https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

企業理想產品素描

2003 / 06 / 02
邱創群
企業理想產品素描

趨勢與潮流?
今年很顯然的是資訊安全年,討論的是防火牆、網頁過濾與入侵偵測。每年IT產業靠著這些流行話題創造可觀的產值,進而提供資訊技術發展的動力與方向。然而這些先進的技術與研發出來的系統真的適合企業使用嗎?企業主與IT部門面對這些趨勢與潮流,心中不是興奮,取而代之的是疑惑、困擾與不安。

企業真心話!
每當與企業IT主管討論到他們採購資訊安全設備相關話題時,多數充滿無奈與抱怨,歸納企業建置資安設備原因竟然是:
「因為這是個趨勢與潮流,沒有顯得自己公司很遜!」 「弄個新潮的設備玩玩吧!」 「要編列明年預算,該有的都有了,真不曉得要編什麼,廠商提了,就買吧。」 「宣示性作用。」 「保個心安!」 「完成長官指示,以後出問題時也好有個交代。」 與真正執行規劃與管理的IT工程師討論時,卻有如下的結論: 「我們有心管理,但是我們不是專家!」 「系統發生警示,我們也慌了!」 「面對種種報表,我們很難看懂!」 「我們做不出長官要看的報表!」 「我們需要系統指示,而不是警示!」 「如果系統能自動的把問題解決多好!」 「安全系統產品這麼多,各有特色,不知道該選哪家。」 「很擔心安裝太複雜,與現有設備不能整合。」 「系統整合商推著走!感覺上他們只想賣他家的產品,沒有真正想替我們解決問題。」 「我們懷疑系統整合商其實並不專業。」 「大部分系統發生警示,似乎不處理也沒關係,寧願不要有警示,造成自己壓力與長官壓力。」 資訊安全的確是十分重要的課題,造成這樣的結果並不是大家所樂見的,各個相關單位與層面應該有些醒思。從原廠開發產品開始,到系統整合廠商訓練都應該以客戶的需求為依歸。

企業想什麼、要什麼?
企業欲建置一個完整的防護系統,需要的到底是什麼?
1.有限預算考量: 由於預算的限制,在無法一次購足的情形下,是否能讓客戶採用局部性(特殊網路範圍)、重點式(特殊管控功能)的方式,以升級式的,分階段完成一個完整的系統。
2.直覺上的規劃: 是否能先依據網路架構決定管控範圍(Management Scope),決定管控設備(Protection Device)的位置(Management Position)與效能要求(Performance Requirement),再決定每個管控點需要何種管控功能,以模組化(Modulated)的方式加入至管控設備。最後再決定採取獨立管理、階層化的管理或是集中式的管理策略。
3.建置與安裝的考量: 是否能完全在不牽扯既有環境與設備的前提下,建置安裝此系統。以降低End User的訓練、與不安全感。同時避免對已經正常運作的Servers、網路相關設備進行額外的設定與組態更動,以減少應用系統與網路環境的不穩定現象。
4.控管什麼? 先要了解客戶需要管控什麼,不是設備有什麼就控管什麼。這樣往往需要很多不同的設備來提供各自一小部份的功能,才能完成一個控管的目的。多重設備的環境往往將造成成本浪費,網路效能降低,最可怕的是因不同設備在功能上的互斥性,所造成安全上的漏洞疑慮。也就是說,客戶不需要廠商事先將很多功能打包成一個系統,而是將不同的控管機制分類,提供選項讓客戶組合所需的功能,才能提供合適與多樣化的管控機制。
5.管理成本上的考量: *直覺化 ─ 要很直覺,很方便,不需要太專業的 背景知識。
*視覺化 ─ 應該有視覺上的使用介面,最好有動 畫表現。 *邏輯化 ─ 以企業組織架構管理方式取代技術角 度的管理方式,也就是說以部門組織概念取代網段網址概念。
*自動化 ─ 應該針對網路即時狀況採取應對方案 ,並能適時調整管理策略以符合當下需求。該系統應假設使用者並非此領域專家,因此遇到任何事件發生,應提供足夠說明與下一步的指示,最好有標準的作業程序(SOP)供使用者參考。這些訊息的收集應來至四面八方的管控設備匯集而成,最完美的系統應能先從避免問題發生開始著手(Prevention),進而作異常偵測(Detection),警示(Alert),主動回應(Action)到結果報告(Report)一氣喝成,完全自動化進行。
*全面化 ─ 採取聯合防護概念,建立一個中央管 理中樞,溝通網絡,讓各階層管控設備聯合作業,達到全面性的防護體系。好像作戰體系一樣,有制定策略的參謀本部、各軍區的管理中心、戰情偵蒐體系與最後執行作戰的部隊。
*策略性 ─IT主管面對經營面與策略面的 考量,常常需要由上而下的思考(Top Down),來制定相關的管理策略。然而以IT工程師所面對的實體技術與參數設定問題,常常不免由下而上的思維(Bottom Up),因此造成管理階層與執行者之間的衝突激增。提供一種描述管理政策的介面(Policy Description Interface)或邏輯語言(Logical Script)給管理階層使用是一個重要任務,更重要的是該系統必須將此政策轉換為管控設備上的描述指令與參數,結合前述聯防體系來完成任務。
6. 與原設備、各家網管系統整合: 企業防護系統應能與目前的企業網路管理系統整合。傳統網管系統分兩大體系:SNMP與RMON協定已有十分成熟的產品,如:SNMP-based的HP OpenView、CiscoWorks,及多樣的RMON Probe產品。因此管控設備應與SNMPvII及RMON相容。

7.豐富與多樣化的報表: 詳細技術性的報表當然十分重要,但是必須為專家所使用。以事件發生時間,原因,範圍與處理結果為主的報表似乎對IT管理更為重要,但仍必須是IT部門人員所用。對經營層面與政策制定的管理者而言,是完全無法理解與消化的。此類報表應以企業組織架構為基礎取代網段IP等相關技術術語,以百分比及抽象方式取代Byte、Kbps等技術形容方式。

安全與防護的醒思 資訊安全是當前最熱門的話題,廠商在產品上不斷的推陳出新,已有一種不得不為之趨勢。然而資訊安全的課題有各種應考量的層面與技術,如:編碼簽章技術(Encryption and Digital Signature),CA認證,網路加密(IP Security)與通道技術(L2TP/PPTP)整合產生的VPN應用,讓必須跨過Internet的企業內部資訊(Intranet Confidential Content)得以獲得保護。或保護Intranet不被Internet駭客攻擊的Layer 4的防火牆,以及能偵測出攻擊意圖的Layer 7入侵偵測系統即是提供如此功能。 猶有甚者,提供防止企業內部(Intranet)將資訊外流至企業外的Content Filter,其中網頁過濾就是代表作。對於網路頻寬的管控,如:限流、總量管制與QoS機制更是企業內部的重要工作,頻寬管理器就是代表作。網路事件的追蹤與還原備份更是重要的課題。這些工作顯然已不能用資訊安全(Security)來描述,更貼切的說法應是資訊保護(Protection)才適當。

企業網路與 人體血管的比喻
拿網路與血管來比喻似乎有點遠了,但是仔細想想它們有十分相似的對應。網路管道連接所有企業內部單位,有不同的頻寬提供給各部們間傳遞資料。就好像血管的血液將各血紅素、血小板等在各器官間傳遞一般。如果想要知道身體健康狀況,抽血檢驗應是最快與最直接的方式。血管阻塞應用作血管支架將血管撐開,血液透析也是處理腎臟疾病的一種方法。比對網路架構,如果我們在適當的網路管路中置入所謂的防護閥(Protection Device),將流經網路的封包,透過Layer 7的解析、過濾、阻斷、製造或複製的動作來完成保護的目標。各防護閥間如果能透過集中控管中心相互配合,必能達成複雜且精確的保護工作。

企業心目中理想的資訊保護產品
企業防護架構 (Enterprise Protection Framework),我們先將企業網路架構分割為以下幾個區塊:

*Edge Block (交界區塊) 交界區塊介於ISP與企網(Intranet)核心交換器(L3/L4 Core Switch)之間,其內通常建置防火牆(Firewall)、電子商務系統(eCommerce)、VPN、遠端存取閘道(Remote Access Gateway)及出口負荷平衡器(Link Controller)等。因此銜接Core Switch與Edge Block之間的防護閥稱之為企網防護閥(IPD: Intranet Protection Device)。

*Building Block (樓網區塊) 通常為一棟建築的網路,以一Router(L3 Edge Switch)匯集各樓層的網段,再導入核心交換器 (Core Switch)。因此銜接Core Switch與Router (L3 Edge Switch) 之間的防護閥稱之為樓網防護閥 (BPD: Building Protection Device)。

*Network Block (網段區塊) 通常為一棟建物中一個樓層的網段 (Segment),以一L2 Switch匯集各Switching Hub的室內網路(LAN Block),再導入Router (L3 Edge Switch)。因此銜接L2 Switch與Router (L3 Edge Switch) 之間的防護閥稱之為網段防護閥(NPD: Network Protection Device)。

*LAN Block (室網區塊) 通常為一個樓層中一個房間的區域網路 (LAN),以一Switching Hub匯集各室內節點(Outlet Port),再導入L2 Switch。因此銜接Switching Hub與L2 Switch之間的防護閥稱之為室網防護閥(LPD: LAN Protection Device)。

*Server Block (伺服器區塊) 通常為一單獨伺服主機(Server),連接伺服主機與Router (L3 Switch)之間的設備稱之為伺服器防護閥(SPD: Server Protection Device) 而企業防護管控中心(EPOC: Enterprise Protection Operation Center)為一個管理平臺,可架在一般主機上放在機房中,接受各防護閥的訊息,將政策命令經由計算轉換成各種命令與控制參數傳遞給合適的防護閥,完成聯合防護工作,其特性如圖二所描述。

可嵌入式軟體/韌體管控元件(EmbeddableSoftware/Firmware Management Component) 每一個防護閥均是一個軟體/韌體載具(Software/Firmware Component Container),可任意搭載不同管理元件(Management Component)。元件分為四大類:
*網路頻寬管控元件(BMC: Bandwidth Management Component)
*網路存取管理控制元件(AMC: Access Management Component)
*網路內容存取管理控制元件(CMC: Content Management Component)
*EPOC代理元件(EPOC Agent Component) 四個元件可選擇性的植入各種防護閥中,在網路各點運行管控需求,達成完全依企業客製化的企業保護平臺。

結語
從客戶需求出發,提供一個簡單易用,有彈性及有效的企業防護平臺,應是方案提供廠商(Solution Provider)唯一的方向。 (本文作者現職為長庚大學電機工程學系助理教授)