以上這些採用各種惡意攻擊手法,入侵具有系統漏洞或是根本沒做好安全防護的網站,並在網頁中植入惡意程式,伺機竊取個人資料的手法,已經成為新一代的網路犯罪型態,例如以旅遊產業而言,在網站上大都提供了線上訂購旅遊行程等付款服務,如果業者沒有妥善的安全防護機制,在網頁中被植入了惡意程式連結,當使用者利用瀏覽器進入了網站,查看旅遊行程並且利用線上刷卡付款時,很可能就會被偷偷地安裝了木馬程式,而導致個人資訊像是帳號、密碼和信用卡號等資料外洩。
PCI-DSS資料安全標準簡介
有效維護網頁安全,對於提供線上交易服務的業者而言,絕對是責無旁貸的必要工作,因為一旦發生資料被竊事件,除了嚴重打擊業者商譽之外,如果消費者因此而對網路交易機制失去信心,受害的將是所有提供電子商務服務的業者。
目前,由American Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International等五家知名的電子付款與信用卡業者所共同組成的PCI Security Standards Council,即制定了「支付卡行業資料安全標準(PCI Data Security Standard;PCI-DSS)」,此一提供給全球產業共同遵守的資料安全標準,要求所有提供信用卡服務的商店,在儲存、處理與傳遞持卡人資料時,必須要有符合要求的安全控制措施。
在PCI-DSS V1.1版中,一共分為6大類12項基本要求,這些要求可用來審視網站的安全機制,用以保障持卡人的帳戶及交易資料安全,條文內容說明如下:
一、建立並維護安全的網路
雖然,PCI-DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,但是個人認為目前全球適用的資安標準法規中,以PCI-DSS標準和網頁安全最為相關,因為PCI-DSS除了具備廣泛的資訊安全要求之外,更可作為網站服務業者加強網頁安全的實施參考,其中尤以標準中的第4項與第6項要求,可用來檢驗並加強網頁安全。
在第4項要求中,PCI-DSS要求必須針對透過公共網路傳送的持卡人資料及敏感資料加密,以防止資料在傳輸的過程中被截取竊聽,因此,網站必須提供SSL/TLS或IPSec等安全傳輸協定,並且針對所傳輸的資料進行加密,在這裡所指的公共網路,範圍包括了網際網路Internet、WiFi無線網路、行動電話GSM系統與GPRS無線傳輸服務。
另外,在第6項「發展及維護安全系統和應用程式」要求中,PCI-DSS標準條文對於網頁安全還有以下的細項要求:
除了以上針對網頁應用安全的要求之外,隨著新的弱點與攻擊手法不斷出現,PCI-DSS標準中也要求系統必須接受定期的安全測試,以確保安全性不會因為時間或是軟體變更的關係而受到影響,換句話說,針對網頁安全,至少每年都必須要執行一次滲透測試,以確保系統的安全無虞,而且也要部署常駐的關鍵檔案監控軟體,一旦發現網頁檔案遭到竄改更動,就能立即主動發出警訊通知,使相關管理人員可以在第一時間內進行處置,以避免重大資安事件的發生。
最後,無論是在PCI-DSS標準或是資訊安全管理系統的最佳實務ISO 27001標準中,都強調企業組織必須要建立一個資訊安全政策,只有透過管理高層的發布重視,讓所有員工了解資訊安全的重要性,以及必須承擔的保護責任,才能真正地落實資訊安全;也唯有妥善運作的安全團隊和明確的資訊安全責任定義,才能將企業組織可能面臨的營運風險降至最低,並且保障所有使用者的權益。(本文刊載於2007年iThome資安專刊)
- 要求1:安裝並且維護防火牆配置以保護持卡人資料
- 要求2:不可使用供應商提供的原廠設定值作為系統密碼及其他的安全參數
- 要求3:保護儲存的持卡人資料
- 要求4:將透過公共網路傳送的持卡人資料及敏感資料加密
- 要求5:使用防毒軟體並應經常更新程式及病毒碼
- 要求6:發展及維護安全系統和應用程式
- 要求7:根據業務需要限制對於持卡人資料的存取
- 要求8:對於進行電腦存取的每一個人只賦予唯一的ID
- 要求9:限制對持卡人資料進行實體存取
- 要求10:追蹤並監控對網路資源及持卡人資料所進行的所有存取
- 要求11:定期測試安全系統及流程
- 要求12:實施並維護一個資訊安全政策
雖然,PCI-DSS標準所要求的對象是支付卡相關產業,目的是為了要保護電子商務交易的資料安全,但是個人認為目前全球適用的資安標準法規中,以PCI-DSS標準和網頁安全最為相關,因為PCI-DSS除了具備廣泛的資訊安全要求之外,更可作為網站服務業者加強網頁安全的實施參考,其中尤以標準中的第4項與第6項要求,可用來檢驗並加強網頁安全。
在第4項要求中,PCI-DSS要求必須針對透過公共網路傳送的持卡人資料及敏感資料加密,以防止資料在傳輸的過程中被截取竊聽,因此,網站必須提供SSL/TLS或IPSec等安全傳輸協定,並且針對所傳輸的資料進行加密,在這裡所指的公共網路,範圍包括了網際網路Internet、WiFi無線網路、行動電話GSM系統與GPRS無線傳輸服務。
另外,在第6項「發展及維護安全系統和應用程式」要求中,PCI-DSS標準條文對於網頁安全還有以下的細項要求:
- 必須確保所有系統與軟體都已安裝了最新的安全更新程式,在軟體供應商發布了安全修補檔(Patch)之後,最遲必須在一個月內完成安裝各項更新。
- 業者必須建立一套流程來確認及發現安全弱點,例如接收軟體供應商最新的安全預警訊息,根據其所發布的弱點進行系統相關的更新,而此一流程需要有完整的文件記錄。
- 要求業者必須根據安全業界最佳實務,來發展應用系統安全開發流程,例如在開發流程中導入Security Development Life Cycle(SDLC),以確保在應用程式開發過程之中,每個階段都能結合安全性的要求。
- 一旦系統或軟體的配置需要更改,所有變更必須要遵循變更管理流程,像是已獲得高層的授權、經過回復測試,並且有完整的過程記錄。
- 依據OWASP發展安全的網頁應用程式(Web Application)指引,必須確保應用程式碼沒有常見的安全弱點問題,像是無效輸入問題、跨網站腳本攻擊(XSS)、緩衝區溢位、SQL Injection資料隱碼攻擊、不當的錯誤訊息處理、DOS阻絕攻擊和不安全的系統配置等。
- 必須確保網頁應用服務足以防護已知的入侵或攻擊手法,例如通過滲透測試(黑箱測試)與原始碼審查(白箱測試)的驗證,以及在網路伺服器前安裝應用層防火牆(Application firewall)等。
除了以上針對網頁應用安全的要求之外,隨著新的弱點與攻擊手法不斷出現,PCI-DSS標準中也要求系統必須接受定期的安全測試,以確保安全性不會因為時間或是軟體變更的關係而受到影響,換句話說,針對網頁安全,至少每年都必須要執行一次滲透測試,以確保系統的安全無虞,而且也要部署常駐的關鍵檔案監控軟體,一旦發現網頁檔案遭到竄改更動,就能立即主動發出警訊通知,使相關管理人員可以在第一時間內進行處置,以避免重大資安事件的發生。
最後,無論是在PCI-DSS標準或是資訊安全管理系統的最佳實務ISO 27001標準中,都強調企業組織必須要建立一個資訊安全政策,只有透過管理高層的發布重視,讓所有員工了解資訊安全的重要性,以及必須承擔的保護責任,才能真正地落實資訊安全;也唯有妥善運作的安全團隊和明確的資訊安全責任定義,才能將企業組織可能面臨的營運風險降至最低,並且保障所有使用者的權益。(本文刊載於2007年iThome資安專刊)
沒有留言:
張貼留言