• Web Security 24.09.2014

    網站資訊安全測試流程

    ID-100282700

    由於Web service 的使用普及,

    舉凡線上購物、網路銀行、網路郵件、檔案分享,許多的服務與社交工具皆由 web services延伸

    另一方面,也讓有心人士透過web service 達到一些非預期的結果,產生額外的資訊安全等議題。

     

    什麼是資訊安全測試

    “測試” 不外乎是根據一定步驟作驗證,得知該結果是否符合預期。

    例如:功能上的驗證,產品或不會正常運作。例如:壓力測試,極端條件下,產品運作的狀況。

    加上”資訊安全”,讓測試更加複雜一些.

    因為資訊安全測試驗證的步驟是需要經過特別的設計,

    舉例來說:我們想要知道該網站的帳號密碼驗證是否安全?

    我們就必須設計一連串相關的測試個案來驗證,並且學習相關的測試工具

    許多微小的弱點都有可能被利用來做攻擊的途徑

    因為網站資訊安全測試就是評估目前系統潛在會遇到的風險  – 這也是QA專業價值所

     

    為什麼要測試

    就像汽車的油耗值一樣,需要實際的測試數據,

    經過一定的方法與程序才會比較讓市場與消費者接受

    網站資訊安全測試也是同樣的道理。

    試想兩位 QA 這麼說,哪一位您會覺得比較專業,比較容易說服大家呢(特別是專業的RD)?

    A: 理論上,這個 login 可能會有問題

    B: 這個 login 會有問題,因為經過 xxx 測試,xxx log 顯示,…所以會有問題

     

    什麼時候開始測試

    資訊安全測試是一個不斷評估改善的過程。什麼時候開始都不嫌晚,甚至沒有結束的時間點。

    由於新技術不斷的演進,新的軟體版本不斷的更新,資訊安全測試為一個不斷檢視評估的過程。

     

    有效測試計畫

    一個有效的測試計畫通常會考量

    • 人員:資訊安全的了解程度與專業
    • 流程:公司品管政策與相關法規
    • 技術:完成測試所需要的技能與工具

     

    軟體開發週期

    資訊安全測試如何發生於整個軟體開發週期的循環呢?

    目前國際上,主要有三個標準可以參考,筆者比較推薦 Open SAMM,

    因為Open SAMM,清楚的定義每一個週期需要做相關活動,

    而且說明公司可以如何分階段的達到level 1/2/3

    OpenSAMM http://www.opensamm.org/download/

    BSIMM-V

    ISO/IEC 27034 (開發中)

     舉 Open SAMM (Software Assurance Maturity Model) 來說,

    SAMM 將軟體發展流程定義為四大階段,每個階段又定義三個任務

    1. 政策管理= 策略 + 訓練 + 法規

    2. 建置 = 弱點評估 + 資訊安全需求 + 安全架構

    3. 驗證 = 設計評估 + 程式碼驗證 + 資訊安全測試

    4. 系統上線 = 系統環境更新 + 作業持續改善 + 入侵與弱點管理程序

    舉例來說,

    很多狀況是在開發的過程都做到了 1+2+3,

    但是當一個網站上線之後,”4. 系統上線 ” 更是重要

    例如有 patch 需要更新、防火牆需要安裝與設定、使用的 3rd library 產生已知風險、

    這些需要持續不斷的定期觀察與檢視,並且將這些狀況跟研發部討論,

    才能夠回到持續改善的流程 1 –> 2 –> 3 –> 4 –> 1  –> 2 –> 3 –> 4……

     

    盡早測試

    定期安排週期性的檢查,例如每周 / 每月 / 每季

    在每個週期中,資訊安全的測試,盡早測試發現問題盡早解決

    希望這篇文章對於 “資訊安全測試”的全貌認識有所幫助。
    SAAM Overview

     

     

    Posted by Tony @ 5:35 pm

    Tags: , , , , , , , , , , , , ,

  • Leave a Reply

    Your email address will not be published.