使用安全框架來開發 當建置網站服務或是手機應用程式, 如果防護措施要從頭到尾自行建置開發會十分耗時而且會導致許多安全漏洞. 業界有許多成熟的安全框架可以幫助開發與建置過程中減少許多安全漏洞. 實作上建議依據目前現有的架構, 採用合適的安全框架. 網站安全框架有: Spring Security Apache Shiro Django Security Flask security 另外還必須考量框架還是會有潛在安全的漏洞, 網站提供功能的攻擊路徑, 以及第三方插件漏洞等風險. 舉例來書,…
雲端資訊安全
建立日誌審計與入侵檢測的防護之道
建立日誌審計與入侵檢測的防護之道 應用程式日誌應該不限於程式除錯使用. 日誌也被運用在其它記錄審計, 舉例如下: 應用程式監控 商業分析 活動日誌稽核與合規監控 系統入侵檢測System intrusion detection 分析與鑑定Forensics 分析日誌與安全事件有助於威脅攻擊與防護: 讓我們可以確定相關的安全測試與攻擊的防護是否有效果. 為了要讓關連分析更加容易, 建議可以用通用的日誌格式讓不同系統間的日誌分析更容易. 例如可以使用SLF4J的Logback或是Apache Log4j2的日誌框架等. 程序監控, 交易日誌審計等通常會因為不同的目的而被收集,…
資料保護的防護設計之道
資料保護的防護設計之道 加密傳輸過程中的資料 當傳輸敏感性資料的時候, 系統的每一個環節或是網路都應該在傳遞的過程中加密. TLS是目前最普遍被網站使用來做資料傳遞加密的方式. 儘管已經有些已知的風險被發現(e.g. Heartbleed), TLS的加密方式還是建議在傳遞的過程中使用. Encrypting data at Rest[edit] 密碼的儲存很難做到安全. 資料的分類也會影響資料加密的方式. 例如信用卡資料就必須符合PCI-DSS認證標準. 如果你希望要自己建立自己的密碼系統, 也必須確定有足夠的專業判斷該密碼的強度. 實務上建議使用業界已經經過驗證的加密演算法,…