雲端運算熱潮興起,軟體即服務(SaaS)的應用模式再度受到討論,當企業準備使用委外廠商提供的線上應用程式時,千萬別忘了關注系統本身的安全性。
關貿網路總經理連鯤菁指出,線上應用程式可能碰到的安全問題很多,除了網路、網站、資料庫可能存在著安全風險外,就連系統本身也可能是造成不安全的因素,但許多企業往往忽略這一點,遇到資安攻擊時,第一個想到的就是加強資料庫、網路或網站的安全防護,卻沒有重新檢視系統本身的安全程度,忽略了就是因為系統本身存有資安漏洞,才讓駭客有機可乘。
一般來說,應用程式安全防護可分成三個階段,第一是系統開發階段,這是最重要的階段,程式設計師必須了解如何撰寫程式才不容易被攻擊或有漏洞,惟有一個體質完善的系統,才能降低被攻擊的機率;第二、當系統開發完成準備上線時,則應進行源碼檢測,確認沒有被植入後門;第三、待系統上線後則須定期進行弱點掃描,隨時為資訊安全把關。
此外,企業也可以透過服務水準協定(Service-Level Agreements;SLA),審核軟體服務廠商的資安防護能力,舉例來說,訂定系統故障的復原時間或賠償金額、訂定資料外洩的賠償金額等,對企業來說,訂定SLA雖然不能保證零風險,卻能讓軟體廠商更謹慎,間接達到強化資安防護的目標。