企業網安新思維

新網路應用服務對網安之衝擊
而當XML/SOAP Web Services，VoIP等新網路服務應用科技成為新一代營運、客戶服務、行政作業的資訊整合平台時，建構以IPsec/SSL VPN為基礎的專屬性企業網路(Enterprise Private Network)，運用多樣的網際網路通信協定(Internet Protocols)，透過系統通信埠80(HTTP)和通信埠443(HTTPS)存取相關應用程式的服務作業方式，將衝擊原有的攻擊導向之網路安全系統合理性與維運作業效率。至於先前建造的網路安全也因為有新軟體應用技術與通信協定的導入，而削弱了其防阻不當資訊流的能力，其他諸如即時訊息IM(Instant Messaging)與P2P(Peer-to-Peer)等通信協定的使用，也提高了系統安全管理的複雜度。 資訊運用作為企業競爭力的後盾，為因應新網際網路Web Services應用潮流，若仍以不適當的攻擊導向防護思維來建構網路安全，將會阻滯新資訊應用程式系統的服務效能。因此以下將闡述網路安全如何整合應有的新思維與相關科技演進，做為資管部門擘畫、整合、建構新網路安全系統的參考。

系統規劃的問題所在
網路安全防護系統，從網路防火牆(Firewall)到入侵偵測系統(IDS)，除了封包過濾功能的強化外，入侵偵測的預警防護(Prevention)能力亦大有提升；企業為此投資了不少金錢，也付出了大量人力做系統維運與事件因應。據調查，資訊部門的人力負擔，因為Firewall、網路入侵偵測系統NIDS(Network Intrusion Detection System)，與伺服器/主機防毒系統(Anti-Virus)等資安科技的導入，致使人力成本增加了30%左右。 企業網路系統因應市場競爭需要，從內部服務導向的Intranet向外擴展到整合上下游供應鏈夥伴的Extranet，與提供客戶直接服務的Internet(如圖一)，將會引進IPsec/SSL VPN(Virtual Private Network)等新科技建造企業專屬網路，並發展以XML/SOAP Web Services為網路資訊應用平台，提供營運自動化服務；而原已建置的網路安全系統，將因類似NIDS無法針對SSL加密後之應用資訊流作檢查，而需另外投入費用做系統翻修、改善，否則會增加網路駭客的攻擊威脅機會。而病毒碼、防駭資料庫更新、防火牆封包過濾規則的修改，亦將增加企業的人力負擔。

電子商務盛行之後導致SSL、XML、與HTML/HTTP應用的相關流量負載大幅增加，造成應用系統伺服器/主機處理效能降低，而網路多媒體服務通訊協訂VoIP/SIP(Session Initiation Protocol)的使用，也使通信變得複雜，造成整體網路服務過載，以往的內容頻寬控制(Content Network Switch)無法認知個別應用程式服務品質要求，也無法辨識網駭封包，徒然大增網路通信處理的工作量。 因此網路防火牆、入侵偵測系統、應用內容流量管理(Application/Content Traffic Management)系統，與伺服器/主機防毒系統勢必重新統合、建造。 新網路安全系統的建置要能符合下列企業營運特性要求：
Secure─安全確保資訊應用服務
將網路安全管理機制結合到日常網路管理系統營運作業中，應用服務伺服器/主機前端之服務閘道控制系統務必整合，以提供完整資訊封包檢視功能。使資管工作得以透過對個別應用程式服務參數之設定，做好重要資訊流的安全檢查。

Reliable─可靠有效，保持最低的安全介入服務傳輸延遲
應用程式的服務品質須維持能夠快速阻絕不當網路資訊流侵入，有效排除網駭蔓延，同時優先保障傳遞頻寬。應用服務伺服器/主機前端之負載平衡控制系統應整合XML/SSL/HTTP應用加速處理技術，使服務伺服器/主機得以全效能處理應用服務，透過對個別應用程式服務參數之設定，保障傳輸品質給重要的資訊應用。

Simple─簡化營運管理
依攻擊導向防護思維建造的NIDS需要不少人力與時間進行網駭行為資料庫管理，與安全政策修改等工作，而NIDS產生的為數可觀的示警訊號與紀錄，需有專業人力來分析，企業為此需投入不少成本。新設計思維以確保重要應用程式服務的安全傳遞為要務，透過資訊流智慧統計，整合高階層OSI Layer4~7應用流量管理科技，達到安全有效傳遞目的，增加自動化機制、減低工作的繁瑣複雜度、降低人力成本。

發展新的系統整合
基於以上所述，新網路安全系統的整合，開始結合OSI高階第四層到第七層的網路應用流量管理科技，並確保資訊應用程式的服務效能，或稱之為SLAs(Service Level Agreements)管理，作為資訊流的安全控制方針。伺服器/主機的重要程式服務因此得以順暢運作，同時確保應用程式的傳遞安全與效能要求。 從發展的角度去檢視新網路安全系統建構，如果要再將過去的科技調整以併入新設計要求，那是昂貴且不切實際的，因為舊技術產品的設計思維無法滿足新網路服務的性能要求，或將引致更多更大的安全漏洞與業務損失。因此，新網路安全系統建構應整合下列不同層面的服務功能與相關科技(如圖二)。

伺服器/主機與工作站層面( Server/Workstation Plane)
其要務在於防制入侵破壞點的形成，並專事應用程式服務處理，輔以系統資源保護，如CPU效能、記憶緩衝容量、系統參數與使用政策設定維護等。適當的防毒及防入侵機制，能充分滿足系統資源保護、排除不當資訊流蔓延入侵。

網路系統層面(Network Plane)
藉由新式網路應用高階內容流量管控技術，導入以資訊流為標的的閘道安全控制功能，作為新安全系統服務閘道控制系統。目前尚未有完整單一的資訊安全與資訊流管理科技產品可符合使用(目前已有數家科技公司進行開發)，但是我們仍可以經由下列不同科技做系統整合，來滿足安全服務要求： 1. 按不同的商務或企業內部應用程式使用政策，導進多層次存取控制；其運用的科技功能必需滿足網路應用服務(Web Services XML/SOAP)程式、IPsec/SSL VPN、E-mail、Multimedia-over-IP，與新的Wireless應用要求。 2. 控制通信頻寬，確保網路效能滿足各資訊應用程式的服務效能(SLAs)；功能建構可由一個或數個子系統來滿足，運用發展Layer 4至Layer 7各相關資訊流技術來完成控制；如應用層效能管理(Application Performance Management)、資訊流辨識統計(Statistical Information Flow Intelligence)、通訊協定自動偵測、DOS(Denial of Services)的防護、智慧型頻寬管理(Intelligent Bandwidth Management)與網路相關伺服主機的辨識登錄(Automatic Host Discovery)等。 3. 阻斷不當資訊流，排除網駭蔓延。這一服務功能將以下列方式來達成： 將防火牆與網路入侵偵測系統整合成閉回路型主動式封包URI/URL網駭過濾器，以自動排除入侵性資訊流。 運用內容流量管理科技增強服務內容保護、結合資訊流內容辨識統計功能與網路協定辨識等技術，統合提供資訊流安全偵檢。 藉由IPsec/SSL硬體加速處理，強化安全的私有網路效能，並應用IPsec與 SSL 不同的科技特性，整合提供Site-to-Site 與Point-to-Point的彈性VPN資訊服務存取功能。

整體系統管理層面(Security Management Plane)
企業應避開不當的資源投注在網安系統的維運管理工作上。同時因應業務發展與市場競爭，需要不斷投資擴展企業網路範圍(例如上下游供應夥伴Extranet，與客戶服務管理Internet)。面對與日俱增的系統安全威脅，新網安系統管理與以往的網路管理系統需整合成新一代的營運服務管理支援系統(Operation Support System，OSS)。 實務上，導進OSS系統觀念，作為業務營運目標管理(Business level)、業務服務管理(Service level)、網路傳輸管理(Network level)、與組件設備管理(Element level)的多層面資訊服務管理基礎架構。同時也增加網路犯罪事證偵檢分析的能力，可整合事證偵蒐分析技術(Forensic Security Sniffer)，以便對網駭從預警、嚇阻、追蹤、到舉證做全方位防範。新網安管理應統合提供： 1.事件管理、2.身份管理、3.偵測管理、4.流程管理、5.稽核報告、6.弱點管理、7.罪證追蹤偵檢管理等基本服務功能。

結語
企業從發展網路服務中將發現：將原有內部資訊服務應用系統與相關通信採開放並整合後，再經由電子網路通道提供外部夥伴與客戶直接的業務交流與自動化作業服務，除了能大幅增進商務效率、降低開發與維護資訊系統成本外，更能強化夥伴與客戶的關係管理，可觀的效益非傳統資訊系統的服務模式可比擬的。 歷經商務環境的急劇演化，快速普及的寬頻、無線科技的使用，整體資訊系統依據業務活動別的細微精緻化並要求統合資源再延續發展，成為企業資訊系統架構不得不朝向服務功能系統模組化發展的推動力(如圖三)；XML/SOAP Web Services將是應用系統演進的要角，與之相關的基礎建設、網安服務管理系統必需滿足企業所要求的：
簡單化的管理維運
安全確保應用程式服務功能
提供無時不在的高信賴度系統服務
網路安全設計觀念導向以確保正當資訊流的正常流通為首要任務，與過往採攻擊防護為設計中心理念的網路安全有極大的差異，此將影響網路安全產品的發展，也將革新網路安全的管理技術；網際網路服務業者因此將調整其安全管理服務內涵，才能著重於客戶重要資訊服務效能的品質確保。 網路防火牆的功能要求將如同前面所提的阻絕不當資訊流，與排除網駭蔓延；NIDS也將整合犯罪事證偵檢分析功能成為網路安全稽核管理系統，提供更有效更簡明的稽核管理報告，並能自動地觸發網駭因應機制；最應受到重視的是全面性XML/SOAP Web Services的普及風潮將驅動網路安全科技的革新，而投資的應用服務效能管理、智慧化OSI高階層流量頻寬管理與營運管理支援系統，將成為左右整個網安新思維建構的成功要素，成功達成高效能、低營運成本的網路安全建設，增強企業永續競爭力。

(本文作者現任職於動力安全資訊股份有限公司)