深入解析下一波資安工作重點：資訊安全鑑識

　　筆者閱讀資安人6月號文章，感到心頭一陣澎湃，由其內容得知，開始有越來越多人接觸、並開始了解所謂電腦犯罪的嚴重性以及數位證據採集的重要性，而相較於觀念層面的推動，了解如何選擇一套工具、及工具本身的規則、理念，更可以掌握到這波資訊安全潮流的應用其實無所不在。

　　網路資訊安全鑑識的基本工作就是蒐集網路上流經的封包內容，即時、完整側錄下來做為日後分析的資料。對於某些特定產業來說，這項工作的必要性隨著客戶服務的質與量獲得正視，因為營運上所用到的工具已經大量數位化、電腦化，也依賴著網路的使用。只要與網路、系統相關，就與數位資訊流通密不可分，為了要確保企業營運的質量並重，提供最優質的客戶服務，企業採行數位資訊鑑識工具已是大勢所趨。

資訊安全鑑識在各產業的應用

　　我們在以下這些產業別都可以得到具體的例證，來了解網路資訊蒐錄與鑑識對現代產業的重要性。

通聯紀錄怎麼查，品質弱點有跡可循

　　先從日常生活中的網路使用談起，固網業者(ISP)與電信業者分別提供網路連線及網路電話的服務，假如使用者發生連線故障，或是通話品質不良，業者可透過回查使用、通聯紀錄(CDR)及通話語音品質來找出問題點。這對於VoIP業者來說，將客戶的通聯資訊完整紀錄並保存，也是法規上明文規定的營運要點。提供VoIP服務等二類電信業者需擁有即時監聽與通聯資料紀錄的技術，才能領有執照。

　　一個常見的應用案例是，網路電話使用端發生話訊不通的障礙，業者的作法是設定一個時間單位，錄下這期間的通話訊號，然後採樣比對，了解通話品質誤差的原因再進行改善。這之間的技術需要錄下聲音RTP封包以及通話者兩端的資訊，才能釐清問題所在。

情治偵防可疑犯罪活動

　　網路使用記錄的偵查已成為現代警方的重要手段之一，其實不論在哪個國家，網路上流通的情報資訊扮演著相當重要的角色，警方如能精確掌握追蹤可疑犯罪的網路活動，對於偵辦案件會有相當大的幫助。就曾與某偵查單位合作的經驗，在開立合法監聽票的依據下，辦案組員將封包側錄的工具設置在ISP機房的網路，藉此錄下嫌疑人的電子郵件紀錄，產生完整之數位證據資料，才能作為有效證物佐證以起訴嫌犯的罪行。

確保Call Center的客服品質

　　包括像信用卡服務、客服中心、市場意見訪問等服務機構，在品質的管控上也可以借重網路側錄機制，量測客服人員的服務品質、確保服務應有的保密規範。因為Call Center的業務特性，除了必須要求通話人員的服務態度、流程之外，在處理客戶較為機密的決策或交易時，也能避免被竄改、冒用，假若雙方在日後發生爭議，也可重新作查詢，還原當時的對話內容作進一步確認。

金融交易安全防護罩

　　同樣是為了確保雙方的權益與公正，金融單位的交易介面也是網路封包側錄的適用範圍，在特定交易主機上，銀行錄下客戶下單的紀錄，同時進行資料保密的工作，一旦發生問題，銀行即採取可靠機制(包括作業的人)，確保加密資料的安全性後再經解密，將交易資料調閱審理，這對線上金融交易來說，是一個更有效提升客戶與銀行雙方安全的閘道。

資訊安全鑑識的四步驟

　　做到有效的蒐集、鑑識網路流通資訊，首先必須做到完整的封包擷取，並執行特定的管理規則，以下介紹四個基本的封包管理步驟：

1. 封包擷取
網路資料在行進的過程當中，必須有一套方法將封包逐一蒐錄下來，包括In-Line模式，以及完全不干擾網路運作的Mirroring模式，這兩種方式各有適合使用的環境，In-Line的方式是讓所有網路資訊都先行通過錄製的程序，再傳送至接收方，因此網路的效能會略受影響；Mirroring的方式比較類似從旁複製封包的內容，由於其速度較快，因此不會影響到網路原本的效能。

2. 封包重組
封包在經擷取之後，重組的步驟相當重要，因為封包在傳送時，可能會被切割、分散傳送，一筆資料會被切割成數十個、數百個封包分時傳送，而傳遞的過程當中，各式各樣不同應用程式的封包組合會混雜在一起，因此蒐錄到的封包須先經過分類、排序、整理，最後送至資料庫儲存，才是可供辨識、還原的封包。

3. 還原封包
封包在經過重組後，可依照部分特定的應用程式加以還原其內容，包括幾種常見的應用程式如Http、FTP、E-mail、IM、Telnet等，因為網路環境中的應用程式種類繁多，有些應用程式只有在特定產業或特定用途才會出現，因此其封包格式若要執行還原，還需要透過相關廠商開發還原工具。

4. 封包保存
封包的保存不脫離幾個重點：一是須確保不被修改；二是確認格式的一致性；三是保存時不可破壞原本的內容；四則是最受業界重視的加密機制。確保不被修改意即在封包蒐集、重組到最後保存階段的過程當中，不可以因傳送或是辨識的動作讓封包內容有所變動，一定要確保蒐集的方式可讓封包內容維持不變。格式的一致則是為了儲存與後續還原的便利，若是儲存時採用了不同的格式，可能會讓還原工作相當棘手。保存的手續中可能需要壓縮資料或是另有其檔案歸納的原則，但前提是不可以破壞到原本的內容，例如讓某一部份損毀，那封包就失去其正確性了。加密機制對各個產業的應用來說都有其必要性，經過嚴密的加密手續才可以避免封包被竄改、竊取或是破壞等不當行為。

資訊安全鑑識強調的四大原則

　　那麼，我們該如何考量側錄工具的好壞，或是該怎樣去選擇一套合適的工具呢？針對網路的特性，這類技術所要強調的重點包括：擷取封包不會遺漏、側錄工具不會降低網路執行的效能、側錄的作業應該不被發現、使用者介面簡單、易用。

　　就如本文前段所述的產業應用介紹，儘管採用封包側錄工具所訴求的目的性不盡相同，但只要掌握筆者歸納並強調的四個大原則，企業便能輕鬆做好管理。

資訊安全鑑識存在哪些困難？

　　側錄網路內容會遭遇的困難，不外乎網路的流量太大、所要側錄的網路幅員太廣、遇到加密或自行開發的應用程式。流量大的網路容易發生封包遺失或是漏錄的問題，而幅員太廣也同樣易漏掉某部份的封包，因此必須將網段分區側錄，以提高側錄的品質。

　　一般企業界較重視的是IM的阻擋與管制，關於這點，我認為網路內容側錄技術可以協助企業在某種程度上開放IM的使用並做好管理；管制IM並非要探知個人隱私，而是要避免因IM夾帶的病毒或其他惡意程式的威脅，以及避免員工以IM的管道洩漏商業機密，但牽涉到個人隱私權的部份則需仰賴企業的政策宣導或為員工訂立明確之規範，包括側錄的時機、對個人隱私的保護等，企業應就這點與員工達成共識。

結語

　　網路內容側錄工具的採行能提供各產業界必要的保護措施，一旦有問題發生，即能調閱相關證據協助處理，或者更加全面性地，將網路上所有流通的資料加以備分，再針對特定的部門、應用程式內容、流量變化加以分析，即成為網路效能與安全稽核的工具。在可預期的未來，網路內容側錄的相關法規勢必會開放，這也將是下一波網路資訊安全工作的重點。