全站文章 iT邦幫忙
訂閱電子報RSS訂閱
iThome Online提供免費電子報,現在就訂,最新IT訊息每日寄達。

iThome 每日新聞報
iThome 產品技術報
加入iThome Online會員,立即使用討論區、Blog等服務。

免費加入會員
登入 / 登出
管理會員帳號
忘記帳號
忘記密碼
聯絡客服
訂閱周刊
讀者服務
10'e政府專刊No.3 (36)
09'e政府專刊No.2 (35)
09'e教育專刊(34)
09'e政府專刊(33)
08'企業資安專刊-端點安全防護(32)
08'企業採購情報誌(31)
07'資訊安全技術應用專刊(30)
07' 新世代資料中心專刊(29)
07'企業資安技術應用專刊(28)
企業採購情報誌'06冬季號(27)
企業軟體技術應用專刊(25)
企業資安技術應用專刊(24)
新  聞 專  題 對  策 專  欄 問 與 答 企業案例 解決方案
人都會出錯
文/吳其勳 (iThome電腦報總編輯) 2010-06-09
程式設計師是否有程式開發的安全觀念與技能;另一個議題則是,在實作時是否能落實。對於後者,有些企業在這方面並不完全信任程式設計師,畢竟人都會出錯。

近年來的多項調查與研究結果都指出,應用程式的安全漏洞逐年增加,而且有不少資料外洩事件,都是因為應用程式有漏洞,而讓有心人士有機可乘。

由偵九隊多年來查緝網路犯罪的經驗來看,他們發現大規模的個資外洩,主要是源自Web應用系統的漏洞,至於員工盜取資料的案例雖有,但截至目前為止並不多見。

因應新版個人資料保護法的到來,企業必須正視應用程式的安全性問題。雖然目前該法案在立法院只是二讀通過,而且仍處於藍綠版本協商的局面,但一些改變幾成定局,像是不再只約束特定的產業,而是各產業都必須遵循,以及求償金額可高達5千萬元等等,因此對於企業的衝擊可想而知。

企業要確實保管好個人資料,避免外洩,有許多環節要顧及,應用程式安全性只是其中一項而已,之所以要特別注意應用程式安全的原因,在於大家都知道應用程式的安全性問題,但長久以來卻一直無法有效解決。例如SQL Injection這個老問題,至今已經有超過5年的歷史了,但仍是駭客的慣用手法,而且攻擊成效還不錯。由OWASP(Open Web Application Security Project)這個組織公布的年度10大Web應用程式安全威脅中,植入式弱點攻擊手法(Injection Flaws),就名列威脅性排名第2名的位置。

幾乎所有的網站程式設計師都知道SQL Injection的威脅性,但實際上是,有些網站依然存在著這類的問題。

這其中有一個議題是,程式設計師是否有程式開發的安全觀念與技能;另一個議題則是,在實作時是否能落實。對於後者,有些企業在這方面並不完全信任程式設計師,畢竟人都會出錯。

基於人都會出錯的事實,嚴謹的作法除了包括在事前的教育訓練與宣導,還要在事後採取安全性測試。這其中企業會採用的方法,可大略分為黑箱測試與白箱測試兩種,本期企業採購特輯的主題──「靜態程式碼安全性檢測工具」就是屬於白箱式手法。這兩種方法各有優缺點,若能一併採行,就能獲得最好的效果。但是,現實的情況是企業的資源有限,因此需要依據公司的業務型態,找出適合的作法,在安全防禦上才可以獲得最好的成效。

研討會訊息
打造超穩定企業虛擬化平臺研討會
雲端時代的新資訊安全觀
「雲端智慧‧創新服務」研討會
各國創新e政府案例探討
+更多研討會
▼ ADVERTISEMENT ▼
▲ ADVERTISEMENT ▲

最新問答




    熱門主題




      電週文化事業版權所有、轉載必究 ‧Copyright © iThome | 刊登廣告授權服務服務信箱隱私權聲明與會員使用條款關於iThome