作者:未知 來自:建站技術
人們上網(wǎng)遨游時,會不會順便去你家后院挖寶?信息科技(IT)專家說,企業(yè)必須分清楚那些類型的訊息可在自家網(wǎng)站上公布、哪些則不宜,因為若是粗心大意,可能打開潘多拉的盒子,讓劫持者、黑客和工業(yè)間諜有機可乘。以下是專家的建議。
揣摩竊賊的想法
明尼蘇達州Data Security Systems公司總裁Sandy Sherizen建議,企業(yè)網(wǎng)站內容的守門員應該「學習揣摩小偷的想法,揣測他們可能會想竊取什么資料,或搜集什么樣的商業(yè)競爭情報」。公司網(wǎng)站上貼出的零星數(shù)據(jù)乍看下可能無關緊要,但一旦拼湊起來,揭露出的公司內部訊息、策略聯(lián)盟關系和客戶數(shù)據(jù),可能遠超過你的想象。
Sherizen說,企業(yè)網(wǎng)站不該只交給網(wǎng)站維護員和公關部門負責。在貼出任何訊息前,IT人員應先從性的觀點把內容檢視一番,畢竟他們的職責是隨時留意技術弱點,設法防止黑客入侵。換句話說,他們已受過從竊賊角度思考的訓練。
提防下游把關責任
當今執(zhí)行的各種新法規(guī)都要求企業(yè)善盡責任。因此,Sherizen警告,疏于維護網(wǎng)站的,可能讓自己背負下游的法律責任。若你公司的信息系統(tǒng)已和供應鏈商業(yè)伙伴的系統(tǒng)密切結合,或你透過自家網(wǎng)站搜集客戶的資料,更要當心。
他舉一個法律個案為例。某人在甲公司的網(wǎng)站東張西望,因為防火墻防護不足,竟摸索出一條旁門左道,可經(jīng)由該網(wǎng)站闖入乙公司的信息系統(tǒng),進而大肆破壞。盡管實際執(zhí)行入侵動作的是第三者(一個名下沒什么財產(chǎn)的青少年黑客),但乙公司后來控告甲公司的求償官司仍獲判勝訴。
遵行權限原則
賓州匹茲堡RedSiren公司產(chǎn)品策略副總裁Nick Brigman建議,在網(wǎng)站上公布數(shù)據(jù),要遵行「權限規(guī)則」(rule of least-privilege)。這位IT管理主管提醒:「只貼出要執(zhí)行某種功能絕不能少的數(shù)據(jù)!顾f,要訂出這樣的規(guī)則,首先必須確定企業(yè)網(wǎng)站的目標和用途何在。他解釋:「若目標是吸引潛在顧客,把他們導向銷售團隊,那么不必把公司的資料巨細靡遺貼在網(wǎng)站上!固峁┨敱M的信息,可能泄露公司的運作細節(jié)。
RedSiren提供客戶一種服務,稱為「公共信息偵察」,也是到因特網(wǎng)上搜索任何找得到的、與客戶有關的公開訊息。「我們常常發(fā)現(xiàn),只要挖掘的時間夠久,什么數(shù)據(jù)都找得著,」Brigman說。他甚至尋獲客戶僅供內部參考的網(wǎng)頁,只因為網(wǎng)頁被不經(jīng)意地上載。即使企業(yè)網(wǎng)站未提供這些網(wǎng)頁的連結,但Google等搜尋引擎公司如今已設計出聰明絕頂?shù)乃饕绦颍馨堰@些數(shù)據(jù)給找出來,晾在網(wǎng)絡上供全世界檢視。
Brigman堅稱,即使你認為已做好充分的防護,只給少數(shù)人士有限度的存取權限,也絕不該把某些內容張貼在全球信息網(wǎng)上。這些「企業(yè)的傳家之寶」包括諸如策略計劃、未來的營銷策略,以及與商業(yè)伙伴協(xié)商有關的任何信息。
維吉尼亞州Anteon公司Homeland Security公司經(jīng)理Ray Donahue強調,在檢查自家網(wǎng)站的同時,也要以批評的眼光檢視主要供貨商的網(wǎng)站,了解他們怎么描述你的公司。對你的商業(yè)伙伴而言,宣布新的策略聯(lián)盟可能是的廣告宣傳,但那些訊息也許也會對全世界宣告你公司用的是哪一種軟件系統(tǒng),或哪一種網(wǎng)絡設備──不啻是引狼入室,把邀請函發(fā)給樂于探知你系統(tǒng)弱點何在的黑客。
費城律師事務所Caesar, Rivise, Bernstein, Cohen & Pokotilow, Ltd.的智慧財產(chǎn)權律師兼合伙人Barry Stein則提醒,網(wǎng)站內容若不嚴加把關,可能導致法律后果和銷售額損失。小心翼翼避免商業(yè)機密和專業(yè)知識與技術外泄時,也不要忘了維護專利權;谝蛱鼐W(wǎng)全球無疆界的特性,「讓原本可申請專利的發(fā)明細節(jié)曝光,若是數(shù)據(jù)外泄之前未申請到專利,可能造成公司喪失海外的專利權,」他說。
電子郵件住址避免指名道姓
企業(yè)網(wǎng)站上貼出的訊息中,最常見也最危險的一種,是「詳情請洽某某人」的電子郵件住址。Nick Brigman警告:「在網(wǎng)站上直接使用電子郵件姓名,是你必須防范的漏洞之一!篂E發(fā)郵件者常常從網(wǎng)站上搜集這些姓名,并以大量訊息疲勞轟炸這些電郵住址。惡意的黑客也可能擷取這些名字,用來偽造電子郵件,或把蠕蟲和病毒傳給不知情的收信人,讓他們誤以為是貴公司主管發(fā)的訊息。
Brigman建議,避開這種潛在危險的一種辦法,是以網(wǎng)絡表格作為透過網(wǎng)站連絡的管道,而不是讓外人傳來的連絡函直通公司內部的電子郵件系統(tǒng)。
Ray Donahue另建議檢驗公司網(wǎng)站上公告的其它連絡點。若你公布一個供潛在顧客打電話查詢的專線號碼,必須確定接電話的人員已被充分告知可對外提供哪些信息。來電查詢者也許想破壞你的公司、搶客戶,或從事其它不勝枚舉的卑鄙活動。時時謹慎能提高警覺。
避免透露公司使用的基礎設施
紐約市IT咨詢公司SBI的科技長Ray Velez說:「有些公司公布出標明應用服務器類型的URL(全球資源尋址器),或系統(tǒng)供貨商,這是一大錯誤!贡确秸f,舊版Sun One應用服務器的URL里包含一個標準的目錄,稱為NASAPP,Velez建議移除那個目錄。
Nick Brigman指出網(wǎng)站設計師可能犯的另一種常見錯誤:從公司網(wǎng)絡擷取一個商標圖案或檔案,然后把它貼在網(wǎng)頁上!高@個數(shù)據(jù)經(jīng)常會泄露數(shù)據(jù)取得途徑的線索──文件名稱、系統(tǒng)名稱甚至檔案結構。提供那些信息,等于把搜尋數(shù)據(jù)的工具交給外人,」他說:「如蜘蛛結網(wǎng)一般,他們把數(shù)據(jù)組織起來,能探知足夠的訊息,進入下一層關卡,進而取得更多信息!
從html/asp/jsp/php原始檔中刪除技術評論
Ray Velez說,程序開發(fā)者的評論也可能泄露你正在使用的技術類型,及其破解之道。這些評論可能在最終使用者的瀏覽器顯現(xiàn)出來!盖杏,」Velez再叮嚀一句:「黑客常閱讀訊息留言板和貼文,很清楚發(fā)布的更新程序是用來修補什么漏洞。這是個問題,因為許多企業(yè)或個人并未安裝版本的修補程序。所以,這些[開發(fā)者]評論可被當作破解某網(wǎng)站的指南!
避免顯示因技術問題產(chǎn)生的錯誤訊息
Velez指出,這類錯誤訊息會暴露出你程序代碼的弱點,且讓基本架構技術的相關訊息外泄。拿掉404狀態(tài)碼和其它40x錯誤訊息,改用使用者更容易了解、而且不透露基本技術訊息的錯誤訊息頁。
使用數(shù)字權管理以保護智能財產(chǎn)權
Velez建議,以密碼保護你不想讓網(wǎng)站訪客任意重復使用的數(shù)據(jù)?刂撇蛔悖蔷W(wǎng)站一大常見的破綻。
使用無法修改的文/圖張貼格式
俄勒岡州波特蘭市SwiftView公司的產(chǎn)品經(jīng)理Glenn Widener另外提到,你把數(shù)據(jù)張貼在公司網(wǎng)站上的方式,也可能留下漏洞。不論是文字或圖形文件,若以原始的規(guī)格(如 Word、Visio、AutoCAD等等)儲存,難保不會遭到竄改。即使是可攜式文件格式(PDF)檔案,任何人用Adobe Acrobat軟件都能加以修改。
發(fā)展防竄改的措施可能既復雜又費時。他推薦使用根本無法修改的通用格式,像是PCL、HPGL、TIFF和JPG這類。打印格式(如PCL和HPGL)具有一些勝過bitmap格式的優(yōu)點:檔案較小、即使壓縮也可檢視,而且本文可供搜尋、索引和選取。
Widener說明:「PCL而言,企業(yè)可允許商業(yè)伙伴從一份商業(yè)計劃中抽取一段文字,但那些數(shù)據(jù)無法更改。企業(yè)只要把欲擇取的那些頁輸出、設定成共享檔案,然后傳送該檔案,商業(yè)伙伴即可用各式各樣的瀏覽器,例如SwiftView的瀏覽器,來檢視、選擇和打印內文!
Widener指出,PCL在金融界使用甚廣,例如抵押貨款銀行因為潛在的性考慮,而使用PCL格式來傳送結清的文件。
培養(yǎng)員工的意識
「這是我們從客戶那里聽來的一個觀念,現(xiàn)在我們把它運用在自己的營銷文宣上,」Nick Brigman說:「在后911時代,你必須養(yǎng)成居安思危的意識!箘e漫不經(jīng)心把數(shù)據(jù)往網(wǎng)站上丟,而未嚴加檢視這些信息可能會被人怎么利用。而且,切莫以為既然數(shù)據(jù)未直接擺在網(wǎng)站上,別人無從取得。他強調:「網(wǎng)站可能是取得那個數(shù)據(jù)的一個途徑。所以,事前的檢查非常重要!谷绻緝炔縄T小組的防護專業(yè)不足,宜聘請能勝任此任務的第三者。
下一篇:
我的網(wǎng)站怎么無人訪問?