像“偷窃者”1样思考网站的安全策略

核心提示：当人们上网浏览时，他们会通过网页上的信息获得1些机密信息么？IT安全专家提示公司在网站上发布信息时需要慎重，否则将可能给黑客或贸易特务以可乘之机。针对企业网站安全性题目，专家们提供了1些建议。 周到考虑 Natick公司负责数据安全系统的总裁Sandy Sherizen

当人们上网浏览时，他们会通过网页上的信息获得1些机密信息么？IT安全专家提示公司在网站上发布信息时需要慎重，否则将可能给黑客或贸易特务以可乘之机。针对企业网站安全性题目，专家们提供了1些建议。

周到考虑

Natick公司负责数据安全系统的总裁Sandy Sherizen建议说，负责公司网站内容的治理员应当学习"像偷窃者1样进行思考"，这里所指的偷窃者，是指试图盗取公司信息或搜集贸易机密的黑客或贸易特务。公司网站上1些看上往其实不重要的信息片断，1旦被偷窃者聚集并回纳，其后果可能导致公司内部机构设置、战略合作火伴关系、核心客户等重要信息被泄漏。

Sherizen指出：保护公司网站的安全不单单只是网站治理员和公共关系部份的责任。在网站贴出任何信息之前，公司的IT安全职员应当从安全性角度对信息内容进行审核。究竟，他们的职责正是检查存在哪些技术弱点，并采取适当方式避免破坏产生。换句话说，专业的IT安全职员已被练习成"像偷窃者1样思考题目"了。

具有责任意识

随着新的责任法律的实行（例如：萨班斯-奥克斯利法案（Sarbanes-Oxley Act），金融服务现代化法案（Gramm-Leach Bliley Act）等），Sherizen提示说：网站上被忽视的安全题目可能导致公司必须承当相应的法律责任。特别是安全题目触及到与公司密切联系的供给链和贸易合作火伴，或触及到公司网站搜集的客户信息时。

Sherizen援用了1个法律个案进行说明。当某人登录A公司网站后，由于该网站缺少充分的安全防护，使他能够利用A公司网站进侵到B公司的信息系统，并可能采取更进1步的破坏活动。B公司以遭到侵害为由起诉A公司并取得胜诉，虽然具体实行进侵活动的是作为第3者的黑客。

"最小特权原则"

互联网安全企业RedSiren负责产品策略的副总裁Nick Brigman建议：公司网站应当积极采取"最小特权原则"（rule of least-privilege）。1方面必须确保赋予使用者"必不可少"的功能操纵，另1方面需要警惕IT安全治理的履行。他指出：首先应当为公司网站肯定目标和使用权限。假设公司设立网站的目标仅仅在于吸引更多的客户关注，把他们导向销售团队，那末不需要将公司的内部信息公布在网站上。 Brigman进1步解释说，过量的信息可能会泄漏公司的贸易机密。

RedSiren公司为客户提供了1项名为"公然信息侦察"（public information reconnaissance）的服务，它能够在互联网上搜索任何找得到的、与客户有关的公然讯息。Brigman说："通常说来，只要多花费1些时间，便可以够获得到想要的信息。乃至1些仅供内部参考的网页也可能被搜获，由于这些网页被不经意的上载。即使是公司网站并未提供这些网页链接的情况下，只需利用Google或其他搜索引擎强大的索引功能，便能进行相干的信息查找和利用"。

Brigman夸大说某些信息决不应当张贴在全球信息网上，即使公司以为已采取了充分的安全防范，并将使用者的访问权限制在极小的特权范围内。诸如战略计划、未来销售策略、和与合作火伴谈判的相干信息，都应当遭到严格的安全保护。

信息技术和工程服务公司Anteon负责Fai***x本地安全的主管Ray Donahue以为，公司对自己的网站内容进行审查的同时，需要留意其主要供货商的网站，了解他们是如何对你的公司进行描写。站在你的贸易火伴角度上考虑，他们或许以为通过网站公布其新的战略合作，可能造成极好的广告宣扬效应；但是，假设贸易火伴的网站缺少充分的安全防范，那些通过互联网传播的信息很可能被黑客利用。1旦黑客了解到你的公司正在使用哪种软件系统或网络设备，他们将试图利用系统或网络的安全漏洞对该公司发起攻击。

Caesar， Rivise，Bernstein，Cohen & Pokotilow律师事务所的合伙人兼知识产权法律师Barry Stein指出，假设公司的网站内容缺少严格审核，公司将面临法律后果和潜伏的财产损失。因此，需要尽可能谨慎的避免公司贸易机密的泄漏，并考虑专利权题目。他夸大，由于互联网具有全球性，可申请发明专利的方案其具体内容假设泄漏；假设此前没有申请专利，那末该方案有可能失往取得国外专利权的机会。

避免电子邮件地址泄漏重要信息

公司在网站上张贴信息时，最普遍也是最危险的情况是使用"详情请与某人联系"的电子邮件地址。Nick Brigman提示说：不法者可以通过直接使用网站上公然的电子邮件名称，轻易获得到他们想要的信息。通常，恶意垃圾邮件制造者正是利用这些网站上公布的邮件地址和掩码地址进行垃圾邮件散布。这些地址和名称信息也可能被心存恶意的黑客利用，通过捏造电子邮件进行蠕虫或其他病毒的传播。

Brigman同时建议：避开这类潜伏危险的1个方法是利用Web表单（Web form），取代用户与公司内部电子邮件系统的直接联系方式。

Ray Donahue建议：公司需要对他们网站上公布的其他联系方式进行测试。例如：假设公司在网站上公布了1个用于解答用户题目的电话号码，那末需要肯定的是，负责回答该电话线路的工作职员应当清楚哪些信息是用于共享的。警惕那些心怀恶意的询问者，期看借此机会盗取公司内部重要信息和客户资料，或从事其他破坏活动。

避免泄漏基础设施的相干信息

IT技术顾问公司Razorfish的技术负责人Ray Velez指出：1些公司毛病地将URL公布在网站上，这可能导致与之相干的利用服务器类型或主机信息被泄漏。例如：旧版Sun One利用服务器的URL里包括1个标准的目录，在URL中命名为NASAPP。 Velez建议应当移除这个目录。

另外，Nick Brigman还指出Web制作者1个常常性的毛病操纵，即直接从公司网络上撷取1个图标或文档，将它们放置在网页中。"这类毛病的操纵方法，使文件名、系统名、乃至文件结构等重要信息都可能通过数据被泄漏。1旦不法者捕捉到以为有用的信息，他们将利用工具和网状功能，实行更进1步的进侵并获得更多的信息。"

从html/asp/jsp/php原始文件中删除技术评论

Ray Velez解释这1做法是考虑到程序开发者的相干技术评论可能泄漏某些重要信息，如你正在运行的技术类型，及其破解之道。这些技术评论可能会出现在终端用户的浏览器中。Velez提示说，黑客通常喜欢浏览讯息留言板或相干的贴文，因此他们很清楚最新发布的安全补钉用于修复何种漏洞。这类隐患的存在，不管对未进行最新补钉升级的公司或个人来讲，都意味着将面临被攻击的可能。因此，必须警惕黑客试图利用这些"开发者"的技术评论作为破解网站安全防护的指南。

另外，那些看上往恍如只是由于技术故障而出现的毛病消息应当避免被暴露。由于这些毛病消息将显示代码中存在的弱点，并会泄漏技术基础的相干信息。针对这个题目，Velez建议替换404状态码和其他40x毛病讯息，采取能够让用户更轻易了解，并且不会流露基础技术信息的毛病提示页。

在网站上使用非编辑模式的文档和图标

SwiftView公司产品部经理Glenn Widener指出，网站上不妥当的信息公布方式也可能遭到攻击。这是由于以原格式（如：Word、Visio、AutoCAD）存储的文档或图标不受数据篡改验证（tamper-proof）的保护；另外，Adobe Acrobat writing软件的任何使用者都可以对PDF文件进行篡改或编辑。考虑到避免数据篡改的安全措施可能扑朔迷离并且耗废大量时间，Glenn Widener建议网站上公布的文档或图标尽可能使用PCL、HPGL、TIFF、JPG等通用格式，从而避免遭到恶意篡改或编辑。

针对PCL格式，Widener建议：公司答应业务合作火伴能够对1份业务计划的文本进行抽取，但不能对信息进行任何情势的编辑。业务合作火伴能够使用任何情势的浏览器（如：SwiftView's）对文本进行查看，选择和打印。

由于PCL格式具有良好的安全性，因此它在金融领域得到广泛应用，如：抵押银行通常采取PCL格式进行机密文档的传送。

建立安全意识

"这是我们从客户那里听到的1个观念，如今我们把它应用到自己的市场策略中，"Nick Brigman说。911事件以后，人们逐渐建立起更强的安全意识。需要紧记的是，对网站上可能被利用的信息应严格审查。有些重要信息没有直接出现在网站上，但其实不表明这些信息不会被盗取。网站可能正是重要信息被泄漏的1个漏洞。因此，对网站内容进行审查相当重要。假设公司的IT部份不能对网站内容提供专业的安全保护，那末就有必要聘请专业的第3方来实行这个安全责任。

评论加载中... 内容： 评论者： 验证码：