在現今網路化的時代,為了因應市場需求,各行各業都開始經營屬於自己的網站、社群、或是APP。近年來伴隨這樣的變化,相應的資安攻擊事件愈發頻繁,造成許多買賣雙方的風險損失。有鑑於此,政府也訂定相關的資安法規,要求企業配合實施,關於資安防護的需求也因此日益增加。為了讓企業能更了解所需求的資安工具與服務,采威國際於11/10舉辦的線上研討會-資安暨ISV廠商分享活動,飛象資訊很榮幸能受邀其中,分享關於網站的資安防護。
▲政府開始訂定法規要求企業加強資安並有專職人員負責
飛象資訊CEO郭泰良在本次的活動中指出,從金融、醫療體系的大型資安攻擊事件到個資外洩,駭客無所不在。為了有效進行資安防護,首先要做是盤點資訊系統資產,如:虛擬主機與伺服器,必須記錄負責單位與最後為運時間等資訊;接著需進行這些資產的資安風險評估與檢測,看看是否有作業系統老舊、啟用了不恰當的服務、或是系統存在漏洞。依序上述流程,如果發現問題,例如公司網站有風險弱點存在,則應該立即掃描並依需求與規範將高、中、低等風險修復,詳細的資通安全責任等級的分級方式可以參考下圖。
▲資通安全責任等級分級方式,企業須根據需求規範排除網站的漏洞風險
在本次活動中,飛象資訊也分享了一款使用方便、中文介面的線上掃描工具─OKWASP,OKWASP雲端弱點掃描工具不但結合國外知名弱點掃描服務,同時亦遵循法規管理,滿足主要的安全合規標準,包含PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPAA等,並且提供數據報告,讓企業能夠監控系統的弱點趨勢,管理整體企業的應用程式安全風險。另外也提供了第三方驗證機制與認證徽章功能,讓訪客了解網站已經過掃描與漏洞修復,能更安心的瀏覽、登入資料以及進行更多的互動。
▲完整的掃描報告
▲提供第三方驗證機制與認證徽章
資安的風險管理與防護是一段長時間且持續的必要工作,隨著科技進步與時間演進,新的漏洞也會不斷被發現,資安攻擊模式也趨於多樣化,企業應定期進行資安管理,並尋求專業的資安服務與顧問協助(如果對於尋求資安服務有疑惑可參考資通安全法懶人包),才能讓駭客的新型攻擊手法無所遁形,網站安全也獲得最大保障。
▲飛象資訊的OKWASP雲端弱點掃描工具有獲得國家推薦喔!
Comments