周密考慮

Natick公司負責數據安全系統的總裁Sandy Sherizen建議說，負責公司網站內容的管理員應該學習"像偷竊者一樣進行思考"，這里所指的偷竊者，是指試圖竊取公司信息或搜集商業機密的黑客或商業間諜。公司網站上一些看上去并不重要的信息片段，一旦被偷竊者匯集并歸納，其后果可能導致公司內部機構設置、戰略合作伙伴關系、核心客戶等重要信息被泄露。

Sherizen指出：維護公司網站的安全不僅僅只是網站管理員和公共關系部門的責任。在網站貼出任何信息之前，公司的IT安全人員應該從安全性角度對信息內容進行審核。畢竟，他們的職責正是檢查存在哪些技術弱點，并采用適當方式防止破壞產生。換句話說，專業的IT安全人員已經被訓練成"像偷竊者一樣思考問題"了。

具備責任意識

隨著新的責任法律的實施（例如：薩班斯-奧克斯利法案（Sarbanes-Oxley Act），金融服務現代化法案（Gramm-Leach Bliley Act）等），Sherizen提醒說：網站上被疏忽的安全問題可能導致公司必須承擔相應的法律責任。尤其是安全問題涉及到與公司密切聯系的供應鏈和商業合作伙伴，或者涉及到公司網站收集的客戶信息時。

Sherizen引用了一個法律個案進行說明。當某人登錄A公司網站后，由于該網站缺乏充分的安全防護，使他能夠利用A公司網站入侵到B公司的信息系統，并可能采取更進一步的破壞活動。B公司以受到損害為由起訴A公司并取得勝訴，盡管具體實施入侵活動的是作為第三者的黑客。

"最小特權原則"

互聯網安全企業RedSiren負責產品策略的副總裁Nick Brigman建議：公司網站應該積極采用"最小特權原則"（rule of least-privilege）。一方面必須確保賦予使用者"必不可少"的功能操作，另一方面需要警惕IT安全管理的執行。他指出：首先應該為公司網站確定目標和使用權限。如果公司設立網站的目標僅僅在于吸引更多的客戶關注，把他們導向銷售團隊，那么不需要將公司的內部信息公布在網站上。 Brigman進一步解釋說，過多的信息可能會泄露公司的商業機密。

RedSiren公司為客戶提供了一項名為"公開信息偵察"（public information reconnaissance）的服務，它能夠在互聯網上搜索任何找得到的、與客戶有關的公開訊息。Brigman說："通常說來，只要多花費一些時間，就能夠獲取到想要的信息。甚至一些僅供內部參考的網頁也可能被搜獲，因為這些網頁被不經意的上載。即便是公司網站并未提供這些網頁鏈接的情況下，只需利用Google或其他搜索引擎強大的索引功能，便能進行相關的信息查找和利用"。

Brigman強調說某些信息決不應該張貼在全球信息網上，即便公司認為已經采取了充分的安全防范，并將使用者的訪問權限制在極小的特權范圍內。諸如戰略計劃、未來銷售策略、以及與合作伙伴談判的相關信息，都應該受到嚴格的安全保護。

信息技術和工程服務公司Anteon負責Fairfax本地安全的主管Ray Donahue認為，公司對自己的網站內容進行審查的同時，需要留意其主要供貨商的網站，了解他們是如何對你的公司進行描述。站在你的商業伙伴角度上考慮，他們或許認為通過網站宣布其新的戰略合作，可能造成極好的廣告宣傳效應；然而，如果商業伙伴的網站缺乏充分的安全防范，那些通過互聯網傳播的信息很可能被黑客利用。一旦黑客了解到你的公司正在使用哪種軟件系統或網絡設備，他們將試圖利用系統或網絡的安全漏洞對該公司發起攻擊。

Caesar， Rivise，Bernstein，Cohen & Pokotilow律師事務所的合伙人兼知識產權法律師Barry Stein指出，如果公司的網站內容缺乏嚴格審核，公司將面臨法律后果和潛在的財產損失。因此，需要盡可能小心的避免公司商業機密的泄露，并考慮專利權問題。他強調，由于互聯網具有全球性，可申請發明專利的方案其詳細內容如果泄漏；如果此前沒有申請專利，那么該方案有可能失去獲得國外專利權的機會。

避免電子郵件地址泄露重要信息

公司在網站上張貼信息時，最普遍也是最危險的情況是使用"詳情請與某人聯系"的電子郵件地址。Nick Brigman提醒說：不法者可以通過直接使用網站上公開的電子郵件名稱，輕易獲取到他們想要的信息。通常，惡意垃圾郵件制造者正是利用這些網站上公布的郵件地址和掩碼地址進行垃圾郵件散布。這些地址和名稱信息也可能被心存惡意的黑客利用，通過偽造電子郵件進行蠕蟲或其他病毒的傳播。

Brigman同時建議：避開這種潛在危險的一個方法是利用Web表單（Web form），取代用戶與公司內部電子郵件系統的直接聯系方式。

Ray Donahue建議：公司需要對他們網站上公布的其他聯系方式進行測試。例如：如果公司在網站上公布了一個用于解答用戶問題的電話號碼，那么需要確定的是，負責回答該電話線路的工作人員應該清楚哪些信息是用于共享的。警惕那些心懷惡意的詢問者，期望借此機會竊取公司內部重要信息和客戶資料，或者從事其他破壞活動。

避免泄露基礎設施的相關信息

IT技術顧問公司Razorfish的技術負責人Ray Velez指出：一些公司錯誤地將URL公布在網站上，這可能導致與之相關的應用服務器類型或主機信息被泄露。例如：舊版Sun One應用服務器的URL里包含一個標準的目錄，在URL中命名為NASAPP。 Velez建議應該移除這個目錄。

此外，Nick Brigman還指出Web制作者一個經常性的錯誤操作，即直接從公司網絡上擷取一個圖標或文檔，將它們放置在網頁中。"這種錯誤的操作方法，使文件名、系統名、甚至文件結構等重要信息都可能通過數據被泄露。一旦不法者捕獲到認為有用的信息，他們將利用工具和網狀功能，實施更進一步的入侵并獲取更多的信息。"

從html/asp/jsp/php原始文件中刪除技術評論

Ray Velez解釋這一做法是考慮到程序開發者的相關技術評論可能泄露某些重要信息，如你正在運行的技術類型，及其破解之道。這些技術評論可能會出現在終端用戶的瀏覽器中。Velez提醒說，黑客通常喜歡瀏覽訊息留言板或相關的貼文，因此他們很清楚最新發布的安全補丁用于修復何種漏洞。這種隱患的存在，無論對未進行最新補丁升級的公司或者個人來說，都意味著將面臨被攻擊的可能。因此，必須警惕黑客試圖利用這些"開發者"的技術評論作為破解網站安全防護的指南。

此外，那些看上去仿佛只是由于技術故障而出現的錯誤消息應該避免被暴露。因為這些錯誤消息將顯示代碼中存在的弱點，并會泄露技術基礎的相關信息。針對這個問題，Velez建議替換404狀態碼和其他40x錯誤訊息，采用能夠讓用戶更容易了解，并且不會透露基礎技術信息的錯誤提示頁。

在網站上使用非編輯模式的文檔和圖標

SwiftView公司產品部經理Glenn Widener指出，網站上不妥當的信息公布方式也可能受到攻擊。這是由于以原格式（如：Word、Visio、AutoCAD）存儲的文檔或圖標不受數據篡改驗證（tamper-proof）的保護；此外，Adobe Acrobat writing軟件的任何使用者都可以對PDF文件進行篡改或編輯。考慮到防止數據篡改的安全措施可能錯綜復雜并且耗廢大量時間，Glenn Widener建議網站上公布的文檔或圖標盡可能使用PCL、HPGL、TIFF、JPG等通用格式，從而避免受到惡意篡改或編輯。

針對PCL格式，Widener建議：公司允許業務合作伙伴能夠對一份業務計劃的文本進行抽取，但不能對信息進行任何形式的編輯。業務合作伙伴能夠使用任何形式的閱讀器（如：SwiftView's）對文本進行查看，選擇和打印。

由于PCL格式具備良好的安全性，因此它在金融領域得到廣泛運用，如：抵押銀行通常采取PCL格式進行機密文檔的傳送。

樹立安全意識

"這是我們從客戶那里聽到的一個觀念，如今我們把它運用到自己的市場策略中，"Nick Brigman說。911事件之后，人們逐漸樹立起更強的安全意識。需要緊記的是，對網站上可能被利用的信息應嚴格審查。有些重要信息沒有直接出現在網站上，但并不表明這些信息不會被竊取。網站可能正是重要信息被泄露的一個漏洞。因此，對網站內容進行審查至關重要。如果公司的IT部門不能對網站內容提供專業的安全保護，那么就有必要聘請專業的第三方來履行這個安全責任。

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001