2013年5月13日 星期一

保護您的非營利組織——資安設備的常見功能說明

作者:Chris Peters 和 Kevin Lo / 2012年9月19日
原文網址:http://www.techsoup.org/support/articles-and-how-tos/protect-your-nonprofit

根據一個研究電腦安全並提供最佳實務(best practices)的非營利機構 SANS Institute 網路安全協會報告指出,電腦的安全漏洞如果沒有修補的話,平均來說,連上網路的四分鐘內即會遭受惡意攻擊。最常見的惡意攻擊是控制一台電腦來發送垃圾郵件或散播病毒給其他電腦。這些受攻擊的電腦轉變成遭惡意人士控制的「殭屍網絡」(botnet)的一部分,並反過來尋找並攻擊其他同樣脆弱的電腦。 


由於惡意攻擊是連續自動化的,您同樣需要自動化的解決方案來防護自己的電腦。在大多數的組織中,網路設備(還有已適當修補安全漏洞的電腦)應該是資訊安全的第一道防線。本文中,我們將討論當您取得資安設備並將其建置到您的區域網絡時,所面臨的技術性和非技術性問題、如何操作以及注意事項等等。 


資安設備的操作注意事項

雖然我們經常花時間在研究新設備的技術規格,但其實首先要考量的應是如何管理及維護這個設備。您可能認為您需要某個特定功能,但除非您在資安設備的設定、建置及監控上投入足夠資源,不然,您最好不要購買太過複雜的設備。 


因此選擇資安設備的主要考量因素是:您是否有內部專家能夠正確設定並管理這項設備?或是您需要外部的技術支援?如果您已經採用外部供應商的服務,那麼這個供應商是否有特定的建議或偏好的設備?請衡量您所購買的資安設備之規模和複雜性,以及您是否有管理這些設備所需的專業知識,如此一來,您的內部網路將受到適當防護;如果您建置了資安設備,但因無人管理而變成孤兒設備,或是僅使用預設值設定,那麼您的網路可能反而更不安全。 

 
通常情況下,您的服務供應商會收費來設定並維護您的資安設備。但另一方面,如果您不了解基本的安全概念,您可能會支付您的網路服務供應商(ISP),換取其實不需要的防護功能。此外,當您需要更改資安設備的安全存取規則時,如果您不了解基本資安概念的話,您的服務供應商應該如何回應您呢?換句話說,您至少必須知道:如何詢問正確的問題,以及評估廠商所提供的解決方案。 


最後,由於功能及流量處理效能的差異,不同的設備會有不同的價格。雖然預算對於大多數組織來說往往是最大的考量要點,您仍需考慮目前以及未來的組織需求,還有手邊的可用資源,再決定哪些功能是最優先需要的。 


技術面的考量

一旦您已經確定了組織的資源現況,就可以更仔細地檢視技術規格細節。防火牆具有最高等級的防護能力和最廣泛的挑選選項。然而,許多路由器(routers)和切換器(switches)同樣也有基本的安全功能,所以重要的是:以您的網路規模來考量實際需求,挑選適合的設備。您會碰到很多的規格名稱和縮寫用語,以下是一些常見的術語及其解釋:

基本安全功能

  • DMZ 非軍事區:如果您的機房裡有網頁伺服器或電子郵件伺服器的話,那麼你的內部網路應建立一個面向外部網路的物理或邏輯子網,該子網能放置用於對外網路的伺服器主機,此子網稱為「非軍事區」或DMZ。資安設備能否提供支援 DMZ 功能的專屬連接埠,是您需要考慮的因素。資安設備能夠保護 DMZ 區內的伺服器,並檢查進出這些伺服器的網路流量是否含有惡意攻擊,同時 DMZ 還可以盡可能地將這些伺服器與內部網路,相互隔離開來。有數種方式可建立DMZ,同時您的DMZ架構可能會影響您決定導入的資安設備類型。
  • VLAN 虛擬區域網:VLAN能夠讓您將不同區域網絡中的實體設備在同個子網路內進行邏輯分群,即使這些設備沒有連接在同一個路由器或切換器上。如果您的網路既龐大且複雜,那麼支援 VLAN 的設備應該要是重要的考慮因素之一。
  • ACL 存取控制清單:ACL的運作原理是依據通過設備的網路流量特性,例如流量的來源、目的地以及連接埠等資訊,來決定是否允許或拒絕此一網路通訊。網路管理員通常使用這項過濾功能,來控制及預測不必要的網路流量。
進階的安全功能

以下是更進階的資安功能說明,提供給大型機構或希望能夠防護進出組織網路的安全參考。

  • VPN 虛擬私有網路:當資料透過網際網路或其他公共網路傳送時,使用 VPN 能夠針對在兩個或多個地點之間傳送的檔案進行加密。非營利組織通常會建置VPN讓同仁可於遠端安全地存取辦公室網路上的檔案和程式;有分支機構的組織則可架設「專屬的」或「點對點」的VPN,以持續保有安全的通訊。取決於您想要的速度和頻寬,使用點對點的 VPN 不但可使辦公室共享一條專屬的安全線路,同時更具有成本效益。SSL VPN 則是可讓用戶透過瀏覽器進行安全連線的VPN 相關功能。
  • IPS 入侵防禦系統:IPS是資安設備用來偵測並攔阻網路上可疑行為的技術。此技術會對進出網路的資料加以演算分析。
  • 內容過濾:在網路攻擊手法快速變化的環境裡,安全設備製造商提供了訂閱最新資安訊息的服務,這些資安訊息包含被列入黑名單的網站清單、惡意軟體的特徵還有其他的動態資訊,以便進一步保護您的網路。他們還可以過濾特定關鍵字的內容,但此功能可能會增加購買資安設備的成本,同時還可能降低網路效能。
  • 頻寬管理:如果您網路設備的運作變得很慢,您可能需要能夠更佳管理頻寬和流量的裝置,並控制頻寬的使用,或限制可用頻寬給特定的使用者、應用程式或網段。
  • 記錄和警示:每一種資安設備均應具備日誌記錄的功能,讓您檢視設備所攔阻或允許的流量訊息,然而,不同的資安設備所記錄的訊息和日誌檔,在可讀性上多有差異,警示的通知也隨設備而不同——有的藉由簡訊發送警報,有的寄送電子郵件或發送網路廣播訊息(network broadcast message)。
特別感謝美國華盛頓州西雅圖市 Shields Networking 的 Steve Shields、德州州立圖書館的 Chris Jowaisas,以及康乃狄克州 NutmegIT 的 Chris Shipley提供參考資料。

0 意見:

張貼留言