網(wǎng)絡(luò)安全專家表示,中央數(shù)據(jù)庫中心(Padu)在啟動(dòng)前應(yīng)該經(jīng)過壓力測試或安全測試,因?yàn)樗鎯?chǔ)公共數(shù)據(jù)。該系統(tǒng)遭到了一些人的抨擊,包括一位前副部長,他甚至建議暫停該系統(tǒng),以解決該系統(tǒng)推出后出現(xiàn)的故障。
雖然政府已迅速采取行動(dòng)解決技術(shù)缺陷,但網(wǎng)絡(luò)安全公司LGMS Bhd的創(chuàng)始人兼首席執(zhí)行官方忠福(Fong Choong Fook)對該系統(tǒng)在周二發(fā)布前是否得到充分評估和檢查表示擔(dān)憂。
“在討論是否暫停或關(guān)閉該系統(tǒng)的問題時(shí),現(xiàn)在的關(guān)注點(diǎn)是政府是否對該系統(tǒng)進(jìn)行了廣泛的壓力和安全測試。
另請閱讀:馬來西亞人仍在試圖弄清楚帕多
“如果有的話,就不會(huì)像在網(wǎng)上曝光這些漏洞的用戶所發(fā)現(xiàn)的那樣,暴露出這么多漏洞,”他昨日在被聯(lián)系就此事發(fā)表評論時(shí)表示。
因此,他說,政府必須對為保護(hù)系統(tǒng)中的數(shù)據(jù)而采取的網(wǎng)絡(luò)安全措施保持透明。
因此,F(xiàn)ong建議政府發(fā)布一份白皮書,其中包括安全行動(dòng)和解決涉及Padu的問題的方法,包括用戶注冊。
“正如政府宣布的那樣,這些漏洞已經(jīng)得到了糾正,但這些只是初步發(fā)現(xiàn)。
他說:“在網(wǎng)絡(luò)安全方面,作為從業(yè)者,我們希望看到更透明的東西,例如,政府采取了哪些措施來保護(hù)數(shù)據(jù)庫。”
馬來西亞國民大學(xué)網(wǎng)絡(luò)保護(hù)和治理實(shí)驗(yàn)室主任扎里娜·舒庫爾教授表示,帕多大學(xué)需要根據(jù)其學(xué)科遵循軟件開發(fā)過程。
“由于Padu是由政府大張旗鼓地宣布的,所以必須從各個(gè)方面實(shí)施強(qiáng)大的測試,包括功能和非功能測試,如安全測試、壓力測試、負(fù)載測試等。
她說:“我們也希望Padu的開發(fā)能夠覆蓋安全軟件開發(fā)生命周期,部長已經(jīng)獲知了這些測試的結(jié)果。”
扎里納教授表示,在Padu推出之前,由網(wǎng)絡(luò)安全專家組成的第三方在系統(tǒng)測試期間提供專家意見,可以更好地了解它的運(yùn)行方式。
她補(bǔ)充說,帕多的發(fā)射本應(yīng)通過政府機(jī)構(gòu)以較小的規(guī)模進(jìn)行。
“例如,根據(jù)各機(jī)構(gòu)的規(guī)定,可以先讓政府雇員參與,然后再讓所有馬來西亞人參與。
“從內(nèi)容的角度來看,它表明數(shù)據(jù)與其他機(jī)構(gòu)相結(jié)合。然而,看起來這些數(shù)據(jù)幾乎是‘空的’,沒有內(nèi)容。”
話雖如此,扎里納教授贊揚(yáng)了政府在發(fā)展帕多方面所做的努力。
“和其他應(yīng)用程序一樣,它總是要經(jīng)歷‘升級’的過程,”她說。
然而,她認(rèn)為帕杜應(yīng)該暫停,直到各方進(jìn)行徹底的測試。
與此同時(shí),F(xiàn)ong也對政府計(jì)劃如何使用Padu來整合和保護(hù)數(shù)據(jù)庫表示擔(dān)憂,因?yàn)椤笆褂靡粋€(gè)集中的數(shù)據(jù)庫來存儲(chǔ)來自各種來源的數(shù)據(jù)有點(diǎn)過時(shí)”。
他說:“從不同的數(shù)據(jù)點(diǎn)訪問數(shù)據(jù)的現(xiàn)代方式是使用API網(wǎng)關(guān),就像新加坡政府正在做的那樣。”他補(bǔ)充說,API網(wǎng)關(guān)允許政府訪問各個(gè)機(jī)構(gòu)并實(shí)時(shí)獲取數(shù)據(jù)。
Fong補(bǔ)充說,如果Padu依賴于一個(gè)單一的存儲(chǔ)庫(數(shù)據(jù)庫),那么一個(gè)單一的數(shù)據(jù)存儲(chǔ)就會(huì)包含所有敏感的個(gè)人信息。
“公平地說,政府還沒有公布任何有關(guān)當(dāng)前基礎(chǔ)設(shè)施的深入信息,所以我們不知道政府是否建立了一個(gè)中央數(shù)據(jù)庫,接收來自不同機(jī)構(gòu)的數(shù)據(jù),或者它可能是一個(gè)混合數(shù)據(jù)庫和API網(wǎng)關(guān),”他說。
×