Hi!大家好，我叫史丹利，是一位.NET工程師，平時的工作是研發及維護一套金融支付解決方案，專案過程及日常工作中，時常接觸資訊安全的議題，在網際網路充滿威脅的時代裡，希望在30天的iT邦幫忙鐵人賽中，從.NET工程師的角度切入軟體系統的中後段，整理資料安全及簡單的加密演算法運用防護。

資訊安全

也許我們從小都聽過或看到標語上寫著

效忠領袖，保衛國家；保密防諜，人人有責。

感覺那個大時代有點沉重，隨著時光飛逝，這幾年耳朵常飄進又飄出這句話：

資訊安全，人人有責。

上天賦予了神聖的責任給我們，但每次遇到厲害主導稽核員(Chief inspector)盤查，一時之間除了緊張冒手汗，自己就是沒法子清楚有系統的表達出工程師們在資安的努力還有安全關係的連結。　　

快變成官方式的罐頭回答:

腦海裡面想了一下以前的回答：　

• 避免程式漏洞： 成員開發的程式會進行源碼分析及檢測SCA(Static Code Analyzer)，至少會修掉critical和medium等級的issue。
• 測試機間的連線存取：測試機的環境會架設厲害的防火牆軟體作存取控制，作實體隔離。
• 安全更新：公司網管每個月從Microsoft資訊安全公告轉信給成員，然後下載安全更新到Wsus，我們成員的電腦也會自動Apply windows安全性更新，測試機則是測試過後Apply Patch。
• 實體機房管制：雖然只有測試機，但有進出安全門禁管制、錄影監視設備，像自己就進不去。
• 病毒防護：成員個人電腦(PC)都有安裝國際知名品牌防毒軟體，並且在電腦桌面右下角確定她是藍色活在當下的狀態，同時我們會定時更新最新的病毒pattern。
• 資安學習管道：成員每年都會完成個資法線上學習並且通過考試，然後成員不會點來路不明的信件!
• 公司的資安政策：成員個人電腦(PC)登入前，都有資安政策宣導，成員都看得滾瓜爛熟。
• 軌跡與稽核：最後就是成員不太喜歡的螢幕側錄監控軟體，雖然工作內容只有開發和測試，也沒有接觸到客戶的營運環境，但還是要監控成員的歷程，據說只會事故發生才會調閱。

BRBRBRBRBR...........

呼......放慢腳步仔細思考一下!

這些資訊安全層面也都很重要，除了源碼分析及檢測(Code Analyzer)，這些管理制度主要著重在實體、人員、機器和網路的層面，但究竟我們在應用程式和資料庫這兩個系統中後段的層面怎麼保全資訊資產？怎麼確保這些資產的機密性、可用還有完整性?

2016這年尾，連總統都說

資安就是國安

身為一個熱血.NET工程師，於是在今晚手滑參加了第二鐵，用一年一度的機會盤點!

記得高中打籃球時，如果常和厲害的球友鬥牛，自己肉腳的身手也會進步，參加了鐵人賽大概就是這樣的念頭，因為平時的工作還是以應用系統開發為主，試著複習整理Big Data(R語言與簡單機器學習)和Security(資料安全及簡單加密演算法)，期待能讓自己明年有更多學習發展的方向。

30天的主題

今晚要先勾畫出30天輪廓，想整理幾個主題:

• 資料儲存安全(以微軟SQL Server作為範例)
• 資料使用安全
• 應用程式安全及源碼檢測
• 檔案傳輸安全
• 幾種簡單常用的雜湊及加密演算法
• 幾種簡單加密演算法在支付產業的應用

題目就定成資料安全與簡單加密演算法見面會，打算從資料的傳輸、儲存、備份及銷毀中複習資訊安全，希望不會寫寫就歪掉，盤點到不足的地方就設定成新年新希望!

因為史丹利不是專業的資安人員或是神秘的稽核人員，如果有更好的建議作法或是內容有誤的地方，非常歡迎大家提供建議或指正喔。

威尼斯聖馬可區的警察

2011-10 攝於Venice,italy