中華電信資安服務 有所不為 謹守電信業者分際 不主動攔檢應用層

2008-07-25
當發生大規模的資安事件時,許多人首先就將矛頭指向中華電信,但有些資安事件並非ISP應負責或能力範圍所能及的。像是過去曾經發生過的垃圾郵件,到近期發生的遊戲網站攻擊事件,其實並不完全屬於中華電信可以管理的範圍。雖然如此,但中華電信仍致力於提供用戶更好更安全的網路,資安辦公室就是為了規劃各項資安服務,同時協助用戶加強資安概念與能力而設立。
▲中華電信除了提供各類電信與網路連線服務之外,同時也建置資訊安全監控中心,提供各項資訊安全服務,簡化用戶端的建置與設備,並增加管理能力。
每當一有重大的資訊安全攻擊事件發生,很多人第一時間就認為中華電信方面應該要負起維護與管制的責任,但其實電信業者有其管轄範圍,並不是所有事情都能夠越俎代庖。「以中華電信的角度而言,我們主要負責的是監控並管理第三層以下的內容,」中華電信資安辦公室主任吳怡芳表示,「現在有許多攻擊事件都轉向到第四層至第七層的應用層,中華電信是不能也不該管理這些內容的。」  

她更進一步說明:「第四到第七層是所謂的應用層,裡面的資訊都是較為敏感且重要的,如果中華電信可以管理這些內容,從另一個角度來說,中華電信就可以探知所傳遞的訊息,不論是電子郵件或是重要的機密文件,中華電信都可以辨識且記錄,這點不但隱含更嚴重的資安管理問題,同時也會造成更大的不信任感。」  

在中華電信的觀念中,身為電信業者應該要提供的是,讓所有的使用者可以在採用該電信服務時,能夠安心、有信心且享受到所帶來的便利性,但對於部分較為敏感的領域,中華電信就無法以主動且強制的方式推行相關策略,而只能以被動的方式提供相關服務,供用戶選擇。  

資安問題應由企業與電信業者共同負擔  

從垃圾郵件氾濫開始,許多企業都認為中華電信應該要負起部分的資訊安全防護責任,但事實上這樣並不合乎資安防護原則。「現在有很多攻擊事件都是位於應用層上的攻擊,像是郵件詐欺或釣魚網站,」吳怡芳解釋,「如果這些範圍都讓中華電信管理的話,中華電信就必須要能夠辨識所傳遞的資訊,那中華電信就會變成最嚴重的隱私侵犯者了。」  

像是過去垃圾郵件造成的諸多網路問題,有許多人都怪罪到中華電信頭上,但中華電信也有其難言之隱。對於國外的資安監控單位來說,許多違規發信者都是由中華電信的網域出來的,當狀況過於嚴重時,他們不會僅阻擋單一IP來源,而是將整個相關網域都擋住,因為少數企業的違規行為而影響到其他合法使用者,是中華電信所不樂見的。  

但是當時並沒有相關的法律規範,而發送垃圾信件的企業又認為他們是合法使用,在不影響其他合法使用者的前提下,中華電信所採取的措施是在偵測到過大或異常郵件流量時,先告知該企業用戶目前狀況並要求改善,如果經告知後又未改善,在迫不得已的狀況下,就會阻擋該用戶發送任何信件,而這也引起一波不小的爭議。  

「當初中華電信在處理垃圾信件問題時,其實是相當尷尬的,」吳怡芳苦笑著說,「幾位主管好像每天上班就是為了上法庭解釋這些問題。」  

不久前曾經發生遊戲網站遭受分散式阻斷攻擊(DDoS)事件也是同樣的狀況,「我們不能隨便阻擋各種連線要求,只能被動地等待用戶反映,才能協助進行反制,」吳怡芳表示。台灣的相關法律並沒有賦予電信業者可以主動監控並採取行動的權力,雖然許多企業都認為中華電信應該要負擔起資安防禦的角色,但事實上中華電信並沒有也不該有那麼大的權力,「否則中華電信就變成另一個情治單位了,」吳怡芳表示。  

資安艦隊是代管服務的領頭軍  

最近我們時常會看到「資安艦隊2.0」的訊息,這是延續去年的資安艦隊專案而生的新服務。去年的資安艦隊是企業在採用中華電信的網際網路連線時,外加一點費用就可以採購經過中華電信測試評估最具成本效益的防火牆。今年所搭配的產品更升級成UTM產品,除了防火牆之外,還加上IPS、VPN、防毒及網頁過濾等功能,同時還提供郵件守門員服務,確保企業不會遭受攻擊。  

「資安艦隊2.0方案是為了因應現在層出不窮的攻擊事件而改良的服務,」吳怡芳表示,「防火牆的防禦功能已經不足以阻擋目前的攻擊,但過多的產品也會讓管理架構越趨複雜。如果採用UTM設備,不但能夠降低管理上的難度,同時也可以兼顧中小企業所需的資安防禦功能,因此最後我們決定採用UTM設備作為本次資安艦隊的核心設備。」  

除了使用資安艦隊提供的產品防禦網路邊界之外,企業用戶可以另外申請資安代管服務,由中華電信的資訊安全監控中心(SOC)協助管理各項流量與服務。「因為中小企業的資訊人員通常人數較少,沒有辦法時時刻刻關注各項資安訊息,」吳怡芳說明,「如果每次都要等到問題爆發才開始尋找問題點,對於企業營運來說緩不濟急。這時候就可以藉由資安艦隊搭配資安監控服務,由中華電信協助監控網路狀態,當發生異常時就能夠第一時間通知管理者,並共同找出最好的解決方案。」  

委外服務已經漸漸成為目前的趨勢,而在中華電信部分也提供一系列相關方案,特別是整合網路連線與資訊安全的部分。「畢竟只要有網路就會有安全威脅,」吳怡芳解釋,「因此對中華電信來說,提供網路連線服務之外,也應搭配資安服務,才能夠讓所有使用者安心上網。」  

不過由於企業用戶大多對於資訊安全委外都頗有疑慮,因此大多不願意接受這類服務,就算有委外,也僅是相關記錄與報表的分析檢視而已。「事實上以中華電信的角度而言,除了監控單一企業的流量與應用之外,」吳怡芳進一步說明,「資安監控中心裡,還可以將該公司的資料與常態狀況比對,能夠更深一層瞭解該公司的網路狀況與他人的差異。」


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!