[焦點議題] 網路安全從「頭」開始！

網路已經成為資訊化企業重要的溝通命脈，但是對於企業而言，所能夠有效掌握的還是侷限於企業內部環境，最多僅能管理到寬頻連線的終端設備，因此時常因為大量的外部攻擊而影響整體網路效能。

這就像是一條通到企業大門的道路上，充斥著許多問路的人，看似流量甚多，但是大多數卻是對營運沒有任何助益，甚至會影響效能。

因此， 現在企業應該著手與電信業者共同合作，清除從電信端到企業入口間通道上的無用甚至有害的各種流量，進而確保頻寬使用率並提高效益。

先前的資安防護架構由於受限於企業自行建構之故，雖然可以採購並架設多臺安全防護與過濾系統，但是我們卻無法阻礙各種無效或有害的連線要求在門前叩關。這些叩關的威脅，就會在企業有任何疏失時造成可大可小的危害，讓企業防不慎防。

而除了這些安全威脅之外，真正影響企業營運的反而不是安全威脅，而是因為過多垃圾或無效訊息流量，佔據了企業所申辦的寬頻連線頻寬，使得真正與營運有關的封包無法正常順暢地進入企業之中，進而讓企業績效無法有效地成長。

決戰境外成資安主流思維

若以軍事征戰的角度來看，光是被動的固守城池雖然可以收到良好的防禦成效，但是缺乏整體縱深概念，往往會讓威脅得以兵臨城下，直接打擊最後一道防線，能夠有效抵禦則矣，倘若一旦有缺口被發現，大量入侵與攻擊便會趁虛而入，影響甚至癱瘓整個企業內部網路，造成不小的破壞。但過去我們早已習慣這種建構方式，鮮少有人考慮將資安的防禦縱深延伸出去，讓電信業者與企業共同合作，鞏固通往企業的最後一段路。

如果企業可以將安全防禦陣線提前到企業網路之外，就能夠有更多時間與層級去有效過濾相關內容，而且，由電信業者端能夠更有效地整體分析相關流量的發起點，除了被動的過濾與阻擋之外，還可以根據所分析的結果，主動封鎖相關地點所送出的流量，確保整體網路的乾淨與安全。

清除危害 保障線路

為什麼要將安全防護從企業邊界延伸至電信業者局端處？最主要的原因是確保所申請的頻寬能夠乾淨且有效。

頻寬的乾淨且有效可分為兩個方面來看：清除有害封包與強化頻寬利用率。有許多有害封包都是要到企業邊界甚至進入企業之後，才能由內部負責相關機制的設備檢測並過濾。這種作法雖然可以讓企業握有最高的控制權，但對設備與頻寬來說，卻造成相當大的壓力。

舉例來說，面對層出不窮的攻擊與試探，如果我們都需要等到封包進入企業之後方行過濾，將會有一半以上的流量都是無效流量， 對設備來說， 也需要花費大量的效能才得以清除這些內容，形成無效的浪費。

第一金證券利用資安艦隊打造安全連線

在證券網路化的同時，第一金證券也建構電子交易平臺，提供客戶快速查詢並交易的管道，但在開放後即時常面臨流量暴增且連線異常的狀態。在經過資訊部同仁與專家共同會勘之後發現，造成此狀況最大的原因就是網站開放後，有許多攻擊或測試流量，意圖與網站連線，因此造成流量暴增且影響正常運作。

「傳統交易主要為利用電話與本人親自到營業櫃檯辦理，安全性較能夠受到保障，」第一金證券資訊服務處協理林忠誾表示：「但開放網路交易平臺後，可以看到資安風險越來越多樣化，這些風險包含網頁竄改、SQLInjection 或是其他威脅。」

而為了降低內部員工的負擔，第一金證券決定最好的方式是採委外方式執行資安服務，其中的要件即是確保整體流程不會有任何疏失。中華電信所提供的資安艦隊方案，在整體資安解決方案中，就佔了首要的地位。對第一金證券而言，過去在沒有導入資安艦隊之前，網路部分時常因連線過多導致頻寬不足，但這些連線中可用的內容僅佔 30%；而在導入資安艦隊搭配入侵防護服務之後，由位於中華電信局端的 IPS 設備協助過濾所有有害內容，讓現在的頻寬可用率幾乎達到 100%。

「建構從局端到企業入口端既乾淨又安全的管道是資訊部門的理想，」林忠誾表示：「在導入中華電信的資安艦隊旗艦版服務後，不但安全性提昇許多，同時也讓頻寬可用率大幅提昇，是我們所享受到的額外效益。」

中華電信：資安艦隊

中華電信是第一家於臺灣推出網路連線安全服務的電信業者，除了率先推出以 UTM 設備整合企業網路入口之外，並提供資安代管、入侵防禦、郵件過濾及安全評估等服務，讓企業可以確保寬頻連線上的封包都是安全且正常的。

中華電信的資安方案包含了連線安全與服務兩大類，連線安全部分是與寬頻連線整合，除了提供品質穩定的網路連線外，採用資安艦隊方案，企業則還能擁有一臺經過中華電信評估測試的 UTM 設備，確保流經企業入口的流量都是安全無虞的。

而資安艦隊部分不單只是提供設備與頻寬，如果企業缺乏相關資安人才，中華電信方面還可以協助企業管理 UTM 設備，隨時依據所遭遇的情況調整相關安全防護機制，建置最具效能的資安防護架構，確保企業不會因為資安而浪費過多成本。

最高級的旗艦版資安艦隊則增加郵件過濾、入侵防護、網站弱點偵測與資安預警情報網等額外服務，不但強化企業端的安全防護機制，更從電信業者端便開始監控並過濾相關流量，確保企業的網路連線是乾淨無污染的。

(作/羅建豪‧謝齊飛)

（……未完，其餘內容詳見網路資訊雜誌第 226 期 2010 年 9 月號）