當許多人上網瀏覽時，它們融會貫通過網頁上的信息取得一點情報信息麼？IT安全資深專家提示企業在網站上宣布信息時需求謹慎認真，否則將有可能給黑客或經濟活動間諜以可乘之隙。針對公司網站安全性問題，資深專家們供給了一點提議。

縝密思索問題
Natick企業負責數值安全系統的總裁Sandy Sherizen提議說，負責企業網站內部實質意義的管理員應當學習”像竊取者同樣施行深刻思考”，這處所指的竊取者，是指打算偷竊企業信息或尋找收集經濟活動情報的黑客或經濟活動間諜。企業網站上一點看中去並不關緊的信息斷片，一朝失竊竊者薈萃並歸納，其後果有可能造成企業內裡機構設置、戰略合作火伴關系、中心客戶等關緊信息被泄漏。

Sherizen指出：保護企業網站的安全不止只只是網站管理員和公共關系部門的責任。在網站貼出來擔任何信息之前，企業的IT安全擔任職務的人應當從安全性角度對信息內部實質意義施行審查核定。畢竟，它們的職務和責任正是查緝存在哪一些技術弱項，並認為合適而使用合適形式避免毀傷萌生。換言之，專業的IT安全擔任職務的人已經被訓練成”像竊取者同樣深刻思考問題”了。

具有責任認識
隨著新的責任法律的實行（例如：薩班斯-奥克斯利法案（Sarbanes-Oxley Act），金融服務現代化法案（Gramm-Leach Bliley Act）等），Sherizen提示說：網站上被忽略的安全問題有可能造成企業務必承受相應的法律責任。特別是安全問題牽涉到到與企業關系近結合的供應鏈和經濟活動合作火伴，還是牽涉到到企業網站使聚在一起的客戶信息時。

Sherizen援用了一個法律個案施行解釋明白。當某人登錄A企業網站後，因為該網站匱缺充分的安全防備保護，使他能夠利用A企業網站侵入國到B企業的信息系統，並有可能采取更進一步的毀傷活動。B企業以遭受損害到為由起訴A企業並獲得勝訴，盡管具體實行侵入國活動的是作為第三者的黑客。

“最小特別的權利原則”
互聯網安全公司RedSiren負責產品策略的副總裁Nick Brigman提議：企業網站應當積極認為合適而使用”最小特別的權利原則”（rule of least-privilege）。一方面務必保證給予運用者”必必需”的功能操作，另一方面需求戒懼IT安全管理的執行。他指出：首先應當為企業網站確認目的和運用職權范圍。假如企業成立網站的目的僅只在於吸引更多的客戶關心注視，把它們導向銷行團隊，那末不必將企業的內裡信息揭曉在網站上。 Brigman進一步詮釋說，過多的信息有可能會泄漏企業的經濟活動情報。

RedSiren企業為客戶供給了一項名為”公開信息偵察”（public information reconnaissance）的服務，它能夠在互聯網上搜索不論什麼找獲得的、與客戶相關的公開訊息。Brigman說：”一般說來，只要多消耗的錢一點時間，就能夠取得到想要的信息。甚至於一點僅供內裡參照的網頁也有可能被搜獲，由於這些個網頁被不注意的上載。即使是企業網站並未供給這些個網頁鏈接的事情狀況下，只需利用Google或其它搜索引擎網站堅強雄厚的引得功能，便能施行有關的信息查尋和利用”。

Brigman著重提出說某些信息決不應當貼掛在全世界信息網上，即使企業覺得已經采取了充分的安全防備，並將運用者的過訪職權范圍制在極小的特別的權利范圍內。諸如戰略規劃、未來銷行策略、以及與合作火伴會談的有關信息，都應當遭受嚴明的安全盡力照顧。

信息技術和工程服務企業Anteon負責Fairfax本地安全的主管Ray Donahue覺得，企業對自個兒的網站內部實質意義施行檢查核對的同時，需求留意其主要供貨商的網站，理解它們是怎麼樣對你的企業施行描寫。站在你的經濟活動火伴角度上思索問題，它們也許覺得經過網站宣告其新的戰略合作，有可能導致極好的廣告宣傳效應；不過，假如經濟活動火伴的網站匱缺充分的安全防備，那一些經過互聯網廣泛散布的信息很有可能被黑客利用。一朝黑客理解到你的企業正在運用哪種軟件系統或網絡設施，它們將打算利用系統或網絡的安全破綻對該企業發起殲擊。

Caesar， Rivise，Bernstein，Cohen & Pokotilow律拜某人做師傅務所的合成一戶人兼知識產權法律師Barry Stein指出，假如企業的網站內部實質意義匱缺嚴明審查核定，企業將面對法律後果和潛伏的財產虧損。因為這個，需求盡有可能謹慎的防止企業經濟活動情報的泄漏，並思索問題專利權問題。他著重提出，因為互聯網具備全世界性，可提出請求創造專利的方案其周密內部實質意義假如泄露；假如此前沒有提出請求專利，那末該方案可能錯過取得海外專利權的機緣。

防止電子郵件地址泄漏關緊信息
企業在網站上貼掛信息時，最存在廣泛也是最危險的事情狀況是運用”詳細情形請與某人結合”的電子郵件地址。Nick Brigman提示說：不合法者可以經過直接運用網站上公開的電子郵件名字，隨便取得到它們想要的信息。一般，惡意垃圾郵件制作者正是利用這些個網站上揭曉的郵件地址和掩碼地址施行垃圾郵件分布。這些個地址和名字信息也有可能被心存惡意的黑客利用，經過假造電子郵件施行蠕蟲或其它病毒的廣泛散布。

Brigman同時提議：避開這種潛伏危險的一個辦法是利用Web表單（Web form），代替用戶與企業內裡電子郵件系統的直接結合形式。

Ray Donahue提議：企業需求對它們網站上揭曉的其它結合形式施行測試。例如：假如企業在網站上揭曉了seo一個用於解釋回答用戶問題的電話號頭，那末需求確認的是，負責應答該電話線路的辦公擔任職務的人應當明白哪一些信息是用於共享的。戒懼那一些藏奸的問詢者，希望借此機緣偷竊企業內裡關緊信息和客戶資料，還是投身其它毀傷活動。

防止泄漏基礎設備的有關信息
IT技術顧問企業Razorfish的技術負責人Ray Velez指出：一點企業不正確地將URL揭曉在網站上，這有可能造成與之有關的應用服務器類型或主機信息被泄漏。例如：舊版Sun One應用服務器的URL裡裡面含有一個標准的目次，在URL中起名稱為NASAPP。 Velez提議應當移除這個目次。

這個之外，Nick Brigman還指出Web制造者一個常常性的不正確操作，即直接從企業網絡上擷取一個圖標或文檔，將他們安放在網頁中。”這種不正確的操作辦法，使文件名、系統名、甚至於文件結構等關緊信息都有可能通清點數目據被泄漏。一朝不合法者抓住到覺得有用的信息，它們將利用工具和網狀功能，實行更進一步的侵入國並取得更多的信息。”

從html/asp/jsp/php原始文件中刪去技術述評
Ray Velez詮釋這一作法是思索問題到手續研發者的有關技術述評有可能泄漏某些關緊信息，如你正在運行的技術類型，及其破解之道。這些個技術述評有可能會顯露出來在終端用戶的瀏覽器中。Velez提示說，黑客一般喜歡瀏覽訊息留言板或有關的貼文，因為這個它們很明白最新宣布的安全補丁用於修復何種破綻。這種隱患的存在，不管對未施行最新補丁昇班的企業還是私人來說，都意味著將面對被殲擊的有可能。因為這個，務必戒懼黑客打算利用這些個”研發者”的技術述評作為破解網站安全防備保護的指南。

這個之外，那一些看中去似乎只是因為技術故障而顯露出來的不正確消息兒應當防止被顯露。由於這些個不正確消息兒將顯露代碼中存在的弱項，並會泄漏技術基礎的有關信息。針對這個問題，Velez提議調換404狀況碼和其它40x不正確訊息，認為合適而使用能夠讓用戶更容易理解，況且不會透漏基礎技術信息的不正確提醒頁。

在網站上運用非編輯標准樣式的文檔和圖標
SwiftView企業產品部經理Glenn Widener指出，網站上不就緒的信息揭曉形式也有可能遭受殲擊。這是因為以原款式（如：Word、Visio、AutoCAD）儲存的文檔或圖標不受數值竄改證驗（tamper-proof）的盡力照顧；這個之外，Adobe Acrobat writing軟件的不論什麼運用者都可以對PDF文件施行竄改或編輯。思索問題到避免數值竄改的安全處理辦法有可能縱橫交錯況且耗廢數量多時間，Glenn Widener提議網站上揭曉的文檔或圖標盡有可能運用PCL、HPGL、TIFF、JPG等通用款式，因此防止遭受惡意竄改或編輯。

針對PCL款式，Widener提議：企業准許業務合作火伴能夠對一份業務規劃的文本施行取出，但不可以對信息施行不論什麼方式的編輯。業務合作火伴能夠運用不論什麼方式的閱覽器（如：SwiftView’s）對文本施行檢查，挑選和打印。

因為PCL款式具有令人滿意的安全性，因為這個它在金融領域獲得廣泛使用，如：抵押銀行一般采取PCL款式施行情報文檔的傳遞。

建立安全認識
“這是我們從客戶那邊聽見的一個觀念，現在我們把它使用到自個兒的市場策略中，”Nick Brigman說。911事情在這以後，許多人漸漸建立第一次打更強的安全認識。需求緊記的是，對網站上有可能被利用的信息應嚴明檢查核對。有點關緊信息沒有直接顯露出來在網站上，但並不表明這些個信息不會失單取。網站有可能正是關緊信息被泄漏的一個破綻。因為這個，對網站內部實質意義施行檢查核對至關關緊。假如企業的IT部門不可以對網站內部實質意義供給專業的安全盡力照顧，那末就有不可缺少僱請專業的第三方來履行這個安全責任。