臺鐵搶票事件反應企業網站安全隱憂

臺鐵繼去年發生中秋假期網路訂票的「搶票」事件讓網站癱瘓後，日前開放春節假日線上訂票時，又再次發生語音訂票系統與網站同時癱瘓的事件，臺鐵與委外廠商中華電信也無法確定事發原因，只表示網站的確遭到入侵，相關案情目前仍不明朗，檢調單位還在調查當中。

至於去年的事件，經調查局發現是有人自創一個訂票外掛程式，並在部落格上「免費分享」，因此導致系統癱瘓，另外，還有內部人員利用這個外掛程式幫親友訂票，目前已經有多名臺鐵內部人員遭到移送。不管是因為網站遭到入侵還是內賊所為，都顯示企業官方網站與電子商務的管理與安全。

DOS攻擊，需掌握攻擊行為模式
臺灣組合國際（CA）技術顧問林嘉宏表示，臺鐵訂票系統第一次是因為駭客以懶人訂票系統癱瘓，這個程式8小時之內可以提供用戶9999次的訂票，足以塞爆系統並導致服務異常，所以一般民眾根本無法正常訂票，今年1月初的第2次事件，則是遭人以my.explor.exe程式癱瘓系統。兩次事件都是持續性的輸入購票人資料，以約5秒的間隔時間對系統進行攻擊。

阻斷服務式攻擊（DOS）通常會占用大量的系統資源與頻寬，林嘉宏建議，遭受攻擊顯示企業網站安全防禦不足，要應付這類攻擊，必須先加強用戶的身分認證機制，以這次的事件來看，嚴謹的確認訂票者身分，可以減少訂票黃牛的產生。這於這類應用程式的使用行為，也可以透過行為資料庫的追蹤分析，來降低風險性。

掌握IP來源，限制登入與存取次數
賽門鐵克系統工程師王碩麒指出，企業網站要因應外來攻擊，第一步必須加強入侵偵測與入侵防禦的機制，尤其是異常行為模式的判斷，企業可以根據自身需求發展出攻擊特徵資料庫，來提升入侵偵測／入侵防禦機制的效能。一旦發現異常行為，才能在第一時間反應，以降低損失。

另外，掌握IP來源也是一個好方法，嚴格規定一個IP進入系統的次數，以及能夠訂幾張票。而企業內部的安全政策控管也很重要，為了防止「內賊」，明確規範員工的使用權限，並列出對應罰責。

企業可採用專業的網站維護服務
除此之外，企業還可以透過供應商提供的網站維護服務，像是CA提供的「網站不倒翁」服務，就是針對企業網站安全，整合身分管理與存取控制，並提供資料記錄與管理、備分與還原，除了網站的系統防禦與防駭，防止入侵與內容竄改，能夠快速還原，事件記錄也能作為日後舉證使用。

預算較高的企業也可以採用資安監控中心服務（SOC），由專人對網站進行7X24小時的控管，事件一旦發生，就能夠即時通報與回應。文⊙高雅欣