產品特寫

新資安法上路 資安防護該怎麼做?

Vita Vita

今年 1 月 1 日正式實施的《資通安全管理法》,加速建立國家資通安全環境,不論公務或特定非公務機關都需達到資安防護基準要求。而透過 Fortify SCA (Static Code Analyzer;靜態原始碼檢測分析工具)與 WebInspect(動態弱點掃描檢測工具)能幫助各機關完整的安全性檢測,符合資安法之防護基準,落實風險管理。

關於《資通安全管理法》

107 年 5 月 11 日立法院院會中,資通安全管理法順利完成三讀,並於 6 月 6 日正式公布該法。行政院也於同年 11 月完成《資通安全管理法施行細則》,在內的 6 個子法包括:《資通安全管理法施行細則草案》、《資通安全責任等級分級辦法草案》、《資通安全事件通報及應變辦法草案》、《特定非公務機關資通安全維護計畫實施情形稽核辦法草案》、《資通安全情資分享辦法草案》以及《公務機關所屬人員資通安全事項獎懲辦法草案》,並於 108 年元旦正式實行。

資安管理法架構。資料來源:行政院資通安全辦公室

資通安全責任等級之公務(非)機關應辦事項

管理面

管理面

A、B 級機關初次受核定或等級變更後之一年內完成資通系統分級,並完成之控制措施。C 級機關若初次受核定或等級變更後之一年內完成資通系統分級,系統等級「高」者,應於初次受核定或等級變更後之二年內完成控制措施。

技術面

可使用 Fortify 原始碼掃描(白箱)、網站弱點檢測(黑箱)進行安全性檢測。

技術面

安全軟體發展生命週期(Secure Software Development Lifecycle;SSDLC)「安全性測試」驗證應用程式潛在安全性瑕疵,分為「源碼靜態分析」以及「動態測試」。「源碼靜態分析」可以在不執行軟體的狀況下,針對軟體的源碼內容進行分析,比對已知弱點模式,找出可能的缺陷或錯誤。而「動態測試」則是將軟體在實際的環境中執行並進行分析的活動。源碼靜態分析由於可以直接針對源碼進行檢視,故可被視為是「白箱測試」的一種,「動態測試」則是對執行的應用程式進行測試,故被視為「黑箱測試」。另外,「灰箱安全性測試」,其針對黑箱及白箱的檢測結果進行交叉分析,目的在找出真正高風險的問題。

Fortify 完整提供安全性檢測解決方案

  • 可偵測 961 種弱點類別
  • 支援超過 26 種程式語言
  • 涵蓋超過 911,000 個 API
fortify