新闻链接：http://www.jifang360.com/news/201365/n108548660.html
新闻时间：2013-6-5 13:54:51
新闻正文：网站上云端就一定是安全的吗?
中华民国资料保护协会理事长指出，近3年来的议题仍离不开云端、个资与资安。近期有很多时事与政治议题都与资讯安全问题息息相关，如县市政府的网站个资外洩、网路银行的客户资料外洩，及台湾与菲律宾渔船事件引起的网站攻防战等，但处理网站问题的优先等级应为个资、资安，接着才是云端防护。
　　其中，网站个资问题的影响层面最大，试想如果菲国总统府网站出现官员个资资料时，那也同时代表着该单位的资安和云端架构出了相同严重的问题，因此网站个资的问题是极为严重的。
　　其次为网站资安之问题，例如网站被置换网页、挂马或置换图片等，损失的除了网站的内容服务外，失去的更是存取网站服务的信心度，若登入一个常被入侵的网站做金融或身分认证服务，相信大家都会内心惶恐不安。

　　网站的公开性。
　　最后网站的云端安全，也是非常重要的问题，採用云端服务可以让网站存取更有效率，也让使用这更快速的存取网站，但云端的资安防护已经日益成熟，于基础架构(Iaas)中就应考量整体效率的问题。
　　鈊保资讯邱志杰技术经理曾经扫描过超过1,000个教育网站与100个政府网站的经验后指出，网站分资料公开区与保护区，公开区之部分个资大多并没有严重个资外洩之疑虑，大部分为公开之资讯如承办业务姓名、电话、地址与联络方式等。但网站保护区的个资若外洩，无论是防护不当或骇客入侵，都是受个资法保护的一部分，则将会有民事与刑事之责任。
　　所以要导入云端，就必须重视其安全性，云端环境之安全是企业极为重视的问题，为了防止恶意程式的攻击、资料洩漏及骇客入侵等问题，云端安全的重要性便不容忽视。若在使用云端运用时，无法让资料安全有一定的保护，那么导入云端则有可能因安全状况产生困扰。
　　最后，CSA台湾云端联盟也发表云端应用安全的相关建议，引用于中文版CCSK教材中的第4章所述：
　　当从事供应商，涉及适当的法律，採购和合约客户组织範围内的团队，服务的标準条款可能无法满足法规性需求，将需要进一步的进行协商。
　　高度管制的行业(例如：金融，医疗等)专门的法规性要求时，应该考虑使用云端服务。
　　确定现有的法规性要求在云端服务使用，特别是这涉及到资讯安全都将受到影响。受影响的政策和程序包含活动报告、记录、数据保存、事件回应、控制测试和隐私政策等。
　　遵守法律和行业法规，其要求如：法律、技术、法律、法规性、风险性和安全性。
　　任何资讯处理。传输、储存或浏览个人身分讯息(PII)或私人资讯应做适当的监管。
　　责任编辑：XFF

[课程]Android-CTF解题方法汇总！