https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

防毒公司如何做資安?

2005 / 03 / 28
陳佳溶
防毒公司如何做資安?

資產保護的範圍
一、病毒資料庫:經過18年日積月累的蒐集,目前趨勢Virus Lab已有40萬隻的病毒(行為模式相似的就只算同一種病毒),同時根據趨勢的統計,全球大概每天就會出現10~20隻新病毒,包括變種病毒。

二、解藥資料庫:解藥資料庫則少於40萬,趨勢科技亞太區資訊服務部資深經理張宏仁說:「因為有時一種解藥可以解除好幾種病毒,就五年前來看,解藥每一個月產出一次就了不起了,現在是每一個月出來好幾次,但由於病毒數量一直在成長,因而解藥數量也隨著成長,目前產品數量的成長是5年前的4~5倍以上。」

三、產品相關資訊:其包含產品原始碼、測試資料庫及服務客戶解決方案的資料庫(包含客戶歷年來使用的產品及請求服務等詳細資料)。

如何做好跨國的資安工作?
病毒資料庫和解藥資料庫,在資訊安全管理範圍涉及到的是機密性(Confidentiality),服務客戶解決方案必須隨時確保客戶服務的可用度及保護客戶資料的機密性,趨勢跨越世界各地的佈局,面對這麼多內部員工及外在的威脅,又要如何保護這些重要資產及確保企業重要的資產得以安全呢?

1. 在虛擬世界中採用實體隔離的管理概念

每項研發計畫都有獨立的資料庫,也只有那項研發計畫的成員可以有權限出入,由JM負責管控進出資料庫的權限,決定誰有權利看到這個研發產品的哪部份,但每個JM成員都無法看到一項產品的全部資料,只能看到自己負責的部份,例如:一項產品具有十項功能,一個Project Team負責三項的function,其它七種功能就需要別的團隊支援,每個Project Team成員也無法看到其它團隊所支援的原始碼,因此,每個人都無法拿到一項產品完整的原始碼資料。

關於客戶服務資料部份,為了讓客戶方便存取資料,將客服資料放在開放的網路上,但其主要data base是虛擬的位置,外部無法直接進入,並在之間安裝內部防火牆控管外面的web site與內部資料庫存取,僅開放做某些特定的行為,且在防火牆上設定只能與某台特定電腦做連線,從另一台機器進來就會被阻擋掉,其易於辨識客戶來源及對客戶存取權限做控管,儘管如此仍存在一種潛在的危機,所以定期對開放環境的電腦做安全掃描,且檢查是否有漏洞。

屬於最敏感的資產部分,就屬病毒及掃毒engine,嚴格要求病毒、解藥的研發一定要到病毒實驗室(Virus Lab)去研究,研究完成的資料就儲存在實驗室內,其環境並沒有與網路連結,採用實體隔離的概念,另外病毒實驗室也提供員工產品測試環境,倘若在測試時可能帶來危機,也不會影響到開放性環境。

此外,趨勢辦公室環境裡的通信訊息線路切分成4種格式,一為連接測試實驗室,其中有3000台機器可供QA品管人員測試;二為是連結開放性環境,每個趨勢員工都會使用到;三為隔離環境,提供研發人員模擬設計環境,專供研發使用,萬一發生任何事件,也僅止於該封閉環境;四為電話線,將封閉和開放環境完全分開來,並設置實體隔離環境。

其將網路環境切分成兩部份,一是封閉,另一是開放,開放網路環境是員工工作的地方,可做產品測試,然而在封閉環境的資料,是無法存取出來的,此外,IT的管理上,必須以公司的網域名稱為主機命名,依公司規定,安裝防毒軟體及修補程式更新,倘若無法遵守上面之規定,則必須到封閉的網路環境工作。

趨勢更將實體隔離的概念,應用到防毒產品的策略上,張宏仁說:「以往只要是中毒,就是全部封鎖,一台一台找出中毒的電腦,後來想到可將有問題、中毒的電腦,先行隔離,就像SARS隔離的概念一樣,在未隔離時,東冒一個,西冒一個,最後則採隔離的方式才有效抑制,而網路防堵牆Network Virus Wall 則將開放的網路環境切分成很多區塊,只要發現某一個區塊有電腦被感染,就把這區塊的電腦網路環境隔離。」

2. GSOC 24小時監控全球資訊安全

趨勢在菲律賓有一個24小時的全球資訊安全監控中心(GSOC,Globel Service Operation Center),透過網際網路全天候遠端監控對外服務系統,同時,隨時查看微軟公佈新的漏洞,定期做權限控管稽核,每天觀察是否有不正常的流量。菲律賓的GSOC不僅對外部電腦做管控,並對內部電腦也做監控,建立至今已經3年,採用三班制,4個人一班,維持24小時的運作。

GSOC除了對公開的電腦做稽核,也會對內部做稽核,每月定期進行此項工作,針對內部電腦做掃描偵測,如發現漏洞必在一個星期內修補完成,從2002年開始稽核就為例行性工作,那時的稽核成效,根據統計有20~30%的電腦具有危險性,至2004年10月已大幅降低到零。

趨勢作業系統使用微軟的漏洞修補系統(SUS,System Update Service),在台、日、美、菲等四個區域都架有一個SUS伺服器,且菲律賓的GSOC擁有一套頂級的SUS伺服器,並不是微軟每次發佈修補程式,就上Patch,而是先做過測試後,放入SUS伺服器,傳送到每個區域的SUS伺服器,再複製到每個員工的電腦,同時自動安裝完成,且在告知一小時後系統會重新開機,張宏仁說:「如此就可確保了每個員工都上Patch,才不會漏網之魚。」

GSOC為趨勢所有的全球電腦做監控、稽核外,並統一一套管理規則,張宏仁說:「當然我們也可以自己做,但當我們自己做時,每個區域都有一套不同的規則,反而不易管理,操作上如有任何問題就統一由處理中心回答,做法才會統一。」 另外,趨勢在菲律賓還有一個NOC團隊,主要是在監控全球重要的機器,倘若機器半夜斷線,負責人員則會被要求到公司修復;而NOC(Network Operation Center)和GSOC團隊會設立在菲律賓,主要的原因是人力成本較便宜,且英文溝通能力強及人員較好管理等因素。

3.網路架構複雜提供第一手實用測試

為了提供產品測驗環境,張宏仁說:「即使沒有這樣的測試環境,也會設法架構測試環境來提供產品測試,而我們資訊部門為產品進入企業的第一個關卡,早期趨勢在產品上線前一個月,QA部門人員會到資訊部安裝最新的軟體做測試,目前由Beta Team負責,倘若產品有問題,再回覆給QA人員,請其修正到好,再給資訊部門測試,一定要通過資訊部門,才能進行下一步。」

此外,張宏仁說:「趨勢網路架構複雜度是台灣少見的,包括台灣、大陸、東南亞,韓國、香港、澳洲、菲律賓、印度、高雄等大概10幾個據點,由於位於亞太區,所以跨海的網路架構模式,與內陸相比,網路成本也較昂貴,此外,網路規模有大有小,每個區域需要不同規模的網路資源,有的區域不適合投資太多的網路成本,因為不符合投資報酬率,而部份使用開放的網路環境,部份使用專線連接,部份地方因線路便宜則接一條專線,因此,有各式各樣的連結方式,和其它企業的私人網路專線相較,趨勢卻不能如此做,因為這樣無法測試其產品,但在開放的環境下,就越不容易維持其安全性。」

4.應做資料備分外,並做異地備援

以病毒、解藥資料庫而言,資料備份是基本的保護機制,此外,趨勢的異地備援機制,主要分佈在台灣、日本及美國等三地,這些地方都放置同樣一套資料庫;此外,每隔一段時間,位在菲律賓馬尼拉的病毒、解藥資料庫,都會複製一份到台灣、美國,做為三地彼此備援,倘若菲律賓不能作業,可隨時在美國、台灣繼續工作。

目前產品原始碼大部份放在台灣,顧客端的研發資料多在日本,閘道器研發產品則在美國,三地都有儲存產品原始碼的設備,且會另建一個資料庫做彼此備援,倘若發生某一個據點的資料庫不見,可由其他的據點做支援。

服務客戶解決方案資料庫包括網頁服務、產品註冊及客服服務,同樣設立異地備援機制,美國是主要客戶服務的入口,同時台灣和歐洲都有備份,客戶服務解決方案資料庫主要在CDN network,具有儲取客戶最新資料功能,使客戶權利得到保障,此外,客戶服務系統則放在有電力備援且有防火災設備的機房, Akamai和Speedera兩地都有一套CDN network,倘若某一家斷電可在半小時內將服務移到另外一家,只要內容有所更改,在10分鐘內就將更改內容傳送到各地據點,上網去查尋即可找到最新的內容。

結語
趨勢此次通過BS7799是位於菲律賓TrendLabs,在2004年12月取得認證,半年的籌備就拿到驗證書;雖然,取得認證的只有TrendLabs,但其對資安管理的觀念,早已建置在全球各據點的分部,利用現代網路的發達,集中管理世界各地的IT機制,遠端掌控虛擬環境的安全,但更重要的是他們將實體隔離的管理概念,充分地應用在虛擬世界的管理,得以保障他們數位資產的安全。