刑事局偵九隊逮捕程夏韋網路金融詐騙集團，涉嫌假網頁植入木馬程式盜轉網路銀行存款、信用卡紅利點數盜轉、預借現金冒貸、偽造旅遊網站側錄消費者信用卡資料等詐騙手法，進行高智慧網路犯罪，一年多來，己牟利上千萬元，尚有「老猴」等成員逃亡大陸，警方追緝中。

　刑事局科技犯罪中心和偵九隊自去年六月份起，發現有不明人士利用網路特性（大陸上網，台灣受害）並結合傳統詐騙手法（電話轉接、社交工程、人頭帳戶洗錢），在兩岸間進行有計畫的網路詐騙犯罪活動。

　警方追查，歹徒從信用卡紅利點數盜轉，將盜轉點數於拍賣網站上販售，進行買空賣空之詐騙行為；或預借現金冒貸，取得持卡人完整資料，透過網路及電話語音向銀行申請預借現金或小額信貸。

　其中偽造旅遊網站，以側錄消費者信用卡資料，和植入木馬程式盜轉網路銀行存款，向各大入口網站購買關鍵字服務，申請近似字母之ＤＮＳ，誘騙民眾進入網頁連結時，利用系統漏洞植入木馬程式，蒐集民眾電腦內之資料，包括網路銀行帳號密碼及相關驗證檔案，再進行盜轉，整個犯罪過程宛如電影「網路上身」情節。

　警方調查，該犯罪集團首腦是在廣東珠海設立總部進行詐騙，集團主嫌中各具有專長，包括信用卡紅利點數及航空哩程數轉讓流程、旅行社訂購機票流程、各金融機構之語音及網路轉帳操作流程及網路拍賣流程。

　另有專人負責彙整利用木馬程式或社交工程所取得之各類資料，進行客製化分類，供電話及網路詐騙之用。在台成員則負責收購洗錢所需之人頭帳簿、提領贓款、提供轉接所需之電話卡。

　昨天刑事局幹員兵分多路前往木柵地區，查獲綽號「小偉」的在台主嫌程夏韋，葉勝強、林心儀和在監服刑的朱維釣四人，查扣犯案所用存簿、行動電話、ＳＩＭ卡等贓證物。

我從四年前一腳踩進資安圈，一路觀察國內的資安環境，從原本的期待到前陣子的嚴重失望，除了大環境沒有太多改變之外，主要是目睹一些原本對資安熱切的老園丁逐一離開行列，心中強烈感到資安能量原本就不足，現在不是更慘。《資安人》雜誌2003年9月號曾提出十大建言，除了廠商服務有進步外，其餘無一實現（註1），基於身為資安的一份子，基於一本關心國內資安環境的媒體，還是必須吸一大口氣，挺起胸膛，為散落各地的資安人撐住這面資安大纛。

抱著不信春天喚不回的心情，希望藉由本文的探討，能喚醒某些人的關注，能匯聚更多關心資安的園丁們，一小步、一小步往前推進，讓我們一起面對並重新檢視這些議題。我們需要一個全國性專職機構（不僅僅針對公單位），至少是一個內閣的部會，統籌全國資安政策，相關政策推動，編列專門預算， 實際承擔資安的責任。美國原有的FEMA（註2）組織，應是一個可參考的方案。現有的資通會報立意良好，但是缺乏推動預算、對政府單位的強制推動力。負責政府單位資安工作的研考會，位階依然太低，同時推動資安工作唯一的依據是一份行政命令（註3）。單位只要一句「沒人沒錢」，猶如領有一面免死金牌。

法律及法規是資安工作的主推手。相關主管機關應該主動出面擬定相關法規訂定法條，強制推動。國內開始具體推動資安工作的這五年來，可以發現一個非常清楚的現象，就是沒有一個企業級單位願意主動推動資安工作。我們觀察美國、韓國乃至最近日本推動個人情報保護法，只要法條要求，企業級單位為了滿足最低要求，只得編列預算、指派人力逐步推動。

拉高資安到『國家安全』層級。目前資安工作只停留在政府部份單位及民間自發性的自保作為。其它如，軍事機密不斷外洩、政府機敏資料未能做到滴水不漏、人民隱私資料失守，這都是國家層級的事務，資安位階應該拉到國家安全層級。唯有如此資安工作才能獲得必要的資源、及最優先的工作排序。

Critical infrastructureprotection重要民生基礎設施之防護。重要民生基礎設施是國家安全的另一個構面，這些設施只要遭受破壞，馬上造成社會的不安，舉凡水電、交通、通訊、ISP、金融、醫療，應該建立安全防護標準，並確實實施及稽核督導。為了將這些安全工作做好，勢必大量晉用相關的資安人才：安全顧問、資安管理人員、各式相關技術人員、稽核人員。

缺乏人才培訓制度。人才難覓在資安圈一直是個頭疼的問題，除了基本專業知識之外，更需要廣泛的相關工作經驗，才能達到獨立作業的能力。但是資安市場的不暢通，完全無法吸引人才投入，遑論在校的學子願意投入資安工作職場。雖然教育部開始推動資安學程，但是缺乏整體資安政策，如何知道實際需要哪些專才？舉一個大家可能沒有注意的方向，碰到資安事件，我們現有的相關律師、

檢察官、法官能勝任嗎？我要呼籲廣泛建立安全官（資安長）的角色，他們最重要的任務是以老闆聽的懂的話，傳遞資安訊息、溝通資安任務。

政府採購法造成服務無價，資安服務市場嚴重變態。國內的客戶沒有買服務的觀念，資安是一個百分百服務的行業，竟也淪為硬體式銷售，也因此產生許多變態業務行為，傷了廠商也傷了用戶。政府現有的採購法依然是扼殺資安服務產業的殺手，真實的世界絕對是服務的價格遠高於硬體設備，如果以硬體捆綁軟體，注定後患無窮。

除了檢討現有採購法之外，另一個可參考的方式是要求接政府案子的廠商，必須符合一些最低資安標準，必須擁有哪些專職資安人員。藉由政府採購的力量，鼓動一些資安人力市場。

資安人員位階矮化。民間單位必須依賴資訊力增加企業競爭力，中大型企業比較能重視資訊人員，反觀政府現有的資訊人力規劃，仍停留在早期資料處理的環境，政府單位的資訊人員位階職等低，負責資安人員往往在這些脆弱的人力結構下硬擠出來兼任，有些較小的單位還是一般行政人員兼管。除了專職學能不足之外，更缺乏部門間的溝通能耐，在以人為本的資安工作中，如何期待資安工作的落實？

培育強壯的資安諮詢顧問團隊。資安的面向太寬，從管理到技術，從最高階主管到每一位組織內的人員、甚至還牽涉協力廠；從個人密碼到防火牆，從擬定政策到教育訓練。單位內如何掌握每一個工作範圍？此時外部的諮詢顧問就非常的重

要。但弔詭的是，國內少數資安系統整合商，幾乎都不得善終。資安顧問劣幣逐良幣的結果，專業資安顧問要不離開原有崗位、要不客戶承辦人員自己補顧問的位置，降低標準驗收。個人以為，國內強大的資安顧問能量的積蓄，可轉化為龐大的國產自主資安技術。畢竟，任何資安設備的背後都需要強大的技術及諮詢能量。

資安國家標準推動不力。資安工作推到今天，還看不到任何資安產品的認證系統，資安產品好不好、有沒有問題，完全由用戶獨自承擔。這是一塊不管地，任何人都可以進口資安產品到市場上銷售。認證制度對國產資安產品更形重要，如果國內有現成的認證機構提供認證服務並獲國外交叉認可，國產品就不需支付超高費用且花龐大人力遠渡重洋獲取一紙認證（國產資安品做外銷，都必須通過

國際認證及各當地國之國家標準）。以我們的鄰國韓國為例，所有提供資安諮詢服務的公司，國家會實際管理，在獲准成立後，無論資安服務的專業度及公司的財務穩定度，都是持續稽核要項。

自主資安能力的儲備。早期國家咬牙推IDF戰機、發展飛彈，係著眼於國防自主。當我們進入e-society時，我們在e世界的自主國防力量在哪？再花6,000億的零頭向美國買嗎？其實在資安領域，只要花小小的代價，好好培育國產資安廠商，「寓兵於民」又簡單、又省錢，規劃得宜還可能掙回大筆外匯。

但是整個國產資安產業在工業局的輔導案中，被摒除在外。目前也只看到一些零星的推廣補助，不知已經結案的一本本研究計畫是如何被評估、審核？

我們在資安領域的境遇，很像處在實體世界的以色列。提醒讀者們，以色列在全球實體世界的安防領域乃致反恐市場，無不佔據一個難以撼動的位置。因為他們國家支持、加上惡劣環境的焠煉，反而打造出最出色的技術與經驗，外銷全球賺取驚人外匯。

現有通報制度，鼓勵隱匿資安事件。現有的主管機關缺乏保護受害單位或企業的作法與觀念，企業出資安事件已經受害，通報或報案後，訊息公開商譽受損，還要面對主管機關的懲處。主管機關應該與被害單位站在同一條線上，共同面對挑戰與困難。

實際上相當諷刺地，隱匿不報的單位或企業太平無事。事實上，事件通報是整體資安體質（無論是國家及企業本身）得以提升的要件。目前國內無論公或私單位，大多選擇私了，呈現一片太平盛世，但是問題依然存在，更可能同時轉為膿瘡。主管機關應以協助資安事件的角色，取代目前裁判的角色。

當然，就我目前的了解，主管機關可能不知如何協助。其實，企業只要能舉證，並善盡應有的防護責任，應該提供一定的免責空間。這反而可以鼓勵正規的企業或單位，全力做好安全防範的投入。

廣大中小企業資安委外。全國家數眾多的中小企業，實在無法負擔龐大的資安壓力，最簡單的方法是：(1)找出企業最需要保護的資產；(2)投資基礎資安防護；(3)委託資安專家定時健檢或委託服務。請注意，以上每一件工作的推動，在現有體制內處處都是限制，無法以正常方式推動。其中除了工程浩大外，更必須克服許多的難關，修改許多現存的規定。這代表什麼？需要大魄力！所以關鍵在於：一個有權責的專職機關、還必須搭配一位有魄力、遠見的主管。實乃乾旱之遠眺雲霓！

(註解)

註1：十大建言：(1)速設主管機關與資訊長；(2)專款專用解決沒人沒錢；(3)各部會首長應重視資安；(4)增補資訊人員提高位階；(5)擺脫考績掛帥公僕宿命；(6)教育訓練加強人員觀念；(7)安檢稽核不能馬虎；(8)健全標案評選合格廠商；(9)加強廠商專業及服務；(10)提升技術營造產業群聚。

註2：FEMA：美國聯邦緊急事務管理局，於2003年3月底成為國土安全部(DHS)的一部分，負責全國緊急應變的計畫、恢復和減輕災害，協調46個相關單位之間的聯繫。

註3：行政院於民國88年頒布「行政院暨所屬各機關資訊安全管理規範」。

如同先前所流行的Web services、Wi-Fi技術，虛擬機器技術(Virtualization)，目前已成為IT界的新寵兒。越來越多企業中的IT部門、中小型公司以及大學，開始採用虛擬機器技術，來節省專案所使用伺服器費用，或員工桌上型電腦的採購費用。

如同其它熱門技術的初期應用階段，企業在使用虛擬機器技術時，並沒有完整考量其安全性，IT人員覺得，虛擬技術帶來的優點與便利性，讓他們覺得安全不是問題。

「我相信這段期間中， 一定有許多問題發生。」Configuresoft的CTO，Dennis Moreau說道。「由於虛擬機器技術較為複雜，因此要找出問題、降低風險都不是想像中的簡單。」

大部分的企業IT部門都了解這些可能的安全問題，但是虛擬技術帶來的費用成本效益和使用效率，大到讓他們忽略了這些考量。

「成本對我們來說是一大考量。」一位目前擔任UCBerkeley資訊電機學院網管，本身也是VMware的使用者，Fred Archibald說道。「機房中的機架空間也是考量因素，同時，我們沒有足夠電力與冷卻系統來運作這麼多伺服器，因此利用單一台主機，在上面建構一些虛擬環境，會是比較簡單的作法。由於我們是大學校園，有開放的網路環境，也會開始擔心安全上的問題。」

虛擬機器的概念—其實並不是一項新的技術。虛擬系統的概念，其實早就以不同形式，應用在身邊的一些技術中，並且廣泛地運用在以成本或移動性優先考量的垂直產業中。這種概念，可追溯到早期的大型主機與工作站系統，所有的運算與作業都在大型主機上完成，並將結果輸出至終端機上。這種多人、分時模型可以同時運用大型主機的運算資源。這樣的運作方式相當地有效率，也使用了一段時期，一直到後期的小型主機像是VAX、PDP。

但是當個人電腦的時代來臨，所有的電腦資源都分配在桌上型電腦中，大大降低對多人多工大型主機的需求。隨著個人電腦上的儲存與計算能力的大幅提升，使用者在個人電腦上存放越來越多的資料，這也讓這些主機，成為駭客主要的目標。加上先前提過，需要降低機房實體伺服器數量，來降低硬體與電力成本，讓人們逐漸想採用虛擬機器技術。

而的確，根據分析機構Enterprise Management Associates(EMA)的調查資料顯示，有75%的企業早已採用虛擬技術了。

虛擬環境的安全問題

安全專家表示，雖然虛擬技術是十年前的概念，但是虛擬技術，在目前仍是一項新的應用，潛藏著許多的安全風險與問題。

「虛擬技術的問題要看使用的架構。」曾經研究過虛擬機器安全模型的舊金山Cryptography Research公司的資深安全工程師Nate Lawson說道，「用虛擬機器建構出來的伺服器群，彼此之間並沒有防火牆防護，所以如果一台被攻克，其他機器就可能受到影響。另外，也有人會在同一台機器上，安裝了兩個安全層級不同的虛擬機器。目前還沒有人針對VMware做一個完整的安全分析，所以也許有一天，會有病毒像貞子一樣爬出虛擬環境，影響到實體主機。」

目前虛擬機器的相關攻擊事件細節都僅是口耳相傳，並無確切案例，主要是因為受駭的企業不願大肆聲張。不過，已經有許多安全專家積極的研究虛擬機器的弱點，且部分研究已經引起極大的注意。

去年在拉斯維加斯舉辦的Blackhat駭客研討會中，一位名叫Joanna Rutkowska的安全研究員發表了一項秘密隱藏技術，稱為「Blue Pill」。或者可稱作是虛擬機器式rootkit技術。Blue Pill基本上也是位在實體機器上的一個虛擬體，類似虛擬機器架構中「hypervisor」的角色，掌控與調配實體機器上所有虛擬機器的資源，這項技術並不需要重新啟動該實體機器，而且幾乎不消耗系統資源，因此難以偵測。Rutkowska的這項技術需使用在AMD公司的64-bit CPU上的SVM/Pacifica虛擬技術上。

雖然Blue Pill技術仍是實驗雛形階段，Lawson相信將來現實環境中，可能出現的威脅將不僅於此。「一旦真實、虛擬，一線之間！有更多研究人員了解可以這樣做，並且可將其發展為攻擊武器，將會有越來越多這樣的事情發生。」

同樣是去年，微軟與密西根大學一位研究員，發表了一個利用虛擬技術的rootkit理論與實作，稱作SubVirt，他設計在VM的hypervisor之下，可監控所有虛擬環境的活動。雖然，SubVirt目前只是一個驗證理論，但是許多安全專家相信，這類惡意技術極可能已經被拿來使用。

因為虛擬機器的便利性，管理者常將其佈建在資料中心，作為管理重要伺服器的中控主機，一旦這些虛擬機器被入侵，將會造成管理者的一大夢魘。「現在，你知道這些虛擬技術的rootkit手段，可以潛藏在虛擬系統的作業系統和其應用程式之中，而你得重新設定你的虛擬伺服器了。」Moreau說道。

廠商怎麼解決這些安全問題

以上這些討論，求的是一個解答，企業的IT部門，該如何避免這些VM可能造成的問題呢？系統管理人員目前能想到最簡單的辦法就是，群組政策(group policy)，可利用群組政策來避免開發人員、測試人員、或是其他技術人員安裝未核准的VM軟體。但是這種方式還是有其限制，他只能管控Windows的機器，大部分的VM軟體，像是VMware、Xen，都可以在非Windows機器上安裝。

但實際上，要強化虛擬機器的安全，還是要靠那些製作虛擬機器軟體的廠商。由於虛擬技術相當複雜，許多管理者不知該怎麼安全地操作這些虛擬機器軟體，而相對地使用舊有安全技術，或是傳統的作業系統防護方法來保護自己。EMA的分析師Andi Mann說這些開發虛擬技術的廠商並沒有特別注意安全。

「這是很值得重視的問題，通常大部分的人，都不太去注意虛擬技術的安全性。」Mann說道。「但我告訴你，誰會去注意，就是那些寫病毒的或是攻擊程式的駭客，他們就是會去注意。由於沒有硬體的安全性支援，因此我相信拿來當伺服器的話，會有很多問題。虛擬機器會有很多可趁之機，但是極少有人會去注意。」但VMware公司提出反駁說，大多數的情況，利用虛擬技術來建構伺服器其實是相當安全的。特別是目前有hypervisor技術。「因為新的作業系統分隔技術，因此也更加安全。」VMware的產品與行銷副總Raghu Raghuram說道。「有專屬的hypervisor技術可以增加安全性，我們的虛擬機器之間藉由網路彼此溝通，若其中一台發生了什麼問題，不會感染其他主機。」

VMware有一些安全設計，可以避免針對虛擬機器架構的攻擊，像是可以設定VM可使用的系統資源，來避免DoS攻擊。而且管理人員可以使用VMware的ACE(Assured Computing Environment)功能，佈署安全政策來設定虛擬機器的使用期限，關閉對虛擬機器的存取。

另外，昇陽公司(Sun Microsystems)也對Solaris做了一些改進，讓使用者享受虛擬技術。昇陽在Solaris作業系統上設計了一層保護機制，能讓執行程式避免查看其餘程式的記憶體位址。另外，使用者可以自行設定記憶體為禁止執行(no execution)，來避免遭到緩衝區溢位的攻擊手法。使用者亦可在BIOS中關閉虛擬功能，來限制虛擬機器的執行。

作為Thin client的用途

最近這波對虛擬技術的熱潮， 對Sun、IBM、Novell這些販售虛擬機器軟體或服務的廠商，帶來很大的商機。目前為止，這些公司所預見的商機是在企業架構整合計畫中的資料伺服器。但是專家很期待虛擬技術能夠改善企業因遺失筆電和員工電腦中毒的問題。

Sun和IBM已有一套完整的架構，能讓使用者使用桌上式Thin-clients作為終端控制設備，而後端則使用虛擬機器建構的伺服器，來做運算或存放資料。

許多專家與用戶對於這種架構的安全性，抱持著肯定的態度，主要是因為Thin client本身並不存放資料。而且thin client較終端機更具彈性，可以讓使用者擁有自己的桌面資料，而這些資料可集中放置在後端伺服器上。EMA的研究報告發現，52%採用虛擬技術的企業，是因為其安全優點。

「使用thin client有很多安全優點，其中最大的優點是可以有效地控管這些端點主機。」IBM全球用戶端服務事業群的CTO Patricia Boltong說道，「在這種架構中，端點主機上面並不會存放資料，這是企業喜歡的優點，因為企業主擔心公司敏感資料如果存放於員工的筆記型電腦中，一旦遺失，就造成難以想像的損失。」Bolton指出，近幾年許多企業已經藉由裁減IT人員，來降低企業支出，接下來要替企業省錢必須再從其他地方下手。「假設使用者設備是一筆開銷，其中具備可攜性的筆記型電腦並不適合被拿來開刀。」

因此，將大量伺服器改用虛擬機器來重新佈建，會是虛擬計畫的主要目標，EMA的研究數據顯示，只有5%的企業將桌上型個人主機納入佈建計畫。伺服器採用虛擬環境的好處不勝枚舉，但是主要吸引企業的原因是，能在一部硬體上安裝多個系統。在這種架構中，VMware的ESX Server便擔任所謂的host，管理者可以在這個VM環境底下，再安裝多個不同的作業系統。每一種作業系統都分配到自己專屬的硬體資源，像是記憶體、網路卡、CPU、以及hypervisor。

這種建構方式讓管理者，能夠降低實體伺服器的使用率，也可以規劃成將每一個虛擬系統，與其他虛擬系統彼此分隔，這樣的設計主要是避免資料由虛擬系統外洩至其他系統上，或避免惡意程式在虛擬系統中彼此流竄。另一種應用方式是使用像是Solaris或Linux作為管理層，來管理其他的虛擬子系統。

「令人欣慰的是，對於使用VM，人們可以先不用去擔心安全問題。」昇陽電腦x64系統部的資深主任Graham Lovelle說道，「降低成本是推動虛擬化最大的原動力，雖然可能還是會有風險，但這取決於虛擬化軟體所建構起的虛擬層是否夠足夠安全。VMware在企業市場上已經成熟，但樹大招風，駭客將會把矛頭指向這個新目標。這種攻擊結果將更令人擔憂，因為一旦主機被打下，影響的是好幾台的VM系統。我相信，會有更多更匪夷所思的攻擊手法陸續出現。」

Dennis Fisher 是TechTarget Security的資深作者。

南港軟體工業園區的網站 昨天晚上(5/23)被大陸駭客放置網頁木馬, (h t t p://www.nkzone.com.tw/) 目前還沒有排除, 上這個網站的人的電腦都會被植入後門. 5/24/2007

無庸置疑地，端點安全（endpoint security）是今日企業面臨最大的挑戰之一。事實上，在《Information Security》的2007年優先工作調查中，讀者們也將其視為是今年身分識別與存取管理相關議題中的最大挑戰。

行動技術也逐漸將焦點放在端點保護上。有越來越多的員工會將筆記型電腦從遠端掛上公司的網路，同時也將病毒、蠕蟲及間諜軟體等風險帶進公司中。尤其是並未納入公司管理下的外部顧問及廠商所使用的PC，更加重了這項風險。

目前坊間有十多種產品都聲稱能夠解決這項問題，他們能夠確保筆記型電腦等端點在進入網路前，都已無病毒等安全顧慮。這些產品都遵循了Microsoft、Cisco Systems、Juniper Networks等廠商的標準，能夠評估PC的健康程度，並提供某種形式的建議與網路保護。

但實際在網路上安裝這些軟體之前，請先回答四個關於端點安全的問題。這些問題的答案將有助於選擇出最適合貴公司的產品。

你擁有哪些安全基礎建設

首先要了解現有的安全組合，端點安全解決方案是否與其切合。根據目前已有的設備，你可能會從各家端點解決方案中獲得重複的功能。

有些產品將入侵偵測、防護系統，及VPN閘道器視為是端點安全方案的重要必需品，而有些則是與現有的IPS、IDS，以及VPN等產品搭配。如果你正打算建置VPN，Juniper以及F5 Networks（或是Cisco）的VPN產品都提供了堅強的端點健康掃描功能。有一點必須注意的是，你的端點安全應該只涵蓋遠端使用者的機器，而不會掃描本端網路使用者的機器。

另外必須注意的還有，有些廠商會宣稱能支援其他廠商的VPN或IPS，但並不表示它們能夠緊密地結合，也不表示你只需建立一個統一的安全政策資料庫，就可以管控遠端以及LAN的連線。例如，AEP Networks提供了端點安全產品以及獨立的NACpoint產品線，但這兩類產品便無法共用安全政策資料庫，而且要到2007年之後才會做整合。同時，NACpoint產品線還會廣泛地支援各種VPN產品。

在這整合頻譜上的另一個極端則是Junipe r 的Unified Access Control。「管理員可在Secure Access SSL VPN與端點安全平台之間共用遠端存取以及LAN存取控制政策，以確保LAN與遠端存取都有共同的控制政策，」Juniper發言人Roger Fortier說。

若是進一步檢視其它產品，便可發現更細微的差異。例如，Lockdown Network的Network Access Control設備不具備任何IDS的功能，但卻可和Enterasys Network的Dragon IDS共同合作，最近還加入了自己的VPN功能。而大多數的產品都對IPsec VPN提供一般的支援，InfoExpress的CyberGatekeeper也支援Nortel Networks、F5、Juniper，以及Aventail的SSL VPN。ForeScout Technologies的CounterACT則對CheckPoint的VPN提供特別的支援，並即將支援Juniper與Nortel的VPN產品線。Vernier Networks提供了兩種不同的EdgeWall機型，7000與8800；每一種機型都有自己的IPS，而且7000型還支援自己的IPsec VPN功能。

還有一些端點套裝方案，也會在現有的網路基礎上提供重複的元件，要不然就是得下些功夫才能和你現有的設備完美運作。例如，Symantec的Network Access Control就使用了自家的RADIUS伺服器，並且還得在Microsoft的Active Directory上安裝額外的軟體來處理DHCP評估。而MetaInfo則會以自己的DHCP來取代你現有的DHCP伺服器，才能提供自己的端點安全功能。

另一項需要考慮的是你是否需要升級網路。例如，Nevis Networks與ConSentry Networks都提供了自己的48埠交換器以及整合的端點安全功能，如果你不想換掉現有的交換器的話，這可是項不小的花費。

你想保護什麼

接下來，你需要決定要在網路的什麼地方放置這些設備，以及你想保護哪些運算資源。有些設備應該直接放在防火牆後面，以便涵蓋整個網路；有些則最好放在交換器之後，伺服器之前，或是佈署在要保護的子網路或部門網路上。

有些設備是以共線（inline）的方式運作，這也意謂著在這些設備後的網路資源都會被保護，而且只有健康的網路用戶端才能通過設備並存取資源。有些設備則是以頻外（out-of-band）的方式運作，通常會以span port的方式來連接，可監看特定子網路的所有網路通訊，並在使用者成功通過Active Directory或VPN驗證之後，將其加入網路串流中。StillSecure則兩種方式皆有提供。

若要了解這些設備該放置在何處，有時得先了解它們能夠處理的相對流量有多少。Juniper的端點解決方案就提供了廣泛的處理流量，可從75MBps到30GBps。有些產品則受到限制，無法處理更高的流量或更大型的網路。

你的桌上型電腦佈署策略為何

每一項產品都結合了軟體代理程式，來對端點進行掃描並決定其健康程度。這項軟體也可以根據健康程度提供端點的修正以及網路資源的保護。

這些代理程式的工作非常繁重。它們必須檢查開放的通訊埠與執行的服務、在檔案系統上查看是否有問題的檔案與惡意軟體、監控Windows登錄、確定防毒軟體病毒碼的更新，以及檢查個人防火牆是否開啟或被竄改等。有些軟體可能會讓使用者登入多花上數分鐘，這讓某些使用者感覺困惑而去請求技術支援。

每種設備可能使用的代理程式可分為下列三個類型：

• 重型 (Thick) 代理程式：在每一台端點PC上永久安裝並執行。

• 隨選（on-demand）代理程式：PC連上網路的期間並不會一直執行，通常會隨著瀏覽器session或網路登入程序發佈。

• 無代理程式的解決方案：不需在端點上安裝任何軟體，但必須與PC既存的元件配合。

這三種方式各有顯著的差異，也會影響到你最終要使用哪一項產品。其中的差異包括了軟體發佈到端點的方式、執行時間的長短、在登入/連線程序中何時進行健康評估，以及當端點不再連接至網路時，程式本身是否會自動移除等。

「重型」代理程式最容易理解，但也最難全面佈署；這表示IT必須有能力管理並掌控這些系統。在大多數情況下，「重型」代理程式會需要各個電腦的Windows管理者帳號，以便在每一台機器上安全軟體。大多數廠商都提供了Windows 2000/XP上的「重型」代理程式，有些廠商（如AEP、InfoExpress與Lockdown等）還支援Mac OS。少數廠商，例如Symantec與ConSentry等，也在去年底宣佈支援Mac，或是會在接下來數月中在產品線加入對Mac的支援。

「重型」代理程式通常有能力對端點健康進行廣泛的評估，包括Windows登錄、檔案系統、系統服務，以及開啟的通訊埠的掃描，以確定機器是否具有風險。它也能夠對端點進行修復工作，以便將其調整成正常狀態。

未列管PC的問題是IT無法掌控，例如訪客或是企業夥伴所帶來的電腦。這是端點安全的邊緣地帶，在此你必須仔細了解各家供應商之間的差異。

主要的問題是受感染的電腦只要連接到特定的網路區段，便可在登入前損壞你的網路。大多數廠商的作法，是在提供端點IP位址前，先執行一些初步的健康評估。

「使用者驗證已不再表示能夠存取；使用者所使用的設備也必須先經過檢查。」F5的行銷經理Peter Silva說。

由於隨選代理程式無需安裝在嘗試連入的機器上，因此能涵蓋未受管理的PC。這些程式通常以JavaScript或Active X控制元件（或兩種都有）的型式，透過Web瀏覽時載入，和SSL VPN所使用的瀏覽器用戶程式類似。

有些隨選代理程式事實上會自我清除，業界稱之為「可溶性」（dissolvable）代理程式。「自動移除的功能讓我們的代理程式可在一定的時間後自己消失，很適合用來確認訪客的設備是否符合公司的規範，」Lockdown行銷經理Dan Clark說。

Lockdown與Mirage Networks等公司更進一步：這兩家公司都是把每一個端點置於自己的私有VLAN中，因此可確保具風險的設備能夠與其他設備隔離。

「因為這些被設備會互相感染，因此我們將其隔離出來，不與交換器整合，並把所有受感染的設備集中在同一個VLAN中，」Mirage的CTO，Grant Hartline說。

這些隨選代理程式需要特定的作業系統與瀏覽器，其中多數支援Firefox與Internet Explorer，而Windows之外的作業系統選擇就更少了。ConSentry具有Windows版的隨選代理程式，並計畫在今年提供Mac與Linux的版本，但其它廠商在非Windows系統上的支援則過於緩慢。

最後還有無代理程式的方法，雖然聽起來怪異，但道理卻很簡單，安全系統會利用端點上既有的一些資訊進行查詢。通常，這種作法無法提供太多的修正，但卻提供了最小化的驗證。同樣的，這些軟體也需要特定的作業系統。例如，雖然ForeScout的CounterACT完全沒有代理程式，但它在6.0版之前還是無法支援Mac OS的用戶端。

有些廠商提供了多種功能不同的代理程式。例如，Nevis提供了Windows的ActiveX控制元件作為健康評估之用。在其他作業系統上，則利用非代理程式的連線來做最小化的識別管控。Symantec的隨選代理程式可在Mac OS與Linux上執行，但「重型」代理程式只能夠在Windows 2000與XP上工作。

而Ve rni e r （ 使用隨選代理程式） 則是結合了Windows管控的介面來登入電腦並進行掃描。但評估的程度得視是否具有各台電腦的管理權限而定。若沒有管理權限，代理程式只會進行基本的漏洞評估，若需要更進一步的安全政策遵循掃描與修正，則需管理權限才能進行。

你必須管理非PC的端點嗎

若要找出合適的代理程式，還得先知道你的網路有什麼，要管理什麼。「重型」代理程式無法管理非PC設備，如企業網路中的印表伺服器、網路攝影機，以及PDA等，這些設備都各有獨自的作業系統與IP位址。它們無法輕易地被端點設備所控制。幾乎所有的廠商都能夠對MAC或IP位址做白名單或前置驗證，因此設備還是可以連上網路並進行工作。

但若是哪天嵌入式設備也被感染了怎麼辦？ForeScout的CounterACT有解決之道。「它有能力偵測這些設備並實行政策，不讓威脅隨著這些設備而爆發。」ForeScout的全球行銷副總Gord Boyce說。

「例如，我們可以利用政策來限制來自網路印表機的封包只能用作印表之用，」他說。「如果印表機開始運作的像其他設備一樣，而也有人假冒印表機的IP位址的話，CounterACT系統仍能夠偵測出改變，並將設備隔離並斷線。」

另外，像Mirage等廠商，也會監控這些設備，以確保它們不會帶來威脅。顯然要找出完美的端點安全方案非常不容易，尤其當企業有異質網路或設備及作業系統太廣泛時更為嚴重。雖然現今的設備都能夠幫助企業處理緊迫的問題，但若是Microsoft、Cisco，以及Trusted Computing Group等廠商能持續制訂出標準的話，端點安全的未來將更為輕鬆。

David Strom是密蘇里州聖路易士（St. Louis）市的作家、演講者，以及顧問，他時常撰寫有關安全的文章。