議題觀點

《會計師看時事》行動App資安檢核 五招搞定

勤業眾信風險管理諮詢公司 / 萬幼筠 總經理

隨著金融3.0、金融科技(FinTech)、行動支付、工業4.0、物聯網、雲端應用等新興科技所帶來的業務模式改變,行動應用App的使用更為蓬勃發展。「滑」世代來臨,路上隨處可見人手一「機」!然而,近期行動應用App安全問題層出不窮,許多惡意程式造成個人資料受到侵害威脅,例如Android平台媒體函式庫漏洞事件,使民眾聽歌手機遭駭;而蘋果App Store也爆發首次大量惡意程式入侵等。未來,企業勢必將面臨更多新興科技應用時,行動應用App所帶來的風險與衝擊。

由於行動應用APP 開發時程較短,且多採取委外開發模式,因此程式開發人員在以功能為優先的導向下,時常會忽略許多程式安全開發管控要求。企業如果欲防範行動應用APP成為惡意人士利用之工具,可參考國內經濟部工業局「行動應用App基本資安檢測基準」,於開發行動應用APP,針對五大面向進行自身或委外廠商開發,進行風險識別及資安檢核作業,包括:

一、行動應用程式發佈安全: 防止合法APP遭到偽冒或存取個資未符合個資法要求;

二、敏感性資料保護:防止敏感性資料以明碼方式儲存或敏感性資料未進行加密傳輸;

三、身分認證、授權與連線管理安全:防止交易資料未進行完整性驗證與防護;

四、付費資源控管安全:要求付費資源使用前進行身份認證及主動通知使用者;

五、行動應用程式碼安全:防止使用已知弱點函式庫或未對使用者輸入進行驗證。

近期許多企業參與國內經濟部工業局「行動應用App基本資安自主檢測推動制度」試辦檢測實驗室申請,勤業眾信日前收到合格通知,成為國內第一批政府所認可的行動應用App基本資安檢測試辦實驗室。

而除了行動應用App資安檢測作業外,企業應進一步針對行動應用App開發生命週期、委外安全開發管理要求及偽冒APP之追蹤管理進行完善規範及評估,以進一步了解其所開發的行動應用APP所面臨威脅及資安風險。首先、行動應用APP開發生命週期管理:規劃與設計機制、安全開發生命週期檢核;第二、委外安全開發管理要求:委外程式開發安全驗收檢核要求、引導行動應用App開發廠商導入資安開發機制;第三、偽冒APP之追蹤與保護:僅在合法之應用程式商店發布、於網際網路上追蹤是否有偽冒行動應用APP、加入防偽冒之功能(如行動應用APP保護機制)。

 (本文已刊登於2016.4.8 經濟日報A17經營管理版)

是否找到您要的資訊?