互聯網保安

猶記得月前才看到一篇有關從 Google 搜尋到敏感資料的文章，殊不知原來香港早就有最少 2 萬人的個人資料給 Google indexed ！從警監會資料外泄事件中再一次看到極大部份人都會忽略的問題 ── 互聯網保安的重要性。

Google Cache 仍存有外泄的資料（蘋果日報）

從種種跡象看，這次外泄事件九成是人為疏忽。相信是貪方便把 Web Server 當 File Server 而又沒有作適當的保安設定所致。其實，保安與方便是壓根兒有 contradiction ，不能有一個既方便又具有相當保安程度的方案。舉個例子，你要你的家安全，就可能用上三個門鎖，每次進出都要三條鑰匙，保存三條鑰匙是麻煩點，但就多了幾個保障；電腦保安亦然，要明白方便自己的同時亦等如方便他人 ── 尤其那些資料是放在世界通行的互聯網，一時鬆檞，資料就會輕易給盜取。

在互聯網保安的範籌上，自 Googlebot 越來越聰明後，更要加陪小心。已經不是 “我沒有給別人知這個檔案的連結，沒有人會知道啦！” 的時代。網絡搜尋器能分析網站的架構，她會每個可能進入的地方也會嘗試，把最多的資料加入資料庫中，就算你日後把這份資料刪除，已被加進資料庫的檔案仍可在 “網頁存庫” 中獲取。這次事件，雖然有關網站已關閉，但 Google Cache 仍備有一份資料，我今天看過還在。這份資料會怎樣給人利用，難以想像。一個沒設置妥當的 Web Server ，就正如你只把家裡大門掩上：沒人發覺時當然沒問題，但就是所有財產給挪走的最方便途徑。

當然，網站管理人員有責任設置一個妥當的伺服器，但所有保安方案都存有一個 weakest link ── 人。使用者保安意識不高，心態鬆懈，就算有銅牆鐵壁也是徒然。資料放在 flash drive 是方便，但 flash drive 丟了時怎辦？”把你的個人資料直接電郵給我就可以了”！給第三者 / 電郵供應商截取了又怎解決？”把檔案上傳到我的 Web Server 就可以了，我會叫某某自行下載”；”要密碼嗎？我把我的給你…” 這幾個日常生活常看見的例子，都看見大部份使用者的電腦保安意識不足。有效的保安方案，最終還是靠人來執行，管理員定立保安方案的意識，使用者處理資料的意識，都足以影響整個保安的效果。

電腦保安並不是新課題，只是實在太多人都忽略了。希望今次大家借鏡，在處理敏感資料時，防範每個外泄的可能性。