網絡保安是一個含意廣泛的名詞,形容保護所有運算資源的可用性、機密性及完整性,防止攻擊及系統失靈。它包括反惡意程式、入侵偵測、資料外洩防護及其他防護技術。
網絡保安涉及加在網絡上的獨特防護管控,而這些管控在多年來都在不斷演變,並在我們更懂得如何保護網絡及黑客開發更多攻擊手法的同時,繼續發展。
要確保擁有最佳管控,您要先了解威脅情勢及網絡漏洞。同時,更重要的是要知道那類管控可供應用,讓您可以為網絡選擇合適的廠商、方案及配置。
威脅是會影響運算資源的可用性、機密性及完整性的可能違規行為。它包括敏感資料洩漏、資料改動、甚至拒絕登入服務。
威脅情勢包括可導致攻擊的威脅、攻擊者及攻擊媒介等有用資訊。攻擊者是一些個人或團體試圖利用現有威脅造成破壞。
例如,在一宗手提電腦盜竊案件中,攻擊者就是那個小偷。威脅媒介是指攻擊的路徑,例如沒有上鎖的門或沒有妥善固定在桌面的手提電腦。
要實現一次攻擊,必須先找到一個可作入侵用途的漏洞。漏洞是系統上的弱點或缺陷,攻擊者可利用來避開保安政策。
以手提電腦為例,輕便及方便攜帶的設計是吸引用戶的主要原因,但同時這些特點亦令手提電腦被盜竊的機會大增。保安管控,例如門鎖或電線鎖可以減慢攻擊者的步伐,與及降低被竊的機會,從而減低整體風險。
機密性、完整性及可用性(CIA)是決定資訊科技保安程序目標的要點。這程序涉及很多策略及活動,而它們都會歸類在三個階段:預防、偵測及回應。
透過有據可查的政策執行,在預防階段的項目包括:
偵測是監控及記錄系統活動的能力。當發生疑似入侵或惡意活動,偵測系統會通知負責的團隊或個人,而偵測程序只有在快速及有序進行回應時才會顯現其價值。
應變是一個經精心策劃的事故修正程序,包括停止持續的攻擊、以最新補丁更新系統或更改防火牆的配置。
了解網絡保安的關鍵概念十分重要,假如您不知道有甚麼漏洞或攻擊者,您不會知道那些保安管控對您而言是最好的。其中一個例子,就是了解需要在登入系統前進行認證的用戶的身份。您需要這些知識來決定採用那個廠商及方案。
存取管控是每個人都熟識的保安管控機制,例如很多人都需要使用密碼來登入電腦,或是用密碼來登入網絡、應用程式或存取檔案。而一個普通用戶最少擁有 10 個常用密碼。
存取管控可分為四個部份,包括識別、認證、核准及核算(IAAA)。這些程序透過獨特的標識符,例如用戶帳號、用戶名稱或帳戶號碼來確認用戶的身份。
系統會驗證只有用戶知道的憑證來認證用戶的身份,例如用戶名稱及密碼,或是身份證資料或一次性密碼。當系統完成驗證後,就會進行核准程序發出批准登入許可。
最後的核算部份包括追蹤用戶在系統上的活動,令他們為自己的活動負責。今時今日,密碼已經不是唯一的選擇,其他還有由硬件或軟件產生的一次性密碼、智能卡或生物識別技術等,您需要小心考慮以便為網絡選擇合適的方式。
網絡區隔是將網絡分割成細小的部份,並在不同部份施加管控。這會強化效能及改善保安。虛擬本域網絡(VLAN)是常見的網絡區隔方式,可在駐場及雲端架構上使用。而在用於雲端時,它被稱為虛擬私有雲(VPC)。
傳統的網絡是包括在實體數據中心之內,所以是有一個明確界定的周邊範圍,亦即是數據中心與外界連繫的接點。時至今日,周邊已經很難被明確定義,雖然我們仍然在使用大部份相同的技術。
它們包括防火牆、入侵偵測系統及入侵防禦系統。在定義周邊環境時,我們需要決定甚麼資料、語音及影像可以通過。當決定甚麼資訊可以流通後,管控機制會以此為根據作出配置。
加密是利用鑰匙將資料轉化為隱密碼,可以確保傳輸及儲存中資料的隱密性及完整性。基本的加密方式包括對稱加密及不對稱加密。
古代的埃及人已在使用對稱加密方式來保護機密訊息。今天,我們依然在使用同一概念,不過使用了更複雜的計算方式,例如,假如您希望保持網上銀行使用時段的機密性,您可以用對稱加密方式來進行。而要確保銀行網站的真實性,您會需要使用非對稱加密來安全地交換這個使用時段的對稱加密匙。
雜湊(Hashing)使用計算法將原本的訊息或資料轉換為一個短數值,並產生一串固定長度的隨機字元,這就是可確保訊息或資料完整性的鑰匙。
雜湊計算法是驗證通訊完整性的其中一種方法,簡單就如閱讀這段文字:您如何知道這就是您打的字? 它是否被惡意或意外地修改?
雜湊計算法可用來證實字元並未被意外地修改。以加密保護雜湊可以讓您知道黑客並未惡意地更改內容。雜湊被廣泛應用於安全地儲存密碼、監管檔案及確保通訊的完整性。
人、運作及科技是深度防禦網絡保安的主要成份。當您識別及評估了威脅業務的風險後,您就可以決定網絡保安的需要,包括周邊防護所需的科技種類,回應防火牆、入侵偵測與防禦警示的技術,及目錄等。讓我們從防火牆開始。
防火牆是一個非常傳統的保安措施,已經為網絡及用戶端提供了超過 25 年的保護。對防火牆而言,資訊流量分為兩類,可通過的合適流量及要阻截的不合適流量。封包過濾是防火牆過濾不合適流量的第一度牆。
廠商都有不同方法來讓防火牆分析及自動化分類流量,導致產生不同的防火牆種類,包括最先出現的封包過濾、次世代防火牆及最新的雲端防火牆。
與防火牆不同,入侵偵測及預防系統專門監控網絡上的惡意活動、報告及回應網絡保安事件和可能的威脅。防火牆則會尋找合適的流量並將其他阻截。
入侵偵測系統則會尋找不應該存在的流量。它會專注於尋找來自黑客及其他惡意攻擊者的流量。在科技進步的同時,有些人會問:如果我們知道某些流量是來自黑客的,為甚麼我們只將它登記在目錄中,而不是在發現的時候就將它刪除? 為回應這問題,入侵預防系統就正式登場。
入侵預防系統的本質是主動的,當它發現來自黑客的流量,它會採取行動消滅此流量。這看來是一個極好的計劃。但在現實世界中,這些系統很複雜且很難合適地調校。假如沒有正確調校,它會消滅好的流量及讓黑客的流量通過。因此,大部份機構都會止步於入侵預防系統,而將事件記錄在安全訊息和事件管理系統的目錄中,並設置事件應變計劃及團隊來進行處理。
虛擬私有網絡(VPN)保護網絡內資料的機密性,其核心是加密技術,但亦同時使用驗證技術。虛擬私有網絡採用三種加密模式,特別針對以手提電腦或手機使用應用程式遙距連繫辦公室的人員。三種加密選項是 IPSec、SSL/TLS 及 SSH,而這三個加密協定亦可用於應用程式。
IPSec 是一個可用於任何情況的加密協定,因為它可在國際標準化組織(ISO)的開放式系統互聯模型(OSI)的第三層面運作。網絡層面的第三層將資料、語音及影像送到正確的網絡目的地,因此,如果您加入 IPSec,它就可以將您的資料以加密及隱密的方式傳送至傯的目的地。虛擬私有網絡的另一常見用途就是不同商業地點之間的點對點連繫。
傳輸層安全性協定(TLS)是昇級版的 SSL,假如其擁有權不是在 1999 年由 Netscape 轉移予 International Engineering Task Force(IETF)的話,它應該被命名為 SSL 4.0。TLS 為虛擬私有網絡及其他網上連繫提供加密選項,這些連繫可能是透過瀏覽器連接至銀行、Amazon 或其他在瀏覽器角落呈現一個小鎖的網站。
Secure Shell(SSH)主要用來遙距連繫兩部電腦,它通常被網絡管理員使用來連接伺服器、路由器及交換器以進行管理任務。這些連繫主要用於配置及監控用途。
假如您希望以受控方式將所擁有的內容、書本及指南等知識產權分享予客戶,數碼權利管理(DRM)就是解決的方法。其實今天大部份擁有電腦的人都會熟識數碼權利管理軟件,
假如您觀看 Netflix 或 Amazon 影片、或在 Spotify 及 iTunes 欣賞音樂,您應該都已見過數碼權利管理。如果您在 Kindle 閱讀了一本書,您會發覺己不能將書本與其他人分享,因為 Kindle 應用程式的數碼權利管理軟件並不容許這樣做,不過這亦視乎書本的版權。
假如您的機構擔心用戶會發出可能包含敏感資料的電郵予第三方,例如信用卡資料,資料外洩防護(DLP)就是解決的方法。
資料外洩防護工具會監察不應該離開機構的數據,包括數據洩漏,並會中止數據傳輸。最少這是系統設計的原意。雖然資料外洩防護是很難正確配置的,但您仍應該考慮此方案以防上資料意外洩漏。
對所有機構而言,最重要的管制就是監控,因為監察是否有攻擊、威脅、違規及黑客都是最重要的。在保安方面,最好的做法就是要假定您的機構會被入侵,與及您的員工會犯錯,然後再留意攻擊及準備好應變。一般機構面對的最大難題就是他們都不知道自己已受攻擊。
不同裝置都需要記錄事件,讓您知道網絡發生了甚麼事及正在發生甚麼事。當事件被記錄後,它們應被送至中央的 syslog 伺服器作分析。
採用的分析工具被稱為安全訊息和事件管理系統(SIEM),它可以關聯事故及尋找入侵指標。假如發現入侵指標,負責人員應檢討事故並決定是否需要採取行動制止攻擊,或在攻擊後修補及恢復系統。