小心企業網站悄悄洩密

人們上網遨遊時，會不會順便去你家後院挖寶？資訊科技（IT）安全專家說，企業必須分清楚那些型別的訊息可在自家網站上公佈、哪些則不宜，因為若是粗心大意，可能開啟潘多拉的盒子，讓劫持者、黑客和工業間諜有機可乘。以下是專家的建議。

揣摩竊賊的想法

明尼蘇達州Data Security Systems公司總裁Sandy Sherizen建議，企業網站內容的守門員應該「學習揣摩小偷的想法，揣測他們可能會想竊取什麼資料，或蒐集什麼樣的商業競爭情報」。公司網站上貼出的零星資料乍看下可能無關緊要，但一旦拼湊起來，揭露出的公司內部訊息、策略聯盟關係和客戶資料，可能遠超過你的想象。

Sherizen說，企業網站不該只交給網站維護員和公關部門負責。在貼出任何訊息前，IT安全人員應先從安全性的觀點把內容檢視一番，畢竟他們的職責是隨時留意技術弱點，設法防止黑客入侵。換句話說，他們已受過從竊賊角度思考的訓練。

提防下游把關責任

當今執行的各種新法規都要求企業善盡責任。因此，Sherizen警告，疏於維護網站的安全，可能讓自己揹負下游的法律責任。若你公司的資訊系統已和供應鏈商業夥伴的系統密切結合，或你透過自家網站蒐集客戶的資料，更要當心。

他舉一個法律個案為例。某人在甲公司的網站東張西望，因為防火牆防護不足，竟摸索出一條旁門左道，可經由該網站闖入乙公司的資訊系統，進而大肆破壞。儘管實際執行入侵動作的是第三者（一個名下沒什麼財產的青少年黑客），但乙公司後來控告甲公司的求償官司仍獲判勝訴。

遵行最低許可權原則

賓州匹茲堡RedSiren公司產品策略副總裁Nick Brigman建議，在網站上公佈資料，要遵行「最低許可權規則」（rule of least-privilege）。這位IT安全管理主管提醒：「只貼出要執行某種功能絕不能少的資料。」他說，要訂出這樣的規則，首先必須確定企業網站的目標和用途何在。他解釋：「若目標是吸引潛在顧客，把他們導向銷售團隊，那麼就不必把公司的資料鉅細靡遺貼在網站上。」提供太詳盡的資訊，可能洩露公司的運作細節。

RedSiren提供客戶一種服務，稱為「公共資訊偵察」，也就是到因特網上搜索任何找得到的、與客戶有關的公開訊息。「我們常常發現，只要挖掘的時間夠久，什麼資料都找得著，」Brigman說。他甚至尋獲客戶僅供內部參考的網頁，只因為網頁被不經意地上載。即使企業網站未提供這些網頁的連結，但Google等搜尋引擎公司如今已設計出聰明絕頂的索引程式，能把這些資料給找出來，晾在網路上供全世界檢視。

Brigman堅稱，即使你認為已做好充分的安全防護，只給少數人士有限度的存取許可權，也絕不該把某些內容張貼在全球資訊網上。這些「企業的傳家之寶」包括諸如策略計劃、未來的營銷策略，以及與商業夥伴協商有關的任何資訊。

維吉尼亞州Anteon公司Homeland Security公司經理Ray Donahue強調，在檢查自家網站的同時，也要以批評的眼光檢視主要供貨商的網站，瞭解他們怎麼描述你的公司。對你的商業夥伴而言，宣佈新的策略聯盟可能是極佳的廣告宣傳，但那些訊息也許也會對全世界宣告你公司用的是哪一種軟體系統，或哪一種網路裝置──不啻是引狼入室，把邀請函發給樂於探知你係統弱點何在的黑客。

費城律師事務所Caesar, Rivise, Bernstein, Cohen & Pokotilow, Ltd.的智慧財產權律師兼合夥人Barry Stein則提醒，網站內容若不嚴加把關，可能導致法律後果和銷售額損失。小心翼翼避免商業機密和專業知識與技術外洩時，也不要忘了維護專利權。基於因特網全球無疆界的特性，「讓原本可申請專利的發明細節曝光，若是資料外洩之前未申請到專利，可能造成公司喪失海外的專利權，」他說。

電子郵件住址避免指名道姓

企業網站上貼出的訊息中，最常見也最危險的一種，就是「詳情請洽某某人」的電子郵件住址。Nick Brigman警告：「在網站上直接使用電子郵件姓名，是你必須防範的漏洞之一。」濫發郵件者常常從網站上搜集這些姓名，並以大量訊息疲勞轟炸這些電郵住址。惡意的黑客也可能擷取這些名字，用來偽造電子郵件，或把蠕蟲和病毒傳給不知情的收信人，讓他們誤以為是貴公司主管發的訊息。

Brigman建議，避開這種潛在危險的一種辦法，是以網路表格作為透過網站連絡的管道，而不是讓外人傳來的連絡函直通公司內部的電子郵件系統。

Ray Donahue另建議檢驗公司網站上公告的其它連絡點。若你公佈一個供潛在顧客打電話查詢的專線號碼，就必須確定接電話的人員已被充分告知可對外提供哪些資訊。來電查詢者也許想破壞你的公司、搶客戶，或從事其它不勝列舉的卑鄙活動。時時謹慎就能提高警覺。

避免透露公司使用的基礎設施

紐約市IT諮詢公司SBI的科技長Ray Velez說：「有些公司公佈出標明應用伺服器型別的URL（全球資源定址器），或系統供貨商，這是一大錯誤。」比方說，舊版Sun One應用伺服器的URL裡包含一個標準的目錄，稱為NASAPP，Velez建議移除那個目錄。

Nick Brigman指出網站設計師可能犯的另一種常見錯誤：從公司網路擷取一個商標圖案或檔案，然後把它貼在網頁上。「這個資料經常會洩露資料取得途徑的線索──檔名稱、系統名稱甚至檔案結構。提供那些資訊，就等於把搜尋資料的工具交給外人，」他說：「如蜘蛛結網一般，他們把資料組織起來，就能探知足夠的訊息，進入下一層關卡，進而取得更多資訊。」

從html/asp/jsp/php原始檔中刪除技術評論

Ray Velez說，程式開發者的評論也可能洩露你正在使用的技術型別，及其破解之道。這些評論可能在最終使用者的瀏覽器顯現出來。「切記，」Velez再叮嚀一句：「黑客常閱讀訊息留言板和貼文，很清楚最新發布的安全更新程式是用來修補什麼漏洞。這是個問題，因為許多企業或個人並未安裝最新版本的修補程式。所以，這些[開發者]評論可被當作破解某網站的指南。」

避免顯示因技術問題產生的錯誤訊息

Velez指出，這類錯誤訊息會暴露出你程式程式碼的弱點，且讓基本架構技術的相關訊息外洩。拿掉404狀態碼和其它40x錯誤訊息，改用使用者更容易瞭解、而且不透露基本技術訊息的錯誤訊息頁。

使用數字權管理以保護智慧財產權

Velez建議，以密碼保護你不想讓網站訪客任意重複使用的資料。安全控制不足，是網站一大常見的破綻。

使用無法修改的文/圖張貼格式

俄勒岡州波特蘭市SwiftView公司的產品經理Glenn Widener另外提到，你把資料張貼在公司網站上的方式，也可能留下安全漏洞。不論是文字或圖形檔案，若以原始的規格（如 Word、Visio、AutoCAD等等）儲存，難保不會遭到竄改。即使是可攜式檔案格式（PDF）檔案，任何人用Adobe Acrobat軟體都能加以修改。

發展防竄改的安全措施可能既複雜又費時。他推薦使用根本無法修改的通用格式，像是PCL、HPGL、TIFF和JPG這類。列印格式(如PCL和HPGL)具有一些勝過bitmap格式的優點：檔案較小、即使壓縮也可檢視，而且本文可供搜尋、索引和選取。

Widener說明：「就PCL而言，企業可允許商業夥伴從一份商業計劃中抽取一段文字，但那些資料無法更改。企業只要把欲擇取的那些頁輸出、設定成共享檔案，然後傳送該檔案，商業夥伴即可用各式各樣的瀏覽器，例如SwiftView的瀏覽器，來檢視、選擇和列印內文。」

Widener指出，PCL在金融界使用甚廣，例如抵押貨款銀行就因為潛在的安全性考慮，而使用PCL格式來傳送結清的檔案。

培養員工的安全意識

「這是我們從客戶那裡聽來的一個觀念，現在我們把它運用在自己的營銷文宣上，」Nick Brigman說：「在後911時代，你必須養成居安思危的意識。」別漫不經心把資料往網站上丟，而未嚴加檢視這些資訊可能會被人怎麼利用。而且，切莫以為既然資料未直接擺在網站上，別人就無從取得。他強調：「網站可能是取得那個資料的一個途徑。所以，事前的檢查非常重要。」如果公司內部IT小組的安全防護專業不足，宜聘請能勝任此任務的第三者。（Debra Young著．唐慧文譯/KMCenter）（來源：：中國知識管理網）