資訊安全—網站管理政策

剛剛看到一篇新聞—色情資訊 攻陷名校網站

現在辦個活動沒網站就遜掉了，但是問題來了，從網站的開始到結束牽涉到技術與政策的議題，以現在而言，技術議題到還好，因為軟體的進步作網站變得很簡單，再加上許多的 Open Source 的小程式，要做到公佈欄、留言板都不是難事。

隨之而來的就是網站管理政策的問題，通常活動辦完人就解散了，但是網站還在運作，可以保留過去歷史資料以後參考。另外如果需要網站空間的話，通常都是向電算中心或是系上申請空間，申請空間自然有申請流程，當然有申請空間的流程也有關閉空間的流程，然而這邊有些管理政策的問題。

如果是因為辦活動需要的空間，應該詳列使用期間，期間到後應該關閉空間或是改成 Access Deny，如果需要永久保存，應該將全站改成唯讀，資料庫也要關閉寫入，然而通常電算中心或是系上不會去管這些事情，於是網站就放在那邊爛，放久難免會有奇奇怪怪的東西會被 Po 上去。

之前我管理的 wiki site 也被 spam 攻擊，也是因為疏於管理，慘遭 Spam 攻擊，突顯出政策的重要性，近年來政策的議題開始慢慢超越技術上的議題，技術上的議題在於增加攻擊者的成本而政策的議題在於素養的養成，就算有再好的防火牆，內部員工沒有資訊安全的素養，一樣也是沒用。