据美国联邦调查局(FBI)于公布的年度调查显示,在涵盖政府机关、企业、财务、医疗机构、大学等503家美国公司中,91%曾被电脑黑客入侵,但因害怕揭露后遭各界质疑该公司网络安全堪虑,仅34%的企业向主管当局上报,而平均各企业因被入侵而损失约200万美元。
然而,过去企业多以架设防火墙来提高电脑网路的安全性,但随着病毒种类逐渐复杂化、企业网络连结更加频繁、黑客手法愈渐高明,防火墙已经难堪重用。
目前加强网络安全须就几方面着手,除了防火墙外,透过加密(encryption)及虚拟专用网络(virtual private network,VPN)加强网路连线安全,利用侦测系统(detection system)侦查黑客入侵等,都是使用者可以努力的方向。而目前各安全公司所提供的完备企业网路安全方案,皆是协助客户以更轻松且更符合成本效益之方式,构建及维护网络的良好安全性能。
网络安全性的关键要素
要保证最大限度的发挥Internet优势的前提,就必须能够保护信息及网络资源,避免资料损毁和遭受非法入侵。
网路安全五大关键要素包括:
识别(Identity)
识别是指正确地分辨网路使用者、主机、应用程式、服务和资源。提供识别功能的标准技术包括一些验证协定,如RADIUS、TACACS+、Kerberos以及一次性的密码工具等。而以数位认证、smart card与目录服务(directory service)等的新技术为例,也开始在识别方案上扮演越来越重要的角色。
边界网络安全性(Perimeter Security)
边界网络安全性提供一系列保护方法,以控制网络中关键应用程式与资料及服务的存取,并确保只有合法使用者及信息才能通过网路。具备存取控制表单或"stateful"防火墙功能的路由器、交换器,以及专门的防火墙设备等,都可以提供此类控制能力,而辅助性的工具也有助于控制网络边界的安全性,其包括病毒扫描与内容过滤等。
数据隐私(Data Privacy)
当重要信息必须被严加保护以防他人窃取时,数据隐私(Data Privacy)所提供的验证与机密通讯的功能就成为一项关键要素。一般情况下,利用通道(tunneling)技术分离数据的方法能提供有效的数据隐蔽性,如一般性路径选择封装(genericrouting encapsulation,GRE)或Layer 2通道协定(Layer 2 TunnelingProtocol, L2TP)等。然而,当有额外的隐私需求时,则必须采用数位加密技术与协定,例如IPSec;以建置企业虚拟网路(VPN)为例,这样的安全保护就显得特别重要。
安全监控(Security Monitoring)
为确保网络的安全性,必须定期监控网络的安全状态。系统及网络安全漏洞扫描工具能主动辨识安全缺损,进入检测系统监控并回应安全事件。企业可以藉由安全监督方案,深入掌握系统及网络数据流和安全状态。
策略管理(Policy Management)
随着网络规模与复杂性的增加,集中化策略管理工具需求也相对提高。具备分析、解析、组态和监控安全策略状态的高复合功能工具,加上以浏览器为基础的使用者界面,都可以明显强化网络安全方案的使用性和效率。
网路安全建置
高级的网路安全维护必须遵循以下三项重要标准:
建立安全策略:定义企业的安全目标。
建置网络安全技术:采取广泛且分阶层的建构方法,避免仅依靠一种技术解决所有安全问题。
网络审核:反覆确认安全策略已适当地实施,且网络未出现不规则性。如有需要的话,亦可利用审核结果修改安全策略与技术。
结论
详细评估企业网络状况以及可用性需求,并将上述关键要素进行评估,以便为您的组织拟定安全策略时,可良好的保护网络与资源,以免遭受骇客攻击,避免系统难以支持合法用途,降低生产效率。更重要的是,网络攻击者除了是网络中游走的黑客外,也有可能是内部使用者,因此保护工作的第一步应了解涉及网络功能以及互动的各种元素。在了解网络安全问题及防范法则后,相信将为企业带来更便利与安全的网络使用环境。