為了徹底了解電子商務產業面臨的資安問題,EC-Cert與國內SOC業者合作,在2012-2015年間提供示範性的資安事件監控(SOC)服務,每年開放1~2個名額,進行為期半年的資安事件監控。由於此計劃必須在EC業者端佈署資安事件蒐集器,蒐集資安設備的記錄進行分析,因此比較適合自行建置管理防火牆、主機等設備的EC業者,如果是網站委外代管的業者就比較不適合。  

 

 

資策會資安科技研究所組長徐漢強指出,從2012SOC計劃成果來看,EC業者面臨最多的資安攻擊事件為SQL-Injection、暴力破解密碼攻擊,且攻擊來源大多是大陸IP  

 

 

這樣的結果或多或少呼應了賽門鐵克年度網路安全報告的內容,中華民國資訊軟體協會資深處長喻維貞表示,賽門鐵克在報告中指出,過去一年來,網頁式攻擊數量增加30%,大多源自被入侵的小型企業網站,而且許多合法網站已被駭客入侵,經營者卻不自知,其中,購物網、科技/電信業是前5大容易遭受感染的網站型態。

 

 

再進一步回顧過去半年來國際上的網站攻擊事件,有許多都是網站主機被入侵,導入使用者帳號與個資大量外洩,又或者是因為網站本身存有SQL-Injection安全漏洞,不僅導致自己的客戶資料外洩,還可能被植入惡意程式後繼續成為攻擊跳板,最近常見的水坑式攻擊就是如此。  

 

 

EC業者在做資安防禦時,除了自身預算外,也可善用政府資源。經濟部商業司除了上述所提資安監控服務計劃外,還同時成立以下幾個計劃,包括資安檢測輔導、網站身份識別標章與台灣個資管理制度(TPIPAS),另外還以電子商務安聯防的概念成立EC-Cert,相互分享資安訊息及提供主動監測服務。  

 

 

曾參與輔導計劃的國民服飾(COZIE)資訊人員詹聰濠認為,對中小企業來說,在佈署資安時最主要的問題除了預算不足外,就是(1)不知道如何建立資安管理制度,包括表單設計、管理政策制定等;(2)不知道該怎麼處理資安攻擊事件,也不知道要如何建立標準處理流程(SOP),導致遇到資安攻擊事件時往往亂了手腳,透過資安檢測服務建立管理制度與SOP,將有助於提升內部資安防禦能力。

 

友善連結:http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7479

 

 

 

SafeNet資訊安全保護鎖系列  , 歡迎來電借測 ! 

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。

有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : www.pronew.com.tw

正新電腦   TEL : 04-2473-8309 

arrow
arrow
    創作者介紹
    創作者 正新- 資安專家 的頭像
    正新- 資安專家

    正新電腦 - 軟體加密、身分認證、HSM硬體加密模組、SSL憑證提供

    正新- 資安專家 發表在 痞客邦 留言(0) 人氣()