应用系统的防护基准-传输与资料的加密与保护

适用人员: 技术人员(开发人员)。
适用法规: 资通安全责任等级分级办法 - 附表十资通系统防护基准.PDF

• 技术面分类提要
• 网路架构的检视
• 端点的安全防护
• 应用开发的防护基准
  • 开发过程的程序与记录
  • 传输与资料的加密与保护
  • 帐号管理与存取权限
  • 委外注意事项
  • 其他(除旧布新)

加密是资安防护措施的常用手段，如果可以的话，什麽都能拿来加密是最好不过了。主要用於保护重要的资料，避免攻击者拿到之後也无法轻易得知内容。除此之外加密也用在确保使用者身份。因此在传递(连线)、储存上都要特别注意。

以下说明加密演算法的选择与需加密的资料:
加密的选择: 重点只有一个，使用越难破解的越好

• 已经被破解、容易被暴力破解的不能使用，例如 MD5。
• 且有高度风险则应该采用更新的版本，没有的话建议改用其他演算法，例如 TLS 采用 1.2 以上版本。
• 凭证的有效性也要定期更新

需加密的资料: 包括重要的敏感性资料，以及会影响系统安全的资讯。

• 密码
• 敏感性资料
• 个资
• 传输协定，如网页启用 https, ftp 使用 sftp 等

在个资法的保护下，拥有个资的单位反而是最需要小心的部份，除了档案本身与传送加密之外，在蒐集、处理、利用上都必须依法处理，这又是另一个大坑了...