TOP
|
駭客攻擊手段
|
1
|
Injection
|
2
|
Cross Site Scripting / XSS
|
3
|
Broken Authentication / Session Management
|
4
|
Insecure Direct Object References
|
5
|
Cross Site Request Forgery
|
6
|
Security Misconfiguration
|
7
|
Insecure Cryptographic Storage
|
8
|
Failure to Restrict URL Access
|
9
|
Insufficient Transport Layer Protection
|
10
|
Unvalidated Redirects and Forwards
|
‧訓練計畫
施行安全的產品開發流程,首先從工程師的「訓練計畫」開始,除了核心技術能力的淬煉外,培養研發設計的資訊安全意識,並建立良好的安全規範,讓往後產品規劃及開發的階段中,每研發人員都能自動的遵守與實踐。訓練的過程中,特別重視「避免 Buffer Overrun」、「Initialize Memory」、「避免 Memory Leak」及「避免 Double Free」… 等關注於系統安全的訓練。這些都是最容易造成系統發生問題、漏洞產生及駭客攻擊風險的重點項目。以確立 Openfind 產品標準的穩定性及安全性。
‧系統開發
「系統開發」的過程中,安全的架構設計是非常重要的。如果是發生於系統架構上的安全性缺失或是漏洞,在未來的開發及維護上都不易將這些缺失彌補,最糟的情況下,可能需要將整個系統重新的設計及開發。因此系統設計的階段,會針對需求提出多種的架構設計,並且對各種設計方式進行評估及安全性議題的討論,確保設計出來的系統能兼顧安全及效率。實作的階段,除了遵守程式開發的安全規範外,在開發完成後,會針對完成的原始碼進行 code review;並且使用知名的原始碼檢測工具 Klocwork,進行安全性掃描,確保完成項目與功能的安全與穩定。
‧品質確保
完成系統開發後的「品質確保」是不容忽視的階段,在此階段對系統品質進行把關。測試階段,透過大量 Testing Case 測 試,輔以全面的 Auto-testing,並使用知名網頁弱點掃描軟體 Acunetix,對系統進行掃描,檢測的重點包含了網頁最容易遭受到的攻擊性項目,如:SQL injection、Command injection、Cross-site scripting(XSS)…等等。並且參與工業局 FY101 資通訊安全產業推動計畫,與工研院雲端中心合作針對(雲端)資安相關產品進行雲端作業系統(ITRI-CCMA Cloud OS; Xen Hypervisor)相容性及防護能力檢測,檢測內容包含網頁及系統/網路弱點檢測,包含了 Web Application 掃描檢測工具:「HP WebInspect (商業用資安檢測軟體)」、「Google Skipfish (Google 開發檢測Web Vulnerability 工具)」;與 System/ Network 掃描工具:「McAfee MVM (FoundStone) (商業用資安檢測軟體)」、「Nessue (全球知名開源碼資安檢測工具)」。
‧技術支援
最後在「技術支援」的部分,Openfind 將安全的系統部署及專業的技術支援,也視為最重要項目之一。當客戶遇到技術相關問題或是發現系統潛在威脅時,Openfind 會在第一時間內回應,並用最快速的方式處理,避免客戶暴露在風險之中。
‧郵件系統安全感知服務
「郵件系統安全感知服務」的項目,首先是「建立安全的傳輸管道」。藉由郵件主機安裝 SSL 伺服器憑證,即可啟用 SSL 加密傳輸保護;將使用者與郵件主機之間的傳輸進行加密,無須擔心資料外洩。