易坊好文馆

  1. 首页 > 学习 >

网站泄密|网站发布文章小心泄密


【网站泄密|网站发布文章小心泄密】人们上网遨游时 , 会不会顺便去你家后院挖宝?信息科技(IT)安全专家说 , 企业必须分清楚那些类型的讯息可在自家网站上公布、哪些则不宜 , 因为若是粗心大意 , 可能打开潘多拉的盒子 , 让劫持者、黑客和工业间谍有机可乘 。以下是专家的建议 。揣摩窃贼的想法 明尼苏达州Data Security Systems公司总裁Sandy Sherizen建议 , 企业网站内容的守门员应该「学习揣摩小偷的想法 , 揣测他们可能会想窃取什么资料 , 或搜集什么样的商业竞争情报」 。公司网站上贴出的零星数据乍看下可能无关紧要 , 但一旦拼凑起来 , 揭露出的公司内部讯息、策略联盟关系和客户数据 , 可能远超过你的想象 。Sherizen说 , 企业网站不该只交给网站维护员和公关部门负责 。在贴出任何讯息前 , IT安全人员应先从安全性的观点把内容检视一番 , 毕竟他们的职责是随时留意技术弱点 , 设法防止黑客入侵 。换句话说 , 他们已受过从窃贼角度思考的训练 。提防下游把关责任当今执行的各种新法规都要求企业善尽责任 。因此 , Sherizen警告 , 疏于维护网站的安全 , 可能让自己背负下游的法律责任 。若你公司的信息系统已和供应链商业伙伴的系统密切结合 , 或你透过自家网站搜集客户的资料 , 更要当心 。他举一个法律个案为例 。某人在甲公司的网站东张西望 , 因为防火墙防护不足 , 竟摸索出一条旁门左道 , 可经由该网站闯入乙公司的信息系统 , 进而大肆破坏 。尽管实际执行入侵动作的是第三者(一个名下没什么财产的青少年黑客) , 但乙公司后来控告甲公司的求偿官司仍获判胜诉 。遵行最低权限原则 宾州匹兹堡RedSiren公司产品策略副总裁Nick Brigman建议 , 在网站上公布数据 , 要遵行「最低权限规则」(rule of least-privilege) 。这位IT安全管理主管提醒:「只贴出要执行某种功能绝不能少的数据 。」他说 , 要订出这样的规则 , 首先必须确定企业网站的目标和用途何在 。他解释:「若目标是吸引潜在顾客 , 把他们导向销售团队 , 那么就不必把公司的资料巨细靡遗贴在网站上 。」提供太详尽的信息 , 可能泄露公司的运作细节 。RedSiren提供客户一种服务 , 称为「公共信息侦察」 , 也就是到因特网上搜索任何找得到的、与客户有关的公开讯息 。「我们常常发现 , 只要挖掘的时间够久 , 什么数据都找得着 , 」Brigman说 。他甚至寻获客户仅供内部参考的网页 , 只因为网页被不经意地上载 。即使企业网站未提供这些网页的连结 , 但Google等搜寻引擎公司如今已设计出聪明绝顶的索引程序 , 能把这些数据给找出来 , 晾在网络上供全世界检视 。Brigman坚称 , 即使你认为已做好充分的安全防护 , 只给少数人士有限度的存取权限 , 也绝不该把某些内容张贴在全球信息网上 。这些「企业的传家之宝」包括诸如策略计划、未来的营销策略 , 以及与商业伙伴协商有关的任何信息 。维吉尼亚州Anteon公司Homeland Security公司经理Ray Donahue强调 , 在检查自家网站的同时 , 也要以批评的眼光检视主要供货商的网站 , 了解他们怎么描述你的公司 。对你的商业伙伴而言 , 宣布新的策略联盟可能是极佳的广告宣传 , 但那些讯息也许也会对全世界宣告你公司用的是哪一种软件系统 , 或哪一种网络设备──不啻是引狼入室 , 把邀请函发给乐于探知你系统弱点何在的黑客 。费城律师事务所Caesar, Rivise, Bernstein, CohenPokotilow, Ltd.的智慧财产权律师兼合伙人Barry Stein则提醒 , 网站内容若不严加把关 , 可能导致法律后果和销售额损失 。小心翼翼避免商业机密和专业知识与技术外泄时 , 也不要忘了维护专利权 。基于因特网全球无疆界的特性 , 「让原本可申请专利的发明细节曝光 , 若是数据外泄之前未申请到专利 , 可能造成公司丧失海外的专利权 , 」他说 。电子邮件住址避免指名道姓企业网站上贴出的讯息中 , 最常见也最危险的一种 , 就是「详情请洽某某人」的电子邮件住址 。Nick Brigman警告:「在网站上直接使用电子邮件姓名 , 是你必须防范的漏洞之一 。」滥发邮件者常常从网站上搜集这些姓名 , 并以大量讯息疲劳轰炸这些电邮住址 。恶意的黑客也可能撷取这些名字 , 用来伪造电子邮件 , 或把蠕虫和病毒传给不知情的收信人 , 让他们误以为是贵公司主管发的讯息 。Brigman建议 , 避开这种潜在危险的一种办法 , 是以网络表格作为透过网站连络的管道 , 而不是让外人传来的连络函直通公司内部的电子邮件系统 。Ray Donahue另建议检验公司网站上公告的其它连络点 。若你公布一个供潜在顾客打电话查询的专线号码 , 就必须确定接电话的人员已被充分告知可对外提供哪些信息 。来电查询者也许想破坏你的公司、抢客户 , 或从事其它不胜枚举的卑鄙活动 。时时谨慎就能提高警觉 。避免透露公司使用的基础设施纽约市IT咨询公司SBI的科技长Ray Velez说:「有些公司公布出标明应用服务器类型的URL(全球资源寻址器) , 或系统供货商 , 这是一大错误 。」比方说 , 旧版Sun One应用服务器的URL里包含一个标准的目录 , 称为NASAPP , Velez建议移除那个目录 。Nick Brigman指出网站设计师可能犯的另一种常见错误:从公司网络撷取一个商标图案或档案 , 然后把它贴在网页上 。「这个数据经常会泄露数据取得途径的线索──文件名称、系统名称甚至档案结构 。提供那些信息 , 就等于把搜寻数据的工具交给外人 , 」他说:「如蜘蛛结网一般 , 他们把数据组织起来 , 就能探知足够的讯息 , 进入下一层关卡 , 进而取得更多信息 。」 从html/asp/jsp/php原始档中删除技术评论Ray Velez说 , 程序开发者的评论也可能泄露你正在使用的技术类型 , 及其破解之道 。这些评论可能在最终使用者的浏览器显现出来 。「切记 , 」Velez再叮咛一句:「黑客常阅读讯息留言板和贴文 , 很清楚最新发布的安全更新程序是用来修补什么漏洞 。这是个问题 , 因为许多企业或个人并未安装最新版本的修补程序 。所以 , 这些[开发者]评论可被当作破解某网站的指南 。」 避免显示因技术问题产生的错误讯息Velez指出 , 这类错误讯息会暴露出你程序代码的弱点 , 且让基本架构技术的相关讯息外泄 。拿掉404状态码和其它40x错误讯息 , 改用使用者更容易了解、而且不透露基本技术讯息的错误讯息页 。使用数字权管理以保护智能财产权Velez建议 , 以密码保护你不想让网站访客任意重复使用的数据 。安全控制不足 , 是网站一大常见的破绽 。使用无法修改的文/图张贴格式俄勒冈州波特兰市SwiftView公司的产品经理Glenn Widener另外提到 , 你把数据张贴在公司网站上的方式 , 也可能留下安全漏洞 。不论是文字或图形文件 , 若以原始的规格(如 Word、Visio、AutoCAD等等)储存 , 难保不会遭到窜改 。即使是可携式文件格式(PDF)档案 , 任何人用Adobe Acrobat软件都能加以修改 。发展防窜改的安全措施可能既复杂又费时 。他推荐使用根本无法修改的通用格式 , 像是PCL、HPGL、TIFF和JPG这类 。打印格式(如PCL和HPGL)具有一些胜过bitmap格式的优点:档案较小、即使压缩也可检视 , 而且本文可供搜寻、索引和选取 。Widener说明:「就PCL而言 , 企业可允许商业伙伴从一份商业计划中抽取一段文字 , 但那些数据无法更改 。企业只要把欲择取的那些页输出、设定成共享档案 , 然后传送该档案 , 商业伙伴即可用各式各样的浏览器 , 例如SwiftView的浏览器 , 来检视、选择和打印内文 。」 Widener指出 , PCL在金融界使用甚广 , 例如抵押货款银行就因为潜在的安全性考虑 , 而使用PCL格式来传送结清的文件 。培养员工的安全意识「这是我们从客户那里听来的一个观念 , 现在我们把它运用在自己的营销文宣上 , 」Nick Brigman说:「在后911时代 , 你必须养成居安思危的意识 。」别漫不经心把数据往网站上丢 , 而未严加检视这些信息可能会被人怎么利用 。而且 , 切莫以为既然数据未直接摆在网站上 , 别人就无从取得 。他强调:「网站可能是取得那个数据的一个途径 。所以 , 事前的检查非常重要 。」如果公司内部IT小组的安全防护专业不足 , 宜聘请能胜任此任务的第三者 。(Debra Young著.唐慧文译/KMCenter)(

推荐阅读


上一篇:劳动合同一般签几年|劳动合同一般写法

下一篇:文书|文书分类