作者:丁偉峰顧問

(接續上篇:資安風暴(上)~駭客與詐欺者聯手,知名網站受害)

資安,許多人認為網站內部人員「內神通外鬼」、「人謀不臧」是肇禍的主因。這種案例當然也曾發生過(例如某購物台離職員工盜賣客戶資料近日被捕)。但我們認為大多數的網站都有內控機制,尤其會以限縮權限方式,限制員工總覽客戶資料。而且任何以「管理者」帳號登入網站後台的操作,都會被一一記錄,極易追查,員工盜取資料風險代價不小。再者,這波資安風暴不只單一個案發生,幾乎是「全面性」的遭受侵入,多個網站員工幾乎同時犯案的可能性不高。

資安,其其實,許多大型網站開站迄今超過七年以上,在當時所用的程式語言大多是「第一代」的網路系統語言,皆以功能完整、齊全為開發導向,在當時駭客橫行不多的環境中,遭受挑戰考驗的機會也少,第一代的程式語言自然比較少顧及安全性防堵的功能,可以說是存在著一些先天的缺陷或漏洞。駭客不需測試登入帳號、密碼,直接偵測網頁尋找漏洞即可竄入資料庫,可說是「來去無蹤」。

資安,有鑑於此,程式系統語言開發公司四年前開始推出「第二代」網站系統語言,不但使系統功能更強,並已將漏洞修補。廠商大力推廣取代舊一代的程式語言,但由於原網站若要更換為新程式語言,幾乎「全站」所有程式都必須一一重新製作、替換,不但耗時而且耗費鉅資,程式維護相關人員也必須接受昂貴訓練,才能提升撰寫與維護能力,工程非常浩大。所以迄今,仍有許多網站未全面更換程式語言。

資安,再者,利用免費自由程式語言撰寫的系統程式,更沒有統一的服務廠商,可以提供安全性提升的標準元件與支援,防堵駭客的技術更需要耗費成本自行開發,難度不小,所以駭客仍有可乘之機。

資安,既然內賊、外賊難防,除了前述限定錯誤登入次數、限縮員工管理權限以及全面升級程式語言之外,還有哪些防堵策略?以下提供某些高階網站的防堵策略,供讀者參考:

策略一:既然駭客可能趁隙而入,不如讓他取得無法解讀的東西吧。

資安,方法:將客戶資料庫中某些重要欄位(例如詐騙集團最需要的「客戶電話」)予以「加密」成為符號編碼,讓內部員工與入侵者複製資料庫時,只能「撈到」無用的 資料。當會員自行查詢或客服人員個別查詢時,再一一「解密」還原才能閱讀使用。

策略二:既然門戶有洞,何不將資料放入第二層、第三層保管箱中?

資安,方法:重要欄位加密之後,再將加密的編碼資料故意拆分為二,分別存放公司內部不同的資料庫內,與網站資料庫分隔。並鎖定內部讀取資料筆數、閘道、帳號、密碼與IP...等等。如此,就像內部第二層、第三層保險箱一樣,縱使網站(大門)有漏洞易遭竄入,重要資料也不會輕易被竊。

資安,當然,這樣的作法在資料使用時會比較麻煩,資料分地讀取、拼湊還原再解密會多耗時,也會耗費系統資源,但多層保障,就能多分安全。

資安,提出以上意見,就教各位先進。

網際時代_Web-Time偉博泰電子商務(股)公司,提供您台灣與大陸網路行銷、電子商務、網路開店、拍賣所需所有規劃服務與系統工具
寶島發
關於我們 RWD版 行動商務 網路法律 行銷列表 媒體報導 電子報 顧問講師 聯絡我們 加入會員 會員登入
 
EC時報論壇>>文章分類(會員管理) (網站經營)

資訊安全風暴(下):防堵會員客戶資料外洩的幾個策略

 

作者:丁偉峰顧問

(接續上篇:資安風暴(上)~駭客與詐欺者聯手,知名網站受害)

資安,許多人認為網站內部人員「內神通外鬼」、「人謀不臧」是肇禍的主因。這種案例當然也曾發生過(例如某購物台離職員工盜賣客戶資料近日被捕)。但我們認為大多數的網站都有內控機制,尤其會以限縮權限方式,限制員工總覽客戶資料。而且任何以「管理者」帳號登入網站後台的操作,都會被一一記錄,極易追查,員工盜取資料風險代價不小。再者,這波資安風暴不只單一個案發生,幾乎是「全面性」的遭受侵入,多個網站員工幾乎同時犯案的可能性不高。

資安,其其實,許多大型網站開站迄今超過七年以上,在當時所用的程式語言大多是「第一代」的網路系統語言,皆以功能完整、齊全為開發導向,在當時駭客橫行不多的環境中,遭受挑戰考驗的機會也少,第一代的程式語言自然比較少顧及安全性防堵的功能,可以說是存在著一些先天的缺陷或漏洞。駭客不需測試登入帳號、密碼,直接偵測網頁尋找漏洞即可竄入資料庫,可說是「來去無蹤」。

資安,有鑑於此,程式系統語言開發公司四年前開始推出「第二代」網站系統語言,不但使系統功能更強,並已將漏洞修補。廠商大力推廣取代舊一代的程式語言,但由於原網站若要更換為新程式語言,幾乎「全站」所有程式都必須一一重新製作、替換,不但耗時而且耗費鉅資,程式維護相關人員也必須接受昂貴訓練,才能提升撰寫與維護能力,工程非常浩大。所以迄今,仍有許多網站未全面更換程式語言。

資安,再者,利用免費自由程式語言撰寫的系統程式,更沒有統一的服務廠商,可以提供安全性提升的標準元件與支援,防堵駭客的技術更需要耗費成本自行開發,難度不小,所以駭客仍有可乘之機。

資安,既然內賊、外賊難防,除了前述限定錯誤登入次數、限縮員工管理權限以及全面升級程式語言之外,還有哪些防堵策略?以下提供某些高階網站的防堵策略,供讀者參考:

策略一:既然駭客可能趁隙而入,不如讓他取得無法解讀的東西吧。

資安,方法:將客戶資料庫中某些重要欄位(例如詐騙集團最需要的「客戶電話」)予以「加密」成為符號編碼,讓內部員工與入侵者複製資料庫時,只能「撈到」無用的 資料。當會員自行查詢或客服人員個別查詢時,再一一「解密」還原才能閱讀使用。

策略二:既然門戶有洞,何不將資料放入第二層、第三層保管箱中?

資安,方法:重要欄位加密之後,再將加密的編碼資料故意拆分為二,分別存放公司內部不同的資料庫內,與網站資料庫分隔。並鎖定內部讀取資料筆數、閘道、帳號、密碼與IP...等等。如此,就像內部第二層、第三層保險箱一樣,縱使網站(大門)有漏洞易遭竄入,重要資料也不會輕易被竊。

資安,當然,這樣的作法在資料使用時會比較麻煩,資料分地讀取、拼湊還原再解密會多耗時,也會耗費系統資源,但多層保障,就能多分安全。

資安,提出以上意見,就教各位先進。

更新日期:2010/9/28 發表日期:2008/1/22
轉載文章

最新文章
其他相關文章
會員管理(17)
網站經營(51)
推薦文章
   
全部文章:http://www.web-time.com.tw/ec.aspx

 
 
網路創業(35) 電子商務(86) 網路行銷(61)
網路法律(16) 網站經營(51) 網路拍賣(13)
跨境電商(19) 會員管理(17) 商品上架(15)
電商金流(17)
ATM
業界不願透露的排名真正技巧 SEO 業界不願透露的排名真正技巧 SEO

2015-08-27
資策會
「電商首部曲:電子商務通路差異分析」

2015-8-25
資策會
「電商首部曲:電子商務通路差異分析」

業界不願透露的排名真正技巧 SEO 業界不願透露的排名真正技巧 SEO

2015-04-11
全球電商奧斯卡-艾奇獎
上海頒獎現場

2015-07-30
台灣跨境電商模式、成功案例與跨境行銷分享

 

偉博泰電子商務顧問股份有限公司
Web Time網際時代台灣最成功的電子商務專家
電話:02-2766 3058 傳真:02-2761 3008
台北市(110)信義區基隆路一段141號5樓之8
本網站之著作權歸敝公司所有 未經授權不得轉載或節錄一部或全部之內容
聯絡我們    重要聲明
local

正官庄高麗蔘專賣店 華益養生館 www.easy-fun.com.tw