close


會計師看時事/行動App資安檢核 五招搞定

 


隨著金融3.0、金融科技(FinTech)、行動支付、工業4.0、物聯網、雲端應用等新興科技所帶來的業務模式改變,行動應用App的使用更為蓬勃發展。「滑」世代來臨,路上隨處可見人手一「機」,但行動應用App安全問題卻層出不窮,許多惡意程式造成個人資料受到侵害威脅,例如Android平台媒體函式庫漏洞事件,使民眾聽歌手機遭駭;而蘋果App Store也爆發首次大量惡意程式入侵等。未來,企業勢必將面臨更多新興科技應用時,行動應用App所帶來的風險與衝擊。

 

由於行動應用App開發時程較短,且多數委外開發,因此程式開發人員在以功能為優先的導向下,時常會忽略許多程式安全開發管控要求。企業如果欲防範行動應用App成為惡意人士利用的工具,可參考國內經濟部工業局「行動應用App基本資安檢測基準」,針對五大面向進行自身或委外廠商開發,進行風險識別及資安檢核作業,包括:


一、行動應用程式發布安全:防止合法App遭到偽冒或存取個資未符合個資法要求。


二、敏感性資料保護:防止敏感性資料以明碼方式儲存或未進行加密傳輸。


三、身分認證、授權與連線管理安全:防止交易資料未進行完整性驗證與防護。


四、付費資源控管安全:要求付費資源使用前進行身份認證及主動通知使用者。


五、行動應用程式碼安全:防止使用已知弱點函式庫或未對使用者輸入進行驗證。

而除了行動應用App資安檢測作業外,企業應進一步針對行動應用App開發生命周期、委外安全開發管理要求及偽冒App追蹤管理進行完善規範及評估,以進一步了解其所開發的行動應用App所面臨的威脅及資安風險。

首先,進行行動應用App開發時,需規劃與設計機制等安全開發的相關檢核。

其次,委外程式開發安全驗收檢核需有嚴格要求,引導行動應用App開發廠商導入資安開發機制;最後,在偽冒App的追蹤與保護方面,須僅在合法的應用程式商店發布、於網際網路上追蹤是否有偽冒行動應用App、加入防偽冒之功能(如行動應用App保護機制)。

 

(作者是勤業眾信風險管理諮詢公司總經理,本專欄每周五刊登)2016-04-08 經濟日報 萬幼筠

 

 

 

新百王證券股份有限公司
營業員:曾坤琦(三省一生)
地址:高雄市前金區中華三路11號B1
發富專線:07-2118888
分機電話:07-2118888轉212
聯絡專線:07-2414748、07-2419575

委任期貨商:大昌期貨股份有限公司
證券商許可證號:100年金管證總字第0066號

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 quincy1550 的頭像
    quincy1550

    新百王證券

    quincy1550 發表在 痞客邦 留言(0) 人氣()