大部分企業在網路安全防護上所採取的措施,不外乎下列幾項:架設防火牆,將公司的內外部網路隔開;同時,會在所有使用者電腦上安裝防毒軟體,使這些裝置具有基本的威脅防禦能力;此外,若使用者有需要從外部網路連入公司內部網路,IT人員也需要架設VPN,讓他們可以在認證身分後,用加密的方式,回到公司內網的環境上,去存取各種資源,例如檔案伺服器上的分享資料夾。

至於入侵防禦設備、上網行為管理、應用程式防火牆等防護解決方案,不一定都會導入,因為每一家公司或單位的安全性考量不同。

防火牆

一說到網路安全設備,防火牆的建置,幾乎是每家公司或單位在架設網路基礎架構時必備的,在各產業使用的比例都很高,在這次iThome個資法大調查中,至少都是88.2%起跳。

過去幾年以來,市面上開始出現了所謂的多功能網路安全設備,稱之為UTM(Unified Threat Management),風行一時。這樣的產品主打安全整合性,本身內建許多功能,例如防火牆、VPN、閘道防毒、入侵防禦系統,以及網頁過濾、垃圾郵件過濾、廣域網路負載平衡、頻寬管理等。

防毒軟體

各產業中,防毒軟體和防火牆的採用率都相當高,所差未幾,政府機關與學校在這兩種產品已經或預計採用的比例,甚至都到達100%。

在防毒軟體的使用上,臺灣的使用者普遍有這方面的意識,因此不論公司本身提供企業版產品,或使用者自行購買單機或多人家用版產品,都是相當常見的情況,於是讓這類型產品的接受度居高不下。

VPN

當使用者身處企業外部的網路,例如洽公、出差,需要連回公司內部的網路時,以存取重要資料或應用系統時,就需要透過VPN(Virtual Private Network)的協助,讓使用者可以用加密連線的方式,穿透防火牆的隔離。

不過,以往VPN連線的設定、使用,對一般人會有一些困難,於是後來開始有所謂的SSL VPN大行其道。使用者只要透過個人電腦的瀏覽器連至SSL VPN伺服器的網址,通過使用者身分驗證後,就可以建立加密連線,這樣的機制大幅簡化了VPN連線程序。

提供或整合傳統VPN和SSL VPN功能的系統和設備非常多,若不想花錢買,可以直接使用Windows Server或Linux來架設VPN伺服器,以便讓使用者可以從外部網路透過它連入內部網路。

市面上目前針對VPN提供專屬設備的產品,大多是SSL VPN,外商有Array AG系列、Barracuda SSL VPN系列、Celestix WSA 系列、Juniper SA系列以及SonicWALL SRA系列、WatchGuard SSL系列等,本土廠商的產品,則有盛達電業BiGuard S系列、俠諾 QVF8200系列。

入侵防禦系統

在網路閘道端要攔截網路攻擊或惡意程式入侵,防火牆固然可以從網路層阻隔一部分,但對於偽裝成以一般網路協定存取的傳輸行為,防護效果有限,於是後來業界發展出入侵偵測系統(IDS)與入侵防禦系統(IPS),現在這類網路安全產品以IPS為大宗,而為了和主機型入侵防禦系統(HIPS)區隔,這些產品又被稱為網路型入侵防禦系統(NIPS)。

相較於防火牆,在臺灣,市面上可以找得到的專屬IPS設備廠牌少了許多,外商有Cisco、Check Point、HP TippingPoint、IBM(ISS)、McAfee、SourceFire,本土廠商則有威播。

上網行為管理

使用者從電腦所開啟的檔案、電子郵件、應用程式、網頁,都有可能造成資料外洩的管道,因此企業會想要針對這部份加以管制。

市面上,關於限制使用者網路存取行為的產品,不勝枚舉,從個人電腦端到網路設備端,都有不同的軟硬體解決方案能夠對應。

以軟體來說,許多企業版防毒軟體均內建上網行為管理的功能,若要架設專用的伺服器來管制,較知名的有Websense,而相關硬體設備的供應商很多,例如McAfee、Trustwave(M86)、Symantec、Blue Coat。

除了專屬設備之外,可以整合多種功能的頻寬管理設備和UTM,有些也內建上網行為管理的機制。

應用程式防火牆

最近幾年應用程式防火牆也發展起來,主要針對的是應用層的網路傳輸行為,提供更強大的辨識與處理能力。

目前可以看到應用防火牆功能的產品,也分成整合設備和專屬設備。前者的應用,主要是整合在防火牆中,廠商紛紛喊出次世代防火牆的口號,就是因為當中已具有應用程式防火牆的機制。至於專屬設備也有一些可選擇,但建置成本會比較昂貴,例如阿碼SmartWAF、Citrix NetScaler設備、Imperva SecureSphere等。

在iThome個資法大調查的結果中,在應用程式防火牆的部份,居然有32.8%的企業採用。這主要是在政府機關與學校方面的高使用意願,拉抬了整體比例,有62.5%已經或預計採用,其次是醫療業和金融業。

防毒牆

在閘道端部署病毒防禦機制,主要是讓使用者存取網頁時,若不小心下載到惡意檔案或程式,可以及早攔截,降低個人端電腦感染的風險。

然而隨著許多網路安全產品都具有整合防毒的功能,例如防火牆、郵件過濾設備,而市場上專屬防毒閘道設備產品也日漸減少,有許多都轉為提供上網行為防護的系統。

認證管理

對於網路存取行為來說,確保使用者身分的合法性也相當重要。為了不讓使用者身分被別人冒用,企業需導入相關的解決方案來協助,例如目錄服務,若有更進階的管控需求,則可以考慮身分與存取管理的產品。

以目錄服務來說,在企業環境中最常看到是用微軟Active Directory。當企業需要用到比較複雜的身分管理機制,目前市面上可以選擇的廠牌有IBM、Microsoft、Novell等。

DLP

個資法設立的主要動機,是跟個資外洩有關,而專門針對這方面需求去設計、開發的產品,則是所謂的資料外洩防護(Data Loss Prevention,DLP)。

不過這類產品發展的時間比較短,市場上可選擇的廠牌並不多,目前有McAfee、RSA、Symantec、Websense等。

動態密碼

密碼是目前所有IT系統中最通用的身分認證機制,然而因為人員的使用習慣不佳、密碼組成內容過於簡單,若系統對於使用登入次數、時間與頻率沒有管制,很可能用暴力破解(brute-force attack)的方式,以便猜到真正的密碼。

基於這樣不安全的狀況,於是,有些廠商開發出所謂的動態密碼(One-Time Password,OTP)機制,使用者用來登入系統時所輸入的密碼,不再是固定一組內容,而是隨著時間會有不同的字元組合。

要建置這樣的環境,企業需將可以產生動態密碼的設備發放給使用者,同時,後端需要架設管理伺服器或RADIUS伺服器,並搭配企業內部的目錄服務伺服器,以驗證使用者身分。


相關報導請參考「防範資料外洩,IT總動員」


Advertisement

更多 iThome相關內容