陳宛綺 |
|
Fortinet 技術總監劉乙 |
大部分的企業都擔心資訊安全的問題,特別是製造業,一旦防護不周,被偷走的不只是員工/客戶資料,還有自己公司賴以維生的智慧財產(設計專利、開發文件等),等於斷了公司的生存命脈;又或是在生產線上的機器遭病毒感染而停機,雖然僅僅只是停機半天,損失卻可能達到上億。
本文目錄
避免交互感染
因此,Fortinet 技術總監劉乙建議,製造業除了要注意員工上網行為,確保安全的存取環境外,還應該要將生產線的製程機臺與辦公式自動化 (OA) 的網路進行區隔,「如此一來才能夠有效避免生產線的機臺與設備受到辦公室員工的電腦病毒感染。」劉乙解釋,機臺設備的安全防護較桌上型電腦弱很多,漏洞也多,但由於必須全天候 24 小時維持運作,不能停機,因此也很難上修補程式,一旦受到感染,後果不堪設想。所以企業必須好好考慮如何將機臺網路與 OA 網路進行區隔,「總不能因為一個 USB,就讓所有機臺因感染病毒而停擺吧!」劉乙說。
除了要將機臺與一般員工存取網路進行區隔外,劉乙更建議製造業可以將不同生產線的網路進行區隔,若是非常重要的設備,更應該要將每一個機臺都進行區隔,劉乙表示,這要依照該設備的資安等級、企業成本考量、網路流量等因素來進行評估區隔的方式。
劉乙舉出國內某晶圓製造商以 UTM 區隔機臺與 OA 的實際案例。劉乙表示,該企業利用多臺 FortiGate 來區隔 OA 與晶圓製造廠房的網路,可以有效區隔各廠區受到交叉感染的威脅;此外,還可以做到 Active-Active 雙向交互備援的架構。該製造商並利用 FortiManager 來管理多臺的 FortiGate,進行統一資安政策管理與派送,與統一病毒及特徵碼派送,並進行集中版本管理與軟體更新,讓 IT 人員無需疲於奔命於各廠區間,也可做到統一管理。
劉乙表示,有些公司會認為既然已經在 Client 端安裝了防毒、防駭產品,就等於做好安全防範,可以高枕無憂,但事實不然,有些惡意程式仍會利用某些防毒產品的漏洞進行攻擊。劉乙認為,在閘道端設置一個 UTM 設備,可補強 Client 端防毒設備,透過交叉掩護彌補其它資安與網路設備的漏洞。
保護資料庫安全
除了透過 UTM 在閘道端阻擋外部惡意攻擊,內部資料庫安全也很重要。劉乙表示,大部分企業多將企業機密電子資料存放在企業資料庫中,許多駭客都覬覦這些「有價」的資料,因此資料庫安全保護極為重要。
劉乙表示,Fortinet 在 10 月推出了 FortiDB-1000B 資料庫安全設備,就是要保護企業的資料庫免於受到侵害。 FortiDB 是一套資料庫弱點評估設備,主要功能是辨識弱點、警告系統管理員潛在的威脅,並提供修正的建議,「就像是一臺定期為資料庫做健康檢查的設備。」劉乙說。
FortiDB-1000B 支援包括 Oracle 、 DB2 、 Sybase,與 SQL Server,每一臺設備可同時支援 30 個資料庫。劉乙表示,Fortinet 計畫在今年底和明年進一步推出低階(支援 10 個資料庫)與高階(支援 60 個資料庫)的 FortiDB 系列產品。
(本文同步刊載於網路資訊雜誌 2008 年 11 月號 204 期)