iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 2
2
Security

看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!系列 第 2

Day 02. 行動應用基本資安規範

今天來講講 行動應用基本資安規範,因為很多人常會聽到 App資安檢測MAS標章行動應用資安聯盟等相關詞,但讓人很容易搞不清楚這些關連性,App資安檢測到底需不需要做

這篇主要介紹 行動應用App基本資安檢測是從何而來,前面提到許多似是而非的名詞,法源根據又是什麼

用什麼方式決定需不需要資安檢測

UzkKwnU

起源

自從 Apple iPhone 問世後,各種行動裝置應用程式(Mobile Application 簡稱App) 有如雨後春筍不斷冒出

人們開始依賴各式各樣的App ,惡意使用者或黑客看準部分開發缺乏資安意識,造成使用者資料的外洩,或財務的損失,因此

經濟部工業局依據行政院國家資通安全會報103年6月24日第26次委員會議決議事項:「參考各國手機管制機制及我國相關業務分工,手機與電腦之應用軟體(包含LINE)基本資安規範由經濟部主管,惟手機屬電信法第42條規定之電信終端設備,其出廠時已內建之軟體仍併同硬體由通傳會主管;請前揭二部會依此分工原則積極研議相關管理作為,並規劃制訂資安檢測標準及鼓勵廠商自主驗證等業務」辦理。

參照國際相關資安規範,歷經工作小組、專家座談研討等多次會議,蒐集產官學研先進之建議,並公開徵詢各界意見,於105年2月底已依序完成**「行動應用App基本資安規範」、「行動應用App基本資安檢測基準」、「行動應用App基本資安自主檢測推動制度」及「行動應用App 安全開發指引」**

105年11月29日正式成立「行動應用資安聯盟」,以推動我國行動應用App相關產業發展,令資安自主檢測機制更加完善,培育行動應用資安產業人才,提升國內行動應用App資訊安全,拓展國內外商機為宗旨。

由上內容可知 行動應用App基本資安規範 是由經濟部工業局輔導下所制定資安檢驗的基準

是國內可以用來衡量APP是否安全的基準

應用App基本資安檢測可以幹嘛?我需要嗎?

大家都很關心這個議題,畢竟大家都不想花錢

這裡用幾個判斷基準,可以讓讀者 Review 自己的 App 是否需要資安檢測

首先App 基本資安規範 定義了三個行動應用程式分類

分類 說明
L1 無須使用者身分鑑別之行動應用程式
L2 須使用者身分鑑別之行動應用程式
L3 含有交易行為之行動應用程式

APP 狀況是 L1 ,大部分你的app 通常都是工具 / 生產力類型的App 外部資料通常是OpenData 類型,所以資安層級可以不用太高

大部分的 App 範圍會落在這一個L2,如果是App使用到個資建議送驗,畢竟個資洩漏的罰則可是很重

然而 L3 有三種狀況

  1. App 自行處理金流交易: 自行串銀行/收單行,或本身就是銀行或電子支付 App 這種風險等級就非常高,建議送驗
  2. App 串接金流服務商:使用第三方支付的SDK串接,只要依照官方提供文件串接,通常就不會有安全性問題這是SDK 設計時已經處理過的,可以自行評估送驗,但是開發者還是要有一定安全意識,不能自行為了方便不依照官方指示串接,本人接觸過有開發者直接將密鑰放置在 App 內處理訂單,結果密鑰洩漏造成的事故
  3. 金融特許行業:只要是電子支付業者或銀行業者等,會直接受到電子支付專法/銀行法條列要求每年都需要送驗取得證書

另外還有一個特殊狀況,現在只要是公家機關 App 合約內會要求取得資安檢測證書

結論&建議

前一項提到用什麼特徵來決定是否要送驗,作為判斷的依據,決定是否檢測

即使決定不送驗,強烈建議還是需要理解資安規範並自主進行檢測,預防資安的風險

即使通過檢測,不代表已經沒有資安的風險,因攻擊手法會一直更新,所以需要一直與時俱進並不間斷持續資安意識及措施


上一篇
Day 01. Why Mobile Application Security
下一篇
Day 03. 如何申請行動應用基本資安檢測,並取得證書
系列文
看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!31

1 則留言

0
SunAllen
iT邦研究生 1 級 ‧ 2020-09-17 20:28:56

/images/emoticon/emoticon28.gif

羊小咩 iT邦新手 5 級 ‧ 2020-09-18 18:42:34 檢舉

/images/emoticon/emoticon26.gif

我要留言

立即登入留言