甚麼是網絡防護基本概念?
網絡防護基本概念是網絡及網絡防護的關鍵一環,它應在所有網絡環境實施,包括家居、商界及互聯網。有效的網絡防護涵蓋有線及無線網絡,需要以防火牆、反惡意程式軟件、入侵偵測系統、存取管控及其他系統進行保護。
網絡防護基本概念
網絡防護是一個複雜的議題,牽涉到不同技術以及各種可能相當複雜的配置。
需要處理的保安問題包括網絡及網絡連接的用戶端或主機系統。網絡及用戶端共用的科技包括存取管控及加密,而單在網絡上使用的還有網絡分割及周邊保安。
網絡防護與用戶端保安
網絡防護只是所有保安的一部份,通常被視為應用於保護網絡本身的裝置之上。例如防火牆就是置於路由器及交換器等網絡設置旁邊的獨立裝置,亦會裝設於可傳送及交換資訊的實體裝置的軟件上。網絡上除了防火牆,還有入侵偵測系統、入侵預防系統、虛擬私人網絡及數據外洩防護等系統。
網絡主要用來連接不同的系統,令您可以瀏覽 Amazon 網站或在網上購物。但系統端點亦需要防護,這亦被稱為用戶端防護,而需要保護的包括手提電腦、平板、手機及其他物聯網裝置。
這些物聯網裝置包括連網的恆溫器、相機、雪櫃、門鎖、燈泡、泳池抽水機、智能床墊及其他。這些裝置也需要保安管控,但並非所有裝置都精密至需要主機為基的防火牆或反惡意程式代理程式。假如端點為一個燈泡,那可能只需網絡防護就可提供足夠保護。
存取管控
保安可從存取管控開始。業界一般都將存取管控定義為身份識別與存取管理(IAM)。控制存取並非新事物,自從一度門在 6000 多年前安裝第一個門鎖之後,人類已開始控制進入建築物的權限。現時存取管制的範圍包括網絡、電腦、手機、應用程式、網站及檔案。
基本上,存取管控包括 IAAA:
- Identification 識別及確定用戶名稱及身份,包括用戶身份證明及電郵地址。
- Authentication 驗證是提供證明確定用戶真正身份的動作,一般以密碼形式確認。
- Authorization 核准是可否批准用戶的步驟,用戶可能會不被授予權限,亦可能被給予不同權限,如讀、寫或全面管控等。
- Accountability 核算就是追蹤發生了甚麼事,包括用戶嘗試登入或取得登入權的記錄,與及用戶所採取的所有行動。
驗證種類
在 IAAA 之下,驗證可說是今天最重要的議題。在大部份系統,密碼仍是最常見的驗證方式,不過由於密碼很容易被破解,這並非一個很安全的方法。
假如密碼夠短,黑客很容易就將它破解,黑客會進行猜密碼攻擊,以嘗試不同組合的方式暴力破解密碼。他們也會用密碼破解攻擊,利用程式重新產生包含同等數值的密碼。
現時業界共有三種驗證方式或因素,包括:
- 您知道的——結合字母及數字的密碼,只會存於您的腦海之內。不過今天這些資訊應該轉為儲存在密碼管理系統之內。
- 您擁有的——一個您需要驗證的裝置或是裝置上的軟件,包括如 RSA 驗證器或智能電話上的 Google authenticator。
- 您自身的——您自己擁有的,主要是生物識別技術,例如指紋或聲紋。
最佳選擇其實是雙重認證(2FA),有時亦被稱為多重認證(MFA)。我們強烈建議您在 Amazon 或 Facebook 等個人帳號啟用多重認證。
如 Google authenticator 等應用程式是免費的,遠比在手機收到短訊作認證更好。美國國家標準暨技術研究院(NIST)已建議不要採用短訊作第二重認證。
我們亦建議在辦公室使用雙重認證,但這需要公司政策或管理層決定是否真正作出這安排,因為這視乎很多因素而定,包括資產、資料分類、風險及漏洞。
網絡區隔
網絡區隔透過管制不同網絡間的資料流動而改善保安狀況,而這通常以虛擬區域網絡(VLAN)方式達致。亦有其他變種包括專用虛擬區域網路(PVLAN)、虛擬局域網擴展(VXLAN)及其他。虛擬區域網絡存在於資料連結層,即是開放式系統互聯模型(OSI)的第二層。大部份網絡管理員都會將 IP 子網絡指向虛擬區域網絡。
路由器會根據配置容許數據流通過虛擬區域網絡。因此,假如您需要管控,路由器的配置就非常關鍵。
另一個在雲端的選擇就是專用虛擬雲(VPC)。在專用虛擬雲出入的數據流管控也是通過配置進行。
了解雲端工作負載的商業需求對配置和管控虛擬區域網絡及專用虛擬雲的存取十分重要。
周邊保安
周邊保安建基於內部/可信任網絡和外部/不可信任網絡的明確定義界限。這是一個傳統的網絡設計,當時的網絡及數據中心都位於同一建築物之內。在這個配置中,路由器連接了內部及外部的網絡,而路由器內的存取控制串列(ACL)透過基本配置可以管控獲准通過的數據流。
您亦可在周邊加入防火牆、入侵偵測預防系統及入侵預防系統等保安措施。詳細資料請參考網絡防護措施網頁。
加密
加密是保護敏感資料及通訊免被窺伺的必要工具。加密保護您的電腦硬碟、網上銀行使用時段、儲存在雲端的數據、機密電郵及其他應用程式。密碼術亦可確認資料的完整性及驗證資料來源。
兩種基本的加密方式包括對稱加密及不對稱加密。
- 對稱加密以單一鑰匙進行加密及解密,因此必須將鑰匙與人分享來完成加密通訊。通用的演算法包括先進加密標準(AES)、Blowfish、Triple-DES(Data Encryption Standard)及其他。
- 不對稱加密法有兩條獨特的鑰匙,是一對互相匹配的公有匙及私有匙,這套鑰匙屬於一個用戶或是一個服務,例如網站伺服器。其中一條匙用作加密,另一條則用作解密。
- 假如公有匙加密了資料,會令資料維持機密,因為只有私有匙的擁有者才可以將它解密。
- 假如私有匙加密了資料,它會認證資料的來源。而當公有匙成功解密資料,亦即顯示只有私有匙才可以將之加密。公有匙是真正公開的,任何人都可以取用。
第三個題目就是雜湊(hashing)。雖然這與加密無關,我們仍要將它加在保安討論之內。雜湊利用演算法將訊息壓縮成資料量更小、名為 Hash 的散列,而這些散列可以是資料、語音或影像。雜湊並不會改變資料的數值,相反地,加密會將資料轉變至不能閱讀的狀況。
雜湊可以證實這些散列的訊息並未有改變。它確保資料的完整性及維持在原本的格式中。只有雜湊可以保護資料免被意外改動。
假如散列被不對稱私有匙加密,就可以證明黑客並未能干擾資料。只有在私有匙被入侵的情況下,惡意的改動才會發生。
假如鑰匙未被入侵,您就會知道擁有私有匙的人士就是演算了散列的人。這鑰匙應該是對稱匙,有時亦被稱為私有匙,或是對稱私有匙。
無線保安
保護經由無線網絡傳輸的資料、語音或影像是一件困難的事,無線傳輸以發送訊號的方式進行,在傳送範圍內的黑客很容易就可以攔截訊號。無線傳輸也有其加密標準,但很多時都在某一端被截斷。
加密標準包括 WEP、WPA、WPA2 及現時的 WPA3。
- 有線等效加密(WEP)使用 RC4 對稱演算法來加密無線傳輸,但黑客很快就將之破解,現時有一個名為 WEP Crack 的黑客工具就專門作此用途。
- Wi-Fi存取保護(WPA)取代了 WEP,但仍然使用 RC4 進行加密。黑客亦修改了 WEP Crack 來破解 WPA。
- WPA2 是 WPA 的第二代,它有兩個選項:
- WPA2——個人版使用有時被稱為保安匙的預先分享鑰匙,使用時須在無線裝置如手提電腦及手機上和無線存取點上鍵入密碼。黑客在 2017 年已發現首個名為 Key Reinstallation AttaCK (KRACK)的缺陷。
- WPA2——企業版利用額外一層的保安,利用中央化的遠端用戶撥入驗證服務(RADIUS)伺服器來認證用戶。它亦使用可擴展身份驗證協議(EAP)來將驗證訊息傳送至本地的無線連接點。結合 RADIUS 及 EAP 的保安協定名為 IEEE 802.1x。
- WPA3 擁有兩個選項:
- WPA3——個人版利用 128-bit 加密匙為用戶提供更高程度保護。它提供強大的密碼驗證,即使用戶的密碼是太簡單的。WPA3——個人版放棄了 WPA2——個人版的預先分享鑰匙模式,而利用對等實體同時驗證(SAE)方式來達致此成效。
- WPA3——企業版[SM2] [TA(3] [SM4] 利用 192-bit 加密匙以取得更佳防護。這較 WPA2 大為強化,可在整個機構的網絡持續應用保安協定。
保安認證
網絡防護有一定的複雜性,而對抗黑客也是一場永不休止的戰爭。更多資料請參考網絡防護措施網頁。
取得保安認證絕對是一件好事,無論是 CompTIA Security+ 證書課程或 System Security Certified Practitioner((ISC)2® SSCP)證書課程都是一個很好的起步點。另一個包括更多技術知識的進階管理層證書課程就是 Certified Information System Security Professional((ISC)2® CISSP)。您亦可以參加廠商的認證考試,包括 AWS、GCP 或 Azure 的雲端考試。