• 資訊安全的管理面

    System-Security-Reader-2-icon

     

    根據 SAMM這個模型,

    管理面 (Governance) =

    1.Strategy & Metrics +

    2.Education & Guidance +

    3.Policy & Compliance

     

     

    就讓我們分別針對這三項說明

    1.Strategy & Metrics + 2.Education & Guidance + 3.Policy & Compliance

     

    1. Governence > Strategy & Metrics (SM)

    主要的目標是要建立起整個組織對於資訊安全測試的流程與計畫。並且定義資訊安全的目標與評估風險。

    在指標的部分,需要收集企業內部與外部的一些資訊,以便建立起衡量標準。

    所以在這個階段主要的工作分為三個階段,

    SM1 : 建立組織內部的資訊安全計畫 + 評估企業風險

    SM2 : 將應用程式與資料分類 + 建立並評估各類資料的資訊安全目標

    SM3: 定期進行與業界標準的比較 + 收集歷史數據建立衡量準則

    執行的步驟與成熟度為 SM1 > SM2 > SM3

    也就是先建立整體資訊安全計畫 > 再針對資料分類與風險評估 > 收集歷史執行資料與業界比較

     

    2. Governence > Policy & Compliance (PC)

    這個部分主要是內部與外部法規上的考量。

    例如 電子商務會有 PCI 的規範。

    與個人隱私有關的資訊會有”個人資料保護法”,所以必須將這些法規併入資訊安全規範考量,

    所以這個部分會有定期性的檢查與稽核,為的就是確定相關的程序有符合法規的規範。

    PC1: 了解內部外部相關的法規與規範 + 建立遵循的準則

    PC2: 建立符合規範的資訊安全政策與標準 + 建立稽核的機制

    PC3: 建立每個專案資訊安全的出貨條件 + 針對稽核的資料作收集與分析

    執行的步驟與成熟度為 PC1 > PC2 > PC3

    首先,了解所處行業內部外部的法規限制與規範PC1 > 再根據企業內部狀況制定資訊安全政策與標準,並且定期的稽核 PC 2 > 最後針對每個專案訂定把關的條件。

    舉筆者曾經任職軟體公司為例,

    PC1: 內部外部法規的限制,例如加密解密的演算法,出口至美國需要一定的資訊揭漏

    PC2:每個產品出貨都會經過法律審查的流程,標準的審查內容包含:是否有用 GPL/LGPL的license、加解密的演算法等,並且記錄每個產品所提供的這些資訊與法律上審查的結果

    PC3: 針對每個專案出貨前,預期可以達到 2 產品瑕疵 / 每千行程式碼 ( 2 defects/ LOC) ,並且針對每個專案的狀況進行資料分析

    這些就是 Governence > Policy & Compliance

     

    3. Governence >Education & Guidance (EG)

    最後一個,也是最重要最值得投資的一環,教育訓練

    “預防重於治療”

    要預防的好,並須靠教育訓練,讓大家有一定的資訊安全觀念

    教育訓練可以透過電子、實體上課、競賽等方式讓員工了解資訊安全的議題

    除了教育訓練與宣導之外,也提供員工一定遵循的守則。

    同樣的分為三個階段進行

    EG 1 = 資訊安全認知宣導與訓練 + 資訊安全準則

    EG 2 = 針對不同的職務舉辦相關的資訊安全訓練 + 在每個專案實行資訊安全小老師

    EG 3 = 建立內部資訊安全論壇平台 + 建立相關資訊安全專業認證

     

    如果公司內部尚未有一個完整的資訊安全計畫,不防可以參考這三個方向,開始著手規劃適合公司的資訊安全政策與訓練計畫

    Governence > Strategy & Metrics (SM)

    Governence > Policy & Compliance (PC)

    Governence >Education & Guidance (EG)

     

    SAAM Overview

     

     

    Tags: , , , , , , , , , ,

  • 網站資訊安全測試流程

    ID-100282700

    由於Web service 的使用普及,

    舉凡線上購物、網路銀行、網路郵件、檔案分享,許多的服務與社交工具皆由 web services延伸

    另一方面,也讓有心人士透過web service 達到一些非預期的結果,產生額外的資訊安全等議題。

     

    什麼是資訊安全測試

    “測試” 不外乎是根據一定步驟作驗證,得知該結果是否符合預期。

    例如:功能上的驗證,產品或不會正常運作。例如:壓力測試,極端條件下,產品運作的狀況。

    加上”資訊安全”,讓測試更加複雜一些.

    因為資訊安全測試驗證的步驟是需要經過特別的設計,

    舉例來說:我們想要知道該網站的帳號密碼驗證是否安全?

    我們就必須設計一連串相關的測試個案來驗證,並且學習相關的測試工具

    許多微小的弱點都有可能被利用來做攻擊的途徑

    因為網站資訊安全測試就是評估目前系統潛在會遇到的風險  – 這也是QA專業價值所

     

    為什麼要測試

    就像汽車的油耗值一樣,需要實際的測試數據,

    經過一定的方法與程序才會比較讓市場與消費者接受

    網站資訊安全測試也是同樣的道理。

    試想兩位 QA 這麼說,哪一位您會覺得比較專業,比較容易說服大家呢(特別是專業的RD)?

    A: 理論上,這個 login 可能會有問題

    B: 這個 login 會有問題,因為經過 xxx 測試,xxx log 顯示,…所以會有問題

     

    什麼時候開始測試

    資訊安全測試是一個不斷評估改善的過程。什麼時候開始都不嫌晚,甚至沒有結束的時間點。

    由於新技術不斷的演進,新的軟體版本不斷的更新,資訊安全測試為一個不斷檢視評估的過程。

     

    有效測試計畫

    一個有效的測試計畫通常會考量

    • 人員:資訊安全的了解程度與專業
    • 流程:公司品管政策與相關法規
    • 技術:完成測試所需要的技能與工具

     

    軟體開發週期

    資訊安全測試如何發生於整個軟體開發週期的循環呢?

    目前國際上,主要有三個標準可以參考,筆者比較推薦 Open SAMM,

    因為Open SAMM,清楚的定義每一個週期需要做相關活動,

    而且說明公司可以如何分階段的達到level 1/2/3

    OpenSAMM http://www.opensamm.org/download/

    BSIMM-V

    ISO/IEC 27034 (開發中)

     舉 Open SAMM (Software Assurance Maturity Model) 來說,

    SAMM 將軟體發展流程定義為四大階段,每個階段又定義三個任務

    1. 政策管理= 策略 + 訓練 + 法規

    2. 建置 = 弱點評估 + 資訊安全需求 + 安全架構

    3. 驗證 = 設計評估 + 程式碼驗證 + 資訊安全測試

    4. 系統上線 = 系統環境更新 + 作業持續改善 + 入侵與弱點管理程序

    舉例來說,

    很多狀況是在開發的過程都做到了 1+2+3,

    但是當一個網站上線之後,”4. 系統上線 ” 更是重要

    例如有 patch 需要更新、防火牆需要安裝與設定、使用的 3rd library 產生已知風險、

    這些需要持續不斷的定期觀察與檢視,並且將這些狀況跟研發部討論,

    才能夠回到持續改善的流程 1 –> 2 –> 3 –> 4 –> 1  –> 2 –> 3 –> 4……

     

    盡早測試

    定期安排週期性的檢查,例如每周 / 每月 / 每季

    在每個週期中,資訊安全的測試,盡早測試發現問題盡早解決

    希望這篇文章對於 “資訊安全測試”的全貌認識有所幫助。
    SAAM Overview

     

     

    Tags: , , , , , , , , , , , , ,