監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉

企業(yè)設(shè)備管理系統(tǒng)安全漏洞解決方案

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

安全漏洞之首:企業(yè)沒有給文件服務(wù)器設(shè)置合理的權(quán)限及安全操作

文件服務(wù)器的采用,確實(shí)給我們的工作帶來了很大的方便。為此,我們不需要為每臺(tái)電腦的文件備份而煩惱,我們也不用為系統(tǒng)崩潰導(dǎo)致重要文件丟失而頭疼。確實(shí),文件服務(wù)器的使用,對(duì)于企業(yè)信息化管理來說,是一個(gè)很大的進(jìn)度,其在一定程度上,也體現(xiàn)了知識(shí)管理的內(nèi)涵。

但是,企業(yè)在文件服務(wù)器管理上也存在一些安全漏洞。這些漏洞導(dǎo)致企業(yè)文件服務(wù)器成為了企業(yè)數(shù)據(jù)泄密的一個(gè)重大毒瘤。

如文件服務(wù)器沒有設(shè)置查詢權(quán)限。有些企業(yè)為了管理的方便或者缺乏一些有效的管理工具,把文件服務(wù)器上的文件對(duì)企業(yè)全部用戶都是開放的,只是設(shè)置了只有具體的部門才能夠修改,而對(duì)于查看的話,企業(yè)內(nèi)部每個(gè)員工都可以查看。這就導(dǎo)致企業(yè)的保存在文件服務(wù)器上的一些機(jī)密信息,員工可以輕松的訪問到。如一些產(chǎn)品的不同供應(yīng)商之間的報(bào)價(jià)信息,若企業(yè)有名員工跟某個(gè)供應(yīng)商有稍微一點(diǎn)關(guān)系,則這個(gè)員工就可以把這個(gè)報(bào)價(jià)信息泄露給供應(yīng)商,而這個(gè)供應(yīng)商就可以以這個(gè)報(bào)價(jià)表為基礎(chǔ),報(bào)一個(gè)更有利的價(jià)格。如此的話,企業(yè)就會(huì)失去在價(jià)格管理上的主動(dòng)權(quán)。同時(shí),對(duì)于其他供應(yīng)商來說,也失去了公平競(jìng)爭(zhēng)的權(quán)利。

除了這個(gè)權(quán)限之外,在用戶名與密碼管理上,也存在這一些缺陷。如對(duì)于每個(gè)部門設(shè)置一個(gè)用戶名,但是,密碼的話,都是一致的。如此的話,一些對(duì)企業(yè)心存不滿的員工,知道他人的用戶名之后,就可以假借他人的用戶名而登陸到文件服務(wù)器上,進(jìn)行一些破壞動(dòng)作。如文件的惡意刪除與修改等等。在這方面某公司有一個(gè)慘痛的教訓(xùn)。某設(shè)備管理系統(tǒng)員A在一家企業(yè)中,負(fù)責(zé)企業(yè)的文件服務(wù)器的相關(guān)工作。那時(shí)候,A為了貪圖方便,給每個(gè)用戶設(shè)置了一個(gè)用戶名,用戶名為他們員工編號(hào);而密碼的話,也跟他們的員工編號(hào)一樣。一天,員工像A反映,他們文件服務(wù)器上的文件被改的一塌糊涂,修改的被修改,刪除的被刪除。A通過訪問日志一查,在短短的一個(gè)小時(shí)內(nèi),同一個(gè)IP地址竟然有多大十幾個(gè)不同用戶名的訪問,而且執(zhí)行的就是修改與刪除的操作。后來經(jīng)過追查,原來有個(gè)部門的員工以為犯錯(cuò)誤被公司開除。他心懷不滿,就用這種手段來對(duì)公司進(jìn)行報(bào)復(fù)。還好,A事先有服務(wù)器備份,損失的只是當(dāng)天的文件修改數(shù)據(jù)。A馬上著手修改用戶的文件服務(wù)器訪問密碼,用戶的訪問密碼每個(gè)人都不一樣,并且只有A知道。同時(shí),對(duì)于用戶的相關(guān)權(quán)限,特別是修改與刪除權(quán)限,做了嚴(yán)格的限制。簡(jiǎn)單的說,對(duì)于文件的刪除與修改動(dòng)作,原則上只有文件所有人,即文件的創(chuàng)立者才可以修改與刪除。其他的,最多只有查詢的操作。這個(gè)意外事件,可把A嚇出了一身冷汗。

在文件服務(wù)器上,可以說保存這切要一切有價(jià)值的資料,包括公開的與不公開的。所以對(duì)文件服務(wù)器的安全管理至關(guān)重要。當(dāng)前,由于國內(nèi)中小型企事業(yè)單位大都選擇采用Windows架構(gòu)的服務(wù)器。雖然windows2003服務(wù)器可以通過事件查看器、設(shè)置文件夾訪問權(quán)限、安全日志等手段來限制共享文件訪問、審計(jì)共享文件、監(jiān)控共享文件訪問情況,但是,由于windows提供的方法只能通過限制本地用戶訪問權(quán)限、記錄本地用戶訪問共享文件的日志的情況來對(duì)共享文件進(jìn)行審計(jì),因此,無法區(qū)分共享文件究竟被局域網(wǎng)具體那個(gè)用戶訪問過,從而也無法定位、查找企業(yè)內(nèi)鬼,無法有效監(jiān)視共享文件的訪問情況,無法有效進(jìn)行共享文件的審計(jì)和取證,從而也無法有效保護(hù)共享文件、保護(hù)商業(yè)機(jī)密、保護(hù)公司重要文件的安全。
 

推薦閱讀】

設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

網(wǎng)絡(luò)安全管理技術(shù)未來發(fā)展趨勢(shì)

設(shè)備管理系統(tǒng)員如何通過預(yù)定義需求來精簡(jiǎn)RFP

系統(tǒng)管理員如何面對(duì)分工專業(yè)化

設(shè)備管理軟件軟件專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2025-10-17 20:48    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]

泛普設(shè)備管理系統(tǒng)其他應(yīng)用

員工管理軟件 工作日程管理軟件 門禁考勤系統(tǒng) 門禁管理系統(tǒng) 電話管理系統(tǒng) 設(shè)備管理系統(tǒng) 工單管理系統(tǒng) 設(shè)備管理系統(tǒng)免費(fèi)版 免費(fèi)工單管理系統(tǒng) 免費(fèi)日程管理軟件 日程管理軟件免費(fèi)下載 電話管理軟件下載 門禁管理系統(tǒng) 工單管理軟件