小心企业网站悄悄泄密

《小心企业网站悄悄泄密》由会员分享，可在线阅读，更多相关《小心企业网站悄悄泄密（5页珍藏版）》请在装配图网上搜索。

1、小心企业网站悄悄泄密 大家上网遨游时，会不会顺便去你家后院挖宝？信息科技（IT）安全教授说，企业必须分清楚那些类型的讯息可在自家网站上公布、哪些则不宜，因为若是粗心大意，可能打开潘多拉的盒子，让劫持者、黑客和工业间谍有机可乘。以下是教授的提议。 琢磨窃贼的想法 明尼苏达州Data Security Systems企业总裁Sandy Sherizen提议，企业网站内容的守门员应该学习琢磨小偷的想法，揣测她们可能会想窃取什么资料，或搜集什么样的商业竞争情报。企业网站上贴出的零星数据乍看下可能无关紧要，但一旦拼凑起来，揭露出的企业内部讯息、策略联盟关系和用户数据，可能远超出你的想象。 Sherize

2、n说，企业网站不该只交给网站维护员和公关部门负责。在贴出任何讯息前，IT安全人员应先从安全性的见解把内容检视一番，毕竟她们的职责是随时留心技术弱点，设法预防黑客入侵。换句话说，她们已受过从窃贼角度思索的训练。 提防下游把关责任当今实施的多个新法规全部要求企业善尽责任。因此，Sherizen警告，疏于维护网站的安全，可能让自己背负下游的法律责任。若你企业的信息系统已和供给链商业伙伴的系统亲密结合，或你透过自家网站搜集用户的资料，更要当心。 她举一个法律个案为例。某人在甲企业的网站东张西望，因为防火墙防护不足，竟探索出一条旁门左道，可经由该网站闯进乙企业的信息系统，进而大肆破坏。尽管实际实施入侵动

3、作的是第三者（一个名下没什么财产的青少年黑客），但乙企业以后控告甲企业的求偿官司仍获判胜诉。遵行最低权限标准 宾州匹兹堡RedSiren企业产品策略副总裁Nick Brigman提议，在网站上公布数据，要遵行最低权限规则（rule of least-privilege）。这位IT安全管理主管提醒：只贴出要实施某种功效绝不能少的数据。她说，要订出这么的规则，首先必须确定企业网站的目标和用途何在。她解释：若目标是吸引潜在用户，把她们导向销售团体，那么就无须把企业的资料巨细靡遗贴在网站上。提供太详尽的信息，可能泄露企业的运作细节。 RedSiren提供用户一个服务，称为公共信息侦察，也就是到因特网上

4、搜索任何找得到的、和用户相关的公开讯息。我们常常发觉，只要挖掘的时间够久，什么数据全部找得着，Brigman说。她甚至寻获用户仅供内部参考的网页，只因为网页被不经意地上载。即使企业网站未提供这些网页的连结，但Google等搜寻引擎企业现在已设计出聪慧绝顶的索引程序，能把这些数据给找出来，晾在网络上供全世界检视。 Brigman坚称，即使你认为已做好充分的安全防护，只给少数人士有程度的存取权限，也绝不该把部分内容张贴在全球信息网上。这些企业的传家之宝包含诸如策略计划、未来的营销策略，和和商业伙伴协商相关的任何信息。 维吉尼亚州Anteon企业Homeland Security企业经理Ray Do

5、nahue强调，在检验自家网站的同时，也要以批评的眼光检视关键供货商的网站，了解她们怎么描述你的企业。对你的商业伙伴而言，宣告新的策略联盟可能是极佳的广告宣传，但那些讯息可能也会对全世界宣告你企业用的是哪一个软件系统，或哪一个网络设备不啻是引狼入室，把邀请函发给乐于探知你系统弱点何在的黑客。 费城律师事务所Caesar, Rivise, Bernstein, Cohen & Pokotilow, Ltd.的智慧财产权律师兼合作人Barry Stein则提醒，网站内容若不严加把关，可能造成法律后果和销售额损失。小心翼翼避免商业机密和专业知识和技术外泄时，也不要忘了维护专利权。基于因特网全球无疆界

6、的特征，让原本可申请专利的发明细节曝光，若是数据外泄之前未申请到专利，可能造成企业丧失海外的专利权，她说。 电子邮件住址避免指名道姓企业网站上贴出的讯息中，最常见也最危险的一个，就是详情请洽某某人的电子邮件住址。Nick Brigman警告：在网站上直接使用电子邮件姓名，是你必须防范的漏洞之一。滥发邮件者常常从网站上搜集这些姓名，并以大量讯息疲惫轰炸这些电邮住址。恶意的黑客也可能撷取这些名字，用来伪造电子邮件，或把蠕虫和病毒传给不知情的收信人，让她们误认为是贵企业主管发的讯息。 Brigman提议，避开这种潜在危险的一个方法，是以网络表格作为透过网站连络的管道，而不是让外人传来的连络函直通企业

7、内部的电子邮件系统。 Ray Donahue另提议检验企业网站上公告的其它连络点。若你公布一个供潜在用户打电话查询的专线号码，就必须确定接电话的人员已被充分通知可对外提供哪些信息。来电查询者可能想破坏你的企业、抢用户，或从事其它不胜枚举的卑劣活动。时时谨慎就能提升警觉。 避免透露企业使用的基础设施纽约市IT咨询企业SBI的科技长Ray Velez说：有些企业公布出标明应用服务器类型的URL（全球资源寻址器），或系统供货商，这是一大错误。比方说，旧版Sun One应用服务器的URL里包含一个标准的目录，称为NASAPP，Velez提议移除那个目录。 Nick Brigman指出网站设计师可能犯的

8、另一个常见错误：从企业网络撷取一个商标图案或档案，然后把它贴在网页上。这个数据经常会泄露数据取得路径的线索文件名称、系统名称甚至档案结构。提供那些信息，就等于把搜寻数据的工具交给外人，她说：如蜘蛛结网通常，她们把数据组织起来，就能探知足够的讯息，进入下一层关卡，进而取得更多信息。 从html/asp/jsp/php原始档中删除技术评论Ray Velez说，程序开发者的评论也可能泄露你正在使用的技术类型，及其破解之道。这些评论可能在最终使用者的浏览器显现出来。切记，Velez再叮咛一句：黑客常阅读讯息留言板和贴文，很清楚最新公布的安全更新程序是用来修补什么漏洞。这是个问题，因为很多企业或个人并未

9、安装最新版本的修补程序。所以，这些开发者评论可被看成破解某网站的指南。 避免显示因技术问题产生的错误讯息Velez指出，这类错误讯息会暴露出你程序代码的弱点，且让基础架构技术的相关讯息外泄。拿掉404状态码和其它40x错误讯息，改用使用者更轻易了解、而且不透露基础技术讯息的错误讯息页。 使用数字权管理以保护智能财产权Velez提议，以密码保护你不想让网站访客任意重复使用的数据。安全控制不足，是网站一大常见的破绽。使用无法修改的文/图张贴格式俄勒冈州波特兰市SwiftView企业的产品经理Glenn Widener另外提到，你把数据张贴在企业网站上的方法，也可能留下安全漏洞。不论是文字或图形文件

10、，若以原始的规格（如 Word、Visio、AutoCAD等等）储存，难保不会遭到窜改。即使是可携式文件格式（PDF）档案，任何人用Adobe Acrobat软件全部能加以修改。发展防窜改的安全方法可能既复杂又费时。她推荐使用根本无法修改的通用格式，像是PCL、HPGL、TIFF和JPG这类。打印格式(如PCL和HPGL)含有部分胜过bitmap格式的优点：档案较小、即使压缩也可检视，而且本文可供搜寻、索引和选择。 Widener说明：就PCL而言，企业可许可商业伙伴从一份商业计划中抽取一段文字，但那些数据无法更改。企业只要把欲择取的那些页输出、设定成共享档案，然后传送该档案，商业伙伴即可用各

11、式各样的浏览器，比如SwiftView的浏览器，来检视、选择和打印内文。 Widener指出，PCL在金融界使用甚广，比如抵押货款银行就因为潜在的安全性考虑，而使用PCL格式来传送结清的文件。 培养职员的安全意识这是我们从用户那里听来的一个观念，现在我们把它利用在自己的营销文宣上，Nick Brigman说：在后911时代，你必须养成居安思危的意识。别漫不经心把数据往网站上丢，而未严加检视这些信息可能会被人怎么利用。而且，切莫认为既然数据未直接摆在网站上，她人就无从取得。她强调：网站可能是取得那个数据的一个路径。所以，事前的检验很关键。假如企业内部IT小组的安全防护专业不足，宜聘用能胜任此任务的第三者。（Debra Young著唐慧文译/KMCenter）（：中国知识管理网）