台铁抢票事件反应企业网站安全隐忧
文/高雅欣 (记者) 2006-01-26
http://www.ithome.com.tw/it...php?c=35225 阻断服务式攻击(DOS)通常会占用大量的系统资源与频宽,遭受攻击显示企业网站安全防御不足,要应付这类攻击,必须先加强用户的身分认证机制,以这次的事件来看,严谨的确认订票者身分,可以减少订票黄牛的产生。
台铁继去年发生中秋假期网路订票的「抢票」事件让网站瘫痪后,日前开放春节假日线上订票时,又再次发生语音订票系统与网站同时瘫痪的事件,台铁与委外厂商中华电信也无法确定事发原因,只表示网站的确遭到入侵,相关案情目前仍不明朗,检调单位还在调查当中。
至于去年的事件,经调查局发现是有人自创一个订票外挂程式,并在部落格上「免费分享」,因此导致系统瘫痪,另外,还有内部人员利用这个外挂程式帮亲友订票,目前已经有多名台铁内部人员遭到移送。不管是因为网站遭到入侵还是内贼所为,都显示企业官方网站与电子商务的管理与安全。
DOS攻击,需掌握攻击行为模式
台湾组合国际(CA)技术顾问林嘉宏表示,台铁订票系统第一次是因为骇客以懒人订票系统瘫痪,这个程式8小时之内可以提供用户9999次的订票,足以塞爆系统并导致服务异常,所以一般民众根本无法正常订票,今年1月初的第2次事件,则是遭人以my.explor.exe程式瘫痪系统。两次事件都是持续性的输入购票人资料,以约5秒的间隔时间对系统进行攻击。
阻断服务式攻击(DOS)通常会占用大量的系统资源与频宽,林嘉宏建议,遭受攻击显示企业网站安全防御不足,要应付这类攻击,必须先加强用户的身分认证机制,以这次的事件来看,严谨的确认订票者身分,可以减少订票黄牛的产生。这于这类应用程式的使用行为,也可以透过行为资料库的追踪分析,来降低风险性。
掌握IP来源,限制登入与存取次数
赛门铁克系统工程师王硕麒指出,企业网站要因应外来攻击,第一步必须加强入侵侦测与入侵防御的机制,尤其是异常行为模式的判断,企业可以根据自身需求发展出攻击特征资料库,来提升入侵侦测/入侵防御机制的效能。一旦发现异常行为,才能在第一时间反应,以降低损失。
另外,掌握IP来源也是一个好方法,严格规定一个IP进入系统的次数,以及能够订几张票。而企业内部的安全政策控管也很重要,为了防止「内贼」,明确规范员工的使用权限,并列出对应罚责。
企业可采用专业的网站维护服务
除此之外,企业还可以透过供应商提供的网站维护服务,像是CA提供的「网站不倒翁」服务,就是针对企业网站安全,整合身分管理与存取控制,并提供资料记录与管理、备分与还原,除了网站的系统防御与防骇,防止入侵与内容窜改,能够快速还原,事件记录也能作为日后举证使用。
预算较高的企业也可以采用资安监控中心服务(SOC),由专人对网站进行7X24小时的控管,事件一旦发生,就能够即时通报与回应。文⊙高雅欣
