我買了Firewall，下一步呢？

文/郭慧姿
每次談及網際網路的安全問題時，一般首先想到的就是Firewall；隨著企業高度資訊化，Firewall「查核是否有異常的網路違規存取行為」的功能受到高度重視，也讓許多企業誤以為解決網際網路的安全問題只要有Firewall就可以高枕無憂了。其實企業人員對Firewall操作的嫻熟度、企業資訊安全政策的落實與否，都會影響Firewall的效能。



根據美國電腦安全協會（National Computer Security Association；NCSA）與FBI在2000年4月至2001年3月的調查顯示：因網路入侵、交易機密遭盜取，以及數位犯罪所造成之財物損失已大幅高漲。勤業會計師事務所風險顧問經理李逸元指出，此次調查對象包含財星500大企業、金融組織、政府單位、醫療院所與大學院校共計538個單位的資訊安全主管，發現其中95﹪的單位已建置Firewall系統、61﹪已建置IDS（入侵偵測）系統、90﹪已建置存取控制（Access Control）相關機制、42﹪已建置數位識別機制（Digital I.D.），卻依然受到攻擊，總損失金額高達3億8千6百萬美金。其中，34位回報因機密外洩造成的損失近1億5千萬美金，21位回報金融詐欺事件損失近9千3百萬美金；平均一個案例損失的金額為400多萬美金。


問題出在哪裡？
為什麼已建置資訊安全工具卻依然遭受攻擊？原因究竟出在哪裡？李逸元表示，因為Firewall還需要良善的管理，
Firewall的設計本是要扮演網路安控的角色，是管理內外網路間存取控制與監控的主要設備，目前國際上即有ICSA、Common
Criteria等相關認證，以確保Firewall本身的安全機制。這是企業選購可以參考的，然而最重要的是，Firewall牽涉許多設定，企業必須落實管理制度，才能發揮Firewall效能。



1.缺乏核准之管理程序：



Firewall有許多規則必須設定，李逸元說，就企業安全管理的角度而言，規則由誰決定/設定就顯得相當關鍵。設定的模式儘管不同，但是誰有權力更動規則？需經過誰的允許？相當值得深思。目前企業一般多由Firewall的管理者（如MIS）進行規則設定，未經過企業主或高階主管核准，這也就是前述95﹪的單位已建置Firewall系統，卻依然遭受到攻擊的主因。



他表示，如果企業主認為Firewall的設定很重要，就不應該以為這僅是MIS等資訊人員的責任，因為這些規則本在管制網路流量的進出，如果設定錯誤或未適當維護，將無法發揮對企業實際網路運作發揮保護效果。企業應該有適當的核准、授權程序，例如當使用者需求部門（如業務部門、企劃部門...）提出更改設定的需求時，除了需經過資訊主管的核准，還需企業主、高階主管或安全部門主管皆同意才能予以授權，規則才得以改變。當規則在一定程序的控制下，一旦資訊安全事件不幸發生時，才容易追本溯源，釐清責任。

2.只安裝Firewall，但缺乏維護

另外在更動或新增Firewall規則時，應該要經過適當的測試，有助於提昇Firewall的效能，且可避免出現衝突或不必要的規則，而未發揮安控效果。若未經過適時的維護，不僅無法達到主動防禦的效果，一旦資訊安全事件發生，就會措手不及，log（記錄）可能也無法作為呈堂證供，因為追本溯源、尋找被入侵的痕跡已經有所困難。此外，隨著網路頻寬的拉大，Firewall處理流量的速度也很重要，否則會出現來不及處理的情況。

3.無人監控可疑之連線企圖與入侵，並採取適當之因應

就勤業接觸國內企業的經驗，目前金融、高科技、公家機構、上市上櫃公司多因業務需求，已建置Firewall。而部份中小企業，則因為安全需求較低，或未裝設，或以較簡易的Firewall因應；綜觀國內企業，建置Firewall的比例相當高。然而並非所有的企業皆體認到專人全心管理的重要性，勤業會計師事務所風險顧問協理萬幼筠即表示，當企業發生資訊安全事件，問題根源不見得在資訊安全產品上，是否有專業人員全心管理，以發揮Firewall效益、降低風險才是重點。

4.其他因素：例如備援/負載平衡

對某些企業來說，由於業務需要，必須考慮到Firewall的備援/負載平衡，例如軍方、金融業等單位即因為安全等級需求較高，需要架構雙防火牆，甚至多防火牆。



有好的工具還需要好的管理
李逸元表示，進行顧問工作時，通常從企業業務為何需要Firewall保護的角度加以協助，如此企業才會體認一旦Firewall出現狀況，可能造成企業不便甚至損失，以從企業本身需求並進行評估、建置Firewall。萬幼筠強調，Firewall架構（architecture）的佈建不僅涉及技術，還有企業經營實務的需求，在Firewall管理者不一定了解企業業務運作實務與相關法律規範的情況下，企業主或高階主管應體認其在Firewall管理上身肩重任，因為管理工作若不加強，風險永遠很大，用的設備再好也是徒勞。