2007年5月31日 星期四

研討會(Proseminar)的心得--資安議題

筆者自從轉跑道之後,第一次去參與廠商邀約的研討會,雖然事前已經有請教過朋友,大多會變成商品介紹發表會,但是從沒有參與過類似場合的我,還是帶著一些名片去交朋友(朋友的建議...)

雖然是整天的研討會,我只選擇我比較有興趣的資安議題去聽,雖然說與期待的有些與的落差,還是可以得到一些不一樣的思維,因為現在資安的產品和議題大多會與VPN的技術整合在一起

除此之外,這次提到了有關網頁服務(WEB SERVICE)被攻擊的種類與一些常遇到的資安問題,在上頭舉的實例,真的有一些是我平常沒有思索到的領域

例如:
1.利用Google的強大功能找出網頁漏洞:

以site:網址,再加上某些常見字根來猜測資料庫的架構
2.資訊人員習慣的字根(admin、passwd...等):
在網址後方加上/admin或/passwd經常可以發現某寫管理者的漏洞
3.甚至是一些Server端或資料庫的漏洞來攻擊
遺漏了確認自己使用的SERVER版本是否安全,或有更新尚未安裝
...這些是比較不一樣的層面

不過,第一次參加總是帶著新鮮的心情去東看看西瞧瞧,除了相關的廠商之外,在會場內可以看見旁邊有人打瞌睡,有人忙著說手機,再不然就是主講者說話的斷句...

真的有時不確定他說的重點是什麼,也只能翻著用Powerpoint轉成的研討會資料,可能看圖片說故事還可以瞭解多一點

雖然目前我手邊沒有實際VPN的應用,公司部份的網頁也是委外管理的,但是這些相關的資訊,我覺得對一個資訊人來說,這些都是應該要時時Update的,不然,總是在後頭想解決方案,還不如先做好防範措施

就如同其中一個主講者所說,大多數的人都是真的已經被癱瘓了,才會發現自己的平台早已經漏洞百出,而且還有一個重點,那就是:

「產品再好,無法獲得老闆的信賴,都是一台無法接電的零件組合體」

這一點應該很多IT人員都深有同感吧!

就算IDS或是AP Firewall(應用軟體的防火牆)多好,如果無法真的導入,或是有怎樣先期預防的功效也英雄無用武之地

不過廠商會有比較大的動作來促銷商品,不知是否是聽到了Google跨足安全領域的消息有關,畢竟他們的主力還是在網路服務上,這些附加的功能卻可以打壓較小的企業體(跟他們比應該絕大部份都算小吧一 一")

不過在這次的資安議題中,讓我更確定應該要接觸的層面有VPN和相關的資安測驗,因為不時時充實自己,很快就會被潮流所蓋過,這就是現在的職場生態呀!