滴水不漏防外洩　由端點安全做起

過去，資訊安全對許多單位而言都還不是相當重要的考量。但隨著網際網路日漸發達，行動裝置讓整個網路變得更脆弱且易於滲透，連帶地使得各種威脅，如會發送資訊的惡意程式碼、蠕蟲、入侵攻擊、外部攻擊及傀儡網路等也因應而生，迫使各單位必須重新檢視未來將面臨的資安挑戰與各種潛在安全威脅。  

另一方面，各項行動裝置現在已變成必備的生產工具，但從企業的安全防護層面而言則是個嚴重威脅，企業必須建構一套新的資安策略及政策，才能保障其資料安全。  

但是，網路中仍存在許多後門與陷阱，相關資料通常也都未受保護而無法自我防禦；個人數位裝置、可攜式儲存裝置、公有設備的錯誤使用，或使用P2P應用程式的各項資源與網頁郵件等，只要稍有不慎都會造成相當嚴重的威脅。

▲資料外洩防護必須由端點安全做起。

根據產業分析師估計，每天全球就有1,500～3,000台筆記型電腦遭竊或遺失！因此，如何找到反制措施以解決相關威脅，也成為同具難度的挑戰。  

企業使用能執行如防毒、個人防火牆、防間諜軟體程式，與可加密檔案或磁碟等的安全防護軟體是相當普遍的做法，但這些應用程式都有其專屬的管理平台，對管理者來說，安裝必要程式加上須定期更新相關特徵碼等，在升級、監控、測試及管理相關安全政策時，都是相當昂貴且耗時的做法，因此大多數企業都希望藉由終端安全防護解決所有安全問題。  

終端防護是一套集中化且整合式的解決方案，能夠標記出嚴重的終端安全問題，讓整體企業環境更加安全、省時，且達到應有的經濟效益。而可支撐企業防禦體系的終端防禦基本要件有以下6項：  

終端防禦基本要件1
減少惡意軟體  

2009年4月，卡巴斯基實驗室（Kaspersky Labs）偵測到在全球個人電腦中有超過45,000種不同的惡意、廣告與不受歡迎的程式，其中有30%是惡意程式，45%是病毒程式，另外25%則是木馬程式。而這也表示，在電腦中存在著數以千計新穎且難以察覺的潛在終端安全問題。而這些問題並不僅侷限於病毒、rootkit或是代理程式等，分散式阻斷服務攻擊（DDoS）也同屬於此類別之中。  

要限制這些破壞程式的最佳方式，就是利用啟發式及行為分析的防毒及防間諜軟體，並以有效的程式控管補強系統，而此做法對於減少惡意軟體來說也相當重要，其不但能阻擋任何在終端電腦上運作的已知惡意軟體，同時也能協助管理如點對點檔案分享等應用程式，而這些也正是日趨嚴重的終端設備攻擊手法。  

目前，在網際網路上有成千上百種應用程式會對企業PC造成影響，如何定義並執行企業安全政策，以允許或拒絕那些應用程式就成為相當耗時的過程。因此，應用程式管控的基本功能，就是要擁有讓大多數決策自動化的能力，藉此IT人員就不需要花費時間去研究那些程式。  

最理想的狀況，是透過一套可辨別所有已知的良好或惡意程式，同時包含最佳處理法則的資料庫，管理系統就能夠自動導入相關處理原則，自動判別應允許或拒絕該應用程式進行，而讓一切運作自動化完成。  

終端防禦基本要件2
資料保護  

員工到任與離職是相當常見的場景，據調查，目前只有10%至20%的企業使用加密的USB隨身碟。企業部署全硬碟加密技術，除了讓所有終端資料上鎖保障企業機密外，也能讓敏感資訊免於遭受外洩風險，並且可防止企業因員工個人資訊外洩後，違反個人隱私保護相關法令與懲處。  

一台具備全硬碟加密的筆記型電腦遺失或遭竊，企業可以避免資料外洩發生，也能避免資料外洩所造成的商譽損失。但是僅加密硬碟是不夠的，企業必須將連同可攜式儲存裝置，如USB隨身碟、iPod或其他藍芽裝置等產品一併考慮。  

原因是這些裝置中可以輕易地攜帶各種病毒或是其他惡意軟體。其次，如果有心要竊取敏感資料並帶出企業辦公室，在沒有妥善保護的狀況之下，藉由這些可攜式裝置便能夠輕而易舉地達成。  

終端裝置防禦的最佳做法是同時導入兩方面的政策規範：控制裝置存取能力，並掃描許可裝置中的內容，以確保其中沒有存在任何病毒；同時將其中的資料加密，讓這些資料依然可以受到保護。  

終端防禦基本要件3
執行終端政策規範  

就算使用最佳技術解決惡意程式並保障資料，但如果病毒特徵碼或服務修正檔過期，終端設備還是可能受到危害，而這也是網路存取控制（Network Access Control，NAC）的負責範圍。  

該技術可以在確保已連接網路之終端裝置的安全性後，才允許這些設備存取內部網路資源，NAC會以預先設定好的終端設備安全規範檢查所有連線設備，確保這些裝置都符合相關政策的要求，像是安裝最新版本的防毒軟體或最新的更新檔等。如果裝置受到適當的保護，就可以獲得相對應的存取權限；如果不合乎規範，此項技術就會將該終端設備移入隔離區，並且協助該裝置安裝適當的更新檔案，以修正安全漏洞。  

終端防禦基本要件4
啟用安全遠端存取  

由於相關運算裝置較過去更為行動化，以企業網路上的使用者登入方式鎖定連線，已經是越來越困難的做法。最佳的終端安全解決方案，是藉由相同的使用者登入介面整合安全遠端存取系統，而最好的方式是使用遠端存取代理程式，使用者僅需要登入一次，之後所有的行為都會在安全的空間中執行；同時，將認證過的資訊存放在代理程式中，也可以讓使用者使用不同連線方式時，更易於存取其資訊。  

此外，還有其他原因讓基本終端安全防護需要納入遠端存取代理程式，一為簡化所有代理程式的影響，包括CPU與記憶體使用率，如此可以確保終端系統能更順暢地運作；其次與安裝兩個以上代理程式相比，也可減少重複的管理工作及軟體更新時的測試流程；而確保遠端存取與NAC功能間的互通性，能夠協助相關的政策檢查機制，並且可以透過閘道器應用在遠端使用者認證上。  

終端防禦基本要件5
順暢的安全管理機制  

在管理後端，建構集中終端設備安全管理機制是相當重要的，藉此管理者能夠透過單一介面全面地設定終端設備、管理政策、監控效能並分析網路上的資料，這不單只是減輕管理者的負擔，同時也降低了管理所需的維護費用。  

而這些統整工作同時藉由統一化、標準化及自動化報表功能，協助提升各項安全監控支援，因此管理者可以使用預先定義好的政策樣版，部署企業安全政策基準。  

終端防禦基本要件6
讓終端使用者影響最小化  

最後，就算是最嚴謹、有效率的終端安全解決方案，也不應該與其他重要的終端用戶程式爭奪頻寬或處理效能。當考量這點時，最佳的部署策略就應該是採用低記憶體用量，且影響較小的整合性代理程式。  

而其他領域的透明度也是同樣重要。在理想狀態中，一套終端防禦解決方案應該是在保護狀態時仍然安靜無聲，使用者甚至不會看到系統狀態列中有相關圖示。使用者比較會在意終端安全解決方案的功能性與易用性，但對管理者而言，安全性是最重要的。  

為了能夠掌控這6大終端防禦基本條件，對管理者而言，如何讓網路安全架構維持現狀就顯得相當重要。有一種方式是有專人負責隨時留意並標明最新的威脅。而另一項簡單的方式則是透過服務，自動以圖形化方式呈現各種威脅與潛在問題。  

而終端使用者介入的情況，應該要盡量減少至僅須教育他們遇到惡意軟體及行動裝置遺失或遭竊時的相關風險即可，這需要讓終端使用者能夠警覺他們某些行為可能導致安全漏洞，因此，企業須透過相關安全策略訓練終端使用者，以達到企業資安滴水不漏的目標。