為了防堵個人資料外洩,營造一個讓顧客安心購物的好環境,東森得易購自2007年起,即以ISO 27001、PCI DSS為標竿,全力建構堅強的資安防禦體系。
位居台灣虛擬通路龍頭的東森得易購,從1999年開台以來,憑藉「無店鋪銷售百貨公司」策略,成功獲得龐大消費者青睞,徹底改寫台灣銷售流通歷史。然而該公司令人驚艷之處,除來自本業的佳績外,則是傲人的資安建設成就。
在2009年底,東森得易購先後通過PCI DSS信用卡產業資料安全標準認證、ISO 27001國際資訊安全認證,成為全台唯一具備「雙重資安認證」的虛擬商店通路;在2011年,東森得意購榮膺資安人雜誌舉辦之第三屆「資安貢獻獎」,再次令人刮目相看。如今該公司憑藉個資防護能量的個資防護能量,得以建構安全交易環境,因而贏得顧客信賴並帶動業績增長。
探究其資安建設趨於完備,除來自內部資訊同仁的努力,另有兩大關鍵因素,一是針對各個防禦層級,堅持選用優質產品,以充分滿足既定防護需求,二是結合正確的科技夥伴-麟瑞科技,在專案執行、產品選擇、功能測試等各方面獲得完善奧援。
打造7x24不中斷服務機制 早在2007年以前,東森得易購便深知,要想建構完善的虛擬通路,必須針對資訊網路基礎設施打下良好根基,因此透過麟瑞協助,接續建置Cisco、F5等網路設備。
環顧前述導入標的,東森得易購資訊維運服務處副理吳宗勳認為,來自F5的BIG-IP LTM解決方案,無疑扮演吃重角色,是支撐網路購物電子交易的核心架構。
F5 BIG-IP LTM之所以重要,在於它是介於使用者與應用伺服器之間的完整代理伺服器(Proxy),可巧妙扮演抽象層,為應用流量提供最佳的負載平衡,不僅確保網路購物電子交易系統之永不間斷,並能優化伺服器效能,將網路延遲及應用效能的連線瓶頸降到最低。
受惠於F5 BIG-IP LTM,東森得易購即使面對龐大網路購物流量,依然可提供優異而穩定的處理效能,恆常維持7x24不中斷的服務水平。
各項系統聯手 構築完整資安拼圖 時序進入2007年,突如其來的個資外洩事故,引發後續一連串詐騙案件,讓東森得意購備感煎熬,所以決心強化資安防禦體系,全力捍衛個人資料,並朝著ISO 27001與PCI DSS雙重認證目標前進,於是與麟瑞合作啟動新一波資安系統建置專案。
吳宗勳指出,網路與資安等兩大基礎設施之間,有很大關聯性,因此透過同一夥伴麟瑞提供支援,有助確保系統建置的完整性;再者,麟瑞是網路與資安等領域之業界翹楚,技術與服務含量深厚,有能力根據客戶需求,提出最佳的產品部署建議。
爾後經過東森得易購與麟瑞的共同確認,擇定導入Imperva網站應用程式防火牆(WAF)、SafeNet硬體安全模組(HSM)、RSA enVision安全資訊和事件管理平台、RSA SecurID Token動態密碼認證裝置、Guardium資料庫安全稽核等解決方案,期望透過這些產品分進合擊,聯袂構築無懈可擊的個資安全防線。
在前述安全產品中,網站應用程式防火牆堪稱關鍵項目。吳宗勳解釋,駭客入侵技術愈來愈精進,導致SQL Injection、XSS等新的資安威脅應運而生,且大多鎖定網頁應用系統發動攻擊,與過往入侵模式差異極大,使得傳統防火牆難以抵禦,必須借重WAF的第7層防禦實力,才可望趨吉避凶。
居於WAF市場領導地位的Imperva SecureSphere WAF,具備動態建模技術,因而擁有強大的自我學習能力,可因應Web應用程式的結構變化,自動調整合法應用行為模型,精準檢測出不被允許的行為模式,迅速攔阻各項惡意活動。經由東森得意購實測,證明該產品確實能阻擋複雜的網頁攻擊,進而防護網站資料、遏阻線上身份竊取,有效避免個資經由Web應用程式而洩漏。
至於RSA enVision,則可統整不同來源的日誌資料,接著快速執行關聯性分析,勾稽出疑似駭客入侵的形跡,接著在第一時間提出預警,以利企業及時觸發相關防禦系統,遏阻資安事件的蔓延,致使東森得易購的資安體系,得以從過去「被動防禦」升級到「主動防禦」層次。
同屬RSA旗下的SecurID Token,能夠與東森得易購既有的F5 FirePass SSL VPN進行整合,徹底阻絕駭客的暴力破解密碼行徑,有助抵禦字典攻擊。
針對資料庫的防護,東森得易購一舉部署SafeNet HSM、Guardium等兩大利器。SafeNet HSM專司資料庫加解密任務,不僅可以加速加密作業,也能夠安全地產生、儲存及保護加密金鑰;Guardium則是資料庫的即時監控平台,不斷查核所有資料庫的存取與運作,讓企業IT管理者清楚知道,各項資料被何人使用、以及執行了哪些操作。
夥伴全力配合 使專案功德圓滿 「這次專案,實與過往經驗大不相同,」吳宗勳說,專案主要目的在於防堵個資外洩,有相當大急迫性,但又需以滿足ISO 27001與PCI DSS標準為提,因此得同時兼顧速度與品質,可謂極大挑戰。資訊維運服務處為求慎重,在專案前期花了大半年時間Survey產品,在選定目標產品後,緊接著就必須壓縮時間,快速進行送簽呈、引進產品、上線測試、正式啟用等所有程序,不容許任何延宕。
因此頻繁的加班趕工,便成為當時資訊維運服務處同仁的家常便飯,幸而麟瑞充分理解客戶需求,不僅全力配合,還數度陪同客戶挑燈夜戰,讓吳宗勳備感窩心。
歷經忙碌的專案進程,各項新系統終於順利上線,並如願發揮預期成效;吳宗勳表示,過去因詐騙案件衍生大量客訴,每天少則數百筆、多則上千筆,但藉由新系統層層把關,上線後歷經1年餘,平均每日客訴案件驟降到個位數,甚至經常掛零,前後差異巨大,顯見顧客對於東森得易購的服務滿意度,以及對交易安全的信心,都已達到前所未見的高峰。
資料來源 : http://www.digitimes.cn/tw/dt/n/shwnws.asp?CnlID=13&Cat=20&Cat1=&id=265998 |