应用系统开发的防护基准

适用人员: 技术人员(开发人员)。
适用法规: 资通安全责任等级分级办法 - 附表十资通系统防护基准.PDF

• 技术面分类提要
• 网路架构的检视
• 端点的安全防护
• 应用系统开发的防护基准

应用系统由於架构在端点之上，因此在评估每一个应用系统时也自然要符合前述底层的端点防护软件。这一分类与端点的差异在於实施人员为实际开发人员(撰写、维护系统)，虽然每一个应用系统都有其独特性，但仍要满足以下需求，故为基准。

附表十资通系统防护基准: 明确的规定即在此附表中，为主要的参考依据。先将系统依照「系统防护需求分级」分为低、中、高，再采取以下的相对应措施。

• 存取控制: 包含帐号的管理、权限的分配等。
• 事件日志与可归责任: LOG 的保存、存取
• 营运持续计画: 系统的备份及备援
• 识别与监别: 加强帐号的管理，如密码强度、锁定等。
• 系统与服务获得: 可以对应 SSDLC (安全的软件开发周期)
• 系统与通讯保护: 传输、资料的加密
• 系统与资讯完整性: 监控、修补系统等。

应用开发的重点，一言以蔽之为安全的软件开发生命周期 (SSDLC)。接下来的篇章整理其中内容，分类如下後说明:

• 开发过程的程序与记录
• 传输与资料的加密与保护
• 帐号管理与存取权限
• 委外注意事项
• 其他(除旧布新)

再次说明应用开发前需要先确认已符合端点防护。而後续的扫描(弱点、渗透等)留在往後的清查系统，不在此类中详述。