產品安全


近年來駭客手法不斷翻新,不僅是政府單位,高科技製造業與半導體業者也承受針對式進階持續攻擊,其目的不外乎是希望竊取機密資料。Openfind 專注於郵件安全領域已經有 20 年以上的豐富經驗,長年為許多政府機關與民間企業提供電子郵件產品與雲端服務,致力提供客戶穩定、安全、可靠的郵件安全系統與服務。

站在資安攻防戰第一線,通過多項國際與國內檢測認證

Openfind 於 2009 年通過 ISO27001 資安認證至今,於產品開發時嚴格遵循SSDLC(Secure Software Development Life Cycle)程序,並通過工業局的資訊安全檢測。同時,Openfind 也導入了許多國內知名資安廠商(Team T5、DEVCORE…)及美國、以色列廠商之資安產品與服務,強化內部之程式碼檢測並每日進行完整端點掃描,同時每年以 ISMS 持續精進、持續通過 SGS 外部稽核為目標。

及時示警資安問題,做政府與企業最可靠的後盾

Openfind 更全力防護客戶系統安全、以最新技術抵禦攻擊,並積極研發主動偵測及警示手段,不放過任何可疑狀況、主動通報,將損害範圍控制至最小。

Openfind 歷年資安通報列表 »

隨著資訊安全威脅日益升高,所有資訊系統都面臨相當嚴峻的挑戰。Openfind 本著服務客戶的精神,不但會繼續強化產品在資安上的防護與感知能力,也會持續嚴格監控產品的安全。Openfind 也會不定期更新網路上重大的電子郵件安全威脅訊息,幫助管理者掌握最新的資安趨勢與脈動。

開發流程安全


Openfind 長久以來致力於研發安全的產品系統,透過累積數年來的實務經驗、豐碩的研發成果以及完善的產品開發,建構出高品質的產品系統。各項產品能夠長時間通過不同客戶與環境的嚴苛考驗,並且持續的提供高效能、安全以及穩定的系統服務,都要歸功於完備的開發流程。

訓練計畫

安全的產品開發流程,首先從 Openfind 工程師的訓練開始,除了核心技術能力的淬煉外,培養研發與開發的資訊安全意識,並建立良好的安全規範,讓往後產品設計及開發的階段中,每研發人員都能自動的遵守與實踐。訓練的過程中,特別注重下列的各個項目:

  • 避免 Buffer Overrun
    Buffer Overrun 是系統最常遭受攻擊的手段之一,利用程式設計上的錯誤,輸入過大的資料,造成系統發生問題,而導致安全的疑慮。因此程式撰寫的時後,確認每一筆輸入的資料都是合法長度,且在使用每一段記憶體時,謹慎確認及處理資料的長度。
  • Initialize Memory
    在記憶體使用時,如果沒有將該區的記憶體先初始化就進行使用,可能會讀取到該區記憶體上次使用後所殘存的資料,直接使用而造成系統執行的錯誤。因此,初始化需要使用到的記憶體,以避免系統執行的錯誤發生,更顯得額外重要。
  • 避免 Memory Leak
    Memory Leak 是在開發系統時,最常發生的疏失,它會造成系統的記憶體使用量,隨著長時間的運行而持續增加,直到消耗殆盡,導致系統無法穩定的長時間運行。Openfind 要求工程師在使用完記憶體時,將無須使用到的記憶體進行釋放。在每個功能開發完成後,都會要求開發者將該功能進行大量的測試,以確保記憶體的使用量正常。Openfind 系統之所以可以長時間的穩定運行,要歸功於此項規範及檢測。

…等等關注於系統安全的訓練,以確立 Openfind 產品標準的穩定性及安全性。

系統開發

  • 安全的架構設計
    系統設計的階段,會針對需求提出多種的架構設計,並且對各種設計方式進行評估及安全性議題的討論,確保設計出來的系統能兼顧安全及效率。
  • 穩定的系統開發
    系統實作的階段,除了遵守程式開發的安全規範外,在開發完成後,會針對完成的原始碼進行 code review;並且使用知名的原始碼檢測工具 Klocwork,進行安全性掃描,確保完成項目與功能的安全與穩定性。

品質確保

  • 內部安全測試
    Quality Assurance 是檢測整個系統正確性及安全性的重點,需要在此階段對系統的品質進行把關。測試階段,透過大量 Testing Case 測試,輔以全面的 Auto-testing,檢測的重點包含了網頁最容易遭受到的攻擊性項目,如:SQL injection、Command injection、Cross-site scripting(XSS)…等等。
  • 外部安全測試
    與工業局資安推動計畫、工研院資訊與通訊研究所承辦之資安整合服務平台合作,以 Acunetix Security Audit 與 IBM Security AppScan 檢測網站、網頁應用程式及產品功能之弱點檢測。

技術支援

Openfind 的首要宗旨是提供客戶高效能、安全及穩定的系統服務;除此之外,安全的系統部署及專業的技術支援,也是我們最為重視的項目之一。當客戶遇到技術相關問題或是發現系統潛在威脅時,Openfind 會在第一時間內回應,並用最快速的方式處理,避免客戶暴露在風險之中。
因此我們提供快速反映問題及系統回報的管道,您可以透過電子郵件寄送到 cert@openfind.com.tw,或是使用系統回報機制回報所發生的問題。

系統回報

為了能夠快速的解決您所遇到的問題,請幫助我們了解問題的狀況。您可以透過本頁制式的系統回報機制,將問題發生的環境、狀況與操作流程,一一輸入於表格中。此外,您也可將問題的詳細狀況描述在電子郵件中,並寄送至 cert@openfind.com.tw。 當收到您的回報時,我們會詳細的確認問題,如果經研判後確認是系統的問題時,會盡快的進行修正,並將修正的更新檔盡速的派送至所有的客戶端並安裝。

問題回報 ( 表示必填項目)

聯繫資料 ( 表示必填項目)