線上購物網站的安全到底出了什麼問題

刑事警察局最新發布的網路詐騙統計中顯示，去年1～8月累計的詐騙金額超過3億1千餘萬元，受害人數超過萬人，其中大多數情況，都是這類因為個人帳號與交易資料外洩引起的詐騙案件。其中多家大型線上購物網站，不論實際外洩情節輕重、或僅發生關連但外洩原因不明等情況，刑事警察局都在網頁通報中一一點名，希望能提高使用者的警覺心，來避免持續的金錢損失發生。



6大類常見線上購物網站安全危險
2007年發生多起線上購物網站的安全事件，發生問題的環節可歸納成6大類，從電子商務網站本身各層面的問題，到使用者端的環境，甚至是上下游相關產業或關連網站，都會威脅到線上購物網站的安全。

網路交易到底安不安全呢？
刑事警察局「165週報」發布的統計數據顯示，臺灣開始出現大量網路詐騙事件，是從2006年底開始，到2007年1月達到高峰。這時期的案件多數是利用使用者對網路交易的陌生和信賴感，謊稱ATM轉帳錯誤，來誘騙買家重複匯款。但到了2007年4月後，刑事警察局發現網路詐騙手法開始轉變，開始出現盜用帳號或者盜用交易資料的詐騙案件，例如冒用聲譽良好的賣家帳號，提供假交易。

露天拍賣從開發流程和制度落實安全
滿1歲的露天拍賣，在系統開發的流程上，已經陸續修補了Cookie安全性問題，和常見的XSS（Cross Site Script，跨站攻擊）以及SQL Injection（隱碼攻擊）等問題。此外IT部門也成立資安專責小組填補漏洞，負責維護系統安全；另有交易安全小組，預防網路詐騙。

直擊PayEasy購物網站的安全作法
看PayEasy怎麼面對中國大陸詐騙集團鎖定比對數千名會員帳號的危機處理，帶你深入PayEasy內部一探網站安全防護要做到什麼程度

4大手法強化網站安全
手法1：強化軟體開發流程
強化軟體開發流程可以從人員安全訓練，開發流程安全機制以及程式碼安全品管入手。而滲透測試以及原始碼檢測，是最常使用的兩種網站安全檢測方式，主要能尋找出網站有哪些漏洞或程式碼問題。多數企業受限於經費，往往從中選擇出一種測試方法，其實，兩種方式採取相反的檢測思維，搭配使用，能夠相互彌補彼此的缺點。

手法2：用架構與權限來控管安全
透過系統架構的隔離，強化功能的權限控管，可以建立網站防護的縱深，縮小安全威脅的打擊面。除了針對網站功能的重點項目加強以外，還需要特別檢視容易疏於防護的地方，包括網站配置以及例外處理。

手法3：用資安防護產品爭取時效
資安防護產品可以第一時間發現網站漏洞，防堵惡意攻擊，爭取修補網站程式防禦碼的時間，也可以避免損失繼續擴大。防禦硬體方面，除了網路安全設備可以提供網路環境的保護之外，針對網站的防禦，主要是網站應用程式防火牆（Web Application Firewall，WAF)，能同時保護網站與使用者。

手法4：將使用者納入網站安全防護圈
使用者的安全是網站安全的最後一哩，網站業者必須將使用者納入防護，才能建構完整的網站防護圈。雖然不論是安裝防護程式，或者是使用一次性密碼的方式，都會造成使用者的不便，但是，陳彥銘表示：「不能一昧考慮使用者的方便性，必須在安全性和方便性之間取得平衡。」6大類常見線上購物網站安全危險

網路交易到底安不安全呢？

線上購物網站的安全事件不斷，不論使用者或業者都無法有效遏止，到底發生了什麼事？網路交易到底安不安全呢？
去年全球各地發生網頁資料外洩的事件，臺灣也不例外。尤其是線上購物網站傳出的災情甚為嚴重，幾乎臺灣前十大大型線上購物網站，超過一半也傳出因使用者資料外洩引起的網路詐騙案件。詐騙電話不僅能知道你的姓名、電話、住址等個人資料，甚至連你什麼時候買了什麼東西，花了多少錢都一清二楚。顧客很容易就信以為真，進一步配合對方匯款或是提供信用卡資訊，造成大量金錢損失，甚至連續受騙。

刑事警察局最新發布的網路詐騙統計中顯示，去年1～8月累計的詐騙金額超過3億1千餘萬元，受害人數超過萬人，其中大多數情況，都是這類因為個人帳號與交易資料外洩引起的詐騙案件。

到2007年底，線上購物網站安全事件更為嚴重，刑事警察局為了能即時對消費者提出預警，直接對外公布發生疑似安全問題的網站名單。不論是知名拍賣網站（雅虎拍賣網、露天拍賣），主流網路書店業者（博客來網路書店、金石堂網路書店）、購物平臺（PayEasy、東森電視購物頻道、MOMO電視購物頻道）等多家大型線上購物網站，不論實際外洩情節輕重、或僅發生關連但外洩原因不明等情況，刑事警察局都在網頁通報中一一點名，希望能提高使用者的警覺心，來避免持續的金錢損失發生。

資安問題層出不窮，原因錯綜複雜
雖然交易資料外洩的事件頻傳，但是發生問題的原因卻眾說紛紜。
部分業者可能是怕影響信譽，低調不願全盤拖出。或是線上購物業者也無法追溯實際情況，只能不斷針對可能的漏洞提出防護。顧客無法判斷洩漏的來源，更是直接懷疑使用過的每一個線上購物網站。這些撲朔迷離的解釋或漫無止境的懷疑，只是讓顧客對線上購物的交易信心更為薄弱，重重的打擊了臺灣線上購物網站的營運。

露天拍賣營運長葉奇鑫表示：「安全事件流失的顧客，至少得花5倍的成本才能找回。」

若從實際詐騙案件來追溯可能原因，根據刑事警察局「165週報」發布的統計數據顯示，臺灣開始出現大量網路詐騙事件，是從2006年底開始，到2007年1月達到高峰。這時期的案件多數是利用使用者對網路交易的陌生和信賴感，謊稱ATM轉帳錯誤，來誘騙買家重複匯款。但到了2007年4月後，刑事警察局發現網路詐騙手法開始轉變，開始出現盜用帳號或者盜用交易資料的詐騙案件，例如冒用聲譽良好的賣家帳號，提供假交易，或是盜用交易資料，偽裝業者來騙取顧客將金錢匯入問題帳戶。

除了詐騙手法的改變反映出開始出現交易資料外洩的問題，2007年第二波網路詐騙案件，在規模上，每月累計的詐騙金額暴增一倍，2007年8月分單月高達7348萬元，案件數也超過1千件。更有大量詐騙案件，整批集中在特定線上購物網站的趨勢，顯示出不僅是特定帳號發生資料外洩事件，更可能是線上購物網站發生漏洞，導致整批資料大量外洩的情況。

到底線上購物網站發生了什麼事？中華電信資安辦公室資安技術研發組組長李倫銓表示：「線上購物網站的資安問題，錯綜複雜，不論網站或使用者都有可能出問題。」

使用者端資料外洩的問題嚴重
的確，資料外洩並非是從線上購物網站出現才開始，有心人士早就開始透過各種管道蒐集大量的個人身分資料庫。網駭科技創辦人徐千洋表示：「嚴重到彷彿有一個地下戶政事務所的機構，蒐集了上百萬人的各種個人資訊。」除了一些常見的基本資料等，可能連曾經用過的帳號密碼資料都被竊取。

最常見的竊取手法是直接向使用者偷資料。因為這個方式竊取到的是正確的使用者帳號密碼，當駭客要冒用帳號登入網站時，線上購物網站很難分辨真偽，一樣會給予合法的使用權限。過去常見的方式例如透過如釣魚郵件提供偽造的銀行網站或線上購物網站，騙取使用者輸入正確的帳號密碼。

近兩年來新興的方式則是透過惡意網頁、MSN、電子郵件附件或是隨身碟病毒感染的方式，將惡意程式，植入使用者的電腦中。當使用者登入線上購物網站時，惡意程式會從旁偷偷記錄帳號密碼資訊，再透過網路傳回駭客的資料庫中。尤其是大多數使用者為了便於記憶，會使用較簡單的密碼，或者多個帳號都使用相同密碼。讓駭客更容易在取得一組密碼後，能夠通行於多個帳號，造成連坐損失。

與使用者端的問題相比，線上購物網站資料外洩的危害程度不同，可能被入侵一次，就會造成成千上萬的使用者資料外洩。即使發生頻率較少，但造成的影響卻很大。但是臺灣線上購物網站往往受限於市場規模有限，葉奇鑫表示：「為了求生存，線上購物網站多半先注重業務面或產品面的功能，後來才能開始重視安全。」敦揚科技資安顧問楊伯瀚認為：「這種先求功能性，再求安全性的做法，會同時爆發不同層面的安全問題。」因此，要了解線上購物網站的問題，必須從整體架構區分不同的層面來看。

若從線上購物網站的整體結構來區分，可以從4個層面，來看網站安全的問題，包括接觸到網站的人員、網站本身、網站底層的系統（或伺服器）以及網站所處的網路環境。

人員訓練不足，網站功能不夠嚴謹
第一項人員層面的問題，最常見是開發人員的資安意識不足。精誠資訊網站加值事業處資深處長廖維欣表示：「開發人員缺乏資安訓練，很容易寫出不安全的程式碼，不論資深資淺都有同樣的問題。」她解釋，資淺人員可能因為學校的程式設計課程不重視安全開發的訓練，加上開發經驗不夠，寫出的程式碼容易有漏洞而不自覺。而資深人員則是容易習慣於使用過去已經寫好的程式碼或函式，可能以前未考慮到新的程式碼漏洞，同樣也會寫出不安全的程式碼。

如果又缺乏一套安全的開發規範，或者是在開發流程上，缺乏對程式安全品質的檢查，很容易就會開發出不安全的網站功能，增加日後被入侵的機會。尤其是對缺乏預算養開發人員的小型線上購物網站而言，李倫銓表示：「網站驗收人員經常只看功能，未要求安全品質。」更造成線上購物網站的安全品質良莠不齊。

人員層面的問題，除了開發人員以外，對網站營運人員的控管，是另外的潛在危險。網站營運人員，例如網管人員、客服人員等都能夠透過內部系統接觸到顧客資料，若是對使用權限控管不良，或者是資料存取的控管不嚴，可能都會造成資料有意無意間的洩漏。甚至有權取得資料的營運人員，若缺乏適當的稽核或監控措施，也能私自竊取顧客資料移作非法使用，去年就曾爆發過網站內部主管竊取資料的案件。人員是線上購物網站的第一層危險。

網站本身的功能是第二個危險的地方。除了因為開發人員訓練不足，造成網站漏洞，沒有發現以外，有時是功能或流程設計的流程錯誤，使得有心人士，可以合法的不當使用網站，竊取到資料。

McAfee美國西北區顧問經理陳彥銘表示：「網站功能中，有6種類型，如果設計不嚴謹，容易造成安全問題。」他解釋這6種包括網站配置（Configuration）、身分驗證（Authentication）、網頁授權（Authority）、資料確認（Data Validation）、資料保護（Data Protection）以及例外處理。

底層系統、內部網路與關連網站的安全容易被忽略
除了使用者、網站人員，以及網站功能外，還有兩類過去常見的資安問題，一類發生在是支撐網站應用程式執行的底層系統，包括作業系統、伺服器等，這是過去常發生駭客入侵問題的所在。但Web服務的盛行，以及網路防火牆產品的進展，使得外部入侵的管道，都集中到Web服務的層面，使得底層系統的安全問題較少發生。但是當網管人員過於重視Web功能的維護時，有時容易忽略了對底層系統的維護，例如沒有定期更新修補程式，或者安裝到有安全疑慮的舊版軟體，因此產生防護的空檔。相較於Web功能而言，這些底層系統的維護，是屬於能解決，但容易被忽略的一環。另外一類內部網路的漏洞也是如此，網管人員容易只關注在外部的入侵活動，而忽略了對內部網路的防禦，當內部電腦，中木馬程式時，反而可以長驅直入，成為駭客的入侵跳板。

上述從不同層面來剖析安全問題，除了使用者端的問題以外，多半都是線上購物網站能夠自行處理的環節。但是還有一個環節是線上購物網站會受到波及，但又難以觸及的環節，是來自關連網站的影響。PayEasy購物網站資訊部副總經理陳怡宏表示：「線上購物網站間的產業鍊關係很密切，也很脆弱，不論是水平的競爭網站，或是上下游的協力網站。有一家出事，很容易波及到其他人。」例如將產品交由下游物流業者派送時，業者對送貨單的查詢權限控管不嚴，造成顧客的交易資料外洩、或者是顧客使用的郵件遭入侵，網站與顧客往來的郵件遭竊取，進而洩漏交易資訊。因為目前線上購物產業還沒有一套共同安全標準，或是相關法律規定。陳怡宏認為只有經驗共享，才能共同提升產業鍊的安全，因此去年PayEasy遭受詐騙集團攻擊時，陳怡宏也願意將防護的經驗大方分享給其他網站，這個做法也獲得不少同業與顧客的肯定。

線上購物網站安全的挑戰來自多種不同的環節，單一點的防護，無法顧得周全，徐千洋表示：「網站安全必須是全方位的防護。」不少大型線上購物網站往往都會依據自己的網站功能、網路環境、預期的安全效益等特色，搭配不同防護做法，發展出專屬的全方位防護方式。接下來，我們將透過實際案例的剖析，介紹線上購物網站平常難得公開的整套安全防護作為，並進一步介紹常見的安全防護方法與設備，提供企業規畫自身線上購物整體防護計畫時的參考。文⊙王宏仁露天拍賣從開發流程和制度落實安全

身為國內網路拍賣市場後起之秀的露天拍賣，擁有eBay的國際經驗挹注，和PChome Online線上購物經驗的加持，在拍賣系統上線穩定的同時，就開始針對網站的各種安全性功能作補強。

露天拍賣營運長葉奇鑫表示：「滿1歲的露天拍賣，在系統開發的流程上，已經陸續修補了Cookie安全性問題，和常見的XSS（Cross Site Script，跨站攻擊）以及SQL Injection（隱碼攻擊）等資安漏洞。」

IT部門成立資安專責小組補漏洞
葉奇鑫說：「安全是露天拍賣的最後一道防線。」露天拍賣系統剛上線時，曾經面臨系統嚴重當機，甚至曾經發生系統大當機達5天之久。不過，「當露天拍賣網站系統邁向穩定營運後，就開始考量各種與資安相關的議題。」他說。

因為資安問題繁雜，除了IT部門平時負責的網路系統監控和一般安全防護與系統維運外，葉奇鑫指出，露天拍賣特別在IT部門中成立一個專責資安的底層小組。他進一步解釋，這個底層小組都是由最資深的工程師擔任，除了開發拍賣網站各種功能的安全模組外，最重要的任務之一就是，修補根據滲透測試（PT）提出的各種系統漏洞。

「線上購物網站的安全性，就如同皇后的貞操，不容有任何質疑。」葉奇鑫表示，安全沒做好，網站即使不會毀於一旦也會半毀，之後就得要要花5倍以上的成本和心力，恢復之前的信任。而且，「網站規模越大，要修正越難；資安越慢做，成本越高、難度也越高。」他說。

露天拍賣系統上線1年後，要修補SQL Injection的漏洞，就得動到200多支程式，系統陸續修補的同時，也透過加強監控方式，確保網站的安全性。

露天拍賣最引以為傲的事情，就是經營階層非常看重資訊安全，從葉奇鑫親自維護露天拍賣各種網站系統安全性修補的進度清單，並且每周二和底層小組同仁吃便當，確認漏洞修補進度，可以看出他對露天拍賣各種系統安全性的重視。

露天拍賣斥資百萬委由專業資安團隊，針對露天拍賣的網路系統做各種模擬攻擊、滲透測試，藉此找出系統的漏洞。葉奇鑫表示：「這種資安服務的錢，一點都不能省，」而底層資安小組就會針對資安服務團隊滲透測試做出來的系統弱點報告，進行系統弱點修補。露天拍賣已經先處理Cookie安全性問題並加入時間變數；也陸續修補XSS和SQL Injection漏洞，未來在考慮資料庫加密時，是自行開發或用現有的加密演算法，最遲4月完成。

從開發流程和人員訓練把關安全
「底層小組除了修補系統漏洞，也肩負開發網站模組功能。」葉奇鑫表示，就是從開發流程控管系統安全。日前上線的登入安全模組，就是底層小組開發上線的新系統，若需要修改到會員的個人資料，就得透過申請的第二層密碼才能修改。

為了遏止日益氾濫的iFrame惡意連結，「露天拍賣也禁止賣家使用任何Java Script或者是插入任何iFrame，只允許用最單純的HTML語法。」他說，因為線上購物網站的安全性是相當脆弱的，禁止某些功能只是為了讓網路環境更安全。露天拍賣也同時取得Verisign網站安全性憑證。

系統如何從開發流程確保安全，開發人員的再教育訓練是非常重要的。葉奇鑫表示，提供滲透測試的資安小組也會對開發人員進行教育訓練，透過反覆宣導安全的開發理念與流程，讓開發人員潛移默化的將安全列為開發時的必要條件。此外，陸續有一些線上購物網站在系統測試的環節中出錯，葉奇鑫強調，「露天拍賣的系統開發後，一定會在獨立的測試環境進行測試，測試完畢後才會正式上線。」而這測試環境是鎖內部IP和特定員工權限。

檢察官、律師出身的葉奇鑫，對於會員機密資料取得的流程和權限管控特別看重。露天拍賣只有少數的IT主管有存取資料庫的權限，其他部門若要取得任何會員資料，必需提出申請，核准之後才能取得會員機密資料。

承襲eBay傳統，設立交易安全部
由於露天拍賣有eBay的傳統，由前eBay交易安全長葉奇鑫擔任營運長的露天拍賣，也同樣設立一個交易安全部。露天拍賣交易安全部經理陳韻淑表示，交易安全部主要是防止駭客入侵、預防駭客竊取會員帳號、密碼等資料，以及預防網路詐欺等工作。她說：「目前露天拍賣比對刑事局報案資料和內部會員檢舉，詐欺率約為萬分之2，同eBay的標準，比信用卡還安全。」

陳韻淑表示，露天拍賣有一個詐欺偵測系統，主要是針對會員的檢舉，將可疑的帳號、刊登物品作過濾、分析，「會員檢舉一律在24小時內回覆。」她說，也會將檢舉內容納入詐欺偵測系統作資料採礦分析。另外，也會針對異常流量或可疑IP作監控、分析，若詐欺偵測系統偵測到可疑物品刊登，會經過人工判定，看是否真的是網路詐欺。葉奇鑫說，目前露天拍賣也和刑事局合作，若有可疑的IP或詐騙行為，都會納入詐欺偵測系統作分析。

臺灣線上購物網站的隱憂就是規模太小，缺乏經濟規模也難以形成安全規模。葉奇鑫坦白說道：「安全是有成本的，對營運規模已達一定程度的露天拍賣而言，保存Log檔（登錄檔）成本算低。」對於其他未達一定規模的線上購物網站而言，雖然委外是其中一種解決方案，「但越是核心系統，越應該掌握在自己手中。」葉奇鑫說。文⊙黃彥棻直擊PayEasy購物網站的安全作法

2007年12月11日上午 11點，擁有240萬名會員的PayEasy購物網站（康迅數位整合）發現來自中國福建廈門地區的IP，大量比對5千多個會員帳號的密碼，行逕疑似企圖竊取會員的個人資料。正在開主管會議的PayEasy資訊部副總經理陳怡宏，在接獲資訊部門回報後，立即通知總經理林坤正。

過了5分鐘，林坤正確定了危機處理流程，下令以確保會員帳號和資料安全性為第一優先，並拉高警戒層級。中午12點，資訊部門封鎖來自中國福建、廈門的5個可疑IP，並且凍結被惡意比對的5,467個會員帳號，使用者必須重新申請新的密碼才可使用。

中午12點30分，PayEasy確認了惡意攻擊的手法，立即清查受損害的範圍。下午1點，林坤正呈報康迅數位整合所屬母公司台新集團的長官，PayEasy並發簡訊給3萬9千位帳號曾經被比對過的會員，希望會員更新密碼。下午3點，PayEasy至刑事局偵九隊報案，並請求隔日與刑事局共同召開記者會。

不料，到了晚上7點，另一波來自中國的IP，又企圖比對會員帳戶，林坤正面臨擴大封鎖IP範圍的抉擇，晚上8點，在林坤正堅決全面封鎖中國IP的政策下達後，陳怡宏帶著資訊部門把中國的1千多個網段、1億多個IP位址全列入封鎖清單，並且啟動24小時全天候監控機制，避免攻擊者改換不同IP位置來入侵。

第2天，12月12日上午11點，PayEasy原本打算在刑事局召開記者會對外說明事件，但因刑事局未通知媒體採訪，延至下午召開。隔1個小時，中午12點，2位會員回報接到詐騙電話，其中1位會員甚至不在第一波5,467個會員名單中。

在此同時，林坤正決定正面與歹徒對抗，他召集全公司同仁，說明事件發生經過。緊接著，PayEasy在下午1點開始通知合作夥伴，包括200家供應商，以及100家合作的企業客戶，並且擴大通知會員的範圍，對曾經在3個月內有購物記錄的100萬名會員，發出簡訊通知。

晚上6點，PayEasy開始在網站的首頁及結帳頁面加註，提醒使用者注意，並於9點在首頁發表公開聲明，說明受到攻擊的過程，以及受損的範圍。

第3天，一大早新聞媒體即陸續出現報導，早上10點，PayEasy提供會員查詢介面，讓會員查詢其帳戶是否曾經被歹徒比對成功，協助會員判斷是否要更新密碼。

第4天，PayEasy開放詐騙回報專線，每天更新歹徒的詐騙話術。由會員的回報統計發現詐騙電話數量驟減，並且尚未有會員因而被詐騙成功。

事發第8天，12月17日，PayEasy接獲會員通報3通詐騙電話，發現這幾位客戶是使用同一家宅配物流公司，雖然該公司的配送單查詢系統已經在11月底關閉，但與線上購物同業比對，發現該宅配物流公司所處理的客戶訂單亦有回報詐騙電話。PayEasy因而緊急打電話聯絡3千位會員，發現有120位接到詐騙電話，於是立即製作3千封警示信函，以限時專送寄發通知會員。

2008年1月14日，PayEasy最後一次收到會員通報接到詐騙電話，並未造成任何損失，他們迄今尚未收到其他的詐騙通報。

林坤正表示，這次資安攻擊事件是中國福建廈門地區的詐騙集團，以1份事先取得的網路帳號、密碼的名單，透過這份名單比對PayEasy是否有使用相同帳號、密碼的會員，藉此取得購物明細以進行詐騙。他指出，中國駭客集團總共比對了39,000多筆會員帳號和密碼名單，大約有14％（將近5,500名會員）的名單和PayEasy會員所使用的帳號、密碼相同。

這是許多線上購物網路業者所面臨的難題。因為一般使用者習慣在多個網路服務使用同一組帳號密碼，一旦歹徒從某一個網站竊取到帳號密碼，就會拿這份名單去比對各大知名網站，企圖能順利登入，堂而皇之地取得個人資料。

PayEasy此次事件亦是面臨相同的難題，不過他們卻能正面迎戰危機，短時間內找到問題，並立即處置，隔離危機。陳怡宏表示，打從PayEasy一開始成立，總經理林坤正對於安全要求的程度可說是到達了「龜毛」的地步，不僅是公司一開張就全面採用指紋辨識門禁系統，2年半前更全面重新打造IT架構，為今天的安全防護打下良好的基礎。要了解PayEasy是怎麼做到的，就讓我們一起走進他們的辦公室。

落實權限控管，徹底做到實體與網路隔離
走進PayEasy的辦公室，任何人都會發現一個怪異的設計，在半開放式的辦公室中，有一間大約只有3坪大、密閉隔間的神秘小房間，門口還放了一個指紋辨識器。陳怡宏說，這一間是IT監控室，只有這裡的電腦是直接連線機房的資料庫，如果其他部門要申請取得客戶重要資料，再經過部門主管、資訊部主管及總經理的批准後，才可由資料庫管理員在IT監控室內存取資料，而且整個房間都被錄影監控。PayEasy資訊部經理林淑玲表示，這間IT監控室只有3個人的指紋可以進入，而總經理就是系統管理員。

PayEasy的前身是台新信用卡的子網站，針對所有資料都有制訂機密等級的分類，陳怡宏說：「當機密等級出來後，就知道誰有權限可以存取哪些機密資料，隨後的資料保護措施、人員存取權限就會隨之確立。」目前PayEasy針對會員帳號、密碼、姓名等重要資料採取加密保護，若需保管原始資料或檔案，則以AES 256位元加密。

陳怡宏透過系統嚴格控管員工存取資料的等級，而有權存取客戶重要資料的部門，更要進一步做到網路隔離與實體隔離。之所以要這麼隔離特定員工的電腦，為的就是避免有權存取機密資料員工的電腦，遭到特定的魚叉式攻擊──先透過控制內部員工電腦，以此為跳板再進而入侵資料庫系統。

像是必須存取客戶資料的客服部門，不只是採用隔離的網段，客服人員的電腦也無法使用任何USB裝置及外接式儲存設備。對於也能接觸到資料的IT部門，PayEasy機房人員則是清一色使用精簡型電腦（Thin Client）。

經過這一次的資安事件後，PayEasy公共事務推展部協理陳中興表示，內部申請客戶資料的管控流程又比以前更加嚴謹，除了特定部門外，其他的部門申請客戶資料，都不能取得客戶身分證字號、電話和地址。

打造IT架構的防禦縱深
2年半前，PayEasy重新架構核心系統成4層架構，陳怡宏說：「這是一個重要的里程碑。」有彈性的IT架構，才能貫徹以保護客戶資料為核心的決定。

陳怡宏所規畫的4層IT架構，最底層的核心是資料庫，上一層是Java EJB（Enterprise Java Bean）中介層，任何應用程式的呼叫或執行，都必須透過EJB來執行，再上一層就是Web的前端應用程式，最上層則是Web。

陳怡宏指出，因為資料庫是所有IT架構的核心，除了機密資料加密之外，所有的欄位都必須獨立並分割，而所有應用程式要存取相關資料庫資料時，都必須透過EJB執行。透過EJB把資料庫的資料包裝成資料物件，程式可以用物件化方式去控制資料物件，而不是直接就以SQL語法查詢資料庫。

現在很多線上購物網站因為資料庫容易被插入其他的資料庫控制語法，造成SQL Injection的資安威脅。陳怡宏說：「因為程式要存取資料庫都必須透過EJB呼叫或執行，反而讓常見的SQL Injection沒有爆發的機會。」

雖然新架構可減少直接的威脅，但陳怡宏對於網站安全的關注仍未間斷。他為了再提升網站安全，已經評估HDIV（HTTP Data Integrity Validator，HTTP資料完整性驗證器）超過半年。他說：「未來會把HDIV放在IT架構的底層，作所有授權的安全驗證，資料的安全性驗證，Session管理等等，」透過對資料完整性的驗證，進一步做到對Apache網站的安全規範。

從2007年下半年開始，出現的幾波線上購物網站疑似個人資料外洩的案例中，PayEasy目前是唯一一個在第一時間就報警、並對客戶主動公開受害狀況的線上購物網站。

根據側面了解，事發時，PayEasy的營收立即降3成，對業務造成直接的衝擊。不過，劉中興說：「PayEasy積極保障客戶資料的作法，後續出現良性的發酵，這一次農曆春節，PayEasy營收比去年同期成長3成以上。」從這裡也可以證明，客戶資料保護可以是一個正面的良性循環。文⊙黃彥棻

手法1：強化軟體開發流程

線上購物網站的開發階段是解決安全問題最好的時機。敦揚科技資安顧問楊伯瀚表示：「相較於事後購買各種設備來防禦，開發階段就找出問題，修改的成本可以低很多。」許多線上購物網站常見的安全問題，例如OWASP2007年十大常見網站問題，多數能夠都在開發階段發現，並且得到解決。

先從開發團隊的資安訓練著手
要開發出安全品質高的程式碼，首先要先從開發團隊的資安訓練著手。對開發人員而言，解決造成資安問題的程式漏洞，並非是難事，通常只要知道那邊的程式有問題，就能夠知道如何修改。困難的地方是，開發人員通常不容易曉得自己寫的程式是不是會造成安全上的漏洞。

儘管SQL Injection的問題只需一點時間，就能學會解決方法，為什麼但是臺灣這類問題仍舊層出不窮？因為一般學校的資訊工程教育或程式設計課程，多強調如何實現各種需要的功能，甚少教導學生如何撰寫安全的程式碼。更何況，臺灣許多從事網頁程式設計的開發人員，多半是靠書本自學，程式設計教材或範例程式，也幾乎不會探討到如何撰寫安全的程式碼。必須針對開發人員提供資訊安全的訓練課程，開發人員才有機會學會安全程式開發的經驗。

臺灣目前大型的線上購物網站，多數都會聘請資安顧問來進行安全開發的教育訓練，而小型的企業則會因預算不足而多未注意。實際上資安訓練的費用並不高，訓練次數也不需很頻繁。中華電信資安辦公室資安技術研發組組長李倫銓表示：「一年一次資安課程，了解一般常見的攻擊手法和解決方法，再請資安專家針對企業網站環境，列出容易遇到的攻擊方式，這樣就足夠了。」軟體開發廠商精誠資訊還會特別針對不同的開發角色，提供不同的層次的安全訓練，例如針對系統設計人員，提供架構規畫層面的課程。

開發流程中增加安全機制
不過，完成開發人員的資安訓練後，不見得能徹底解決開發端的安全問題。Mcafee美國西北區顧問經理陳彥銘建議：「在開發流程中增加安全機制，可以提高安全品質。」他解釋安全機制例如建立開發的安全規範、提供安全查核清單，增加網站安全測試等措施都有助確保程式品質，即使開發人員不小心寫出有問題的程式碼，也能及早發現。

精誠資訊網站加值事業處資深處長廖維欣表示：「研考會正在制訂《Web應用程式安全參考指引》，作為政府機構開發網站時的安全依據。」雖然這套指引還是草案版本，她認為也值得企業參考。IBM全球資訊科技服務事業部經理游建業建議開發規範也可以參考支付卡產業安全標準（PCI），他表示：「PCI對於開發架構的建置與資料保護的規畫，也相當嚴謹」

採用原始碼檢測發現問題
除了強化人員訓練和開發流程的安全機制之外，在開發階段還可以採用自動化的原始碼檢測軟體，來發現程式碼的漏洞或安全問題。阿碼科技的CodeSecure或叡揚資訊代理的Fortify SCA均是這類工具軟體。原始碼檢測工具以避免漏報為目的，透過對網站原始碼的檢查，盡量找出程式設計的可能問題，並且能指出有問題的程式碼位置，可以用來作為開發階段的品質控管工具。主要缺點是容易找出過多的程式碼問題，還需人工判斷哪些是真正需要修改的問題，而且也無法辨別出設計邏輯的錯誤，並且有開發語言的支援限制。

網站開發完成後，上線前的驗收品質管控，李倫銓認為是另外一個關鍵：「尤其是將網站委外開發時，不能只是進行功能驗收，還需驗收安全品質。」他建議驗收時需要執行弱點掃瞄檢查主機有沒有弱點、執行滲透測試檢查應用程式是否有問題、以及請資安顧問進行災害評估，評估即使發生資料外洩，要如何估算損害，如何預防等「最好是開發階段就有專責資安人員。」李倫銓補充。

滲透測試是另外一種常用的網站安全檢測方式，通常是委外由資安專家執行。資安專家會模擬駭客從外部入侵網站的攻擊手法和行為，來嘗試入侵網站，了解網站有哪些實際的漏洞。滲透測試不需要檢測程式碼，但必須在網站功能完成之後才有效果。常使用在網站驗收階段，或者是上線後的營運環境中，用來檢測出實際環境中會發生的安全問題。缺點是無法明確指出哪一行程式需要修改，開發人員需自行解決找到的網站漏洞，但是透過滲透測試找到的網站漏洞，都是需要修補的網站漏洞。

不論是滲透測試或是原始碼檢測，剛好可以扮演資安溫度計的角色，指示出哪些高風險的問題，讓臺灣線上購物網站在追求發展的同時，能夠運用有限的開發資源，來解決最危險的資安問題，這是強化開發流程上，較為務實可行的解決方式。文⊙王宏仁

手法2：用架構與權限來控管安全

網站安全的核心是對「權限」的控管。透過功能架構上的強化，來完善不同權限的落實，是一種改變網站體質的做法。相較於強化開發相比，改善網站安全品質像是透過增強身體免疫力來改變體質，而強化系統架構則是透過完善的權限控管，來強化網站的嚴謹度，如同是一種對骨骼的強化，讓網站具備更強的應變能力。

最佳原則是讓不同的使用者或使用方法，只擁有剛好夠用的權限。
McAfee美國西北區顧問經理陳彥銘建議網站架構的設計上，可以從6個地方落實權限控管的嚴謹度：網站配置（Configuration）、身分驗證（Authentication）、網頁授權（Authority）、資料確認（Data Validation）、資料保護（Data Protection）以及例外處理。其中他認為有三項是要優先重視的環節，包括身分驗證、網頁授權和資料確認這3項，但是網站配置和例外處理則是最容易被忽略的地方。

增加驗證深度，全面授權檢查

陳彥銘認為要要優先重視的三項重點中，身分驗證和網頁授權，這兩者是一體的兩面，透過驗證確認使用者的身分之後，才能給予適當的網頁使用權限，這兩項是權限管控中最核心的部分。但是驗證的嚴謹度卻往往和使用者的便利性對立，越嚴謹的查核，往往需要越繁複的手續，如何取得平衡？因為驗證和授權原則的變動，幾乎會影響到所有網站功能，最好是一開始在網站規畫時，就將驗證與授權的原則列出。例如密碼強固性需要要求到什麼程度，使用者多久沒有反應就必須強迫斷線等。

身分驗證時，最好可以讓使用者了解設定密碼複雜性的強度，一方面是讓使用者了解自己密碼的安全程度如何，另外一方面也是提醒使用者將承擔多少安全上的風險。密碼越簡單，要承擔的風險越高。登入驗證時，也需要提供防止暴力猜測密碼的措施，常見的提供一張驗證用的花紋圖片，最好將辨識的數字或文字加上扭曲效果，否則很容易會被駭客使用圖形辨識軟體破解。對登入次數、登入IP的監控，設定密碼錯誤的嘗試次數也有助於預防入侵。

依據資料敏感度分類檢查，兼顧安全性與開發時效
第三項陳彥銘建議要優先重視的環節是資料確認。資料確認主要用來對使用者輸入的各種資料進行檢查與過濾。為了節省開發時間，一般會統一撰寫一個輸入資料的檢查函數或檢查模組，凡是網頁中需要輸入資料的欄位，全部都呼叫這個檢查函數，對資料進行過濾。例如為了防止SQL Injection問題，而過濾掉輸入資料中的特定符號和字串，其實並不能將問題根除。未來若出現新的攻擊手法，又必須重新修改程式碼中的過濾規則。

另外一種做法是針對每一個輸入欄位，撰寫檢查程式，只允許該欄位輸入需要的資料型態，例如像是限制資料程度、限制輸入的格式、限制允許的內容等，其他資料不准輸入。這個做法雖然是最嚴謹，但是對開發人員，原本一行輸入的程式碼，可能要多寫30行來檢查，當要趕進度時，很容易就會忽略，實際上不容易完全落實。
比較折衷的方法是兩者並行。依據資料的敏感程度或重要性，區分不同的檢查方式，越重要的就進行越嚴格的檢查，甚至撰寫專門的允許程式。例如PayEasy會在開發規範中，律定多個驗證函數可以使用，規定開發人員在哪一種輸入內容時，必須要使用哪一個驗證函數，同時兼顧安全性與開發效率。

關閉所有使用者不需要的錯誤訊息和預設功能
除了針對網站功能的重點項目加強以外，還需要特別檢視容易疏於防護的地方，包括網站配置以及例外處理。網站配置容易被忽略的原因，是因為當網站越來越複雜以後，各項網站配置或設定的管理就越來越複雜，必須一開始就開始注重網站配置的嚴謹度，可以先從找出不需要的功能，關閉不必要的服務開始著手。尤其是網頁伺服器通常都會提供一個預設的設定檔，多數網站開發人員，很少仔細研究過這個設定檔提供了多少功能，就直接使用預設值。最好是能夠定期檢查設定檔的內容，確定只有需要用到的功能開啟。

另外一個需要檢視的是開發框架的設定檔，開發框架通常都會有一套設定檔來簡化開發人員對網站架構的安排，開發人員也需要了解開發框架有哪些設定檔，提供了哪些功能或服務，才能知道有哪些不必要的項目需要先關閉。另外還需要定期檢查網站的檔案目錄，將測試用的網頁與範例程式移除、或者是不必要的檔案移除。最常見的疏忽就是，開發人員寫好程式碼，直接壓縮成一個檔案放在網站目錄下讓測試人員下載，但是開發完成後，卻忘了移除，成為駭客取得程式碼的管道。

另外一個容易忽略的地方是對於例外訊息或錯誤訊息的處理。這些訊息原本是提供給內部開發人員或網管人員，用來了解網站功能與系統的執行情況，使用者並不需要知道這些資訊，如果對外洩漏，容易被駭客利用，成為駭客入侵的參考資訊，或者是駭客用來修正入侵程式的內容。可以在系統上線以後，透過網站伺服器的設定，將錯誤訊息的顯示網址，導向一個特定網頁，例如首頁或統一的說明網頁。或者針對例外訊息，撰寫專門的處理模組，律定開發人員統一使用。

網站功能上的最後一道防線是對強化資料的保護，包括資料傳輸過程的保護、資料儲存時的保護、以及使用者連線狀態（Session）的管理。可以運用各種不同的加密方式來進行資料的保護，防止資料在傳輸過程被修改，即時被竊取或側錄，駭客也不容易馬上就能使用，還需花很大力氣破解才行增加竊取資料的難度，來遏止惡意行為。而連線狀態的管理，則是針對使用者連線過程的授權狀態的資訊、Cookie、網頁程式傳遞的資料進行保護，可以透過限制使用者連線位置或數量，並且對Cookie內容進行加密的方式來增強保護。

用「縱深防禦」架構系統的隔離
除了從網站功能上來強化權限控管的嚴謹度以外，還可以從系統架構與網路環境的隔離著手。建置多層次的系統架構與網路環境，形成多道防線，來控制安全危害範圍，避免一個地方出事時，一發不可收拾，牽連到其他地方。這也正是PayEasy購物網站資訊部副總經理陳怡宏所謂的「縱深防禦」策略。縱深防禦就如同潛水艇在海中航行時，除了增強外殼的厚度以外，還會在內部區隔出層層的隔間，即使某一區不小心進水，也能將損害控管在那一區，不會讓海水淹到其他隔間中。

PayEasy的「縱深防禦」做法，將網站的結構區分成四層，最底層是資料庫系統，上面是EJB（Enterprise Java Bean）程式層，然後是網站伺服器，最後才是直接接觸使用者的網站應用程式。PayEasy網站使用EJB技術建立程式對資料庫存取的中介程式，將資料庫中的資料，轉換成網頁程式較容易使用的資料物件。這個四層架構，比一般常見的三層架構，還多了一道中介的EJB層。陳怡宏表示：「最大的好處是避免網頁程式能夠直接存取到後端資料庫。」因此，像常見的資料庫攻擊手法SQL Injection，PayEasy的開發人員不需要特別撰寫很多程式碼，就從架構上就預防駭客輸入的惡意程式碼。

除此之外，陳怡宏還將網路區分成不同的使用區域，將營運的網站伺服器、測試環境、開發人員與網管人員的工作環境、客服人員的使用環境、辦公室網路環境等區域，透過防火牆隔離，甚至將資料庫管理人員存取資料庫伺服器的工作環境，也獨立成為一間IT監控室，設置攝影機監控，預防內部的不當存取。陳怡宏表示：「這是在金融業中常見的做法，也是從根本上處理的做法。」文⊙王宏仁手法3：用資安防護產品爭取時效

對電子商務網站而言，一旦發生資安問題時，時間就是金錢，越短時間解決，付出的代價越低。但是不論是開發流程，或是系統架構上的防護，都需要花費很多的時間與代價，才能達到一定效果。若要在最短時間內，將問題的危害降到可接受的程度，就必須使用相關的防禦軟體與設備。

防禦軟體與硬體的效果不同，軟體多採取針對性的防禦方式，阻止特定的攻擊方式，來確保網頁內容的完整性，一般都直接安裝在網站伺服器上，價格通常比硬體便宜，但囿於防禦方式的針對性，因此無法做到全面性的網站保護。防禦軟體包括像自動插入檢查程式的軟體、Web防火牆軟體。

Web防火牆軟體安裝在網站伺服器上，監控網站服務的內容，即時檢查使用者輸入的資料，若出現惡意程式碼時則會自動過濾。例如阿碼科技的SmartWAF，它還能配合阿碼科技原始碼檢測軟體CodeSecure，根據分析程式碼後找到的資料輸入點進行檢查，提供檢查的完整性。除此之外，SmartWAF還可以篩選傳輸給使用者的網站內容，將網頁中有問題的惡意連結移除。因此，即使網站已經被植入惡意連結，安裝SmartWAF後，也能夠避免使用者瀏覽到有問題的網頁內容。

自動插入程式碼工具 可縮短程式修補時間
自動插入檢查程式的軟體則是採用完全不同的網站防護方式，採取事先預防的做法，例如Fotify的Defender。Defender類似原始碼檢測軟體，可以自動分析網站的原始程式碼，找出每一個輸入資料的程式碼位置，直接在程式碼的ByteCode中，自動插入一段資料檢查的程式碼，等於是自動幫開發人員撰寫安全檢查的程式，讓網站在執行時，所有資料輸入點都能具備了安全檢查的效果。透過Defender可以在很短時間內，自動修改完網站程式碼中所有的資料輸入點，不需要由開發人員逐一修改。臺灣已有金融機構採用，例如金管會檢查局。不過，敦揚科技資安顧問楊伯瀚提醒：「這種插入程式碼的風險，可能會導致原來的程式無法執行，還需花時間除錯。出問題時，也不容易判斷是插入程式碼還是原始程式碼有問題。」

網站應用程式防火牆 能同時保護網站與使用者
防禦硬體方面，除了網路安全設備可以提供網路環境的保護之外，針對網站的防禦，主要是網站應用程式防火牆（Web Application Firewall，WAF）。WAF主要是採取白名單的做法，只開放允許通過的資料，其他一律阻止。WAF會自動追蹤網頁中每一個輸入資料的地方，依據多數使用者輸入的資料內容，提出建議的允許清單，再由網管人員人工判斷，要採用哪些允許規則，可以細到每一個欄位的資料長度、類型、格式等。例如姓名不能用數字，日期只能有8個字等條件。

除了對外，WAF還能監控網頁內容，將不應該提供的資訊過濾，避免使用者取得機敏資訊，例如帳號資料、網站錯誤訊息、禁止外部存取的網址等。

楊伯瀚表示：「WAF的好處是能夠自動學習網站需要的防護特徵，採取白名單的做法，也能一勞永逸，不需要不斷更新過濾特徵。」不過，因為WAF需要花一段時間分析網站的使用情形，通常在安裝後，還需要一段時間，才可以調整出適合的允許條件和過濾規則。楊伯瀚表示：「若透過資安顧問設定，安裝完可以達到70%的防禦效果，要達到99.5％，還需要1～2個月的學習。」

WAF與其他網通安全設備最大的差別是能夠檢查網頁的內容，甚至是SSL加密過的網頁內容，也能判讀。一般如負載平衡或反向代理伺服器的網通安全設備，主要透過流量分析的行為，或者是網頁通訊協定的資訊，來檢查出異常的攻擊行為，無法向WAF針對資料內容作篩選。文⊙王宏仁手法4：將使用者納入網站安全防護圈

去年資安事件中，相當高比例是使用者發生資料外洩，駭客攻擊的手法，不只是入侵網站竊取內部資料，開始轉為竊取使用者端的帳號密碼。不論業者的網站建置得再安全，只要使用者疏於防範，仍舊會發生問題，網站業者必須將使用者納入購物網站的安全防護範圍中。

目前多數購物網站，主要透過使用者行為的監控，來預防使用者的帳號被竊。根據使用帳號的異常行為，來判斷是否該帳號遭到盜用。

不過，對使用行為的監控措施，必須投入相當高的人力資源，來了解使用行為的模式與異常特徵。露天拍賣為此還特別成立了交易安全部，長期監控所有使用者的購物行為，從使用者行為中，整理出有問題的行為特徵，並且還需隨時修正，經常更新特徵資料。露天拍賣交易安全經理陳韻淑表示：「詐欺的模式會不斷改變，必須持續監控使用行為，才能發現適合的過濾特徵。」露天拍賣還會隨時與刑事警察局合作，將可疑的IP或詐騙行為，納入詐欺偵測系統作分析。

透過使用行為監控，必須有出現異常情況才能發現問題，無法在帳號資料被竊時或還未被冒用前就阻止，仍舊不易做到預防的效果。中華電信資安辦公室資安技術研發組組長李倫銓認為：「只要繼續使用帳號密碼機制就極有可能不安全，唯有更換認證機制，才能確保重要主機的安全性。」

李倫銓建議可以參考線上遊戲網站對使用者的保護方式。線上遊戲業者預設使用者的帳號密碼資料，一定會被竊取的情況下，來思考如何提供保護措施。除了帳號密碼以外，他們還會增加第二種認證機制，例如一次性密碼（OTP）或是驗證憑證的設備，即使帳號密碼被竊，駭客無法取得使用者手上的設備，仍舊無法用帳號登入。

McAfee美國西北區顧問經理陳彥銘認為還可以要求使用者採用安全性較高的瀏覽器，或者是結合防毒業者提供的網站信譽評等機制，要求使用者在瀏覽器中安裝第三方的檢查程式，防止使用者瀏覽到不安全的惡意網頁或偽裝的釣魚網站。雖然不論是安裝防護程式，或者是使用一次性密碼的方式，都會造成使用者的不便，但是，陳彥銘表示：「不能一昧考慮使用者的方便性，必須在安全性和方便性之間取得平衡。」文⊙王宏仁