https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

網住駭客 站關門窗

2003 / 04 / 28
網住駭客  站關門窗

文/邱詩琁


電子商務網站要能獲得消費大眾的青睞,願意在線上進行下單交易,首要的是獲得消費者的信賴,要如何提供一個安全的線上交易環境、怎樣的環境才算安全?工研院交大網路測試中心針為國內72家電子商務網站做了一次總體檢,於去年11月完成了一份國內電子商務網站的服務、安全、效能的測試評比報告,其中針對電子商務網站的安全性進行了測試。


測試結果顯示,國內電子商務網站的安全性仍有待加強,在資料的傳輸上,有些商家並未提供SSL安全連線;72家網站總共掃描出395個安全漏洞,平均每家網站有5.5個安全漏洞;在網站的暴露程度方面,許多網站開放出過多連接埠(port),而讓網站形同不設防地暴露在高危險環境中。由此可見,電子商務網站的安全性仍有待提升,而針對此次網站安全評分的三大要項:SSL安全連線、網站安全漏洞的多寡、網站暴露程度,工研院交大網路測試中心主任林盈達博士有些建議可供網站經營、管理者做為參考:
SSL安全連線
* 電子商務網站在資料傳輸過程中,應提供SSL的加密機制,其中以Login(鍵入帳號及密碼)、Modify(修改使用者個人資料)及Order(正式下單,輸入信用卡號及通訊資料)三個動作由為重要,需提供SSL安全連線。


* SET機制較SSL更為安全,因為對於買方亦能做到身份認證,但因運作較為繁雜,目前國內使用比率僅有一成,而SSL佔了九成之多。目前有一較好的解決方式為採用SSL交易機制 + 預付卡的方式,消費者購買此預付卡後,在相關的合作商家中消費時,便是扣取預付卡內的點數或金額,即使預付卡遺失或遭人竊取,也僅損失預付卡內的金額而已。不過此方式目前仍多是運用在小額的消費上。

網站安全漏洞
* 可上網下載免費的弱點掃描程式,掃描出網站的漏洞何在。推薦nessus及nmap軟體,可上http://freshmeat.net或其他的軟體下載網站下載。


* 再針對漏洞下載最新的修補程式(patch),且每個禮拜定期上網瀏覽最新漏洞訊息、並更新最新的漏洞修補程式。推薦網站:國外的http://www.cert.org及國內的http://www.icst.org.tw皆有提供最新且豐富的漏洞訊息。


網站暴露程度
* 電子商務網站業者只需開放http (80/tcp)(做為一般通訊)及https (443/tcp) (SSL加密連線)即可,其它service port應關閉,如smpt (25/tcp)、ftp (21/tcp)等。做為管理用途的port亦需關閉,如telnet (23/tcp)、ssh (22/tcp),網管者應注意不要為了遠端管理方便,而將這些連接埠開啟,使得網站更形暴露。

其他建議
* 資料庫及網頁服務不應放在同一台伺服器中,web server放置在前端,而database應放在後端的伺服器上。


* 定期做資料備份,尤其後端資料庫一定要做備份。


* 安裝防火牆及入侵偵測系統,可提高網站的安全性。


林盈達博士強調,安全與便利本來就會有所衝突,開了太多的門和窗,也就是讓駭客、病毒更有機可乘,因此在更重要的安全考量下,只開必要的門窗,不要為了一時之便而犧牲了安全。












工研院交大網路測試中心

年多前因為和網路通訊雜誌合作,針對ISP的服務品質做測試,而促成了工研院交大網路測試中心(Network Benchmarking Lab, NBL)的成立,該中心於去年五月正式成立,成立宗旨為服務國內廠商做產品的測試、檢驗,促進國內廠商的成長;以往廠商會將產品送至國外實驗室,對國內眾多中小企業而言不僅費用高昂且耗時較久,位於交大校園的實驗室鄰近新竹工業園區,對園區廠商而言也便利許多。



目前中心的業務主要區分為兩塊:除了見諸於雜誌上的公開評比測試報告外,另外一塊便是協助國內廠商做產品測試,該服務採會員制,年繳會費20萬元,除了產品測試外,亦舉辦相關的研討會服務廠商。



產品公開評比測試主要是針對網路中高階產品,因此以國外產品居多,著重在產品的效能面、功能面、符合性及互通性上,一年至少會擬定四個測試產品類別,從擬定測試計劃到最後完成報告約三個月的時間,今年的四次測試產品線分別為:網路交換器(Switch)、IPv6路由器、入侵偵測系統(IDS)、及GPRS。



其評比的作業流程為:決定產品線後,會在測試開始前的三個月發信給相關廠商,請其提供產品做測試,測試中心主任林盈達博士表示,廠商參與的比例約為70%,若是一些市場的領導品牌不願加入的話,他們也會設法取得。收到產品後,會用兩個禮拜的時間熟悉產品、測試期間也約為兩個禮拜,測試結果出來後會各別寄給廠商請他們確認,看產品是否有需要經調整再測的部份,以求測試的公正和準確性,測試報告草稿出來後會再請廠商確認,確認完畢後才正式定稿,最後會召開記者會發表測試結果。



若有廠商對測試結果有疑問?林盈達表示,測試期間經過兩次和廠商確認,廠商都有機會反應,若是因產品設定不當而造成,測試中心都接受調整。而主要為服務國內廠商的產品測試服務,則為接受廠商委託,廠商有沒有可能行賄以求成績亮眼的測試報告?林盈達笑說,一年收會費20萬元測試兩樣產品,價格合理,又不是收極高的費用,毋需昧著良心為廠商美言。