標題： 打造App資安防護網有訣竅 內文： 　　最近這幾年新興科技發展，像是雲端、大數據、行動應用、物聯網，都讓 各產業的資訊服務有了爆炸性的成長，從影響日常生活交易的行動電商、電子 支付，到讓各產業發生質變的工業4.0、金融科技FinTech等。 　　上述總總，不難發現行動App在數位化與業務模式改變中，所產生的深遠 影響。 　　在人手一機的行動浪潮趨勢之下，行動應用App已深入不同產業與生活場景 中，例如日常購物、交易轉帳、訂票搭車中，甚至連找工作都可使用App。 　　對企業而言，App不只是和客戶的互動平台，也是企業的策略工具，亦可以 協助企業主深入通路經營管理及內部營運監控。 　　透過App可以打造企業行動POS機，一機在手，希望無窮，開創無限的商機， 並且企業管理階層，也可以透過App即時取得關鍵資訊，例如銷售紀錄、倉儲管 理、市場情報等相關的資訊報表，可見App已成為企業實踐營銷一體化的重要推 手。 　　然而，App的資訊架構，相較傳統系統更為複雜，並且承載更多機敏性資料 ，舉凡個人基本資料、交易資料、GPS 定位資訊等，均為時下App最常應用的資 訊。 　　但使用者對App安全認知有限，且企業大多將App委外開發，而委外廠商以 完成程式功能為優先考量，也缺乏安全開發的管控，這造成許多資訊安全議題 被忽略，讓App成為資訊安全的漏洞，甚至是駭客攻擊的標的，進而導致企業 重要資料外洩、業務訂單漏失、客戶失去信心、品牌價值下降等企業危機。 　　依據勤業眾信發布「2016年行動應用App之安全檢測報告」看來，行動應用 App常見的資安問題包括個人資料容易遭惡意程式使用或傳遞、未檢視所需執行 權限（例如GPS定位）、傳輸個人資料時未進行安全加密、所使用套件程式存在 安全弱點、未對使用者輸入欄位地方進行相關的安全驗證，以及未有效保護行 動應用App，導致可解析程式碼內容及進行修改動作。 　 　　讓人憂心的是，目前國內企業對於App資安管理尚在萌芽階段，並未能掌握 風險，提出因應對策。 　　依據國際機構的調查結果統計，大約四成公司在推出 App前，並未進行必要 的資訊安全檢查，而約有五成公司，完全沒有編列預算，來確保App安全性。 　　建議企業應依據經濟部工業局所制訂「行動應用App基本資安檢測基準」來 進行App安全檢測，並要適當參考國際最佳實務。 　　像是OWASP於2016年提出的十大行動裝置應用程式開發風險。從企業內部管 理、外部管理與結果檢測三個面向，來掌握App安全風險。 ˙首先是內部管理面 　　應針對App開發生命周期進行評估，明確訂定App的安全開發標準。 　˙接著在外部管理面 　　針對委外廠商進行完善規範及評估，並溝通安全管理要求與規格。 ˙最後則是安全檢測面 　　透過評估使用者行為，模擬使用者情境與系統環境，定期從多種面向，執行 App資安檢測作業。 　　行動應用App不只是吸引客戶目光的行銷手法，更是企業在業務發展、價值 創造、以及提升競爭力的一環。企業唯有儘早將之列入企業暨資訊安全風險管 理的優先項目，方能在數位化浪潮下，定下穩固的基礎。 （作者是勤業眾信資安科技暨鑑識分析中心副總經理、協理、經理，本專欄每周五刊登） 來源： 2016-07-22 04:07 經濟日報 溫紹群、舒世明、陳威棋 http://udn.com/news/story/7244/1844929