如何保障标签管理系统的安全

数据架构 2018年 05月 09日

在数据收集的实施和管理方面，标签管理系统（TMS）的功用可见一斑。如今，这类系统已成为数据策略的基石。TMS 系统优势繁多：不仅比其他解决方案更灵活多变，还更简明易懂。但不是每个首席信息官（CIO）都同意 TMS 是完美的解决方案，因为他们注意到门是对外开放的，可能有潜在的网站安全风险。

从这两个不同的角度来看，如何才能在不牺牲灵活性的前提下确保 TMS 的安全性？谁有资格驾驭这匹特洛伊木马？我们难道必须要一个个地仔细检查 TMS 脚本吗？

家门钥匙

你会把你家的钥匙借给一个你三分钟前在超市认识的陌生人吗？应该不会吧，即使他或她看起来不像坏人。管理TMS权限就和这个情况很相似：拥有（一个或多个）钥匙的人可以做很多事情，比如说他（们）能盗窃数据或更改你网站的运行情况。如果您的客户点击“购买”却被转到竞争对手的网站，这该怎么办？如果心怀不轨的外国团队使用数字货币挖矿的JavaScript脚本怎么办？

综上原因，必须明确查明有权访问 TMS 的人：

不要使用个人邮箱地址：如果员工使用个人邮箱地址访问 TMS，即使后来更换工作，员工仍然可以访问 TMS。员工始终只应使用工作专用邮箱地址，这样即使员工因问题离职，在离开公司时，他或她的 TMS 访问权限将被终止。

注：无需 Gmail 帐户即可使用 Google 跟踪代码管理器（GTM），您可以将其与关联@ company.com 邮箱地址来使用。

避免使用别名：它们将增加追溯修改历史记录的难度，因为可能有多人使用一个别名的情况。只有当为个人提供TMS访问权限时，别名用户才可有访问权限。
定期检查访问权限并删除不活跃帐户：如不确定，应先撤销某人的访问权限，如有需要再重新恢复，而不是不做处理。

管理权限还包括分配“管理员”权限：谁能够添加新用户？

最显然的答案是将访问管理责任委托给持有 TMS 合同的广告客户。但通常情况下，对于机构来说，访问权限集中化并不容易，因为它们通常面向多个内部用户，要给予每个人访问权限很难……这时候就需要通用地址（别名）！

广告客户希望保障自己的TMS的控制权，但同时又允许机构管理其团队访问权限，以使得项目管理更加流畅，这是合适的做法。每个供应商都对使用工具的方式负责！如果即将开展的活动提出紧急请求，不妨选择分散管理，避免浪费宝贵的时间。

特洛伊木马的背后

决定了管理 TMS 的方式后，应该注意哪些风险？如何将风险最小化或避免风险？

对于重点网站（例如，在线银行业务），一些 TMS 能够保证只通过 dataLayer 指令执行某些 TMS 标签。网站定义该“白名单”，并防止在 TMS 中添加不需要的标签。由于实施时间表较长（必须由 CIO 将其添加到白名单中），因此应谨慎使用。

如只使用模板标签，还可限制激活标签。也就是说，您可以禁止自定义 Javascript 标签。然而，这意味着您可能会错过一些不依赖本机功能的 KPI（例如，跟踪 HTML5 视频）。

同时，您也一定要对您的标签了如指掌。标签的目的是什么？相关的业务需求是什么？历史有多久？是否需要在特定日期停用这些标签？大扫除总是有好处的，过程中还可能有重大发现，比如说如恶意标签。一旦发现这类恶意代码，某些TMS会立即对其进行处理，这能起一定作用，但若想完全掌控数据，这还不够。还存在更彻底的解决方案，例如使用内容安全策略 Content Security Policies（CSP）来阻止呼叫某第三方域名（通过黑或白名单进行识别）。

将标签添加到网站后，只需在发布前确保运行顺利。任何添加到TMS中的Javascript都会很大程度上影响网站的工作方式（加载时间、库冲突和故障）。发布前必须进行彻底的质量检查，包括：