隱藏關鍵目標 將資安防護推向新境界

台灣優利系統(Unisys)網路與資安服務經理黃文琦。

時至今日，全球化資安議題可謂多不勝數，其中最值得憂心之處，乃在於隨著多通道的接入終端、智慧型裝置與數位化資訊的交互發展，使新世代的活動平台產生顛覆性的變革，因而衍生新的公眾安全疑慮；此外，隨著社群平台與訊息發布？交換機制的快速發展，也讓個人隱私安全問題浮上檯面。

台灣優利系統(Unisys)網路與資安服務經理黃文琦指出，根據前述發展趨勢，使得網路攻擊已臻至隨時都在的可怕地步，也讓企業資訊資產的守護任務，面臨空前嚴厲考驗。

讓駭客看不到  便無機密失竊風險

「面對進階的威脅，企業需要進階的防護，」黃文琦強調，一旦採取「網路隱身術(Stealth Solution)」，即可望協助企業徹底解決資安疑慮；箇中道理其實很簡單，假使駭客無法透視企業網路環境，那麼其便無從探知機敏資訊的存放位置，既然看不到，自然不可加以偷竊；而這個令外人無法窺探的網路世界，唯獨被指定的群組使用者才看得到。

上述情境，並非憑空想像的願景，已經可以落地實現，答案就在於Unisys Stealth。該項解決方案，業已歷經最嚴格的安全認證與滲透攻擊檢驗，許多身懷高超技藝的好手，前仆後繼一心想破解Unisys Stealth，但至今仍無成功之例；而此項方案提供關鍵業務與資料傳輸的安全通道、網路隱藏、以角色為核心的存取控管等高階防護機制，同時也兼顧企業不中斷的服務要求，可一併阻檔外部攻擊與內部滲透，徹底解決各項資安管理困擾。

一言以蔽之，黃文琦認為Unisys Stealth的最大價值，便是將企業最高機密的智慧資產隱藏於無形，只要你不是群組成員，那麼不管你動用IP Scan或Port Scan等手段，都看不到由該群組所保護的敏感訊息或關鍵目標。

事實上，Unisys Stealth並非此刻才剛萌芽的新產物。早在2005年，美國國防部便邀請優利共同參與一項研發合作計畫，旨在發展關鍵目標隱藏與匿蹤傳輸技術；結果在一年後，優利便端出研發成果，產製出先進的資料掩蔽與加密方案；一直到了2010年，隨著美國政府放寬出口管制，才使此項技術得以商用市場。

以COI取代IP網段  全憑角色權限執行存取控管

深究Unisys Stealth的主要組成元件，可歸納為「Data in Motion」、「Endpoints」等兩大區塊，前者係以AES 256加密演算法、隨機進行資料切割等技術為主軸，至於後者，則以Communities of Interest (COI)為軸心，也就是一個採用安全群組化的管理機制，也堪稱是發揮網路隱身妙效的關鍵所在。

黃文琦進一步解釋，透過COI，確使只有在同一群組內的成員可以看到對方，並藉由特殊金收送彼此資料，而此一機制也與企業內部的用戶認證平台結合，讓使用者可被指定到一或多個群組運作，只要使用者登入系統，就會自動取得被指定的群組金鑰。

此項奠基於COI的架構，相較於一般取決於IP網段及防火牆的網路環境區隔思維，委實大相逕庭。

事實上，以傳統安全防護架構而論，隨著虛擬化、雲端化、軟體定義網路(SDN)等浪潮一波波湧現，已使得防火牆愈來愈難靠著IP網段切割方式，來營造網路環境的安全；反觀Unisys Stealth，無論企業網路環境走向虛擬化、雲端化或SDN，仍一本初衷以登入角色作為管控基礎，也就是憑藉COI來切割實體設備、而非取決於IP網段，任何人只要登入系統，就會被導引到他該去的環境，全然不受防火牆限制。

至於為何使用COI設計概念？黃文琦說，藉此可讓優利很安全、有邏輯地將網路用戶與資料做區分，而不需要改變複雜的實體網路設定；此外，COI是基於用戶身分，而不是工作地點，所以很容易搭配使用微軟AD來進行管理，縱使當用戶的身分改變，只有認證系統會同步變更，網路設定則不需調整。因此隨著COI到位，也一併開啟了簡化企業網路的契機。

「以下幾個場景，可充分道盡企業潛在危機，」黃文琦指出，場景一，一個即將離職的員工，卻在最後時刻頻頻利用職權登入敏感系統查看機密資料，但傳統安全機制缺乏測「合法卻可疑」使用者行為的能力；場景二，企業只顧著阻隔外部存取，卻無法隱藏「隱性卻易被攻擊」的內部目標，此乃因為傳統安全機制缺乏分層群組化管理概念，無力防範防火牆內的非法存取、傳輸、竊取等風險；場景三，經常需要透過Internet連接企業內部資源的用戶，很容易被當做非法入侵的跳板，或淪為惡意軟體散佈的溫床，只因傳統安全機制缺乏有效的用戶端安全防護與連線安全。

惟一旦藉助Unisys Stealth，除了可隱藏高機密的主機系統外，並透過類似Site-to-Site VPN概念，保護透過公眾網路傳輸的資料安全，同時搭配提供SSVT個人用USB裝置，發揮近似於SSL VPN或IPSec Client的用途，從而保障遠端接入的資料安全；此外一經善用COI群組化管理思維，亦可同步確保移動與智慧終端的資料安全，以及在多用戶的雲端環境上建立資料傳輸屏蔽，順勢將前述潛在危機化解殆盡。