提升系統安全防護的6種產品

企業要進行日常業務運作，使用者在工作流程與協同作業的過程中，往往必須仰賴各種應用系統的輔助，因此這部份的安全性防護不足，也會影響企業整體維運。

根據iThome個資法大調查的結果顯示，最多企業已經或預計採取的系統安全措施，和資料安全一樣都是備份，其次是存取控管、身分認證，而弱點掃描、程式碼檢測和滲透測試，使用比例上，都是低於50％。

系統備份

當一有安全威脅發生，我們通常會先考慮的問題是：「備份做了沒？」，而對系統安全這方面的議題來說，最重要的是保護上面所存放的資料，然而若有資料，卻空無系統來為使用者提供服務，也是枉然。

因此在系統備份的考量上，我們要注意的不只是資料是否獲得保障，應用系統本身的可用性是否能維持，也相當重要。

而當前企業級備份軟體所強調的保護目標，除了針對重要資料，也包括對各種重要應用程式執行環境的支援。

以目前Symantec、CA、Acronis等公司的產品來說，不只是針對各種作業系統平臺的電腦或伺服器，例如Windows、Linux、Solaris、AIX、HP-UX、Mac OS X，以及伺服器虛擬化平臺，如VMware vSphere、微軟Hyper-V，還可以支援資料庫（例如微軟SQL Server、Oracle Database）、郵件伺服器（例如微軟Exchange Server、IBM Lotus Domino / Notes），以及文件管理伺服器（例如微軟SharePoint Server）。

在系統可用性的提升上，我們會希望既有的應用系統都能具備與建置高可用性（High Availability）的機制，甚至能進一步做到災難備援（Disaster Recovery）的程度，看起來很困難，不過現在隨著伺服器虛擬化應用的普及，要在這樣的平臺上要達到保護系統的目的，方式已經比過去簡單，而所需的費用也比較低廉。

有些伺服器虛擬化平臺，本身已提供或整合自家的高可用性機制，如VMware的 vSphere有vSphere HA和vSphere Fault Tolerance，至於微軟的Hyper-V則有Windows Server Failover Clustering。而在災難備援的機制上，VMware vSphere現在可搭配vCenter Site Recovery Manager，微軟Hyper-V則有Hyper-V Replica。

若想要用其他廠商提供的備援解決方案，在應用系統的高可用性強化上，目前有下列幾項選擇，例如：Symantec的 ApplicationHA，以及NetIQ PlateSpin系列的Protect應用軟體或Forge設備。

存取控管

在企業的IT系統中，通常會針對使用者的工作性質和管理位階，賦予不同的系統或資料存取權限，這稱之為存取控制。為了方便設定，一般都會基於多個角色（Role-based）來定義不同性質的使用者身分所對應的權限。

在這方面的跨不同應用系統的存取控管產品中，最近市面上出現了不少關於針對特權使用者的權限控管系統，例如BeyondTrust PowerBroker、CPS Ultimate Auditor、Cyber-Ark Privileged Identity Management Suite、Xceedium GateKeeper。

身分認證

對於系統登入的身分控管，可確保應用系統的使用者都是經過合法授權。而在身分認證的方式，密碼驗證是最普遍的作法，而且在這部份的管控，一般企業大多都會整合位在內部網路上的目錄服務伺服器，例如Active Directory或LDAP（Lightweight Directory Access Protocol）。

不過，密碼驗證的問題是很有可能被猜到，或經由一些側錄方式被取得，因此在基本防護上，現在的系統管理者通常都會要求使用者，必須定期更換密碼，而且對密碼內容的字元組合都有規定。

為了減輕使用者記憶的負擔，並兼顧身分管理的考量，有些企業會導入其他的身分認證機制，像是Token認證設備、動態密碼OTP（One-Time Password）、智慧卡（Smart Card）、生物辨識（指紋、指紋靜脈）。

以OTP來說，目前市面上可見到的的產品，有RSA的SecurID、SafeNet的eToken PASS/3500/Gold、全景軟體的MOTP。

除了身分認證裝置，企業在不同系統的使用者身分管理還需要更多協助，因此市面上，也有一些套裝軟體提供身分與存取管理（Identity and Access Management）的功能，像是NetIQ的Identity Manager、SecureLogin、Access Manager，微軟也有Forefront Identity Manager，此外還有IBM的Tivoli Identity Manager、Quest的One Identity Manager。

弱點掃描

在各種作業系統或應用系統軟體，即使在開發過程中謹慎地加以考量、測試驗證，仍可能會有可能產生漏洞或弱點。而弱點掃描或弱點評估（Vulnerability Assessment）是一種自動化處理技術，這種產品的主要目的，是設法找出目前系統中，到底潛藏了多少弱點。

在弱點掃描的產品中，目前在業界中較知名的有：Tenable Nessus、微軟的Baseline Security Analyzer（MBSA），以及Lumension的Scan（PatchLink Scan）、McAfee的Vulnerability Manager、eEye的Retina系列，還有Qualys的QualysGuard Security and Compliance Suite。

不過，基本上企業平時很少會採購這樣的產品進來，長期使用，通常會在執行滲透測試過程時，才會搭配使用。

程式碼檢測

軟體是以程式碼的方式所寫成、編譯的，因此若要為應用系統開發的品質嚴格把關，安全性的考量是不能忽視的重點之一，所以必須從系統建構的源頭——在開發過程中整合相關的檢查程序或工具，來協助落實，例如程式碼檢測（Source Code Analysis）。

而一般所謂的程式碼檢測，通常是指靜態程式碼安全性檢測（Static Code Analysis），提供這種功能的工具，它的特色是可以全面掃描程式碼，將程式碼不安全的部分偵測出來，同時會建議該如何調整寫法，才能避免成為可能遭人濫用的漏洞。

在臺灣，可提供這方面功能的產品，目前較知名的，像是阿碼科技的CodeSecure、IBM的Security AppScan Source、HP的Fortify Static Code Analyzer和QAInspect等。以HP來說，他們還有特別針對弱點評估需求的產品，例如：Fortify Real-Time Analyzer、WebInspect，而且提供可短期租用的雲端服務Fortify on Demand。

在iThome個資法大調查中，目前只有17.3％的企業已經或預計採用程式碼檢測的產品，其中又以金融業的比例最高，為64.7％，其他產業都不到一半。這意味著我們對於程式碼開發期間的安全檢測，並不夠重視。

滲透測試

如果想徹底地了解自身環境對於入侵行為的因應能力，有一些公司會考慮透過執行滲透測試（Penetration Test）的方式來驗證。這種作法的執行，會試圖模擬來自環境內部與外部惡意人士所發動的攻擊，能以主動的方式，更完整地分析出潛在的系統弱點。

在滲透測試所利用的攻擊方法中，有些是業界已知的漏洞，或是尚未被發掘出來的漏洞，有些則是因為不當的系統設定所導致的弱點，以及作業流程中的疏失。

在iThome個資法大調查中，關於各產業在系統安全防護措施的採用度，滲透測試是敬陪末座，而金融業仍然是當中較積極使用的，有70.6％。其他產業已經採用或預計採用的比例都低於5成，一般製造業和高科技製造業更是低於10％，也許有可能過於高估自己不被入侵的可能性。

滲透測試在實際執行上，幾乎都以服務的方式進行，市面上沒有專屬的套裝產品，但提供服務的業者裡面，有些會搭配採用弱點掃描或安全測試產品來進行。

在系統安全的防護上，落實人員進入機房或登入系統的管制相當重要，除了透過密碼驗證身分之外，還可以搭配生物辨識。圖中為非接觸式的指紋與靜脈的身分辨識裝置。

相關報導請參考「防範資料外洩，IT總動員」