作者:劉醇瑞

個資法的修正,一再牽動著電子商務經營者的神經,而網站安全又是其中絕對關鍵的一環。藉此機會,小戴向同仁們解說,如何利用一些免費的工具,強化公司網站安全。

judy 「你們知道嗎?根據行政院最近的公報,無店面零售業,將自99/7/1起適用現行的電腦處理個人資料保護法」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「沒錯,雖然新版個資法遲遲未能三讀通過,但這項法令的修訂,等同延伸了舊版個資法的適用範圍,也勢必將造成網路購物業者的衝擊,看來大家皮都要繃緊一點了。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy打趣著說:「不過在老張的高瞻遠矚下,我們公司很早就已經開始注意這方面的問題,應該不用太擔心吧!」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 老張趕緊說:「萬萬不可掉以輕心,從消費者下單到收貨為止,牽涉到平台、上架零售商、金流、物流業者,任何一個環節,都有可能發生消費者個資外洩的事件。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴附和:「像我們這種提供平台的業者,網站本身的安全性是絲毫馬虎不得的。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
judy 「嗯嗯,要是發生資安事件,被Google標上『這個網站可能損害你的電腦』,等同宣告購物網站的死刑。有時會想,這些搜尋引擎的權力也未免太大了吧。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「其實像你提到的這種情形,他們也不是為了爆料才如此標示,主要還是為了避免造成進一步的危害。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 「既然有能力判斷這類的風險,想必他們也掌握了更進一步的資料。如果站方能在第一段時間取得這樣的資料,相信對於網站安全問題的排除,會有極大的助益。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「這些都是可行的,目前已經有許多搜尋引擎提供的工具,可以用來強化網站的安全性。更棒的是,他們都是免費的,中小企業可以善加利用。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 老張詢問:「具體來說該如何做呢?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「就以你剛剛提到的需求來說,我們可以使用Google的『網站管理員工具』。此工具可針對網站做出整體性的診斷及評估,除了提供管理員安全方面的訊息之外,也能診斷出網站的存取情形及錯誤。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
judy Judy驚呼:「哇~原來Google有提供這種服務,換個角度想,要是這些資訊落入不相干的人手裡,也是很恐怖的一件事。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「這是當然的囉,所以在使用此工具之前,Google會先確認使用者是否擁有該網站。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
judy Judy不解:「架網站又不用登記姓名,他們要怎麼確認擁有者?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「的確如此,固此這類認證通常會把重點放在,使用者是否有權利變更網站內容。系統會利用一個亂數產生的字串或檔案,要求使用者比照進行修改,然後系統再前往存取該字串,倘若相符則視為認證通過。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
judy 「你這麼一說我才想到,上次為了把拍賣上的評價,轉移到另一個網站,他們也是用這種方式來確認的呢。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 小戴點點頭:「接下來我們就可以好好利用這個工具啦,例如從『Google研究室』-『惡意程式詳細資料』,就可以看出網站上究竟是哪些頁面遭到竄改。」

透過Google網站管理員工具,查看惡意程式詳細資料
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 老張盯著螢幕:「這看來很詳盡呢,不但包含了路徑和頁面,也描述了網頁中有害的內容段落。即使是那些沒有資訊人員的小型企業,也能按照指引加以處理。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Judy Judy兩手一攤:「解決問題固然重要,但我看很多公司更關心的是,怎樣拿掉網站有害的警語吧。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「別擔心,一旦清除了遭到入侵的內容之後,不用癡癡的等Google發現。同樣利用網站管理員工具,便可在標示為惡意的網站項目中,按下『要求審查』,讓Google在最快時間得知並處理。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
judy Judy想到:「話說回來,這些工具也能阻止網站的資料外洩問題嗎?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 「我想這應該沒辦法,資料外洩問題有賴良好的控管及安全的設計。不過應該有一些事後稽核及處理的工具吧!」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「老張說的沒錯,在許多資料外洩事件中,組織本身往往等到媒體報導才知情。其實我們可以透過『Google快訊』工具,即時掌握一些機密資訊或是對公司不利的言論,一旦Google發現了相符者,會立刻透過郵件通知。」

透過Google快訊工具,掌握關鍵字出現情形
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
老張 老張感興趣的說:「雖然能夠在第一時間獲得通知,不過此時資料也已經被Google索引了對吧,那公司應該如何進行善後呢?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「如果可以,網站應當立即下線,並進行徹底檢查,待確認已無資料外洩的情形後才重新上線。同時透過網站管理員工具,『檢索器存取方式』-『移除網址』,通知Google將不當之網址從索引中移除。」

透過Google網站管理員工具,要求移除不想曝光之內容
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
judy 「每天在用搜尋引擎,都不知道原來他們還有這麼多奇妙的工具!對了,那為什麼我們公司沒用呢?」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
小戴 「哈~其實資訊部已經用了好一陣子囉,最近我們還打算推廣到相關部門呢。」
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
搜尋引擎工具能為你做什麼:
了解網站的使用情形
找出遭到惡意修改的網頁及內容
針對企業鎖定之關鍵字,即時回報出現情形
讓網站主決定搜尋引擎索引的範圍及方式
經濟部中小企業處 主辦 中華民國資訊軟體協會 執行

Copyright © 2008 Information Service Industry Association of R.O.C. All Rights Reserved.
版權所有,禁止侵害,違者必究