Web程式的安全運作與維護

| | | | | | 留下回應

    

前五個禮拜已就應用程式開發流程中的每一步驟說明，若在開發階段將安全議題當考量在內，應用程式將能更安全，也得以減少可能造成的傷害與損失。今天將探討當應用程式已經上線之後的運作(Operation)與維護(Maintenance)階段，所應該注意的安全問題與因應之道。

運作與維護

運作階段最重要的任務是確保應用程式所要提供的各種服務都能順利執行，而維護的動作則是在應用程式有所改變 ，例如新版本的推出，或是相關硬、軟體的維護。主要面臨的風險在於如果應用程式在運作與維護階段不幸遭到攻擊，IT人員應如何應變，且讓系統繼續運作無誤。

此階段的安全重點，已從找出安全問題轉移到如果發生安全事件時要如何處理，以及在維護階段如何保持應用程式本身的安全性。這兩個階段所看的角度並不一樣。讓我們從所謂存活能力四階段出發，以全盤審視該問題。這四階段分別是：辨識 (Recognize)、抵抗 (Resist)、恢復 (Recover)，以及適應 (Adopt)。

首先，在「辨識」階段，系統及程式管理者需要有能力辨識是否有外來攻擊，或是資訊安全警訊發生。例如，來自於外部網路的攻擊，或是透過本機漏洞所進行的攻擊。另外，通常也應注意的重點即是資料的完整性。

一但此系統 (包含應用程式以及所依賴的軟硬體及網路設備)有能力辨識資安事件的發生，第二階段就是－抵抗。當有攻擊發生時，現有系統的抵抗能力為何？如果可以在預期時間內抵抗攻擊的發生，就可以達到企業所需的系統存活度。

第三階段所論及的「恢復」，是指在整個事件結束之後，系統可在多少時間內回復至遭受攻擊之前的水準，繼續提供服務？從此四個階段來看運作與維護的步驟，企業可以知道如果出現安全問題，則此系統的存活能力可有多高。

對於維護階段而言，最重要的議題就在於「改變」 (Change Management)。當應用程式或相關系統內的軟、硬體有所更動，如何確保更動後的應用程式不會出現原來沒有的安全問題，以及如何在更動期間確保沒有安全事件的發生。

在應用程式進行更新後，應該進行新的安全測試，此時開發環境的控管變得很重要。一般來說，一個應用程式都應該有開發環境、測試環境以及正式環境。因此將要替代舊版本的軟體應該在測試環境內進行測試，待確認沒有安全問題之後才進行移轉。如果這個步驟能夠做的確實，那麼更換版本可能只需要數分鐘到數小時的維護時間，相對也可以減少錯誤發生的機會。

客戶端安全問題

在應用程式建置完成後，有一個部分的安全問題經常為人所忽略，那便是使用該應用程式的使用者，及其所用電腦設備之上的安全問題，我們在此簡單稱之為客戶端 (Client) 安全問題。如最近的 網路「釣魚」(phishing)詐騙案，許多銀行被冒名註冊一個假網站 (例如 hkhsbc.com) ，之後該銀行的使用者通常就會收到一封電子郵件，表示從該銀行管理處寄發，因為遺失使用者帳號的密碼，所以希望使用者跟隨信件內指示的超連結，連線至某一相關網站且重設一個密碼。由於此電子郵件利用IE 處理 URL 格式的一個疏失，可讓使用者於電子郵件中所看見的超連結 跟真正連結的網站不同。在幾可亂真（有報導說有的假銀行網站作的甚至比真的還好看）的狀態下，這些假冒的網站就可騙取無知使用者的帳號與密碼，之後再利用這些資料竊取財物。這種「釣魚事件」的嚴重性已讓微軟決定更改 IE ，避免有心人士再度利用這項漏洞欺騙無知消費者。

當然，這只是一個案例而已。由於 IE 與其他瀏覽器自出場以來，大大小小的安全問題不斷出現，而微軟也於近日宣布停止 ActiveX 的支援。從此可知，有些程式的功能因為不安全所造成的影響可能大於所其可帶來的好處。

在運作與維護階段，整個應變計畫的完成與執行是非常重要的。當你在系統開發的前幾個階段都已完成應該做的步驟，但是走到維護階段還是沒有妥善處理更動管理的項目，很有可能功虧一簣，最後還是導致企業損失。

對於客戶端的安全問題，系統開發者應盡的責任是提醒使用者可能面臨的安全問題，以及類似於所謂「Best Practice」的參考文件，讓使用者進行最佳的系統安全設置。只有當這些措施都已完成，才有更好的機會實現安全的系統開發流程。要記住的是，安全不是結果而是過程，就像滾石不生苔的道理一樣，在安全方面投注心力是可以防範未然，且能增加企業本身的競爭力。