資訊安全—網站管理政策
剛剛看到一篇新聞—色情資訊 攻陷名校網站
現在辦個活動沒網站就遜掉了,但是問題來了,從網站的開始到結束牽涉到技術與政策的議題,以現在而言,技術議題到還好,因為軟體的進步作網站變得很簡單,再加上許多的 Open Source 的小程式,要做到公佈欄、留言板都不是難事。
隨之而來的就是網站管理政策的問題,通常活動辦完人就解散了,但是網站還在運作,可以保留過去歷史資料以後參考。另外如果需要網站空間的話,通常都是向電算中心或是系上申請空間,申請空間自然有申請流程,當然有申請空間的流程也有關閉空間的流程,然而這邊有些管理政策的問題。
如果是因為辦活動需要的空間,應該詳列使用期間,期間到後應該關閉空間或是改成 Access Deny,如果需要永久保存,應該將全站改成唯讀,資料庫也要關閉寫入,然而通常電算中心或是系上不會去管這些事情,於是網站就放在那邊爛,放久難免會有奇奇怪怪的東西會被 Po 上去。
之前我管理的 wiki site 也被 spam 攻擊,也是因為疏於管理,慘遭 Spam 攻擊,突顯出政策的重要性,近年來政策的議題開始慢慢超越技術上的議題,技術上的議題在於增加攻擊者的成本而政策的議題在於素養的養成,就算有再好的防火牆,內部員工沒有資訊安全的素養,一樣也是沒用。