云oa系統(tǒng)管理員常犯錯(cuò)誤總結(jié)

人類(lèi)的出現(xiàn)對(duì)于大自然的影響是非常大。在信息化建設(shè)過(guò)程中，隨按提倡自動(dòng)化運(yùn)行。但是人為的操作影響仍然是第一位。在這里我們就總結(jié)了幾個(gè)手機(jī)日程管理軟件管理員常犯錯(cuò)誤，希望對(duì)大家有所幫助。

某管理資訊保安服務(wù)商對(duì)過(guò)去幾年里危害程度比較深的90個(gè)安全漏洞進(jìn)行了一次系統(tǒng)分析，發(fā)現(xiàn)與這90個(gè)安全漏洞相關(guān)的“犯案”記錄竟然高達(dá)2.85億條，驚人的數(shù)字，不是嗎？其中大多數(shù)重頭案件都涉及有組織犯罪，比如非法登錄一個(gè)未加保護(hù)安卓日程管理，并竊取信用卡資料、社會(huì)安全號(hào)碼或其他個(gè)人身份信息等等。

　　而令人驚訝地是，這些安全漏洞大多是由于手機(jī)日程管理軟件員沒(méi)有對(duì)自己負(fù)責(zé)的安卓日程管理系統(tǒng)，尤其是非關(guān)鍵服務(wù)器采取明顯的防護(hù)措施造成而造成的。

　　“根本原因就在于手機(jī)日程管理軟件員沒(méi)有做好最基本的工作，就這么簡(jiǎn)單。” Verizon Business技術(shù)創(chuàng)新部副總裁Peter Tippett說(shuō)，Tippett是安全領(lǐng)域的權(quán)威人士，從事安全漏洞審計(jì)工作長(zhǎng)達(dá)18年之久。

　　在Tippett的幫助下，我們總結(jié)了以下手機(jī)日程管理軟件管理員常犯錯(cuò)誤的清單，這些錯(cuò)誤將直接導(dǎo)致安卓日程管理一片混亂并導(dǎo)致嚴(yán)重的安全漏洞。針對(duì)每個(gè)錯(cuò)誤，我們給出了最簡(jiǎn)單的解決方案，希望能眾多手機(jī)日程管理軟件員有所幫助。

　　1.未更改安卓日程管理設(shè)備的缺省密碼

　　“我們發(fā)現(xiàn)，很多企業(yè)的服務(wù)器、交換機(jī)、路由器以及其它安卓日程管理設(shè)備都使用缺省密碼---通常是‘password’或‘admin’，這是多么令人難以置信。” Tippett說(shuō)。“大多數(shù)CIO們認(rèn)為，這個(gè)問(wèn)題不可能發(fā)生在他們身上，而事實(shí)則恰恰相反。”

　　為了避免這個(gè)手機(jī)日程管理軟件管理員常犯錯(cuò)誤，你需要對(duì)你安卓日程管理中的每一臺(tái)安卓日程管理設(shè)備進(jìn)行一次徹底的漏洞掃描，而不僅僅是核心或關(guān)鍵設(shè)備，Tippett說(shuō)。然后修改每臺(tái)設(shè)備的缺省密碼。根據(jù)Verizon Business的研究結(jié)果，在過(guò)去的一年中所發(fā)生的安卓日程管理侵害案件中，有一半以上是由于某個(gè)安卓日程管理設(shè)備使用缺省密碼而給犯案人員留下了可乘之機(jī)。

　　2. 多臺(tái)安卓日程管理設(shè)備“共享”同一個(gè)密碼

　　企業(yè)的IT部門(mén)常常對(duì)多個(gè)服務(wù)器使用相同的密碼，并且很多人都知道這個(gè)密碼。就密碼本省而言，它的安全性可能非常高---一個(gè)數(shù)字和字母的復(fù)雜組合，但是，一旦它被多個(gè)系統(tǒng)共享，那么所有這些系統(tǒng)都處于危險(xiǎn)之中。

　　例如，某個(gè)知道這一“通用”密碼的人離職了，而他很有可能在新公司還是使用同一密碼?；蛘吣硞€(gè)負(fù)責(zé)部署非關(guān)鍵系統(tǒng)比如數(shù)據(jù)中心冷卻系統(tǒng)的外包人員，很有可能對(duì)其負(fù)責(zé)的所有客戶(hù)的所有系統(tǒng)使用相同的密碼。在這些情況下，如果密碼被某個(gè)黑客得到，那么他就可以進(jìn)入許多服務(wù)器并且造成很大的破壞。

　　Tippett說(shuō)，企業(yè)IT部門(mén)需要制定一個(gè)流程---無(wú)論是自動(dòng)還是手動(dòng)---以確保服務(wù)器密碼不會(huì)在多個(gè)系統(tǒng)之間共享，并且還要定期更換，這樣才能保證密碼安全。最簡(jiǎn)單也最有效的辦法就是專(zhuān)門(mén)找一個(gè)人負(fù)責(zé)保管企業(yè)目前服務(wù)器的所有密碼。

　　3.未能有效找出Web服務(wù)器的SQL編碼錯(cuò)誤

　　根據(jù)Verizon Business的研究結(jié)果，最常見(jiàn)的黑客攻擊是對(duì)連接到Web服務(wù)器的SQL數(shù)據(jù)庫(kù)的攻擊，這大約占到了研究記錄的79%。而黑客侵入這些系統(tǒng)的方式是利用Web表單提交一個(gè)SQL命令。如果表單的編碼是正確的，那么它是不會(huì)接受SQL命令的。但是，有時(shí)開(kāi)發(fā)人員的編碼食物就可能“創(chuàng)造”所謂的SQL注入漏洞，黑客可以一用這些漏洞直接從數(shù)據(jù)庫(kù)中查詢(xún)他們所需要的信息。

　　Tippett說(shuō)，避免SQL注入攻擊的最簡(jiǎn)單方法就是運(yùn)行一個(gè)應(yīng)用防火墻，首先把它設(shè)置為“學(xué)習(xí)”模式，以便能夠觀察用戶(hù)如何把數(shù)據(jù)輸入字段中，然后將該應(yīng)用防火墻設(shè)置為“操作”模式，這樣SQL命令就不能“注入”字段中了。SQL編碼問(wèn)題十分普遍。“如果一個(gè)企業(yè)對(duì)自己的100臺(tái)服務(wù)器進(jìn)行測(cè)試，它們可能會(huì)發(fā)現(xiàn)其中90臺(tái)有SQL注入問(wèn)題。” Tippett說(shuō)。

　　通常情況下，企業(yè)僅僅解決了核心服務(wù)器的SQL注入漏洞，但是他們忽略了很重要的一點(diǎn)：黑客往往是通過(guò)非關(guān)鍵系統(tǒng)進(jìn)入到他們的安卓日程管理的。Tippett建議手機(jī)日程管理軟件員利用訪(fǎng)問(wèn)控制列表對(duì)安卓日程管理進(jìn)行劃分，限制服務(wù)器同非重要設(shè)備的通訊。這樣就可以有些地防止黑客利用一個(gè)小小的SQL編碼錯(cuò)誤非法獲取數(shù)據(jù)。

        希望我們以上總結(jié)的這三點(diǎn)手機(jī)日程管理軟件管理員常犯錯(cuò)誤，能對(duì)大家起到一定的幫助。

　　【推薦閱讀】
◆手機(jī)日程管理軟件管理服務(wù)發(fā)展方向剖析

◆企業(yè)手機(jī)日程管理軟件管理水平應(yīng)當(dāng)如何提高
◆手機(jī)日程管理軟件管理軟件衡量標(biāo)準(zhǔn)評(píng)析

◆手機(jī)日程管理軟件管理應(yīng)用技巧解決管理人員難題