記者洪聖壹/美國舊金山報導
Google 在今年的開發者大會中發表了很多重點產品,當中不乏有語音搜尋、進階地圖搜尋、進階的 Google+、Google Glass 等創新功能性平台,不過卻很少有人提到最基本的資料安全防護的部分;對此,《ETtoday 東森新聞雲》與台灣媒體特別在美國訪問了Google 資安防護的負責人,針對資訊安全做了進一步的解說。
Google 針對產品使用者端的資訊安全做了很多事情;根據 Google 安全管理師(Security Princess) Parisa Tabriz 所說,目前在 Google 內部有超過 250 個安全工程師,包括工程師、駭客跟研究員去進行資訊防護的相關工作;此外,Google 除了內部駭客與工程師會不斷的嘗試用各種方式駭進自己的網站外,對外也會在每個城市舉辦駭客大賽,並把最多的獎金送給最會駭進 Google 網站的駭客們。
▲Google 為了網路資訊安全,對內每年都會找來駭客與工程師來嘗試駭進自己的產品,對外也會舉辦全球駭客大賽,甚至還把獎金頒發給最會駭進公司網站的頂尖駭客。(圖/記者洪聖壹攝)
另一方面,Google Director of Security,Google Apps Eran Feigenbaum 表示,Google 內部相當重視資訊安全,不管是開發甚麼產品,最大的要務,就是會先把資安考慮進去。此外,Google 內部也會針對工程師、設計師進行資安教育,確保所有人都會以安全作為第一考量,才開始去設計產品。
Parisa Tabriz 以 Chrome 為例,當 Google 在網路上發現有問題的時候,都能立即找到問題點,並能立即解決,這中間很重要的一個因素,就是 Chrome 在設計之初,便從伺服器到各種系統平台,都會推出安全解決方案,而且都要層層把關,然後也會接受外面公開機構認證的考驗之後才能上線。
▲Google Director of Security,Google Apps Eran Feigenbaum 表示,Google 相當重視資訊安全,不管內部哪個部門的工程師開發甚麼產品,最大的要務,就是會先把資安考慮進去。此外,Google 內部也會針對工程師、設計師進行資安教育。(圖/記者洪聖壹攝)
除此之外,每位工程師都會去思考有關安全創新(Google Security innovation)的事情,針對安全問題,Google 做了以下創新的網路安全措施:
1.密碼:
像是針對釣魚網站,工程師就提供給消費者免費下載應用程式,透過創新的 two step verification 服務,讓使用者登入時,除了個人密碼之外,每次登陸都還要透過手機等其他載具產生一組安全密碼,才能真正登錄,而且這一層密碼只能使用一次。
2.瀏覽器:
安全瀏覽技術,Google 每天都在找尋有惡意軟體的不安全網站、目前已經找到 1 萬個不安全網站以及 3 萬個釣魚網站,並主動觀察目前網這些站的騷擾技術然後提供更新軟體。
3.抓蟲:
目前為止 Google 每天至少都會在網路上找到 2 億隻駭蟲,當 Google 發現有問題的時候,就會立刻找到問題點,甚至會立刻找到解決的方式並趕快解決,這是為什麼他們一直強調瀏覽器更新很重要。
4.Sandbox
Google 都會在基礎技術之上,放置了有最新安全防護機能的 Sandbox,然後才在 Sandbox 之上允許使用者或是Google 工程師加入各種應用程式。
5.駭客活動
Google 會在全球舉辦駭客活動,鼓勵全球頂尖駭客來駭進 Google 的產品,進而學習經驗與尋找人才,近期在亞洲,Google 選在新加坡也舉辦了一場類似的活動,給跨越25個國家的學生,最後是一位香港人得獎。
整體來說,處在資訊爆炸的時代,其實有許多人,並不會特別去在意資訊安全的問題,不過Google 安全的理念跟想法卻是橫跨所有產品,不再只有單一個面向。 Google 也很清楚的了解自己的產品定位與未來的走向,舉例來說,Google 要做到所有的使用者都能立基於一個高階資訊安全底下來使用產品,因此即使針對沒付費的使用者來說,也只是與付費使用者差別在額外的資安控制介面而已,基本上的安全機制幾乎都是一樣的。
Google 兩位設計師相繼呼籲使用者,安全防護應該要是雙向的,Google 除了努力保護用戶安全,同時也提供使用者建議,希望使用者能透過安全宣導做到登錄網頁之前,至少要能考慮到三件事情,首先是設定密碼,再來是要確認瀏覽器版本是最新的,第三個是要確定密碼遺失的話一定要確定密碼可以找回來,而且可以重設密碼的機制。透過這樣的方式一方面提升網路安全性,也能進一步擁有更好的使用經驗。
讀者迴響