資安設備採購趨勢分析(3) 利用資安管理與防護工具 打造24小時不中斷的安全網路環境
- 企業IT編輯部
-
前言:
隨著全球化布局的趨勢,許多企業建置海外分據點的第1大挑戰,莫過於如何將各分據點之間的資料順利串連,甚至員工在外四處奔波時,依然能夠快速連回企業內部,而不必擔心機密資料在傳輸過程中被駭客竊取。儘管透過端點防護架構,能有效避免病毒或惡意程式入侵企業內部,但是卻無法確保資料傳輸過程的安全性,尤其駭客的攻擊手法轉向盜取機密資料以獲利,資訊人員必須建立更安全的虛擬網路通道,才能保障企業資料的安全。
本文:
隨著駭客入侵企業的問題日益嚴重,許多企業用戶都把焦點放在如何有效管理企業網路,打造避免駭客入侵網路環境。但隨著IT部門扮演的角色,逐漸由被動轉為主動,網路管理員應該從協助提高企業營收的角度出發,讓資安設備不僅能夠抵抗駭客攻擊,也能提高對消費者的服務品質,同時降低企業的整體營運成本。
善用入侵防禦系統 有效預防駭客駭客入侵
由於多數UTM設備雖提供入侵防禦功能,但是受限於晶片處理速度不足,以及多半採用免費軟體的關係,其效能上通常不能滿足中大型企業所需,因此,對中大型企業用戶來說,添購1台獨立運作的入侵防禦系統,是阻擋駭客入侵必備的資安設備之一。由於早期入侵防禦統多半採用特徵比對的方式,往往受限於資料庫內容數量不足,或者病毒變種速度太快,不但容易出現遺漏攻擊的狀況,甚至因為網路封包的數量太多,導致無法提早發現隱藏在網路封包中的惡意程式。
近年來入侵防禦系統已不再使用傳統的特徵比對模式,而改以偵測通訊協定異常與否的方式,來判斷是否發生駭客入侵行為。改用偵測通訊協定異常與否模式的最大好處,是不需要更新資料庫的內容,也不必擔心封包比對速度不夠快的問題,只要封包流量比正常值高出許多,就代表可能發生被駭客入侵的狀況。尤其針對駭客常用的阻斷式攻擊手法,偵測通訊協定異常與否模式,可協助網路管理業者提早發現攻擊,避免造成企業應用服務中斷的情形。
1台有效的入侵防禦設備,應該具備高速網路封包偵測的能力,能夠在不影響既有網路運作的前提下,進行即時性的威脅分析,抵禦駭客入侵與攻擊事件,以免造成企業用戶時間與金錢的損失。在端點防禦概念逐漸成形後,入侵防禦設備搭配防火牆與其他存取控管工具,可協助網路管理員發展主動式的安全政策,阻擋駭客或未經授權的惡意使用者誤用系統 。
提供更方便、安全的傳輸技術 SSL VPN備受企業歡迎
近幾年來SSL VPN產品之所以異軍突起,成為企業在建置分據點之間的首要選擇,主要原因在於提供更方便、更安全的傳輸技術,可有效杜絕駭客竊取機密資料的行為。以往企業多半使用IPsec VPN為主,但最令人詬病之處,在於一旦連線通道建立之後,用戶端電腦就可任意擷取企業內部的網路資源;換句話說,只要駭客事先在用戶端電腦上值入惡意程式,就能透過VPN通道進入企業內部網路,進而竊取機密資料。相較之下,SSL VPN可提供比較彈性的管理機制,例如可限制部分使用者的存取權限,讓員工在外只能存取特定應用程式服務,而減少機密資料被竊取的機率。
由於SSL VPN能夠跟企業內部現有的LDAP、Active Directory等驗證服務整合,讓IT人員能夠利用既有的帳號資料庫,依照不同的單位或群組設定存取權限。而且採用SSL VPN的連線方式,用戶端完全不需要安裝任何連線軟體,只要透過業系統內建的瀏覽器,就可以從外部網路存取企業內部網路的共享資源。由於幾乎每個企業都需要遠端連線的服務,所以包含許多UTM或中小型防火牆都內建這項功能,企業在選擇相關產品時,最好從連線數量著手,否則一定會遇到網路傳輸速度過慢的窘境。
其次,SSL VPN支援的應用程式數量多寡,也是企業用戶在選擇過程中必須要考慮的重點。一般來說,採標準傳輸協定的應用程式比較少遇到相容性的問題,但如果企業多是採用自行開發的應用程式,就必須考量彼此之間的相容性,才能達到保護企業內部資料安全的目的。
因應政府法規需求 郵件稽核系統需求大增
隨著近幾年網路蓬勃發展,過去以傳真機為主的溝通管道已不符合潮流所需,企業多半習慣利用電子郵件提高與客戶之間的溝通速度與服務品質。儘管電子郵件在訊息傳遞上更方便,然而一旦出現員工誤刪郵件的狀況,卻往往得耗費更多時間將被刪除的郵件救回,加上近年來法令也規定,必須保存與客戶來往信件達2年以上,所以,如何有效率的找回被刪除郵件,並且長久的保存下來,就成為資訊部門亟待解決的問題,也讓郵件稽核系統成為企業用戶不可缺少的資訊設備。
目前市面上常見的郵件稽核系統大致上可分成2類,第1類是依賴在既有的郵件系統,例如微軟的Exchange Server或IBM的 Domino Notes等,當電子郵件伺服器收到信件後,郵件稽核系統會立刻抄錄1份下來,以確保不會有任何郵件遺失。這類產品雖然具備優異的郵件還原功能,萬一電子郵件系統資料庫發生異常,可在最短時間內還原系統,但是為了維持與電子郵件伺服器相同的資料格式,多半不支援垃圾郵件過濾功能,所以必須仰賴前端的垃圾郵件過濾機制,才能避免備份到垃圾郵件,降低對後端儲存設備空間的需求。
其次,則是郵件代管業者推出的解決方案,例如桓基科技或網擎科技推出的郵件解決方案,除了可簡化中小企業郵件管理的成本外,也提供垃圾郵件過濾、病毒檢查、郵件稽核等功能,以符合美國沙賓法案和台灣的個人資料保護。當然,這類解決方案並非完全沒有缺點,其多半無法與工作流程表單整合,若企業用戶已經使用Exchange Server或IBM Domino Notes建置電子表單時,恐怕不適合採用這類郵件稽核系統。
提高企業服務品質 網路防護匝道器不可缺
對許多跨國企業用戶來說,除了先前提到利用SSL VPN建立安全的資料傳輸通道,以及透過郵件稽核系統建置符合法規的環境外,如何避免代表公司形象的網站被駭客入侵,以及妥善管理企業網路頻寬也是不可忽略的重點。相信許多企業對2010年2月Google發生被駭客大規模攻擊的事件依然印象深刻,雖然沒有造成任何客戶資料被竊取,但對Google的形象已經造成嚴重的傷害。駭客入侵Google網站的手法,就是採用目前最流行的漏洞攻擊,也就是利用網站設計本身的缺失植入惡意程式,藉此將使用者引導到惡意網站。儘管這次攻擊事件背後摻雜的中、美雙方複雜的政治因素,但顯見企業用戶再利用網站提高對消費者的服務時,也應該注意網站本身的安全,避免導致消費者的抱怨。
受限於開發軟體、網路架構,甚至於用戶端瀏覽器的缺陷,程式設計師幾乎不可能設計出毫無漏洞的網站,尤其目前開始透過網站提供消費者服務的企業用戶,更改網站程式碼不但得耗費數百萬的費用,更需要耗費6個月以上的時機,所以網路防護匝道器就成為目前最有效的資安防護工具。藉由網路防護匝道器的防護網,不但能大幅降低被駭客直入惡意程式的機率,甚至也可藉由後端管理介面所提供的報表資料,掌握駭客攻擊的來源與行為,以便制訂相關的資安政策。
有效整合企業網路資源 廣域網路頻寬管理器扮要角
跨國企業最需要的另一項網路設備,莫過於可以整合多條網路專線,建置網路備援的廣域網路頻寬管理器。相較於以往昂貴的網路專線,台灣的ADSL網路費用已經逐年下跌,且包含各大網路電信業者,也推出高速雙向ADSL服務,提供企業用戶另一種便宜的網路解決方案。但是,隨著企業用戶所需的網路應用服務愈來愈多,如何妥善利用有限的網路頻寬,成為許多企業用戶非常在意的事項。以目前許多企業將營運總部設在台灣、辦事處設在香港、工廠設在大陸的經營模式,如何維持各分據點之間的網路暢通,顯得非常重要。儘管SSL VPN可確保資料傳遞過程不會被竊取,但卻無法確保兩地之間的網路頻寬,甚至維持24小時服務不中斷的模式。
廣域網路頻寬管理器最大的特色,就是可同時連接2條以上的專線,企業用戶可依照應用程式的重要性高低,分配維持應用服務不中斷狀況下所需的保證頻寬,甚至可搭配原有的防火牆使用,降低非執行公務所需的應用程式頻寬,例如有些員工會利用電子郵件傳輸大檔案的給客戶,導致總公司與分公司之間的頻寬不敷使用,藉由廣域網路頻寬管理器的協助,便可將電子郵件伺服器與應用程式伺服器的頻寬分離,避免兩者互相干擾,而影響企業內部正常營運。
其次,2條網路專線之間更能互為備援,避免網路電信主機端發生問題而造成網路斷線,進而影響企業內部對外的正常運作。隨著3G上網服務愈來愈普及,許多廣域頻寬管理也支援3G上網的功能,可在實體網路斷線的狀況下,自動啟用3G上網服務,為企業用戶提供24小時連線不中斷的網路環境。
