上次談到應用軟體系統層面的資訊安全,對多數企業而言,這個層次的安全常被忽略或簡化,然而它正是資安威脅的最大來源;尤其個資法施行後,應用系統安全更是企業必須重視的課題。嚴格來說,軟體資安應該囊括整個應用系統生命周期,不僅開發者需要遵從制定的開發原則,企業委託者更必須具備對應配合和管理能力,才能建立良好的系統資安。
首先,我們須正確定義何謂「軟體資安」。資訊安全不僅指駭客入侵、資料竊取等來自系統外部的威脅,也應考量系統是否正常工作、其穩定度和可用度等。換言之,軟體品質與系統安全息息相關,良好的軟體生命周期管理(Application Lifecycle Management)是不可或缺的。
軟體生命周期通常歷經構想、需求、分析、開發、測試及發佈流程,並且可以分為「管理面」和「技術面」兩大部分。因為軟體品質和需求管理關係密切,包括功能定義、程式撰寫和驗證測試都必須時時確保與需求相符,而需求可能隨開發過程進行修正,企業導入系統開發之初,就需要有良好的需求管理。
從專案啟動開始,專案管理便扮演重要角色,良善管理將保證系統除了能及時完成上線外,更能針對開發過程的資安查核點進行把關。傳統專案管理架構常無法掌握開發的第一線狀況,而專案的可追蹤性、進度KPI的可管理和可評量性,從構想開始到測試完成,需要以類似「專案儀表板」的方法數據化、圖形化完整呈現,以便專案管理人員能確實掌握進度並予以調整。
前述工作屬於「管理面」作業,但為了驗證系統功能、可用度和資安水準,有許多「技術面」工具應被更為廣泛地而正確地使用。舉例而言,測試階段的驗證資料選用、測試流程和方法的周詳度及測試版本的管理等,對測試工作的效益和未來上線後能否順利運作至關重要;不僅在測試本身執行的技術上,測試過程中的流程紀錄、錯誤、資安漏洞及缺失報告等管理能否完整,也對釐清問題、後續修正和上線規畫的時程影響重大。
資安方面亦是如此。企業不能只是單純倚靠網路防火牆或防毒等系統保護,對應用系統本身安全性的檢測與驗證更應以納入標準的程序。因此,透過程式碼自動檢測工具,直接在系統程式碼開發過程中排除不良設計,同時搭配上線後的定期弱點掃描,將可有效提升應用系統資安水準。