###### tags: `部門文件`**** 雲端資安文件 === [TOC] ## 前言 資訊安全已經成為各企業逐漸重視的議題。 企業因資安事件所帶來的不良的影響已不僅限於企業內部，其中個資外洩更是最嚴重的事件之一，會導致客戶產生不信任感，尤其一旦經媒體披露很可能會影響商譽，甚至被競爭對手用來大肆批評。 姑且不論賠償費用，因資安事件導致的商譽損失，勢必直接對今後企業所提供商品服務的獲利能力造成影響，品牌商譽重新建立也不是一朝一夕可以完成。 ## 對策 資安的防護，從網路層到作業系統層到軟體層，都需要嚴密的把關， 其中，軟體層的的程式設計是整體防護中重要的一環。 軟體層的檢測包含黑箱、灰箱、白箱三種測試，其中，白箱的靜態原始碼掃描可以檢查應用系統的原始碼來找出漏洞。能夠以更多元的角度去檢查程式流中可能被攻擊者侵入的位置。 目前我們企業是採用資安軟體掃描工具Checkmarx，針對OWASP Top10 2017的網站10大安全風險規範對軟體進行原始碼掃描。10大安全風險的排名如下圖所示。  透過資安軟體的掃描，可以預先知道程式有哪些風險漏洞，進而著手修復。 ## 現況(修改進度) 針對目前雲端事業部提供的"雲端HR ERP訂閱服務"，我們透過Checkmarx進行原碼掃描，採用OWASP Top10 2017的標準。 4月時的掃描報告，共發現了563個高風險的資安風險問題，其分布如下所示。 1. Code Injection : 7 2. XSS: 482 3. SQL Injection: 74 雲端事業部目前已優先針對SQL Injection問題進行修補，截至5月為止，SQL Injection問題已下降至問題數1，但在修改過程中，卻引發了其他類型的資安問題，將會在6月進行調整，目前分布結果如下 1. Code Injection : 6 2. XSS: 545 (上升) 3. SQL Injection: 1(下降) ## 報告小結 以往資安不受重視，主要在於大家普遍抱持著鴕鳥心態，即使資安事件頻繁，但不見得會在自己身上發生的。而將資安設備的採購視為一種純粹的費用支出。 但現在資汛安全已經可用正面的方式來提供訴求，更能成為企業賺錢的利器。例如對線上服務的提供者，強化了資訊服務的安全等級才能提供使用者們更好的使用經驗，增加與同業競爭的差異化服務。尤其經過了國際的認證，更能讓使用者信任我們品牌所提供的服務，所以做好資安對營收是有絕對的正面幫助。