https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

展翅高飛

2005 / 11 / 04
Adam Stone
展翅高飛

慘淡的經濟情況,再加上原物料和勞工成本的上揚,以及運輸業削價競爭的結果,對了!還有先前所發生的911事件,以上這些狀況都足以讓聯合航空停止營運,所以呢?當這些難關都渡過之後,聯合航空更犯不著為了IT網路這種小事而歇業!不過,事實也的確是這樣,因此,資安管理階層的Rich Perez便下達命令:「重新打造新的航空運輸網路,並以小額且經濟的費用讓這網路達到更安全的程度。」
這項計畫的起因是始於2004年初,因辦理與航線業務單位一個為期四個月的規畫性會議之中所萌生出來的,目的就是要綜觀審視聯合航空的成本架構。而正當這位芝加哥霸主將每項費用攤開來看-飛行航班和途徑、飲食餐點服務、行李托運處理、飛行器維修保養、機位銷售情形及各類促銷活動-簡直毫無利潤所言。最終結論就是:「聯航是被自身零碎的組織編制所害慘的!」
所以聯航有必要消除冗長多餘的事物,並從中挪出可再利用的資源,但是,如果從聯航企業的作業流程來看,其情況之糟,著實是令人捏了把冷汗。聯航並不單純是一家公司,而是由眾多小型企業所構成的企業集團;就IT層面的觀點來講,每個區域都像極了單一獨立的公司行號,都有各自一套的管理辦法和作業程序。像是United.com和其所屬的MyPoints.com的IT網路架構就不大相同,Silver Wings產品線、Mileage Plus作業程序、Star Alliance管理辦法以及所有海外的營運皆然-其所提供的設施及服務也都是遭遇到這種情形。
「目前就因為飛航工業已經搖搖欲墜,所以每樣事物都應該比以往還要更加仔細詳察,而每項支出也同樣地要更斤斤計較才成!」Perez繼續說道,「好比我們現在身處的情況底下,支出和效用都要有具同等意義,而每筆項目的目的和用途也一定要透明清楚!」
將這些服務團體整併成聯航的企業架構,不但消除掉冗長的管理階層,並且可以為聯航省下數百萬元的作業費用。要是成功了,航空志業就可以永續經營下去!另外,Perez也知道,要維持營運順利就得對現行架構不斷地試煉和調整,以達到它的最佳狀態才行!而假使聯航欠缺一個安全的IT環境,至此就極有可能無法再次翱翔天際。
調整艙壓
在飛機起飛之前,Perez不免地要打掃一下聯航的IT客艙,將現行的架構清單列冊並對於每項安全裝置、軟體、服務和政策進行評估作業。
結果出爐:多數的事物運行的並不是很順暢。
最明顯的弱點就是聯航代管服務的安全性問題,這些服務通常是藉由聯航的e-commerce軟體和Web-based服務所控管著的。「聯航所提供的安全機制,並非是要對資料中心作出反應,而是要能夠迅速地回應聯航的特定需求才是正確的!」Perez說道。
Perez的小組由上到下,翻遍了聯航資安的每一寸土地。他們首先採用了較寬鬆的評量準則,包含資訊應用的靈活程度、功能性和擴充性等,其中最重要的,當然還是成本考量。這些評量工作會一直持續進行著,在當中要是發現某個項目一直運作順利,它就會被保留下來,並且極有可能會部署到其他部門裡頭去;反之,就會捨棄不用。
還有,聯航不穩定的財務狀況意謂著並沒有多餘的錢可以用在採購上,當然像大型的設備部署工程和員工的教育訓練也是處相同的情況下,並且只有對聯航網路安全有著絕對的貢獻度,Perez才能讓現存的基礎建設作最大的循環再用。
「修正網路架構的重要推手之一就是循環再用!」Perez接著說,「尤其是當面對財務危機時,這點會顯得相當地重要!這就像從岩縫中擠點水出來喝的道理是一樣的,如果得從貧脊之處擠出些東西的話,記得!再用性就是個重點。假使某項事物只能適用於某特定環境,而不能套用於其他地方的話,那麼,這就不是理想的解決之道,而只是個麻煩罷了。」
上面的觀點會獲得資安專家的認同,但是,他們同樣會迅速地提出告誡。再用性只是一個起點,但如果其中還牽扯到資安威脅,再加上解決方案的變化,和架構重整等問題的話,那麼,採行新技術一併來解決現存問題,不也是一個絕佳的機會?
「丟棄愚蠢的事物是達陣的第一步!」,資安顧問Eddie Schwartz說道,「這也意味著,要保護一個更加開放性的資訊邊界,會更形複雜困難。所以,你就得在現存設備上使用更精密的科技設備才行。」
只有當Perez用盡現存有用的每一部分,他才會轉而以策略性投資來填補這些資訊溝渠。Perez又說,「我們了解到如果在我們持續強化之後,假若效果仍只是普通,或者情況更糟糕的話,那這就是該換跑道的時候了。」
依據聯航的業務單位和IT部門的反饋意見,逐步採用新科技的轉換計畫顯得有點草率。所以不但聯航機師和空服員組織的代表投入此項計畫,就連部分機場航務代表和內部關心的人士也參與其中的運作。當然此項計畫內容,都是圍繞在聯航的業務需求以及IT部門所提的需要為主。
在調查之中發現,使用Cisco IDS產品區域,在偵測網路攻擊和惡意行為方面會較有效果。於是Perez決定馬上棄用其他IDS方案,並將Cisco的Cisco Works Security Information Management 2.2版訂為使用的統一標準。他深信,如果可以因減少教育訓練和維護費用而快速地降低成本的話,那麼,聯航就可將這種成功模式套用到各個角落。
「效能測試是以先前留用的資料作為基準依據,而在當新系統啟用之後,評比分析的測試則會以系統處理能力以及安全等級兩個項目為主!」Perez說。
Perez同樣也發現到聯航有過多的軟體安全解決方案,他認為依附在硬體設施上的軟體也是一大麻煩。為了簡化聯航網路,還有降低硬體設備的成本,聯航於是採用了Crossbeam Systems的高效安全裝置,裡頭配置有Trend Micro的防毒軟體和網頁內容過濾器,其中還包含Secure Computing的SmartFilter URL過濾軟體。在裝置最初,很明顯地,就已經替聯航省下了大把鈔票,另外,系統安全性也的的確確提高了不少。
上述的抉擇給了Perez在財務方面些許幫助。「在同時間內,我們也將現有軟體的投資移轉合併到Crossbeam硬體設備上頭。」
除了一統資安設備以外,Perez深信聯航還會因為較經濟實惠的技術支援和維護合約,再更進一步的降低資安成本。同時,這也表示,因為人人都使用一樣的設備,所以教育訓練和人員協助的需求也就會減少許多。
有時候,只用統一合併的方式並非是一個好的解決之道。而且,聯航會盡一切能力來大砍費用,這也意謂著,如果有多樣、便宜的軟體可以作到單一昂貴軟體所作的事,那麼,請保留前者。此時,Perez統一合併的招式就不再適用。舉個例子來說吧!聯航使用三樣各自獨立的套件來過濾URL和網頁內容,還有進行防毒的工作。然而,在一些特定的業務單位裡面,這些工作是交由Aladdin的eSafe這個套件來完成的。以一個精明的消費者來說,當只需用單一解決方案即可處理掉二樣事情的話,那麼,就會對你要購買的心態產生了一點點影響作用-你會想要這個。但是,假若Trend Micro和Secure Computing可以合作無間,對某特定單位來講,也花得值得的話,其實,反倒它們會被採納!
「要達到節約成本的每一項事物,我們都必須去作檢驗才行!」Perez接著說,「要是成本高過於現存的解決方式,我們是不會採用的。」

頭等艙享受
Perez承認只要是重整計畫,都得在對立之間取得平衡。不過,一方面,整合後的系統賦予IT小組在資安上集中控管的權力,這倒是其中的好處之一。反之,單一集權的系統也是成為駭客和破壞者下手的顯要目標。儘管有其缺點,一個零碎分散的系統至少是降低了入侵者可能造成的傷害。
Razorpoint Security Technologies資安諮詢公司的總裁Gary Morse說道,「你知道當身處在不同的環境下,要權衡某件事情的時候,是無法窺探到所有事情全貌的!」
重點是,保全一個歷經標準化的網路就在於界定出散亂化(fragmentation)和區間化(segmentation)。兩者的不同處是Fragmentation乃無次序地散亂開來,而Segmentation指的是有一個統一的體系存在,並且能在不同的業務單位和資訊倉儲之間建立起分隔線,以維持全體架構的完整性。
聯航所採行的模擬區隔網路的方式就是一個最棒的辦法!因為它省去了新增硬體設備的費用,但卻提供了與實體分隔同樣的效果。
「當我們在進行合併工作時,就作了許多的網路基礎建設,並透過模擬的技術來讓這些基礎網路有一種區間化的效果,即使它們原先實屬同一單位亦是如此。」Perez繼續說,「我們會在一個網路建設中建立多樣的區隔化型態,這樣可以保有許多的彈性。用這種方式,就是要避免掉『把雞蛋放在同一個籃子裡』的窘況發生。」
在此次的架構建置中,雖然先前的各處室以及部門間的障礙,會連同虛擬區間一起被保留下來。但在暗地裡,資料是被抽離和分開的。不過,這種情況在一個統一的網路架構下是可以並存的,這樣不僅容易管理,另外也降低維護的費用。
「門愈少,你需要防堵的地方也就愈少!」Perez說。
再者,雖然有些改變的資訊是必須要對使用者開誠佈公的,可是這麼做卻背離了我們事後的一些想法。避免劇烈地文化變革這點,就跟在軟硬體上作任何設定調整一樣,是非常重要的!Perez想要的是一種船過水無痕的移轉方式,可以降低複雜度並提高使用率。不過,這種資安魔法依舊只會在幕後施展就是了。

直達班機
歷經一年之後,Perez達到多項目標:一個統一的資安架構,一個容易維護的穩固網路,而且降低了作業費用。
經由現存維護和技術支援的減少、資源分散再加上其他費用的降低,Perez預估最初便可省下約250萬美元。而這項計畫預計在2006年初就要完成了,到時候,聯航便可以在全國10個資料處理中心裡頭,將22個資安應用伺服器整合成4個,並且同時可以服務到7000個使用者。依Perez的看法,節約效應應該還會繼續地持續下去,但是要算投資回報(ROI)似乎還過早了一點,這是由於此項計畫綜觀的成本還不是很明朗的緣故。
「人愈多,相較於以前我們所見識的事物也就愈多!」Perez說,「我們現在的確是可以提供大眾較好的安全服務,而且歡迎更多的人來挑戰這種看法!」
但是還蠻諷刺地是,重整架構並沒有降低在聯航從事資安任務的人數或費用。事實上,當聯航持續宣導遵循沙賓法案(Sarbanes-Oxley, SOX)時,Perez還期待可以加派人手。現在聯航保有的員工數,目前是遠低於分散架構和眾多法條所限定的人數。而Perez也深信,要是沒有重整資安架構,人數也許還會飆漲。
至於,為資安做架構重整的這種方式,Perez知道,並不是完成之後就可以真正地高枕無憂,也不是歷經危機後才要做的事情。不斷地的評估和調整網路架構是一個要持續進行的過程,因為網路和資訊科技也是不斷地在改變的。只有定期重新審視網路架構和技術更新,企業運作才可能會更有效率,也才看得出成效!
「我們不應一直沉溺在勝利的喜悅當中!」Perez接著又說,「我們對周遭環境要不斷地評估再評估,永遠不該滿足於現狀!」

ADAM STONE是專職撰寫 IT 科技和資訊安全的自由作家,關於本文的任何批評指教,敬請來信到 iseditor@asmag.com