內容過濾3道防線監控員工上網行為
根據「2002~2007年全球安全內容管理市場預測更新與競爭廠商佔有率」報告,IDC預測安全內容管理(Secure Content Management,SCM)市場在未來五年內的年複合成長率(CAGR)將達19%,市場規模將由2002年的27億成長為2007年的64億。
IDC報告所定義的安全內容管理,包括防毒、網頁過濾與訊息安全等項目,其中防毒占81%的安全內容管理市場中,不過大部分的企業都已建置防毒系統,所以我們這次的主題是內容過濾(Content Filter,包含前述的網頁過濾與訊息安全)。內容過濾也稱為EIM(Employee Internet Management,員工上網管理),可以分成網頁過濾(Web Filter)、電子郵件過濾(Email Filter)及即時傳訊過濾(IM Filter)等3類。Web Filter提高企業資訊安全與員工生產力
試想,如果1位員工上班瀏覽1小時與生產無關的網站,那麼1家100人的企業,每天就要損失1萬元人事費用(時薪100元),一年就是365萬,這還不包括生產力的損失。許多不當網頁和檔案暗藏木馬和後門程式,用以竊取企業和員工的資料。
而要認定網頁是否與生產相關,大部分的網頁過濾產品都倚賴網頁分類資料庫,裡面儲存上百萬個網址,大約30多種分類,常見的項目有色情、賭博、求職、新聞……等。有的產品還能夠自動回應未分類的網站和應用程式,當使用者瀏覽尚未分類的網站或應用程式時,系統會將資料傳回原廠,經過人工審核後,該筆資料會在幾天內加入資料庫。
知名的網頁過濾產品都強調資料庫齊全,準確率達九成以上,但我們不禁要問,這真的是企業需要的嗎?因為這些資料庫最早是用於學校單位,為了保護青少年,所以需要將網站分級分類,禁止他們瀏覽色情和暴力等不良網站。但企業定義的不良網站就簡單的多,只要與生產無關的都是不良網站,所以要從100 MB以上的資料庫中,比對幾百萬筆網址,倒不如依工作性質設定網址白名單,只允許員工上特定網站,會比設定網址黑名單來的簡單、實在。
目前網頁資料庫還面臨URL轉向、多主機位址及未註冊網站等挑戰,很容易就失去有效性。為了彌補資料庫的不足,有些產品能掃描網頁內容,分析HTML所包含的文字,並採用關鍵字加權計分,如果網頁加權數值超過容許值就予以過濾。Email Filter保護企業商業機密
從著名半導體公司洩密案、電子郵件濫用,以致於病毒與垃圾郵件滿天飛,只要員工有使用電子郵件,企業就要擔心機密洩露、成本損失、頻寬浪費及衍生的法律問題。要解決上述的問題,最好的方法是建置電子郵件稽核(監控及過濾)系統。
電子郵件稽核主要有Sniffer與Mail Relay兩種類型,Sniffer主要用來「紀錄與警示」,適合企業管理階層使用,優點是即插即用,不需調整與改變網路架構,缺點是無法攔截,僅能記錄郵件內容,若封包遺失則無法記錄該封電子郵件;Mail Relay則是「過濾與攔截」,適合IT主管和MIS使用,能夠即時攔截,避免資訊外洩,但過濾政策繁雜,必須調整網路與郵件伺服器設定。
關鍵字加權計分與檔案過濾是電子郵件稽核的核心技術。關鍵字加權計分與前述相同,當電子郵件的加權分數超過臨界值,就攔阻該封電子郵件。電子郵件的附件檔可以夾帶任何的資料,不論是文件、圖檔或壓縮檔,只要是能夠傳送,電子郵件都能帶著走,但隨之而來的是大量的風險。傳統是以副檔名判斷檔案格式,但副檔名卻很容易加以變更,所以產品必須能判斷附件檔的原始格式,而不是副檔名。
判斷出副檔名只是第一步,再來就是檢查其內容,包括壓縮檔的檔案檢索及文字檔的全文檢索,都需要更複雜的過濾技術,目前能完整支援的產品並不多。有產品能檢查壓縮5次的檔案,也有的能檢查壓縮50次的檔案,但相對需要更強大的硬體配備,檢查時間也會拉長,如果壓縮的內容是文字檔,又要再檢查其內容是否違反安全政策。
垃圾郵件是企業另一個頭痛問題,刪除一封垃圾郵件約須花費1美元,包括刪除訊息的時間、購置大型郵件伺服器和儲存系統,以及垃圾郵件造成網路癱瘓所導致的故障排除成本等,全球企業一年將要投資90億美元。可惜目前沒有效果顯著的垃圾郵件阻擋方法,除了政府正在制定相關法令,廠商也在研發新技術,希望能判斷出垃圾郵件的特徵,直接從垃圾郵件的源頭著手。IM Filter終結即時傳訊
即時傳訊有一定的方便性與實用性,卻也有相當的風險性。不少公司只開啟防火牆特定的埠,藉以禁止員工使用該類軟體,但軟體開發商也不是省油的燈,程式會自動尋找開啟的通訊埠,並自動測試連線,尋找最佳的連線方式。
魔高一尺,道高一丈,雖然ICQ、MSN Messenger及Yahoo Instant Messenger等軟體都使用不同的通訊協定,但每個封包都有一定的特徵,不論使用那個通訊埠或傳訊軟體,一般的IM Filter都能夠加以辦識並阻擋。
IM Filter是剛起步的技術,所以仍有可以改進的地方,許多產品只能關閉該服務,少數能做到關鍵字過濾和即時內容監視,如果能進一步使用關鍵字加權計分,那就更完美。整合式解決方案,全方位資訊防護
未來或許會出現三合一的內容過濾產品,甚至多合一的產品,包括防毒、行為分析與內容過濾等功能,形成全方位的防禦體系。只是我們觀察到的建置模式卻是各取所需,企業分別建置防毒、電子郵件稽核、入侵偵測及網頁過濾系統,如果品牌相同,或多或少可以進行整合,但狀況仍不理想。另外,別忘了考慮是否能整合目錄和儲存系統,及對網路架構的影響。
談完技術和產品,免不了要談談穩私權的問題。企業以保護公司機密為由,監控員工的電子郵件或上網行為,這樣的做法是否合法呢?美國有電子通訊隱私法,英國有電信通訊合法商業運用通訊監察規則,臺灣仍沒有制定相關的法律條文,所以建議企業善盡告知的義務,詳細告知員工哪些事情可以做、哪些不能做,並使用自動化監控軟體,在一定的範圍內監控員工上網行為。
我們仍要強調「沒有百分百準確」的過濾軟體,當管理者的要求高,比對的政策便越多,得到的不會是更準確,而是更高的誤判。文⊙陳世煌
