企业网路安全架构
隨著網路的發展,企業對網路的依賴越來 越重,網路已成為現代化企業不可或缺的 一環。員工、訪客、合作夥伴等等的使用 者,都需要藉由網路存取企業資源 ( 包括 企業的機密資料)。 隨著透過網路存取資料的增加,企業網路 被入侵的風險也日益增加。當用戶透過網 路連進企業網路、或是遠距辦公時,很有 可能在不知不覺中成為被攻擊的對象,進 而成為有心人士入侵企業網路的跳板。 此外若有員工將被病毒感染的裝置連接到 企業內部網路中,在同一個 LAN 中的使 用者很有可能會跟著遭殃,使得企業網路 面臨嚴重的資安威脅。 企業網路若沒有限制使用者的存取權限, 任何訪客都可以使用未經管理的連線裝置, 透過 Internet 連進企業網路,這將造成企 業機密資料被竊取的危機。
國立雲林科技大學 自由軟體研發中心
7
第五章 企業網路存取控制
制定安全政策需要考慮的項目 1. 存取資源的對象是誰? 2. 如何將系統資源合適的分配使用? 3. 使用者的授權者是誰? 4. 哪些人擁有系統管理權? 5. 使用者的權利及責任為何? 6. 管理員對使用者的責任為何? 7. 對於敏感性資料所採取的動作為何?
使用者身分鑑別
使用者透過外部網路存取企業內部網路資源時,應該要鑑 別該使用者的身分,確認是合法的使用者且有對應的權限 才執行存取的指令。
網路區隔
網路區隔的意思為利用網路技術將敏感性資料從企業網路 區隔或設定為一獨立的網路,並限制一般員工或訪客的連 結。左圖所示為將企業網路設定為三個獨立的子網路。
國立雲林科技大學 自由軟體研發中心
2
第五章 企業網路存取控制
5.1.1 存取控制簡介
如左圖所示,存取控制大概可分類為
系統存取控制 實體存取控制 網路存取控制
系統存取控制
即系統的使用權限控管與身分識別。
實體存取控制
即對各種資訊設備的實體保護,例如門禁管制等等。
網路存取控制
除了對內部系統與實體存取管控之外,對於外部連線 的網路存取也要有控管與保護。
網路存取控制示意圖
國立雲林科技大學 自由軟體研發中心
5
第五章 企業網路存取控制
5.1.1 存取控制簡介
網路存取控制除了實現存取控制機制,還需執 行使用者驗證及端點安全評估。 網路存取控制的範圍很廣,比如說遠距工作的 存取控管、企業內某一台電腦受到病毒的感染 應立即隔離、訪客是否可以透過企業內部網路 存取網際網路的資訊等等。 執行網路存取控制的主機可分為政策管理主機 、政策遵循檢查及端點檢查主機、強制執行安 全存取政策主機等。 左圖為端點安全檢查時的流程,當端點裝置連 上網路時,系統會去找尋並安裝端點裝置(發現 步驟) ,當安裝完後,系統會去檢查該裝置有沒 有違反任何安全政策 ( 執行步驟 ) ,若有發現任 何問題,例如沒有更新修補程式,則會強迫該 裝置更新 ( 修正步驟 ) ,最後會持續監控該裝置 有沒有一直遵守安全存取政策(監控步驟)。
4
第五章 企業網路存取控制
5.1.1 存取控制簡介
網路存取控制的目的是為了確保使用者在任何 時間、任何地點使用任何設備 ( 例如筆記型電 腦、桌上型電腦、PDA等等 ),存取資料的動 作不會危害企業網路的正常運作,也不會造成 企業的機密資料外洩。 網路存取控制整合了使用者、網路設備、安全 存取的相關技術;主要包含認證、授權、計費 ( 稱為AAA)機制的實現,端點設備的整合及公司 安全政策的管理及執行,網路隔離與修復區域 的規劃等等。 左圖為一個網路存取控制的示意圖,當內部使 用者想要存取外部網路的資源時,網路存取控 制主機會根據網路管理員所設定的安全政策來 檢查該使用者是否可以存取外部網路的資源; 而外部使用者想要透過網路存取公司內部網路 的資源時,網路存取控制主機也會檢查該外部 使用者是否符合網路管理員所設定的安全政策 。網路存取控制主機的部署,可以根據各種需 求而有不同的部署方案,左圖並非唯一的部署 方案。
本節將著重在網路存取控制的介紹
存取控制的涵蓋範圍
國立雲林科技大學 自由軟體研發中心
3
第五章 企業網路存取控制
5.1.1 存取控制簡介
網路存取控制
隨著網際網路的普及,企業使用網路存取資料的比重漸漸 增加,以下介紹較常見的網路存取控制措施:
網路服務的限制
對於網路服務的提供應給予限制,避免疏於管理而造成重 大的安全漏洞。也就是說使用者只能使用授權範圍內的網 路服務,而且不能妨礙網路正常的運作。例如監控即時通 訊軟體的通訊內容、禁止使用P2P軟體等等。
監控
發現
修正
執行
端點安全檢查流程
國立雲林科技大學 自由軟體研發中心
6
第五章 企業網路存取控制
5.1.1 存取控制簡介
由於市場需求,許多網路相關業者 (Juniper、McAfee、Cisco、賽門鐵克、趨 勢等等 ) 都有推出網路存取控制的產品, 因此造成一個企業網路可能存在多個執行 網路存取控制的主機,但是網路存取控制 機制是由不同廠商所開發的,造成各個主 機彼此的存取安全政策可能沒有辦法統一 存取控管(unified access control)。 為了解決上述的問題,如左圖所示,可信 任網路連結 (Trusted Network Connect; TNC) 的架構被提出,TNC為一開放式的 產業標準,目的是讓多家廠商的網路存取 控制產品可以互相搭配使用。 (https://)
網路連線作業控制
我們應限制外部使用者只能執行特定的工作,例如只能使 用E-mail、Http、存取特定的檔案等等。
將企業網路設定為三個獨立的子網路
安全通道
安全通道能確保用戶端與伺服端連線時,雙方資料傳遞的 安全性。使用者透過外部網路存取企業內部網路資源時, ,應該要建立一條安全通道。
國立雲林科技大學 自由軟體研發中心
教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心
第五章 企業網路存取控制
國立雲林科技大學
自由軟體研發中心
第五章 企業網路存取控制
前言
5.1 存取安全政策制定、派 送與管控 5.1.1 存取控制簡介 5.1.2 存取安全政策制定 5.1.3 存取管控 5.2 電子資料內容加密、實 施權限控管 5.2.1 資料加密簡介 5.2.2 權限控管的實施 5.3 稽核使用者存取