https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

EC網站的安全建議:網住駭客 站關門窗

2011 / 06 / 03
林盈達
EC網站的安全建議:網住駭客  站關門窗

電子商務網站要能獲得消費大眾的青睞,願意在線上進行下單交易,首要的是獲得消費者的信賴,要如何提供一個安全的線上交易環境、怎樣的環境才算安全?工研院交大網路測試中心針為國內72家電子商務網站做了一次總體檢,於去(2002)年11月完成了一份國內電子商務網站的服務、安全、效能的測試評比報告,其中針對電子商務網站的安全性進行了測試。

測試結果顯示,國內電子商務網站的安全性仍有待加強,在資料的傳輸上,有些商家並未提供SSL安全連線;72家網站總共掃描出395個安全漏洞,平均每家網站有5.5個安全漏洞;在網站的暴露程度方面,許多網站開放出過多連接埠(port),而讓網站形同不設防地暴露在高危險環境中。由此可見,電子商務網站的安全性仍有待提升,而針對此次網站安全評分的三大要項:SSL安全連線、網站安全漏洞的多寡、網站暴露程度,工研院交大網路測試中心主任林盈達博士有些建議可供網站經營、管理者做為參考:

SSL安全連線

電子商務網站在資料傳輸過程中,應提供SSL的加密機制,其中以Login(鍵入帳號及密碼)、Modify(修改使用者個人資料)及Order(正式下單,輸入信用卡號及通訊資料)三個動作由為重要,需提供SSL安全連線。

SET機制較SSL更為安全,因為對於買方亦能做到身份認證,但因運作較為繁雜,目前國內使用比率僅有一成,而SSL佔了九成之多。目前有一較好的解決方式為採用SSL交易機制 + 預付卡的方式,消費者購買此預付卡後,在相關的合作商家中消費時,便是扣取預付卡內的點數或金額,即使預付卡遺失或遭人竊取,也僅損失預付卡內的金額而已。不過此方式目前仍多是運用在小額的消費上。

網站安全漏洞

可上網下載免費的弱點掃描程式,掃描出網站的漏洞何在。推薦nessus及nmap軟體,可上http://freshmeat.net或其他的軟體下載網站下載。

再針對漏洞下載最新的修補程式(patch),且每個禮拜定期上網瀏覽最新漏洞訊息、並更新最新的漏洞修補程式。推薦網站:國外的http://www.cert.org及國內的http://www.icst.org.tw皆有提供最新且豐富的漏洞訊息。

網站暴露程度

電子商務網站業者只需開放http (80/tcp)(做為一般通訊)及https (443/tcp) (SSL加密連線)即可,其它service port應關閉,如smpt (25/tcp)、ftp (21/tcp)等。做為管理用途的port亦需關閉,如telnet (23/tcp)、ssh (22/tcp),網管者應注意不要為了遠端管理方便,而將這些連接埠開啟,使得網站更形暴露。

其他建議

1.資料庫及網頁服務不應放在同一台伺服器中,web server放置在前端,而database應放在後端的伺服器上。

2.定期做資料備份,尤其後端資料庫一定要做備份。

3.安裝防火牆及入侵偵測系統,可提高網站的安全性。

林盈達博士強調,安全與便利本來就會有所衝突,開了太多的門和窗,也就是讓駭客、病毒更有機可乘,因此在更重要的安全考量下,只開必要的門窗,不要為了一時之便而犧牲了安全。