维护电子商务系统的重要性
电子商务包括企业内部(Intranet)、企业对企业(B-to-B)及企业对客户(B-to-C),透过网路、电脑系统、应用程式所进行的商业行为。企业内部及企业之间的网路、电脑系统、应用程式,属于半封闭环境,较容易掌控也较为安全。然而企业对客户(消费者)部分,由于消费者身分可能来自全球的Internet 使用者,因此不易掌握使用者及应用电脑的安全性。上亿的网际网路使用者,可能使用安全性低的作业系统与应用程式,间接地成为骇客入侵电子商务网站资料系统的攻击跳板,甚至沦为傀儡僵尸电脑(zombies),受骇客远端操控,成为发送垃圾邮件或启动分散式阻断攻击(DDoS)借以恐吓取财的帮凶。
因此,网上没有安全防御武装防护的电脑,已成为电子商务安全最大的隐忧。然而问题不仅于此,当员工带电脑回家工作、或用家里的电脑连回公司内部网路时,也把Internet上的病毒与恶意程式带回企业,造成电子商务系统内部网路安全和稳定的伤害。所以欲提升电子商务的安全性,不能只注重对外Internet的威胁防御,对内也要有相同的保护与防御机制。
电子商务防御机制的要点
强化系统节点安全
一个适当的防御机制来保卫企业与个人的电子商务安全,无疑是相当重要的课题。全面性地强化电子商务系统中的每一个节点,是最有效的做法,而网路设备系统可提供更多更有效的安全机制来保护电子商务系统,因此提出自我防御网路策略、架构与解决方案,便是企业电子商务机制能否提升运作品质的关键。
《图一 自我防御网络策略示意图 》 | 数据源:思科Cisco Systems |
|
点线面的自我防御网路策略
自我防御网路策略是由「点→线→面」建立主动式安全防御网,从网路上的每一个节点(node)加强安全,包括定期安装修复档、加装防毒防骇等安全软体等等;并从网路设备强化安全功能,涵盖封包过滤、加密、入侵防御、防毒、防止恶意程式、网页应用程式防火墙与防止阻断攻击等。
网路上的节点间,借由讯息交换与协同合作,可建立更强大的联合防线,像是网路存取控制可建立限制,让通过安全检查、完成扫毒程序、与更新修复档的电脑,才能存取网路。不合格的电脑,只能存取隔离区的网段,直到更新扫毒与作业系统修复档恢复正常为止。
面的含义则在于站在制高点上,监控网路与电子商务安全的全貌,即时发现异常现象,找出资安事件风险,在第一时间反制减轻消除伤害,进而化解危机。
自我防御网路的架构是在安全的网路基础上,增加先进的安全技术与服务,由安控中心与集中管理系统,达成有效的资讯安全管理、控制和回应。
《图二 自我防御网络架构示意图 》 | 数据源:思科Cisco Systems |
|
如何建立自我防御网路
那么自我防御网路如何强化电子商务安全呢?首先设计者应该检视电子商务的流程与相关的弱点。以企业对客户(B-to-C)电子商务主耍流程为例,其路径如下:
- ●PC→Internet→Router→Firewall/UTM→Content Switch→Web→App→DB
- ●PC→Internet→Router→Firewall/UTM→Content Switch→Web→App→DB
成千上万的客户使用PC Browser浏览Internet在网上购物,使用者找寻并点选连结购物网站时,PC便送出请求,经由Internet至购物网站的Router、再经过Firewall或UTM (整合式威胁防御器)过滤封包,只允许电子商务相关及正常的封包物件,例如HTTP/HTTPS通过Content Switch(第七层内容交换器),Content Switch可以提供负载平衡、SSL加密及阻挡sync flood 攻击,之后才送到Web Server、Application Server或是DB(Data Base Server)。 尔后再经过相反的路径网页内容,才传至客户端的PC。
自我防御网路亟待更新之处
以上路径看似安全,但对骇客而言却是不堪一击。只要从最弱的PC下手,就可以窃取使用者帐户资料,合法地入侵交易网站。六亿五千多万上网的电脑,经统计至少有三分之一被植入后门程式,如果骇客手中握有百万台僵尸电脑,其便可以发动分散式阻断攻击(DDoS),也可以向电子商务网站要胁,因为一般网站只要同时有一百万个PC涌入,马上便塞爆Internet的对外营运专线,进而导致瘫痪。
第二个弱点是另一端的Web Server。从新闻上看到高中生可以窜改政府网站,就可知Web Server的易脆性,防火墙似乎无法产生积极作用。原因在于,网页使用的HTTP协定存有不少漏洞,如果不针对网页的设计写法、使用者输入栏位及URL做检查,都有可能被突破而外泄出后台资料库的数据资料,包括帐号、密码、个人资料、交易资料等等,甚至网页遭致窜改或被植入恶意程式,危害到进入此网站的其他使用者。
《图三 自我防御网络强化电子商务安全流程图 》 | 数据源:思科Cisco Systems |
|
强化自我网路防御的方法
企业本身完全无法招架分散式阻断攻击(DDoS),就像山洪爆发只构筑高门前堤防根本无济于事一般。企业唯有从上游做好水土保持及疏导措施,才能有效防范洪灾,因此解决之道是在上游的ISP建置异常流量侦测与防御机制,透过资安厂商所提供的解决方案,可有效侦测过滤异常流量,将DDoS Traffic在内部网路境外彻底消灭。
强化Web Server可以从强化作业系统、网页伺服器程式及网页应用程式着手。强化作业系统与网页伺服器程式除了更新修复档、执行扫毒软体及更新定义档之外,对于多变化的攻击型态,还需要有具备侦查防止异常现象的机制,以阻挡新的威胁攻击( Day Zero Attack),例如Cisco 的Security Agent便可以阻挡异常植入执行或服务开启的程式。
至于在网页伺服器程式与网页程式码的漏洞,理应从程式的安全稽核着手,但只有少数的企业,会建制专人详细检查程式安全并修补漏洞。因此网页应用程式防火墙(Web Application Firewall;WAF)产品便应运而生,像是Cisco AVS (Application Velocity System)可放置于Web Server前端,即时检查调校网页的效能与安全,提升网页效率,类似像SQL Injection、Cross-Site Scripting、Command Injection、Cookie/Session Poisoning、Application Reconnaissance 、 LDAP Injection Buffer Overflows、Directory Traversals、Attack Obfuscation、Application Platform Exploits、Zero Day Attacks、Cookie Poisoning、Parameter Tampering等复杂的网页攻击程式,都难以逃过Cisco AVS网页应用程式防火墙的封杀。
产品规格实例
以上所提,只是电子商务弱点及威胁的一小部分,相关因应之道与功能内容的解决方案,可以下列产品实例为代表。
(表一) 因应电子商务的弱点威胁提出的防御技术与解决方案一览表 <资料来源:思科Cisco Systems>
威胁 弱点 |
技术 |
解决方案 |
资料外泄 |
SSL, IPSec封包加密 |
ASA, 6500 Service Module, Router |
假冒身份 |
Certificate, multi-factor 认证 |
ACS |
用户端不安全 |
NAC(Network Admission Control网路存取限制) |
NAC Appliance |
作业系统漏洞 |
Host Intrusion protection |
CSA |
恶意程式入侵 |
IPS, UTM(Unified Threat Management) |
ASA, 6500 Service Module |
网页网站漏洞 |
Web Application Firewall, Host Intrusion protection |
AVS, CSA |
分散式阻断攻击 |
DDoS 异常流量分析、阻挡 |
Guard/Detector |
安全讯息太多无法处理 |
SIMS (Security Information Management System) |
CS-MARS |
安全设备管理负担太重 |
Centralized Device Management |
Cisco Security Manager |
结语
电子商务解决方案是强化电子商务安全的利器,能让资安工作更有效率,但是若要提升资安维护品质,强化人员的训练、设计周详的流程与挑选适当的自我防御网路工具,这三样缺一不可。自我防御网路架构若能协助企业强化电子商务安全,建构起安全的网路环境,便能让电子商务发展无后顾之忧! (作者为思科系统Cisco Systems产品技术经理)
<注:参考资料:思科自我防御网路参考连结:http://www.cisco.com/en/US/netsol/ns170/networking_solutions_products_generic_content0900aecd80511fa4.html>