讀者想必都聽過OSI七層網路模型,偶然機會拜讀Michael Gregg著作《Hack the Stack》,作者於書中除詳述OSI七層的資安漏洞及防禦機制外,更提出Layer eight-People Layer第八層—使用者行為層的觀點。正因為使用者行為並不能像資安設備這般可以訂定精準的規則及政策,因此對網路安全因素的影響最大,尤其是使用者行為的不確定性,大幅增加了防禦及管理上的難度。
網際網路經過長時間的發展已演變為「人際互聯」。從早期的BBS到現在Web 2.0多樣化的溝通方式,使用者可透過Blog、Facebook、Twitter、Plurk認識全世界,發展到Virtual Society虛擬社會的趨勢,然而使用者在享受Web 2.0便利的同時,卻也對企業造成更多的資安風險以及生產力流失。
傳統基於OSI第1至4層的網路資安防禦機制已經不能滿足日新月益的資安威脅及挑戰,現今的資安挑戰皆已移轉至第4至7層。早期許多企業花費龐大預算佈建Firewall、SSL VPN等設備,但針對埠號的管理在許多應用及威脅皆轉移到80/443埠以後,已無法有效管控,這也是L4~L7 Security的資安管控方案成為現今主流的原因。
企業為了業務發展,大量應用網路已屬常態,依賴也越來越深,常見到Web、E-mail、IM等基本應用,而網路也存在各式各樣的危險,來自外部的威脅包含病毒、惡意程式、駭客入侵等;來自內部的威脅則包含敏感資料外洩、不當上網行為以及蓄意破壞等等。但近年來,許多的資安事件的發生卻跟設備無關,反而與「人」的行為有關,那麼該如何做好「使用者管理」?
眾所周知,再好的設備與功能仍需要配合完善的資安政策才會事半功倍,有效管理。在使用者管理上,也需公司決策者能夠充分了解資安政策、流程制訂,並且授權及全力支持。制定使用者資安政策及員工上網行為管理規範的四個步驟,首先須考量每個企業文化、行業、員工甚至考量法規制訂公司專有的資安政策,然後選擇適當的資安設備,像是員工上網行為管控、URL Filter、網路安全閘道(SWG)、網頁應用防火牆(WAF)、資料外洩防護(DLP)等方案。此外,也須強化員工教育訓練,讓員工充份了解企業所訂定的資安規範及相關罰則,並且了解公司對資安的重視以及違反的嚴重性。最後則是定期監控與稽核罰則的執行,透過資安設備及管理工具輔以報表,充份了解使用者行為是否違反公司政策,並且明定稽核及罰則,有賞亦有罰。
使用者行為的管理無法一次到位,讓使用者了解自身行為所衍生的資安風險更有助於資訊安全管控,無論是有意或無意,企業在考量資訊安全時皆需要將更多的注意力,才能達到更有效且全面的資安防禦。