MIS 個資外洩防制




一直以來,網站個資外洩的新聞屢見不鮮,其中有很高的比例不是因為駭客入侵,而是網站管理不夠嚴謹所造成。舉例來說:網頁公開內容含有個資、將內含個資的檔案放上網站供人下載、透過搜尋引擎強大的檢索功能以取得個資外洩的網址連結或是頁庫存檔等等。要改變企業管理態度很難,絕非一朝一夕所能達成。因此,MIS 所能做的就是落實以下三個基礎步驟,有效掌握網站的個資分佈狀況,才能降低個資外洩的風險。



第一步、檢查網站個資的屬性

1、如果沒有保留的必要性:直接移除該網頁或檔案,降低被有心人士竊取或利用的風險。

 

2、如果必須保留但屬內部或特定身份才能使用:加強存取權限管控機制,如:要求使用者登入後才能存取資料、限制存取 IP、雙重身份驗證等方式。

 

3、如果必須保留且要公開:以資料遮罩的方式,隱藏部分敏感性資訊,如:將姓名其中一個字以 X 表示,以 * 號遮蔽身分證字號等方式。 



第二步、妥善設定 robots.txt 檔案

設定 robots.txt 檔案,可以防止搜尋引擎去檢索網站內容,降低無意或不小心公開個資的風險,方法是從 server 端著手,至根目錄下建一個 robots.txt 檔案,其內容範例為:User-agent: *Disallow:/ 123/,意即所有搜尋引擎都不能存取 123 資料夾的內容。User-agent 指令用來設定遵循此規則的搜尋引擎代理程式,如:GooglebotDisallow 指令則設定要隱藏的資料夾或頁面。若需要更詳細的說明,可參考 Google 提供的說明



第三步、移除搜尋引擎頁庫存檔

有些搜尋引擎在檢索網站時,會快取儲存其中的網頁或檔案,倘若該網頁或檔案含有個人資料,即便 MIS 修改/移除該網頁(或檔案),快取結果仍會被保留,而且會被搜尋引擎列出。因此,企業應該定期檢視搜尋引擎的快取狀況,若發現網頁或檔案仍被暫存且可被搜尋引擎列出,應主動向搜尋引擎提出移除頁面庫存檔的要求,相關作法可參考 Google 提供「將特定網頁/網站從 Google 搜尋結果中移除」的說明。

 

資料來源:http://www.informationsecurity.com.tw/answers/answer_detail.aspx?tid=69

 

 

正新電腦 www.pronew.com.tw 04-24738309

#網站管理 #防個資外洩 #駭客入侵 #惡意竊取 #雙重驗證 #身份驗證 #個資公開風險 #搜尋引擎病毒 #軟鑄加密 #資訊安全 #MIS