Q. 請問身為一個web開發人員,在code上除了現有的開發框架外,還有甚麼地方能夠加強程式碼的安全性?
A. 基本上使用現成的Framework已經算相當安全了,在web上需特別注意的是在表單傳資料給server、DB
之前的validation,如果validation做好可以防止90%以上的web資安事件
Q. 請問在VMware 的半虛擬化環境infrastructure3中,在組織要求做到資訊安全的前提之下,HostOS的管理port是否極端地需要VPN來特別保護?
A. VMware中有一位世界排名前幾的hacker坐鎮安全相關的議題,其產品的安全相當成熟。而需不需要用到VPN來特別保護則是視其資產的價值與公司願意投入多少而定。
*appplcation firewall 有加入檢查機制,而proxy僅僅是做代理服務
*先訂好policy最重要
*firewall is policy enforcement system,防火牆是安全政策的實踐
研究問題:將policy轉化成結構化的語法
心得:
所謂的資訊安全並不單單牽涉到系統、網路安全,資訊安全並不單單只是技術上去實踐就好,再完美的系統加入"人"這個因素也會變得不完美。拿coding來比喻:沒有人是完美的,所以人寫出來的東西也不會是完美的。
組織制度面上:
應該詳加地規劃組織章程、使用宣告等。將資訊資產依照風險分級,確立應該重點保護的資產。有系統地劃分權限、建立資訊安全管理制度,ISMS(Information Security Management System)。
個人面上:從了解、實踐資訊倫理開始,知道甚麼是該做,甚麼是不該做的,重點是在不侵犯他人權利的前提下,也懂得保護自己的權利。甚至去了解到一些資訊安全法規,當我們在運行一項決策之時有做出正確決策的sense。
問題1:
我們都知道資訊安全是相對而非絕對的問題,就算導入在先進、防護周的技術(ex. 防毒牆、IDS、key驗證等),仍然有產生風險的可能,而這些風險很有可能是來自於使用者的誤用或是內部的不當行為。資訊安全的可用性與機密性、真確性要如何在這中間取得一個平衡?導入新技術的同時要如何確保資安人員做的事情是有價值的,而不是因為某些已產生的風險而影響到客觀的績效進而成為未來資安政策推動的絆腳石?
回答:
安全技術是可以做到近乎完美的防護,而人是不完美的,只要加入"人"這個因素就算再安全的系統也會出現漏洞。
資訊安全並不是只有強調於技術層面,更重要的是如何去管理、控制產生風險的因素
所以在如何管理"人"也是資訊安全的範疇之一
管理"人"這個因素應先考量到的是制度面去實行
再來在資訊安全的投資與否應先評估:
1. 我們要保護甚麼東西
2. 保護資產的價值
3. 投資占資產價值的比例
再來決定是否導入
問題2:
法律有適地性,比如說在我國犯法是受到我國法律所裁決;到印度設立公司就必須遵守當地法律才能成立。如果今天我們把教授製作槍砲、炸彈的網站設立在國外,將設立違反我國法律的網站此一具體事實移往國外,國外設立這種網站並不違法,所以照法律的適地性而言我們就算要受到制裁也應該由國外法律裁定。請問此行為是否會遭受到我國法律的制裁?
回答:
這問題在法律上爭議頗大,大部分依不同的情況有不同的處理方式。但還是秉持著一個原則,雖然具體事實不在國內,但犯罪的行為事實在國內仍然是有罪的。
