當(dāng)心企業(yè)網(wǎng)站悄悄泄密_

1、當(dāng)心企業(yè)網(wǎng)站悄悄泄密_ 人們上網(wǎng)游覽時(shí)，會(huì)不會(huì)順便去你家后院挖寶？信息科技（IT）平安專家說，企業(yè)必需分清晰那些類型的訊息可在自家網(wǎng)站上公布、哪些則不宜，由于若是馬虎大意，可能打開潘多拉的盒子，讓劫持者、黑客和工業(yè)間諜有機(jī)可乘。以下是專家的建議。 揣摩竊賊的想法 明尼蘇達(dá)州Data Security Systems公司總裁Sandy Sherizen建議，企業(yè)網(wǎng)站內(nèi)容的守門員應(yīng)當(dāng)學(xué)習(xí)揣摩小偷的想法，揣測(cè)他們可能會(huì)想竊取什么資料，或搜集什么樣的商業(yè)競爭情報(bào)。公司網(wǎng)站上貼出的零星數(shù)據(jù)乍看下可能無關(guān)緊要，但一旦拼湊起來，揭露出的公司內(nèi)部訊息、策略聯(lián)盟關(guān)系和客戶數(shù)據(jù)，可能遠(yuǎn)超過你的想象。 Sheriz

2、en說，企業(yè)網(wǎng)站不該只交給網(wǎng)站維護(hù)員和公關(guān)部門負(fù)責(zé)。在貼出任何訊息前，IT平安人員應(yīng)先從平安性的觀點(diǎn)把內(nèi)容檢視一番，到底他們的職責(zé)是隨時(shí)留意技術(shù)弱點(diǎn)，設(shè)法防止黑客入侵。換句話說，他們已受過從竊賊角度思索的訓(xùn)練。 提防下游把關(guān)責(zé)任當(dāng)今執(zhí)行的各種新法規(guī)都要求企業(yè)善盡責(zé)任。因此，Sherizen警告，疏于維護(hù)網(wǎng)站的平安，可能讓自己背負(fù)下游的法律責(zé)任。若你公司的信息系統(tǒng)已和供應(yīng)鏈商業(yè)伙伴的系統(tǒng)親密結(jié)合，或你透過自家網(wǎng)站搜集客戶的資料，更要當(dāng)心。 他舉一個(gè)法律個(gè)案為例。某人在甲公司的網(wǎng)站東張西望，由于防火墻防護(hù)不足，竟摸索出一條旁門左道，可經(jīng)由該網(wǎng)站闖入乙公司的信息系統(tǒng)，進(jìn)而大肆破壞。盡管實(shí)際執(zhí)行入侵動(dòng)

3、作的是第三者（一個(gè)名下沒什么財(cái)產(chǎn)的青少年黑客），但乙公司后來控告甲公司的求償官司仍獲判勝訴。遵行最低權(quán)限原則 賓州匹茲堡RedSiren公司產(chǎn)品策略副總裁Nick Brigman建議，在網(wǎng)站上公布數(shù)據(jù)，要遵行最低權(quán)限規(guī)章（rule of least-privilege）。 這位IT平安管理主管提示：只貼出要執(zhí)行某種功能絕不能少的數(shù)據(jù)。他說，要訂出這樣的規(guī)章，首先必需確定企業(yè)網(wǎng)站的目標(biāo)和用途何在。他說明：若目標(biāo)是吸引潛在顧客，把他們導(dǎo)向銷售團(tuán)隊(duì)，那么就不必把公司的資料巨細(xì)靡遺貼在網(wǎng)站上。供應(yīng)太詳盡的信息，可能泄露公司的運(yùn)作詳情。 RedSiren供應(yīng)客戶一種服務(wù)，稱為公共信息偵察，也就是到因特網(wǎng)

4、上搜索任何找得到的、與客戶有關(guān)的公開訊息。我們經(jīng)常發(fā)覺，只要挖掘的時(shí)間夠久，什么數(shù)據(jù)都找得著，Brigman說。 他甚至尋獲客戶僅供內(nèi)部參考的網(wǎng)頁，只由于網(wǎng)頁被不經(jīng)意地上載。即使企業(yè)網(wǎng)站未供應(yīng)這些網(wǎng)頁的連結(jié)，但Google等搜尋引擎公司如今已設(shè)計(jì)出聰慧絕頂?shù)乃饕绦颍馨堰@些數(shù)據(jù)給找出來，晾在網(wǎng)絡(luò)上供全世界檢視。 Brigman堅(jiān)稱，即使你認(rèn)為已做好充分的平安防護(hù)，只給少數(shù)人士有限度的存取權(quán)限，也絕不該把某些內(nèi)容張貼在全球信息網(wǎng)上。這些企業(yè)的傳家之寶包括諸如策略方案、將來的營銷策略，以及與商業(yè)伙伴協(xié)商有關(guān)的任何信息。 維吉尼亞州Anteon公司Homeland Security公司經(jīng)理Ray

5、Donahue強(qiáng)調(diào)，在檢查自家網(wǎng)站的同時(shí)，也要以批判的眼光檢視主要供貨商的網(wǎng)站，了解他們?cè)趺疵枋瞿愕墓?。?duì)你的商業(yè)伙伴而言，宣布新的策略聯(lián)盟可能是極佳的廣告宣揚(yáng)，但那些訊息或許也會(huì)對(duì)全世界宣告你公司用的是哪一種軟件系統(tǒng)，或哪一種網(wǎng)絡(luò)設(shè)備不啻是引狼入室，把邀請(qǐng)函發(fā)給樂于探知你系統(tǒng)弱點(diǎn)何在的黑客。 費(fèi)城律師事務(wù)所Caesar, Rivise, Bernstein, Cohen Pokotilow, Ltd.的才智財(cái)產(chǎn)權(quán)律師兼合伙人Barry Stein則提示，網(wǎng)站內(nèi)容若不嚴(yán)加把關(guān)，可能導(dǎo)致法律后果和銷售額損失。當(dāng)心翼翼避開商業(yè)機(jī)密和專業(yè)學(xué)問與技術(shù)外泄時(shí)，也不要忘了維護(hù)專利權(quán)?；谝蛱鼐W(wǎng)全球無疆界

6、的特性，讓原本可申請(qǐng)專利的創(chuàng)造詳情曝光，若是數(shù)據(jù)外泄之前未申請(qǐng)到專利，可能造成公司丟失海外的專利權(quán)，他說。 電子郵件住址避開指名道姓企業(yè)網(wǎng)站上貼出的訊息中，最常見也最_的一種，就是詳情請(qǐng)洽某某人的電子郵件住址。 Nick Brigman警告：在網(wǎng)站上挺直用法電子郵件姓名，是你必需防范的漏洞之一。濫發(fā)郵件者經(jīng)常從網(wǎng)站上搜集這些姓名，并以大量訊息疲憊轟炸這些電郵住址。惡意的黑客也可能擷取這些名字，用來偽造電子郵件，或把蠕蟲和病毒傳給不知情的收信人，讓他們誤以為是貴公司主管發(fā)的訊息。 Brigman建議，避開這種潛在_的一種方法，是以網(wǎng)絡(luò)表格作為透過網(wǎng)站連絡(luò)的管道，而不是讓外人傳來的連絡(luò)函直通公司內(nèi)

7、部的電子郵件系統(tǒng)。 Ray Donahue另建議檢驗(yàn)公司網(wǎng)站上公告的其它連絡(luò)點(diǎn)。若你公布一個(gè)供潛在顧客打電話查詢的專線號(hào)碼，就必需確定接電話的人員已被充分告知可對(duì)外供應(yīng)哪些信息。來電查詢者或許想破壞你的公司、搶客戶，或從事其它數(shù)不勝數(shù)的卑鄙活動(dòng)。時(shí)時(shí)謹(jǐn)慎就能提高警覺。 避開透露公司用法的基礎(chǔ)設(shè)施紐約市IT詢問公司SBI的科技長Ray Velez說：有些公司公布出標(biāo)明應(yīng)用服務(wù)器類型的URL（全球資源尋址器），或系統(tǒng)供貨商，這是一大錯(cuò)誤。比方說，舊版Sun One應(yīng)用服務(wù)器的URL里包含一個(gè)標(biāo)準(zhǔn)的名目，稱為NASAPP，Velez建議移除那個(gè)名目。 Nick Brigman指出網(wǎng)站設(shè)計(jì)師可能犯的另

8、一種常見錯(cuò)誤：從公司網(wǎng)絡(luò)擷取一個(gè)商標(biāo)圖案或檔案，然后把它貼在網(wǎng)頁上。這個(gè)數(shù)據(jù)常常會(huì)泄露數(shù)據(jù)取得途徑的線索文件名稱、系統(tǒng)名稱甚至檔案結(jié)構(gòu)。供應(yīng)那些信息，就等于把搜尋數(shù)據(jù)的工具交給外人，他說：如蜘蛛結(jié)網(wǎng)一般，他們把數(shù)據(jù)組織起來，就能探知足夠的訊息，進(jìn)入下一層關(guān)卡，進(jìn)而取得更多信息。 從html/asp/jsp/php原始檔中刪除技術(shù)評(píng)論Ray Velez說，程序開發(fā)者的評(píng)論也可能泄露你正在用法的技術(shù)類型，及其破解之道。這些評(píng)論可能在最終用法者的掃瞄器顯現(xiàn)出來。切記，Velez再吩咐一句：黑客常閱讀訊息留言板和貼文，很清晰最新發(fā)布的平安更新程序是用來修補(bǔ)什么漏洞。這是個(gè)問題，由于很多企業(yè)或個(gè)人并未安

9、裝最新版本的修補(bǔ)程序。所以，這些開發(fā)者評(píng)論可被當(dāng)作破解某網(wǎng)站的指南。 避開顯示因技術(shù)問題產(chǎn)生的錯(cuò)誤訊息Velez指出，這類錯(cuò)誤訊息會(huì)暴露出你程序代碼的弱點(diǎn)，且讓基本架構(gòu)技術(shù)的相關(guān)訊息外泄。拿掉404狀態(tài)碼和其它40x錯(cuò)誤訊息，改用用法者更簡單了解、而且不透露基本技術(shù)訊息的錯(cuò)誤訊息頁。 用法數(shù)字權(quán)管理以愛護(hù)智能財(cái)產(chǎn)權(quán)Velez建議，以密碼愛護(hù)你不想讓網(wǎng)站訪客任意重復(fù)用法的數(shù)據(jù)。平安掌握不足，是網(wǎng)站一大常見的馬腳。 用法無法修改的文/圖張貼格式俄勒岡州波特蘭市SwiftView公司的產(chǎn)品經(jīng)理Glenn Widener另外提到，你把數(shù)據(jù)張貼在公司網(wǎng)站上的方式，也可能留下平安漏洞。不論是文字或圖形文件

10、，若以原始的規(guī)格（如 Word、Visio、AutoCAD等等）儲(chǔ)存，難保不會(huì)遭到竄改。即使是可攜式文件格式（PDF）檔案，任何人用Adobe Acrobat軟件都能加以修改。進(jìn)展防竄改的平安措施可能既簡單又費(fèi)時(shí)。他推舉用法根本無法修改的通用格式，像是PCL、HPGL、TIFF和JPG這類。打印格式(如PCL和HPGL)具有一些勝過bitmap格式的優(yōu)點(diǎn)：檔案較小、即使壓縮也可檢視，而且本文可供搜尋、索引和選取。 Widener說明：就PCL而言，企業(yè)可允許商業(yè)伙伴從一份商業(yè)方案中抽取一段文字，但那些數(shù)據(jù)無法更改。企業(yè)只要把欲擇取的那些頁輸出、設(shè)定成共享檔案，然后傳送該檔案，商業(yè)伙伴即可用各種各樣的掃瞄器，例如SwiftView的掃瞄器，來檢視、選擇和打印內(nèi)文。 Widener指出，PCL在金融界用法甚廣，例如抵押貨款銀行就由于潛在的平安性考慮，而用法PCL格式來傳送結(jié)清的文件。 培育員工的平安意識(shí)這是我們從客戶那里聽來的一個(gè)觀念，現(xiàn)在我們把它運(yùn)用在自己的營銷文宣上，Nick Brigman說：在后911時(shí)代，你必需養(yǎng)成居安思危的意識(shí)。別漫不經(jīng)