帳號:
密碼:
CTIMES / 文章 /   
自我防禦網路機制強化電子商務安全
 

【作者: 胡昌臺】   2007年02月25日 星期日

瀏覽人次:【3999】
  

維護電子商務系統的重要性

電子商務包括企業內部(Intranet)、企業對企業(B-to-B)及企業對客戶(B-to-C),透過網路、電腦系統、應用程式所進行的商業行為。企業內部及企業之間的網路、電腦系統、應用程式,屬於半封閉環境,較容易掌控也較為安全。然而企業對客戶(消費者)部分,由於消費者身分可能來自全球的Internet 使用者,因此不易掌握使用者及應用電腦的安全性。上億的網際網路使用者,可能使用安全性低的作業系統與應用程式,間接地成為駭客入侵電子商務網站資料系統的攻擊跳板,甚至淪為傀儡殭屍電腦(zombies),受駭客遠端操控,成為發送垃圾郵件或啟動分散式阻斷攻擊(DDoS)藉以恐嚇取財的幫凶。


因此,網上沒有安全防禦武裝防護的電腦,已成為電子商務安全最大的隱憂。然而問題不僅於此,當員工帶電腦回家工作、或用家裡的電腦連回公司內部網路時,也把Internet上的病毒與惡意程式帶回企業,造成電子商務系統內部網路安全和穩定的傷害。所以欲提升電子商務的安全性,不能只注重對外Internet的威脅防禦,對內也要有相同的保護與防禦機制。


電子商務防禦機制的要點

強化系統節點安全

一個適當的防禦機制來保衛企業與個人的電子商務安全,無疑是相當重要的課題。 全面性地強化電子商務系統中的每一個節點,是最有效的做法,而網路設備系統可提供更多更有效的安全機制來保護電子商務系統,因此提出自我防禦網路策略、架構與解決方案,便是企業電子商務機制能否提升運作品質的關鍵。



《圖一 自我防禦網路策略示意圖 》
《圖一 自我防禦網路策略示意圖 》資料來源:思科Cisco Systems

點線面的自我防禦網路策略

自我防禦網路策略是由「點→線→面」建立主動式安全防禦網,從網路上的每一個節點(node)加強安全,包括定期安裝修復檔、加裝防毒防駭等安全軟體等等;並從網路設備強化安全功能,涵蓋封包過濾、加密、入侵防禦、防毒、防止惡意程式、網頁應用程式防火牆與防止阻斷攻擊等。


網路上的節點間,借由訊息交換與協同合作,可建立更強大的聯合防線,像是網路存取控制可建立限制,讓通過安全檢查、完成掃毒程序、與更新修復檔的電腦,才能存取網路。不合格的電腦,只能存取隔離區的網段,直到更新掃毒與作業系統修復檔恢復正常為止。


面的含義則在於站在制高點上,監控網路與電子商務安全的全貌,即時發現異常現象,找出資安事件風險,在第一時間反制減輕消除傷害,進而化解危機。


自我防禦網路的架構是在安全的網路基礎上,增加先進的安全技術與服務,由安控中心與集中管理系統,達成有效的資訊安全管理、控制和回應。



《圖二 自我防禦網路架構示意圖 》
《圖二 自我防禦網路架構示意圖 》資料來源:思科Cisco Systems

如何建立自我防禦網路

那麼自我防禦網路如何強化電子商務安全呢?首先設計者應該檢視電子商務的流程與相關的弱點。以企業對客戶(B-to-C)電子商務主耍流程為例,其路徑如下:


  • ●PC→Internet→Router→Firewall/UTM→Content Switch→Web→App→DB


  • ●PC←Internet←Router←Firewall/UTM←Content Switch←Web←App←DB



成千上萬的客戶使用PC Browser瀏覽Internet在網上購物,使用者找尋並點選連結購物網站時,PC便送出請求,經由Internet至購物網站的Router、再經過Firewall或UTM (整合式威脅防禦器)過濾封包,只允許電子商務相關及正常的封包物件,例如HTTP/HTTPS通過Content Switch(第七層內容交換器),Content Switch可以提供負載平衡、SSL加密及阻擋sync flood 攻擊,之後才送到Web Server、Application Server或是DB(Data Base Server)。 爾後再經過相反的路徑網頁內容,才傳至客戶端的PC。


自我防禦網路亟待更新之處

以上路徑看似安全,但對駭客而言卻是不堪一擊。只要從最弱的PC下手,就可以竊取使用者帳戶資料,合法地入侵交易網站。六億五千多萬上網的電腦,經統計至少有三分之一被植入後門程式,如果駭客手中握有百萬台殭屍電腦,其便可以發動分散式阻斷攻擊(DDoS),也可以向電子商務網站要脅,因為一般網站只要同時有一百萬個PC湧入,馬上便塞爆Internet的對外營運專線,進而導致癱瘓。


第二個弱點是另一端的Web Server。從新聞上看到高中生可以竄改政府網站,就可知Web Server的易脆性,防火牆似乎無法產生積極作用。原因在於,網頁使用的HTTP協定存有不少漏洞,如果不針對網頁的設計寫法、使用者輸入欄位及URL做檢查,都有可能被突破而外洩出後台資料庫的數據資料,包括帳號、密碼、個人資料、交易資料等等,甚至網頁遭致竄改或被植入惡意程式,危害到進入此網站的其他使用者。



《圖三 自我防禦網路強化電子商務安全流程圖 》
《圖三 自我防禦網路強化電子商務安全流程圖 》資料來源:思科Cisco Systems

強化自我網路防禦的方法

企業本身完全無法招架分散式阻斷攻擊(DDoS),就像山洪爆發只構築高門前堤防根本無濟於事一般。企業唯有從上游做好水土保持及疏導措施,才能有效防範洪災,因此解決之道是在上游的ISP建置異常流量偵測與防禦機制,透過資安廠商所提供的解決方案,可有效偵測過濾異常流量,將DDoS Traffic在內部網路境外徹底消滅。


強化Web Server可以從強化作業系統、網頁伺服器程式及網頁應用程式著手。強化作業系統與網頁伺服器程式除了更新修復檔、執行掃毒軟體及更新定義檔之外,對於多變化的攻擊型態,還需要有具備偵查防止異常現象的機制,以阻擋新的威脅攻擊(Day Zero Attack),例如Cisco 的Security Agent便可以阻擋異常植入執行或服務開啟的程式。


至於在網頁伺服器程式與網頁程式碼的漏洞,理應從程式的安全稽核著手,但只有少數的企業,會建制專人詳細檢查程式安全並修補漏洞。因此網頁應用程式防火牆(Web Application Firewall;WAF)產品便應運而生,像是Cisco AVS (Application Velocity System)可放置於Web Server前端,即時檢查調校網頁的效能與安全,提升網頁效率,類似像SQL Injection、Cross-Site Scripting、Command Injection、Cookie/Session Poisoning、Application Reconnaissance、 LDAP Injection Buffer Overflows、Directory Traversals、Attack Obfuscation、Application Platform Exploits、Zero Day Attacks、Cookie Poisoning、Parameter Tampering等複雜的網頁攻擊程式,都難以逃過Cisco AVS網頁應用程式防火牆的封殺。


產品規格實例

以上所提,只是電子商務弱點及威脅的一小部分,相關因應之道與功能內容的解決方案,可以下列產品實例為代表。


(表一) 因應電子商務的弱點威脅提出的防禦技術與解決方案一覽表 <資料來源:思科Cisco Systems>

威脅 弱點

技術

解決方案

資料外洩

SSL, IPSec封包加密

ASA, 6500 Service Module, Router

假冒身份

Certificate, multi-factor 認證

ACS

用戶端不安全

NAC(Network Admission Control網路存取限制)

NAC Appliance

作業系統漏洞

Host Intrusion protection

CSA

惡意程式入侵

IPS, UTM(Unified Threat Management)

ASA, 6500 Service Module

網頁網站漏洞

Web Application Firewall, Host Intrusion protection

AVS, CSA

分散式阻斷攻擊

DDoS 異常流量分析、阻擋

Guard/Detector

安全訊息太多無法處理

SIMS (Security Information Management System)

CS-MARS

安全設備管理負擔太重

Centralized Device Management

Cisco Security Manager


結語

電子商務解決方案是強化電子商務安全的利器,能讓資安工作更有效率,但是若要提升資安維護品質,強化人員的訓練、設計周詳的流程與挑選適當的自我防禦網路工具,這三樣缺一不可。自我防禦網路架構若能協助企業強化電子商務安全,建構起安全的網路環境,便能讓電子商務發展無後顧之憂!(作者為思科系統Cisco Systems產品技術經理)


<註:參考資料:思科自我防禦網路參考連結:http://www.cisco.com/en/US/netsol/ns170/networking_solutions_products_generic_content0900aecd80511fa4.html>


相關文章
5G資訊安全發展現況觀察與分析
軟硬合擊 打造物聯網安全環境
物聯網安全方興未艾
工業物聯網下的資安思維
網路使用者身份辨識-「單一簽入認證」
comments powered by Disqus
相關討論
  相關新品
Pad(MID) SiP Turnkey Solution
原廠/品牌:鉅景
供應商:鉅景
產品類別:RF
  相關新聞
» 看好5G、AI領域新應用 軟硬體大廠整合數位雙生核心
» 引世界迎向永續工業復興 達梭「體驗時代的製造業」大會落實戰略
» 從製造大國邁向創造大國 中國數位製造技術前景看好
» 趨勢科技率先利用 AWS Transit Gateway 提供高效能在線式網路資安防護
» Autodesk 2020新品論壇 共享各領域知識及資訊
  相關產品
» JIUN推出新款雲端醫學影像管理系統
» 浩亭展示數位商品 通過射頻識別直接進入雲端
» MailBase蟬聯日本國內郵件歸檔市場冠軍寶座
» 意法半導體擴大對亞馬遜FreeRTOS的支援
» 是德科技與OPPO合作 推動5G終端研發與商業化

AD


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 遠播資訊股份有限公司版權所有 Powered by O3
地址:台北市中山北路三段29號11樓 / 電話 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw