網住駭客 站關門窗

文／邱詩琁


電子商務網站要能獲得消費大眾的青睞，願意在線上進行下單交易，首要的是獲得消費者的信賴，要如何提供一個安全的線上交易環境、怎樣的環境才算安全？工研院交大網路測試中心針為國內72家電子商務網站做了一次總體檢，於去年11月完成了一份國內電子商務網站的服務、安全、效能的測試評比報告，其中針對電子商務網站的安全性進行了測試。


測試結果顯示，國內電子商務網站的安全性仍有待加強，在資料的傳輸上，有些商家並未提供SSL安全連線；72家網站總共掃描出395個安全漏洞，平均每家網站有5.5個安全漏洞；在網站的暴露程度方面，許多網站開放出過多連接埠(port)，而讓網站形同不設防地暴露在高危險環境中。由此可見，電子商務網站的安全性仍有待提升，而針對此次網站安全評分的三大要項：SSL安全連線、網站安全漏洞的多寡、網站暴露程度，工研院交大網路測試中心主任林盈達博士有些建議可供網站經營、管理者做為參考：
SSL安全連線
* 電子商務網站在資料傳輸過程中，應提供SSL的加密機制，其中以Login(鍵入帳號及密碼)、Modify(修改使用者個人資料)及Order(正式下單，輸入信用卡號及通訊資料)三個動作由為重要，需提供SSL安全連線。


* SET機制較SSL更為安全，因為對於買方亦能做到身份認證，但因運作較為繁雜，目前國內使用比率僅有一成，而SSL佔了九成之多。目前有一較好的解決方式為採用SSL交易機制 + 預付卡的方式，消費者購買此預付卡後，在相關的合作商家中消費時，便是扣取預付卡內的點數或金額，即使預付卡遺失或遭人竊取，也僅損失預付卡內的金額而已。不過此方式目前仍多是運用在小額的消費上。

網站安全漏洞
* 可上網下載免費的弱點掃描程式，掃描出網站的漏洞何在。推薦nessus及nmap軟體，可上http://freshmeat.net或其他的軟體下載網站下載。


* 再針對漏洞下載最新的修補程式(patch)，且每個禮拜定期上網瀏覽最新漏洞訊息、並更新最新的漏洞修補程式。推薦網站：國外的http://www.cert.org及國內的http://www.icst.org.tw皆有提供最新且豐富的漏洞訊息。


網站暴露程度
* 電子商務網站業者只需開放http (80/tcp)(做為一般通訊)及https (443/tcp) (SSL加密連線)即可，其它service port應關閉，如smpt (25/tcp)、ftp (21/tcp)等。做為管理用途的port亦需關閉，如telnet (23/tcp)、ssh (22/tcp)，網管者應注意不要為了遠端管理方便，而將這些連接埠開啟，使得網站更形暴露。

其他建議
* 資料庫及網頁服務不應放在同一台伺服器中，web server放置在前端，而database應放在後端的伺服器上。


* 定期做資料備份，尤其後端資料庫一定要做備份。


* 安裝防火牆及入侵偵測系統，可提高網站的安全性。


林盈達博士強調，安全與便利本來就會有所衝突，開了太多的門和窗，也就是讓駭客、病毒更有機可乘，因此在更重要的安全考量下，只開必要的門窗，不要為了一時之便而犧牲了安全。

工研院交大網路測試中心

兩年多前因為和網路通訊雜誌合作，針對ISP的服務品質做測試，而促成了工研院交大網路測試中心(Network Benchmarking Lab, NBL)的成立，該中心於去年五月正式成立，成立宗旨為服務國內廠商做產品的測試、檢驗，促進國內廠商的成長；以往廠商會將產品送至國外實驗室，對國內眾多中小企業而言不僅費用高昂且耗時較久，位於交大校園的實驗室鄰近新竹工業園區，對園區廠商而言也便利許多。 目前中心的業務主要區分為兩塊：除了見諸於雜誌上的公開評比測試報告外，另外一塊便是協助國內廠商做產品測試，該服務採會員制，年繳會費20萬元，除了產品測試外，亦舉辦相關的研討會服務廠商。 產品公開評比測試主要是針對網路中高階產品，因此以國外產品居多，著重在產品的效能面、功能面、符合性及互通性上，一年至少會擬定四個測試產品類別，從擬定測試計劃到最後完成報告約三個月的時間，今年的四次測試產品線分別為：網路交換器(Switch)、IPv6路由器、入侵偵測系統(IDS)、及GPRS。 其評比的作業流程為：決定產品線後，會在測試開始前的三個月發信給相關廠商，請其提供產品做測試，測試中心主任林盈達博士表示，廠商參與的比例約為70%，若是一些市場的領導品牌不願加入的話，他們也會設法取得。收到產品後，會用兩個禮拜的時間熟悉產品、測試期間也約為兩個禮拜，測試結果出來後會各別寄給廠商請他們確認，看產品是否有需要經調整再測的部份，以求測試的公正和準確性，測試報告草稿出來後會再請廠商確認，確認完畢後才正式定稿，最後會召開記者會發表測試結果。 若有廠商對測試結果有疑問？林盈達表示，測試期間經過兩次和廠商確認，廠商都有機會反應，若是因產品設定不當而造成，測試中心都接受調整。而主要為服務國內廠商的產品測試服務，則為接受廠商委託，廠商有沒有可能行賄以求成績亮眼的測試報告？林盈達笑說，一年收會費20萬元測試兩樣產品，價格合理，又不是收極高的費用，毋需昧著良心為廠商美言。