資源描述:
《網(wǎng)站發(fā)布文章小心泄密》由會(huì)員上傳分享��,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1、網(wǎng)站發(fā)布文章小心泄密人們上X遨游時(shí)����,會(huì)不會(huì)順便去你家后院挖寶?信息科技(IT)安全專家說(shuō)��,企業(yè)必須分清楚那些類型的訊息可在自家X站上公布���、哪些則不宜����,因?yàn)槿羰谴中拇笠?���,可能打開(kāi)潘多拉的盒子����,讓劫持者、黑客和工業(yè)間諜有機(jī)可乘����。以下是專家的建議。揣摩竊賊的想法明尼蘇達(dá)州DataSecuritySystems公司總裁SandySherizen建議��,企業(yè)X站內(nèi)容的守門員應(yīng)該「學(xué)習(xí)揣摩小偷的想法,揣測(cè)他們可能會(huì)想竊取什么資料��,或搜集什么樣的商業(yè)競(jìng)爭(zhēng)情報(bào)」�����。公司X站上貼出的零星數(shù)據(jù)乍看下可能無(wú)關(guān)緊要����,但一旦拼湊起來(lái),揭露出的公司內(nèi)部訊息���、策
2��、略聯(lián)盟關(guān)系和客戶數(shù)據(jù)����,可能遠(yuǎn)超過(guò)你的想象�。Sherizen說(shuō),企業(yè)X站不該只交給X站維護(hù)員和公關(guān)部門負(fù)責(zé)���。在貼出任何訊息前��,IT安全人員應(yīng)先從安全性的觀點(diǎn)把內(nèi)容檢視一番��,畢竟他們的職責(zé)是隨時(shí)留意技術(shù)弱點(diǎn)��,設(shè)法防止黑客入侵�����。換句話說(shuō)��,他們已受過(guò)從竊賊角度思考的訓(xùn)練�����。提防下游把關(guān)責(zé)任當(dāng)今執(zhí)行的各種新法規(guī)都要求企業(yè)善盡責(zé)任��。因此�,Sherizen警告���,疏于維護(hù)X站的安全�,可能讓自己背負(fù)下游的法律責(zé)任����。若你公司的信息系統(tǒng)已和供應(yīng)鏈商業(yè)伙伴的系統(tǒng)密切結(jié)合,或你透過(guò)自家X站搜集客戶的資料�����,更要當(dāng)心。他舉一個(gè)法律個(gè)案為例���。某人在甲公司的X站東
3�����、張西望����,因?yàn)榉阑饓Ψ雷o(hù)不足����,竟摸索出一條旁門左道,可經(jīng)由該X站闖入乙公司的信息系統(tǒng)���,進(jìn)而大肆破壞�。盡管實(shí)際執(zhí)行入侵動(dòng)作的是第三者(一個(gè)名下沒(méi)什么財(cái)產(chǎn)的青少年黑客)�,但乙公司后來(lái)控告甲公司的求償官司仍獲判勝訴。遵行最低權(quán)限原則賓州匹茲堡RedSiren公司產(chǎn)品策略副總裁NickBrigman建議�����,在X站上公布數(shù)據(jù),要遵行「最低權(quán)限規(guī)則」(ruleofleast-privilege)�����。這位IT安全管理主管提醒:「只貼出要執(zhí)行某種功能絕不能少的數(shù)據(jù)�����?�!顾f(shuō)���,要訂出這樣的規(guī)則�����,首先必須確定企業(yè)X站的目標(biāo)和用途何在�����。他解釋:「若目標(biāo)是吸引
4、潛在顧客����,把他們導(dǎo)向銷售團(tuán)隊(duì)��,那么就不必把公司的資料巨細(xì)靡遺貼在X站上��?��!固峁┨敱M的信息,可能泄露公司的運(yùn)作細(xì)節(jié)��。RedSiren提供客戶一種服務(wù)���,稱為「公共信息偵察」��,也就是到因特X上搜索任何找得到的����、與客戶有關(guān)的公開(kāi)訊息���?���!肝覀兂30l(fā)現(xiàn)���,只要挖掘的時(shí)間夠久����,什么數(shù)據(jù)都找得著,」Brigman說(shuō)��。他甚至尋獲客戶僅供內(nèi)部參考的X頁(yè)���,只因?yàn)閄頁(yè)被不經(jīng)意地上載��。即使企業(yè)X站未提供這些X頁(yè)的連結(jié)�,但Google等搜尋引擎公司如今已設(shè)計(jì)出聰明絕頂?shù)乃饕绦?���,能把這些數(shù)據(jù)給找出來(lái),晾在X絡(luò)上供全世界檢視���。Brigman堅(jiān)稱���,即使你認(rèn)為已
5、做好充分的安全防護(hù)�,只給少數(shù)人士有限度的存取權(quán)限,也絕不該把某些內(nèi)容張貼在全球信息X上��。這些「企業(yè)的傳家之寶」包括諸如策略計(jì)劃����、未來(lái)的營(yíng)銷策略,以及與商業(yè)伙伴協(xié)商有關(guān)的任何信息�����。維吉尼亞州Anteon公司HomelandSecurity公司經(jīng)理RayDonahue強(qiáng)調(diào)���,在檢查自家X站的同時(shí)�,也要以批評(píng)的眼光檢視主要供貨商的X站���,了解他們?cè)趺疵枋瞿愕墓?。?duì)你的商業(yè)伙伴而言�����,宣布新的策略聯(lián)盟可能是極佳的廣告宣傳��,但那些訊息也許也會(huì)對(duì)全世界宣告你公司用的是哪一種軟件系統(tǒng)��,或哪一種X絡(luò)設(shè)備──不啻是引狼入室����,把邀請(qǐng)函發(fā)給樂(lè)于探知你系統(tǒng)
6��、弱點(diǎn)何在的黑客��。費(fèi)城律師事務(wù)所Caesar,Rivise,Bernstein,CohenPokotiloan警告:「在X站上直接使用電子郵件姓名����,是你必須防范的漏洞之一���?����!篂E發(fā)郵件者常常從X站上搜集這些姓名���,并以大量訊息疲勞轟炸這些電郵住址。惡意的黑客也可能擷取這些名字��,用來(lái)偽造電子郵件�,或把蠕蟲和病毒傳給不知情的收信人,讓他們誤以為是貴公司主管發(fā)的訊息�。Brigman建議,避開(kāi)這種潛在危險(xiǎn)的一種辦法�,是以X絡(luò)表格作為透過(guò)X站連絡(luò)的管道,而不是讓外人傳來(lái)的連絡(luò)函直通公司內(nèi)部的電子郵件系統(tǒng)。RayDonahue另建議檢驗(yàn)公司X站上
7���、公告的其它連絡(luò)點(diǎn)��。若你公布一個(gè)供潛在顧客打查詢的專線號(hào)碼,就必須確定接的人員已被充分告知可對(duì)外提供哪些信息�����。來(lái)電查詢者也許想破壞你的公司��、搶客戶��,或從事其它不勝枚舉的卑鄙活動(dòng)����。時(shí)時(shí)謹(jǐn)慎就能提高警覺(jué)。避免透露公司使用的基礎(chǔ)設(shè)施紐約市IT咨詢公司SBI的科技長(zhǎng)RayVelez說(shuō):「有些公司公布出標(biāo)明應(yīng)用服務(wù)器類型的URL(全球資源尋址器)����,或系統(tǒng)供貨商,這是一大錯(cuò)誤��?���!贡确秸f(shuō)��,舊版SunOne應(yīng)用服務(wù)器的URL里包含一個(gè)標(biāo)準(zhǔn)的目錄�,稱為NASAPP����,Velez建議移除那個(gè)目錄。NickBrigman指出X站設(shè)計(jì)師可能犯的另一種常見(jiàn)錯(cuò)
8���、誤:從公司X絡(luò)擷取一個(gè)商標(biāo)圖案或檔案���,然后把它貼在X頁(yè)上?!高@個(gè)數(shù)據(jù)經(jīng)常會(huì)泄露數(shù)據(jù)取得途徑的線索──文件名稱、系統(tǒng)名稱甚至檔案結(jié)構(gòu)��。提供那些信息�,就等于把搜尋數(shù)據(jù)的工具交給外人,」他說(shuō):「如蜘蛛結(jié)X一般�����,他們把數(shù)據(jù)組織起來(lái)����,就能探知足夠的訊息�,進(jìn)入下一層關(guān)卡��,進(jìn)
