近幾年應用程式所產生的安全漏洞數量已經明顯高於網路與作業系統層級的總和,其中尤其以 Web 相關的應用程式為最大宗。包含網站本身所存在的安全問題,再加上各式各樣瀏覽器與外掛程式 (如惡名昭彰的 Flash),都讓相關問題日益嚴重。雖然目前有很多方法與工具可以幫助服務供應商與使用者解決相關問題,但是因為缺乏共通性的標準而讓整個事情變得很難有效地管理與追蹤。舉例來說,身為一個使用者,你怎麼知道 Gmail 與 Hotmail 哪一個比較安全?好吧,或許 Google 與 Hotmail 本來就各自擁有為數眾多的愛用者,所以這個問題可能不是那麼難回答 (答案對不對是另外一回事)。但是如果今天換成是兩個名不見經傳的小網站,要回答哪一個網站比較安全可就不是那麼容易的事情了。
目前分類:資安標準 (2)
- Jul 21 Wed 2010 23:14
[資安標準] OWASP Application Security Verification Standard (ASVS)
- Jul 18 Sat 2009 18:20
[資安標準] PCI 公布無線網路指導原則
PCI Security Standards Council 於日前公布了一份無線網路部署的指導原則 (Guildline),針對想要符合 PCI DSS 規範的廠商提出了應用無線網路 (802.11) 時所應注意的事項。雖然我們所處的環境不見得需要符合 PCI DSS 的規範,但是因為無線網路已經成為許多公司網路環境的一部分,而且無線網路所造成的安全危害也不容忽視,所以仍舊值得做為我們增進無線網路安全的重要參考依據。
該文件將建議事項大致分類為實體保護、隔離無線網路與有線網路、惡意 (rogue) 的 AP、設定、驗證與加密機制、無線網路使用政策、入侵偵測與存取記錄幾個主題。各個主題除了進一步加以說明外,也條列了重點式的建議做法,可提供無線網路的管理者一個方便且有用的作業準則之基礎來源。