網絡安全事件簿(終)沒有不安全的系統 只有人與管理的問題

上一回我們討論到校園資訊安全威脅的來源與入侵方式，這一次則要談談，如何在眾多資訊威脅之下得到良好的防護。

防毒軟體廠商常常會提醒網路及電腦使用者，威脅散播的趨勢已經和過去的方式大不相同。

透過垃圾郵件（Spam）與網路釣魚（Phishing）來散布病毒，雖然已經不是新手法，但是利用已感染的變種病毒或是系統漏洞植入Bot機器人程式，形成殭屍網路 （Zombie Network）或機器人網路（Botnet），使一般使用者的電腦不自覺地成為駭客入侵的跳板，便相當值得注意。

學術網路易受 Bot 入侵
Bot是Robot 器人之簡稱，指的就是「一個可像機器人一樣遠端控制的程式」。

Bot是駭客利用已知的漏洞控制機器的方法之一，駭客可透過 Bot遙控程式發送特定指令，受控制的每一臺個人電腦皆會根據被遙控的指令行事。Bot經常藉由IRC多人聊天系統遠端控制受感染的系統，讓聊天系統內所有的電腦變成為Botnet的成員，依攻擊指令動作，或是終止電腦運作、任意上傳下載檔案、甚或是接手其他駭客種下的後門程式，加以改造入侵系統，更會成為DDoS（分散式阻斷服務）攻擊的控制中心。

學術網路是攻擊者最喜歡攻擊的目標，它是最方便的攻擊跳板，由於學術網路本身特性造成的防護缺陷，使得主機與使用者電腦、網路遭受攻擊卻往往仍不自知。

筆者多年前便曾追蹤一個Botnet，發現感染節點數量十分驚人，包含中、臺、泰等亞洲國家的網路系統，其中有一半以上都是學術網路，這樣便說明了學術網路的脆弱，以及迫切需要安全防護的程度。

花一點力氣，可以讓學術網路變得更安全
由於背著學術自由的十字架，學術網路難以像企業網路一般，有太多的規範與限制。最簡單的管理原則，便是針對不同的行政服務單位，分別給予適切而不同的控管規範。

基本的分控標準包括以校內與校外連線，分別給予不同的權限。在校內部分更需要依照不同的服務單位、系所，甚或使用地點，給予不同的資安規範。例如，針對不同的使用者，限制他們對網站、ftp、電子郵件等不同服務的使用程度。而面對最容易出狀況的宿網，則可以對使用者要求需使用基本的安全防護措施，才可以允許他們連上網路，並對學生架設的網站服務，設定應有的安全限制，如此因地、因人制宜，一點點的努力，就可以讓學術網路不只自由，還擁有安全。

充實安全設備與管理措施
前面提到，沒有不安全的系統，只有不完善的管理機制與不守秩序的人。

在學術網路的世界裡，由於管理人力稀少，藉助適當的管理設備加上良好的安全策略便顯得十分重要。透過基本的網路防火牆來制定網路政策，利用IDP / IPS 補防火牆的不足，再加上遠端安全存取、學生及宿舍資安管理等輔助措施，即可築成學術網路用於防堵入侵或破壞的一道堅固城牆。

防火牆
防火牆主要是在阻擋非法入侵的駭客，一個受到防火牆保護的學術網路環境，將可以透過之前所說的設定網路政策，管制使用者連上網際網路或與其他網路的安全性。

防火牆也可以防止駭客蓄意入侵，成為合法主機使用者而進而修改或竊取電腦中的重要資料；防火牆更能夠避免駭客發出垃圾封包來癱瘓主機，使系統無法正常提供服務。要有效管理校園資訊安全，防火牆可說是最基本而有效的第一套防線。

IDP / IPS
然而，光靠防火牆，無法管制已經侵入內部的病毒或是駭客，防火牆也無法管到不經過它的網路連線。對學術網路來說，防火牆的網路政策常礙於學術自由，而無法過分嚴格的管控，假如能使用IDP / IPS系統，便是為了找出學術網路內的攻擊來源，可以彌補防火牆的不足。使用一個良好的IDP系統，可以正確且持續的偵測攻擊，並在發現攻擊的時候，成功將攻擊封包丟棄，可避免攻擊擴散到整個學術網路，並在隔離同時，盡快清除病毒，或修復受影響的服務功能。

遠離安全存取
另外，遠端安全存取對校園安全來說，同樣是非常重要的管理機制。既要提供老師、學生、家長、或其他訪客，能夠在一定的允許範圍內，自在地從不同的地方進入學術網路系統，使用學校提供的合法服務，又要防堵不法人士藉網路方便之際入侵或破壞系統主機。所以。學校必須要在兩者之間找到平衡點。舉例來說，學校可以設定網路政策，讓由校外連入網路系統的使用者，只擁有閱讀資料的權利，而不能改寫或任意變更資料。

網路隔離解決方案
「學生」與「宿網」可說是學術網路的兩大禍亂根源。目前學校資訊安全管理面臨的困境在於，難以控制學生在連到外部網路之前已經先受到過濾，同時也無法了解學生的電腦是否有安裝防毒軟體，或是根本已經中了病毒。如果學校可以採用網路隔離解決方案，便可以降低上述的風險並提高管理能力。

例如，在宿網內某些電腦遭受病毒感染時，網路隔離解決方案便可以在電腦尚無法更新漏洞修補程式或病毒防護之前，先行下指令來阻斷感染源與網路內其他機器相連結；而且網路隔離解決方案可與防火牆配合，給與管理者適當的權限，而且又能讓駭客找不到可乘之機。

總而言之，只要是人為使用，便難以避免意外發生，使用工具與措施相配合，絕對是管理校園安全的不二法門。

作者／林佶駿
Juniper Networks新興科技部門技術經理，曾任職臺灣電腦網路危機處理中心（TWCERT）、鈺松國際資深技術顧問，敦陽科技資訊安全事業處資訊安全顧問。擁有美國CERT/CC講師認證、CEH講師認證、CISSP證照。

曾發表多項安全弱點，協助執行電腦犯罪鑑識，擁有豐富的網路安全滲透測試服務經驗。