[觀點] 從資料竄改事件談網路存取控制

在2007年12月，國稅局有位低階的三職等公務員，竟擁有修改納稅人資料的權限，並且利用查核系統管制上的疏失，涉嫌竄改「稅務電子管理系統」中，包括納稅人的性別、婚姻狀況、親屬等資料，製造出可退稅的資格來詐領退稅款項，不法獲利高達三百多萬元。

若從資安管理的角度來思考，從這個事件中，反映出了以下幾個問題：

• 納稅人已完成報稅的資料，為何還能夠進行修改？
• 低職等的人員為何會擁有更高等的權限？
• 對於重要敏感系統的連線存取，為何沒有適當的管控措施？

一般而言，若是沒有作好網路使用的管制，一旦有人順利進入企業內部，並且發現無人使用的網路插孔，這時候只要將網路線接上可連網的裝置，即可輕鬆連線存取區域網路。如果一些應用系統上面也沒有作好權限控管，或是有員工在網路芳鄰上分享資料，那麼有心人士要取得一些有用的敏感資訊，並不是一件困難的事。

此外，若缺少了適當的網路監控工具，網管人員其實也很難掌握使用者，到底是從什麼地方？利用什麼樣的裝置來連上企業網路？更無法識別使用者的身份來賦予適當的存取權限，或是進一步限制使用者可存取的應用系統。所以，聰明的人，只要利用合法的連接埠或通訊協定，就可繞過網管的限制，而隨心所欲地存取各項網路資源。

網路存取控制基本架構

過去，企業多半著重在防禦外部的攻擊，以為部署了防火牆或入侵偵測防禦等系統，就等於作好了資安防護工作，而忽略了來自於內部的非法連線或惡意存取，將會造成更大的破壞與影響。如今，隨著各家廠商的努力研發，網路存取控制(Network Access Control；NAC)方案已經有了不同的面貌，透過多層次的安全架構與彈性的佈署方式，可以有效驗證網路使用者的身份，並且透過政策(Policy)的設定，來控管使用者僅具有適當的存取權限，以預防可能的資安事件發生。

目前，NAC還不算是一個業界標準，因此屬於同樣類型的解決方案，還有其他的說法像是：UAC、NAP等，但基本上它們目的都是相同的，如果要用一句話來形容網路存取控制的目標，那就是「必須確保只有合法且安全的裝置，在給予適當的權限之後，才允許它連上內部網路。」此處的合法，指的是必須要「經過身份驗證」，而安全則是要求符合預設的政策，像是「確認連線裝置已安裝系統修補程式、防毒軟體和防火牆等」。

歸結起來，一個網路存取控制方案的架構，基本上有三個主要的元件，各自負責不同的任務，簡要說明如下：

• Agent - 必須要安裝在每一台電腦上，用來收集使用者端連線裝置的資訊，確保系統安裝了安全防護軟體，並且已修補了系統漏洞。通常網管人員一聽到Agent，直接聯想到的就是佈署上面的問題，目前NAC的Agent主要是透過使用者以瀏覽器啟動Active X方式來安裝，避免需要耗費人工安裝的問題，不過若是Windows以外的系統，有些就必須以人工來安裝。如果在某些情況下無法安裝Agent，也有所謂Agentless的方式，可透過AD的管理者權限，或是以掃瞄的方式來收集使用者端的資訊，但其缺點則為耗時且功能不夠完整。

• Enforcement - 通常Enforcement可由DHCP、Gateway或Switch來擔任，其他支援802.1x的網路設備也能一起協助把關，它是網路裝置連線後會遇見的第一道關卡，負責檢查使用者的電腦狀態是否合乎安全政策的要求，就如同入境時進海關一樣，會要求旅客必須出示證件來證明其身份，並且檢查有無攜帶違禁品。如果一切合格之後，它會詢問Policy Server要開放何種權限給使用者，可以通行到哪裡？如果不合格，就會把使用者請到小房間裡隔離起來，作更進一步的要求與確認，等到更新之後且合乎了政策的要求，才會允許進入。

• Policy Server - 主要儲存規範使用者行為與權限的安全政策，並且協助使用者和AD或RADIUS來進行身份驗證，在Policy Server中定義了每個角色(Role)具備什麼權限？可以使用哪些應用程式？可以存取哪個網段的應用系統？

適合導入產業與部署建議

企業想要做好網路存取控制，主要的目的就是為了分辨合法或非法裝置、控管存取權限，以及確定連線裝置是安全的。當然，在不同的產業，對於網路存取控制有不同的需求，依照個人的觀察，適合導入網路存取控制的產業，通常具有以下特徵：

• 分點過多且有遠端存取需求
• 要求訪客的電腦安全
• 高度資料保密
• 具有研發部門
• 要求存取權限區隔

至於在部署的考量方面，企業需要事先評估的項目有：

1. 支援度 - 需考慮不同系統平台的Agent部署方式，評估要採取事先安裝、遠端安裝，或是不安裝agent來進行。另外，要考慮是否支援目前的身份驗證方式，像是支援AD、LDAP和RADIUS，還有是否支援所使用的防毒軟體等。


2. 相容性 - 部署前需要評估和網路架構的相容性，若是採用802.1x方式，則需要評估設備是否能支援運作。另外，也要考慮應用程式的相容性問題，確保企業內部客製化的應用程式，在NAC的架構上也能夠順暢使用。


3. 隔離處置方式 - 需要了解使用者若是不符合政策要求，到底是如何被隔離的？是否被隔離在不同的網段，以及要如何引導使用者進行更新？必須有明確的指示可協助使用者在更新完成之後，能夠順利再次登入網路。

以逸待勞是最佳防禦方式

讓我們回到一開始提到的竄改納稅人資料事件，如果事先部署了適當的網路存取控制措施，就可以避免不具權限的人去連線存取敏感資料。不過，網路存取控制並不是萬靈丹，如果使用者透過其他方式取得了合法身份，依然可循正常的管道來從事非法竊取資料的行為。

因此，今日的資安工作，應該藉由管理面和技術面共同著手，在管理方面，先從制訂存取政策與作業流程開始，要求除非獲得授權許可，否則一律禁止存取敏感資料；至於在技術方面，可強制進行身份驗證，設定強而有力的密碼設定規則，這會是一種有效的補強性控制措施。而藉由NAC的協助，還可以同時防止非法的網路連線存取，並阻隔惡意程式從內部爆發的問題。(本文刊載於2008年6月號網管人雜誌)