小心企業(yè)網(wǎng)站悄悄泄密 3500字

小心企業(yè)網(wǎng)站悄悄泄密3500字人們上網(wǎng)遨游時，會不會順便去你家后院挖寶？信息科技〔it〕平安專家說，企業(yè)必須分分明那些類型的訊息可在自家網(wǎng)站上頒布、哪些那么不宜，因為假設是粗心大意，可能翻開潘多拉的盒子，讓劫持者、黑客和工業(yè)間諜有機可乘。下列是專家的倡議。

揣摩竊賊的想法

明尼蘇達州datasecuritysystems公司總裁sandysherizen倡議，企業(yè)網(wǎng)站內(nèi)容的守門員應該「學習揣摩小偷的想法，揣測他們可能會想竊取什么資料，或搜集什么樣的商業(yè)競爭情報」。公司網(wǎng)站上貼出的零星數(shù)據(jù)乍看下可能無關緊要，但一旦拼湊起來，揭露出的公司內(nèi)部訊息、策略聯(lián)盟關系和客戶數(shù)據(jù)，可能遠超過你的想象。

sherizen說，企業(yè)網(wǎng)站不該只交給網(wǎng)站維護員和公關部門負責。在貼出任何訊息前，it平安人員應先從平安性的觀點把內(nèi)容檢視一番，畢竟他們的職責是隨時留意技術弱點，設法避免黑客入侵。換句話說，他們已受過從竊賊角度思考的訓練。

提防下游把關責任

當今執(zhí)行的各種新法規(guī)都要求企業(yè)善盡責任。因此，sherizen警告，疏于維護網(wǎng)站的平安，可能讓自己背負下游的法律責任。假設你公司的信息系統(tǒng)已和供給鏈商業(yè)搭檔的系統(tǒng)密切結(jié)合，或你透過自家網(wǎng)站搜集客戶的資料，更要留神。

他舉一個法律個案為例。某人在甲公司的網(wǎng)站東張西望，因為防火墻防護缺乏，竟摸索出一條旁門左道，可經(jīng)由該網(wǎng)站闖入乙公司的信息系統(tǒng)，進而大肆破壞。盡管實際執(zhí)行入侵動作的是第三者〔一個名下沒什么財產(chǎn)的青少年黑客〕，但乙公司后來控告甲公司的求償官司仍獲判勝訴。

遵行最低權(quán)限原那么

賓州匹茲堡redsiren公司產(chǎn)品策略副總裁nickbrigman倡議，在網(wǎng)站上頒布數(shù)據(jù)，要遵行「最低權(quán)限規(guī)那么」〔ruleofleast-privilege〕。這位it平安管理主管提醒：「只貼出要執(zhí)行某種功能絕不能少的數(shù)據(jù)?！顾f，要訂出這樣的規(guī)那么，首先必須確定企業(yè)網(wǎng)站的目標和用途何在。他解釋：「假設目標是吸引潛在顧客，把他們導向銷售團隊，則就不必把公司的資料巨細靡遺貼在網(wǎng)站上?！固峁┨敱M的信息，可能泄露公司的運作細節(jié)。

redsiren提供客戶一種效勞，稱為「公共信息偵察」，也就是到因特網(wǎng)上搜索任何找得到的、與客戶有關的公開訊息。「我們常常發(fā)現(xiàn)，只要挖掘的時間夠久，什么數(shù)據(jù)都找得著，」brigman說。他甚至尋獲客戶僅供內(nèi)部參考的網(wǎng)頁，只因為網(wǎng)頁被不經(jīng)意地上載。即使企業(yè)網(wǎng)站未提供這些網(wǎng)頁的連結(jié)，但google等搜尋引擎公司如今已設計出聰慧絕頂?shù)乃饕绦?，能把這些數(shù)據(jù)給找出來，晾在網(wǎng)絡上供全世界檢視。

brigman堅稱，即使你認為已做好充沛的平安防護，只給少數(shù)人士有限度的存取權(quán)限，也絕不該把某些內(nèi)容張貼在全球信息網(wǎng)上。這些「企業(yè)的傳家之寶」包括諸如策略方案、未來的營銷策略，以及與商業(yè)搭檔協(xié)商有關的任何信息。

維吉尼亞州anteon公司homelandsecurity公司經(jīng)理raydonahue強調(diào)，在檢查自家網(wǎng)站的同時，也要以批評的眼光檢視主要供貨商的網(wǎng)站，了解他們怎么描述你的公司。對你的商業(yè)搭檔而言，宣布新的策略聯(lián)盟可能是極佳的廣告宣傳，但那些訊息也許也會對全世界宣告你公司用的是哪一種軟件系統(tǒng)，或哪一種網(wǎng)絡設備──不啻是引狼入室，把邀請函發(fā)給樂于探知你系統(tǒng)弱點何在的黑客。

費城律師事務所caesar,rivise,bernstein,cohen&pokotilow,ltd.的智慧財產(chǎn)權(quán)律師兼合伙人barrystein那么提醒，網(wǎng)站內(nèi)容假設不嚴加把關，可能導致法律后果和銷售額損失。小心翼翼防止商業(yè)機密和專業(yè)知識與技術外泄時，也不要忘了維護專利權(quán)?；谝蛱鼐W(wǎng)全球無疆界的特性，「讓原本可申請專利的創(chuàng)造細節(jié)曝光，假設是數(shù)據(jù)外泄之前未申請到專利，可能造成公司丟失海外的專利權(quán)，」他說。

電子郵件住址防止指名道姓

企業(yè)網(wǎng)站上貼出的訊息中，最常見也最危險的一種，就是「詳情請洽某某人」的電子郵件住址。nickbrigman警告：「在網(wǎng)站上直接使用電子郵件姓名，是你必須防備的漏洞之一。」濫發(fā)郵件者常常從網(wǎng)站上搜集這些姓名，并以大量訊息疲勞轟炸這些電郵住址。歹意的黑客也可能擷取這些名字，用來偽造電子郵件，或把蠕蟲和病毒傳給不知情的收信人，讓他們誤以為是貴公司主管發(fā)的訊息。

brigman倡議，避開這種潛在危險的一種方法，是以網(wǎng)絡表格作為透過網(wǎng)站連絡的管道，而不是讓外人傳來的連絡函直通公司內(nèi)部的電子郵件系統(tǒng)。

raydonahue另倡議檢驗公司網(wǎng)站上公告的其它連絡點。假設你頒布一個供潛在顧客打查詢的專線號碼，就必須確定接的人員已被充沛告知可對外提供哪些信息。來電查詢者也許想破壞你的公司、搶客戶，或從事其它不勝枚舉的卑劣活動。時時謹慎就能提高警覺。

防止透露公司使用的根底設施

紐約市it咨詢公司sbi的科技長rayvelez說：「有些公司頒布出標明應用效勞器類型的url〔全球資源尋址器〕，或系統(tǒng)供貨商，這是一大錯誤?！贡热缯f，舊版sunone應用效勞器的url里包含一個規(guī)范的目錄，稱為nasapp，velez倡議移除那個目錄。

nickbrigman指出網(wǎng)站設計師可能犯的另一種常見錯誤：從公司網(wǎng)絡擷取一個商標圖案或檔案，然后把它貼在網(wǎng)頁上?！高@個數(shù)據(jù)經(jīng)常會泄露數(shù)據(jù)取得途徑的線索──文件名稱、系統(tǒng)名稱甚至檔案結(jié)構(gòu)。提供那些信息，就等于把搜尋數(shù)據(jù)的工具交給外人，」他說：「如蜘蛛結(jié)網(wǎng)一般，他們把數(shù)據(jù)組織起來，就能探知足夠的訊息，進入下一層關卡，進而取得更多信息?！?/p>

從html/asp/jsp/php原始檔中刪除技術評論

rayvelez說，程序開發(fā)者的評論也可能泄露你正在使用的技術類型，及其破解之道。這些評論可能在最終使用者的瀏覽器顯現(xiàn)出來?！盖杏洠箆elez再叮嚀一句：「黑客常閱讀訊息留言板和貼文，很分明最新發(fā)布的平安更新程序是用來修補什么漏洞。這是個問題，因為許多企業(yè)或個人并未安裝最新版本的修補程序。所以，這些[開發(fā)者]評論可被當作破解某網(wǎng)站的指南?！?/p>

防止顯示因技術問題產(chǎn)生的錯誤訊息

velez指出，這類錯誤訊息會暴露出你程序代碼的弱點，且讓根本架構(gòu)技術的相關訊息外泄。拿掉404狀態(tài)碼和其它40x錯誤訊息，改用使用者更容易了解、而且不透露根本技術訊息的錯誤訊息頁。

使用數(shù)字權(quán)管理以愛護智能財產(chǎn)權(quán)

velez倡議，以密碼愛護你不想讓網(wǎng)站訪客任意重復使用的數(shù)據(jù)。平安控制缺乏，是網(wǎng)站一大常見的破綻。

使用無法修改的文/圖張貼格式

俄勒岡州波特蘭市swiftview公司的產(chǎn)品經(jīng)理glennwidener另外提到，你把數(shù)據(jù)張貼在公司網(wǎng)站上的方式，也可能留下平安漏洞。不管是文字或圖形文件，假設以原始的規(guī)格〔如word、visio、autocad等等〕儲存，難保不會遭到竄改。即使是可攜式文件格式〔pdf〕檔案，任何人用adobeacrobat軟件都能加以修改。

開展防竄改的平安措施可能既復雜又費時。他推薦使用基本無法修改的通用格式，像是pcl、hpgl、tiff和jpg這類。打印格式(如pcl和hpgl)具有一些勝過bitmap格式的優(yōu)點：檔案較小、即使壓縮也可檢視，而且本文可供搜尋、索引和選取。

widener表明：「就pcl而言，企業(yè)可允許商業(yè)搭檔從一份商業(yè)方案中抽取一段文字，但那些數(shù)據(jù)無法更改。企業(yè)只要把欲擇取的那些頁輸出、設定成共享檔案，然后傳送該檔案，商業(yè)搭檔即可用各式各樣的瀏覽器，示例swiftview的瀏覽器，來檢視、選擇和打印內(nèi)文?！?/p>

widener指出，pcl在金融界使用甚廣，示例抵押貨款銀行就因為潛在的平安性考慮，而使用pcl格式來傳送結(jié)清的文件。

培養(yǎng)員工的平安意識

「這是我們從客戶那里聽來的一個觀念，現(xiàn)在我們把它運用在自己的營銷文宣上，」nickbrigman說：「在后911時代，你必