網絡保安措施是甚麼?

網絡保安措施是一系列附加到網絡上保護已儲存或正在傳輸的資料、語音和影像的工具及科技,包括防火牆及入侵預防系統等。

網絡保安措施

網絡保安措施是施加於網絡的保安管控,用以保護其機密性、完整性及可用性。隨著這些管控的不斷演變,很多基本知識依然是必不可少的。大家需要付出努力將攻擊者拒於系統之外,而防火牆、代理及閘道都可以協助達致此目標。

假定這些裝置可絕對將攻擊者阻擋於網絡之外是很危險的事,因為黑客最终都會找到入侵的方法。著名黑客 Kevin Mitnick 聲稱已經 100% 成功入侵他受僱進行滲透測試考驗網絡保安的機構。

由於入侵避無可避,保安團隊亦要不斷學習及進化,以走在黑客前面。同時,制定事故應變計劃及設立應變團隊也是阻止黑客入侵的關鍵。

防火牆

防火牆可阻截或容許數據通過,而容許通過的數據流都在配置中列明,且只限業務擁有及所需的數據。防火牆最重要的保安實務守則就是它應該預設為阻截數據流,然後再設定為只容許特定的數據流通過。 防火牆的配置非常關鍵,因此防火牆管理員的知識水平亦非常重要。

防火牆在國際標準化組織的開放式系統互聯模型(ISO OSI)上的不同層面運作,並通常存在於第 2 至第 5 層。在第 7 層的防火牆一般是代理或閘道,而唯一例外就是網站應用程式防火牆(WAF),它採用防火牆的名稱但亦部署於第 7 層。防火牆會分析在開放式系統互聯模型上找到的資訊。

以下為防火牆在不同層級的運作例子:

  • 第 2 層——資料連結——它基於架構中的媒體存取控制(MAC)位址作出阻截或傳送的決定。
  • 第 3 層——網絡——它基於數據包中的 IP 地址作出阻截或傳送的決定。
  • 第 4 層——轉運——它基於數據報中的傳輸控制協定(TCP)連接埠號碼作出阻截或傳送的決定。
  • 第 5 層——時段——它基於即時傳輸協定(RTP)的資料作出阻截或傳送的決定。
  • 第 7 層——資料——它基於應用程式或應用程式服務來作出阻截或傳送的決定。

 

防火牆會以一系列規則進行配置,這些規則有時會被稱為政策,它會使用這些規則來決定如何處理到達防火牆的數據流。而規則也會以自上而下的方式實施。

防火牆會將收到的數據幀或數據包與列表上的第一條規則作比對,假如它符合規則中的數據流種類,防火牆就會根據規則中的指示採取行動,例如容許數據流通過或將之阻截及棄置。

假如數據幀或數據包並不符合第一條規則,防火牆就會比對第二條規則,餘此類推。假如它不能符合其中一條明確定義的規則,防火牆就會根據最终的規則將之棄置。

代理

代理防火牆處於開放式系統互聯模型上的第 7 層。當代理接收到數據流之後,它會在不同層面處理數據幀或數據包。例如,假如數據幀在第 2 層被移除,數據包的開始部份會在第 3 層被移除,餘此類推,直至只有數據傳送至第 7 層。

傳輸層安全性協定(TLS)連接會在第 4 層被終止,而在代理中的數據將會以明碼文本方式存在。代理然後會分析之前在較低層面因加密而未能進行分析的傳輸數據,此動作讓裝置可以比標準防火牆分析更多資料。雖然這操作較防火牆需要更多時間及處理能力,但對用戶數據流擁有更大管控能力。

閘道

視乎不同對象,閘道可以有不同意思。傳統上閘道是一個置於兩個網絡之間的硬件,而現時一般閘道都會包含防火牆的成份在內,例如 Microsoft Azure 也有將 WAF 建構在其閘道之中。因此,閘道也被視為防火牆的一種。

入侵偵測及預防系統

另一個備受關注的話題就是利用入侵偵測系統偵測網絡入侵行為,因為這些裝置都是被動的,它們只會監視網絡流量及記錄可疑流量。入侵偵測系統可以裝設在網絡或終端裝置上,而視乎其位置,它會被稱為網絡型入侵偵測系統(NIDS)或主機型入侵偵測系統(HIDS)。

網絡型入侵偵測系統通常連接至交換器的接口或交换端口分析埠,此亦即表示數據流將在不受干擾下抵達其目的地,而一個副本則會傳送至網絡型入侵偵測系統的交换端口分析埠作分析。主機型入侵偵測系統會部署在手提電腦、平板及伺服器之上,大部份主機型入侵偵測系統並不會分析即時活躍的流量,而只會分析流量記錄。

因此亦引起廠商將這些裝置帶往另一層次的想法:假如它們能偵測一個攻擊,為何不將可疑的數據幀或數據包移除,而只是作出報告。而這亦導致入侵預防系統的出現。入侵預防系統可以是網絡型(NIPS)或是主機型(HIPS)的。

雖然這是一個好主意,但亦有其不足之處。因為入侵預防系統必須要知道甚麼是不好的數據流,不過這可透過病毒碼檔案或學習來解決。

虛擬私有網絡(VPN)

另一個需要處理的關注點就是如何保護在不同地方傳輸的資料、語音及影像,以免被歹徒竊取。傳輸地點可以是公司或家居網絡,或是這些網絡以外的地方,如經由互聯網或服務商網絡。

解決這問題的其中一個方法是加密,它可令資料在沒有解密匙的情況下無法閱讀。傳輸中的資料亦有不少加密選擇,包括:

  • 安全通訊端層(SSL)/傳輸層安全性協定(TLS)
  • 安全外殼協定(SSH)
  • 互聯網安全協定(IPsec)

安全通訊端層 / 傳輸層安全性協定

安全通訊端層 / 傳輸層安全性協定自 1995 開始已用來保護瀏覽器為基的連繫。安全通訊端層是由 Netscape 發明的,而 2.0 及 3.0 版本一直被應用至 1999 年,當 Netscape 被 America Online(AOL)收購為止,當時互聯網工程任務組(IETF)宣佈採用此技術並重新命名。現時,傳輸層安全性協定的最新版本為 TLS 1.3(RFC 8446),它不單被用於瀏覽器為基的連繫,更用於用戶以虛擬私有網絡連接至辦公室。

安全通訊端層 / 傳輸層安全性協定是使用 TCP 連接埠 443 作瀏覽器連接的傳輸層協定。

安全外殼協定

安全外殼協定是一個主要用於遙距登入功能的加密方法,例如網絡管理員會使用安全外殼協定來遙距登入管理網絡裝置,如路由器及交換器。安全外殼協定一般被視為 Telnet 的替代 ,這是一個可提供虛擬私有網絡連接、但未包含加密的第 7 層遙距登入協定。安全外殼協定被指明於 IETF RFC 4253 中,並使用 TCP 連接埠 22。

互聯網安全協定

互聯網安全協定是一個網絡層面的協定,可為所有種類的連接提供加密及完整性檢查功能。有很多互聯網工程任務組的意見徵求文件都已列出互聯網安全協定須考慮的不同範疇。其中 RFC 6071 提出了展示這些文件相互關係的路線圖。

互聯網安全協定提供兩個安全協定,包括認證頭欄位(AH)及封裝安全載荷(ESP)。

  • 認證頭欄位可用來認證資料的起源及其完整性,它會加密 IP 數據包的頭欄位。不過互聯網安全協定的實施並不一定要支援認證頭欄位。
  • 但所有互聯網安全協定的實施必須支援封裝安全載荷,因為它提供認證資料的起源、完整性及機密性。封裝安全載荷加密 IP 數據包的載荷。

資料外洩防護 / 數碼版權管理

保護知識產權已持續成為企業的關注點。知識產權包括手冊、程序、設計檔案、研究及開發數據等。其問題出自兩方面:第一是維持對機密資料的控制,其次就是確保資料只會被應該看到的人看到。資料分類及存取管制是其中兩個適用的管控措施。

資料不適當地外流的問題可以利用資料外洩防護科技來解決,它會在資料流動時搜查是否含有敏感資料,包括在電郵或傳送中的檔案。

當資料外洩防護軟件發現訊息包含如信用卡號碼這類敏感資料時,它會進行阻截或終止傳輸,也可以將之加密,如果這是一個更合適的行動。機構面對的問題是要知道他們希望管控的是甚麼,與及在資料外洩防護軟件發現問題時要如何回應。

數碼版權管理利用科技來管控存取知識產權。假如您有使用 Kindle、iTunes、Spotify、Netflix 或 Amazon Prime Video 服務,您已經在使用數碼版權管理軟件。此軟件讓您在向服務商付費後可以看到影片、看書或聽音樂。另外一個商業例子就是 Cisco 的課程手冊只限報名課程的人士存取。

Javelin 及 LockLizard 是另一些使用數碼版權管理科技來管制內容發佈的商業例子。數碼版權管理技術利用存取管制限制用戶使用內容的時間、能否打印及分享等,而限制視乎知識產權擁有者的意願而定。

目錄,監控及安全資訊與事件管理

包含偵測與修正,這可能是企業最重要的保安措施。保安應從記錄開始。基本上網絡上所有系統及連接網絡的系統都應該產生記錄。

企業機構應決定記錄甚麼,包括登入嘗試、數據流、數據包、所採取行動,甚至是一個用戶的每個擊鍵動作。這個決定應該基於機構面對的風險、資產的敏感程度及系統的脆弱性而定。

這些系統都能產生記錄:

網絡上的系統

  • 路由器及交換器
  • 入侵偵測系統及入侵預防系統
  • 防火牆


連接網絡的系統

  • 伺服器
  • 筆記本電腦
  • 相機
  • 桌面及手提電話
  • 資料庫
  • 所有物聯網裝置

 

它們會產生大量事件記錄,而為令數據產生作用,必須將它們傳送至中央地點如 syslog 伺服器作處理,這個程序也需要追蹤作審核之用。當記錄到達 syslog 伺服器後,便會由安全資訊與事件管理系統進行分析。

安全資訊與事件管理系統是一個可以從所有系統分析記錄及關聯事件的工具,它會尋找入侵指標。由於入侵指標不一定會提供真正事件的證據,因此需要人手進行分析。而保安運作中心及事故應變團隊也會在此時介入,決定下一步行動。

相關資料