根據BSST網路安全研究中心統計，在2009年7月至11月時盛行的開心農場遊戲，更是Tunnel首度結合遊戲的合併出現，在統計各網客的日誌中，「Tunnel無界」因開心農場的話題而大幅提高了近萬次的下載量。這些不斷攀升的內部不當流量(上網玩Game、上網分享日誌、上下載影片、照片)，除了消耗公司對外的頻寬資源外，更有甚者，還會引進一些惡意病毒或木馬程式進來，造成公司內部機密資料在不自覺中被強迫分享出去，且由於Tunnel的建立是用戶端使用者「願意」與「同意」的，因此MIS更無法管制與限制資料外傳。MIS甚至根本察覺不到Web裡的HTTPS流量變化。

傳統的防治方式如防毒閘道、入侵防禦系統、防火牆等，由於無法深層辨識來自於網路應用層的分析工作，因此在防堵Tunnel這件事上，也幾乎都施不了力氣，因為，必須針對在地化的使用行為去做分析，像是「無界」與「自由門」這種Tunnel只在亞洲常見，國際間幾乎都不常見其流傳使用。

預防Tunnel的威脅與危機，可以參照以下3步驟，並搭配適切的工具進行：

因應1：用政策白名單保障關鍵應用

定期審視「應用層流量工具」產製出的數據報告，IT主管可隨時掌握目標區域內的各項網路使用行為狀況(例如Web業務服務使用量、FTP上下載使用量)。除了瞭解狀況，IT主管更可參考此數據，分析出各項關鍵網路應用的應立即保障區、流量壅塞警戒區段或應持續追蹤區，同時可積極判斷出，在現在或未來，部門內究竟應投入或再運用多少的資源，才能在這些潛藏或立即性的營運關鍵流量上，正確著力，並得到良好的管控與可預期的改善。事實上，如果不想IT單位落入「滅火隊」的循環或成為組織內的純「支出單位」，正確地建立起以「數據為依歸」的關鍵營運流量保障模式，確實是有其迫切性與必要性。

因應2：在地化特徵識別能力

過去，資安設備的採購行為往往過於迷思國外品牌。然而私密Tunnel的出現，將顛覆此一邏輯，原因是「海外的警察，認不出哪一位才是艋舺的大哥」。由於地域性的流通發展，本地流行的P2P分享程式或私密Tunnel，往往只在此區域盛行，例如「無界」只流行於華人圈，「Softether」只流行於日本，相對的，在中東流行的P2P程式，在台灣就會很少見。然而，海外品牌往往在特徵辨識度上採用均等原則，也就是取各區前10大，這樣一來可面對的惡意威脅則可含括全球各地。但是，未來資安要面對的是當地的私密Tunnel，必須瞭解當地語言習性的廠商，方可辨識出其使用模式。

因應3：辨識度更新的速度

最後決定該辨識工具好壞的基準，應該是回歸到辨識能力更新速度的表現。事實上，道高一尺、魔高一丈，應用層辨識工具面對的是未來的茫茫挑戰，辨識新的辨識特徵與建立合理的行為辨識模組，是建置此工具應審慎注意的重點。同時，現今的IT人員也遠比過去的IT人員承受更多更大的壓力，如果純粹用經驗或單一角度來呈現網路流量的狀況，而忽略用應用層程式查核工具做統一判斷的基準，最後將發現，可能會又淪入耗時耗工的惡性循環，不僅浪費資源，也將IT的可信賴價值往下修正。

這個以「工具做關鍵政策保障」、以「數據為依歸」的流量查核方法，是海外企業或金融機構行之已久的方法，經過這些年的驗證證明，確實可以幫助IT主管提升安全管理決策時的參考依據，倘若再加入週期性的追蹤、分析，IT人員將可建立絕佳的安全管理品質與建立出可信賴的IT營運環境。

更多Tunnel防禦資訊，請上威播科技www.broadweb.com。

- 新聞稿有效日期，至2010/05/13為止

上一篇：是方電訊運用雲端 IDC 掌握企業節流關鍵迅速提昇運作效率
下一篇：瞻博宣布收購 Ankeena擴展 Junos Ready 軟體組合方案