跳到主要內容

台灣集中保管結算所

:::

淺談上網隔離

臺灣集中保管結算所金融資訊部  林春佑

網路的蓬勃發展改變了我們日常的生活形態,網路帶來了便利性及縮短了城鄉差距,但同時也伴隨著資安上的風險,例如網路詐騙、個資洩露、勒索軟體、電腦中毒等事件層出不窮,尤其是企業更應重視資安,若發生資安事件不僅是金錢上的損失,更是影響到企業的商譽及信任度。

集保結算所對於資安上的防護更是不落人後,資安防禦分別透過「演練檢測」、「閘道防禦」、「端點防禦」等三道防線進行聯防,以阻絕各項攻擊,達到風險規避之目的,每一防線都透過許多工具或措施來進行聯防。其中端點防禦最大的風險來自於網際網路,當層層的防護都無法識別的惡意程式與零時差攻擊威脅,就有機會遭受到惡意程式或病毒等攻擊,進而發生一連串的資安災難。當今的威脅不外乎是使用者瀏覽外部網站時,即使瀏覽的網站是合法的,但該網站可能被植入惡意程式(又稱為水坑式攻擊),在不知不覺下,一不小心就下載及執行到網際網路上不安全的文件或惡意程式,或透過引誘的方式,讓使用者誤觸到惡意的連結(社交工程)而執行到惡意程式…等攻擊行為,可能導致於電腦中毒甚至被勒索加密。

為防禦來自前揭威脅,降低員工上網風險,避免因瀏覽惡意網站或下載含病毒或惡意程式之檔案,透過上網隔離技術,同仁上網時自動會就透過隔離平台進行防護(上網時如同透過一面透明的玻璃,將風險阻隔在外部),使用者瀏覽網際網路的行為皆在雲端上網隔離平台上執行,瀏覽器顯示的內容只是雲端上網隔離平台畫面的投射,即使瀏覽到惡意網站,因為主動式有害內容並未執行在使用者端,故使用者設備也不會遭受到惡意威脅與感染,避免使用者設備遭到感染,也就是上網過程如同隔岸觀火,火再怎麼燒也燒不到使用者本身。

網路架構

任何資安工具的導入,常常因為安全與方便性的取捨,必須改變使用者原本的作業習慣,造成使用者的抱怨,讓系統滿意度降低。而雲端上網隔離平台的導入,並不需要犧牲改變原本使用者上網習慣及瀏覽器類型。

雖然使用者上網的行為皆在隔離平台上執行,若是要將檔案下載回使用者設備,就可能造成企業的潛在風險,雲端上網隔離平台在下載檔案時會先進行「檔案特徵碼比對、防毒檢測、沙箱驗證等機制」,確保檔案無害後才可下載,有效降低來自於網際網路之風險。

檔案的種類分為文件類及非文件類(如可執行檔或壓縮檔),大部份文件類的檔案使用者只是參考內容並不需要去編輯,雲端上網隔離平台針對文件類型的檔案,可以在不改變任何文件內容下,轉換為PDF格式後於網頁內容中預覽台或下載至本機電腦,呈現的內容與原始檔一致,提供使用者可以檢視文件內容的能力,進而確保文件檔之安全。

若文件類檔案仍需進行檢視後的內容編輯,雲端上網隔離平台亦可提供原始檔案的下載,其保護措施同非文件類檔案下載方式,檔案會在雲端上網隔離平台先進行「檔案特徵碼比對、防毒檢測、沙箱驗證制」,確保檔案內容無任何安全風險疑慮後才可以下載,有效降低來自於網際網路之風險。

網路架構

雲端上網隔離平台防護雖可有效降低來自於網際網路之風險,但資安的風險並非只來自於網際網路,應定期清查使用者帳號權限、作業系統及軟體漏洞修補及更新、檢視各端點電腦皆有依規定安裝相關資安工具(如防毒軟體等)等,尤其使用「電子郵件」方面更應提高警覺,不隨意點選不認識的寄件者或非公務之電子郵件、郵件內連結及附件,以免遭受郵件社交工程的攻擊。

總結一下,上網隔離二大重點項目:

1. 使用者上網過程皆在上網隔離平台上執行,使用者瀏覽器畫面僅為上網隔離平台上投射之畫面(隔岸觀火的概念),風險完全阻隔於隔離平台上。

2. 上網過程中,若要下載檔案至本機端時,隔離平台進行「檔案特徵碼比對、防毒檢測、沙箱驗證等機制」,確保檔案內容無任何安全風險疑慮後才可以下載。

雖然工具可大幅度降低資安上的風險,但工具並非萬能,風險最終還是來自於「人」,因此,提高同仁的資安意識更為重要,集保結算所在教育訓練上更是投入不少心力,除定期對同仁進行資安相關之教育訓練及實際演練,資安意識的提昇更是用來確保公司業務可正常運作的最佳後盾。

回最上方