教育资源为主的文档平台

当前位置: 查字典文档网> 所有文档分类> 范文> 其他范文> 小心企业网站悄悄泄密

小心企业网站悄悄泄密

上传者:网友
|
翻新时间:2011-12-21

小心企业网站悄悄泄密

人们上网遨游时,会不会顺便去你家后院挖宝?信息科技(IT)安全专家说,企业必须分清楚那些类型的讯息可在自家网站上公布、哪些则不宜,因为若是粗心大意,可能打开潘多拉的盒子,让劫持者、黑客和工业间谍有机可乘。以下是专家的建议。

揣摩窃贼的想法 明尼苏达州Data Security Systems公司总裁Sandy Sherizen建议,企业网站内容的守门员应该「学习揣摩小偷的想法,揣测他们可能会想窃取什么资料,或搜集什么样的商业竞争情报」。公司网站上贴出的零星数据乍看下可能无关紧要,但一旦拼凑起来,揭露出的公司内部讯息、策略联盟关系和客户数据,可能远超过你的想象。

Sherizen说,企业网站不该只交给网站维护员和公关部门负责。在贴出任何讯息前,IT安全人员应先从安全性的观点把内容检视一番,毕竟他们的职责是随时留意技术弱点,设法防止黑客入侵。

换句话说,他们已受过从窃贼角度思考的训练。 提防下游把关责任当今执行的各种新法规都要求企业善尽责任。

因此,Sherizen警告,疏于维护网站的安全,可能让自己背负下游的法律责任。若你公司的信息系统已和供应链商业伙伴的系统密切结合,或你透过自家网站搜集客户的资料,更要当心。

他举一个法律个案为例。某人在甲公司的网站东张西望,因为防火墙防护不足,竟摸索出一条旁门左道,可经由该网站闯入乙公司的信息系统,进而大肆破坏。

尽管实际执行入侵动作的是第三者(一个名下没什么财产的青少年黑客),但乙公司后来控告甲公司的求偿官司仍获判胜诉。遵行最低权限原则 宾州匹兹堡RedSiren公司产品策略副总裁Nick Brigman建议,在网站上公布数据,要遵行「最低权限规则」(rule of least-privilege)。

这位IT安全管理主管提醒:「只贴出要执行某种功能绝不能少的数据。」他说,要订出这样的规则,首先必须确定企业网站的目标和用途何在。

他解释:「若目标是吸引潜在顾客,把他们导向销售团队,那么就不必把公司的资料巨细靡遗贴在网站上。」提供太详尽的信息,可能泄露公司的运作细节。

RedSiren提供客户一种服务,称为「公共信息侦察」,也就是到因特网上搜索任何找得到的、与客户有关的公开讯息。「我们常常发现,只要挖掘的时间够久,什么数据都找得着,」Brigman说。

他甚至寻获客户仅供内部参考的网页,只因为网页被不经意地上载。即使企业网站未提供这些网页的连结,但Google等搜寻引擎公司如今已设计出聪明绝顶的索引程序,能把这些数据给找出来,晾在网络上供全世界检视。

Brigman坚称,即使你认为已做好充分的安全防护,只给少数人士有限度的存取权限,也绝不该把某些内容张贴在全球信息网上。这些「企业的传家之宝」包括诸如策略计划、未来的营销策略,以及与商业伙伴协商有关的任何信息。

维吉尼亚州Anteon公司Homeland Security公司经理Ray Donahue强调,在检查自家网站的同时,也要以批评的眼光检视主要供货商的网站,了解他们怎么描述你的公司。对你的商业伙伴而言,宣布新的策略联盟可能是极佳的广告宣传,但那些讯息也许也会对全世界宣告你公司用的是哪一种软件系统,或哪一种网络设备──不啻是引狼入室,把邀请函发给乐于探知你系统弱点何在的黑客。

费城律师事务所Caesar, Rivise, Bernstein, Cohen & Pokotilow, Ltd.的智慧财产权律师兼合伙人Barry Stein则提醒,网站内容若不严加把关,可能导致法律后果和销售额损失。小心翼翼避免商业机密和专业知识与技术外泄时,也不要忘了维护专利权。

基于因特网全球无疆界的特性,「让原本可申请专利的发明细节曝光,若是数据外泄之前未申请到专利,可能造成公司丧失海外的专利权,」他说。 电子邮件住址避免指名道姓企业网站上贴出的讯息中,最常见也最危险的一种,就是「详情请洽某某人」的电子邮件住址。

Nick Brigman警告:「在网站上直接使用电子邮件姓名,是你必须防范的漏洞之一。」滥发邮件者常常从网站上搜集这些姓名,并以大量讯息疲劳轰炸这些电邮住址。

恶意的黑客也可能撷取这些名字,用来伪造电子邮件,或把蠕虫和病毒传给不知情的收信人,让他们误以为是贵公司主管发的讯息。 Brigman建议,避开这种潜在危险的一种办法,是以网络表格作为透过网站连络的管道,而不是让外人传来的连络函直通公司内部的电子邮件系统。

Ray Donahue另建议检验公司网站上公告的其它连络点。若你公布一个供潜在顾客打电话查询的专线号码,就必须确定接电话的人员已被充分告知可对外提供哪些信息。

来电查询者也许想破坏你的公司、抢客户,或从事其它不胜枚举的卑鄙活动。时时谨慎就能提高警觉。

避免透露公司使用的基础设施纽约市IT咨询公司SBI的科技长Ray Velez说:「有些公司公布出标明应用服务器类型的URL(全球资源寻址器),或系统供货商,这是一大错误。」比方说,旧版Sun One应用服务器的URL里包含一个标准的目录,称为NASAPP,Velez建议移除那个目录。

Nick Brigman指出网站设计师可能犯的另一种常见错误:从公司网络撷取一个商标图案或档案,然后把它贴在网页上。「这个数据经常会泄露数据取得途径的线索──文件名称、系统名称甚至档案结构。

提供那些信息,就等于把搜寻数据的工具交给外人,」他说:「如蜘蛛结网一般,他们把数据组织起来,就能探知足够的讯息,进入下一层关卡,进而取得更多信息。」 从html/asp/jsp/php原始档中删除技术评论Ray Velez说,程序开发者的评论也可能泄露你正在使用的技术类型,及其破解之道。

这些评论可能在最终使用者的浏览器显现出来。「切记,」Velez再叮咛一句:「黑客常阅读讯息留言板和贴文,很清楚最新发布的安全更新程序是用来修补什么漏洞。

这是个问题,因为许多企业或个人并未安装最新版本的修补程序。所以,这些[开发者]评论可被当作破解某网站的指南。

」 避免显示因技术问题产生的错误讯息Velez指出,这类错误讯息会暴露出你程序代码的弱点,且让基本架构技术的相关讯息外泄。拿掉404状态码和其它40x错误讯息,改用使用者更容易了解、而且不透露基本技术讯息的错误讯息页。

使用数字权管理以保护智能财产权Velez建议,以密码保护你不想让网站访客任意重复使用的数据。安全控制不足,是网站一大常见的破绽。

使用无法修改的文/图张贴格式俄勒冈州波特兰市SwiftView公司的产品经理Glenn Widener另外提到,你把数据张贴在公司网站上的方式,也可能留下安全漏洞。不论是文字或图形文件,若以原始的规格(如 Word、Visio、AutoCAD等等)储存,难保不会遭到窜改。

即使是可携式文件格式(PDF)档案,任何人用Adobe Acrobat软件都能加以修改。发展防窜改的安全措施可能既复杂又费时。

他推荐使用根本无法修改的通用格式,像是PCL、HPGL、TIFF和JPG这类。打印格式(如PCL和HPGL)具有一些胜过bitmap格式的优点:档案较小、即使压缩也可检视,而且本文可供搜寻、索引和选取。

Widener说明:「就PCL而言,企业可允许商业伙伴从一份商业计划中抽取一段文字,但那些数据无法更改。企业只要把欲择取的那些页输出、设定成共享档案,然后传送该档案,商业伙伴即可用各式各样的浏览器,例如SwiftView的浏览器,来检视、选择和打印内文。

」 Widener指出,PCL在金融界使用甚广,例如抵押货款银行就因为潜在的安全性考虑,而使用PCL格式来传送结清的文件。 培养员工的安全意识「这是我们从客户那里听来的一个观念,现在我们把它运用在自己的营销文宣上,」Nick Brigman说:「在后911时代,你必须养成居安思危的意识。

」别漫不经心把数据往网站上丢,而未严加检视这些信息可能会被人怎么利用。而且,切莫以为既然数据未直接摆在网站上,别人就无从取得。

他强调:「网站可能是取得那个数据的一个途径。所以,事前的检查非常重要。

」如果公司内部IT小组的安全防护专业不足,宜聘请能胜任此任务的第三者。(Debra Young著.唐慧文译/KMCenter)(来源::中国知识管理网)

下载文档

版权声明:此文档由查字典文档网用户提供,如用于商业用途请与作者联系,查字典文档网保持最终解释权!

网友最新关注

Holidays and Outings
北京植物园
一张母亲节贺卡
我爱我的故乡
少壮不努力,老大徒伤悲
A Model Student
给母亲的感谢信
movies and Books
Don’t use plastic bags(不要使用塑料袋)
第一次去麦当劳
天来了 Spring is coming on
My Little Dog
To Be A Happy Kid如何做个快乐的孩子
Relationships between teachers and students
Talking about Having Sports
廉租房制度
企业职工奖惩条例
资料员岗位职责
车间管理制度
档案安全保管制度
集团印章管理制度
客户服务中心规范用语
职工代表大会制度
敬老院管理制度
厂务公开制度
客户部工作标准手册
党校学员管理制度
办公室行为规范
公司客户部规章制度
车辆管理规定
水利水电工程项目部施工员个人总结
农业水利工程专业介绍
小型水库除险加固工程中的若干问题
如何进行小型水电站的初步设计
高层建筑施工规范有哪些重要性
水库除险加固工程建设管理工作报告
堤防除险加固技术进展
水利工程风险分析研究现状综述
ANSYS软件在水电站弧形闸门设计中的应用
水利水电工程专业排名
河整治方案
竖直角三丝法
水土保持与荒漠化防治专业介绍
浅议工程设计阶段的监理控制
复合土工膜防渗铺盖设计
《荷叶圆圆》教学3
《美丽的小路》教学2
《荷叶圆圆》教学2
《失物招领》教学2
《美丽的小路》教学4
《荷叶圆圆》教学4
《美丽的小路》教学1
《美丽的小路》教学3
《失物招领》教学1
《要下雨了》教学2
《要下雨了》教学1
《要下雨了》教学4
《荷叶圆圆》教学1
《荷叶圆圆》教学4
《要下雨了》教学3