https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

我買了Firewall,下一步呢?

2002 / 05 / 30
我買了Firewall,下一步呢?

文/郭慧姿
每次談及網際網路的安全問題時,一般首先想到的就是Firewall;隨著企業高度資訊化,Firewall「查核是否有異常的網路違規存取行為」的功能受到高度重視,也讓許多企業誤以為解決網際網路的安全問題只要有Firewall就可以高枕無憂了。其實企業人員對Firewall操作的嫻熟度、企業資訊安全政策的落實與否,都會影響Firewall的效能。



根據美國電腦安全協會(National Computer Security Association;NCSA)與FBI在2000年4月至2001年3月的調查顯示:因網路入侵、交易機密遭盜取,以及數位犯罪所造成之財物損失已大幅高漲。勤業會計師事務所風險顧問經理李逸元指出,此次調查對象包含財星500大企業、金融組織、政府單位、醫療院所與大學院校共計538個單位的資訊安全主管,發現其中95﹪的單位已建置Firewall系統、61﹪已建置IDS(入侵偵測)系統、90﹪已建置存取控制(Access Control)相關機制、42﹪已建置數位識別機制(Digital I.D.),卻依然受到攻擊,總損失金額高達3億8千6百萬美金。其中,34位回報因機密外洩造成的損失近1億5千萬美金,21位回報金融詐欺事件損失近9千3百萬美金;平均一個案例損失的金額為400多萬美金。


問題出在哪裡?
為什麼已建置資訊安全工具卻依然遭受攻擊?原因究竟出在哪裡?李逸元表示,因為Firewall還需要良善的管理,
Firewall的設計本是要扮演網路安控的角色,是管理內外網路間存取控制與監控的主要設備,目前國際上即有ICSA、Common
Criteria等相關認證,以確保Firewall本身的安全機制。這是企業選購可以參考的,然而最重要的是,Firewall牽涉許多設定,企業必須落實管理制度,才能發揮Firewall效能。



1.缺乏核准之管理程序:



Firewall有許多規則必須設定,李逸元說,就企業安全管理的角度而言,規則由誰決定/設定就顯得相當關鍵。設定的模式儘管不同,但是誰有權力更動規則?需經過誰的允許?相當值得深思。目前企業一般多由Firewall的管理者(如MIS)進行規則設定,未經過企業主或高階主管核准,這也就是前述95﹪的單位已建置Firewall系統,卻依然遭受到攻擊的主因。



他表示,如果企業主認為Firewall的設定很重要,就不應該以為這僅是MIS等資訊人員的責任,因為這些規則本在管制網路流量的進出,如果設定錯誤或未適當維護,將無法發揮對企業實際網路運作發揮保護效果。企業應該有適當的核准、授權程序,例如當使用者需求部門(如業務部門、企劃部門...)提出更改設定的需求時,除了需經過資訊主管的核准,還需企業主、高階主管或安全部門主管皆同意才能予以授權,規則才得以改變。當規則在一定程序的控制下,一旦資訊安全事件不幸發生時,才容易追本溯源,釐清責任。

2.只安裝Firewall,但缺乏維護

另外在更動或新增Firewall規則時,應該要經過適當的測試,有助於提昇Firewall的效能,且可避免出現衝突或不必要的規則,而未發揮安控效果。若未經過適時的維護,不僅無法達到主動防禦的效果,一旦資訊安全事件發生,就會措手不及,log(記錄)可能也無法作為呈堂證供,因為追本溯源、尋找被入侵的痕跡已經有所困難。此外,隨著網路頻寬的拉大,Firewall處理流量的速度也很重要,否則會出現來不及處理的情況。

3.無人監控可疑之連線企圖與入侵,並採取適當之因應

就勤業接觸國內企業的經驗,目前金融、高科技、公家機構、上市上櫃公司多因業務需求,已建置Firewall。而部份中小企業,則因為安全需求較低,或未裝設,或以較簡易的Firewall因應;綜觀國內企業,建置Firewall的比例相當高。然而並非所有的企業皆體認到專人全心管理的重要性,勤業會計師事務所風險顧問協理萬幼筠即表示,當企業發生資訊安全事件,問題根源不見得在資訊安全產品上,是否有專業人員全心管理,以發揮Firewall效益、降低風險才是重點。

4.其他因素:例如備援/負載平衡

對某些企業來說,由於業務需要,必須考慮到Firewall的備援/負載平衡,例如軍方、金融業等單位即因為安全等級需求較高,需要架構雙防火牆,甚至多防火牆。



有好的工具還需要好的管理
李逸元表示,進行顧問工作時,通常從企業業務為何需要Firewall保護的角度加以協助,如此企業才會體認一旦Firewall出現狀況,可能造成企業不便甚至損失,以從企業本身需求並進行評估、建置Firewall。萬幼筠強調,Firewall架構(architecture)的佈建不僅涉及技術,還有企業經營實務的需求,在Firewall管理者不一定了解企業業務運作實務與相關法律規範的情況下,企業主或高階主管應體認其在Firewall管理上身肩重任,因為管理工作若不加強,風險永遠很大,用的設備再好也是徒勞。