在整个信息安全机制里面，我们可以粗略的分为两个部分：认证机制与系统安全，前者偏向于算法的数据加密与解密机制(Encryption/ Decryption )与身分验证(Authentication)，透过CA认证中心，来作统一标准的认证单位，使采用同一算法的使用单位，透过其唯一的识别证，藉以保护数据的隐密性，使未经授权的用户，不能掌握数据内容，并确保在信息化作业中用户身份的不可否认性，在应用上包含网络传输的SSL及VPN加密信道机制、应用的PKI、PGP等，是较为国人所熟知的安全机制。

系统安全机制则是偏向实际运作的信息系统本身的安全防护，就是一般信息人员经常会触及的网络、操作系统、应用系统及数据库这四个部分的安全防护机制，包含网络规划上使用的Router、Switch、防火墙，乃至于操作系统、应用程序、数据库等的设计瑕疵或系统管理者的细部调整不足等，所暴露出来的安全弱点。

由于信息系统的发展，一直以功能与应用面为焦点，所以，信息系统所承担的安全风险，反而相对被忽略，这也是大家致力于数据加密机制的同时，黑客入侵事件却讽刺的接连发生的主因，而信息安全的防治，除了透过安全弱点扫描软件(Security Scanner,如ISS Internet Scanner)做好事前预防性措施外，当属入侵实时侦测系统(Intrusion Detections,IDS)最能提供第一时间的紧急应变机制。

防火墙vs.入侵检测系统

区隔内外网络的防火墙

在系统安全机制中，最广为人知的，应属防火墙机制，典型的防火墙机制的网络规划区隔出所谓的非战区(DMZ)，以将内部网络(Intranet)与外部网络(Internet)予以区隔，并提供三种机制-封包过滤(Packet Filter)、应用服务匝道(Application Gateway)及网络地址代转(Network Address Translation)，兹分述如下：

封包过滤

对于进出防火墙之封包依据防火墙原则，进行IP地址与TCP/IP服务检查，以判断该封包是否得以放行，对于不符防火墙原则的封包予以舍弃，但并不进一步检查封包之内容，所以，封包过滤可以对不开放使用的服务及IP地址予以把关，但对于开放使用的服务，却无法进行进一步的安全侦测。

应用服务匝道

由防火墙担任TCP/IP服务的代理者，代理转送服务要求(Service request )给应用服务器，并可以整合其他访问控制机制来进一步验证访问权限，但对于要求(Request)之内容，仍无法进行侦测。

网络地址代转(Network Address Translation)

提供IP地址的转换，使对外使用的IP地址减少，除降低IP浪费外，更避免外部人员得以窥探网络架构，长驱直入企业网络。

简单的说，防火墙有效的区隔出内部网络与外部网络，并过滤企业安全政策上所不提供的服务或拒绝服务的对象，且提供服务代转的功能，但是对于政策允许的服务项目，却无法管制或监控它的行为，这就好像银行的柜台，虽然可以区隔出银行行员的作业区及客户活动的公共区，并且在柜台上依照服务项目不同，开放不同的服务窗口，但是却无法判断，站在柜台前的客户，究竟是来提款，或者是来抢劫！所以在银行的保全上，必须倚赖专属的保全系统，像闭路电视、警察联机系统、警铃及警卫等等，「入侵检测系统(IDS)」，就是这样的保全系统。由于企业在Internet上，网站服务及邮件服务是基本需要开启的服务，即使架设防火墙，也无法避免不知名用户的存取，因此入侵检测系统可以在入侵事件发生时，予以立即处置，而显得格外重要。

实时响应的入侵检测系统

一般而言，入侵检测系统，共由四部分组件组成：安全知识库、记录数据库、实时响应机制及管理组件，其中安全知识库与实时响应机制整合在侦测站上，而记录数据库及管理组件则在控制端上，兹分述如下：

1. 安全知识库：储存所有已知的入侵行为模式样本，以提供侦测比对使用，在安全知识库中，除了储存攻击性的封包样本外，还有行为模式的比对设定，以判断是否有违规存取的状况发生。

2. 记录数据库：将所侦测的结果储存在纪录数据库(Log Database )，以进一步提供追踪举证，制作分析报表。

3. 实时响应机制：在侦测到入侵行为时，提供第一时间的响应机制，包含及时中断联机等，以降低入侵损失。

4. 管理组件：用来管理所有侦测站，包含制定侦测原则(Detect Policy)，维护纪录数据库及接收警讯等。

其运作流程如(图一)，当封包经过侦测站所在的网段时，侦测站接收其封包，并依据侦测原则进行比对，判断是否有不符合侦测原则的封包，若为合法封包，则予以舍弃，一旦发现违规封包或攻击封包，则启动实时响应组件，将警讯传送至管理站，并对来源主机进行联机中断或其他响应措施。以业界普遍采用的ISS RealSecure而言，甚至可以与CheckPoint 防火墙作整合，直接调整防火墙设定，阻断攻击主机的任何联机。

《图一 入侵检测系统运作流程》

在入侵事件中，另一项重要的机制则是搜证，在入侵事件的法律诉讼中，最难认定的部分在于举证的困难，好的入侵检测系统，可以提供交谈录制的功能，也就是将主机联机期间，所有交谈的过程录制下来，以确定入侵的时间、主机的IP地址、所做的动作、取得的数据档名等予以录制后回放。

由于入侵检测系统分为控制站与侦测站两个部分，所以当侦测站发现异常的封包，会将这些纪录汇整到控制端的数据库，以方便管理者制作，这样的信息风险的评估报表。这样分布式的机制，即使在大型的网络下，也可以保持规划上的灵活度，就像实体保全上，我们会在重要的定点装设传感器，而统一由监控中心来管理一样。

由于入侵的手法各有不同，单纯从网络上侦测，仍不足以完整侦测违规的存取，举例来说，用户的帐户密码，网络上侦测会判定这是正常的现象，然而唯有在认证主机上，才能发觉同一帐户在一分钟内，被尝试超过一百次的密码，而判定是一种字典档攻击，所以，完整的入侵检测系统，除了网络基础(Network-base)的侦测站外，还要能提供重要主机的主机端安全侦测(Host-base)，例如网页窜改牵涉到档案权限的问题，就可以由主机端入侵检测系统，提供较完整安全防护。

群组联合防卫

由于入侵检测系统具备实时监控、实时响应的特性，于是在97年就有人提出所谓「群组联合防卫」的模块，以提供区域连防的机制。群组联合防卫共分两种模块，第一种模块是「群组信任」，就是所有联合防卫的成员互相信任，一旦其中一位成员网域遭受攻击，即透过响应系统通知其他成员攻击者的地址(IP Address)及攻击的服务，使其他成员得以封锁该攻击者地址的服务请求，藉以避免灾害扩大。

第二种模块是「信任中心」，由一个单位担任信任中心，取得所有成员的信任，当其中一个网域成员遭受攻击时，会将讯息通知信任中心，由信任中心直接对其他成员网域进行封锁该攻击者地址的服务请求，藉以避免灾害扩大。

这样的机制立意颇佳，但大家一定奇怪，为何迟迟未能实践？首先，黑客入侵的手法中，有一种叫做IP Spoofing，也就是以假的IP地址攻击对目的主机进行攻击，在第一种模块中，由于彼此信任，一旦黑客以假IP(0.0.0.0-255.255 .255.254)对其中一个成员网域进行假攻击时，所有成员网域的主机将会把自己封闭，而无法与外界联系。第二种模块中，一旦信任中心成立，在擒贼先擒王的战略下，信任中心无疑成为攻击的第一目标，一旦信任中心被攻破，其他成员网域，由于对信任中心的授权，将造成整个信任群组同时罹难。尤其DDOS的方式风行以后，一旦主要的ISP组成群组联合防卫而被攻破，无疑助长DDOS所需具备的带宽要素，而更强化其伤害力，造成不可想象的灾害！

安全的落实

安全的落实，「人」才是最主要的关键所在，安全政策的制定必须大家共同的确切执行，方能达到更安全的目的，不管在对外或者对内都是同样的重要。信息风险管理不应也不只是一股风潮！信息决策的安全，可以有效控制信息资产投资的风险；信息安全的决策，可以弥补信息决策的风险。一个是防患未然，一个是亡羊补牢，都可以趋近一个风险平衡，差异在于所需投注的成本，大不相同！睿智的决策者，会支持信息安全的决策；聪明的经理人，会参予信息决策的安全！

(作者任职于钰松国际技术服务部)