云oa系統(tǒng)管理員常犯錯誤總結(jié)

人類的出現(xiàn)對于大自然的影響是非常大。在信息化建設(shè)過程中，隨按提倡自動化運行。但是人為的操作影響仍然是第一位。在這里我們就總結(jié)了幾個手機日程管理軟件管理員常犯錯誤，希望對大家有所幫助。

某管理資訊保安服務(wù)商對過去幾年里危害程度比較深的90個安全漏洞進行了一次系統(tǒng)分析，發(fā)現(xiàn)與這90個安全漏洞相關(guān)的“犯案”記錄竟然高達2.85億條，驚人的數(shù)字，不是嗎？其中大多數(shù)重頭案件都涉及有組織犯罪，比如非法登錄一個未加保護安卓日程管理，并竊取信用卡資料、社會安全號碼或其他個人身份信息等等。

　　而令人驚訝地是，這些安全漏洞大多是由于手機日程管理軟件員沒有對自己負(fù)責(zé)的安卓日程管理系統(tǒng)，尤其是非關(guān)鍵服務(wù)器采取明顯的防護措施造成而造成的。

　　“根本原因就在于手機日程管理軟件員沒有做好最基本的工作，就這么簡單。” Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說，Tippett是安全領(lǐng)域的權(quán)威人士，從事安全漏洞審計工作長達18年之久。

　　在Tippett的幫助下，我們總結(jié)了以下手機日程管理軟件管理員常犯錯誤的清單，這些錯誤將直接導(dǎo)致安卓日程管理一片混亂并導(dǎo)致嚴(yán)重的安全漏洞。針對每個錯誤，我們給出了最簡單的解決方案，希望能眾多手機日程管理軟件員有所幫助。

　　1.未更改安卓日程管理設(shè)備的缺省密碼

　　“我們發(fā)現(xiàn)，很多企業(yè)的服務(wù)器、交換機、路由器以及其它安卓日程管理設(shè)備都使用缺省密碼---通常是‘password’或‘admin’，這是多么令人難以置信。” Tippett說。“大多數(shù)CIO們認(rèn)為，這個問題不可能發(fā)生在他們身上，而事實則恰恰相反。”

　　為了避免這個手機日程管理軟件管理員常犯錯誤，你需要對你安卓日程管理中的每一臺安卓日程管理設(shè)備進行一次徹底的漏洞掃描，而不僅僅是核心或關(guān)鍵設(shè)備，Tippett說。然后修改每臺設(shè)備的缺省密碼。根據(jù)Verizon Business的研究結(jié)果，在過去的一年中所發(fā)生的安卓日程管理侵害案件中，有一半以上是由于某個安卓日程管理設(shè)備使用缺省密碼而給犯案人員留下了可乘之機。

　　2. 多臺安卓日程管理設(shè)備“共享”同一個密碼

　　企業(yè)的IT部門常常對多個服務(wù)器使用相同的密碼，并且很多人都知道這個密碼。就密碼本省而言，它的安全性可能非常高---一個數(shù)字和字母的復(fù)雜組合，但是，一旦它被多個系統(tǒng)共享，那么所有這些系統(tǒng)都處于危險之中。

　　例如，某個知道這一“通用”密碼的人離職了，而他很有可能在新公司還是使用同一密碼?；蛘吣硞€負(fù)責(zé)部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員，很有可能對其負(fù)責(zé)的所有客戶的所有系統(tǒng)使用相同的密碼。在這些情況下，如果密碼被某個黑客得到，那么他就可以進入許多服務(wù)器并且造成很大的破壞。

　　Tippett說，企業(yè)IT部門需要制定一個流程---無論是自動還是手動---以確保服務(wù)器密碼不會在多個系統(tǒng)之間共享，并且還要定期更換，這樣才能保證密碼安全。最簡單也最有效的辦法就是專門找一個人負(fù)責(zé)保管企業(yè)目前服務(wù)器的所有密碼。

　　3.未能有效找出Web服務(wù)器的SQL編碼錯誤

　　根據(jù)Verizon Business的研究結(jié)果，最常見的黑客攻擊是對連接到Web服務(wù)器的SQL數(shù)據(jù)庫的攻擊，這大約占到了研究記錄的79%。而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個SQL命令。如果表單的編碼是正確的，那么它是不會接受SQL命令的。但是，有時開發(fā)人員的編碼食物就可能“創(chuàng)造”所謂的SQL注入漏洞，黑客可以一用這些漏洞直接從數(shù)據(jù)庫中查詢他們所需要的信息。

　　Tippett說，避免SQL注入攻擊的最簡單方法就是運行一個應(yīng)用防火墻，首先把它設(shè)置為“學(xué)習(xí)”模式，以便能夠觀察用戶如何把數(shù)據(jù)輸入字段中，然后將該應(yīng)用防火墻設(shè)置為“操作”模式，這樣SQL命令就不能“注入”字段中了。SQL編碼問題十分普遍。“如果一個企業(yè)對自己的100臺服務(wù)器進行測試，它們可能會發(fā)現(xiàn)其中90臺有SQL注入問題。” Tippett說。

　　通常情況下，企業(yè)僅僅解決了核心服務(wù)器的SQL注入漏洞，但是他們忽略了很重要的一點：黑客往往是通過非關(guān)鍵系統(tǒng)進入到他們的安卓日程管理的。Tippett建議手機日程管理軟件員利用訪問控制列表對安卓日程管理進行劃分，限制服務(wù)器同非重要設(shè)備的通訊。這樣就可以有些地防止黑客利用一個小小的SQL編碼錯誤非法獲取數(shù)據(jù)。

        希望我們以上總結(jié)的這三點手機日程管理軟件管理員常犯錯誤，能對大家起到一定的幫助。

　　【推薦閱讀】
◆手機日程管理軟件管理服務(wù)發(fā)展方向剖析

◆企業(yè)手機日程管理軟件管理水平應(yīng)當(dāng)如何提高
◆手機日程管理軟件管理軟件衡量標(biāo)準(zhǔn)評析

◆手機日程管理軟件管理應(yīng)用技巧解決管理人員難題