觀點

有效建制與管理防火牆

2003 / 09 / 05
古智仲
有效建制與管理防火牆

當每個公司開始規劃與建立資訊安全環境的時候,負責的資訊部門同仁,一定會被市面上現存琳瑯滿目的資訊安全產品,例如防毒軟體、內容過濾、防火牆軟硬體、入侵防範系統軟硬體、加密軟體等等,弄得一頭霧水,不知道該從哪裡下手?

從目前客戶的做法來看,一般都會先從最基本的防毒軟體開始建置,這也是為什麼防毒軟體的普及率高達95%以上的原因。大家對防毒的觀念已經相對地成熟;等到有了防毒軟體之後,接下來就會開始建置防火牆,這時候,真正的問題逐漸浮現,使用者可能會開始問“我應該用哪種等級的防火牆?”,因為目前市面上的防火牆價格範圍極廣,從30,000到1,000,000元甚至更高達數百萬,支援雙備援及超高速Gigabit網路的方案都有,每一款都會號稱自己的功能完整與容易管理的優勢,但這仍然解決不了客戶根本的問題—管理。

從過去的服務經驗中發現,雖然各家防火牆所使用的技術、軟硬體不同,但產品本身在功能上的差異性並不大。但是,大部分的公司在建置防火牆的時候,會把比較多的想法放在“規格”與“功能性”上,反而忽略了在“如何管理?”上的思考。因為防火牆在資訊安全所扮演角色相當吃重,它相當於是一個“守門員”,掌管著進出公司網路的所有資訊。面對隨時都在變化的網路攻擊與惡意破壞,它必須更有效的管理,才有辦法保護公司重要的資訊資產。接下來,我們要分享的是一般在建置防火牆的時候,在管理上可以思考的方向︰
培養資訊安全專業人才
資訊安全專業人員的養成其實並不容易,根據調查,有41%的資訊安全專家每天必須花2個小時以上的時間在尋找網路安全資訊,這樣的人力投資,恐怕不是一般企業能夠負擔。另外,更重要的是“經驗”,真正處理過資訊安全事件的經驗。防火牆軟體或設備,僅僅能夠將入侵攻擊的訊息忠實的呈現而已,至於如何判斷其正確性,可能還要靠有經驗的管理人員。

常常發生的狀況是,某一天下午,防火牆管理者突然會發現公司的某部主機A正遭受大量的攻擊,於是開始通知相關單位與負責人員採取防禦措施,正當大家忙成一團的時候,才發現原來駭客真正攻擊的目標其實是另外一部資料庫主機,並且已經成功的被植入後門程式,這樣的攻擊假象,是駭客常用的手法之一,也常常讓管理人員白忙一場。

這樣的情況,絕對不是購買知名品牌與功能齊全的設備如Check Point、Cisco、NetScreen、Symantec等設備就能解決的。目前90%以上的防火牆管理人員,都是由資訊部門的同仁來“兼任”。在平常工作 (處理網路斷線、eMail收發、除毒服務、設備更新、資料維護、定期報表等工作) 負荷已經飽和的情況下,其實是心有餘而力不足。這也就是發現越來越多公司的防火牆不是3個月以上沒有維護,就是已經荒廢的原因。 面對這樣的現象,目前已經有一些服務供應商,以資訊安全“委外服務”的觀念出發,提供資訊安全專業人才與設備,替客戶進行資訊安全整體的維護,相信這也是未來的趨勢。

建立7x24的監控與異常通知機制
網路就像是一部“永不停息的發電機”,在網際網路上隨時都有大量的資料在流動,其中當然也包含了病毒與攻擊活動。如今,企業雖然建置防火牆來防止網際網路上的惡意入侵行為,卻也同時衍生了設備本身管理的問題—7x24的監控與異常狀況通知。

畢竟機器設備不是萬能,一旦發現可疑的狀況,還是需要快速通知相關的處理人員,透過專業人員來進行嚴重的程度判斷及應變處理步驟的執行。如果不能做到即時的應變,短短的10分鐘,可能就已經導致整個公司的網路癱瘓,甚至造成重要資料庫系統被植入後門程式,營業機密外洩。

以2003年初的SQL Slammer蠕蟲攻擊事件來說,45%以上的客戶都是隔天才發現公司的網站或資料庫已經遭受感染,其實已經為時已晚。

定期檢討資訊安全策略(Security Policy) 依據目前防火牆的管理經驗,防火牆中所設定的資訊安全策略(Security Policy),大約每2個星期需要進行一次修改,以適應內外在網路環境的變化。所以防火牆管理者必須對於各種的設定與所造成的影響有著充分的了解,以免因為錯誤的設定,反而導致公司內部的服務中斷。尤其是現在很多的公司已經導入CRM、ERP及建置企業專屬網路(VPN),在網路環境越來越複雜的情況下,難度自然提高。

定期進行異常報表的分析 當您的公司遭受惡意程式進行掃描攻擊(Port scan)的時候,短短的10分鐘內可能會產生上千筆的攻擊紀錄,如何在這些資料當中,分類與歸納出相關性,以便作出正確的判斷,是一項重大的考驗。目前使用防火牆的客戶中,82%以上的客戶從來不曾進行報表的分析工作。建議未來防火牆管理者還是應該要定期進行異常報表的查看與分析,累積經驗,未來才有辦法迅速有效的判斷攻擊的來源,快速找出攻擊的核心。
防火牆設定資料的定期備份
資料備份,在進行資訊安全環境建置的時候是一件非常重要的事情。像防火牆這樣的重要元件,必須定期將內部的設定進行備份,尤其是公司的資訊安全策略(Security Policy)設定進行備份。您可以儲存在適當的地點,也可以採取異地備份的方式進行,以確保未來資訊安全重要設備故障發生或者進行緊急復原計畫(DR)的時候可以順利回復。

上述所提到的這些原因,都是在進行防火牆規劃與建置的時候比較不容易思考的地方,可以特別加以注意。當企業在考慮資訊安全環境的建立時,不妨回到資訊安全管理系統(Information Security Management System)初始的三項目來思考︰
1. 確保資訊資產的機密性、可 用性與完整性
2. 保護企業重要資訊資產不受 任損壞與遺失
3. 保護重大資料與機密資訊不 遭致危害與修改 這樣一來,其實會更清楚的發現,防火牆的建置與管理,只是整個資訊安全管理系統中的一部分而已,為了要達到上述三項目的,還有很多的服務與選擇可以利用,例如︰
*網路管理監控服務 自動監控 網路上重要的設備 ?網路弱點評估服務 找公司網 路可能被入侵的弱點
*系統弱點評估服務及 找出公 司伺服器(Web、eMail、檔案伺服器等)的弱點 ?弱點更新服務 針對已發現的 弱點進行補強與更新
*防火牆委外管理服務等等 目前市面上已經有許多的服務供應商已經開始提供上述的服務,尤其是政府單位,已經於2001年起,陸續使用許多上述服務成功建立攔阻了許多的攻擊事件。例如今年6月份某政府部門的網站遭人竄改,能夠在短短的1個小時以內就復原,可以算得上是相當成功的演練。最後,必須要與各位分享的是,其實不論您今日建立的資訊安全系統如何完備,它是“沒有永遠的安全”的,唯有持續不斷的強化與改善,才能夠有效地維護公司的資訊系統正常運作,讓企業永續運作。同時也相信有各位先進的投入,資訊安全在未來還是會持續發燒。

(本文作者為 seednet企業資訊安全服務總監)