像“偷窃者”一样思考网站的安全策略
来源:中国安全信息网 更新时间:2012-04-13
              

当人们上网浏览时,他们会通过网页上的信息获取一些机密信息么?IT安全专家提醒公司在网站上发布信息时需要慎重,否则将可能给黑客或商业间谍以可乘之机。针对企业网站安全性问题,专家们提供了一些建议。

周密考虑

Natick公司负责数据安全系统的总裁Sandy Sherizen建议说,负责公司网站内容的管理员应该学习"像偷窃者一样进行思考",这里所指的偷窃者,是指试图窃取公司信息或搜集商业机密的黑客或商业间谍。公司网站上一些看上去并不重要的信息片段,一旦被偷窃者汇集并归纳,其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。

Sherizen指出:维护公司网站的安全不仅仅只是网站管理员和公共关系部门的责任。在网站贴出任何信息之前,公司的IT安全人员应该从安全性角度对信息内容进行审核。毕竟,他们的职责正是检查存在哪些技术弱点,并采用适当方式防止破坏产生。换句话说,专业的IT安全人员已经被训练成"像偷窃者一样思考问题"了。

具备责任意识

随着新的责任法律的实施(例如:萨班斯-奥克斯利法案(Sarbanes-Oxley Act),金融服务现代化法案(Gramm-Leach Bliley Act)等),Sherizen提醒说:网站上被疏忽的安全问题可能导致公司必须承担相应的法律责任。尤其是安全问题涉及到与公司密切联系的供应链和商业合作伙伴,或者涉及到公司网站收集的客户信息时。

Sherizen引用了一个法律个案进行说明。当某人登录A公司网站后,由于该网站缺乏充分的安全防护,使他能够利用A公司网站入侵到B公司的信息系统,并可能采取更进一步的破坏活动。B公司以受到损害为由起诉A公司并取得胜诉,尽管具体实施入侵活动的是作为第三者的黑客。

"最小特权原则"

互联网安全企业RedSiren负责产品策略的副总裁Nick Brigman建议:公司网站应该积极采用"最小特权原则"(rule of least-privilege)。一方面必须确保赋予使用者"必不可少"的功能操作,另一方面需要警惕IT安全管理的执行。他指出:首先应该为公司网站确定目标和使用权限。如果公司设立网站的目标仅仅在于吸引更多的客户关注,把他们导向销售团队,那么不需要将公司的内部信息公布在网站上。 Brigman进一步解释说,过多的信息可能会泄露公司的商业机密。

RedSiren公司为客户提供了一项名为"公开信息侦察"(public information reconnaissance)的服务,它能够在互联网上搜索任何找得到的、与客户有关的公开讯息。Brigman说:"通常说来,只要多花费一些时间,就能够获取到想要的信息。甚至一些仅供内部参考的网页也可能被搜获,因为这些网页被不经意的上载。即便是公司网站并未提供这些网页链接的情况下,只需利用Google或其他搜索引擎强大的索引功能,便能进行相关的信息查找和利用"。

Brigman强调说某些信息决不应该张贴在全球信息网上,即便公司认为已经采取了充分的安全防范,并将使用者的访问权限制在极小的特权范围内。诸如战略计划、未来销售策略、以及与合作伙伴谈判的相关信息,都应该受到严格的安全保护。

信息技术和工程服务公司Anteon负责Fairfax本地安全的主管Ray Donahue认为,公司对自己的网站内容进行审查的同时,需要留意其主要供货商的网站,了解他们是如何对你的公司进行描述。站在你的商业伙伴角度上考虑,他们或许认为通过网站宣布其新的战略合作,可能造成极好的广告宣传效应;然而,如果商业伙伴的网站缺乏充分的安全防范,那些通过互联网传播的信息很可能被黑客利用。一旦黑客了解到你的公司正在使用哪种软件系统或网络设备,他们将试图利用系统或网络的安全漏洞对该公司发起攻击。

Caesar, Rivise,Bernstein,Cohen & Pokotilow律师事务所的合伙人兼知识产权法律师Barry Stein指出,如果公司的网站内容缺乏严格审核,公司将面临法律后果和潜在的财产损失。因此,需要尽可能小心的避免公司商业机密的泄露,并考虑专利权问题。他强调,由于互联网具有全球性,可申请发明专利的方案其详细内容如果泄漏;如果此前没有申请专利,那么该方案有可能失去获得国外专利权的机会。

避免电子邮件地址泄露重要信息

公司在网站上张贴信息时,最普遍也是最危险的情况是使用"详情请与某人联系"的电子邮件地址。Nick Brigman提醒说:不法者可以通过直接使用网站上公开的电子邮件名称,轻易获取到他们想要的信息。通常,恶意垃圾邮件制造者正是利用这些网站上公布的邮件地址和掩码地址进行垃圾邮件散布。这些地址和名称信息也可能被心存恶意的黑客利用,通过伪造电子邮件进行蠕虫或其他病毒的传播。

Brigman同时建议:避开这种潜在危险的一个方法是利用Web表单(Web form),取代用户与公司内部电子邮件系统的直接联系方式。

Ray Donahue建议:公司需要对他们网站上公布的其他联系方式进行测试。例如:如果公司在网站上公布了一个用于解答用户问题的电话号码,那么需要确定的是,负责回答该电话线路的工作人员应该清楚哪些信息是用于共享的。警惕那些心怀恶意的询问者,期望借此机会窃取公司内部重要信息和客户资料,或者从事其他破坏活动。

避免泄露基础设施的相关信息

IT技术顾问公司Razorfish的技术负责人Ray Velez指出:一些公司错误地将URL公布在网站上,这可能导致与之相关的应用服务器类型或主机信息被泄露。例如:旧版Sun One应用服务器的URL里包含一个标准的目录,在URL中命名为NASAPP。 Velez建议应该移除这个目录。

此外,Nick Brigman还指出Web制作者一个经常性的错误操作,即直接从公司网络上撷取一个图标或文档,将它们放置在网页中。"这种错误的操作方法,使文件名、系统名、甚至文件结构等重要信息都可能通过数据被泄露。一旦不法者捕获到认为有用的信息,他们将利用工具和网状功能,实施更进一步的入侵并获取更多的信息。"

从html/asp/jsp/php原始文件中删除技术评论

Ray Velez解释这一做法是考虑到程序开发者的相关技术评论可能泄露某些重要信息,如你正在运行的技术类型,及其破解之道。这些技术评论可能会出现在终端用户的浏览器中。Velez提醒说,黑客通常喜欢浏览讯息留言板或相关的贴文,因此他们很清楚最新发布的安全补丁用于修复何种漏洞。这种隐患的存在,无论对未进行最新补丁升级的公司或者个人来说,都意味着将面临被攻击的可能。因此,必须警惕黑客试图利用这些"开发者"的技术评论作为破解网站安全防护的指南。

此外,那些看上去仿佛只是由于技术故障而出现的错误消息应该避免被暴露。因为这些错误消息将显示代码中存在的弱点,并会泄露技术基础的相关信息。针对这个问题,Velez建议替换404状态码和其他40x错误讯息,采用能够让用户更容易了解,并且不会透露基础技术信息的错误提示页。

在网站上使用非编辑模式的文档和图标

SwiftView公司产品部经理Glenn Widener指出,网站上不妥当的信息公布方式也可能受到攻击。这是由于以原格式(如:Word、Visio、AutoCAD)存储的文档或图标不受数据篡改验证(tamper-proof)的保护;此外,Adobe Acrobat writing软件的任何使用者都可以对PDF文件进行篡改或编辑。考虑到防止数据篡改的安全措施可能错综复杂并且耗废大量时间,Glenn Widener建议网站上公布的文档或图标尽可能使用PCL、HPGL、TIFF、JPG等通用格式,从而避免受到恶意篡改或编辑。

针对PCL格式,Widener建议:公司允许业务合作伙伴能够对一份业务计划的文本进行抽取,但不能对信息进行任何形式的编辑。业务合作伙伴能够使用任何形式的阅读器(如:SwiftView's)对文本进行查看,选择和打印。

由于PCL格式具备良好的安全性,因此它在金融领域得到广泛运用,如:抵押银行通常采取PCL格式进行机密文档的传送。

树立安全意识

"这是我们从客户那里听到的一个观念,如今我们把它运用到自己的市场策略中,"Nick Brigman说。911事件之后,人们逐渐树立起更强的安全意识。需要紧记的是,对网站上可能被利用的信息应严格审查。有些重要信息没有直接出现在网站上,但并不表明这些信息不会被窃取。网站可能正是重要信息被泄露的一个漏洞。因此,对网站内容进行审查至关重要。如果公司的IT部门不能对网站内容提供专业的安全保护,那么就有必要聘请专业的第三方来履行这个安全责任。