此资料由网络收集而来,如有侵权请告知上传者立即删除
资料共分享,我们负责传递知识
小心企业网站悄悄泄密人们上网遨游时,会不会顺便去你家后院挖宝
信息科技(IT)安全专家说,企业必须分清楚那些类型的讯息可在自家网站上公布、哪些则不宜,因为若是粗心大意,可能打开潘多拉的盒子,让劫持者、黑客和工业间谍有机可乘
以下是专家的建议
揣摩窃贼的想法明尼苏达州DataSecuritySystems公司总裁SandySherizen建议,企业网站内容的守门员应该「学习揣摩小偷的想法,揣测他们可能会想窃取什么资料,或搜集什么样的商业竞争情报」
公司网站上贴出的零星数据乍看下可能无关紧要,但一旦拼凑起来,揭露出的公司内部讯息、策略联盟关系和客户数据,可能远超过你的想象
Sherizen说,企业网站不该只交给网站维护员和公关部门负责
在贴出任何讯息前,IT安全人员应先从安全性的观点把内容检视一番,毕竟他们的职责是随时留意技术弱点,设法防止黑客入侵
换句话说,他们已受过从窃贼角度思考的训练
提防下游把关责任当今执行的各种新法规都要求企业善尽责任
因此,Sherizen警告,疏于维护网站的安全,可能让自己背负下游的法律责任
若你公司的信息系统已和供应链商业伙伴的系统密切结合,或你透过自家网站搜集客户的资料,更要当心
他举一个法律个案为例
某人在甲公司的网站东张西望,因为防火墙防护不足,竟摸索出一条旁门左道,可经由该网站闯入乙公司的信息系统,进而大肆破坏
尽管实际执行入侵动作的是第三者(一个名下没什么财产的青少年黑客),但乙公司后来控告甲公司的求偿官司仍获判胜诉
遵行最低权限原则宾州匹兹堡RedSiren公司产品策略副总裁NickBrigman建议,在网站上公布数据,要遵行「最低权限规则」(ruleofleast-privilege)
这位IT安全管理主管提醒:「只贴出要执行某种功能绝不能少的数据
