富士通内部资安对策大揭露，告诉你日本IT大厂如何对抗网络攻击

日前在2014年富士通台湾论坛中，富士通在台展示了包括AR扩增实境工场应用、掌静脉新设备等近30项最新技术应用之外，更首度揭露了富士通内部目前正采用的安全方案与资安对策。

富士通在全球有300家分公司，将近17万名员工，每天要处理数亿次针对公司内部网络发动的网络攻击，富士通安全方案中心总经理太田大州表示，网络攻击已经俨然成为企业永续经营需面临的一大课题，要因应这些人为的网络攻击，除了提高检测能力来察觉并及时阻断之外，最后的关键是人和组织的经验与技术。

因此，富士通在2014年成立安全方案中心，由太田大州带领培育内部资安人才，并在2014年4月1日起全面采用新的安全方案。

建立多层防御，Log分析大量资料来做后续追踪

在物联网及大资料的时代下，光是一个人的基因情报资料就有0.1TB，而一辆自动驾驶的车辆每小时可产生3.6TB的资料，太田大州表示，越来越多的资料累积之后，企业更必须确保资讯安全和保护隐私，以往那些针对病毒、DDoS攻击及骇客的对策已不足够，必须建立新的防御机制。

富士通布建新防御机制的策略是及时切断攻击流程，他说，这得从攻击的整体架构来找出拦截点，例如要因应以电子邮件为目标的攻击时，包括初期潜入、攻击操作、内部扩散及目标达成四个攻击阶段，新的安全方案会建立多层防御，来防堵未知病毒攻击或是针对脆弱性的Zero Day攻击，除此之外，也借由整理、分析大量事件通报和Log资讯，来建立防御攻击的组织和因应对策，以预防不断更新的攻击手段。

太田大州表示，一旦遭恶意软件入侵，恶意软件会不断向外通讯来达成攻击目的，若企业花太多时间来因应，将增加情报外泄和系统被破坏的风险，因此，富士通优先改善资安防御的策略是运用面效率化，来提高应对速度并减少人为疏失。

富士通新的安全方案分成“系统强化”和“运用强化”两个部分，在系统强化上，包括了检测、切断与追踪等三大重点。富士通搭配不同的资安检测产品来分析，并阻断不正当的网络通讯。在经过防火墙时先检测通过的网络流量，适时切断未经许可的应用程序通讯，网络封包经过防火墙之后，设置未知恶意软件检查设备，来进行第二层的检测分析，以便及时通知Proxy来关闭不正当的通讯，此外，也会分析每个阶段产生的大量Log资讯以监控资安事件可能的影响范围。

防御机制全面自动化，自动分辨事件重要性排定优先处理顺序

不仅如此，富士通更将整套防御机制全面自动化，太田大州表示，过去富士通采用人工因应的方式，资安人员先从各种感测设备发布的警告通知邮件中，来确认资安事件的种类找出因应文件，再依据文件中的判定方式来决定因应的方式。

全面自动化之后，新的资安防御系统会自动判定资安警告讯息的重要性、风险等级并计算出处理的优先级，也会即时反应，发布适当的因应工作分工。这套系统也会判断出遭骇对象是否为营运部门的电脑或是重要的服务器，再依据威胁等级和终端设备类型来决定处理的优先级，并自动取得受骇电脑所对应的使用者窗口资讯（包括受影响的分公司名称、所属部门、电子邮件及电话号码），将资讯交由特定的IT管理者来处理这些受感染的终端电脑，系统还会自动协助IT人员搜集情报，例如找到如何因应的参考文件，整个过程全程自动化完成，不需仰赖人力。

太田大州表示，透过自动程序来因应，可缩短97％的因应时间，而富士通也将内部的实践经验编写成不同的使用情境（Scenario），员工可利用这些情境文件，自己初步来判读可能的资安威胁及实施对应，只要是具备了基本IT能力的使用者，就可以很快地具备了基础的资安判断能力，这也让富士通事故对应时间缩短了60％。

在资安人才培育上，富士通设立安全方案中心，并整合研究所、外部团体、资安供应厂商以及富士通的研究所和内部部门等资源，加上公司内部对网络攻击所累积的实践经验，包括因应对策、运用、教育训练等，来形成一个安全方案体制（Fujitsu Security Initiative），从装置、网络、平台到应用层，为每个层级做技术、装置与人才的认证，并累积这些人和组织的经验与技术。

掌静脉不只可用在门禁、差勤，也可应用于行动支付领域

除了分享内部的资安对策之外，活动现场还展示了针对汽车、制造业的一连贯解决方案，从产品设计、生产到销售采购，包括产品试做模拟软件、掌静脉技术及AR技术等应用，其中，掌静脉技术的PalmPass一掌通管理系统，可隔空扫描掌静脉，并即时辨别出使用者身份，扫描距离约在4～6釐米左右，可应用在各领域企业或组织来协助人员管制，作为门禁与差勤系统，优点是可以不用直接接触感应设备。

PalmPass的周边配置设备包括人员出入要经过的闸机、一体机、用来感应掌静脉的终端机器PSN900、掌静脉建档所需的采集机以及中央比对服务器等，其中，PSN900重量约为1公斤，具有触摸显示幕、喇叭及USB界面，储存容量4GB，富士通表示，在辨识度上，使用PSN900扫描掌静脉，拒绝本人登入(拒真率)的概率为万分之1，而非本人成功登入的概率(认假率)则小与百万分之1，几乎不可能让非本人成功登入系统。

富士通展示现场的人员也透露，掌静脉技术目前在大陆已经有导入中的案例，用于大规模的连锁店面，可将掌静脉资讯结合信用卡，提供消费者另一种便捷的支付管道，而该系统预计将在近期上线。

富士通安全方案中心总经理太田大州表示，网络攻击已经俨然成为企业永续经营需面临的一大课题，要因应这些人为的网络攻击，除了提高检测能力来察觉并及时阻断之外，最后的关键是人和组织的经验与技术。

富士通在2014年4月1日起全面采用新的安全方案来对抗网络攻击。新的安全方案分成系统强化、运用强化两个部分，在系统强化上有检测、切断与追踪三大重点，而运用强化部分则将对应程序自动化，以Real Time来对应。

富士通所采用的安全方案中，在系统强化部分使用不同检测产品来做检测与分析，并及时指示Proxy来切断不正当的通讯，此外，将每个阶段产生的大量资讯利用各种Log分析来调查影响范围。

富士通将内部对网络攻击所累积的实践经验，包括因应对策、运用、教育训练等，形成一个安全方案体制（Fujitsu Security Initiative），从装置、网络、平台到应用层，为每个层级做技术、装置与人才的认证，并累积这些人和组织的经验与技术。

富士通的PalmPass一掌通管理系统使用掌静脉技术，可隔空扫描掌静脉，并即时辨别出使用者身份，扫描距离约在4～6釐米左右，可应用在各领域企业或组织来协助人员管制，作为门禁与差勤系统。

富士通PalmPass的周边配置设备包括闸机、一体机、掌静脉终端机PSN900、采集机以及中央比对服务器等，图中示范人员将手按压在采集机上做初次的掌静脉建档，而电脑显示的则是建档时的系统画面。