RayAegis Information Security

RayAegis Information Security

光盾-頂尖資訊安全團隊

AI縱深防禦、資訊安全專家

Defense in Depth

光盾協助客戶深度防禦

有效防止各式網路威脅

光盾資訊科技的願景為利用世界頂尖的技術,為資訊安全盡一分心力。我們以全面的角度來整合科技、人,以及管理流程,使得公司的文件能達到保密、完整,以及隨時可以取得的特性。我們也不斷發展最先進的系統,為公司的網站、應用程式、資料庫,以及其他系統提供最有效率、安全的資訊安全檢測暨修補服務。我們開發的RayScanner和RayInvader即採用和美國政府同步的資料庫,確認您的網站和應用程式有無被入侵的可能(包含零時差問題等未知漏洞)、是否符合最嚴格的國際規範。檢測相關訊息請點弱點掃描服務及滲透測試、APT解決方案請點這裡。光盾的客戶遍及政府、金融、教育、醫療、各類大型企業,我們除了偵測深度弱點,亦有豐富協助客戶規劃網路系統架構、進行機房實體防護、客製化資安服務、執行電腦鑑識等等經驗。

因為完整的資訊安全須結合管理層面,我們亦留意最新資訊發展,為公司或組織建構適宜之資訊安全政策,使公司或組織能夠全方位保護敏感資訊。

隨著科技愈來愈進步,駭客愈來愈輕易擁有強大的程式來破壞系統或竊取資料。我們除了幫您改善系統的漏洞,也幫您作更完善的規劃與建議,使您的系統在深度防禦的概念中,得到最可靠的保障。畢竟,一個系統的安全度只等同於其中最弱的環節,因此每一個小細節都是防護的關鍵!

交由最專業的資安顧問團隊處理,您將可以專心發展公司的核心業務,而不用再擔心資訊安全的問題!

政府採購專區

光盾通過政府之優等審核,可以同等規格為客戶執行資訊安全檢測服務, 包含: 滲透測試、弱點掃描、資安健診、社交工程郵件測試等等(均由擁有CISSP、CEH等等證照、接受美國頂尖資安訓練之專業資訊安全專家執行)。相關案號: 1080205

網路搜尋引擎最佳化(SEO)

網際網路自1990年代中期快速發展,並已應用於世界各個角落、各個領域。如今,大家已習慣利用網際網路來搜尋資料、買票購物等等。隨著網路的發展,越來越多人進入網路這塊市場,網路上能搜尋的資料量越來越多,衍生而來的問題就是資訊的能見度。舉例來說:”當一個人要在網路上買筆記型電腦,他會直接在搜尋引擎上輸入關鍵字,接著自然而然地進入搜尋結果第一名的網站。我們可以看到,範例搜尋第一名是百思買(www.bestbuy.com),而使用者隨即開始涉獵標的(圖一)”。這樣的行為造成搜尋引擎排名的競爭激烈,人人都想讓自己的網站有最佳的能見度,而根據Optify研究顯示,排名第一的點擊率(36.4%)是第二名(12.5%)的三倍之多(圖二),進一步分析,搜尋結果前十名的平均點擊率8.9%與十至二十名的平均點擊率1.5%相比,第一頁的平均點擊率是第二頁的六倍,表示網頁搜尋結果排名在第一頁之後的位置,已幾乎乏人問津…。  因此,什麼因素決定排序?有什麼方法可以提升能見度?成了許多人非常感興趣的話題。  圖一 圖二網路搜尋引擎最佳化就是所謂的SEO (Search Engine Optimization)。經過SEO服務的網站可以在搜尋引擎中獲得極佳的排名次序,將使您的產品或服務輕易地被找到,因而發掘更多潛在的重要客戶。藉由全球搜尋引擎所帶來的曝光量,將快速提升公司或網站的知名度、在市場上比對手更快取得先機、有效率地擴展公司業務。搜尋引擎最佳化更重要的意義,在於為使用者打造最佳的使用體驗,讓網站最完美的一面,呈現在使用者/消費者眼前。  SEO搜尋引擎最佳化雖然目前還不是個很明朗的學問,因為大多數搜尋引擎對於如何評等網頁的演算法保持最高機密,且隨著搜尋引擎的演算規則改變,SEO技術也會跟著調整。儘管搜尋引擎演算法的各項因素和因素所佔權重可能不斷地在改變,但對於網站開發與經營,光盾整理出以下幾點實做SEO的方向與原則仍是不變的:   改善網站架構 1.標題 標題內容一般出現在搜尋結果的第一行。如果標題文字出現在使用者的搜尋查詢中將以粗體標示,這將有助於網站被需要的使用者或消費者快速正確地找到。網站的首頁標題可以列出公司或網站名稱,還可以包括網站涉及的領域或提供的服務等等重要資訊。請使用: 簡短且準確的網頁標題 為每個網頁都建立獨特有意義的網頁標題,避免[未命名]或[新網頁]這類的預設標題或無意義的網頁標題 2.摘要 網頁中繼標記將提供搜尋引擎關於該網頁的摘要,也就是向使用者概括介紹您的網頁內容。當摘要中的文字出現在使用者的查詢字中,搜尋引擎將會以粗體顯示搜尋結果,這亦將有助於網站被需要的使用者或消費者快速正確地找到。 3.網址 清楚易懂的URL命名有助於搜尋引擎檢索該網頁,可以提供使用者更明確的訊息。應避免網址顯示難以辨別的字母、數字或參數,而網站的網址結構應該儘可能簡單,且以有邏輯的方式來架構讓人容易理解的網址。這些對於使用者或搜尋引擎都是正向的效果。請注意: 網址避免難以辨別的參數,使用有意義的單字 目錄架構簡單清楚 4.導覽 建議使用「階層連結清單」導覽讓使用者方便快速地在網站內找到所需內容。請做到: 建立自然流暢的層級架構 導覽中儘量使用文字連結 建立實用的404網頁、改善使用者體驗 最佳化網站內容 1.提供優質內容和服務 儘管對於網站架構一些基本的小幅修改確實能對網站的使用者體驗以及搜尋結果的表現有顯著影響,然而回到最根本要素,建立引人注目且實用的內容,才是提升網站人氣最重要的因素。唯有優質的內容才能讓使用者透過社群網站、部落格或論壇分享而獲得放大效益,而這種口碑相傳的效應會大大提高網站聲譽。 此外,網頁工程師應事先考慮各類型使用者搜索行為的差異、進行關鍵字分析,並站在使用者的角度選擇合適的關鍵字。藉由搜索引擎的「關鍵字分析工具」,才可讓網站更容易於熱門搜尋中被注意到。 撰寫容易閱讀的文字、創作新穎而獨特的內容,是決定使用者要不要駐足於此的重要因素 根據訪客的需求設計網站,同時確保搜尋引擎可以輕鬆存取 適當使用標記,可以讓使用者清楚意識到這部分文字比較重要,幫助使用者瞭解標題文字下的內容類型,讓文件更容易流覽 2.超連結文字 力求使用簡明扼要的文字、提供有關連結網頁的基本訊息。應避免無含義的錨定文字,例如「網頁」、「文章」或「這裡」等等。 3.圖片 使用「alt」屬性可提供有關圖片的資訊。將圖片的檔案名稱和替代文字最佳化,可讓「圖片搜尋」更容易瞭解您的圖片,藉此也同時提高網站的曝光度 將檔案儲存在專用的目錄中,並使用一般檔案格式加以管理 建立圖片Sitemap檔案 檢索器互動 搜尋引擎友善度(Search Engine Friendly, SEF)就是讓搜尋引擎理解網站的內容,將網頁內容收錄在資料庫中。在Google官方文件中,針對網站的建置提出許多建議。簡單來說,越符合搜尋引擎檢索器的規則,搜尋引擎友善度越高,自然越能提高搜索引擎蜘蛛檢索網站的機會與效率。 1.robots.txt 使用robots.txt限制搜尋引擎對無需檢索的部分進行檢索。 2.nofollow 使用「nofollow」對抗垃圾評論,告知搜尋引擎不應隨著網站上的某些連結而連至他處,也不應將網頁的信譽情況傳給連上的網頁。 3.sitemap 建立網站專屬的XML Sitemap檔案,同時使用搜尋引擎的「網站管理員工具」提交XML Sitemap,讓搜尋引擎更容易發現您的網頁。 關鍵字廣告需要投入相當預算,且隨著廣告預算止付宣傳效果也就嘎然而止。其它如同業競爭惡意點閱、經銷商灌水的報表以及無法鎖定真正目標客戶群都是關鍵字廣告潛在的缺失。相較於關鍵字廣告,我們的技術是藉由提升網站的價值以獲得更多的點擊率,公司網站的內涵遠比關鍵字廣告短暫的灌水排名更為重要。SEO的技術相較於關鍵字廣告需要的推廣宣傳成本較低,且成效是永久的,因為SEO技術是以循序漸進的方式增加公司網站的流量,並提升網站的分數與排名,對一個長遠經營的公司而言SEO才是推廣宣傳業務的最佳方案。 下面是我們為客戶做SEO服務的流程圖:

整體規劃(Holistic Solution)

光盾資訊科技提供整合式的資訊安全服務,內容包含資安風險評估、弱點改善、管理稽核。 我們的CIA服務幫您作整體資安規畫、佈署(包含所有需要的軟體和硬體)、檢測,到定期分析報告,使您再也不用擔心資訊安全的問題。 CIA服務意指光盾將使您的敏感資訊擁有機密(confidential)、完整(integral),以及隨時可以取得(available))的特性。我們的服務遵守國際標準,包含 ISO 2700系列、 National Institute of Standards and Technology (NIST)、Computer Emergency Response Team (CERT) 、ITIL、COBIT、OWASP等等。光盾使用的測試資料庫和相關技術亦隨著技術發展而不斷更新並保持在世界領先地位。 因個資法是許多企業擔心的課題,光盾與專業的律師事務所合作,為客戶的權利帶來最大的保障。我們與所有客戶皆簽署保密協定,並作長久永續的經營,使您能在最安心的情況下獲得最完善的服務。 由上圖可見,這個整體性的解決方案由實體(physical)、技術(technical)、管理(administrative)三方面著手,並由資安專家為客戶確實解決問題,而這也是光盾的特點-我們擁有完整為客戶解決問題的能力和技術。 除了完善的資安解決方案,光盾協助客戶遵循法規、取得各式資安認證。本公司已協助諸多政府單位、大型企業、金融組織、醫療體系、教育機構導入此完整解決方案。

資安健診

服務簡介 資安健診服務是透過整合各項資訊安全項目的檢視服務作業,提供資安改善建議,藉以實施技術面控制措施,以提升網路、資訊系統及個人電腦安全防護能力。 服務範圍包括網路架構檢視、網路惡意活動檢視、使用者端電腦檢視、伺服器主機檢視及安全設定檢視等資安專業服務。 檢測項目說明 一、網路活動檢視 封包監聽與分析: 針對有線網路適當位置架設側錄設備,觀察是否有異常連線或DNS 查詢,並比對是否連線已知 惡意 IP、中繼站(Command and Control,C&C)或有符合惡意網路行為的特徵封包側錄至少以24小時為原則,以觀察是否有異常連線。 網路設備/資安設備紀錄檔分析: 檢視防火牆、入侵偵測防護系統等網路設備紀錄檔,分析過濾異常連線紀錄 網路設備紀錄檔分析以 1 個月的紀錄為原則。 二、網路設備、伺服器及端末設備等設備檢測 伺服器及終端機惡意程式檢測 使用者端電腦 使用者電腦惡意程式或檔案檢視。 使用者電腦是否存在惡意程式或檔案檢視。 檢視項目包含活動中與潛藏惡意程式、駭客工具程式。 系統服務運作權限檢測。 開機自動執行程序檢測。 工作排程內容執行程序檢測。 DNS連線紀錄與埠口連線檢測。 主機帳號與權限內容檢視。 環境變數內容檢視。 伺服器主機 伺服器惡意程式或檔案檢視。 針對伺服器主機進行是否存在惡意程式或檔案檢視。 檢視項目包含活動中與潛藏惡意程式、駭客工具程式。 系統服務運作權限檢測。 開機自動執行程序檢測。 工作排程內容執行程序檢測。 DNS連線紀錄與埠口連線檢測。 主機帳號與權限內容檢視。 環境變數內容檢視。 ATM主機 ATM主機惡意程式或檔案檢視。 ATM主機是否存在惡意程式或檔案檢視。 檢視項目包含活動中與潛藏惡意程式、駭客工具程式。 系統服務運作權限檢測。 開機自動執行程序檢測。 工作排程內容執行程序檢測。 DNS連線紀錄與埠口連線檢測。 主機帳號與權限內容檢視。 環境變數內容檢視。 三、安全設定檢視 …

分散式壓力測試(Distributed Stress Testing)

事先了解系統瓶頸並進行DDoS模擬測試 一般的壓力測試(Stress Testing)採用單點式(單一來源IP),用來測試網站、應用程式對於較大網路流量時的穩定性、可取得性、錯誤處理、錯誤回復能力。此方法可讓我們了解一個網站或應用程式對於人數承載量、高流量的處理能力,以及其是否易於出現錯誤。 不同於一般的壓力測試,分散式壓力測試採用多點式(多個來源IP),除了可達到單點式的測試結果,可為客戶測試真實情況下,用戶數目上升時會產生的問題,以及是否易於遭受DDoS攻擊。 為什麼需要進行分散式壓力測試? 最大化系統的正常運行時間,在效統出現效能問題前,預先了解可能的問題,並解決它們。 最佳化效能,確保網站或應用程式可完整保持用戶的最佳體驗、提升用戶滿意度。 了解系統最脆弱的環節並加以強化。例如,若了解到系統最脆弱的環節為搜尋功能,則接下來即可針對該功能進行進一步控管。 了解系統是否易於遭受分散式阻斷服務攻擊(DDoS)而被攻擊者癱瘓。分散式壓力測試可完整模擬此類攻擊,並讓您了解系統目前的瓶頸、是否易於遭受此種攻擊,造成無法服務任何用戶的狀況。

社交工程郵件測試(Social Engineering)

光盾以自行研發之系統,為客戶執行社交工程郵件測試(Social Engineering), 其系透過電子郵件的方式,提供受測單位了解社交工程的存在、提高警覺性、審視系統安全缺口,並藉由內部教育訓練來補強。 本工具可以使用任何人的名義寄出信件,使釣魚信件更易成功,例如,我們可以使用 XXX@OOO.gov這樣的信箱寄出釣魚信,並支援各式附檔類型。 除了利用駭客工具直接破解系統外,社交工程廣為駭客使用,並藉此入侵內部系統,因此是重大組織、企業必須嚴防的攻擊方式。 依客戶需要,郵件內容可涵蓋各種類型,例如: 保健、八卦、休閒、色情等等,而光盾的程式將記錄用戶執行「開啟郵件」、 「點閱郵件」、「開啟附件」等行為,並於檢測完畢提供統計報表(含整體點閱率、各別帳號點閱率、精確點閱時間等等)。