資安法規
對應 DBSAFER 功能
控制措施 01:應注意避免軟體常見漏洞及實施必要控制措施。
DBSAFER 無獨立的漏洞掃描功能或修補工具。
建議:系統版本以及程式所使用之相依性套件維持至最新或推薦版本,並且透過SOC服務檢測比對國際發佈之漏洞版本與現行運作系統版本是否相符,提前發現即時排程更新。
控制措施 02:發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代碼,不包含詳細之錯誤訊息。
需於前端設計中落實資訊分類等級。
建議:在前端設計中,若使用者開啟頁面出現錯誤時只呈現錯誤訊息及代碼,程式設計人員所需要的錯誤訊息則應該寫在系統日誌中,而不該顯示在使用者頁面上。
控制措施 03:執行「滲透測試」安全檢測。
DBSAFER 目前並無滲透測試功能。
建議:國內有許多專業資安服務顧問進行滲透測試、攻防演練以及弱點掃描服務,例如:詮睿科技、中華資安服務、安華聯網…等可以協助。
控制措施 04:執行「弱點掃描」安全檢測。
DBSAFER 目前並無弱點掃描功能。
建議:國內有許多專業資安服務顧問進行滲透測試、攻防演練以及弱點掃描服務,例如:詮睿科技、中華資安服務、安華聯網…等可以協助。
控制措施 05:於系統發展生命週期之維運階段,應執行版本控制與變更管理。
- Admin Action Tracker(管理員行為追蹤)
- Policy Violation Report(政策違規報告)
- Secure Log Seal(安全日誌封存)
- Real-Time Command Monitor(即時指令監控)
- Session Log Search(會話日誌搜尋)
- Access Control Preferences(存取控制偏好設定)
DBSAFER 並無版本控制功能,但它能透過變更記錄、日誌加密與存取監控確保版本更新的安全性與可追溯性。
1. Admin Action Tracker(管理員行為追蹤)
記錄所有系統版本變更與管理員操作行為,確保所有變更符合內部變更管理政策。
2. Policy Violation Report(政策違規報告)
自動監測系統變更是否符合版本控制與變更管理標準,若發現未經授權變更,則自動產生警報。
3. Secure Log Seal(安全日誌封存)
記錄所有系統版本變更與維運操作,確保所有更新行為可被完整追蹤與審核。
4. Real-Time Command Monitor(即時指令監控)
監測管理員執行的變更管理相關指令,如系統升級、設定變更、軟體更新等,確保變更符合安全策略。
5. Session Log Search(會話日誌搜尋)
允許管理員查詢所有系統維運與版本控制相關日誌,確保所有變更行為可稽核與回溯。
6. Access Control Preferences(存取控制偏好設定)
允許設定不同層級的變更管理權限,如僅授權特定管理員可執行系統更新與版本變更。
控制措施 06:於部署環境中應針對相關資通安全威脅,進行更新與修補,並關閉不必要服務及埠口。
DBSAFER 無獨立的漏洞掃描功能或修補工具。
建議:系統版本以及程式所使用之相依性套件維持至最新或推薦版本,並且透過SOC服務檢測比對國際發佈之漏洞版本與現行運作系統版本是否相符,提前發現即時排程更新。
控制措施 07:資通系統開發如委外辦理,應將系統發展生命週期各階段依等級將安全需求(含機密性、可用性、完整性)納入委外契約。
以契約載明安全需求。
DBSAFER 將與經銷商明確訂定及以契約載明安全需求。
建議:與經銷商需要簽訂合約及調整,並於合約中載明事項。
控制措施 08:開發、測試及正式作業環境應為區隔。
測試環境(POC)安裝。
DBSAFER 將可透過客戶提供測試環境(POC)安裝。
控制措施 09:支援演算法最大長度金鑰。
無金鑰儲存服務,然透過現有功能仍可達到安全性。
DBSAFER產品本身無金鑰儲存服務,但透過現有功能也可保障資料的保存及傳輸同樣保有安全性。
控制措施 10:加密金鑰或憑證應定期更換。
無金鑰及憑証儲存服務,然透過現有功能仍可達到安全性。
DBSAFER產品本身無金鑰及憑証儲存服務,但透過現有功能也可保障資料的保存及傳輸同樣保有安全性。
控制措施 11:伺服器端之金鑰保管應訂定管理規範及實施應有之安全防護措施。
無金鑰儲存服務,然透過現有功能仍可達到安全性。
DBSAFER產品本身無金鑰儲存服務,但透過現有功能也可保障資料的保存及傳輸同樣保有安全性。