通知 Foxit 有關安全性問題

非常重視安全性,並且致力於提供業界最安全的解決方案,確保客戶資料與系統安全無虞。安全性有很多方面:

安全性是個人、企業和 OEM 採用 Foxit 解決方案來滿足其 PDF 需求的眾多原因之一。

文件安全性

PhantomPDF 可讓文件作者建立 PDF 文件,然後運用各種安全性措施,例如加密、存取控制、數位簽名和校訂 (永久移除內容)。PhantomPDF 提供的這些功能易用且強大,讓個別使用者和企業都能有效確保自己資訊的隱私保護與資料保密。

加密

PhantomPDF 支援下列安全性標準:

  • 256 位元進階加密標準 (AES)
  • 128 位元 ARC-FOUR 加密標準 (ARC4)

存取控制

PhantomPDF 使用者可以為文件加入密碼保護,藉此防止他人未經授權而擅自檢視文件內容,輕鬆共用文件。此外,使用者也可以在文件上指定存取控制,來有效防止文件遭到變更、限制列印或竄改文件。

數位簽名

有了 PhantomPDF,使用者就可以利用各種數位憑證,輕鬆在文件上進行數位簽名。這是因為這個軟體與基礎作業系統緊密整合在一起,所以只要是作業系統能辨識的憑證,PhantomPDF 都可以利用。數位簽名在正確簽名後,就會以獨特方式排列並且能識別簽署者。簽署者的憑證會在簽署步驟中,使用該簽署者專屬的私密金鑰,以密碼編譯方式綁定到文件。這些數位簽名都符合開放 PDF 標準,並且經過 PhantomPDF 驗證,還有透過與憑證授權單位的密碼編譯協定資訊交換,確認使用者所簽署文件的真確性。

校訂

PhantomPDF 的校訂工具組可以協助使用者保護其敏感或機密資訊。利用校訂工具,使用者可將文字和圖片資訊從文件中永久移除。一經校訂,文件中就不再有任何可以復原的殘留資訊。

應用程式安全性

除了文件安全性,Foxit 意識到軟體本身也可能是攻擊目標,所以我們非常慎重看待應用程式安全性。有鑑於此,我們早已採用各種引領業界最佳做法的措施和程式,來確保我們的應用程式安全性,同時也在軟體當中推出各種功能,讓使用者能在特殊況下進一步保護自己。

安全性最佳做法

所有的 Foxit PDF 解決方案都是在內部流程的監督下開發而成的,這個內部流程包含各種業界最佳做法。這些軟體工程做法涵蓋設計、開發、測試與驗證。我們更進一步在自動化環境中模擬已知攻擊途徑,確保在內部開發過程中,安全性漏洞無所遁形且獲得立即矯正。此外,我們還設有專任團隊,成員都是經驗豐富的安全性專家,專門負責監控、疑難排解和驗證整個流程的執行。

需要權限才能執行 JavaScript

PDF 標準允許將 JavaScript 程式碼片段嵌入 PDF 檔案。這些程式碼片段屬於動態性質,當使用者檢視 PDF 文件時,就會執行這些程式碼。這樣的執行作業可能對使用者帶來不利影響,在制定高安全性標準的組織中,可能被視為安全性問題。為了在上述情況下確保完整的安全性,PhantomPDF 和 Foxit Reader 允許使用 PhantomPDF 和 Foxit Reader 企業部署工具集,針對個別使用者或針對整個組織停用 JavaScript 執行。

防範跨網域攻擊

Foxit 能辨識與跨網域資源存取相關的固有風險,這是 PDF 標準本身的條款,而攻擊者曾經就是利用這個風險,擷取惡意程式碼片段或其他資源到使用者的系統中。因此,PhantomPDF 和 Foxit Reader 已預設為停用這類的存取權,並提醒使用者注意,不要啟用相關選項,除非有其他方式能完全保證環境中的安全性。

安全性警示

針對某些內容豐富的 PDF 檔案需要在使用者環境中執行進階作業,PhantomPDF 或 Foxit Reader 可能會將其中部分作業判定為風險偏高,然後警示使用者,並在繼續執行該作業之前,先徵求確認。例如:

  • 叫用跨網域存取
  • 執行某些類型的 JavaScript 方法
  • 插入資料
  • 插入指令碼
  • 播放嵌入的舊版多媒體。

這些警示會以盡可能不會對使用者產生干擾的方式來實行,藉此讓使用者可以信任文件,並因此跳過所有進一步的確認。

Foxit 與網路安全研究團體和個人維持非常緊密的合作關係,以主動積極發現並修補 Foxit 產品中所發現的漏洞,例如趨勢科技的 Zero Day Initiative 計劃、Cisco Talos 和 mr_me 等專業人士。科技業的巨人 Google、Microsoft 和 Amazon 等公司都使用 Foxit 的技術。在這些專案中,客戶和第三方安全性檢驗者i都徹底檢查了 Foxit Reader/PhantomPDF 所運用的技術。Foxit 在安全性研究組織建議的期限內,修補了所有發現的漏洞,始終保持優良記錄。平均修補時間 (約 90 天) 低於業界平均 (100~120 天)。  Foxit 有專任的安全性應變團隊,全年無休地監控及回應重大安全性問題。Foxit 還有針對重大安全性修補的「綠色路徑」程式。

雲端安全性

Foxit 提供的雲端服務可以增強 Foxit 使用者生產力解決方案的功能和使用者體驗。這些服務會持續受到監控,以確保可用性、效能和安全性。

資料中心安全性

所有的 Foxit 雲端服務都是交由我們深受信賴的雲端服務供應商 Amazon Web Services (AWS) 來管理的,AWS 是 ANSI 第 4 層資料中心,並對資料中心的存取、容錯、環境控制和安全性實施非常嚴格的控制。只有經過核可的授權 Foxit 員工、雲端服務供應商員工,以及承包商 (需有文件記錄的合法營業區),得以進出這個位於美國維吉尼亞州的安全中心。

資料加密與隱私權

Foxit 雲端服務將隱私權和安全性列為最高優先級,並秉持這樣的理念進行設計。使用者與 Foxit 雲端服務之間的所有資訊傳輸,都會透過 HTTPS 傳輸通訊協定,使用 256 位元 AES 加密提供全面保護。

Foxit 員工和信任的廠商只能存取客戶資料來執行特定業務和支援功能,一切依法律規定處理。Foxit 不會向任何政府機關提供我們所儲存的客戶資料的直接或系統性存取權。

脫網作業

Foxit 為使用者和組織提供完全「脫網」模式操作軟體的選項,在此模式下,使用者所安裝的軟體將不會執行雲端服務存取。對安全性要求較高的組織來說,這項功能提供了額外的部署和作業彈性。

部署與管理

安全性強化

透過提供安全性相關功能和組態選項,例如停用 JavaScript 執行、跨網域資源存取,以及啟用「脫網」作業,Foxit 讓自己的軟體變得更強大而能有效抵禦攻擊,並且可以減少甚至不需要頻外安全性更新,同時降低定期排定更新的急迫性。如此一來,可以享有作業彈性,並降低總擁有成本 (TCO),尤其是對安全性要求較高的大型組織。

支援 Citrix 和應用程式虛擬化

PhantomPDF 支援 Citrix XenApp、Citrix XenDesktop、Microsoft App-V 及其他虛擬化環境。這讓組織能有效將安全遠端存取權提供給使用者。

支援 Windows Server 群組原則物件

Windows Server 群組物件 (GPO) 讓 IT 管理員能自動執行 1 對多的電腦系統管理。PhantomPDF 支援適用於群組原則的認證 Microsoft Active Directory Administrative (ADM) 範本,可讓管理員提供隨選軟體安裝及應用程式的自動修復。

支援 Microsoft SCCM 和 SCUP

PhantomPDF 和 Foxit Reader 也支援 Microsoft System Center Configuration Manager (SCCM),可確保 Windows 桌面始終透過安全性修補,保持在最新狀態。

不僅如此,也支援 Microsoft System Center Updates Publisher (SCUP) 目錄,可讓 IT 管理員自動更新整個組織的 PhantomPDF 和 Foxit Reader 軟體安裝。

結論

儘管使用者以及不同產業與規模的組織,對 PDF 功能有不同的需求,Foxit 都能為其提供領先業界的安全性保護。我們知道,您的資訊和工作流程是很敏感的,並且需要最大的保護。選擇 Foxit,您就擁有了值得信賴的廠商,因為 Foxit 不僅打造安全不妥協的 PDF 軟體,還採用業界最佳做法,確保軟體在所有領域中都受到保護。