小心企业网站悄悄泄密 人们上网遨游时,会不会顺便去你家后院挖宝
信息科技(IT)安全专家说,企业必须分清楚那些类型的讯息可在自家网站上公布、哪些则不宜,因为若是粗心大意,可能打开潘多拉的盒子,让劫持者、黑客和工业间谍有机可乘
以下是专家的建议
揣摩窃贼的想法 明尼 苏 达 州 Data Security Systems 公 司 总 裁 Sandy Sherizen 建议,企业网站内容的守门员应该「学习揣摩小偷的想法,揣测他们可能会想窃取什么资料,或搜集什么样的商业竞争情报」
公司网站上贴出的零星数据乍看下可能无关紧要,但一旦拼凑起来,揭露出的公司内部讯息策 略 联 盟 关 系 和 客 户 数 据 , 可 能 远 超 过 你 的 想 象
Sherizen 说,企业网站不该只交给网站维护员和公关部门负责
在贴出任何讯息前,IT 安全人员应先从安全性的观点把内容检视一番,毕竟他们的职责是随时留意技术弱点设法防止黑客入侵
换句话说,他们已受过从窃贼角度思考的训练
提防下游把关责任 当今执行的各种新法规都要求企业善尽责任
因此,Sherizen 警告,疏于维护网站的安全,可能让自己背负下游的法律责任
若你公司的信息系统已和供应链商业伙伴的系统密切结合,或你透过自家网站搜集客户的资料,更要当心
他举一个法律个案为例
某人在甲公司的网站东张西望,因为防火墙防护不足,竟摸索出一条旁门左道,可经由该网站闯入乙公司的信息系统,进而大肆破坏
尽管实际执行入侵动作的是第三者(一个名下没什么财产的青少年黑客),但乙公司后来控告甲公司的求偿官司仍获判胜诉
遵行最低权限原则 宾州匹兹堡 RedSiren 公司产品策略副总裁 Nick Brigman 建议,在网站上公布数据,要遵行「最低权限规则」(rule of least-privilege)
这位 IT 安全管理主管提醒:「只贴出要执行某
