延續前一篇的話題,既然 Facebook 不是一個要不要的選擇題,而是要如何面對與管理,那麼有甚麼好的建議嗎? IDC 於今年中發表了一份 white paper ,主題是如何有效的強化使用 Web 2.0 網站 (如 Facebook) 時的安全性。裡面提到十大需要考量的重點:
- Dynamic Web 2.0 defenses
- Real-time content classification
- Employee access
- Data loss prevention
- Application control
- Remote access
- Unified policy management
- Comprehensive reporting and logging
- Performance and scalability
- The server side of Web 2.0
而資安廠商 McAfee 則提出了七個需求事項:
- Deploy real-time reputation-based URL and message filtering for all domains-even those not yet categorized
- deploy anti-malware protection utilizing real-time, local “intent-based” analysis of code to protect against unknown threats, as well as structure-based, anti-malware protection for known threats
- implement bi-directional filtering and application control at the gateway for all web traffic, including web protocols from HTTP to IM and encrypted traffic
- Data leakage protection on all key and web messaging protocols
- Ensure that all caches and proxies are “security-aware” for safety and efficiency gains
- Design security infrastructure for layering of defenses with minimal number of secure devices
- Use comprehensive access, management, and reporting tools
在此我不會針對每一點加以說明,有興趣的讀者可以參考相關連結。我要特別提出的是管理 Web 2.0 不是單向的任務,而是雙向的任務。從外到內可能衍生的問題主要為惡意程式的引入與對於員工工作效率的負面影響,由內到外的問題主要則為機密資料外洩。此外,由於多數 Web 2.0 網站透過外掛程式或 mashup 來提供更豐富的功能,所以除了管理主要的網站服務外,這些外掛程式與 mashup 的管理也是必要的項目之一。以 Facebook 的偷菜遊戲而言,如果能夠阻擋偷菜遊戲而非整個 Facebook 就可以提供更細緻的管理能力。而由於隱匿技術的廣泛應用 (通道技術、匿名式存取服務,甚至是加密技術),是否能夠有效地管理這些隱形的行為又是另外一個考量的重點。而因為現在很多攻擊手法都是在合法的網站中植入惡意的程式或連結,或者是大量產生新的網址,所以傳統上利用網址判斷惡意與否已經不符使用,而必須更即時的檢查網路傳遞的內容,並決定是否將會產生危害。簡而言之,管理 Web 2.0 的安全性,必須全面檢測網路傳遞的資料才有可能達成,所謂的全面包含流量的方向、使用的協定、加密與否、使用的設備(PC、NB、手機)、使用的媒介(有線網路、無線網路、電信網路)等等。
說到底,這些都還是技術性的解決方案。相較於技術性的解決方案,管理性的解決方案卻更形重要,但是卻也容易受到忽視。管理性的解決方案至少包含政策的制定以及使用者的教育訓練,如果這兩件事情沒有確實進行,有再好的技術性解決方案終究只能治標,甚至因為造成反彈與誤解而產生了反效果。屆時可真的是賠了夫人又折兵。
相關連結: