您的網站建置需要注意哪些資安規範?

資訊安全 》您的網站建置需要注意哪些資安規範?|天矽網頁設計

目錄
➤資訊安全vs資安規範?
➤為什麼要重視網站的資訊安全?
➤網站資訊安全的漏洞?
➤網站的資安防護有哪些?
➤評估網站是否需要高等級的資安規範?
➤天矽提供的資安規範服務有哪些?
➤做了資安防護,網站就不會被攻擊了嗎?

 

    不少企業會透過架設網站來傳達品牌形象或服務,近幾年也發現,越來越多企業開始重視資訊安全議題,資安規範標準變得更加嚴謹。以網站設計而言,為什麼網站也需要做資訊安全檢測呢?

 

➤ 資訊安全vs資安規範?

    資訊安全是指:保護資訊,以免受到未經授權的存取、使用、修改或破壞,目的是確保資訊的安全、機密及完整性資安規範是指:透過具體的措施來達成並落實資訊安全的目標,明確定義運用哪些方法使資訊是安全的。
    本篇文章將帶大家探討,一個網站製作完成,需要哪些資安規範(方法),才能確保網站呈現的資訊是安全的。

➤ 為什麼要重視網站的資訊安全?

    思考此問題時大家可以試想,建商幫您蓋好房子,有天花板、地板、牆壁、門。不過,門沒有鎖,居住就會有安全疑慮。接著您可能會尋找可以幫門加鎖的廠商,確保居住安全,廠商會問您要哪一種鎖?例如:天地鎖、水平鎖、喇叭鎖、連體鎖或密碼鎖?每種鎖價格不同,安全等級也不同。
    網站也是相同概念,如果沒有資安規範,網站的資訊就可能被竊取利用。為使網站資訊是安全、完整的,就需訂定資安規範確保網站資訊安全。然而,資安規範跟門鎖為同樣道理,越高等級的資安規範價格會越高。在接下來的小節,也會帶大家思考,您的網站需要的資安規範有哪些?資安規範分有哪些等級?

➤ 網站資訊安全的漏洞?

    瞭解資安規範有哪些之前,我們需先知道常見的網站資訊安全漏洞有哪些:


 

➤ 網站的資安防護有哪些?

    幫網站建立資安防護,是確保網站呈現的資訊能受到保護、降低被駭客攻擊的機率。一般來說,雖然可以透過添加「防火牆」、「SSL憑證」或鎖定伺服器維持網路安全,但這只是最基本的防護,駭客仍然可以無視並破解這些防護。
    實際上,網站資安防護有哪些?我們可以從「網站程式」、「主機環境」這兩點來思考:

網站程式(軟體)

    網站運行的過程,會記錄使用者的資料或關鍵操作,例如 : 在購物網站進行下單,這是使用者會做的舉動。因此,工程師在開發程式時就需留意一些程式的邏輯或寫法,避免讓程式存在漏洞。若是「有後台」的網站,可評估是否將資料庫的內容進行加密、加強密碼規則及權限管理。

主機環境(硬體)

    主機環境(硬體)也是資安的一部份,使用者與網站的互動,主機會記錄並讀取顯示對應之資料,駭客同樣能以相同方式,竊取網站資訊。因此,網站的主機環境,就必須要有一些防護的措施,才能避免被駭客侵入,例如:基本Fire wall防火牆或高階WAF主機防護。

延伸閱讀:
【網站主機】雲端虛擬、實體、自架與租用主機,種類基本介紹

➤ 評估網站是否需要高等級的資安規範?

    看到這裡,您可能心中已經有疑問:我的網站需要做資安規範嗎?其實,可以先看自己的網站是哪種類型,再來評估是否需要高等級的資安規範。
    舉例來說:如果您的網站屬於形象型網站,並不是會員或購物型網站,其實不太需要高等級的資安規範;但如果網站含有個資、串接金流、訂單資料等,因網站包含的資訊很多,這些也是駭客常攻擊的部分,這時就能評估是否需要高等級(進階版)的資安措施。

  • 補充 : 有些上市櫃因企業本身對資安要求嚴謹,會額外訂定不同的資安規範來確保網站資訊安全。

➤ 天矽提供的資安規範服務有哪些?

資料傳輸(SSL憑證)

    SSL伺服器數位憑證,可以增加網站伺服器線路資訊安全性,防止個人資料線上傳輸時被竊取盜用。目前Google也宣佈,如果網站沒有SSL安全認證,就會使該網站排名往後遞延。

主機環境防護

天矽提供基本Fire wall防火牆防護,如需高階防火牆,天矽也有提供WAF的高階防火牆方案 (可向天矽另外購買)。

延伸閱讀:
 WAF防火牆是什麼?抵禦OWASP十大安全風險

專業版資安防護

   以天矽而言,如果是新製作網站,會幫客戶執行弱點掃描 (費用可與天矽進行洽詢)。

點掃描

  • 掃瞄範圍 : 網站及網站程式
  • 掃描說明 : 模擬駭客的手法進行模擬攻擊,檢測完成會有初掃報告,天矽會將「軟體」之高、中風險進行排除,排除後再執行一次複掃。

弱點掃描的檢測項目

  • 跨網站指令碼攻擊 (Cross site scripting)
  • SQL程式碼注入攻擊(SQL injection)
  • 程式碼執行攻擊(Code execution)
  • 目錄遊走(Directory traversal)
  • 檔案引入攻擊弱點(File inclusion)
  • 網站程式原始碼暴露(Script source code disclosure)
  • CRLF 注入攻擊
  • 跨頁框指令碼攻擊(Cross frame scripting)
  • 有自動查詢備份檔或目錄功能
  • 有自動搜尋具有敏感性資料的檔案或目錄
  • 有自動搜尋一般檔案,如:記錄檔,應用程式追蹤,CVS網站容器
  • 有自動查詢目錄清單功能
  • 有搜尋弱點權限之目錄功能,如可以新建、編輯、或刪除檔案之目錄
  • 有自動搜尋可用的網站伺服器技術之功能

進階版資安防護

    當然,如果您的網站含有個資、串接金流、訂單資料等,因為這些都是駭客常攻擊的項目,因此,可以評估是否需更高等級的資安措施。天矽提供的高資安防護,包含有「源碼檢測」及「滲透測試」,有需要都可以向天矽洽詢。

源碼檢測

  • 掃瞄範圍 : 程式的原始碼
  • 掃描說明 : 源碼檢測主要以Fortify作為檢測工具,以自動化檢測+分析工具,有效且完整找出程式碼中的弱點,避免讓相同弱點再次發生於其它程式碼中。檢測結束會產出報告,會詳細指出漏洞並提供修補建議。

源碼檢測的檢測項目

  • 源碼檢測 (遠端檢測,須提供原始碼)
  • 執行方式:遠端
  • 使用工具:Fortify
  • 檢測範圍:一個網站
  • 服務內容:源碼檢測檢測,包含一次正測及一次複測
  • 交付文件:Fortify產出檢測結果報告兩份。

滲透測試

  • 掃瞄範圍 : 系統、環境、設備
  • 掃描說明 : 滲透測試主要是模擬駭客的思維,針對目標(系統、環境、設備)發動網路攻擊,攻擊力度較APT比較弱化,可以驗證企業的系統與硬體安全性是否有待加強。

滲透測試的檢測項目

  • 連線狀態管理
  • 資料保護及傳輸
  • 錯誤處理
  • 認證檢測
  • 存取權限和存取控制檢測
  • 權限提升跳脫
  • 輸入資料檢測測試
  • AJAX測試
  • 可用度解析
  • 檢測資訊洩漏
  • 應用程式之弱點研究與驗證
  • 資料庫之弱點研究與驗證
  • 路由器之弱點研究與驗證
  • 商業邏輯漏洞診斷
  • 風險評估

參考資料:
✔ Fortify源碼檢測 找出程式漏洞 快速修復程式
✔ 捕夢網 滲透測試比較表

➤做了資安防護,網站就不會被攻擊了嗎?

    答案是不一定的。也無法保證一定不會被攻擊,訂定資安規範主要目的是為了降低風險、提升網站的安全性,從而減少被攻擊成功的機率。科技日新月異,駭客的攻擊手法也會不斷以新型方式實施網路攻擊,因此我們要主動預防,不要等到被攻擊了才開始修補!

share FB LINE
看天矽作品集 回上一頁

技術支援

延伸閱讀

ID:@323foylw