資安管理三部曲~全面杜絕內部網路的安全威脅

企業最常見的資安問題
目前企業最常面臨到的資安問題有：
1. 攻擊通報的時間愈來愈短，無法及時更新作業系統的漏洞。
2. 因作業系統的修補程式的上線時間較長，而形成安全的空窗期。
3. 無法針對各種不同的作業系統(大多只針對Windows作業系統)，來進行各種安全的修補。
4. 無法針對內部網路的各個重要伺服器或資料庫來提供更嚴密之保護。
5. 無法及時隔離感染區，或將可能的傷害降到最低。
6. 無法提供更完整(個人或部門)的稽核或報表，以利問題之追蹤。
7. 無法抵擋源自下列各種應用層級的安全威脅：
A. 無法針對木馬、後門程式、間諜程式等提供足夠之保護。
B. 無法提供過濾垃圾郵件(Anti-spam)的功能，尤其是釣魚郵件。
C. 無法針對IM(ICQ, MSN, Yahoo Message )、P2P等提供足夠之保護。
8. 無法提供有線及無線環境更安全嚴謹的認證、加密、存取、稽核及管理。
有鑑於此，本文將提供資安管理的三部曲，讓企業以最符合成本效益的方式，達到最高的資訊安全的要求。

首部曲：分散架構 ＋ 集中管理
所謂分散管理，就是在企業內部網路的各個分支，或每一台伺服器的前端，安裝透通模式的安全閘道器，而且只開啟業務相關的應用埠，如此可以相當程度降低可能的安全威脅。從此MIS不必疲於更新作業系統的修補程式，也可以因地制宜，訂定以業務需求為導向的安全政策，內部的伺服器或資料庫也可形成強而有力的保護。另外更可以及時隔離感染介面，防止事態擴大，影響到其他業務正常運作。

而集中管理係透過集中式網路安全管理系統(CNM)，即時掌握網路安全的狀況，當發生問題時，透過主動告知方式(Email或SMS)，管理者也可以在第一時間掌握狀況來及時解決問題。另外經由集中派送的方式來更新韌體及修補程序，可以得到最佳的安全防護。而有效率的系統配置版本管理可以作為資料備援，並可提供各個安全閘道器緊急災難復原的機制。管理者也可以透過集中管理系統，得到完整的網路使用狀態及認證報表、攻擊報告等，以分析及追蹤企業內部的安全狀況，以利全面性資訊安全的評估。


二部曲：主動防禦
透過分散架構的有效阻擋，已經可以有效隔離大部分的攻擊，但對於夾雜在企業正常運用的網路應用，例如潛藏在電子郵件或網頁的間諜軟體及木馬等應用層級的攻擊或威脅，則必須透過專屬的主動入侵偵測及防護系統(IDP)來達到即時線上的入侵偵測和及時阻斷。多重的模型比對及異常偵測技術可以提供正確的判斷 ，並可透過使用者的經驗來自訂比對模型。透過此種方式可在各種攻擊入侵的第一時間，偵測出這些危害活動，並即時採取適當防禦措施，避免用戶的網路或伺服器主機遭受損失。

三部曲：多重保全
要提供企業對無線網路高安全性的要求，提出5A層級(認證、授權、記帳、稽核、預警)資訊安全的要求。更安全的認證方式，如SSL或802.1x等，透過單一登入，可整合至企業內部的不同認證系統。而授權方式可針對不同的使用者或群組，提供應用程式、使用時段、內部子網路存取或頻寬的控管。此外，為達到無線網路end-to-end的安全資料傳輸，可透過各種VPN的方式，如L2TP over IPSec VPN，提供企業完整的無線網路安全。

資訊安全的威脅是與日俱增的，比起去年同時期攻擊的通報數，今年呈現倍數成長，但我們深信有效的隔離及阻擋，絕對是資訊安全最有效的憑藉，希望透過此資安三部曲的介紹，可以提供給大家在提升您企業資訊安全時的一種新的思考方向。