維護電子商務系統的重要性
電子商務包括企業內部(Intranet)、企業對企業(B-to-B)及企業對客戶(B-to-C),透過網路、電腦系統、應用程式所進行的商業行為。企業內部及企業之間的網路、電腦系統、應用程式,屬於半封閉環境,較容易掌控也較為安全。然而企業對客戶(消費者)部分,由於消費者身分可能來自全球的Internet 使用者,因此不易掌握使用者及應用電腦的安全性。上億的網際網路使用者,可能使用安全性低的作業系統與應用程式,間接地成為駭客入侵電子商務網站資料系統的攻擊跳板,甚至淪為傀儡殭屍電腦(zombies),受駭客遠端操控,成為發送垃圾郵件或啟動分散式阻斷攻擊(DDoS)藉以恐嚇取財的幫凶。
因此,網上沒有安全防禦武裝防護的電腦,已成為電子商務安全最大的隱憂。然而問題不僅於此,當員工帶電腦回家工作、或用家裡的電腦連回公司內部網路時,也把Internet上的病毒與惡意程式帶回企業,造成電子商務系統內部網路安全和穩定的傷害。所以欲提升電子商務的安全性,不能只注重對外Internet的威脅防禦,對內也要有相同的保護與防禦機制。
電子商務防禦機制的要點
強化系統節點安全
一個適當的防禦機制來保衛企業與個人的電子商務安全,無疑是相當重要的課題。 全面性地強化電子商務系統中的每一個節點,是最有效的做法,而網路設備系統可提供更多更有效的安全機制來保護電子商務系統,因此提出自我防禦網路策略、架構與解決方案,便是企業電子商務機制能否提升運作品質的關鍵。
《圖一 自我防禦網路策略示意圖 》 | 資料來源:思科Cisco Systems |
|
點線面的自我防禦網路策略
自我防禦網路策略是由「點→線→面」建立主動式安全防禦網,從網路上的每一個節點(node)加強安全,包括定期安裝修復檔、加裝防毒防駭等安全軟體等等;並從網路設備強化安全功能,涵蓋封包過濾、加密、入侵防禦、防毒、防止惡意程式、網頁應用程式防火牆與防止阻斷攻擊等。
網路上的節點間,借由訊息交換與協同合作,可建立更強大的聯合防線,像是網路存取控制可建立限制,讓通過安全檢查、完成掃毒程序、與更新修復檔的電腦,才能存取網路。不合格的電腦,只能存取隔離區的網段,直到更新掃毒與作業系統修復檔恢復正常為止。
面的含義則在於站在制高點上,監控網路與電子商務安全的全貌,即時發現異常現象,找出資安事件風險,在第一時間反制減輕消除傷害,進而化解危機。
自我防禦網路的架構是在安全的網路基礎上,增加先進的安全技術與服務,由安控中心與集中管理系統,達成有效的資訊安全管理、控制和回應。
《圖二 自我防禦網路架構示意圖 》 | 資料來源:思科Cisco Systems |
|
如何建立自我防禦網路
那麼自我防禦網路如何強化電子商務安全呢?首先設計者應該檢視電子商務的流程與相關的弱點。以企業對客戶(B-to-C)電子商務主耍流程為例,其路徑如下:
- ●PC→Internet→Router→Firewall/UTM→Content Switch→Web→App→DB
- ●PC←Internet←Router←Firewall/UTM←Content Switch←Web←App←DB
成千上萬的客戶使用PC Browser瀏覽Internet在網上購物,使用者找尋並點選連結購物網站時,PC便送出請求,經由Internet至購物網站的Router、再經過Firewall或UTM (整合式威脅防禦器)過濾封包,只允許電子商務相關及正常的封包物件,例如HTTP/HTTPS通過Content Switch(第七層內容交換器),Content Switch可以提供負載平衡、SSL加密及阻擋sync flood 攻擊,之後才送到Web Server、Application Server或是DB(Data Base Server)。 爾後再經過相反的路徑網頁內容,才傳至客戶端的PC。
自我防禦網路亟待更新之處
以上路徑看似安全,但對駭客而言卻是不堪一擊。只要從最弱的PC下手,就可以竊取使用者帳戶資料,合法地入侵交易網站。六億五千多萬上網的電腦,經統計至少有三分之一被植入後門程式,如果駭客手中握有百萬台殭屍電腦,其便可以發動分散式阻斷攻擊(DDoS),也可以向電子商務網站要脅,因為一般網站只要同時有一百萬個PC湧入,馬上便塞爆Internet的對外營運專線,進而導致癱瘓。
第二個弱點是另一端的Web Server。從新聞上看到高中生可以竄改政府網站,就可知Web Server的易脆性,防火牆似乎無法產生積極作用。原因在於,網頁使用的HTTP協定存有不少漏洞,如果不針對網頁的設計寫法、使用者輸入欄位及URL做檢查,都有可能被突破而外洩出後台資料庫的數據資料,包括帳號、密碼、個人資料、交易資料等等,甚至網頁遭致竄改或被植入惡意程式,危害到進入此網站的其他使用者。
《圖三 自我防禦網路強化電子商務安全流程圖 》 | 資料來源:思科Cisco Systems |
|
強化自我網路防禦的方法
企業本身完全無法招架分散式阻斷攻擊(DDoS),就像山洪爆發只構築高門前堤防根本無濟於事一般。企業唯有從上游做好水土保持及疏導措施,才能有效防範洪災,因此解決之道是在上游的ISP建置異常流量偵測與防禦機制,透過資安廠商所提供的解決方案,可有效偵測過濾異常流量,將DDoS Traffic在內部網路境外徹底消滅。
強化Web Server可以從強化作業系統、網頁伺服器程式及網頁應用程式著手。強化作業系統與網頁伺服器程式除了更新修復檔、執行掃毒軟體及更新定義檔之外,對於多變化的攻擊型態,還需要有具備偵查防止異常現象的機制,以阻擋新的威脅攻擊(Day Zero Attack),例如Cisco 的Security Agent便可以阻擋異常植入執行或服務開啟的程式。
至於在網頁伺服器程式與網頁程式碼的漏洞,理應從程式的安全稽核著手,但只有少數的企業,會建制專人詳細檢查程式安全並修補漏洞。因此網頁應用程式防火牆(Web Application Firewall;WAF)產品便應運而生,像是Cisco AVS (Application Velocity System)可放置於Web Server前端,即時檢查調校網頁的效能與安全,提升網頁效率,類似像SQL Injection、Cross-Site Scripting、Command Injection、Cookie/Session Poisoning、Application Reconnaissance、 LDAP Injection Buffer Overflows、Directory Traversals、Attack Obfuscation、Application Platform Exploits、Zero Day Attacks、Cookie Poisoning、Parameter Tampering等複雜的網頁攻擊程式,都難以逃過Cisco AVS網頁應用程式防火牆的封殺。
產品規格實例
以上所提,只是電子商務弱點及威脅的一小部分,相關因應之道與功能內容的解決方案,可以下列產品實例為代表。
(表一) 因應電子商務的弱點威脅提出的防禦技術與解決方案一覽表 <資料來源:思科Cisco Systems>
威脅 弱點 |
技術 |
解決方案 |
資料外洩 |
SSL, IPSec封包加密 |
ASA, 6500 Service Module, Router |
假冒身份 |
Certificate, multi-factor 認證 |
ACS |
用戶端不安全 |
NAC(Network Admission Control網路存取限制) |
NAC Appliance |
作業系統漏洞 |
Host Intrusion protection |
CSA |
惡意程式入侵 |
IPS, UTM(Unified Threat Management) |
ASA, 6500 Service Module |
網頁網站漏洞 |
Web Application Firewall, Host Intrusion protection |
AVS, CSA |
分散式阻斷攻擊 |
DDoS 異常流量分析、阻擋 |
Guard/Detector |
安全訊息太多無法處理 |
SIMS (Security Information Management System) |
CS-MARS |
安全設備管理負擔太重 |
Centralized Device Management |
Cisco Security Manager |
結語
電子商務解決方案是強化電子商務安全的利器,能讓資安工作更有效率,但是若要提升資安維護品質,強化人員的訓練、設計周詳的流程與挑選適當的自我防禦網路工具,這三樣缺一不可。自我防禦網路架構若能協助企業強化電子商務安全,建構起安全的網路環境,便能讓電子商務發展無後顧之憂!(作者為思科系統Cisco Systems產品技術經理)
<註:參考資料:思科自我防禦網路參考連結:http://www.cisco.com/en/US/netsol/ns170/networking_solutions_products_generic_content0900aecd80511fa4.html>