攘外必先安內

四月份「中」美駭客大戰，幾乎佔據了資訊新聞大半版面，也成了大家茶餘飯後的話題，所討論的除了雙方有哪些網站被入侵外，讓許多人意外的是為何 Firewall 抵擋不了這些駭客攻擊？

Firewall 並不是企業網路安全之唯一保證，藉由 Firewall 開放存取內部資源之途徑，駭客仍可直接入侵企業內部系統；「中」美駭客大戰，許多受 Firewall 保護之網站被入侵，證明 Firewall 仍有無法避免之缺陷，也突顯了內部網路須加強安全防護之重要性！

破壞份子隨著通訊而來

Internet 應用普遍除了帶來便利外，也帶來了安全威脅！要有效防範駭客入侵，首先得了解企業內部有哪些安全威脅？

電腦病毒

電腦病毒長久以來即威脅電腦系統，其主要目的為破壞系統檔案與妨礙程式運作，隨著 e-mail、web 等網路應用普及，病毒破壞之力道更加強悍且更全面，甚至彈指之間即流竄至世界各地！如今電腦病毒更結合後門與木馬程式，大舉進駐成百上千萬之廣大 Internet 用戶，成為最具威脅之入侵來源！

內網入侵

據統計，超過 60% 之入侵行為來自於內部使用者，因為內部使用者最熟悉網路環境，且不受 Firewall 管制；此外，內部系統也會因 Firewall 開啟之通道，造成 Internet 上的駭客有機會侵入內部系統。內部系統之所以容易遭受攻擊，是因為一般作業系統並不能管控外人之存取，一旦系統有漏洞存在，駭客即可肆無忌憚地攻擊系統。

秘密竊聽

另一種網路安全威脅為 Sniffer ，一般稱為網路竊聽，利用資料流經網路途中將傳輸之資料錄製竊取，就如同電話分機監聽功能，網路傳輸資料可一覽無遺，因此諸如系統密碼以及機密資料，都可輕易被竊取。此類程式並不容易被察覺，一方面是它不破壞系統，同時會蒐集網路上傳輸之資料，並利用 Firewall 既以開啟之連線通道，例如利用 WWW 通道進行資料傳遞，藉以欺瞞入侵之事實。

內網之護身符

針對上述系統安全缺失，需要安裝不同保全機制才能達到防衛效果，包括︰AntiVirus, Distributed Firewall 與 VPN。

AntiVirus

AntiVirus 之需求不言可喻，而充斥於市場之各種防毒軟體各有各的優點，除了各家防毒廠商宣稱之截毒能力外，企業應從幾個方向挑選適用之防毒軟體︰

1.支援多樣之系統裝置

企業內部存在有伺服器、使用者 PC、Laptop 乃至行動裝置 PDA，須能完整支援。

2.支援多種架構

防毒軟體須支援 PC、Workstation、File Server、Firewall、Mail Servers 與 Virus Gateway。請參考(圖一)。

《圖一　企業選擇防毒軟體的方向》

3.提供整合能力

企業除了使用防毒軟體杜絕病毒破壞外，還必須能隨時掌握各系統上防毒軟體之運作情形，防毒功能是否運作正常？是否下載最新病毒碼？以及是否可自動軟體派送安裝，減少維護負擔？

Distributed Firewall

隨著電子化時代來臨，傳統紙張資料已逐漸被電腦檔案所取代，因此許多機密資料被存放在伺服器、桌上電腦或手提電腦中，而這些機器可能放置在受 Firewall 保護之內部網路中，或者直接連線至 Internet Firewall 在 Internet 環境中通常扮演第一線之安控角色，為企業網路安全把關。

然而系統不經過安全強化之保障，無論資料存放於何處，駭客仍可藉許多管道侵入企業網路中盜取或破壞資料，因此系統之保衛措施是不可少的。Firewall 可以為網路安全把關，同樣也可為系統安全把關，為系統安全把關的 Firewall 機制稱為 Distributed Firewall，顧名思義是分散安裝於各系統中，無論系統置於何處都能為自身之安全把關，如此系統自身即可阻擋大部分攻擊，如DoS、DDoS、後門與木馬程式以及未經授權之存取。

Distributed Firewall 除了安全防衛外，也須提供集中管理機制，除了降低企業管理之負擔外，透過集中管理機制，管理者可協助使用者設定存取控管，讓使用者無痛享有安全之好處。請參考(圖二)。

《圖二　網路駭客的入侵途徑》

VPN

藉著網路竊聽，機密資料經由網路傳輸可能被駭客竊取，欲避免資料在傳輸過程中遭竊取，須使用加密技術。目前提供傳輸加密的技術有許多種，但最安全與完整之加密技術應屬IPSec。

IPSec 同時具備身分認證 ( user authentication ) 與傳輸資料加密 ( data encryption)，是網路傳輸最安全之保證，IPSec 運作於 IP 層，因此可支援所有之 TCP/IP 應用程式，同時 IPSec 已是業界標準規格，因此廣為網路應用，系統與系統間連線、使用者與系統間連線透過 IPSec 之加密連線可確保資料傳輸之隱密性。參考(圖三)。

《圖三　網路傳輸的加密技術》

安全首重管理

網路安全已不再是 Firewall 可獨自承擔，它需要許多機制配合才能完善，此時網路安全架構複雜化難以避免，因此如何有效地管理分散四處之安全措施，是企業網路安全建置之成敗關鍵。

企業網路安全須具備幾項要件︰

《圖六　整合網路中所有系統之安全事件產生報表》

● 能提供多層次之安全控管機制，以滿足不同規模之企業網路環境；

● 集中設定與修改企業網路環境中各種安控機制之安全政策；

● 軟體自動派送與更新；

● 當系統之安全政策遭違反時，能集中產生警示訊息；

● 可針對各系統、安控程式產生安全報表，也可以整合網路中所有系統之安全事件產生報表。參考(圖四)與(圖五)。

《圖四　整合與管控分散於企業內部系統之各種安全資訊》

《圖五　多層次之安全控管機制》

隨著駭客入侵日益嚴重，網路保全措施亦應全面提昇，然而當企業意識到系統安全之重要性後，如何建立與挑選有效之防衛機制，卻常令企業舉足無措。因此當企業準備強化網路中各系統安全性時，必須考慮是否兼具方便管理特性，能在採用了多種系統防衛機制後仍可運籌帷幄，隨時掌握整個企業網路系統之安全狀態。有了完備的管理機制，企業之網路安全便指日可待！