防制資料外洩 回到資安Q&A
Q
有沒有不必花大錢又能保護網站個資的方法?
聽說個資法上路後,如果發生個資外洩事件會賠很多錢,我們公司靠網站做生意,但資安預算不多,有什麼方法不必花大錢買設備,又能避免網站個資外洩?
提問者: Thomas 提問時間: 02/29/2012
A
值班醫師回應

一直以來,網站個資外洩的新聞屢見不鮮,其中有很高的比例不是因為駭客入侵,而是網站管理不夠嚴謹所造成,舉例來說,網頁公開內容含有個資、將內含個資的檔案放上網站供人下載,或是透過搜尋引擎強大的檢索功能,取得個資外洩的網址連結或是頁庫存檔。要改變企業管理態度很難,絕非一朝一夕所能達成,偏偏個資法上路在即,因此,MIS所能做的就是落實以下三個基礎步驟,有效掌握網站的個資分佈狀況,才能降低個資外洩的風險。


 


第一步、檢查網站個資的屬性


1.      如果沒有保留的必要性:直接移除該網頁或檔案,降低被有心人士竊取或利用的風險。


2.      如果必須保留但屬內部或特定身份才能使用:加強存取權限管控機制,如:要求使用者登入後才能存取資料、限制存取IP、雙重身份驗證等方式。


3.      如果必須保留且要公開:以資料遮罩的方式,隱藏部分敏感性資訊,如:將姓名其中一個字以X表示,以*號遮蔽身分證字號等方式;


 


第二步、妥善設定robots.txt檔案


設定robots.txt檔案,可以防止搜尋引擎去檢索網站內容,降低無意或不小心公開個資的風險,方法是從server端著手,至根目錄下建一個robots.txt檔案,其內容範例為:User-agent: *Disallow:/ 123/意即所有(基本上啦)搜尋引擎都不能存取123資料夾的內容。User-agent指令用來設定遵循此規則的搜尋引擎代理程式,如:GooglebotDisallow指令則設定要隱藏的資料夾或頁面。若需要更詳細的說明,可參考Google提供的說明


 


第三步、移除搜尋引擎頁庫存檔


有些搜尋引擎在檢索網站時,會快取儲存其中的網頁或檔案,倘若該網頁或檔案含有個人資料,即便MIS修改/移除該網頁(或檔案),快取結果仍會被保留,而且會被搜尋引擎列出,因此,企業應該定期檢視搜尋引擎的快取狀況,若發現網頁或檔案仍被暫存且可被搜尋引擎列出,應主動向搜尋引擎提出移除頁面庫存檔的要求,相關作法可參考Google提供「將特定網頁/網站從Google搜尋結果中移除」的說明。

資安急診室醫師介紹
編輯部整理
《資安人雜誌》於2003年創刊,是國內一本專業提供資訊安全管理面與趨勢議題的專業雜誌。
文章回應話題
發表者:阿ken 發表日期:06/18/2013
第二步會不會造成反效果,本來不想公開的目錄,卻經由robots.txt 看到敏感的目錄
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字