在整個資訊安全機制裡面，我們可以粗略的分為兩個部分：認證機制與系統安全，前者偏向於演算法的資料加密與解密機制(Encryption/ Decryption )與身分驗證(Authentication)，透過CA認證中心，來作統一標準的認證單位，使採用同一演算法的使用單位，透過其唯一的識別證，藉以保護資料的隱密性，使未經授權的使用者，不能掌握資料內容，並確保在資訊化作業中使用者身份的不可否認性，在應用上包含網路傳輸的SSL及VPN加密通道機制、應用的PKI、PGP等，是較為國人所熟知的安全機制。

系統安全機制則是偏向實際運作的資訊系統本身的安全防護，就是一般資訊人員經常會觸及的網路、作業系統、應用系統及資料庫這四個部分的安全防護機制，包含網路規劃上使用的Router、Switch、防火牆，乃至於作業系統、應用程式、資料庫等的設計瑕疵或系統管理者的細部調整不足等，所暴露出來的安全弱點。

由於資訊系統的發展，一直以功能與應用面為焦點，所以，資訊系統所承擔的安全風險，反而相對被忽略，這也是大家致力於資料加密機制的同時，駭客入侵事件卻諷刺的接連發生的主因，而資訊安全的防治，除了透過安全弱點掃描軟體(Security Scanner,如ISS Internet Scanner)做好事前預防性措施外，當屬入侵即時偵測系統(Intrusion Detections,IDS)最能提供第一時間的緊急應變機制。

防火牆vs.入侵偵測系統

區隔內外網路的防火牆

在系統安全機制中，最廣為人知的，應屬防火牆機制，典型的防火牆機制的網路規劃區隔出所謂的非戰區(DMZ)，以將內部網路(Intranet)與外部網路(Internet)予以區隔，並提供三種機制-封包過濾(Packet Filter)、應用服務匝道(Application Gateway)及網路位址代轉(Network Address Translation)，茲分述如下：

封包過濾

對於進出防火牆之封包依據防火牆原則，進行IP位址與TCP/IP服務檢查，以判斷該封包是否得以放行，對於不符防火牆原則的封包予以捨棄，但並不進一步檢查封包之內容，所以，封包過濾可以對不開放使用的服務及IP位址予以把關，但對於開放使用的服務，卻無法進行進一步的安全偵測。

應用服務匝道

由防火牆擔任TCP/IP服務的代理者，代理轉送服務要求(Service request )給應用伺服器，並可以整合其他存取控制機制來進一步驗證存取權限，但對於要求(Request)之內容，仍無法進行偵測。

網路位址代轉(Network Address Translation)

提供IP位址的轉換，使對外使用的IP位址減少，除降低IP浪費外，更避免外部人員得以窺探網路架構，長驅直入企業網路。

簡單的說，防火牆有效的區隔出內部網路與外部網路，並過濾企業安全政策上所不提供的服務或拒絕服務的對象，且提供服務代轉的功能，但是對於政策允許的服務項目，卻無法管制或監控它的行為，這就好像銀行的櫃檯，雖然可以區隔出銀行行員的作業區及客戶活動的公共區，並且在櫃檯上依照服務項目不同，開放不同的服務窗口，但是卻無法判斷，站在櫃檯前的客戶，究竟是來提款，或者是來搶劫！所以在銀行的保全上，必須倚賴專屬的保全系統，像閉路電視、警察連線系統、警鈴及警衛等等，「入侵偵測系統(IDS)」，就是這樣的保全系統。由於企業在Internet上，網站服務及郵件服務是基本需要開啟的服務，即使架設防火牆，也無法避免不知名使用者的存取，因此入侵偵測系統可以在入侵事件發生時，予以立即處置，而顯得格外重要。

即時回應的入侵偵測系統

一般而言，入侵偵測系統，共由四部分元件組成：安全知識庫、記錄資料庫、即時回應機制及管理元件，其中安全知識庫與即時回應機制整合在偵測站上，而記錄資料庫及管理元件則在控制端上，茲分述如下：

1. 安全知識庫：儲存所有已知的入侵行為模式樣本，以提供偵測比對使用，在安全知識庫中，除了儲存攻擊性的封包樣本外，還有行為模式的比對設定，以判斷是否有違規存取的狀況發生。

2. 記錄資料庫：將所偵測的結果儲存在紀錄資料庫(Log Database )，以進一步提供追蹤舉證，製作分析報表。

3. 即時回應機制：在偵測到入侵行為時，提供第一時間的回應機制，包含及時中斷連線等，以降低入侵損失。

4. 管理元件：用來管理所有偵測站，包含制定偵測原則(Detect Policy)，維護紀錄資料庫及接收警訊等。

其運作流程如(圖一)，當封包經過偵測站所在的網段時，偵測站接收其封包，並依據偵測原則進行比對，判斷是否有不符合偵測原則的封包，若為合法封包，則予以捨棄，一旦發現違規封包或攻擊封包，則啟動即時回應元件，將警訊傳送至管理站，並對來源主機進行連線中斷或其他回應措施。以業界普遍採用的ISS RealSecure而言，甚至可以與CheckPoint 防火牆作整合，直接調整防火牆設定，阻斷攻擊主機的任何連線。

《圖一　入侵偵測系統運作流程》

在入侵事件中，另一項重要的機制則是蒐證，在入侵事件的法律訴訟中，最難認定的部分在於舉證的困難，好的入侵偵測系統，可以提供交談錄製的功能，也就是將主機連線期間，所有交談的過程錄製下來，以確定入侵的時間、主機的IP位址、所做的動作、取得的資料檔名等予以錄製後重播。

由於入侵偵測系統分為控制站與偵測站兩個部分，所以當偵測站發現異常的封包，會將這些紀錄彙整到控制端的資料庫，以方便管理者製作，這樣的資訊風險的評估報表。這樣分散式的機制，即使在大型的網路下，也可以保持規劃上的靈活度，就像實體保全上，我們會在重要的定點裝設感應器，而統一由監控中心來管理一樣。

由於入侵的手法各有不同，單純從網路上偵測，仍不足以完整偵測違規的存取，舉例來說，使用者的帳戶密碼，網路上偵測會判定這是正常的現象，然而唯有在認證主機上，才能發覺同一帳戶在一分鐘內，被嘗試超過一百次的密碼，而判定是一種字典檔攻擊，所以，完整的入侵偵測系統，除了網路基礎(Network-base)的偵測站外，還要能提供重要主機的主機端安全偵測(Host-base)，例如網頁竄改牽涉到檔案權限的問題，就可以由主機端入侵偵測系統，提供較完整安全防護。

群組聯合防衛

由於入侵偵測系統具備即時監控、即時回應的特性，於是在97年就有人提出所謂「群組聯合防衛」的模組，以提供區域連防的機制。群組聯合防衛共分兩種模組，第一種模組是「群組信任」，就是所有聯合防衛的成員互相信任，一旦其中一位成員網域遭受攻擊，即透過回應系統通知其他成員攻擊者的位址(IP Address)及攻擊的服務，使其他成員得以封鎖該攻擊者位址的服務請求，藉以避免災害擴大。

第二種模組是「信任中心」，由一個單位擔任信任中心，取得所有成員的信任，當其中一個網域成員遭受攻擊時，會將訊息通知信任中心，由信任中心直接對其他成員網域進行封鎖該攻擊者位址的服務請求，藉以避免災害擴大。

這樣的機制立意頗佳，但大家一定奇怪，為何遲遲未能實踐？首先，駭客入侵的手法中，有一種叫做IP Spoofing，也就是以假的IP位址攻擊對目的主機進行攻擊，在第一種模組中，由於彼此信任，一旦駭客以假IP(0.0.0.0-255.255 .255.254)對其中一個成員網域進行假攻擊時，所有成員網域的主機將會把自己封閉，而無法與外界聯繫。第二種模組中，一旦信任中心成立，在擒賊先擒王的戰略下，信任中心無疑成為攻擊的第一目標，一旦信任中心被攻破，其他成員網域，由於對信任中心的授權，將造成整個信任群組同時罹難。尤其DDOS的方式風行以後，一旦主要的ISP組成群組聯合防衛而被攻破，無疑助長DDOS所需具備的頻寬要素，而更強化其傷害力，造成不可想像的災害！

安全的落實

安全的落實，「人」才是最主要的關鍵所在，安全政策的制定必須大家共同的確切執行，方能達到更安全的目的，不管在對外或者對內都是同樣的重要。資訊風險管理不應也不只是一股風潮！資訊決策的安全，可以有效控制資訊資產投資的風險；資訊安全的決策，可以彌補資訊決策的風險。一個是防患未然，一個是亡羊補牢，都可以趨近一個風險平衡，差異在於所需投注的成本，大不相同！睿智的決策者，會支持資訊安全的決策；聰明的經理人，會參予資訊決策的安全！

(作者任職於鈺松國際技術服務部)