隐藏关键目标 将网安防护推向新境界

台湾优利系统(Unisys)网络与网安服务经理黄文琦。

时至今日，全球化网安议题可谓多不胜数，其中最值得忧心之处，乃在于随着多通道的接入终端、智能装置与数码化信息的交互发展，使新时代的活动平台产生颠覆性的变革，因而衍生新的公众安全疑虑；此外，随着社群平台与信息发布？交换机制的快速发展，也让个人隐私安全问题浮上台面。

台湾优利系统(Unisys)网络与网安服务经理黄文琦指出，根据前述发展趋势，使得网络攻击已臻至随时都在的可怕地步，也让企业信息资产的守护任务，面临空前严厉考验。

让黑客看不到  便无机密失窃风险

「面对进阶的威胁，企业需要进阶的防护，」黄文琦强调，一旦采取「网络隐身术(Stealth Solution)」，即可望协助企业彻底解决网安疑虑；个中道理其实很简单，假使黑客无法透视企业网络环境，那麽其便无从探知机敏信息的存放位置，既然看不到，自然不可加以偷窃；而这个令外人无法窥探的网络世界，唯独被指定的群组使用者才看得到。

上述情境，并非凭空想像的愿景，已经可以落地实现，答案就在于Unisys Stealth。该项解决方案，业已历经最严格的安全认证与渗透攻击检验，许多身怀高超技艺的好手，前仆后继一心想破解Unisys Stealth，但至今仍无成功之例；而此项方案提供关键业务与数据传输的安全通道、网络隐藏、以角色为核心的存取控管等高端防护机制，同时也兼顾企业不中断的服务要求，可一并阻档外部攻击与内部渗透，彻底解决各项网安管理困扰。

一言以蔽之，黄文琦认为Unisys Stealth的最大价值，便是将企业最高机密的智能资产隐藏于无形，只要你不是群组成员，那麽不管你动用IP Scan或Port Scan等手段，都看不到由该群组所保护的敏感信息或关键目标。

事实上，Unisys Stealth并非此刻才刚萌芽的新产物。早在2005年，美国国防部便邀请优利共同参与一项研发合作计划，旨在发展关键目标隐藏与匿踪传输技术；结果在一年后，优利便端出研发成果，产制出先进的数据掩蔽与加密方案；一直到了2010年，随着美国政府放宽出口管制，才使此项技术得以商用市场。

以COI取代IP网段  全凭角色权限执行存取控管

深究Unisys Stealth的主要组成元件，可归纳为「Data in Motion」、「Endpoints」等两大区块，前者系以AES 256加密演算法、随机进行数据切割等技术为主轴，至于后者，则以Communities of Interest (COI)为轴心，也就是一个采用安全群组化的管理机制，也堪称是发挥网络隐身妙效的关键所在。

黄文琦进一步解释，透过COI，确使只有在同一群组内的成员可以看到对方，并藉由特殊金收送彼此数据，而此一机制也与企业内部的用户认证平台结合，让使用者可被指定到一或多个群组运作，只要使用者登入系统，就会自动取得被指定的群组金钥。

此项奠基于COI的架构，相较于一般取决于IP网段及防火墙的网络环境区隔思维，委实大相迳庭。

事实上，以传统安全防护架构而论，随着虚拟化、云端化、软件定义网络(SDN)等浪潮一波波涌现，已使得防火墙愈来愈难靠着IP网段切割方式，来营造网络环境的安全；反观Unisys Stealth，无论企业网络环境走向虚拟化、云端化或SDN，仍一本初衷以登入角色作为管控基础，也就是凭藉COI来切割实体设备、而非取决于IP网段，任何人只要登入系统，就会被导引到他该去的环境，全然不受防火墙限制。

至于为何使用COI设计概念？黄文琦说，借此可让优利很安全、有逻辑地将网络用户与数据做区分，而不需要改变复杂的实体网络设定；此外，COI是基于用户身份，而不是工作地点，所以很容易搭配使用微软AD来进行管理，纵使当用户的身份改变，只有认证系统会同步变更，网络设定则不需调整。因此随着COI到位，也一并开启了简化企业网络的契机。

「以下几个场景，可充分道尽企业潜在危机，」黄文琦指出，场景一，一个即将离职的员工，却在最后时刻频频利用职权登入敏感系统查看机密数据，但传统安全机制缺乏测「合法却可疑」使用者行为的能力；场景二，企业只顾着阻隔外部存取，却无法隐藏「隐性却易被攻击」的内部目标，此乃因为传统安全机制缺乏分层群组化管理概念，无力防范防火墙内的非法存取、传输、窃取等风险；场景三，经常需要透过Internet连接企业内部资源的用户，很容易被当做非法入侵的跳板，或沦为恶意软件散布的温床，只因传统安全机制缺乏有效的用户端安全防护与连线安全。

惟一旦藉助Unisys Stealth，除了可隐藏高机密的主机系统外，并透过类似Site-to-Site VPN概念，保护透过公众网络传输的数据安全，同时搭配提供SSVT个人用USB装置，发挥近似于SSL VPN或IPSec Client的用途，从而保障线上接入的数据安全；此外一经善用COI群组化管理思维，亦可同步确保移动与智能终端的数据安全，以及在多用户的云端环境上建立数据传输屏蔽，顺势将前述潜在危机化解殆尽。