您当前的位置: 首页 > 历史

像偷窃者一样思考站的安全策略

2018-11-02 12:39:54

像“偷窃者”一样思考站的安全策略

当人们上浏览时,他们会通过页上的信息获取一些机密信息么?IT安全专家提醒公司在站上发布信息时需要慎重,否则将可能给黑客或商业间谍以可乘之机。针对企业站安全性问题,专家们提供了一些建议。 周密考虑 Natick公司负责数据安全系统的总裁SandySherizen建议说,负责公司站内容的管理员应该学习"像偷窃者一样进行思考",这里所指的偷窃者,是指试图窃取公司信息或搜集商业机密的黑客或商业间谍。公司站上一些看上去并不重要的信息片段,一旦被偷窃者汇集并归纳,其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。 Sherizen指出:维护公司站的安全不仅仅只是站管理员和公共关系部门的。在站贴出任何信息之前,公司的IT安全人员应该从安全性角度对信息内容进行审核。毕竟,他们的职责正是检查存在那些技术弱点,并采用适当方式防止破坏产生。换句话说,专业的IT安全人员已经被训练成"像偷窃者一样思考问题"了。 具备意识 随着新的法律的实施(例如:萨班斯-奥克斯利法案(Sarbanes-OxleyAct),金融服务现代化法案(Gramm-LeachBlileyAct)等),Sherizen提醒说:站上被疏忽的安全问题可能导致公司必须承担相应的法律。尤其是安全问题涉及到与公司密切联系的供应链和商业合作伙伴,或者涉及到公司站收集的客户信息时。 Sherizen引用了一个法律个案进行说明。当某人登录A公司站后,由于该站缺乏充分的安全防护,使他能够利用A公司站入侵到B公司的信息系统,并可能采取更进一步的破坏活动。B公司以受到损害为由起诉A公司并取得胜诉,尽管具体实施入侵活动的是作为第三者的黑客。 "小特权原则" 互联安全企业RedSiren负责产品策略的副总裁NickBrigman建议:公司站应该积极采用"小特权原则"(ruleofleast-privilege)。一方面必须确保赋予使用者"必不可少"的功能操作,另一方面需要警惕IT安全管理的执行。他指出:首先应该为公司站确定目标和使用权限。如果公司设立站的目标仅仅在于吸引更多的客户关注,把他们导向销售团队,那么不需要将公司的内部信息公布在站上。Brigman进一步解释说,过多的信息可能会泄露公司的商业机密。 RedSiren公司为客户提供了一项名为"公开信息侦察"(publicinformationreconnaissance)的服务,它能够在互联上搜索任何找得到的、与客户有关的公开讯息。Brigman说:"通常说来,只要多花费一些时间,就能够获取到想要的信息。甚至一些仅供内部参考的页也可能被搜获,因为这些页被不经意的上载。即便是公司站并未提供这些页链接的情况下,只需利用Google或其他搜索引擎强大的索引功能,便能进行相关的信息查找和利用"。 Brigman强调说某些信息决不应该张贴在全球信息上,即便公司认为已经采取了充分的安全防范,并将使用者的访问权限制在极小的特权范围内。诸如战略计划、未来销售策略、以及与合作伙伴谈判的相关信息,都应该受到严格的安全保护。 信息技术和工程服务公司Anteon负责Fairfax本地安全的主管RayDonahue认为,公司对自己的站内容进行审查的同时,需要留意其主要供货商的站,了解他们是如何对你的公司进行描述。站在你的商业伙伴角度上考虑,他们或许认为通过站宣布其新的战略合作,可能造成极好的广告宣传效应;然而,如果商业伙伴的站缺乏充分的安全防范,那些通过互联传播的信息很可能被黑客利用。一旦黑客了解到你的公司正在使用那种软件系统或络设备,他们将试图利用系统或络的安全漏洞对该公司发起攻击。 Caesar,Rivise,Bernstein,Cohen Pokotilow律师事务所的合伙人兼知识产权法律师BarryStein指出,如果公司的站内容缺乏严格审核,公司将面临法律后果和潜在的财产损失。因此,需要尽可能小心的避免公司商业机密的泄露,并考虑专利权问题。他强调,由于互联具有全球性,可申请发明专利的方案其详细内容如果泄漏;如果此前没有申请专利,那么该方案有可能失去获得国外专利权的机会。 避免电子邮件地址泄露重要信息 公司在站上张贴信息时,普遍也是危险的情况是使用"详情请与某人联系"的电子邮件地址。NickBrigman提醒说:不法者可以通过直接使用站上公开的电子邮件名称,轻易获取到他们想要的信息。通常,恶意垃圾邮件制造者正是利用这些站上公布的邮件地址和掩码地址进行垃圾邮件散布。这些地址和名称信息也可能被心存恶意的黑客利用,通过伪造电子邮件进行蠕虫或其他病毒的传播。 Brigman同时建议:避开这种潜在危险的一个方法是利用Web表单(Webform),取代用户与公司内部电子邮件系统的直接联系方式。 RayDonahue建议:公司需要对他们站上公布的其他联系方式进行测试。例如:如果公司在站上公布了一个用于解答用户问题的号码,那么需要确定的是,负责回答该线路的工作人员应该清楚那些信息是用于共享的。警惕那些心怀恶意的询问者,期望借此机会窃取公司内部重要信息和客户资料,或者从事其他破坏活动。 避免泄露基础设施的相关信息 IT技术顾问公司Razorfish的技术负责人RayVelez指出:一些公司错误地将URL公布在站上,这可能导致与之相关的应用服务器类型或主机信息被泄露。例如:旧版SunOne应用服务器的URL里包含一个标准的目录,在URL中命名为NASAPP。Velez建议应该移除这个目录。 此外,NickBrigman还指出Web制作者一个经常性的错误操作,即直接从公司络上撷取一个图标或文档,将它们放置在页中。"这种错误的操作方法,使文件名、系统名、甚至文件结构等重要信息都可能通过数据被泄露。一旦不法者捕获到认为有用的信息,他们将利用工具和状功能,实施更进一步的入侵并获取更多的信息。" 从html/asp/jsp/php原始文件中删除技术评论 RayVelez解释这一做法是考虑到程序开发者的相关技术评论可能泄露某些重要信息,如你正在运行的技术类型,及其破解之道。这些技术评论可能会出现在终端用户的浏览器中。Velez提醒说,黑客通常喜欢浏览讯息留言板或相关的贴文,因此他们很清楚发布的安全补丁用于修复何种漏洞。这种隐患的存在,无论对未进行补丁升级的公司或者个人来说,都意味着将面临被攻击的可能。因此,必须警惕黑客试图利用这些"开发者"的技术评论作为破解站安全防护的指南。 此外,那些看上去仿佛只是由于技术故障而出现的错误消息应该避免被暴露。因为这些错误消息将显示代码中存在的弱点,并会泄露技术基础的相关信息。针对这个问题,Velez建议替换404状态码和其他40x错误讯息,采用能够让用户更容易了解,并且不会透露基础技术信息的错误提示页。 在站上使用非模式的文档和图标 SwiftView公司产品部经理GlennWidener指出,站上不妥当的信息公布方式也可能受到攻击。这是由于以原格式(如:Word、Visio、AutoCAD)存储的文档或图标不受数据篡改验证(tamper-proof)的保护;此外,AdobeAcrobatwriting软件的任何使用者都可以对PDF文件进行篡改或。考虑到防止数据篡改的安全措施可能错综复杂并且耗废大量时间,GlennWidener建议站上公布的文档或图标尽可能使用PCL、HPGL、TIFF、JPG等通用格式,从而避免受到恶意篡改或。 针对PCL格式,Widener建议:公司允许业务合作伙伴能够对一份业务计划的文本进行抽取,但不能对信息进行任何形式的。业务合作伙伴能够使用任何形式的阅读器(如:SwiftView's)对文本进行查看,选择和打印。 由于PCL格式具备良好的安全性,因此它在金融领域得到广泛运用,如:抵押银行通常采取PCL格式进行机密文档的传送。 树立安全意识

"这是我们从客户那里听到的一个观念,如今我们把它运用到自己的市场策略中,"NickBrigman说。911事件之后,人们逐渐树立起更强的安全意识。需要紧记的是,对站上可能被利用的信息应严格审查。有些重要信息没有直接出现在站上,但并不表明这些信息不会被窃取。站可能正是重要信息被泄露的一个漏洞。因此,对站内容进行审查至关重要。如果公司的IT部门不能对站内容提供专业的安全保护,那么就有必要聘请专业的第三方来履行这个安全。

手机棋牌游戏代理
雾炮机
木工加工中心
推荐阅读
图文聚焦