文/iThome | 2007-02-05發表

隨著企業規模不斷擴大,分支機構已成為現今企業在市場上競爭的重要利器;根據專業市場調查公司 Nemertes Research 分析師指出,近年來有將近 90% 的企業員工在企業總部之外的地點,也就是所謂的分支機構工作,而這些分支機構的員工常需要遠端存取置放於總部的電腦資源,此時,網路安全便成為一個相當重要的課題。

檢診企業的分支機構的三大指標
既然分支機構的發展已成為企業發展過程的關鍵因素,如何能夠安全而有效率的遠端存取總部的電腦資料,又能夠將建置成本降至最低,便成了所有擁有分支機構的企業需面對的重要資安課題。以下文章將提出三大資安檢測指標,讓你幫自己公司的分支機構把把脈,看看分公司的網路系統是不是夠安全。

分公司網路安全第一個指標是「員工出差在外的頻率與模式」。

若是分支機構有很多常需要帶著筆記型電腦到處去拜訪客戶的業務員,由於這些筆記型電腦會隨著業務人員進入各式複雜的網路環境,移動性太高,遭到病毒或駭客入侵的機會也大增,分公司的網路系統,若不適當隔離或檢測業務人員從外界帶回來的各式資料,遭受威脅的機會便會大增。

第二個檢驗的指標是「分公司是否出現對外網際網路連線沒有集中控管的現象」。

有時為了方便的原因,分支機構會出現私接網路線的情況,如為了提供訪客可以免費上網,並在某些特定區域裝設 ADSL 或是無線基地臺,如此由外而入的網路威脅,便會因此提升。

第三個威脅檢驗考量的是「公司的網路環境開放程度」。

分支機構若是屬於類似提供上網服務的咖啡廳、車站、機場之類的全開放環境,或是如同保險、證券業需要特別畫出特定的開放網路空間來提供客戶上網服務,它的外在威脅程度也會因此而大大增加。

以上三個指標為最基本的分公司網路安全檢測標準,若是機構的網路環境與上述情境符合度越高,網路安全漏洞便越容易出現,這些都將構成分支機構網路安全上的重大隱憂。

面對體檢結果
若是分支機構出現第一個檢驗指標所描述的情境,最好是將防毒軟體以及個人防火牆,安裝於需常暴露在複雜網路情境的筆記型電腦上,並且要時時更新病毒碼,並使用閘道器來防堵病毒發作前空窗期的威脅。企業可以使用身分認證的機制來加強防範員工可能帶回企業內部的外在威脅;此外,也可利用 UTM 裝置中防火牆、交換器、路由器等提供的功能,動態檢查Policy。

面對像製造業這類工廠或分支據點分布兩岸三地、需於各自的分支機構直接連出網際網路、且無法集中於總部控管的網路安全情境,企業 IT 需要有基本的安全檢測工具與機制。分支機構可使用兩條實體的獨立連線,分別提供連回總公司內部網路與連出網際網路之用,此外還可利用 UTM 制定彈性的安全機制,適時開啟如防毒、網頁過濾、入侵偵測等功能。

開放式的網路環境往往較難去掌控使用者的電腦與網路使用情況,可利用 UTM 機制提供的無線網路功能,以SSID(服務組識別元)加上防火牆彈性政策機制的組合,將可較有效的掌握公共用戶的上網行為與帶來的安全威脅。

讀取資料路徑的分開也是基本防護之道,加上頻寬控管,讓開放空間使用的頻寬配置不要過大,並採用適切的防毒與網頁過濾功能,也可以有效降低此類開放環境的網安威脅。
為了同時保護資料、伺服器和基礎架構,提升系統可用性與恢復力,又想簡化架構管理等需求,UTM可以針對分散式企業網路環境,確有其強項。


不可忽視的漏洞:便宜行事與人為疏失
除了上述三項檢測指標外,便宜行事這類的人為疏失,也常常成為分支機構網安的漏洞。分支機構大多缺乏足夠的 IT人員,企業員工對於網路安全的危機意識不足,往往只求方便,而沒有考慮到安全因素。例如員工可能會為了許多特殊的情況而自行添購Hub 或是以無線AP 逕自與公司網路相連。由於沒有集中控管,在防護機制不足的情況下,遭受入侵的機率將大增。

此外,分支機構與總部之間往往需要透過專線、MPLS VPN、IP VPN等方式與企業總部的電腦相連結,對於分支機構員工上網權限的規範,將可有效防止令企業主相當頭痛的惡意程式或釣魚程式大肆入侵企業網路或恣意破壞企業的網路資源,這些規範可透過UTM 解決方案配合網路存取控制(NAC)的架構來落實,對未經驗證的使用者,進行使用者驗證及端點安全狀態查證,通過後才核准使用者存取網路資源。

要作好企業網路安全防護的關鍵在哪?除了倚賴基本防駭的軟硬體設備外,其實根本的防制之道還是在於要有安全意識、要保持良好的電腦與網路使用習慣,也就是說,「人」才是關鍵。

建構與落實理想的解決方案
一個理想而完整的分支機構資安解決方案,應該要能夠提供快速而安全的site-to–site VPN 連結、提供直接而安全的 Internet 存取、改善內部網路與系統之安全防護程度,並且盡量能利用單一設備來整合多種防護功能以提升易用性以及經濟效益,但又兼顧其安全防護的效能。從產品面來說,支援了虛擬路由器,整合了防火牆、入侵偵測、防間諜軟體、防垃圾郵件功能,也擁有了網路分段的機制,還要讓系統最佳化。

上面的敘述,似乎是要烘托UTM 乃是分支機構網安解決之道這個結論,只是,日前 IDC Asia 也指出,UTM的市場在某些區域已面臨瓶頸,原因是某些第一代設備廠商的 UTM 解決方案常被過度誇大,以致常無法達到客戶預期效果。我們必須說,UTM系統的效能取決於使用的適切性,此外,「人力資源」也始終是資訊安全防護不可或缺的重要因素,除了良好的安全使用習慣外,能否具備足夠的IT人員來支援分支機構防護方案,自然影響防護成效甚鉅,甚至是整體解決方案成敗的關鍵。

《作者簡介》梁定康
Juniper Networks亞太區安全產品經理 ,曾於NetScreen任職亞太區系統工程經理。在此之前,他亦曾於IBM及Sun Microsystems擔任資訊科技顧問。持有CISSP證照,美國南加州大學的電腦工程碩士及理學士。

熱門新聞

Advertisement