NEWS

魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎?

LATEST NEWS

魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎?

魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎?

 

許多中小企業因為沒有雇聘專業資訊人員,而將網站建置以外包方式讓廠商承製與開發,業主第一線只看到價格是否迷人,但東省西扣的預算中,背後卻犧牲不可忽視的資安問題。
 
 

為什麼資安是網站建置的必備項目?


Web應用安全指標性機構OWASP集結各種網頁安全漏洞,歸納出2021前十大資安問題,包含常見的跨網站腳本攻擊XSS(Cross-Site Scripting)、資料庫注入SQL injection,除了竊取會員帳號密碼,也可能植入惡意連結,引發更大範圍感染,或在系統內植入木馬程式,造成重要機密資料外洩。
 
除了品牌形象網站,部分業主網站設有會員系統,進一步的會員管理、金流服務、物聯網IOT等功能,與使用者機密資料連結度極高,資安更是相形重要。資訊安全是公司品牌信賴度的重要基石,一旦出現裂痕,客戶的信賴度將大打折扣,也可能呈雪崩式瓦解蕩然無存。
 

網站委外建置需要注意的事項有哪些呢?


當公司網站或系統決定委外開發時,業主不妨留意從專案開始,依序自需求、設計、開發、測試、部署維運等五大階段,是否符合安全系統發展生命週期(SSDLC原則),是否依據資訊安全系統防護需求的普、中、高分級,採取各項必要的安全防護措施,幫助User降低使用網站的安全風險。
 
魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎? | 圖1
 

您的網站建置各階段都符合SSDLC的防護基準嗎?


在需求階段開始,可依據中興大學提供的「SSDLC檢核表」逐一檢查,檢核表拆分為存取控制、稽核與可歸責性、營運持續計畫、識別與鑑別、系統與服務獲得、系統與通訊保護、系統與資訊完整性等七大構面,列出具體執行上各種需注意的檢核細項,包含帳號管理、遠端存取、資料傳輸、資料儲存⋯⋯等皆有清晰且詳細的規範,大家可以檢視一下自己公司網站或系統在建置的過程,是否有做到這些防護基準。
 
 
魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎? | 圖2
圖片來源:中興大學「SSDLC檢核表」
 
中興大學特別將相關資料統整為SSDLC檢核表,開放大家可前往建立副本到自己的google雲端硬碟上,大家可善用這樣的工具。
 
而SSDLC後續在各階段仍有需注意的重點,例如設計階段需注意識別可能影響系統之威脅、風險評估等;開發階段則針對安全需求須實做必要控制措施。陸續完成系統或網站時,測試階段經由滲透測試、資安弱點掃描等,揭示安全檢測的一環;進入部署階段後,針對資通安全威脅,進行系統的更新與修補。

 
中興大學對於安全系統發展生命週期SSDLC資安有系統化的解說,詳細可見影片介紹


 

您的網站開發案會不會被外包再外包?


委外建置網站除了注意各方細節,閃避報價最低標所深埋的資安地雷,而許多人會關心「怎麼挑選網站外包的資訊公司呢?」
 
挑選資訊公司時,至少要求資訊公司符合政府資訊系統採購法,承製網站的資訊公司是否為一條龍負責?除了在規劃、製作、維護上都能有精確掌握,也確保承製的資訊公司不會委外再委外。
 
同時也需進一步了解開發商承製網站的開發人員是否為專業的工程師?避免在緊急狀況發生時,求助無門,甚至讓您心愛的品牌網站成為網站孤兒。
 
魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎? | 圖4
圖片來源:國立中興大學計算機及資訊網路中心(興大計資中心),系統委外開發應知事項簡報-P11
 

中興大學計資中心細心熬製資安大補帖


公家單位有許多主題網站或系統委外承製的需求,興大計資中心對於網站/系統承製的資安有綿密規範,近年將許多資安管理的說明文件彙整,免費釋出,而教育機構資安驗證中心更於網站上開設許多資安通識教育訓練課程,落實教育機構資訊安全管理,幫助許多人釐清資安問題,提升資安知識的門檻值。
 
想了解的您可以前往該網站汲取所需知識:
中興大學計資中心 資安管理

 

網站/系統建置 安心選擇品科技


品科技歷年與多家公家機關、學術單位合作,也協助各家業者規劃並架置理想網站,系統開發遵守各項必要的安全防護措施,至少通過網站的中、高風險弱點掃描,與資安檢測報告,讓業主擁有賞心悅目的視覺設計兼具資訊安全的安心保障。而您的開發商是否也幫您注意到會員隱私安全了呢?

魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎? | 圖5
品科技同仁擁有國際認可的「ISO 27001:2013資訊安全管理系統主導稽核員」證照,從稽核員角度全面檢視資訊安全管理措施。

魔鬼藏在低價裡 | 網站委外建置,資安必備了嗎? | 圖6
品科技同仁通過「公務機關委外資通系統廠商須知線上測驗」,落實相關資訊安全管理措施,為客戶網站與系統的資安把關。

如果您還在煩惱不知道該如何尋找APP開發廠商,不妨來電洽詢品科技  (04) 2277-0046

品科技是您最好的選擇--中部最專業的網頁與APP團隊,不僅有開發能力更懂得結合設計美感,多年產學合作與企業推廣經驗,讓你的產品馬上被看見

留言

留言日期:2023-04-07
我認為對於委外建置網站來說,價格當然很重要,但是更重要的是資安問題。如果只顧著找低價的服務提供者,卻忽略了資安風險,建置出來的網站可能會給公司帶來更大的損失。因此,我認為在選擇服務提供者時,資安應該是要放在首位的考量因素之一。 如果可以,建議在委外建置網站前尋求專業的資安顧問,以確保建置出來的網站能達到足夠的安全水準。