Leo Yeh's Blog

SAS 資訊安全 (24)

教學目標

初步了解 SAS 平台如何符合企業中資安政策和稽核規範要求的基本概念。

重點概念

首先不論是 SAS 9 平台或 SAS Viya 平台中所有軟體產品的開發皆有符合完整的軟體開發生命週期 (SDLC) ,並且遵循安全架構設計模式,以利建立符合資訊安全和隱私保護的軟體,其中主要遵循美國國家標準協會所制定的產業最佳實務和標準技術 (NIST) 和開放網站應用程式安全專案 (OWASP) 所歸納出的十大網路資安風險,像是注入攻擊、無效身份驗證、敏感資料外洩、… 等。此外 SAS 研發團隊更會審核和確保所有開源程式碼皆以獲取授權,並且透過軟體組合分析工具在整合之前確保已知安全性的漏洞皆已完成修正,以及執行靜態和動態應用程式的安全測試,更進一步將會持續追踪和修復應用程式的安全漏洞,更多資訊請先參考官方文件

接著 SAS 9 平台提供資訊安全功能主要包括稽核記錄、身份驗證、授權管理和加密保護,其中所謂稽核記錄主要是將與安全相關的事件作為系統範圍的日誌記錄工具的一部分進行記錄,像是已驗證事件資訊、客戶端連線資訊、使用者和群組變更資訊、…等。所謂身份驗證主要是將每個使用者的外部帳號儲存在 SAS 中繼資料伺服器中作為每個連線使用者建立唯一身份驗證的識別,同時進行區分存取和追蹤使用者相關存取活動。所謂授權管理主要是基於中繼資料的授權存取機制機制整合作業系統和其它系統的授權存取機制,我們能夠針對所有中繼資料物件進行授權管理。所謂加密保護主要是提供加密功能將有助於保護傳輸和儲存中的所有資訊,更多資訊請先參考官方文件

再來 SAS Viya 平台提供資訊安全功能主要包括網頁安全、身份驗證、授權管理和加密保護,所謂網頁安全主要是針對網站應用程式特定類型的攻擊之安全性保護,以及使用現代網頁瀏覽器中可用的安全性功能。所謂身份驗證主要是驗證使幅或服務帳號身份的安全方式,像是主機驗證、LDAP 驗證、整合驗證、… 等。所謂授權管理主要是確定哪些使用者將能夠使用哪些資源,並且授權管理主要由兩個授權系統組成,分別為一般授權系統和 CAS 授權系統。所謂加密保護主要是提供加密功能將有助於保護傳輸和儲存中的所有資訊,更多資訊請先參考官方文件

最後企業客戶通常還會想了解使用者登入網站是否為 Session 方式進行連線和網站應用程式的 Time-out 的時間是否能夠調整呢?答案為是的,不論是 SAS 9 平台或 SAS Viya 平台皆能夠透過參數或屬性設定來調整網站應用程式的 Time-out 的時間,預設時間皆為 30 分鐘,此外當使用者登入 SAS 平台中的網站進行操作時,皆是以 Session 方式進行連線。此外不論是 SAS 9 平台或 SAS Viya 平台皆有提供能夠根據企業客戶的需求進行客製化開發儲存任何複雜操作和變更記錄之功能機制,以利進行符合資安政策和稽核規範的要求。

總結不論是 SAS 9 平台或 SAS Viya 平台中所有軟體產品皆有提供完善的機制透過設定完成,但是針對複雜操作和變更記錄,則需要進行客製化開發服務,才能夠符合企業中資安政策和稽核規範要求。

相關資源

⬅️ Go back