Simular
「資安」這個議題,近年來逐漸變成檯面上的重要觀念,不只政府法規年年變得嚴格,各大企業也開始在網站建置過程中,陸續導入高規格的資安要求。今天這篇文章,我們來介紹一下,大多數的網站建置專案中,最常做的資安工作有哪些。
網站資安的工作範疇
我們常講的網站資訊安全,其實分成不少層面。最常提到的幾個層面包含:
- 製作階段的安全防護
- 營運階段的資安維護
- 公司內部的資安管理
- 長期的資安預警與訓練
-
企業網路架構的基礎建設
等等。一般來說,我們網站公司能夠服務的,主要集中在 1, 2 項,而其頁如果需要 3-5 的資安服務,通常會去尋找專門的資安顧問公司,他們能夠提供全套的資安訓練與顧問,包含災害演練等服務,這樣比較能將一間企業的資安工作統整成一個完整的防護措施。
製作階段的資安技術
網站在製作階段時的資安重點,在於編寫高規格、健壯且不含漏洞的程式碼,這有賴於網站公司的基礎程式安全編寫訓練,還有內部的安全審核機制。除此之外,現代的專業網站公司,都會幫您處理好安全的主機環境建立、高複雜度的密碼使用、SSL 加密連線與輸出入資料消毒等等現在基本資安規範。較為嚴謹的公司或是公家單位,還會加上弱點與源碼掃描,或者個資加密等等,強化安全認證。
以下統整一些製作階段常見的工作內容
| 項目 | 內容 |
|---|---|
| 輸入資料消毒 | 避免 SQL Injection 等使用者輸入資料攻擊行為。 |
| XSS 防護 | 跳脫所有使用者輸入資料,避免被插入隱藏程式碼竊取個資。 |
| CSRF 防護 | 避免有心人士跨站偽造管理員操作行為。 |
| 密碼單向加密 | 不明碼儲存使用者密碼,也不提供找回密碼功能,忘記密碼只能重設,員工也無法拿到原始密碼。即使會員資料遭到直接竊取,也無使用價值。 |
| 隱藏程式檔案 | 除了入口頁面外,所有執行檔皆隱藏在網站根目錄之外,無法直接存取 |
| 防火牆 | 設定主機防火牆,只開放必要 port 連線,避免惡意軟體掃描漏洞。 |
| SSL 加密 | 採用國際知名 Let’s encrypt SSL 認證服務,保護資料傳輸安全。 若企業有自己的憑證,也可交由我方放置到主機上。 |
| 人員權限管理 | 所有參與網站開發人員皆進行權限控管,非屬於專案之人員無法接觸專案敏感資料或主機登入帳密 |
| 個資加密 | 將會員個資進行加密,避免資料庫洩漏後個資外洩。 |
營運階段、長期維護
當網站製作完成並上線,進入到營運階段時,主要的資安工作變成人員控管、主機作業系統的漏洞追蹤、定期掃描與事件追蹤等等,一般包含以下工作。
| 項目 | 內容 |
|---|---|
| 漏洞追蹤 | 關注各大軟體套件的漏洞發佈狀態,隨時更新系統軟體 |
| 定期升級 | 定期或不定期升級主機軟體,避免潛在漏洞威脅 |
| 權限管理 | 只允許業務相關人員存取系統,避免廣開權限,導致人員活動難以追蹤。離職人員則確保帳戶關閉。 |
| 防火牆管理 | 根據各類資訊活動需求開關防火牆設定,確保不擋住不合法的系統存取 |
| 定期掃描 | 定期掃描電腦病毒、漏洞或弱點等等,保持軟體的健壯性 |
公司內的資安管理
並不是只有網站與對外營運的軟體有資安控管需求,公司內部的日常業務工作也要進行資安管理,例如:
- 資訊軟體的使用者權限管控
- 辦公室軟體避免盜版使用(以免全公司遭罰)
- 機密資訊不可公開傳遞
- 離職員工確保移除存取權限
- 不要共用帳密
- 重要的軟體帳號開啟 2FA 雙重驗證
- 定期備份重要資料,避免勒索軟體
等等。這些都是一般企業日常工作時最容易忽略的事情,但駭客戶果要攻擊一間企業,最常下手的反而不是銅牆鐵壁的網站與主機,而是最容易洩漏的密碼與員工個人帳戶。一旦駭客取得存取權限,那麼再貴的防火牆與硬體主機都擋不了惡意人士的破壞。
詳情可以看我們另一篇文章
長期的資安預警與訓練
除了以上操作性的資安規範與工作以外,「預警」與「預防」也是非常重要的資安工作之一。
常見的「預警」工作例如 7x24 SOC 預警工作,將整間企業的所有資訊活動彙整到一個平台,統一分析並監測是否有異常行為,若發現異常更能即時追蹤與通報。對於大型企業來說,每天巨量的資訊日誌,需要有強大分析平台才能有效處理這些資訊。
而「預防」也是許多公司定期執行的工作,一般常見的是定期舉行紅隊演練、滲透測試、或是隊一般職員舉辦資安訓練課程。也有些公司會定期執行釣魚測試,看看是否會有員工點開假造的病毒信件。這些都是為了防範於未然,讓資安事件再真正發生前就被阻擋,有效預防更大的損失。
企業基礎架構
企業基礎架構是從技術性上的統一控管企業內的所有資訊與軟體資源。舉例來說,建立統一的內網或企業雲,將所有企業要用的資訊軟體建置在企業雲內,對內與對外統一用防火牆控管存取權限。
或者建立 SSO 或 IAM 機制,將整間企業的人員權限管理集中在統一平台做控管,員工存取了什麼系統都有詳實記錄,而一旦離職撤掉權限,所有系統都無法使用。
另外還有像是零信任原則 (Zero Trust)、零知識 (Zero Knowledge) 存取、MFA 認證、Passwordless 等等,主要就是從企業管理的概念出發,在一個核心思想下對所有員工的資訊行為做出統一控管。這在以前很少有企業貫徹執行,但是在近年已經有越來越多軟體公司或金融公司確實在執行完整的資安管理流程。
結論:法規促使資安逐漸成為顯學
過去的企業,雖然內部資訊部門可能很重視資安,但貫徹執行的單位很少。因為強大的資安會帶來一定程度的不方便,加上瞬息萬變的職場工作環境,速度就是一切。當時間與成本上需要做取捨時,資安常常就是被犧牲掉的環節。
但近年來,無論是公家單位的資安法規範越來越完整、還是針對民間企業的罰則皆漸漸變嚴厲,企業與公家單位開始將資安視為基礎必備的工作項目,這使得網站或軟體在建置過程中,廠商必須將資安視為研發的必備技能。這是一件好事,因為當客戶與廠商漸漸將資安工作視為必備條件時,市面上對資安的工作項目比較能維持一致,雙方對於要做的工作與範疇也較容易達成共識。對於認真增進資安能力的廠商來說,也較願意投入成本發展更安全的研發技術。
夏木樂作為長期重視資安與研發技術的網站公司,可以替企業編寫安全、健壯的網站與資訊系統,若您有相關的研發需求,歡迎與我們聯繫。
