企业资安只顾网路7层不够，专家建议10层全观防护架构

摄影_何维涓

去年，骇客针对银行SWIFT系统的攻击，震惊了金融产业。网路监控服务Gigamon全球资安议题专家Ian Farquhar表示，随着全球的金融交易走向即时性，金融业资讯安全防护的时间间距，也从1～2天的因应脚步，大幅缩短到得每秒更新，时时监控系统漏洞，他坦言，现阶段，金融安全面临最大的挑战是，资料科学家必须在越短的时间内，快速建立侦测威胁的分析模型，和决定哪些资料是有价值的。

从网路7层防御，扩大到10层全观检视资安

企业要加快反应速度，就得转变防御思维，才能找出更有效的资安作法。Ian Farquhar举例，若企业只在网路产品建立安全边界，不是已经被骇了，就是即将被骇。因为多数企业常着力于网路层加强防护，现在的骇客攻击已经转向应用层，「企业应该要全观地检视所有电脑设备的安全，就连印表机也不能疏忽，」他建议。

Ian Farquhar建议可用常见网路七层架构，再加上3层变成10层来思考安全防护的层次。第8层要考虑的是个人电脑层的风险，这是最容易成为骇客攻击目标的跳板的一环，第9层则更进一步考虑到企业组织面，企业应该要制定完善的政策与流程来防範攻击，最后第10层要考虑到法律与监管面。他指出，现今很多资源都是开源的，政府要管人，也要管政策，前阵子美国的电邮门事件和维基解密公开美国中情局（CIA）的文件，都显示了政府对于资安的法律和监管，还有许多进步的空间。

Ian Farquhar也表示，近几年，IoT 的风潮兴起，厂商为了能推陈出新抢攻市场，往往忽略了资安的考量，再加上使用者必须自行下载软体，不少使用者认为只要产品没问题，就不会更新软体，Ian Farquhar指出，目前解决IoT安全性的作法，没有一个是全观的解决方案，加上IoT的资料都传到云端，更增加了资讯安全的风险。

不过，「讲到资讯安全，人的问题最大！」Ian Farquhar指出，因应资安挑战，一般企业常从技术、政策和教育训练等三个面向着手，教育训练是企业应先着手的一项。

以预防资料外洩来说，儘管坊间已有资料外洩防护（Data Loss Prevention, DLP）、深度内容检测等技术可以派上用场，但是还需要配合其他方向的作法。在教育训练方面，企业应该要建立一套完整的流程，定期教育员工网路恶意攻击的知识，也可以採用其他企业的案例当教材，让企业内部员工面对网路恶意程式更有警觉心，此外，教育训练还需要包含应变措施，像是备份和还原资料、了解资料外洩的程度。

政策面则要搭配的资料管理和监控政策，尤其是老旧也没价值的资料和系统，因为久没更新，容易让骇客取得权限或是绕过验证机制，所以，他表示，超过5～10年内没再碰过的老旧资料，就可以直接删除，不再让这些资料产生额外的风险。

?