專案中常見的資訊安全名詞
專案中常見的資訊安全名詞
隨著科技的進步,資訊安全這個詞不只是的概念,更是一個實務上的議題,隨之而且的是衝擊與挑戰。專案進行中,常常有聽說黑箱掃描、白箱掃描、這個掃那個掃,到底在掃些什麼呢,又代表什麼,又為何如此的重要,首先讓我們了解資訊安全弱掃的種類及運用時機。
主機安全性弱點掃描
主機安全性弱點掃描主要檢測作業系統、資料庫、Web 伺服器、網路服務、OWASP…等潛在漏洞。例如SSL Medium Strength Cipher Suites Supported這個風險是對針主機的加密演算法強度不足的弱點,TLS Version 1.0 Protocol Detection則是針對主機啟動安全性較弱的通訊協定…等等。
網頁安全性弱點掃描 (Web & 後端)
網頁安全性弱點掃描又稱「黑箱掃描」或是「動態掃描」,之所有稱之為黑箱是因為在掃描的過程中,沒辦法看到程式的原始碼,主要能檢測SQL Injection、Cross Site Scripting(XSS)、 Remote File Inclusion(RFI)、Server Side Includes(SSI)…等潛在漏洞。例如:Cross Site Scripting(XSS)針對跨網站腳本是一種安全弱點,可讓駭客將用戶的端的腳本加入攻擊指令的一種漏洞。
原始碼安全性弱點掃描
原始碼安全性弱點掃描又稱「白箱掃描」或是「靜態掃描」,之所以被稱為白箱是因為在掃描的主體是程式的原始碼,主要檢測SQL Injection、Cross-Site Scripting、Password Management、Insecure Randomness、Poor Error Handling、Code Correctness、Missing Check against Null、Misconfiguration…等潛在風險。例如:Password Management 這是指以純文字形式將密碼或密碼詳細資訊儲存在系統或系統程式碼的任意位置,可能會導致無法輕易修正系統安全性的問題。
APP安全性弱點掃描 (APP & 後端)
APP安全性弱點掃描,一般都有專屬的實驗室進行檢測,主要的檢測包含OWASP MOBILE TOP 10 RISK (Improper Platform Usage、Insecure Data Storage、Insecure Communication、Insecure Authentication、Insufficient Cryptography、Insecure Authorization、Client Code Quality、Code Tampering、Reverse Engineering、Extraneous Functionality)、靜態的分析設定檔及執行紀錄、動態分析APP封包、檢測邏輯漏洞、資訊洩漏漏洞、加密缺陷與身分認證漏洞,同時也會檢測後端伺服器上的漏洞,確保APP與後端伺服器的安全性。例如Improper Platform Usage這是指作業系統設置不當(開放過大權限)的弱點。
滲透測試
滲透測試(Penetration Test)是一種透過模擬的真實攻擊行為,進而評估網路安全的活動,主要透過對企業網路進行各種手段的攻擊來找出系統存在的漏洞,進而驗證出網路系統存在安全風險,更可證實惡意攻擊者有可能竊取或破壞企業的數位設備、資產、資訊與資料。例如:針對防火牆底層進行滲透進而攻擊主機的活動。
各項弱點掃描的運用時機
| 主機安全性弱點掃描 |
於專案SIT主機建置部署完成後及UAT建置前 |
| 網頁安全性弱點掃描 Web & 後端 |
專案Web Application部署SIT完成後、專案客戶修正或更版需求。 |
| 原始碼安全性弱點掃描 |
專案程式開發各階段完成後、專案客戶修正或更版需求。 |
| APP安全性弱點掃描 APP & 後端 |
專案 APP開發完成且後端功能已完全穩定部署、專案客戶修正或更版需求時。 |
| 滲透測試 |
專案於客戶端完成全面部署後配合客戶所進行的全面性測試 |
資訊安全弱點掃描主要源自於ISO 27001:2003資訊安全管理系統的範規,這個規範是目前最主流的資訊安全管理系統,接下來我們將為簡單說明ISO 27001:2003
ISO 27001:2013 資訊安全管理系統
ISO 27001:2013 是目前最廣泛且最完整的檢驗資訊安全管理系統 (Information Security Management System, ISMS) 一套國際標準。其中ISO是指國際標準組織(International Organization for Standardization),27001:則是標準編號,2013:代表這套標準是由 ISO 在2013年公佈。
昕力已取得 ISO 27001:2013認證
昕力資訊是一注重資訊安全及企業永續發展的優良企業,優先於「企業應用產品發展處」導入ISO 27001:2013認證,全公司依據相同標準執行相關資訊安全規範。昕力資訊企業應用產品發展處「程式開發作業流程」之「機房、網路、辦公環境」之資訊安全活動。簡單的說就是「程式開發流程、機房、網路、辦公環境」符合ISO 27001的資訊安全規範。」
執行專案一定要取得ISO 27001?
雖然目前現行法規並無強制針對接案廠商一定要取得ISO 27001的認證,在最有利標的公開評選中,會依據技術、品質、功能、商業條款或價格等項目,作綜合評選,以擇定最佳決標對象,因此目前此項是昕力資訊的優勢。
在一個專案的進行,人力資源是專案最重要的核心資源之一,因為專案人力將成為其重要的一環,接下來我們來看看專案中以客戶為主體,資通安全責任分級及資通安全專責人員。
資通安全責任分級
依據資訊安全管理法第七條第一項規定訂定「資通安全責任分級辦法」, 公務機關及特定非公務機關之資通安全責任等級,由高至低,分為A級至E級。公務機關:中央、地方機關、公法人…等,而特定非公務部機關:關鍵基礎建設提供者、公營事業、政府捐助之財團法人。目前昕力在執行專案時,會以配合 A 級單位的資安要求為原則。
以A級機關為例
資通安全專責人員
資通安全專責人力是指公司應有專人負責資通安全事務,負責資通安全事務的人員即為專責人員,專案需依專案要求配置投入人力。
結語
在這資訊密集且爆炸的時代,資訊安全成為我們密不可分的資訊活動,落實資訊安全政策,確實做好資訊安全弱點掃描,發現弱點修正弱點,才能有效防止駭客無所不在的攻擊。
