发现一个内部安全漏洞

访客:19794  发表于:2012-09-28 12:10:04

内部资料上传下载平台,竞然用网站地址可直接访问,不用任何密码,大漏洞。特别是对于离职人员如知道地址,如去了竞争对手那边,仍可以取得资料。刚才和一个技术主管交流这个问题,他竞然说这些资料也没什么,没什么问题,好奇于他的平静(他是负责这方面的)。我质问他,这个也没问题?--如用专业FTP工具,是需要帐号和密码的。

还有一个问题,大家对于系统权限管理是怎么做的,一般员工离职不会直接通知我们的。如果是我直接管区的,我会做权限变更,其它的就不知道了,如何管理离职员工帐号问题呢

评论(8)

您可以在评论框内@您的好友一起参与讨论!

    1. xcg128 接触过一些国企,从设计上来说,科级包括一下单位人员来说,内部外部网其实只不过是用来限制员工上网。所谓的保密对他们来说,并不是主要作用。

      回复[0] 2012/10/09 11:04

    1. 陈冠宇 岗位权限制 替代用户名权限制 利用技术手段来证明技术主管是错误的!不过这样不和谐啊

      回复[0] 2012/09/28 16:39

    1. 石娜娜 离职人员的帐号不都是会取消么?流程管理很重要,细节不容忽视啊

      回复[0] 2012/09/28 15:00

    1. 姜稳 嗯,昨天发多系统下的账户权限http://www.cio.com.cn/eyan/view/17249这篇帖子的时候还在想是不是太专了,不符合大家的口味,看来这是个普遍的问题啊!呵呵

      回复[0] 2012/09/28 14:50

    1. 罗昱宇 流程管理很重要。行政手段在这个时候会起关键作用

      回复[0] 2012/09/28 14:38

    1. 郭伟 很少会这样啊,流程化管理,必须取消相关权限才能完成签字流程,流程不是形式,而是坚决有力的执行啊!!!你现在怎么管理呢?

      回复[0] 2012/09/28 14:24

    1. 徐春光 离职流程里面如果有你们签字确认,就什么都好办了。 还是管理流程问题啊。体系建设重中之重!

      回复[0] 2012/09/28 12:29

    1. 徐蕊 对于离职人员,不都取消任何权限了吗?

      回复[2] 2012/09/28 12:16

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");