前言
由于因特网的普及,使得各企业均不得不朝e-Business发展,此种大环境的转变,对于一般企业内部的信息安全所带来的冲击尤其严重。
在一般中大型企业里,往往有为数众多的异质平台计算机系统,从Server级的各种UNIX、Windows NT Server、NetWare、AS400与IBM OS390,到一般的Windows 95/98/NT Workstation桌上型PC以及可随身携带的NoteBook,它们都透过网络互相链接,共享各种信息。若要执行e-Business的业务,无论是B2B或B2C,甚至是最单纯的电子邮件服务,都面临着将企业内部重要信息暴露在Internet之上的风险,因此企业在执行e-Business之前,对于自身企业网络安全的评估与保护就变成非常重要的课题。
服务器端安全政策
企业在面对网络安全时,可以以(图一)的Matrix来做为评估的参考依据:
由图一可以发现,我们将网络安全分成4个阶段,Assessment(评估),Protect(保护),Intrusion Detection(入侵检测)与Manage(管理),每一阶段都必须从Host与Network的角度来考虑,由此衍生出企业本身的网络安全与保护政策。首先来看Host端的安全政策制定,对于Host端的安全政策应考虑下列几点,如(表一)所示:
例如密码长度,我们可以限定在制定密码时,其长度至少要6个字,其中不能含有个人出生年月日,不能是英文名字的反写,开头不能是公司名称缩写等,一旦企业限制了密码设定方式,它就成为主机上安全政策中的一项,并适用于全公司所有不同平台的机器,而系统管理者就必须要定期检查这主机有无违反公司安全政策的情况,并改正错误。
但不幸的,这些检查是一项非常困难且耗时的工作,例如:当您想要检查各种平台主机上各档案权限设定有无被更动过就几乎是不可能的事,因此我们必须利用tool来协助,如Axent的Enterprise Security Manager(ESM)。ESM是Manager-Agent的架构,系统管理者可以将公司的安全政策输入至ESM Manager中,ESM Manager会定时Trigger各个被控管的主机做自我检查与评估,并将结果回报给Manager,系统管理者只要在ESM Manager上就可以了解企业内部所有不同平台的主机有谁违反了企业安全政策。
加强主机的安全
经由上述的步骤,我们已将主机本身的安全保护措施做好初步的巩固了,但这些保护均利用操作系统本身的功能来达成,无论其安全等级为何,都还不够完备,因此第二阶段是要加强主机的安全。现在一般业者所提出的Intrusion Detection System(IDS)解决方案,如ISS、Axent ITA或Anti-Hacker等皆可实时监控主机安全,我们在选择时必须考虑IDS消秏主机资源与网络带宽的程度、Log的备份方式,与遭受入侵时的处置方式,例如:Web Server的中的网页内容被更动时,设定IDS自动修复网页,当有人用root账号做可疑动作时,它必须切断这个用户的联机。此外,IDS必须能够跨平台并集中控管所有服务器,如此系统管理者便可以在一台console上了解其运作状况。
第三阶段,我们要利用防火墙将主机与一般用户区隔开来,有关防火墙的重要性与功能,本文就不再赘述,这里要提醒用户的是在防火墙上规则的设定,基本上须先假设所有的rule都禁止通过,再针对各主机user需求逐一开放rule,如www、ftp、smtp等service port,此外防火墙须能以「Best-Fit」的算法来解译用户rule的设定,防止因人为疏忽而造成的安全漏洞,例如:当用户做以下的设定时:
allow 10.10.10.1 to 10.10.10.10. telnet
deny 10.10.10.5 to 10.10.10.10. telnet
试问10.10.10.5究竟是否允许telnet呢?答案是否,若防火墙采用「First-Fit」而非「Best-Fit」的算法,而用户又忘记将第一条rule删除,将造成10.10.10.5允许telnet,
接下来则是需要考虑主机端的管理,系统管理者最需考虑用户账号的管理与资源的分配,首先是root账号,在UNIX环境下,root拥有最高的权利,偏偏在大多数UNIX系统下我们无法将root重新命名(NT允许rename administrator帐户),但在维护系统时,又往往需要部份root的权利,因此最常遇到的情况是到最后有很多人都知道root的密码。所以对root权限的控管是企业所必须考虑的。其次是用户在使用企业中不同平台的主机资源时,需要重复输入user id与password,不但造成用户的不方便,也容易让有心人士增加取帐户与密码信息的机会,更重要的是增加系统管理者控管的复杂度,因此可利用Single-SignOn与网管工具如Tivoli、TNG与PassGo等帮助系统管理者集中控管主机资源,方便设定如密码强度,账号权限,并分配使用资源,减少安全管理上的漏洞。
网络端安全政策
前面所讨论的企业网络安全政策,皆由Host端为出发点,强调单点的安全防御,本段将以网络面、从企业整体来看网络安全。
仿真攻击与安全评估工具
一旦企业经由Internet连接至全世界,其遭受攻击的可能途径不外乎两种:从Internet上执行的攻击与从企业内部的攻击。通常一般企业对其信息的防护政策在Internet user与Intranet user是不同的,所以评估的方式也不同。以往国外知名企业在评估网络安全时,常是花大钱请一些黑客团体至公司进行「仿真攻击」服务,不过现在已有如NetRecon等智能型的网络安全评估工具,可以帮助企业得知网络安全漏洞所在,您只要利用一台PC并将其放置在各网络节点,就可以评估网络是否强固,该系统最后会提出完整的报表,指明漏洞在什么地方,要如何改进。例如:它会尝试用「字典法」去Login不同的主机,或者从某台NT取得user id与password,再去另一台UNIX主机执行登入动作,这些评估工具内建黑客攻击网络的方法,因此可以快速有效地找出漏洞所在。
可疑条件的比对
另外,我们通常会利用防火墙将重要的主机与用户区隔开来。试考虑以下情形:如果系统管理者设定某个user可以telnet至某台主机,则黑客就可以利用此漏洞利用Brute Force攻击方式登入主机,而防火墙完全无法防御。有鉴于此,我们可以利用「网络行为分析器」如NetProwler监控每一个user或connection在网络上的活动,由于其内建黑客攻击网络行为模式数据库,因此它会将所有封包加以分析比对,藉以查觉有无异常状况,倘若某人在一定时间内不断尝试登入的动作,这就已经构成可疑的条件,因此NetProwler会发出警讯并执行对应动作。
VPN与one-time Password
通常中大型企业在各地都拥有许多的分公司,彼此借着Internet相互串联共享信息,或者您常有员工利用PC或NoteBook从外面经由Internet或者是Dial-in至公司主机,这时要如何防止企业数据在Internet上传递时不会被他人窃取(Sniffer)?再者,您要如何确认这些连上网络的用户身份呢?
笔者建议利用VPN的方式让您的各个分公司或mobile user连接至企业内部网络,由于VPN会将封包利用各种加密方法如:IPSEC、DES或RC2等,将数据加以压缩与加密,形成在Internet上的一条虚通道,因此不用担心有心人窃取(Sniffer)网络上数据。至于user的认证,现在已有利用token形式的one-time Password认证方式,用户只要携带一个如提款卡大小般的token产生response藉以响应主机的challenge,由于此response每次皆不同,因此就算当中被人看到也无所谓。请参见(图二)。
结语
以上笔者分别从Host与Network的角度讨论了企业网络安全的评估、保护、入侵检测与管理,希望能提供企业在进入e-Business的领域时,对自身的信息安全有更完整周详的思考。当然企业对于信息安全的考虑还必须加上人为的因素、例如:门禁管制、离职员工的问题,以及企业员工配合公司安全政策的意愿等。所以企业经理人必须针对自身的企业特性、在您对安全防护的投资与效益取得一平衡点、进而订定出一套适合自己的网络安全政策。
相關时事单元
相關作者
相關产业类别
相關关键字
相關组织
相關产品类别
相關网站单元