资讯安全教育训练介绍.PDFVIP

資訊安全教育訓練 避免資料於搜尋引擎曝光 系統維運組：李侑昇 1 目次 • 搜尋引擎介紹及風險 • 近年案例 •避免被搜尋引擎索引的方法 • 結論 2 網海的指南針-搜尋引擎 • 搜尋引擎擁有大量的網頁檢索資訊 •許多自動化程式（ Web Robot ）在各網頁 連結之間穿梭，盡可能的收集網頁資料 • 網際網路資料量雖大，但檢索功能仍可以 快速找到關鍵資料 –因此被索引的資料容易被他人利用，例如有專 門蒐集這類搜尋敏感資料字串的討論版 3 近年由搜尋引擎發現的資料外洩 • 美網站會員信用卡個資被Google爬走 –某網友鍵入「 site: + from card 」搜尋字 串後發現上述資料 • 外交部員工電郵密碼 Google全都露 –網友在搜尋友人email的過程中，意外從 Google搜 尋到一份外交部員工的內部電子郵件姓名帳號、密 碼 • 坦帕大學學生資料遭到Google 索引逾6千筆 –某堂課在練習進階的搜尋技術時，赫然發現可從 Google上找到6818筆該校的學生資料，內含學生 證號碼、社會安全碼、姓名與生日 4 近年由搜尋引擎發現的資料外洩 •戰國策 4,270筆資料外洩 Google全都露 –該公司「 CRM客戶管理系統」約有4,270筆客 戶訂單資料全部被 Google快取抓走變成公開網 頁資料，包括客戶名稱、姓名、電話、交易方 式、帳號密碼及交易金額等機密資料。資料暴 露在 Google上前後長達1個月之久，而且在大 陸的搜尋引擎Youdao當中，仍然可以看到這 4,000 多筆的訂單快取網頁，甚至有關鍵字可以 找訂單內容。 5 近年由搜尋引擎發現的資料外洩 6 避免搜尋引擎造成 ”意外 ” • 想要避免資料被放入搜尋引擎的資料索引， 要先知道它們如何選擇要索引的資料 •假設機器人在逛留言板時發現了某篇文章 裡有 、 、 這三個連結，它準備要一個個 一探究竟，好貢獻更多資源給自家的索引 資料庫 •最後這三個網站的內容都沒被索引，為什 麼? 7 密碼保護 • 機器人進入後，發現進入網站 前需要輸入密碼，只能無功而返 –但會將這”網址”放入檢索資料庫 • 阻擋機器人最完全的方法 •各 Web Server軟體的設定方法皆不同 –例如 apache可由設定 . htaccess來完成 • 於是機器人回到留言版，準備試試 8 robots.txt • 並沒有密碼保護，但身為一個守規 矩的機器人，在收集索引資料前，它必須先確 認幾件事