[資訊安全]SD^3安全機制
趁著今天精神正好,多來分享幾篇文章好了,今天要跟大家分享的是一些資安的理論,而先來介紹一下這個簡單的理論SD^3安全機制,我們先來看一下為什麼叫SD^3,實際上是因為以下三個面向而來:
第一個SD就是Secure by Design,這部份算是跟我們程式人員最有關連的部分,包含SQL Injection、XSS等等程式漏洞都會是在這個層面需要注意的,要防範攻擊,經驗固然很重要,但工具的輔佐也不能缺少,所以當我們完成一個系統後,若這個系統服務的對象是外部使用者或者是屬於現金交易的網站,則在設計時應該多考量到弱點掃描的動作,這部分包含URLScan、AppScan等工具都可以幫上忙。
第二個SD就是Secure by Default,這部分與環境設定較有關聯,有時候我們在程式開發時,遇到存取被拒的問題,可能很習慣就先將程式的權限開到Everyone完全控制,但這樣的設定方式,不管在內部或者外部,都是極度危險的,你可能輕忽了內部成員的資安破壞力,舉個例子來說:網頁的匿名登入者帳號,應該只有讀取的權限,如果要有寫入權限,應該是限定特定目錄,而不是全部授與,以前我就遇過一個case,對方因為在開發過程中遇到上頭我說的存取被拒問題,就將匿名存取帳號設定為Administrator,這一點實在太危險了,假設客戶端的資料或者系統因此被駭,要如何進行賠償呢?
第三個SD就是Secure in Deployment,這部分比較偏向機制面,包含在UI界面上引導使用者進行特定操作模式,又或者透過教育訓練告知使用者正確的模式,但其實這一個面向在實務上運作非常坎坷,因為使用者如果都那麼乖依照我們訓練的模式來進行就天下太平了,所以個人認為最好的方法還是以前兩項為主,這一項就用來當成保險吧。
本系列文章打算先將資安的一些概念跟大家分享,後半段才開始針對實際案例來做討論,這系列文章希望大家會喜歡。
參考資料:
王寧疆老師應用程式安全相關課程
 |
游舒帆 (gipi) 探索原力Co-founder,曾任TutorABC協理與鼎新電腦總監,並曾獲選兩屆微軟最有價值專家 ( MVP ),離開職場後創辦探索原力,致力於協助青少年培養面對未來的能力。認為教育與組織育才其實息息相關,都是在為未來儲備能量,2018年起成立為期一年的專題課程《職涯躍升的關鍵24堂課》,為培養台灣未來的領袖而努力。 |
