資料保護的防護設計之道

資料保護的防護設計之道     加密傳輸過程中的資料 當傳輸敏感性資料的時候, 系統的每一個環節或是網路都應該在傳遞的過程中加密. TLS是目前最普遍被網站使用來做資料傳遞加密的方式. 儘管已經有些已知的風險被發現(e.g. Heartbleed), TLS的加密方式還是建議在傳遞的過程中使用. Encrypting data at Rest[edit] 密碼的儲存很難做到安全. 資料的分類也會影響資料加密的方式. 例如信用卡資料就必須符合PCI-DSS認證標準. 如果你希望要自己建立自己的密碼系統, 也必須確定有足夠的專業判斷該密碼的強度. 實務上建議使用業界已經經過驗證的加密演算法,…

Read More

網路安全文章彙整 (160+篇) 4.24止

網路安全文章彙整 (160+篇) 4.24止 每一篇都是筆者實務的心得。包含資訊安全政策、 安全的軟體建置與設計、測試的流程、測試工具、測試環境、開發與維運平台等安全議題。 世界頂尖的資訊安全(滲透式)測試方法範本 滲透式資訊安全測試結果報告範例 網站資訊安全測試計畫與測試個案範本 資訊安全網路與應用系統整體架構的 Design Pattern 判斷Web Security 入侵的跡象 網站資訊安全測試計畫與測試個案範本 網站資訊安全測試與需求範本 資訊安全規範 SAMM 資訊安全軟體成熟度模型 –…

Read More

存取控管 Access Control防護之道

存取控管 Access Control防護之道 授權(存取控管)是針對特定資源發出存取請求,判斷該請求是否應該被核准或是拒絕. 要注意的是授權與認證是不同的. 這裡個名詞經常被混淆. 授權的設計可以由簡單開始,之後根據應用系統的需求演進為較為複雜的安全控管. 在設計階段的時候有些安全的設計需要考量. 一旦選定特定的授權控制機制後, 之後要再重新更改新的授權機制會比較困難.特別是在多租戶的使用環境下, 權限管理在應用系統安全防護更是重要. 強制所有的存取都需要經過權限控制 有許多的框架或是程式語言只有在程式碼中加入該功能的檢查時才會進行權限控制. 建議權限控制應該是中央控管,所有的存取都應該要再第一時間做權限驗證. 考慮可以設計一個自動過濾的機制, 將所有的存取都透過權限控制的方式檢查 預設不授權 透過自動權限檢查的機制, 考慮預設將所有沒有經過權限檢查的存取都不允許存取. 這樣可以避免新功能因為程式開發遺漏授權檢查而導致跳過授權驗證的步驟.…

Read More