- 相關(guān)推薦
小心企業(yè)網(wǎng)站悄悄泄密 -文秘文書(shū)
人們上網(wǎng)遨游時(shí),會(huì)不會(huì)順便去你家后院挖寶?信息科技(IT)安全專(zhuān)家說(shuō),企業(yè)必須分清楚那些類(lèi)型的訊息可在自家網(wǎng)站上公布、哪些則不宜,因?yàn)槿羰谴中拇笠,可能打開(kāi)潘多拉的盒子,讓劫持者、 和工業(yè)間諜有機(jī)可乘。以下是專(zhuān)家的建議。 揣摩竊賊的想法 明尼蘇達(dá)州Data Security Systems公司總裁Sandy Sherizen建議,企業(yè)網(wǎng)站內(nèi)容的守門(mén)員應(yīng)該「學(xué)習(xí)揣摩小偷的想法,揣測(cè)他們可能會(huì)想竊取什么資料,或搜集什么樣的商業(yè)競(jìng)爭(zhēng)情報(bào)」。公司網(wǎng)站上貼出的零星數(shù)據(jù)乍看下可能無(wú)關(guān)緊要,但一旦拼湊起來(lái),揭露出的公司內(nèi)部訊息、策略聯(lián)盟關(guān)系和客戶(hù)數(shù)據(jù),可能遠(yuǎn)超過(guò)你的想象。 Sherizen說(shuō),企業(yè)網(wǎng)站不該只交給網(wǎng)站維護(hù)員和公關(guān)部門(mén)負(fù)責(zé)。在貼出任何訊息前,IT安全人員應(yīng)先從安全性的觀點(diǎn)把內(nèi)容檢視一番,畢竟他們的職責(zé)是隨時(shí)留意技術(shù)弱點(diǎn),設(shè)法防止 入侵。換句話(huà)說(shuō),他們已受過(guò)從竊賊角度思考的訓(xùn)練。 提防下游把關(guān)責(zé)任 當(dāng)今執(zhí)行的各種新法規(guī)都要求企業(yè)善盡責(zé)任。因此,Sherizen警告,疏于維護(hù)網(wǎng)站的安全,可能讓自己背負(fù)下游的法律責(zé)任。若你公司的信息系統(tǒng)已和供應(yīng)鏈商業(yè)伙伴的系統(tǒng)密切結(jié)合,或你透過(guò)自家網(wǎng)站搜集客戶(hù)的資料,更要當(dāng)心。 他舉一個(gè)法律個(gè)案為例。某人在甲公司的網(wǎng)站東張西望,因?yàn)榉阑饓Ψ雷o(hù)不足,竟摸索出一條旁門(mén)左道,可經(jīng)由該網(wǎng)站闖入乙公司的信息系統(tǒng),進(jìn)而大肆破壞。盡管實(shí)際執(zhí)行入侵動(dòng)作的是第三者(一個(gè)名下沒(méi)什么財(cái)產(chǎn)的青少年 ),但乙公司后來(lái)控告甲公司的求償官司仍獲判勝訴! ∽裥凶畹蜋(quán)限原則 賓州匹茲堡RedSiren公司產(chǎn)品策略副總裁Nick Brigman建議,在網(wǎng)站上公布數(shù)據(jù),要遵行「最低權(quán)限規(guī)則」(rule of least-privilege)。這位IT安全管理主管提醒:「只貼出要執(zhí)行某種功能絕不能少的數(shù)據(jù)。」他說(shuō),要訂出這樣的規(guī)則,首先必須確定企業(yè)網(wǎng)站的目標(biāo)和用途何在。他解釋?zhuān)骸溉裟繕?biāo)是吸引潛在顧客,把他們導(dǎo)向銷(xiāo)售團(tuán)隊(duì),那么就不必把公司的資料巨細(xì)靡遺貼在網(wǎng)站上。」提供太詳盡的信息,可能泄露公司的運(yùn)作細(xì)節(jié)。 RedSiren提供客戶(hù)一種服務(wù),稱(chēng)為「公共信息偵察」,也就是到因特網(wǎng)上搜索任何找得到的、與客戶(hù)有關(guān)的公開(kāi)訊息!肝覀兂30l(fā)現(xiàn),只要挖掘的時(shí)間夠久,什么數(shù)據(jù)都找得著,」Brigman說(shuō)。他甚至尋獲客戶(hù)僅供內(nèi)部參考的網(wǎng)頁(yè),只因?yàn)榫W(wǎng)頁(yè)被不經(jīng)意地上載。即使企業(yè)網(wǎng)站未提供這些網(wǎng)頁(yè)的連結(jié),但Google等搜尋引擎公司如今已設(shè)計(jì)出聰明絕頂?shù)乃饕绦颍馨堰@些數(shù)據(jù)給找出來(lái),晾在網(wǎng)絡(luò)上供全世界檢視。 Brigman堅(jiān)稱(chēng),即使你認(rèn)為已做好充分的安全防護(hù),只給少數(shù)人士有限度的存取權(quán)限,也絕不該把某些內(nèi)容張貼在全球信息網(wǎng)上。這些「企業(yè)的傳家之寶」包括諸如策略計(jì)劃、未來(lái)的營(yíng)銷(xiāo)策略,以及與商業(yè)伙伴協(xié)商有關(guān)的任何信息。 維吉尼亞州Anteon公司Homeland Security公司經(jīng)理Ray Donahue強(qiáng)調(diào),在檢查自家網(wǎng)站的同時(shí),也要以批評(píng)的眼光檢視主要供貨商的網(wǎng)站,了解他們?cè)趺疵枋瞿愕墓。?duì)你的商業(yè)伙伴而言,宣布新的策略聯(lián)盟可能是極佳的廣告宣傳,但那些訊息也許也會(huì)對(duì)全世界宣告你公司用的是哪一種軟件系統(tǒng),或哪一種網(wǎng)絡(luò)設(shè)備──不啻是引狼入室,把邀請(qǐng)函發(fā)給樂(lè)于探知你系統(tǒng)弱點(diǎn)何在的 。 費(fèi)城律師事務(wù)所Caesar, Rivise, Bernstein, Cohen & Pokotilow, Ltd.的智慧財(cái)產(chǎn)權(quán)律師兼合伙人Barry Stein則提醒,網(wǎng)站內(nèi)容若不嚴(yán)加把關(guān),可能導(dǎo)致法律后果和銷(xiāo)售額損失。小心翼翼避免商業(yè)機(jī)密和專(zhuān)業(yè)知識(shí)與技術(shù)外泄時(shí),也不要忘了維護(hù)專(zhuān)利權(quán);谝蛱鼐W(wǎng)全球無(wú)疆界的特性,「讓原本可申請(qǐng)專(zhuān)利的發(fā)明細(xì)節(jié)曝光,若是數(shù)據(jù)外泄之前未申請(qǐng)到專(zhuān)利,可能造成公司喪失海外的專(zhuān)利權(quán),」他說(shuō)。 電子郵件住址避免指名道姓 企業(yè)網(wǎng)站上貼出的訊息中,最常見(jiàn)也最危險(xiǎn)的一種,就是「詳情請(qǐng)洽某某人」的電子郵件住址。Nick Brigman警告:「在網(wǎng)站上直接使用電子郵件姓名,是你必須防范的漏洞之一!篂E發(fā)郵件者常常從網(wǎng)站上搜集這些姓名,并以大量訊息疲勞轟炸這些電郵住址。惡意的 也可能擷取這些名字,用來(lái)偽造電子郵件,或把蠕蟲(chóng)和病毒傳給不知情的收信人,讓他們誤以為是貴公司主管發(fā)的訊息。 Brigman建議,避開(kāi)這種潛在危險(xiǎn)的一種辦法,是以網(wǎng)絡(luò)表格作為透過(guò)網(wǎng)站連絡(luò)的管道,而不是讓外人傳來(lái)的連絡(luò)函直通公司內(nèi)部的電子郵件系統(tǒng)。 Ray Donahue另建議檢驗(yàn)公司網(wǎng)站上公告的其它連絡(luò)點(diǎn)。若你公布一個(gè)供潛在顧客打電話(huà)查詢(xún)的專(zhuān)線(xiàn)號(hào)碼,就必須確定接電話(huà)的人員已被充分告知可對(duì)外提供哪些信息。來(lái)電查詢(xún)者也許想破壞你的公司、搶客戶(hù),或從事其它不勝枚舉的卑鄙活動(dòng)。時(shí)時(shí)謹(jǐn)慎就能提高警覺(jué)。 避免透露公司使用的基礎(chǔ)設(shè)施 紐約市IT咨詢(xún)公司SBI的科技長(zhǎng)Ray Velez說(shuō):「有些公司公布出標(biāo)明應(yīng)用服務(wù)器類(lèi)型的URL(全球資源尋址器),或系統(tǒng)供貨商,這是一大錯(cuò)誤!贡确秸f(shuō),舊版Sun One應(yīng)用服務(wù)器的URL里包含一個(gè)標(biāo)準(zhǔn)的目錄,稱(chēng)為NASAPP,Velez建議移除那個(gè)目錄。 Nick Brigman指出網(wǎng)站設(shè)計(jì)師可能犯的另一種常見(jiàn)錯(cuò)誤:從公司網(wǎng)絡(luò)擷取一個(gè)商標(biāo)圖案或檔案,然后把它貼在網(wǎng)頁(yè)上。「這個(gè)數(shù)據(jù)經(jīng)常會(huì)泄露數(shù)據(jù)取得途徑的線(xiàn)索──文件名稱(chēng)、系統(tǒng)名稱(chēng)甚至檔案結(jié)構(gòu)。提供那些信息,就等于把搜尋數(shù)據(jù)的工具交給外人,」他說(shuō):「如蜘蛛結(jié)網(wǎng)一般,他們把數(shù)據(jù)組織起來(lái),就能探知足夠的訊息,進(jìn)入下一層關(guān)卡,進(jìn)而取得更多信息。」 從html/asp/jsp/php原始檔中刪除技術(shù)評(píng)論 Ray Velez說(shuō),程序開(kāi)發(fā)者的評(píng)論也可能泄露你正在使用的技術(shù)類(lèi)型,及其破解之道。這些評(píng)論可能在最終使用者的瀏覽器顯現(xiàn)出來(lái)!盖杏,」Velez再叮嚀一句:「 常閱讀訊息留言板和貼文,很清楚最新發(fā)布的安全更新程序是用來(lái)修補(bǔ)什么漏洞。這是個(gè)問(wèn)題,因?yàn)樵S多企業(yè)或個(gè)人并未安裝最新版本的修補(bǔ)程序。所以,這些[開(kāi)發(fā)者]評(píng)論可被當(dāng)作破解某網(wǎng)站的指南。」 避免顯示因技術(shù)問(wèn)題產(chǎn)生的錯(cuò)誤訊息 Velez指出,這類(lèi)錯(cuò)誤訊息會(huì)暴露出你程序代碼的弱點(diǎn),且讓基本架構(gòu)技術(shù)的相關(guān)訊息外泄。拿掉404狀態(tài)碼和其它40x錯(cuò)誤訊息,改用使用者更容易了解、而且不透露基本技術(shù)訊息的錯(cuò)誤訊息頁(yè)。 使用數(shù)字權(quán)管理以保護(hù)智能財(cái)產(chǎn)權(quán) Velez建議,以密碼保護(hù)你不想讓網(wǎng)站訪(fǎng)客任意重復(fù)使用的數(shù)據(jù)。安全控制不足,是網(wǎng)站一大常見(jiàn)的破綻。 使用無(wú)法修改的文/圖張貼格式 俄勒岡州波特蘭市SwiftView公司的產(chǎn)品經(jīng)理Glenn Widener另外提到,你把數(shù)據(jù)張貼在公司網(wǎng)站上的方式,也可能留下安全漏洞。不論是文字或圖形文件,若以原始的規(guī)格(如 Word、Visio、AutoCAD等等)儲(chǔ)存,難保不會(huì)遭到竄改。即使是可攜式文件格式(PDF)檔案,任何人用Adobe Acrobat軟件都能加以修改! “l(fā)展防竄改的安全措施可能既復(fù)雜又費(fèi)時(shí)。他推薦使用根本無(wú)法修改的通用格式,像是PCL、HPGL、TIFF和JPG這類(lèi)。打印格式(如PCL和HPGL)具有一些勝過(guò)bitmap格式的優(yōu)點(diǎn):檔案較小、即使壓縮也可檢視,而且本文可供搜尋、索引和選取。 Widener說(shuō)明:「就PCL而言,企業(yè)可允許商業(yè)伙伴從一份商業(yè)計(jì)劃中抽取一段文字,但那些數(shù)據(jù)無(wú)法更改。企業(yè)只要把欲擇取的那些頁(yè)輸出、設(shè)定成共享檔案,然后傳送該檔案,商業(yè)伙伴即可用各式各樣的瀏覽器,例如SwiftView的瀏覽器,來(lái)檢視、選擇和打印內(nèi)文。」 Widener指出,PCL在金融界使用甚廣,例如抵押貨款銀行就因?yàn)闈撛诘陌踩钥紤],而使用PCL格式來(lái)傳送結(jié)清的文件。 培養(yǎng)員工的安全意識(shí) 「這是我們從客戶(hù)那里聽(tīng)來(lái)的一個(gè)觀念,現(xiàn)在我們把它運(yùn)用在自己的營(yíng)銷(xiāo)文宣上,」Nick Brigman說(shuō):「在后911時(shí)代,你必須養(yǎng)成居安思危的意識(shí)。」別漫不經(jīng)心把數(shù)據(jù)往網(wǎng)站上丟,而未嚴(yán)加檢視這些信息可能會(huì)被人怎么利用。而且,切莫以為既然數(shù)據(jù)未直接擺在網(wǎng)站上,別人就無(wú)從取得。他強(qiáng)調(diào):「網(wǎng)站可能是取得那個(gè)數(shù)據(jù)的一個(gè)途徑。所以,事前的檢查非常重要!谷绻緝(nèi)部IT小組的安全防護(hù)專(zhuān)業(yè)不足,宜聘請(qǐng)能勝任此任務(wù)的第三者。(Debra Young著.唐慧文譯/KMCenter)(來(lái)源::中國(guó)知識(shí)管理網(wǎng))【小心企業(yè)網(wǎng)站悄悄泄密 -文秘文書(shū)】相關(guān)文章:
ASP.NET的網(wǎng)站新聞管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) -文秘文書(shū)06-11
積累資料的方法 -文秘文書(shū)08-25
選題的重要性 -文秘文書(shū)09-09
擬定結(jié)構(gòu)提綱 -文秘文書(shū)09-09
文秘文書(shū)檔案鑒定工作05-30
校風(fēng)建設(shè)方案 -文秘文書(shū)09-28
怎樣寫(xiě)開(kāi)題報(bào)告 -文秘文書(shū)08-26
實(shí)用學(xué)術(shù)論文寫(xiě)作 -文秘文書(shū)07-24
女人到底想要什么? -文秘文書(shū)09-27