此外,那些看上去仿佛只是由于技术故障而出现的错误消息应该避免被暴露。因为这些错误消息将显示代码中存在的弱点,并会泄露技术基础的相关信息。针对这个问题,Velez建议替换404状态码和其他40x错误讯息,采用能够让用户更容易了解,并且不会透露基础技术信息的错误提示页。
在网站上使用非编辑模式的文档和图标
SwiftView公司产品部经理Glenn Widener指出,网站上不妥当的信息公布方式也可能受到攻击。这是由于以原格式(如:Word、Visio、AutoCAD)存储的文档或图标不受数据篡改验证(tamper-proof)的保护;此外,Adobe Acrobat writing软件的任何使用者都可以对PDF文件进行篡改或编辑。考虑到防止数据篡改的安全措施可能错综复杂并且耗废大量时间,Glenn Widener建议网站上公布的文档或图标尽可能使用PCL、HPGL、TIFF、JPG等通用格式,从而避免受到恶意篡改或编辑。
针对PCL格式,Widener建议:公司允许业务合作伙伴能够对一份业务计划的文本进行抽取,但不能对信息进行任何形式的编辑。业务合作伙伴能够使用任何形式的阅读器(如:SwiftViews)对文本进行查看,选择和打印。
由于PCL格式具备良好的安全性,因此它在金融领域得到广泛运用,如:抵押银行通常采取PCL格式进行机密文档的传送。
树立安全意识
"这是我们从客户那里听到的一个观念,如今我们把它运用到自己的市场策略中,"Nick Brigman说。911事件之后,人们逐渐树立起更强的安全意识。需要紧记的是,对网站上可能被利用的信息应严格审查。有些重要信息没有直接出现在网站上,但并不表明这些信息不会被窃取。网站可能正是重要信息被泄露的一个漏洞。因此,对网站内容进行审查至关重要。如果公司的IT部门不能对网站内容提供专业的安全保护,那么就有必要聘请专业的第三方来履行这个安全责任。
以下举例:
中国宏观经济网是一家提供金融信息的专业网站,对外发布的数据具有一定的权威性和指导意义,因此其系统当中各种服务器上的数据极具敏感性。
原有的网站结构是,在局域网中的Web Server、Mail Server、DNS Server都有两块网卡,一块对内网,一块对外网。内网的用户通过代理服务器上网。所有的网络设备通过路由器直接连接到Internet上和Intranet上,服务器直接暴露在外,非常容易受到外来的威胁和攻击。图1为原有结构图。
后经过专家指导,网站开始注重安全建设,设计了一套安全保护机制:在网络环境中添加一台防火墙用于隔离内网和外网,在防火墙中设立适当的策略,保护系统不受侵犯,同时将代理服务器替换掉。
最后,网站采用了高阳信安的综合性防火墙DS2000。该系统采用智能分析技术,实现IP包智能过滤,并能够对抗多种电子欺骗和网络攻击手段,同时,运用了模块嵌入系统核心、负载均衡、高性能HASH表等先进的优化技术,加快了数据访问速度,解决了普通防火墙系统的“网络瓶颈”问题。
改进后的网站结构图如图2所示:网络划分为内部网、开放区(SSN)、用户控制区和外部网四个部分,各部分分工明确,界限分明,防止其中一部分瘫痪而影响全部。加入DS2000后在内部网络和外部网络间增加了一道屏障,将服务器和Internet、Intranet隔开,过滤掉一些出入于三个区内的非必要IP包,提高了系统的安全性。
