防毒管理大三通(上)

| | | | | | 留下回應

    

隨著台商在大陸廣設營運點，網路安全再也不能只考慮一島之安全。但兩岸台商的防毒防駭管理，卻有可能因 IT 組織架構的不同，而造成防毒管理的落差、或是缺乏自動化即時通報機制，而「疫」發不可收拾。本文將告訴你兩岸台商在管理、採購和服務三方面，如何面面俱到。

從我們的客戶在面臨安全攻擊的問題，發現因此IT部門組織型態不同而有以下二大問題：集中管理，面對病毒瞬間攻擊，無法即時反應，以及各組織分權而治，不容易找到問題癥結。

問題1：遇漏洞病毒瞬間攻擊，集中管理鞭長莫及

•IT組織：彼岸 IT 部門隸屬台灣下屬分支機構

有些台商在大陸設點廣泛，這類公司將大陸據點視為網路防毒管理的一個分支機構，就好比總部設於臺北，分公司設於高雄一樣，機房重鎮、 IT 部門全都設於臺北。然而，網路病毒的特性，尤其是循漏洞攻擊的 bot 傀儡程式，往往會因為一個小小分支機構的中毒，而拖垮企業網路。

中央集權的管理方式，固然有單一窗口的溝通優勢，但也得出現這樣的問題：員工電腦病毒已清除，但還是不斷中毒。

IT 部門網路管理者也很無奈：病毒都清了八遍了，也搞不清楚到底從哪裡冒出來的？」

問題2：網路安全管理「主權之爭」，CIO 找不到問題癥結

•IT組織：兩岸 IT 部門職權對等平行

蠕蟲的威脅加劇，兩岸台商的防毒防駭管理卻還有因為職權平等而導致管理漏洞的瑕疵。國內某家知名的3C供應商，除了在臺北總部設有 IT 部門外，另外在大陸亦設有平行的 IT 部門，不但兩岸人員編制與職權的對等外，也具有同等規模的產品伺服器，除了成員不同外，軟硬體可說是完全相同。不過因為企業總部設在臺北的關係，網路安全產品的採購還是由臺北總公司集中下單。

平日可以相安無事地各司其政，但在病毒爆發時，卻經常出現權責不清狀況。如同樣一隻病毒，CIO可能發現大陸廠感染的狀況比臺北嚴重，台灣 IT 主管的說法是，不斷收到大陸廠中毒的 eMail回應訊息，確實原因還查不出來，有可能是大陸 IT 部門的資安管理有問題。但大陸 IT 主管的辯解也不無道理：當初台灣 IT 部門在採購過程，沒有詢問大陸方面意見，現在出狀況了，卻怪我們管理不當，有欠公平。

究竟是管理不當還是防毒軟體也出現水土不服的問題？兩造各說各話，對於改善下次病毒爆發時企業可能的產能損失一點也沒幫助。

問題總結：威脅趨勢已從外部轉向內部

根據美國洋基集團（Yankee Group）一項針對北美和西歐六百家公司的調查顯示，2004年的安全問題有5成源自內部，高於前一年的3成。該集團表示：「威脅已從外部轉向內部」。每年企業界動輒投資上千萬防毒防駭，就像911事件前，美國政府耗費大量預算防禦外來威脅，卻沒料到恐怖份子從國境內部發動攻擊一樣。企業防禦失效的另一個容易被忽略的問題是：來自員工、廠商或其他合法使用系統者的內部濫用。」

根據ICSA Labs病毒散播情形調查報告指出，2004年病毒對企業組織造成的主要影響，包含「生產活動停頓」、「電腦無法使用」、「檔案損毀」以及「無法存取資料」等等。每次病毒災害會造成伺服器停機時間平均為 23 個小時;完全復原的平均時間是 31 個人天，復原時間記前一年增加25％;平均災害成本為 $130,000 美元，增加幅度超過 40%。

因此「一個訪客癱瘓幾千萬資安設備」的情形，在漏洞攻擊愈來愈快速的今日絕不誇張。

在參與圍堵 Sobig、Blast、Sasser 等以漏洞攻擊企業的病毒實戰經驗中，我徹底體悟企業網路既能預防病毒爆發又能輕鬆管理的3個主要秘訣：

1.監控：即時監控網路異常活動，快速應變處理程序

2.封鎖：自動執行資訊安全守則，封鎖內部安全缺口

3.分析：定時報表分析弱點，拆除網路威脅未爆彈

這3點安全策略，適用於前述的兩種 IT 組織架構，無論是將主動式防禦系統設置於企業總部，或是各設於分屬兩岸的 IT 部門，都可以在最短時間內將防禦配方最快速地佈署完成。