小心企业网站悄悄泄密 3500字

小心企业网站悄悄泄密3500字人们上网遨游时，会不会顺便去你家后院挖宝？信息科技〔it〕平安专家说，企业必须分分明那些类型的讯息可在自家网站上颁布、哪些那么不宜，因为假设是粗心大意，可能翻开潘多拉的盒子，让劫持者、黑客和工业间谍有机可乘。下列是专家的倡议。

揣摩窃贼的想法

明尼苏达州datasecuritysystems公司总裁sandysherizen倡议，企业网站内容的守门员应该「学习揣摩小偷的想法，揣测他们可能会想窃取什么资料，或搜集什么样的商业竞争情报」。公司网站上贴出的零星数据乍看下可能无关紧要，但一旦拼凑起来，揭露出的公司内部讯息、策略联盟关系和客户数据，可能远超过你的想象。

sherizen说，企业网站不该只交给网站维护员和公关部门负责。在贴出任何讯息前，it平安人员应先从平安性的观点把内容检视一番，毕竟他们的职责是随时留意技术弱点，设法避免黑客入侵。换句话说，他们已受过从窃贼角度思考的训练。

提防下游把关责任

当今执行的各种新法规都要求企业善尽责任。因此，sherizen警告，疏于维护网站的平安，可能让自己背负下游的法律责任。假设你公司的信息系统已和供给链商业搭档的系统密切结合，或你透过自家网站搜集客户的资料，更要留神。

他举一个法律个案为例。某人在甲公司的网站东张西望，因为防火墙防护缺乏，竟摸索出一条旁门左道，可经由该网站闯入乙公司的信息系统，进而大肆破坏。尽管实际执行入侵动作的是第三者〔一个名下没什么财产的青少年黑客〕，但乙公司后来控告甲公司的求偿官司仍获判胜诉。

遵行最低权限原那么

宾州匹兹堡redsiren公司产品策略副总裁nickbrigman倡议，在网站上颁布数据，要遵行「最低权限规那么」〔ruleofleast-privilege〕。这位it平安管理主管提醒：「只贴出要执行某种功能绝不能少的数据。」他说，要订出这样的规那么，首先必须确定企业网站的目标和用途何在。他解释：「假设目标是吸引潜在顾客，把他们导向销售团队，则就不必把公司的资料巨细靡遗贴在网站上。」提供太详尽的信息，可能泄露公司的运作细节。

redsiren提供客户一种效劳，称为「公共信息侦察」，也就是到因特网上搜索任何找得到的、与客户有关的公开讯息。「我们常常发现，只要挖掘的时间够久，什么数据都找得着，」brigman说。他甚至寻获客户仅供内部参考的网页，只因为网页被不经意地上载。即使企业网站未提供这些网页的连结，但google等搜寻引擎公司如今已设计出聪慧绝顶的索引程序，能把这些数据给找出来，晾在网络上供全世界检视。

brigman坚称，即使你认为已做好充沛的平安防护，只给少数人士有限度的存取权限，也绝不该把某些内容张贴在全球信息网上。这些「企业的传家之宝」包括诸如策略方案、未来的营销策略，以及与商业搭档协商有关的任何信息。

维吉尼亚州anteon公司homelandsecurity公司经理raydonahue强调，在检查自家网站的同时，也要以批评的眼光检视主要供货商的网站，了解他们怎么描述你的公司。对你的商业搭档而言，宣布新的策略联盟可能是极佳的广告宣传，但那些讯息也许也会对全世界宣告你公司用的是哪一种软件系统，或哪一种网络设备──不啻是引狼入室，把邀请函发给乐于探知你系统弱点何在的黑客。

费城律师事务所caesar,rivise,bernstein,cohen&pokotilow,ltd.的智慧财产权律师兼合伙人barrystein那么提醒，网站内容假设不严加把关，可能导致法律后果和销售额损失。小心翼翼防止商业机密和专业知识与技术外泄时，也不要忘了维护专利权。基于因特网全球无疆界的特性，「让原本可申请专利的创造细节曝光，假设是数据外泄之前未申请到专利，可能造成公司丢失海外的专利权，」他说。

电子邮件住址防止指名道姓

企业网站上贴出的讯息中，最常见也最危险的一种，就是「详情请洽某某人」的电子邮件住址。nickbrigman警告：「在网站上直接使用电子邮件姓名，是你必须防备的漏洞之一。」滥发邮件者常常从网站上搜集这些姓名，并以大量讯息疲劳轰炸这些电邮住址。歹意的黑客也可能撷取这些名字，用来伪造电子邮件，或把蠕虫和病毒传给不知情的收信人，让他们误以为是贵公司主管发的讯息。

brigman倡议，避开这种潜在危险的一种方法，是以网络表格作为透过网站连络的管道，而不是让外人传来的连络函直通公司内部的电子邮件系统。

raydonahue另倡议检验公司网站上公告的其它连络点。假设你颁布一个供潜在顾客打查询的专线号码，就必须确定接的人员已被充沛告知可对外提供哪些信息。来电查询者也许想破坏你的公司、抢客户，或从事其它不胜枚举的卑劣活动。时时谨慎就能提高警觉。

防止透露公司使用的根底设施

纽约市it咨询公司sbi的科技长rayvelez说：「有些公司颁布出标明应用效劳器类型的url〔全球资源寻址器〕，或系统供货商，这是一大错误。」比如说，旧版sunone应用效劳器的url里包含一个规范的目录，称为nasapp，velez倡议移除那个目录。

nickbrigman指出网站设计师可能犯的另一种常见错误：从公司网络撷取一个商标图案或档案，然后把它贴在网页上。「这个数据经常会泄露数据取得途径的线索──文件名称、系统名称甚至档案结构。提供那些信息，就等于把搜寻数据的工具交给外人，」他说：「如蜘蛛结网一般，他们把数据组织起来，就能探知足够的讯息，进入下一层关卡，进而取得更多信息。」

从html/asp/jsp/php原始档中删除技术评论

rayvelez说，程序开发者的评论也可能泄露你正在使用的技术类型，及其破解之道。这些评论可能在最终使用者的浏览器显现出来。「切记，」velez再叮咛一句：「黑客常阅读讯息留言板和贴文，很分明最新发布的平安更新程序是用来修补什么漏洞。这是个问题，因为许多企业或个人并未安装最新版本的修补程序。所以，这些[开发者]评论可被当作破解某网站的指南。」

防止显示因技术问题产生的错误讯息

velez指出，这类错误讯息会暴露出你程序代码的弱点，且让根本架构技术的相关讯息外泄。拿掉404状态码和其它40x错误讯息，改用使用者更容易了解、而且不透露根本技术讯息的错误讯息页。

使用数字权管理以爱护智能财产权

velez倡议，以密码爱护你不想让网站访客任意重复使用的数据。平安控制缺乏，是网站一大常见的破绽。

使用无法修改的文/图张贴格式

俄勒冈州波特兰市swiftview公司的产品经理glennwidener另外提到，你把数据张贴在公司网站上的方式，也可能留下平安漏洞。不管是文字或图形文件，假设以原始的规格〔如word、visio、autocad等等〕储存，难保不会遭到窜改。即使是可携式文件格式〔pdf〕档案，任何人用adobeacrobat软件都能加以修改。

开展防窜改的平安措施可能既复杂又费时。他推荐使用基本无法修改的通用格式，像是pcl、hpgl、tiff和jpg这类。打印格式(如pcl和hpgl)具有一些胜过bitmap格式的优点：档案较小、即使压缩也可检视，而且本文可供搜寻、索引和选取。

widener表明：「就pcl而言，企业可允许商业搭档从一份商业方案中抽取一段文字，但那些数据无法更改。企业只要把欲择取的那些页输出、设定成共享档案，然后传送该档案，商业搭档即可用各式各样的浏览器，示例swiftview的浏览器，来检视、选择和打印内文。」

widener指出，pcl在金融界使用甚广，示例抵押货款银行就因为潜在的平安性考虑，而使用pcl格式来传送结清的文件。

培养员工的平安意识

「这是我们从客户那里听来的一个观念，现在我们把它运用在自己的营销文宣上，」nickbrigman说：「在后911时代，你必