誌、郵件及檔案，為了降低SQL Server的負擔，系統預設每5分鐘或更久才會寫入一次，也就是說，某些剛傳輸的即時通訊必須等上幾分鐘才能夠查詢。此外，廠商建議分開安裝資料庫與主系統。

產品可針對單一電腦或群組，設定各別的流量監看圖表，系統每10分鐘會產生一次曲線圖，以供管理者查閱流量狀態。當然，管理者也可以詳細查看各種通信日誌，而且系統是以原始的封包保存，可作為日後的證據留存。產品也有提供月報表，但它主要是統計整個月的上網行為，而非單獨單對某個使用者進行統計。

也許你一開始只是要監控MSN，但後來會發現這樣是不夠的，可能也要記錄瀏覽網頁和電子郵件，或者是更多，那麼DCI就是符合你需求的產品。文⊙陳世煌