資訊安全

軟體版本/Acunetix 13.0

掃描項目

• 跨網站指令碼
• SQL 程式碼注入攻擊
• Files that can be found with the GHDB – Google hacking database　
• 程式碼執行
• 目錄遊走
• 檔案引入
• 網站程式原始碼暴露
• CRLF injection
• 跨頁框指令碼
• 有自動查詢備份檔或目錄功能
• 有自動搜尋具有敏感性資料的檔案或目錄
• 有自動搜尋一般檔案，如 記錄檔，應用程式追蹤，CVS網站容器
• 有自動查詢目錄清單功能
• 有搜尋弱點權限之目錄功能，如可以新建、編輯、或刪除檔案之目錄
• 有自動搜尋可用的網站伺服器技術之功能

風險排除

• 處理資安報告的高風險部分。
• 不提供Acunetix 資安檢測報告。
• 不含掃描網站主機系統所產生的弱點，例TLS 1.0 enabled、Apache 2.x version older、TLS/SSL Weak Cipher Suites..等。

流程範例

• 初掃：產生1個高風險、17個中風險、4個低風險 
• 排除後第二次複掃：產生0個高風險、0個中風險、5個低風險
• 網站正式上線

天矽承諾

　弱點掃描只針對網站上線當日使用Acunetix 13.0掃描產生的高風險進行排除，上線後因為攻擊方式更新所產生的弱點，或是使用不同的掃描工具所產生的弱點，如果要進行排除需另外進行計價。

01/網站資料每天透過FTP載份到天矽內部NAS

02/網站DB每天透過Navicat備份到天矽內部NAS

03/每周五NAS資料Job排程備份到USB硬碟

01/網站資料保留7天

02/DB資料保留30天

03/網站因使用者誤刪或遭遇駭客攻擊遺失，可於上班時間尋求還原動作

軟體版本/Acunetix 最新版本

掃描項目

• 跨網站指令碼
• SQL 程式碼注入攻擊
• Files that can be found with the GHDB – Google hacking database
• 程式碼執行
• 目錄遊走
• 檔案引入
• 網站程式原始碼暴露
• CRLF injection
• 跨頁框指令碼
• 有自動查詢備份檔或目錄功能
• 有自動搜尋具有敏感性資料的檔案或目錄
• 有自動搜尋一般檔案，如 記錄檔，應用程式追蹤，CVS網站容器
• 有自動查詢目錄清單功能
• 有搜尋弱點權限之目錄功能，如可以新建、編輯、或刪除檔案之目錄
• 有自動搜尋可用的網站伺服器技術之功能
   

風險排除

• 處理資安報告的高、中風險部分。
• 提供Acunetix 資安檢測報告。
• 不含掃描網站主機系統所產生的弱點，例TLS 1.0 enabled、Apache 2.x version older、TLS/SSL Weak Cipher Suites..等。

流程範例

• 初掃：產生1個高風險、17個中風險、4個低風險
• 排除後第二次複掃：產生0個高風險、0個中風險、5個低風險
• 網站正式上線
   

天矽承諾

　弱點掃描只針對網站上線當日使用 Acunetix 最新版本 掃描產生的高風險進行排除，上線後因為攻擊方式更新所產生的弱點，或是使用不同的掃描工具所產生的弱點，如果要進行排除需另外進行計價。

檢測項目

• 源碼檢測 ：需提供原始碼
• 執行方式 ：遠端
• 使用工具 ：Fortify
• 檢測範圍 ：一個網站
• 服務內容 ：源碼檢測
• 交付文件 ：Fortify 產出檢測結果報告兩份

風險排除

• 處理報告中的高風險、中風險。
• 第三方套件所產生的資安風險，需另評估。
• 檢測含一次初掃、一次複掃。

流程範例

• 初掃：產生 493 個高風險、490 個中風險、1,135 個低風險
• 天矽針對報告裡的高、中風險進行排除後，再進行第二次複掃。
• 排除後第二次複掃：產生 0 個高風險、0 個中風險、1 個低風險

檢測項目

• 連線狀態管理、資料保護及傳輸
• 錯誤處理、認證檢測
• 存取權限和存取控制檢測
• 權限提升跳脫
• 輸入資料檢測測試
• AJAX 測試
• 可用度解析
• 檢測資訊洩漏
• 應用程式之弱點研究與驗證
• 資料庫之弱點研究與驗證
• 路由器之弱點研究與驗證
• 商業邏輯漏洞診斷
• 風險評估

風險排除

• 處理報告中的高風險、中風險。
• 第三方套件所產生的資安風險，需另評估。
• 檢測項目如為「硬體」問題需修補，由硬體商排除；如為「軟體」問題，由天矽科技協助排除。
• 高、中風險皆排除後，再進行第二次複掃。

01/網站資料每天透過FTP載份到天矽內部NAS

02/網站DB每天透過Navicat備份到天矽內部NAS

03/每周五NAS資料Job排程備份到USB硬碟

01/網站資料保留7天

02/DB資料保留30天

03/網站因使用者誤刪或遭遇駭客攻擊遺失，可於上班時間尋求還原動作

• 提供7X24高階防火牆防護，可針對特定埠號進行關閉，來源IP黑名單設定。

※ 加選購付費項目

針對以下網站攻擊手段進行安全防護：

• Encoding (編碼攻擊)
• Header Tampering (標頭竄改)
• Path Traversal (路徑挖掘)
• SQL Injection (SQL隱碼注入)
• Cross Site Scripting (跨網站指令碼攻擊)
• Remote Command Execution (執行遠端命令)
• Probes (探針)
• Known Worms (已知蠕蟲)
• Compromised Servers (被盜用的伺服器)
• Spammer Bots (垃圾回應機器人)
• Bad User Agents (不良的使用者代理)
• Denial of Service (阻斷服務攻擊)
• Session Hijacking (會話劫持)
• Cookie Tampering (竄改Cookie)
   

※ 加選購付費項目

• 防毒模組 Anti-Malware
• 網路防護 IDS / IPS /WAF /Application Control /Firewall
• 安全日誌管理 Log Inspection
• 系統異動監控 Integrity Monitoring
• SAP 監控 SAP Intergration
   

※ 加選購付費項目

• 7X24伺服器健康狀態監控服務，定時掃描。
• 提供網管人員主機重啟服務。
• 每日定時網站資料及資料庫備份服務。
• 協助安裝軟體與系統調教設定與維運。
• 針對系統進行效能調校與監視系統程式(資料庫)架構分析，給予建議。包含：CPU、Memory、Disk、I/O、Connection
   

※ 加選購付費項目

• 比照客戶正式站租用之主機CPU規格及作業系統環境設定， 1:1 緊急備援一台主機。
• 當正式主機發生天災、惡意攻擊破壞等問題時，緊急備援可在網址DNS對應後立即生效替換。
• 平常『緊急備援主機』可以作為客戶開發新功能，或是正式站修改之外部測試機使用。
   

➤  發生原因說明

• 商務型網站之客戶沒有辦法斷線好幾天,造成無法營運損失，因此主機租用方面,建議客戶多租用一台"緊急備援主機&外部測試機"。
• 外部測試機也可以避免萬一程式或人為疏失錯誤時，造成災害損失。
• 災害復原能力是系統持續營運能力不可或缺的要素，災害復原包含資源重置、異地備援、緊急應變處理及營運復原，當發生天災、人為惡意破壞等突發事故，可以透過災害復原機制，快速回復正常或可接受的服務水準。
• 緊急備援主機之建置可以在災害發生時，災害復原能力的即時應變並減少資料流失及停擺時間，達到『災損最小化』之目的。

※ 加選購付費項目
 

➤  CDN的作用

• 高速交付內容
• 即時串流
• 多使用者擴展

➤  CDN的優點

• 改善網站載入時間
• 減少頻寬成本
• 增加內容可用性
• 改善網站安全性

➤  CDN可提供的網際網路內容
　CDN可交付兩種內容類型，分別是靜態內容與動態內容。

• 靜態內容
  靜態內容是不會因使用者不同而有不同的網站資料，也就是我們說的美工頁面，比如網站的標題、Logo、字型樣式或其他樣式，它經常保持不變，且企業也不會頻繁的對其變更。這種資料內容通常不必進行修改、處理或產生，是非常適合存放在CDN上的內容。
   
• 動態內容
  動態內容是會因為使用者不同而有所不同的網站資料，也就是我們說的程式頁面，比如登入狀態、聊天訊息、資料篩選或氣象報告等，這些資料會根據使用者的位置、登入時間或偏好而發生變化，網站必須為每個使用者和每次的互動產生資料。