因為工作關係,常不自覺地留意周遭有那些IT問題是可以系統化解決的,農曆年前有則新聞引起我注意:「電腦專家警告Android 2.3仍含資料外洩漏洞!」得先聲明,注意它並不是因為咱們家有另一套作業系統,我感興趣的是系統開發問題;恰好前陣子各界熱衷討論新版個資法,這些現象衍生出一個共同議題--企業到底應如何從基礎落實資安?
這的確是大哉問,但我相信,它絕非擁有多少防火牆、防毒牆……就能解決。「從基礎做起」有兩個面向,第一是開發面,第二是管理面與用戶端保護面的資安作為。這次先由開發面探討。
資安的三個元素是3P-人(People)、流程(Process)、產品(Product)。為了擁有健康資安體質,任何資訊系統在開發過程之初即應導入資安管理與查核機制,以避免有意或無意所造成的系統後門與漏洞。此論點人盡皆知,但落實者卻少之又少,最顯著的例證是,許多專案僅於驗收時要求弱點或滲透測試、甚至完全沒有測試。對開發商而言,安全的設計應是責任和道德;而發包用戶則應確認所得系統確屬安全,以維護自身及客戶資訊秘密。
正確的開發管理,應該在開發程序和檢查點中就將資安項目列入品質確保(QA)程序。其中有一項很重要的基本功必須養成:包含系統分析、設計及所有程式人員,都要學習撰寫安全的程式碼,使安全和功能、效率同樣融入開發思考。接著,在專案執行流程中加入資安稽核作業並訂定評量標準,如此安全才能成為系統開發緊密的一環。
在複雜系統中,由於常採分散或反覆式設計,參與人員眾多,因此需要透過軟體工具協助資安檢核。通常我們會將這些檢核分成五個階段,各有適當的協助工具。第一個階段是在產生需求時即明確定義資安需求,以便系統分析、設計及驗證時遵循;第二個階段是各單元開發時,需要進行Code Review,保證以「安全的方式撰寫程式碼」;第三階段則是整合測試,針對資安及潛在漏洞進行過濾,這通常也會在管理層面執行;第四階段則是上線前的QA,針對潛在風險進行測試和追蹤。最後就是持續定期檢測,有時在第四階段得知的系統風險,必須列為追蹤項目,以確保系統遵循資安要求運作。
實務上,這些工作的細密程度不亞於單純程式撰寫,善用工具可兼顧高資安品質系統的開發和維護成本。但是,並非在各階段完成即終止,所有開發和上線都需要在資安平台上運作,透過平台提供的自動化整合系統開發生命週期資安風險追蹤和管理,以保障資安品質。
在當今世界中,資訊安全真正成為不可迴避的問題。貴單位發包系統有提出前述要求嗎?你為客戶開發的系統有注重這些資安開發程序嗎?大家一起加油吧!廣大的用戶需要我們,同時尚有新版個資法在後面督促著。