[焦點議題] 網路安全從「頭」開始!

網路已經成為資訊化企業重要的溝通命脈,但是對於企業而言,所能夠有效掌握的還是侷限於企業內部環境,最多僅能管理到寬頻連線的終端設備,因此時常因為大量的外部攻擊而影響整體網路效能。

網路已經成為資訊化企業重要的溝通命脈,但是對於企業而言,所能夠有效掌握的還是侷限於企業內部環境,最多僅能管理到寬頻連線的終端設備,因此時常因為大量的外部攻擊而影響整體網路效能。

這就像是一條通到企業大門的道路上,充斥著許多問路的人,看似流量甚多,但是大多數卻是對營運沒有任何助益,甚至會影響效能。

因此, 現在企業應該著手與電信業者共同合作,清除從電信端到企業入口間通道上的無用甚至有害的各種流量,進而確保頻寬使用率並提高效益。

先前的資安防護架構由於受限於企業自行建構之故,雖然可以採購並架設多臺安全防護與過濾系統,但是我們卻無法阻礙各種無效或有害的連線要求在門前叩關。這些叩關的威脅,就會在企業有任何疏失時造成可大可小的危害,讓企業防不慎防。

而除了這些安全威脅之外,真正影響企業營運的反而不是安全威脅,而是因為過多垃圾或無效訊息流量,佔據了企業所申辦的寬頻連線頻寬,使得真正與營運有關的封包無法正常順暢地進入企業之中,進而讓企業績效無法有效地成長。

決戰境外成資安主流思維

若以軍事征戰的角度來看,光是被動的固守城池雖然可以收到良好的防禦成效,但是缺乏整體縱深概念,往往會讓威脅得以兵臨城下,直接打擊最後一道防線,能夠有效抵禦則矣,倘若一旦有缺口被發現,大量入侵與攻擊便會趁虛而入,影響甚至癱瘓整個企業內部網路,造成不小的破壞。但過去我們早已習慣這種建構方式,鮮少有人考慮將資安的防禦縱深延伸出去,讓電信業者與企業共同合作,鞏固通往企業的最後一段路。

如果企業可以將安全防禦陣線提前到企業網路之外,就能夠有更多時間與層級去有效過濾相關內容,而且,由電信業者端能夠更有效地整體分析相關流量的發起點,除了被動的過濾與阻擋之外,還可以根據所分析的結果,主動封鎖相關地點所送出的流量,確保整體網路的乾淨與安全。

清除危害 保障線路

為什麼要將安全防護從企業邊界延伸至電信業者局端處?最主要的原因是確保所申請的頻寬能夠乾淨且有效。

頻寬的乾淨且有效可分為兩個方面來看:清除有害封包與強化頻寬利用率。有許多有害封包都是要到企業邊界甚至進入企業之後,才能由內部負責相關機制的設備檢測並過濾。這種作法雖然可以讓企業握有最高的控制權,但對設備與頻寬來說,卻造成相當大的壓力。

舉例來說,面對層出不窮的攻擊與試探,如果我們都需要等到封包進入企業之後方行過濾,將會有一半以上的流量都是無效流量, 對設備來說, 也需要花費大量的效能才得以清除這些內容,形成無效的浪費。

第一金證券利用資安艦隊打造安全連線

在證券網路化的同時,第一金證券也建構電子交易平臺,提供客戶快速查詢並交易的管道,但在開放後即時常面臨流量暴增且連線異常的狀態。在經過資訊部同仁與專家共同會勘之後發現,造成此狀況最大的原因就是網站開放後,有許多攻擊或測試流量,意圖與網站連線,因此造成流量暴增且影響正常運作。

「傳統交易主要為利用電話與本人親自到營業櫃檯辦理,安全性較能夠受到保障,」第一金證券資訊服務處協理林忠誾表示:「但開放網路交易平臺後,可以看到資安風險越來越多樣化,這些風險包含網頁竄改、SQLInjection或是其他威脅。」

而為了降低內部員工的負擔,第一金證券決定最好的方式是採委外方式執行資安服務,其中的要件即是確保整體流程不會有任何疏失。中華電信所提供的資安艦隊方案,在整體資安解決方案中,就佔了首要的地位。對第一金證券而言,過去在沒有導入資安艦隊之前,網路部分時常因連線過多導致頻寬不足,但這些連線中可用的內容僅佔30%;而在導入資安艦隊搭配入侵防護服務之後,由位於中華電信局端的IPS設備協助過濾所有有害內容,讓現在的頻寬可用率幾乎達到100%。

「建構從局端到企業入口端既乾淨又安全的管道是資訊部門的理想,」林忠誾表示:「在導入中華電信的資安艦隊旗艦版服務後,不但安全性提昇許多,同時也讓頻寬可用率大幅提昇,是我們所享受到的額外效益。」

中華電信:資安艦隊

中華電信是第一家於臺灣推出網路連線安全服務的電信業者,除了率先推出以UTM設備整合企業網路入口之外,並提供資安代管、入侵防禦、郵件過濾及安全評估等服務,讓企業可以確保寬頻連線上的封包都是安全且正常的。

中華電信的資安方案包含了連線安全與服務兩大類,連線安全部分是與寬頻連線整合,除了提供品質穩定的網路連線外,採用資安艦隊方案,企業則還能擁有一臺經過中華電信評估測試的UTM設備,確保流經企業入口的流量都是安全無虞的。

而資安艦隊部分不單只是提供設備與頻寬,如果企業缺乏相關資安人才,中華電信方面還可以協助企業管理UTM設備,隨時依據所遭遇的情況調整相關安全防護機制,建置最具效能的資安防護架構,確保企業不會因為資安而浪費過多成本。

最高級的旗艦版資安艦隊則增加郵件過濾、入侵防護、網站弱點偵測與資安預警情報網等額外服務,不但強化企業端的安全防護機制,更從電信業者端便開始監控並過濾相關流量,確保企業的網路連線是乾淨無污染的。

(作/羅建豪‧謝齊飛)

(……未完,其餘內容詳見網路資訊雜誌第226期2010年9月號)

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416