前言

在网路e世代有一句以前常用的话，应该随时可以用来提醒网路用户的「防止骇客、人人有责」。由于网路的应用已由原先Internet - Intranet进而建立Extranet网网相连，宽频与固网的建设更让只要有求知欲望及通信需求的单位企业都急着上网，近来网路上的入侵破坏犯罪事件频传，也让网路使用者与管理者必须注意到网路安全的议题，尤其是高度应用电脑资讯化的单位更是提高警觉，生怕下一个受害者就是自己。

我想在防止骇客入侵的防护工作，基本上也可对应到我们日常生活中的门户防护，如果在没有采取任何防卫就连上网路，就等于是完全曝露于Internet，就好像是晚上在家睡觉而家门却是开着，随时有人可自由进出你的网路与电脑中。网路上入侵者的行为也是和日常的犯罪行为相仿的，犯罪诱因被引起后，再以扫描侦查软体去试探，发现对方的弱点，进而偷窥。

假冒访客等意图的开始，就好像窃贼会观察住户出门或返家的作习时间再伺机而动，如果能有警觉性就很容易预警骇客入侵侦测系统的不良意图，进而采取适当的防护措施。不过与智慧型网路罪犯斗智，恐怕是要有相当完整的安全机制，再配合适当的安全系统才能有效阻止网路入侵行为，以下是强化网路安全的基本参考建议。

14个必要招式大公开

招式1.路由器是否更新密码

许多公司都是使用知名C牌的路由器上网，工程师在认证考试时，也没有关于如何更改预设密码这一题(因为太简单了)。为了将来维护方便，大部份的工程师装好路由器后，都没有更改预设的密码，而用户想到可以快速连线，就迫不及待上网Shopping，忽略了最重要的事项。

若君有空，不妨一试，就会发现不少路由器是可用预设密码自由进出，骇客当然也乐于借此当跳板，入侵他人的电脑或停掉网路连线。当然受过网路安全训练的工程师也有可能会更改密码后留下一手，再离职，所以你要记得要抄到密码，最好自己也学会设定密码后，才让工程师离开。

招式2.装置ICSA安全认证的防火墙系统

当安装防火墙以后，内部网路与公开服务之网站即被保护，不受DoS (Denial of Service)瘫痪式攻击(常见的攻击模式有 Ping of Death、SYN Flood、IP Spoofing and LAND等)。通常为了要防止来自Internet对私人网路的资料窃取、破坏或窜改，防火墙会采用封包检查的技术，只允许安全的内部网路使用者所主动建立的连线资料可由Internet进来，骇客或未授权的使用者将被防火墙挡在门外。防火墙也应采用至少三个Port，分别架设内外网路区段与DMZ(非军事区)，以便架设供开放存取服务之主机如Web、Mail Server，最重要是定期更新防火墙系统版本。

招式3.定期扫描防火墙弱点

应用网路漏洞扫描工具软体，如SATAN、Internet Scan、Cyber​​Cop等。定期由外对内扫描并制作弱点分析报表，尤其是在更换、扩充或维修网路服务主机及任何软体版本。对新发现的弱点应即时采取补救的应变处理，并须随时更新扫描工具之已知安全漏洞资料库，以免有漏网之鱼。

招式4.装设骇客入侵侦测辨识系统

通常防火墙会阻挡非正常连线之网路封包，但有许多的入侵行为却是以合法掩护非法，例如以Http Service Port 80之正常连线封包来访，却实质要执行 Web主机上的入侵程序。市场上有多种网路型入侵侦测系统具有骇客辨识功能，如SessionWall-3、Real Secure、SonicWALL，也有多种单主机型侦测软体如BlackICE、Desktop Firewall、Server Guard...等。有上百种可入侵攻击开放服务主机之程序已被发觉利用，经由骇客入侵辨识系统资料库，可轻易的侦测预警与记录入侵攻击者的来源、IP位址用来入侵的手法、时间与持续多久，借以辨识入侵者的意图与威胁等级，设定入侵或可疑网路活动预警通报，也可采取反查证主动连系对方网路管理人员或ISP协助处理，制敌于先。

招式5.严格管制非急迫所需之网路服务

网路上有许多既方便又省时省钱的软体应用服务，例如大家常常应用遥控软体 PC Anywhere以及即时交谈连线软体ICQ，这些都会产生网路被入侵或泄漏行迹的安全问题。通常为了能随时以遥控模式连上远端主机，主机被控端总是开启，只剩下用密码来作最后的防线，这个连线Port Number是很容易被扫描察觉，接下来就是猜密码游戏，通常已被连续猜了上百次，管理者却完全不知道。ICQ 也会将上网者的IP位址、电子邮件信箱等基本资料送出，如果对方以e-mail 传送特洛依病毒Back Orifice、NetBus后，他随时可钉上你并以网路远端遥控模式逛逛你的硬碟内容或查看你刚寄出的履历表及情书。

招式6.定期查核网路存取统计报表

你可以设定在紧急事件发生时，采用入侵警告功能以立刻发e-mail通知你，这些事件包括攻击、系统错误、禁止网站存取，并启动防火墙之连线存取记录功能。管理者可以选​​择记录各种不同的事件，这些记录可以透过Web或E-mail的管理介面查询详细完整的Syslog。你最好选择有提供网页统计报表格式，如最常存取的网站、最占用频宽的使用者、最占用频宽的网路服务，像是HTTP、FTP、RealAudio等等，并支援图文报表以产生管理工具软体。

招式7.查核PC资源共享的设定

许多公司的主机管制非常严格，没有存取权限是很难取得不相关的资料。但是，高阶主管有时为求与秘书交换资料及工程师之图，就会将PC资源共享功能启动，甚至没有设定密码，网路上其他人员就可随时存取该PC硬碟资料档案。试想任何人都会存放业务相关之机密文件资料于私人硬碟中，其共享的后果就可想而知。

招式8.建立e-mail与FTP档案病毒扫描侦测系统

建立e-mail检视区，以扫瞄信件内容及其夹带档案之病毒。你可整合任何厂牌之防毒扫毒系统，阻绝病毒快速扩散，依属性拒绝信件由Internet传入/传出，可制定信件收发安全规则，如安全信件放行、危险信件隔离、禁止传送或删除、信件夹带大型档案可延迟至自定的时间再传送、可自动留下副本给特定人员。当违反安全规则时，可自动回覆寄件者，告知已违反的规则项目。管理者可依需求自行制定新报表 － 统计分析Internet e-mail使用量，如依时间、送信者、收信者、Domain及安全规则等。

招式9.检查统计数据机之数量与用途

许多公司还没采用专线上网前，总会依需求开放特定人员，以数据机拨连上网或与远地人员传送资料，在以专线上网后可能没有回收与管制数据机的使用，使得用户仍有机会用拨接方式对外取得连线，跳脱防火墙及连线记录系统，如有泄密事件发生则死无对证，同时也浪费拨接连线通讯费用，实在是有必要查核电话交换机之通话记录，发现超长时间之通话记录，最好是直接换装数位式话机，如此就无法以数据机对外拨接连线。

招式10.管制Remote Access Server开放权限与装设

远端使用者可以透过Modem拨接连线，经由登录Remote Access Server的方式存取内部网路的资源，登录时输入使用者名称和密码，应经过RADIUS用户认证系统确认身份，更严谨的做法是应发放用户单次密码产生器认证系统，远端使用者若在超过设定的时间内没有存取动作，即应被迫中断连线。内部网路用户应严禁私设Remote Access供远端拨接连线功能，以防成为骇客入侵后门，而Remote Access Server应架设于防火墙外部才安全。

招式11.采用VPN通讯加密技术

采用IPSec标准168 bit 3DES与56 bit DES加密虚拟网路功能，建立企业、上下游厂商及分支机构网路与网路之间加密虚拟网路。外勤远端拨接用户亦可经由VPN Windows Client加密软体，经由全球各地ISP上网，与公司进行安全资料传输，并支援IKE密钥动态交换功能，可完全取代传统Remote Access避免产生网路拨接后门的危险。

招式12.机密档案加密再储存或传送

重要机密档案应规于特定资料夹并严格控管，有许多档案或硬碟加密软体都可协助用户以密件存档保护，尤其在Internet上用e-mail或FTP传送时，到处都会留下副本，那天传到竞争对手手上也是不无可能。我就收到过竞争厂商传送给另一个Jack的商业机密信件，因为通讯录中同样叫Jack的人实在太多了。

招式13.备援磁带加上存​​取密码

通常主机之资料备份都会转为磁带或光碟片，对于排程备份管理系统应能加上密码保护功能，以防万一遗失或遭窃时能延迟资料被解读之时效性，旧有报废磁带也应有正确的处​​理方案，CD-RW光碟备份更应小心管制。

招式14.与网路安全专业厂商签顾问服务合约

在自行制定安全机制后，仍然有许多随时可能发生的网路危机事件发生，如何在最短的时间内采取正确的产品与应对措施，情报与资讯是高度电脑化之企业赖以生存的命迈。找一家能在网路安全服务并且定位明确的顾问服务公司，签定技术咨询服务与产品建议合约，在危机发生前能有定期建议，发生后可即时得到解决方案。

以下列出除防火墙外最常被列入采购清单的网路安全Network Security产品分类：

◎ 虚拟加密私人网路VPN

◎ 骇客入侵侦测扫描预警 Intrusion Detection

◎ 网路存取稽核管理系统 Network Monitor

◎ 身份认证系统 Authentication

◎ 加密处理系统 Encryption

◎ 存取控制系统 Access Control

◎ 防毒扫毒系统 Anti-Virus

后语

其实网路安全的预算再多都不够的，选择网路安全产品最基本的考量除了在价格预算上，还有几点需要注意，如产品的安全认证、产品的功能是否符合需求、使用操作的便利性、管理维护的便捷性及年度维护管理成本等。

最重要的是制定一套完整的企业资讯安全政策，以采购的产品来落实执行安全政策，清楚定义开放与管制的网路存取服务、定期更改系统密码、查核事件记录与各种网路存取报表，并且要常常拿出来检讨修正。此外，还要考虑到内部管理人员接管后的教育训练工作与功能更新服务。

网路安全是永无止境的，百密总会有一疏，以教育用户配合强化安全共识，才能全面的防止网路危机发生，总之在有限的预算中选择适用与多功能的产品，再配合完备的安全稽核政策，才能帮助网路安全主管守卫资讯的安全。 (作者为富扬资讯负责人)