小心企业网站悄悄泄密范文.doc

小心企业网站悄悄泄密
人们上网遨游时,会不会顺便便去你家后院挖宝?信息科技技(IT)安全专家说,企业业必须分清楚那些类型的讯息息可在自家网站上公布、哪些些则不宜,因为若是粗心大意意,可能打开潘多拉的盒子,,让劫持者、黑客和工业间谍谍有机可乘。以下是专家的建建议。
揣摩窃贼的想法
明尼苏达州Data SSecurity Systtems公司总裁Sandyy Sherizen建议,,企业网站内容的守门员应该该「学习揣摩小偷的想法,揣揣测他们可能会想窃取什么资资料,或搜集什么样的商业竞竞争情报」。公司网站上贴出出的零星数据乍看下可能无关关紧要,但一旦拼凑起来,揭揭露出的公司内部讯息、策略略联盟关系和客户数据,可能能远超过你的想象。
Shherizen说,企业网站站不该只交给网站维护员和公公关部门负责。在贴出任何讯讯息前,IT安全人员应先从从安全性的观点把内容检视一一番,毕竟他们的职责是随时时留意技术弱点,设法防止黑黑客入侵。换句话说,他们已已受过从窃贼角度思考的训练练。
提防下游把关责任
当今执行的各种新法规都要要求企业善尽责任。因此,SSherizen警告,疏于于维护网站的安全,可能让自自己背负下游的法律责任。
若若你公司的信息系统已和供应应链商业伙伴的系统密切结合合,或你透过自家网站搜集客客户的资料,更要当心。
他举一个法律个案为例。某某人在甲公司的网站东张西望望,因为防火墙防护不足,竟竟摸索出一条旁门左道,可经经由该网站闯入乙公司的信息息系统,进而大肆破坏。尽管管实际执行入侵动作的是第三三者(一个名下没什么财产的的青少年黑客),但乙公司后后来控告甲公司的求偿官司仍仍获判胜诉。
遵行最低权限限原则
宾州匹兹堡ReddSiren公司产品策略副副总裁Nick Brigmman建议,在网站上公布数数据,要遵行「最低权限规则则」(rule of leeast-privilegge)。这位IT安全管理主主管提醒:「只贴出要执行某某种功能绝不能少的数据。」」他说,要订出这样的规则,,首先必须确定企业网站的目目标和用途何在。他解释:「「若目标是吸引潜在顾客,把把他们导向销售团队,那么就就不必把公司的资料巨细靡遗遗贴在网站上。」提供太详尽尽的信息,可能泄露公司的运运作细节。
RedSirren提供客户一种服务,称称为「公共信息侦察」,也就就是到因特网上搜索任何找得得到的、与客户有关的公开讯讯息。「我们常常发现,只要要挖掘的时间够久,什么数据据都找得着,」Brigm
aan说。他甚至寻获客户仅供供内部参考的网页,只因为网网页被不经意地上载。即使企企业网站未提供这些网页的连连结,但Google等搜寻寻引擎公司如今已设计出聪明明绝顶的索引程序,能把这些些数据给找出来,晾在网络上上供全世界检视。
Briigman坚称,即使你认为为已做好充分的安全防护,只只给少数人士有限度的存取权权限,也绝不该把某些内容张张贴在全球信息网上。这些「「企业的传家之宝」包括诸如如策略计划、未来的营销策略略,以及与商业伙伴协商有关关的任何信息。
维吉尼亚亚州Anteon公司Hommeland Securiity公司经理Ray Doonahue强调,在检查自自家网站的同时,也要以批评评的眼光检视主要供货商的网网站,了解他们怎么描述你的的公司。对你的商业伙伴而言言,宣布新的策