今天來講講 行動應用基本資安規範,因為很多人常會聽到 App資安檢測
、MAS標章
、行動應用資安聯盟
等相關詞,但讓人很容易搞不清楚這些關連性,App資安檢測
到底需不需要做
這篇主要介紹 行動應用App基本資安檢測
是從何而來,前面提到許多似是而非的名詞,法源根據又是什麼
用什麼方式決定需不需要資安檢測
自從 Apple iPhone 問世後,各種行動裝置應用程式(Mobile Application 簡稱App) 有如雨後春筍不斷冒出
人們開始依賴各式各樣的App ,惡意使用者或黑客看準部分開發缺乏資安意識,造成使用者資料的外洩,或財務的損失,因此
經濟部工業局依據行政院國家資通安全會報103年6月24日第26次委員會議決議事項:「參考各國手機管制機制及我國相關業務分工,手機與電腦之應用軟體(包含LINE)基本資安規範由經濟部主管,惟手機屬電信法第42條規定之電信終端設備,其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務」辦理。
參照國際相關資安規範,歷經工作小組、專家座談研討等多次會議,蒐集產官學研先進之建議,並公開徵詢各界意見,於105年2月底已依序完成**「行動應用App基本資安規範」、「行動應用App基本資安檢測基準」、「行動應用App基本資安自主檢測推動制度」及「行動應用App 安全開發指引」**
105年11月29日正式成立「行動應用資安聯盟」,以推動我國行動應用App相關產業發展,令資安自主檢測機制更加完善,培育行動應用資安產業人才,提升國內行動應用App資訊安全,拓展國內外商機為宗旨。
由上內容可知 行動應用App基本資安規範 是由經濟部工業局輔導下所制定資安檢驗的基準
是國內可以用來衡量APP是否安全的基準
大家都很關心這個議題,畢竟大家都不想花錢
這裡用幾個判斷基準,可以讓讀者 Review 自己的 App 是否需要資安檢測
首先App 基本資安規範 定義了三個行動應用程式分類
分類 | 說明 |
---|---|
L1 | 無須使用者身分鑑別之行動應用程式 |
L2 | 須使用者身分鑑別之行動應用程式 |
L3 | 含有交易行為之行動應用程式 |
APP 狀況是 L1
,大部分你的app 通常都是工具 / 生產力類型的App 外部資料通常是OpenData 類型,所以資安層級可以不用太高
大部分的 App 範圍會落在這一個L2
,如果是App使用到個資就建議送驗
,畢竟個資洩漏的罰則可是很重
然而 L3
有三種狀況
建議送驗
自行評估送驗
,但是開發者還是要有一定安全意識,不能自行為了方便不依照官方指示串接,本人接觸過有開發者直接將密鑰放置在 App 內處理訂單,結果密鑰洩漏造成的事故另外還有一個特殊狀況,現在只要是公家機關 App 合約內會要求取得資安檢測證書
前一項提到用什麼特徵來決定是否要送驗,作為判斷的依據,決定是否檢測
即使決定不送驗,強烈建議還是需要理解資安規範並自主進行檢測,預防資安的風險
即使通過檢測,不代表已經沒有資安的風險,因攻擊手法會一直更新,所以需要一直與時俱進並不間斷持續資安意識及措施