前言

因特网发展至今，已经成长到成为许多企业所赖以为生的工具、也是众家各型规模的企业所觊觎的新兴市场。但是，它也同时成为各种智能型犯罪最易发生的场所；包括计算机病毒、特洛依木马程序及网络的入侵，都随着因特网的发展而显现出越来越可怕的破坏力。也因此，一个数十K 的ILoveYou病毒可以迅速地流窜造成许多 Mail Server 瘫痪，并且快速产生多种变种。

因特网风险

因此，拥抱因特网，虽然可以拥抱此一广大的新兴市场，但是某种程度上也意味着拥抱着许多新危机。关心企业网络的安全问题已是许多大型企业的广泛现象，对于想要从事电子商务的业者而言，更是未来不可轻忽的一个重要客题。特别是当一个电子商务业者发生安全问题时，其主要的损失往往不是当次安全事件所造成的损害，更严重的是此类事件对其商誉上的损失，一个单纯的意外事件就可能导致客户对一个公司的信任感完全破坏。

令人讶异的统计

虽然大多数的企业都承认或相信安全是网络发展一个重要的环节，尤其是类似电子商务、银行、券商、高科技或军方等对信息安全具有高度敏感性的公司或单位， 都应该了解信息安全的重要性，但是实际上一般企业对信息安全的投资或是投资所产生的效果却是令人惊讶的低：在ICSA对为数达61家大型机构的特定族群所作的研究中却显示，在三个月中总共发生了142件入侵事件；在另外一家Gordon & Glickson公司的调查中也发现，允许员工连接至因特网的公司中，有不到50%的公司会作例行性的安全检查，只有44%的公司有能力追踪对敏感数据的存取，而只有三分之一的公司会采用数据加密的防护，有六分之一的曾发生因员工不当使用因特网而对公司有负面影响，有八分之一的公司曾因员工的行为而引发法律追诉事件；另一方面，当美国联邦政府主计单位，被国会要求对有关美国国防部非机密计算机系统的现有漏洞作报告时，主计单位发现了二十五万次对国防部的攻击，并且惊讶地发现：其中有65%的成功率。

究竟是何种原因会导致预期的安全状况与实际的安全状况之间，以及对于安全的需求认知与实际实行的安全建置之间会有如此大的区别？究其原因，其实主要有以下几点：

1.轻忽自己成为受害者的可能性：

许多公司会认为自己企业中并没有重要信息，应该不会成为被攻击的对象，也不认为自己的网页遭置换会是严重的问题。也因此并不愿意投资在网络保护上面。事实上，置换网页虽然是一般较为人熟知的攻击行径，但是，其背后的问题却远比表面上的结果更值得探讨。企业形象，信息外泄、数据被破坏以及被利用来攻击他人，往往是更值得深思的问题。大多数的黑客都会透过类似散弹打鸟的方式，先行攻击或占据许多管理不善的网站，再利用这些网站攻击他人，并设法避免被追踪的可能性。

2.缺乏正确的安全政策及安全规划，以及错误的设定：

大多数的安全专家都会承认，安全政策是整体安全机制是否会成功的重要的一环。事实上，许多公司会花费大把金钱购买昂贵的安全设备，却并不清楚这些安全设备的实际用途，或是因为提供厂商的规划能力不足，贪图方便以及各种不同因素而导致这些安全设备无法正确发挥效用。举例而言，一个公司可能购买防火墙产品，却决定让外界可以直接使用内部的 Telnet Server，或是希望外界可以存取内部的网络上的芳邻。这类的设定基于安全的角度都是不合理的状态，但是却经常出现在许多公司的防火墙设定之中。

在接下来的文章中，笔者将针对电子商务及因特网的安全性的几个重点提出建议，以帮助管理者建置一个真正安全、零风险的电子商务网站，其他部分的安全性如备份机制、内部用户认证等限于篇幅，在此不多作描述。

该选用何种安全设备？

每一个企业或网站因为需求、应用、预算以及对安全的要求程度不同，可能会需要单一或多种不同的安全机制，以下先针对现行市场上较为广泛应用的安全机制作介绍，后续再描述其实际应用。基本上，以下的安全机制各有其保护对象及应用范围，可以单独使用也可以合作并行。

网络防火墙

虽然防火墙早已经是个经过广泛讨论并且在功能上有些过分渲染的名词，但是以现今所有的网络安全机制而言，网络防火墙仍是针对来自因特网的安全威胁的一个最有效而且技术最为成熟的产品。这种安全机制通常是指在两个网络之间实行存取控管的一个系统或一组系统，它也可以定义为一个用来保护信任网络免于遭受来自非信任网络不当干扰的一个机制。事实上，许多机构已不再怀疑防火墙的必要性，而是对如何选择防火墙、如何建置防火墙以及如何确认防火墙的设定与运作正确无误有所疑问。

防火墙可能提供诸如 VPN、远程访问、网站过滤以及用户认证等不同的功能模块，在本文后半段实际描述规划建议事项时，比者会较深入介绍各种功能及其应用环境。

计算机病毒防护设备

计算机病毒的问题早在 Internet 盛行之前就已是信息安全的重要客题，Internet的盛行让病毒的传输有了更方便的管道，许多木马程序 (Trojan Horse) 也开始以病毒的方式散播。病毒的防范方式可以在用户的使用平台，或是公用的文件服务器上安装扫描软件进行病毒扫瞄。针对 Internet 的来源则可以搭配防火墙对 Email、Web 及 FTP 等常见的文件传输管道进行在线实时安全扫瞄。

安全扫瞄及评估软件

安全扫瞄及评估软件(Network Assessment)通常内建数以百计甚至上千个的各式操作系统或应用程序的安全漏洞数据库，透过其数据库以仿真黑客手法的方式测试欲检查的系统是否有已知的安全漏洞，或是错误之设定。此类软件可以将检查结果产生安全报告，报告内容通常涵盖问题点、这些问题对系统的危害程度，如何解决这些问题以及一些统计报表。管理者若使用这类工具检查自己的系统可能会吓一大跳，一个刚安装好的 Windows NT Server 加上最新的 Service Pack 之后，可能还是可以检查出十余种甚至数十种不同危险程度的安全问题。

安全扫瞄及评估软件的检查结果报告对已经对系统安全有一定认识的管理人员而言会有相当的帮助，但是对于原本就不熟悉这个领域的人员而言，想要解读这些报告或许会有些吃力。另外，检查程序也常有误判的可能。因此，有的公司干脆直接提供安全检查服务，为客户解说问题发生原因并以其专业知识，进行手动检查以排除误判状况。

入侵检测与网络监督

入侵检测软件正如其名主要在侦测出可疑的入侵或攻击或误用动作，其侦测方式可分为监督网络运作与监督系统运作两种。

监督网络运作的入侵检测软件基本上是一种网络监听程序，它会接受所有经过其监听设备的网络通讯，分析其中数据的内容：如来源、目的、使用的网络应用、以及实际传输内容。并由这些内容中判读出可疑的攻击动作或是误用情形。其判读能力的主要关键在于其内建的攻击特征数据库 (Attack Signature)，市面上的入侵检测软件可判读的攻击特征差异极大，最多的号称可以判读九百余种，有的则只能判读数十种，有的可以提供自定义攻击特征的能力，有的则不行，有的产品可以轻易的监督并实时观看用户使用网络的状况，如浏览那些网页或是有那些 Email 附件等，有的则必须经过特别处理才能显示出网络上的传输内容。

监督系统运作型式的入侵检测软件则采用监督对系统上的重要档案的存取、是否有监听程序在执行、系统程序是否被更动、每一个用户的使用习惯以及那些程序有透过网络传送数据出去等方式判断其监督的系统上是否有可疑的入侵者。每一个系统入侵检测软件只能监视自己所在系统，但软件厂商可提供集中管理工具接受各个系统上监督程序传回之结果。

零风险电子商务网站基本建议架构

理论上，每一个企业或网站因为需求不同，应该会有不同的规划建议，在此笔者仅能针对一般的状况而言，提出一个适合一般环境的网络安全架构建议，此一架构先以防火墙的功能为主体，后续章节再针对各个安全环节提出可以加强防火墙安全性的辅助方案。

网络架构规划

(图一)是一般常见之安全网络架构规划图，防火墙必须将内部网络及 Internet 间完全区隔开来，除了防火墙以外，不应存在任何其他的信道。因此，针对所有的 Internet 出口都应该有防火墙建置，更不该在内部网络或SSN上架构任何RAS远程访问设备。

《图一一般常见之安全网路架构规划图》

Web 及内部信息系统运作

Web 本身是必须开放给 Internet 上的普罗大众存取且不能设限的服务，为确保安全，应该透过防火墙在内部及外部网络之外，另外建置一个独立的网络，这个独立的第三个网络一般称为DMZ(DeMilitarized Zone)或SSN(Secure Server Network)。并设定外界只能存取到 Web 所在主机之 Web 这个 Service，并且阻档对其他服务的存取。公司之内部信息系统若仅供内部使用，应放置在内部网络，并且阻挡所有由 SSN 对内部网络之存取。

若 Web 有需求对公司之内部信息系统进行动态之查询，最佳状态是在SSN 上设置一内部信息系统之分身，并且阻挡所有由 SSN 对内部网络之存取，仅将与 Web 查询相关之字段复制至此一分身。若无法复制此一分身，则可以考虑开放来自 Web Server 对内部信息系统查询所使用到之网络服务，所有来自 SSN 网络对内部网络之其他网络存取仍应阻隔。

DNS 及 Mail 之运作

当防火墙使用 IP 地址转换时，就有必要建立双重 DNS Server，以处理内外部 IP 不一致的问题，有的防火墙上内建 Dual DNS，可以直接处理，有的防火墙上可以安装一个 DNS Server，内部必须另外架设一 DNS Server，硬件防火墙则通常无法提供 DNS Server 必须另外架设两个 DNS Server。

由防火墙上提供 Mail Server 可以作为内外部网络间的信件转传网关，由于 Mail Server 是经常发现安全问题6的服务之一，避免让外界有机会直接接触到内部的 Mail Server 对内部网络的保护可以有效的提升。不过，必须考虑防火墙自身的 Mail Server 的安全问题，必须对 Mail Server 进行额外的安全强化，最好防火墙软件就能提供一个经过安全强化的 Mail Server。

远程访问策略

在架设防火墙之后，外出员工、第三方、分公司等用户可能需要对内部网络进行存取的动作，一旦有这种需要，就必须特别考虑安全问题，理论上越开放则越容易产生安全问题。透过适当的规划及附加在防火墙上的安全机制将可以有效的控制存取并且减少风险。

当外部对内部的远程访问是来自于单一用户时，若此一用户可以信任，如外出之员工，可以让用户不受限制的存取内部网络，此时可以透过在客户端安装 IPSec VPN 软件，让此客户端可以与防火墙建立 VPN 加解密及认证信道，透通地存取内部网络。但若认定用户并不足以完全信任，如第三方，想要开放这些用户特定权限，但不允许完全存取内部网络之其他部份，则防火墙上的 VPN 功能必须提供特别的访问控制能力，方能进行此一细部控制。能够提供此类功能的防火墙产品并不多，BorderWare Firewall Server 上的 SmartGate 功能是少数的特例。

当远程想要对内部网络的存取的是一整个网络时，通常是分公司对总公司的存取，可以在总公司及分公司各架设一具 IPSec VPN 功能之防火墙，让两个防火墙间建立一个加解密及数据认证的信道，此时两个防火墙在逻辑上会透过 Internet 仿真成一个虚拟的 TCP/IP 路由器，两端则仿真成虚拟的企业网络，可以不受限制的存取对方的 TCP/IP 网络，这也正是命名为 VPN (Virtual Private Network) 的原因，请见(图二)。

《图二 远程对内部网络的安全存取架构图》

安全政策

安全政策是决定防火墙是否能有效保护内部网络安全的一个重要因素，若选择了一个具有最安全的操作系统以及最安全的控制机制的防火墙，但是却决定让所有的服务都通过防火墙，则安装这样的防火墙之后和没有安装一点区别都没有。

防火墙的安全政策制定一般有两种方向可以遵循：

● 除非特别限制某种服务，否则所有的服务都是允许的

● 除非特别开放某种服务，否则所有的服务都是不允许的

虽然两种方式都有人使用，但是基于安全考虑，笔者仍建议采用后者。在制定防火墙的安全政策时，可以先将各种不同的存取方向列出，以一个具有两个网络界面的防火墙为例就有：内部网络存取外部网络、外部网络存取内部网络、内部网络存取防火墙以及外部网络存取防火墙四种方向。再搭配将所有可能用到的服务列出一个存取列表，在表中将需要开放的服务列出。最后再设定应该开放那些用户使用那些服务。

虽然一般人认为防火墙能够支持越多的服务越好，但是支不支持是一回事，真正要决定那些服务通过防火墙时还是必须要慎重考虑，开放越多的服务往往也代表了越多可能被攻击者利用的管道。以下是一些具危险性的协议，作为设计安全政策的参考，无论防火墙是否支持这些协议，若要开放这些协议还是小心为妙：

● 任何由外界对 SSN 或内部网络，或是来自SSN 对内部网络的存取服务，如 HTTP、FTP、Telnet、SMTP、POP、DNS、DataBase Query 等。

● 通过防火墙使用不安全的协议：如TFTP、X windows，诸如 NIS 及 NFS 等使用Remote Procedure Call(RPC) 之服务、Samba 或 Windows 系统之资源共享、RIP 以及 UUCP 等。

企业在决定安全政策时主要以企业体的需求为主，但是，应尽量把握住除非特别必要，否则不应开放来自外界存取内部网络的服务。来自外界的存取越多越容易产生安全问题。

强化基本建议架构

保护防火墙及操作系统

对于许多人而言这个要求看来或许有些吊诡，但是却是真实且必须考虑的问题。当攻击者想要攻击内部网络而没有直接信道时，防火墙往往成为攻击目标，这时候，防火墙自身的安全问题就成为防火墙机制是否能够成功防止攻击的主要因素。防火墙若要能真正保护内部网络及自身安全，则防火墙自身必须有适当之安全防护。虽然许多防火墙厂商宣称防火墙软件本身已经对操作系统施行一些安全防护，但是每一家防火墙厂商的防护方式还是略有不同。

ICSA认证

在众家防火墙厂商自说自话的状态下，除了可以根据防火墙厂商所提供的说明了解防火墙厂商如何进行安全防护之外，由公正的第三者提供安全认证就是一个重要的参考指针。目前有三家私人机构针对各式防火墙产品提出各自的认证标准，其中较为人熟悉的是 ICSA，大多数防火墙都通过 ICSA 认证，另外两个认证机构分别为 West Coast 的 CheckMark 以及英国的 NSS，通过这两个认证的产品较少。上三者都属于民间机构所提供之产品认证，目前也有官方性质的认证，其中最受重视的应属 Common Criteria 的认证，这是一个国际性的 IT 产品安全等级评鉴标准，由美、英、加等六个工业先进国家的七个信息安全相关机构共同制定而成，其安全等级由最低的 EAL1 到 最高的 EAL7。由于此种认证极为严苛，目前仅有少数防火墙产品可以通过 Common Criteria 的认证。目前市场上防火墙所通过的 Common Criteria 的最高安全等级为 EAL4，现在仅有一家。

笔者在此建议选择对防火墙操作系统具有足够安全防护之产品，但若读者选择的防火墙产品，并没有此方面之安全机制，可以考虑在防火墙所在之操作系统上安装监督系统运作的入侵检测软件以强化防火墙所在操作系统之安全性。并搭配安全扫瞄软件，分别由外部网络、内部网络及 SSN/DMZ 上定期检查防火墙所在操作系统的安全性，并根据检查结果进行安全调整，以持续保持防火墙操作系统之安全性。

保护Web Server 以及内部信息系统

在 Web Server 及内部信息系统或其他任何内部主机中可以分别安装监督系统运作的入侵检测软件以强化这些主机的操作系统安全性。并搭配安全扫瞄软件，分别定期检查操作系统的安全性，并根据检查结果进行安全调整，以持续保持操作系统之安全性。若操作系统为 Windows 平台，也应安装适当防病毒软件，以防止计算机病毒感染。

Email 防护

SMTP 可以透过防火墙上之 Mail Server 或专为保护内部 Mail Server 及提供安全的 POP 或 IMAP 远程访问机制的 Mail Gateway 产品针对 Mail Server 进行安全保护，以避免 Mail Server 与外界直接接触遭受攻击。

建立防毒机制

客户端应分别安装防病毒软件，针对 Internet 常见的档案流通渠道，如 Mail、FTP 及 HTTP 等，可以搭配 Firewall 或是 Proxy 等机制建构病毒防火墙，在病毒进入防火墙前检查出来并进行在线解毒。

监督网络

内部网络及 Internet 出口的主干可以安装监督网络运作的入侵检测软件以监督网络存取状况，从中分析出可疑的攻击事件，并设定自动采取适当措施或实时发出警告通知管理者。

总结及成本分析

根据网站需求及产品采购不同，每一个电子商务网站的架构可能都有非常大的差异，在成本上可能差距更大。在预算不足的状况下可以考虑选择一个真正安全的防火墙来保护整体网络及网站，或是单纯使用监督系统的入侵检测系统直接对 Web Server 进行安全防护。防火墙通常会依使用人数而在价格上有相当大之差距。在使用人数不多的状况下，安装防火墙与保护单一主机的入侵检测软件价格接近，但主机比使用人数多或是使用人民远比主机数量多时，两者价差可能多达数倍。读者可以依自己需要参考。

(作者任职于飞雅高科技信息安全事业部)