資安是我們開發者一定要注意的議題,程式要寫對以外,安全性也是重要的一環,除了一般的帳密安全,開發軟體時,也不要將secret寫在code之中。
今天我們來了解Security相關的鐵三角以及OWASP。
CIA中央情報局!?
「CIA 資訊安全三要素」中的三個字母代表機密性、完整性和可用性。CIA 資訊安全三要素是常見的模型,構成安全系統開發的基礎。它們是用來尋找弱點和找出建立解決方案的方法。
確保只有授權的人員能夠訪問和查看資訊,保密性通常通過加密,或是access control和身份驗證等措施來實現。
有了保密性,我們可以確保未授權的人不能看到機密資料,增加與客戶的信任感XD
另外有些地方需要認證,例如銀行之類的,客戶的機密資料可不能隨便外流。
確保資訊在儲存或傳輸的過程中沒有被未經授權的修改或破壞,完整性通過校驗和數位簽章等方法來維護。
有了完整性,我們可以確保這資料一定是可信的,保護系統的穩定運行,不會因為假資料造成系統的運作影響。
確保資訊和相關的系統在需要時是可訪問和可用的。可用性通常通過備份、恢復計劃和分散式系統設計來保障。
有了可用性,我們可以確保使用者可以不用擔心他要使用時系統會無法用,他可以安心的使用我們的系統,看使用需求,通常會做到99%up,不然就算有了保密性與完整性,無法使用系統的資料還是跟沒有一樣XD
| 可用性 | 最高的無法使用程度 (每年) | 應用程式類別 |
|---|---|---|
| 99% | 3 天 15 小時 | 批次處理、資料擷取、傳輸和載入任務 |
| 99.9% | 8 小時 45 分鐘 | 知識管理、專案追蹤等內部工具 |
| 99.95% | 4 小時 22 分鐘 | 線上商務、銷售點 |
| 99.99% | 52 分鐘 | 影片交付、廣播工作負載 |
| 99.999% | 5 分鐘 | ATM 交易、電信工作負載 |
來自:https://docs.aws.amazon.com/zh_tw/wellarchitected/latest/reliability-pillar/availability.html
是一個全球性的非營利組織,致力於提升軟體安全性。這個專案對於關注網路安全的人來說,如同指南針一般,指引我們在安全領域不迷失方向XD
OWASP最著名的就是那份OWASP十大漏洞清單(OWASP Top Ten)
這個清單列出了當前最常見、最危險的web app安全漏洞,並且每隔幾年就會更新一次。對於開發者來說,這份清單就是一本必讀手冊XD,因為它告訴我們在設計和開發應用程式時,哪些地方容易出現問題,哪些地方需要特別小心,知道了top ten後,我們就可以防止不少常見的攻擊了。
今天我們多了解一點的資安知識,明天我們要來看一下OWASP top ten是甚麼XD
https://www.fortinet.com/tw/resources/cyberglossary/cia-triad
https://www.cloudflare.com/zh-tw/learning/security/threats/owasp-top-10/
iThome鐵人賽
看影片追技術