儘管智慧型手機出貨量在2015年已超過11億支,但台灣仍有不少半導體及高科技廠商限制員工攜帶智慧型手機進入公司,關鍵在於設備管理上的難度頗高,不易建構一套完善的防護機制。
從UTM(Unified Threat Management,整合型威脅管理)設備起家的資安大廠Fortinet,為協助企業建構一個安全無虞的網路環境,避免智慧型手機成為駭客竊取商業機密資料的管道,也推出以FortiGate安全平台為核心,搭配FortiToken、FortiAP等組成的完整方案,確保每個用戶端裝置的安全。
FortiToken身份驗證方案支援IPSEC與SSL VPN兩種傳輸標準,可提供安全性較高的雙因子認證機制,能減少單因子驗證機制的風險,避免遠端登入密碼過於簡單而被駭客破解。當FortiGate搭配FortiToken後,資訊管理人員可對所有遠端登入連線需求的用戶,提供較佳的安全認證機制,確保只有通過驗證的用戶,才能順利登入公司網路。
Fortinet台灣區技術顧問劉乙表示:「FortiGate搭配FortiGuard安全防護中心後,基本上已可以協助企業對抗全球各地的資安威脅,因此只需要在此基礎上,加上FortiToken遠端身份辨識機制,即可讓資訊人員控管遠端登入設備的安全。此外,在內部網路中亦可以選購FortiAP無線網路基地台,避免未經核准的設備連上公司內部網路,一口氣解決駭客攻擊與有心竊取商業機密員工帶來的威脅。」
 |
| ▲ FortiToken可提供安全性較高的雙因子認證機制,能減少單因子驗證機制的風險,避免遠端登入密碼過於簡單而被駭客破解。 |
建構無線網路環境 FortiWiFi成首選
當企業允許員工在公司內部使用自行攜帶的智慧型手機或筆記型電腦後,勢必會帶來各種新型態的資安威脅,因為員工平時在家或出外,使用個人設備連上網際網路與社群網站的時間更多,安全防護機制又不完備,很容易被駭客植入惡意程式。因此,Fortinet認為當企業採取開放BYOD後,唯有從強化網路閘道防護做起,才能有效應對潛在的資安威脅,而FortiGate正是建構安全防護網的核心。
功能相當齊全的FortiGate,涵蓋了防火牆、VPN和流量控制、入侵防禦系統(IPS)、反病毒/?反間諜軟體/?反惡意軟體、漏洞管理、Web過濾、反垃圾郵件等,均是應付複雜資安威脅最需要的功能,Fortinet已針對不同規模的企業,推出可對應需求的多款型號。
FortiGate提供自行定義應用程式風險性的功能,資訊人員可利用FortiView介面,掌握不同應用程式的運作等級,以及潛在的風險等級。而且當設備一旦發現疑似有惡意程式正與駭客組織的中繼站建立連線,便會自動以高風險警示方式呈現,讓管理人員能夠快速察覺。
考量到中小企業有預算與人力上的限制,Fortinet進一步推出內建支援IEEE 802.11a/b/g/n無線晶片的FortiWiFi,在網路閘道提供完全與FortiGate相同的防護功能,讓企業用戶只需要單一台設備,即可同時管理有線、無線網路環境,亦無須額外添購無線網路基地台。
「對尚未建置FortiGate設備的中小企業而言,FortiWiFi是一個非常好的解決方案,可兼顧有線與無線網路的安全。」劉乙說:「若公司營運空間較廣,單一台FortiWiFi的無線訊號無法涵蓋,則可另外添購最高資料傳輸速度可達1.3Gbps的FortiAP無線基地台,再透過FortiManager統一管理無線設備運作即可。」
 |
| ▲安裝FortiClient的行動裝置,登入公司內部網路環境後,即會主動跟FortiGate進行連結,並且套用資安人員預先制訂的控管政策。 |
FortiAP無線網路基地台除能搭配FortiWiFi使用外,也能與企業內部原有的FortiGate整合。如此一來,當有行動裝置連上FortiAP無線基地台後,會自動將流量導向FortiGate平台,讓企業享有更完整的封包檢查功能,一旦發現有異常存取行為,即可立即從無線基地台封鎖該裝置的連線。
劉乙建議企業在建置無線網路環境時,應該要落實員工、訪客的無線認證機制,例如運用FortiAP無線網路基地台與Windows AD伺服器結合,辨認登入者的實際身份。對於前來洽公開會的訪客,則可提供多人共用的帳號與密碼,滿足臨時使用無線網路資源的需求。
FortiClient軟體 保護行動裝置安全
行動裝置之所以會成為駭客入侵的首選,關鍵在於設備本身運算能力有線,加上沒有足夠記憶體與儲存空間存放資料,頂多只能安裝傳統特徵碼比對的防護,因此自然幾乎無法阻擋新型態的攻擊行為。為此,Fortinet推出可以安裝在個人電腦、平板電腦和行動設備上的FortiClient,該軟體支援Windows、Mac、iOS、Android等各種平台。
 |
| ▲資訊人員可利用FortiView介面,掌握不同應用程式的運作等級,以及潛在的風險等級。 |
FortiClient在Apple Store、Google Play平台上都可免費下載,安裝後會自動與Fortinet雲端資安中心保持互動,隨時更新最新資安防護資訊。但是當企業用戶透過付費方式取得該服務之後,FortiClient便能與企業內的FortiGate保持連線,除了享有最先進的資安防護資訊,更可以套用資安人員制訂的防護政策,讓企業整體資安防護機制趨於一致。
劉乙說:「當安裝FortiClient的行動裝置,登入公司內部網路環境後,即會主動跟FortiGate進行連結,並且套用公司制訂的控管政策,如限制特定App無法存取網路等等。一旦行動設備登出網路,則原先套用控管措施便會取消,完全不會影響到員工使用自有裝置的權益。」
不過,考量到有部分公司仍可能會直接配發行動裝置給員工使用,所以Fortinet也提供更高級的保護機制,當行動裝置安裝FortiClient之後,即使脫離FortiGate管理的網路範圍,事先制訂的控管政策依然會生效,藉此讓企業擁有的裝置獲得最高等級的安全防護。