资讯安全网: 网上应用系统保安的常见问题

1. 当我的网站伺服器使用 UNIX 或微软视窗系统时，我应采取哪种一般保安预防措施 ?

你应采取多项预防措施，例如应移除所有未使用的服务丶指令介面丶和程式语言解译器或编译器，并应正确安装网站伺服器，且应依照“有需要才知道”基础来授权使用档案的权利，也应定期检查系统和网络纪录中可疑的活动。此外，应适当地管理可登入网站伺服器的用户帐号的数目，例如确定所有用户选择良好的密码，至少利用保密插口层 (SSL) / 传输层保安 (TLS) 来应保护网站伺服器的用户认证，以确保其密码不会被攻击者窃听。假如系统牵涉敏感或保密资料，也应考虑使用双重认证。

应注意以下指引，以加强网站伺服器的保安：

根据供应商的保安指引，安全地配置网站伺服器。

使用适当的特权帐号来执行网站伺服器程序，避免使用例如“root”, “SYSTEM”或”Administrator”之类的完全特权帐号来执行网站伺服器程序。

安装最新保安修补程式于网站伺服器软件。

配置接达权使网站伺服器软件无法修改提供给用户的档案，换言之，网站伺服器软件应有只供读取档案的接达权。

当储存或处理敏感资讯时，在网站伺服器中安装基于主机的入侵侦测系统 (HIDS) ，以监控可疑活动或未授权创作 / 删除 / 修改档案。应主动覆检入侵侦测系统的警告和报告，以尽早确定可能发生的保安攻击。

安装网站伺服器软件，避免资讯外泄，例如网站伺服器软件版本丶内部 IP 位址丶目录结构等等。

关闭或移除网站伺服器软件中不必要的组件。

确定在网站伺服器中的应用程式档案，并利用接达控制保护它们。

当使用 SSL 时，备份私人密码匙，作为伺服器核证之用，且避免未经授权的接达。

2. 什麽是一般网上应用系统弱点 ? 什麽是终端用户一般保障措施 ?

以下是网络应用程式常见的漏洞 :

跨网址程序编程 (XSS)

插入弱点

恶性档案执行

危险直接物件参照(Insecure Direct Object Reference)

跨网址要求伪造 (CSRF)

资讯外泄和不适当的错误处理

有缺陷的认证和对话管理

不安全的加密运算储存

不安全的沟通方式

没有限制 URL 的接达权

以下是一些给终端用户的保安诀窍 :

不要使用公共电脑登入重要的网络应用程式

不要储存你的用户名称和密码在工作站

记得在结束对话时登出

不同的网络应用程式和伺服器使用不同的登入组和密码

假如不能使用一次性密码的话，要定期改变重要网络应用程式的密码

立即报告给服务提供者异常的行为

确定完整修补及更新操作系统和系统零件，例如互联网浏览器

安装个人防火墙及使用最新病毒识别码来安装抗电脑病毒软件

不要从未知的来源下载软件或插件(plug-ins)

3. 网上应用系统的保安诀窍是什麽 ?

透过完整的系统发展周期，考虑不同的保安控制 :

收集应用程式保安要求。

采取最佳作业实务的标准或基准。

定义保安编码标准，以消除攻击，例如 SQL 插入攻击丶跨网站程序编程。

为应用程式回应进行净化，以捕捉所有输出丶回覆代码和错误代码。

除非经过强大加密技术所证实，否则不要信任 HTTP 交付的标头丶客户浏览器参数丶 cookies 丶表格栏或隐藏参数。

在伺服器保存敏感的对话价值，以避免客户端修改。

加密含有敏感资料的网页和避免 caching 技术。

推行对话管理。

推行合适的终端用户帐号和接达权管理。

限制后端资料库的接达，执行 SQL 指令和 OS 指令。

当应用程式呼叫时，不要用真正的档案名称和目录路径回答，使用配对 (mapping) 作为过滤层。

建立一个集中模组，进行应用程式审计和报告。

使用最合适的认证方法，以确定和认证进入的用户 / 系统要求。

建立并执行威胁模型 (threat modelling)。

设计及推行网络应用程式保安架构。

在发展阶段，执行保安风险评估，以确定要求的保安控制。

强制执行保安守则标准。

执行保安测试，例如压力测试丶系统测试丶回归测试丶组件测试等。

执行编码详细覆检。

在发表系统正式运作之前和任何重大系统改变之后，必须执行全面保安审计。

定期检查应用程式纪录。

推行版本控制和分离应用程式发展环境。

安装网络应用程式防火墙。

4. 假如外判网上应用程式发展，有没有核对清单以便核实及接受产品 ?

以下是几个网上应用程式保安评估需要检验的范例：

识别与认证

用户与程序是如何认证的 ?

所推行的认证程序是否有遵守规格和机构保安政策 ?

假如认证是基于密码的，如何处理和储存用户的密码 ?

密码处理机制是否遵守机构保安政策 ?

程式源码中是否有任何设定于源码中 (hard-coded) 的密码或密码匙 ?

是否要求应用程式要认证每一个对话?

资料保护

资料保护机制是否依照机构保安政策来推行 ?

是否适当地保护所有储存和暂存的资料 ?

是否适当地保护传送中的所有资料 ?

假如使用加密，是如何处理加密的 ?

加密处理是否遵守整体机构保安政策 ?

纪录

审计追踪机制是否根据规格来推行 ?

应用程式审计纪录是否无力对抗非授权的删除丶修改或揭露 ?

错误处理

如何处理错误讯息 ?

资讯外泄是否有任何机会在随后的攻击中被利用 ?

应用程式失败是否导因于危险的系统状态 ?

操作

是否强行执行职务分工和最低特权原则 ?

在发表最后产品之前，内建用户名称丶测试用户名称和预设用户密码是否已经从操作系统丶网站伺服器和应用程式本身中移除 ?

是否完整且清楚定义系统管理程序丶修改管理程序丶运作复原程序和备份程序 ?

必须强调这份清单并不是详尽的，一切端视保安要求和目标网上应用程式的特性，且应该根据特殊需求，列入额外的测试例子或检查标准。

此外，当外判任何资讯系统给第三方资讯提供者时，应放置合适的保安管理程序，以保护资讯和消弭有关资讯科技专案 / 服务的相关保安风险。

5. 什麽是一般认证方法 ?

认证系统中有三个基本的认证要素，即是你知道的东西丶你拥有的东西及你本身即拥有的东西。要作为对抗身分窃取的增加威胁，执行高风险电子交易时，应推行双重认证。有五个一般常见的认证方法，就是密码和基于 PIN 的认证丶基于 SMS 的认证丶对称密码认证丶公开密码匙认证及生物特征认证。每一种方法的详细资料可以在电子认证网站中找到。

6. 我要如何决定电子交易和其保安要求的适当保证水平 ?

针对企业拥有者推行安全之电子认证系统的建议流程可在电子认证网站中找到。你可找到如何决定保证水平和相对应的保安要求资讯。

7. 采用虚拟伺服器的一般保安风险是什麽 ? 什麽是降低其风险的保安措施 ?

虚拟科技让一个或多个客户操作系统 (guest operating systems) 运作于另一个主机操作系统之上，每一个客户操作系统在模拟环境中运作，该环境设备齐全丶独立，且与真实的机器几乎一样。要是没有适当的保护，机构将面临虚拟化带来的保安风险。

举例来讲，发展虚拟化的一般保安威胁是不同系统间的保安独立会因虚拟化而导致削弱效果，在虚拟化之后，不同资讯系统间的分离仰赖于正确的内部虚拟网络配置。不正确的配置可能会危及保安。专用虚拟机器 ( VM ) 上之基于软件的网络防火墙可能有助解决这个风险；另一个办法是在 VM 间推行硬件防火墙，因此，硬件防火墙会管理所有 VM 之间的交易，然而，该方法也许会对网络表现有明显的影响。

确保安全的虚拟机器包含许多如同确保安全的操作系统的最佳作业实务，包括推行优质修补程式管理丶端点保安措施，如抗电脑病毒措施及推行在主机和客户操作系统之间的防火墙。

8. 入侵者如何透过网络攻击来攻击终端用户 ?

主要网络攻击者将终端用户或其电脑列为目标的重要范例如下：

'Italian job' 网络攻击

2007 年 6 月，发现数百个 MySpace 个人档案被植入仿冒诈骗 (Phishing) 网站连结， MySpace 的用户面临的风险是当他们参阅任何 MySpace 个人档案网页时，包含恶性 JavaScript 的网页会无声无息地将参观者重新导入到恶性网站，试图滥用 Internet Explorer 的漏洞。一个常见的代理网络 bot 是“flux bot”，会被安装来尝试隐藏于经常更换的代理伺服器后面的仿冒诈骗网站。

跨网站程式编程病毒 (“XSS”)

在 2005 年 10 月， Samy 病毒的作者滥用在 MySpace 上的 XSS 漏洞，其可以上传受感染的 XSS 码到他的 MySpace 个人档案网页上，然后，当其他经认证的 MySpace 用户参观 Samy 的个人档案时，该病毒强迫他们的网络浏览器加入 Samy 为朋友，并利用恶意程式码修改他们的个人档案，所以当用户参观 Samy 或是任何受感染的用户个人档案时， Samy 病毒就可以继续大量地扩散。当时，超过一百万个 MySpace 用户个人档案受到感染。

其他攻击

仿冒诈骗 (Phishing) 可被视为社交工程攻击 (social engineering attack) ，罪犯试图引诱没防备的网络浏览者进入看似真实网站的诈骗网站，例如 eBay ，或其他网上银行的网站。互联网搜寻引擎也有助网络攻击。在 2004 年 12 月，网络病毒 Santy.A 滥用软件 phpBB 布告栏的漏洞，且并不随机地猜测目标 IP 的位址，而是使用 Google 搜寻引擎来帮忙寻找新的无力对抗的目标，目的是要透过 phpBB 漏洞发动篡改攻击。

9. 我可如何确定网站的真确性 ?

首先，你需要检定所用的网址连结是否从网站拥有者或其他可信任的来源所发放的。不应使用来自未经查证来源（如：电邮）的网址连结。

如果网站需要你输入敏感资料，网站应提供伺服器电子证书让你查证其真确性。你可检查电子证书的内容，发出该证书的核证机关（如：香港邮政核政机关），证书的有效期和证书是否已被暂时吊销或撤销。

如有疑问，应离开该网站并联络相关的网站拥有者或机构以取得进一步的资料。