当人们上网浏览时，他们会通过网页上的信息获取一些机密信息么？IT安全专家提醒公司在网站上发布信息时需要慎重，否则将可能给黑客或商业间谍以可乘之机。针对企业网站安全性问题，专家们提供了一些建议。 周密考虑 Natick公司负责数据安全系统的总裁Sandy Sherizen建议说，负责公司网站内容的管理员应该学习"像偷窃者一样进行思考"，这里所指的偷窃者，是指试图窃取公司信息或搜集商业机密的黑客或商业间谍。公司网站上一些看上去并不重要的信息片段，一旦被偷窃者汇集并归纳，其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。 Sherizen指出：维护公司网站的安全不仅仅只是网站管理员和公共关系部门的责任。在网站贴出任何信息之前，公司的IT安全人员应该从安全性角度对信息内容进行审核。毕竟，他们的职责正是检查存在哪些技术弱点，并采用适当方式防止破坏产生。换句话说，专业的IT安全人员已经被训练成"像偷窃者一样思考问题"了。 具备责任意识 随着新的责任法律的实施（例如：萨班斯-奥克斯利法案（Sarbanes-Oxley Act），金融服务现代化法案（Gramm-Leach Bliley Act）等），Sherizen提醒说：网站上被疏忽的安全问题可能导致公司必须承担相应的法律责任。尤其是安全问题涉及到与公司密切联系的供应链和商业合作伙伴，或者涉及到公司网站收集的客户信息时。 Sherizen引用了一个法律个案进行说明。当某人登录A公司网站后，由于该网站缺乏充分的安全防护，使他能够利用A公司网站入侵到B公司的信息系统，并可能采取更进一步的破坏活动。B公司以受到损害为由起诉A公司并取得胜诉，尽管具体实施入侵活动的是作为第三者的黑客。 "最小特权原则" 互联网安全企业RedSiren负责产品策略的副总裁Nick Brigman建议：公司网站应该积极采用"最小特权原则"（rule of least-privilege）。一方面必须确保赋予使用者"必不可少"的功能操作，另一方面需要警惕IT安全管理的执行。他指出：首先应该为公司网站确定目标和使用权限。如果公司设立网站的目标仅仅在于吸引更多的客户关注，把他们导向销售团队，那么不需要将公司的内部信息公布在网站上。 Brigman进一步解释说，过多的信息可能会泄露公司的商业机密。 RedSiren公司为客户提供了一项名为"公开信息侦察"（public information reconnaissance）的服务，它能够在互联网上搜索任何找得到的、与客户有关的公开讯息。Brigman说："通常说来，只要多花费一些时间，就能够获取到想要的信息。甚至一些仅供内部参考的网页也可能被搜获，因为这些网页被不经意的上载。即便是公司网站并未提供这些网页链接的情况下，只需利用Google或其他搜索引擎强大的索引功能，便能进行相关的信息查找和利用"。 Brigman强调说某些信息决不应该张贴在全球信息网上，即便公司认为已经采取了充分的安全防范，并将使用者的访问权限制在极小的特权范围内。诸如战略计划、未来销售策略、以及与合作伙伴谈判的相关信息，都应该受到严格的安全保护。 信息技术和工程服务公司Anteon负责Fairfax本地安全的主管Ray Donahue认为，公司对自己的网站内容进行审查的同时，需要留意其主要供货商的网站，了解他们是如何对你的公司进行描述。站在你的商业伙伴角度上考虑，他们或许认为通过网站宣布其新的战略合作，可能造成极好的广告宣传效应；然而，如果商业伙伴的网站缺乏充分的安全防范，那些通过互联网传播的信息很可能被黑客利用。一旦黑客了解到你的公司正在使用哪种软件系统或网络设备，他们将试图利用系统或网络的安全漏洞对该公司发起攻击。 Caesar， Rivise，Bernstein，Cohen & Pokotilow律师事务所的合伙人兼知识产权法律师Barry Stein指出，如果公司的网站内容缺乏严格审核，公司将面临法律后果和潜在的财产损失。因此，需要尽可能小心的避免公司商业机密的泄露，并考虑专利权问题。他强调，由于互联网具有全球性，可申请发明专利的方案其详细内容如果泄漏；如果此前没有申请专利，那么该方案有可能失去获得国外专利权的机会。 避免电子邮件地址泄露重要信息 公司在网站上张贴信息时，最普遍也是最危险的情况是使用"详情请与某人联系"的电子邮件地址。Nick Brigman提醒说：不法者可以通过直接使用网站上公开的电子邮件名称，轻易获取到他们想要的信息。通常，恶意垃圾邮件制造者正是利用这些网站上公布的邮件地址和掩码地址进行垃圾邮件散布。这些地址和名称信息也可能被心存恶意的黑客利用，通过伪造电子邮件进行蠕虫或其他病毒的传播。 Brigman同时建议：避开这种潜在危险的一个方法是利用Web表单（Web form），取代用户与公司内部电子邮件系统的直接联系方式。 Ray Donahue建议：公司需要对他们网站上公布的其他联系方式进行测试。例如：如果公司在网站上公布了一个用于解答用户问题的电话号码，那么需要确定的是，负责回答该电话线路的工作人员应该清楚哪些信息是用于共享的。警惕那些心怀恶意的询问者，期望借此机会窃取公司内部重要信息和客户资料，或者从事其他破坏活动。 避免泄露基础设施的相关信息 IT技术顾问公司Razorfish的技术负责人Ray Velez指出：一些公司错误地将URL公布在网站上