帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
外盜易擋 家賊難防
網路防駭怎麼做?

【作者: 吳財榮】   2001年06月01日 星期五

瀏覽人次:【4279】

攘外必先安內

四月份「中」美駭客大戰,幾乎佔據了資訊新聞大半版面,也成了大家茶餘飯後的話題,所討論的除了雙方有哪些網站被入侵外,讓許多人意外的是為何 Firewall 抵擋不了這些駭客攻擊?


Firewall 並不是企業網路安全之唯一保證,藉由 Firewall 開放存取內部資源之途徑,駭客仍可直接入侵企業內部系統;「中」美駭客大戰,許多受 Firewall 保護之網站被入侵,證明 Firewall 仍有無法避免之缺陷,也突顯了內部網路須加強安全防護之重要性!


破壞份子隨著通訊而來

Internet 應用普遍除了帶來便利外,也帶來了安全威脅!要有效防範駭客入侵,首先得了解企業內部有哪些安全威脅?


電腦病毒

電腦病毒長久以來即威脅電腦系統,其主要目的為破壞系統檔案與妨礙程式運作,隨著 e-mail、web 等網路應用普及,病毒破壞之力道更加強悍且更全面,甚至彈指之間即流竄至世界各地!如今電腦病毒更結合後門與木馬程式,大舉進駐成百上千萬之廣大 Internet 用戶,成為最具威脅之入侵來源!


內網入侵

據統計,超過 60% 之入侵行為來自於內部使用者,因為內部使用者最熟悉網路環境,且不受 Firewall 管制;此外,內部系統也會因 Firewall 開啟之通道,造成 Internet 上的駭客有機會侵入內部系統。內部系統之所以容易遭受攻擊,是因為一般作業系統並不能管控外人之存取,一旦系統有漏洞存在,駭客即可肆無忌憚地攻擊系統。


秘密竊聽

另一種網路安全威脅為 Sniffer ,一般稱為網路竊聽,利用資料流經網路途中將傳輸之資料錄製竊取,就如同電話分機監聽功能,網路傳輸資料可一覽無遺,因此諸如系統密碼以及機密資料,都可輕易被竊取。此類程式並不容易被察覺,一方面是它不破壞系統,同時會蒐集網路上傳輸之資料,並利用 Firewall 既以開啟之連線通道,例如利用 WWW 通道進行資料傳遞,藉以欺瞞入侵之事實。


內網之護身符

針對上述系統安全缺失,需要安裝不同保全機制才能達到防衛效果,包括︰AntiVirus, Distributed Firewall 與 VPN。


AntiVirus

AntiVirus 之需求不言可喻,而充斥於市場之各種防毒軟體各有各的優點,除了各家防毒廠商宣稱之截毒能力外,企業應從幾個方向挑選適用之防毒軟體︰


1.支援多樣之系統裝置

企業內部存在有伺服器、使用者 PC、Laptop 乃至行動裝置 PDA,須能完整支援。


2.支援多種架構

防毒軟體須支援 PC、Workstation、File Server、Firewall、Mail Servers 與 Virus Gateway。請參考(圖一)。



《圖一 企業選擇防毒軟體的方向》
《圖一 企業選擇防毒軟體的方向》

3.提供整合能力

企業除了使用防毒軟體杜絕病毒破壞外,還必須能隨時掌握各系統上防毒軟體之運作情形,防毒功能是否運作正常?是否下載最新病毒碼?以及是否可自動軟體派送安裝,減少維護負擔?


Distributed Firewall

隨著電子化時代來臨,傳統紙張資料已逐漸被電腦檔案所取代,因此許多機密資料被存放在伺服器、桌上電腦或手提電腦中,而這些機器可能放置在受 Firewall 保護之內部網路中,或者直接連線至 Internet Firewall 在 Internet 環境中通常扮演第一線之安控角色,為企業網路安全把關。


然而系統不經過安全強化之保障,無論資料存放於何處,駭客仍可藉許多管道侵入企業網路中盜取或破壞資料,因此系統之保衛措施是不可少的。Firewall 可以為網路安全把關,同樣也可為系統安全把關,為系統安全把關的 Firewall 機制稱為 Distributed Firewall,顧名思義是分散安裝於各系統中,無論系統置於何處都能為自身之安全把關,如此系統自身即可阻擋大部分攻擊,如DoS、DDoS、後門與木馬程式以及未經授權之存取。


Distributed Firewall 除了安全防衛外,也須提供集中管理機制,除了降低企業管理之負擔外,透過集中管理機制,管理者可協助使用者設定存取控管,讓使用者無痛享有安全之好處。請參考(圖二)。



《圖二 網路駭客的入侵途徑》
《圖二 網路駭客的入侵途徑》

VPN

藉著網路竊聽,機密資料經由網路傳輸可能被駭客竊取,欲避免資料在傳輸過程中遭竊取,須使用加密技術。目前提供傳輸加密的技術有許多種,但最安全與完整之加密技術應屬IPSec。


IPSec 同時具備身分認證 ( user authentication ) 與傳輸資料加密 ( data encryption),是網路傳輸最安全之保證,IPSec 運作於 IP 層,因此可支援所有之 TCP/IP 應用程式,同時 IPSec 已是業界標準規格,因此廣為網路應用,系統與系統間連線、使用者與系統間連線透過 IPSec 之加密連線可確保資料傳輸之隱密性。參考(圖三)。


《圖三 網路傳輸的加密技術》
《圖三 網路傳輸的加密技術》

安全首重管理

網路安全已不再是 Firewall 可獨自承擔,它需要許多機制配合才能完善,此時網路安全架構複雜化難以避免,因此如何有效地管理分散四處之安全措施,是企業網路安全建置之成敗關鍵。


企業網路安全須具備幾項要件︰


  • ● 能整合與管控分散於企業內部系統之各種安全資訊;請見(圖六)




《圖六 整合網路中所有系統之安全事件產生報表》
《圖六 整合網路中所有系統之安全事件產生報表》

● 能提供多層次之安全控管機制,以滿足不同規模之企業網路環境;


● 集中設定與修改企業網路環境中各種安控機制之安全政策;


● 軟體自動派送與更新;


● 當系統之安全政策遭違反時,能集中產生警示訊息;


● 可針對各系統、安控程式產生安全報表,也可以整合網路中所有系統之安全事件產生報表。參考(圖四)與(圖五)。



《圖四 整合與管控分散於企業內部系統之各種安全資訊》
《圖四 整合與管控分散於企業內部系統之各種安全資訊》

《圖五 多層次之安全控管機制》
《圖五 多層次之安全控管機制》

隨著駭客入侵日益嚴重,網路保全措施亦應全面提昇,然而當企業意識到系統安全之重要性後,如何建立與挑選有效之防衛機制,卻常令企業舉足無措。因此當企業準備強化網路中各系統安全性時,必須考慮是否兼具方便管理特性,能在採用了多種系統防衛機制後仍可運籌帷幄,隨時掌握整個企業網路系統之安全狀態。有了完備的管理機制,企業之網路安全便指日可待!


相關文章
BACnet/SC--讓建築技術如同網路金融一樣安全
工業通訊資安議題延燒
工業物聯網下的資安思維
2005年台灣資訊安全市場發展現況與趨勢
誰推倒了防火牆?
comments powered by Disqus
相關討論
  相關新聞
» 工研院通訊大賽獲獎名單出爐 AI創新應用助2025年通訊業產值破兆
» AI浪潮來襲!伺服器面臨高熱密度挑戰 Vertiv協助矽谷主機代管商在既有機房突破散熱瓶頸
» 英業達捐贈台大高效伺服器 引領學術研究高算力大未來
» 數位部辦理5G專網國際論壇 機械業看好提升短鏈勞動力
» 歐盟6G計畫主席來台 與經濟部簽約合作跨國研發


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.13.58.201.240
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw