小心企业网站悄悄密
推荐阅读:神印王座II皓月当空、深空彼岸、明克街13号、弃宇宙、最强战神、花娇、绝色总裁的贴身兵王、韩娱之临时工、女神的超能守卫、无敌悍民
一秒记住【书香小说网 www.shuxiang.la】,精彩小说无弹窗免费阅读!
人们上网遨游时,会不会顺便去你家后院挖宝?信息科技(it)安全专家说,企业必须分清楚那些类型的讯息可在自家网站上公布、哪些则不宜,因为若是粗心大意,可能打开潘多拉的盒子,让劫持者、黑客和工业间谍有机可乘。以下是专家的建议。
揣摩窃贼的想法
明尼苏达州datasecuritysystems公司总裁sandysherizen建议,企业网站内容的守门员应该“学习揣摩小偷的想法,揣测他们可能会想窃取什么资料,或搜集什么样的商业竞争情报”。公司网站上贴出的零星数据乍看下可能无关紧要,但一旦拼凑起来,揭露出的公司内部讯息、策略联盟关系和客户数据,可能远超过你的想象。
sherizen说,企业网站不该只交给网站维护员和公关部门负责。在贴出任何讯息前,it安全人员应先从安全性的观点把内容检视一番,毕竟他们的职责是随时留意技术弱点,设法防止黑客入侵。换句话说,他们已受过从窃贼角度思考的训练。
提防下游把关责任
当今执行的各种新法规都要求企业善尽责任。因此,sherizen警告,疏于维护网站的安全,可能让自己背负下游的法律责任。若你公司的信息系统已和供应链商业伙伴的系统密切结合,或你透过自家网站搜集客户的资料,更要当心。
他举一个法律个案为例。某人在甲公司的网站东张西望,因为防火墙防护不足,竟摸索出一条旁门左道,可经由该网站闯入乙公司的信息系统,进而大肆破坏。尽管实际执行入侵动作的是第三者(一个名下没什么财产的青少年黑客),但乙公司后来控告甲公司的求偿官司仍获判胜诉。
遵行最低权限原则
宾州匹兹堡redsiren公司产品策略副总裁nickbrigman建议,在网站上公布数据,要遵行“最低权限规则”(ruleofleast-privilege)。这位it安全管理主管提醒:“只贴出要执行某种功能绝不能少的数据。”他说,要订出这样的规则,首先必须确定企业网站的目标和用途何在。他解释:“若目标是吸引潜在顾客,把他们导向销售团队,那么就不必把公司的资料巨细靡遗贴在网站上。”提供太详尽的信息,可能泄露公司的运作细节。
redsiren提供客户一种服务,称为“公共信息侦察”,也就是到因特网上搜索任何找得到的、与客户有关的公开讯息。“我们常常发现,只要挖掘的时间够久,什么数据都找得着,”brigman说。他甚至寻获客户仅供内部参考的网页,只因为网页被不经意地上载。即使企业网站未提供这些网页的连结,但google等搜寻引擎公司如今已设计出聪明绝顶的索引程序,能把这些数据给找出来,晾在网络上供全世界检视。
brigman坚称,即使你认为已做好充分的安全防护,只给少数人士有限度的存取权限,也绝不该把某些内容张贴在全球信息网上。这些“企业的传家之宝”包括诸如策略计划、未来的营销策略,以及与商业伙伴协商有关的任何信息。
维吉尼亚州anteon公司homelandsecurity公司经理raydonahue强调,在检查自家网站的同时,也要以批评的眼光检视主要供货商的网站,了解他们怎么描述你的公司。对你的商业伙伴而言,宣布新的策略联盟可能是极佳的广告宣传,但那些讯息也许也会对全世界宣告你公司用的是哪一种软件系统,或哪一种网络设备──不啻是引狼入室,把发给乐于探知你系统弱点何在的黑客。
费城律师事务所caesar,rivise,bernstein,cohen&pokotilow,ltd。的智慧财产权律师兼合伙人barrystein则提醒,网站内容若不严加把关,可能导致法律后果和销售额损失。小心翼翼避免商业机密和专业知识与技术外泄时,也不要忘了维护专利权。基于因特网全球无疆界的特性“让原本可申请专利的发明细节曝光,若是数据外泄之前未申请到专利,可能造成公司丧失海外的专利权,”他说。
电子邮件住址避免指名道姓
企业网站上贴出的讯息中,最常见也最危险的一种,就是“详情请洽某某人”的电子邮件住址。nickbrigman警告:“在网站上直接使用电子邮件姓名,是你必须防范的漏洞之一。”滥发邮件者常常从网站上搜集这些姓名,并以大量讯息疲劳轰炸这些电邮住址。恶意的黑客也可能撷取这些名字,用来伪造电子邮件,或把蠕虫和病毒传给不知情的收信人,让他们误以为是贵公司主管发的讯息。
brigman建议,避开这种潜在危险的一种办法,是以网络表格作为透过网站连络的管道,而不是让外人传来的连络函直通公司内部的电子邮件系统。
raydonahue另建议检验公司网站上公告的其它连络点。若你公布一个供潜在顾客打电话查询的专线号码,就必须确定接电话的人员已被充分告知可对外提供哪些信息。来电查询者也许想破坏你的公司、抢客户,或从事其它不胜枚举的卑鄙活动。时时谨慎就能提高警觉。
避免透露公司使用的基础设施
纽约市it咨询公司sbi的科技长rayvelez说:“有些公司公布出标明应用服务器类型的url(全球资源寻址器),或系统供货商,这是一大错误。”比方说,旧版sunone应用服务器的url里包含一个标准的目录,称为nasapp,velez建议移除那个目录。
nickbrigman指出网站设计师可能犯的另一种常见错误:从公司网络撷取一个商标图案或档案,然后把它贴在网页上。“这个数据经常会泄露数据取得途径的线索──文件名称、系统名称甚至档案结构。提供那些信息,就等于把搜寻数据的工具交给外人,”他说:“如蜘蛛结网一般,他们把数据组织起来,就能探知足够的讯息,进入下一层关卡,进而取得更多信息。”
从html/asp/jsp/php原始档中删除技术评论
rayvelez说,程序开发者的评论也可能泄露你正在使用的技术类型,及其破解之道。这些评论可能在最终使用者的浏览器显现出来。“切记,”velez再叮咛一句:“黑客常阅读讯息留言板和贴文,很清楚最新发布的安全更新程序是用来修补什么漏洞。这是个问题,因为许多企业或个人并未安装最新版本的修补程序。所以,这些[开发者]评论可被当作破解某网站的指南。”
避免显示因技术问题产生的错误讯息
velez指出,这类错误讯息会暴露出你程序代码的弱点,且让基本架构技术的相关讯息外泄。拿掉404状态码和其它40x错误讯息,改用使用者更容易了解、而且不透露基本技术讯息的错误讯息页。
使用数字权管理以保护智能财产权
velez建议,以密码保护你不想让网站访客任意重复使用的数据。安全控制不足,是网站一大常见的破绽。
使用无法修改的文/图张贴格式
俄勒冈州波特兰市swiftview公司的产品经理glennwidener另外提到,你把数据张贴在公司网站上的方式,也可能留下安全漏洞。不论是文字或图形文件,若以原始的规格(如word、visio、autocad等等)储存,难保不会遭到窜改。即使是可携式文件格式(pdf)档案,任何人用adobeacrobat软件都能加以修改。
发展防窜改的安全措施可能既复杂又费时。他推荐使用根本无法修改的通用格式,像是pcl、hpgl、tiff和jpg这类。打印格式(如pcl和hpgl)具有一些胜过bitmap格式的优点:档案较小、即使压缩也可检视,而且本文可供搜寻、索引和选取。
widener说明:“就pcl而言,企业可允许商业伙伴从一份商业计划中抽取一段文字,但那些数据无法更改。企业只要把欲择取的那些页输出、设定成共享档案,然后传送该档案,商业伙伴即可用各式各样的浏览器,例如swiftview的浏览器,来检视、选择和打印内文。”
widener指出,pcl在金融界使用甚广,例如抵押货款银行就因为潜在的安全性考虑,而使用pcl格式来传送结清的文件。
培养员工的安全意识
“这是我们从客户那里听来的一个观念,现在我们把它运用在自己的营销文宣上,”nickbrigman说:“在后911时代,你必须养成居安思危的意识。”别漫不经心把数据往网站上丢,而未严加检视这些信息可能会被人怎么利用。而且,切莫以为既然数据未直接摆在网站上,别人就无从取得。他强调:“网站可能是取得那个数据的一个途径。所以,事前的检查非常重要。”如果公司内部it小组的安全防护专业不足,宜聘请能胜任此任务的第三者。(debrayoung著.唐慧文译/kmcenter)(来源::中国知识管理网)
人们上网遨游时,会不会顺便去你家后院挖宝?信息科技(it)安全专家说,企业必须分清楚那些类型的讯息可在自家网站上公布、哪些则不宜,因为若是粗心大意,可能打开潘多拉的盒子,让劫持者、黑客和工业间谍有机可乘。以下是专家的建议。
揣摩窃贼的想法
明尼苏达州datasecuritysystems公司总裁sandysherizen建议,企业网站内容的守门员应该“学习揣摩小偷的想法,揣测他们可能会想窃取什么资料,或搜集什么样的商业竞争情报”。公司网站上贴出的零星数据乍看下可能无关紧要,但一旦拼凑起来,揭露出的公司内部讯息、策略联盟关系和客户数据,可能远超过你的想象。
sherizen说,企业网站不该只交给网站维护员和公关部门负责。在贴出任何讯息前,it安全人员应先从安全性的观点把内容检视一番,毕竟他们的职责是随时留意技术弱点,设法防止黑客入侵。换句话说,他们已受过从窃贼角度思考的训练。
提防下游把关责任
当今执行的各种新法规都要求企业善尽责任。因此,sherizen警告,疏于维护网站的安全,可能让自己背负下游的法律责任。若你公司的信息系统已和供应链商业伙伴的系统密切结合,或你透过自家网站搜集客户的资料,更要当心。
他举一个法律个案为例。某人在甲公司的网站东张西望,因为防火墙防护不足,竟摸索出一条旁门左道,可经由该网站闯入乙公司的信息系统,进而大肆破坏。尽管实际执行入侵动作的是第三者(一个名下没什么财产的青少年黑客),但乙公司后来控告甲公司的求偿官司仍获判胜诉。
遵行最低权限原则
宾州匹兹堡redsiren公司产品策略副总裁nickbrigman建议,在网站上公布数据,要遵行“最低权限规则”(ruleofleast-privilege)。这位it安全管理主管提醒:“只贴出要执行某种功能绝不能少的数据。”他说,要订出这样的规则,首先必须确定企业网站的目标和用途何在。他解释:“若目标是吸引潜在顾客,把他们导向销售团队,那么就不必把公司的资料巨细靡遗贴在网站上。”提供太详尽的信息,可能泄露公司的运作细节。
redsiren提供客户一种服务,称为“公共信息侦察”,也就是到因特网上搜索任何找得到的、与客户有关的公开讯息。“我们常常发现,只要挖掘的时间够久,什么数据都找得着,”brigman说。他甚至寻获客户仅供内部参考的网页,只因为网页被不经意地上载。即使企业网站未提供这些网页的连结,但google等搜寻引擎公司如今已设计出聪明绝顶的索引程序,能把这些数据给找出来,晾在网络上供全世界检视。
brigman坚称,即使你认为已做好充分的安全防护,只给少数人士有限度的存取权限,也绝不该把某些内容张贴在全球信息网上。这些“企业的传家之宝”包括诸如策略计划、未来的营销策略,以及与商业伙伴协商有关的任何信息。
维吉尼亚州anteon公司homelandsecurity公司经理raydonahue强调,在检查自家网站的同时,也要以批评的眼光检视主要供货商的网站,了解他们怎么描述你的公司。对你的商业伙伴而言,宣布新的策略联盟可能是极佳的广告宣传,但那些讯息也许也会对全世界宣告你公司用的是哪一种软件系统,或哪一种网络设备──不啻是引狼入室,把发给乐于探知你系统弱点何在的黑客。
费城律师事务所caesar,rivise,bernstein,cohen&pokotilow,ltd。的智慧财产权律师兼合伙人barrystein则提醒,网站内容若不严加把关,可能导致法律后果和销售额损失。小心翼翼避免商业机密和专业知识与技术外泄时,也不要忘了维护专利权。基于因特网全球无疆界的特性“让原本可申请专利的发明细节曝光,若是数据外泄之前未申请到专利,可能造成公司丧失海外的专利权,”他说。
电子邮件住址避免指名道姓
企业网站上贴出的讯息中,最常见也最危险的一种,就是“详情请洽某某人”的电子邮件住址。nickbrigman警告:“在网站上直接使用电子邮件姓名,是你必须防范的漏洞之一。”滥发邮件者常常从网站上搜集这些姓名,并以大量讯息疲劳轰炸这些电邮住址。恶意的黑客也可能撷取这些名字,用来伪造电子邮件,或把蠕虫和病毒传给不知情的收信人,让他们误以为是贵公司主管发的讯息。
brigman建议,避开这种潜在危险的一种办法,是以网络表格作为透过网站连络的管道,而不是让外人传来的连络函直通公司内部的电子邮件系统。
raydonahue另建议检验公司网站上公告的其它连络点。若你公布一个供潜在顾客打电话查询的专线号码,就必须确定接电话的人员已被充分告知可对外提供哪些信息。来电查询者也许想破坏你的公司、抢客户,或从事其它不胜枚举的卑鄙活动。时时谨慎就能提高警觉。
避免透露公司使用的基础设施
纽约市it咨询公司sbi的科技长rayvelez说:“有些公司公布出标明应用服务器类型的url(全球资源寻址器),或系统供货商,这是一大错误。”比方说,旧版sunone应用服务器的url里包含一个标准的目录,称为nasapp,velez建议移除那个目录。
nickbrigman指出网站设计师可能犯的另一种常见错误:从公司网络撷取一个商标图案或档案,然后把它贴在网页上。“这个数据经常会泄露数据取得途径的线索──文件名称、系统名称甚至档案结构。提供那些信息,就等于把搜寻数据的工具交给外人,”他说:“如蜘蛛结网一般,他们把数据组织起来,就能探知足够的讯息,进入下一层关卡,进而取得更多信息。”
从html/asp/jsp/php原始档中删除技术评论
rayvelez说,程序开发者的评论也可能泄露你正在使用的技术类型,及其破解之道。这些评论可能在最终使用者的浏览器显现出来。“切记,”velez再叮咛一句:“黑客常阅读讯息留言板和贴文,很清楚最新发布的安全更新程序是用来修补什么漏洞。这是个问题,因为许多企业或个人并未安装最新版本的修补程序。所以,这些[开发者]评论可被当作破解某网站的指南。”
避免显示因技术问题产生的错误讯息
velez指出,这类错误讯息会暴露出你程序代码的弱点,且让基本架构技术的相关讯息外泄。拿掉404状态码和其它40x错误讯息,改用使用者更容易了解、而且不透露基本技术讯息的错误讯息页。
使用数字权管理以保护智能财产权
velez建议,以密码保护你不想让网站访客任意重复使用的数据。安全控制不足,是网站一大常见的破绽。
使用无法修改的文/图张贴格式
俄勒冈州波特兰市swiftview公司的产品经理glennwidener另外提到,你把数据张贴在公司网站上的方式,也可能留下安全漏洞。不论是文字或图形文件,若以原始的规格(如word、visio、autocad等等)储存,难保不会遭到窜改。即使是可携式文件格式(pdf)档案,任何人用adobeacrobat软件都能加以修改。
发展防窜改的安全措施可能既复杂又费时。他推荐使用根本无法修改的通用格式,像是pcl、hpgl、tiff和jpg这类。打印格式(如pcl和hpgl)具有一些胜过bitmap格式的优点:档案较小、即使压缩也可检视,而且本文可供搜寻、索引和选取。
widener说明:“就pcl而言,企业可允许商业伙伴从一份商业计划中抽取一段文字,但那些数据无法更改。企业只要把欲择取的那些页输出、设定成共享档案,然后传送该档案,商业伙伴即可用各式各样的浏览器,例如swiftview的浏览器,来检视、选择和打印内文。”
widener指出,pcl在金融界使用甚广,例如抵押货款银行就因为潜在的安全性考虑,而使用pcl格式来传送结清的文件。
培养员工的安全意识
“这是我们从客户那里听来的一个观念,现在我们把它运用在自己的营销文宣上,”nickbrigman说:“在后911时代,你必须养成居安思危的意识。”别漫不经心把数据往网站上丢,而未严加检视这些信息可能会被人怎么利用。而且,切莫以为既然数据未直接摆在网站上,别人就无从取得。他强调:“网站可能是取得那个数据的一个途径。所以,事前的检查非常重要。”如果公司内部it小组的安全防护专业不足,宜聘请能胜任此任务的第三者。(debrayoung著.唐慧文译/kmcenter)(来源::中国知识管理网)