安全漏洞三:没有给文件服务器设置合理的权限
文件服务器的采用,确实给我们的工作带来了很大的方便。为此,我们不需要为每台电脑的文件备份而烦恼,我们也不用为系统崩溃导致重要文件丢失而头疼。确实,文件服务器的使用,对于企业信息化管理来说,是一个很大的进度,其在一定程度上,也体现了知识管理的内涵。
但是,我们在文件服务器管理上也存在一些安全漏洞。这些漏洞导致我们文件服务器存为了企业数据泄密的一个重大毒瘤。
如文件服务器没有设置查询权限。有些企业为了管理的方便或者缺乏一些有效的管理工具,把文件服务器上的文件对企业全部用户都是开放的,只是设置了只有具体的部门才能够修改,而对于查看的话,企业内部每个员工都可以查看。这就导致企业的保存在文件服务器上的一些机密信息,员工可以轻松的访问到。如一些产品的不同供应商之间的报价信息,若企业有名员工跟某个供应商有稍微一点关系,则这个员工就可以把这个报价信息泄露给供应商,而这个供应商就可以以这个报价表为基础,报一个更有利的价格。如此的话,企业就会失去在价格管理上的主动权。同时,对于其他供应商来说,也失去了公平竞争的权利。
除了这个权限之外,在用户名与密码管理上,也存在这一些缺陷。如对于每个部门设置一个用户名,但是,密码的话,都是一致的。如此的话,一些对企业心存不满的员工,知道他人的用户名之后,就可以假借他人的用户名而登陆到文件服务器上,进行一些破坏动作。如文件的恶意删除与修改等等。我在这方面有一个惨痛的教训。那是我在一家企业中,负责企业的文件服务器的相关工作。那时候,我为了贪图方便,我给每个用户设置了一个用户名,用户名为他们员工编号;而密码的话,也跟他们的员工编号一样。一天,员工像我反映,他们文件服务器上的文件被改的一塌糊涂,修改的被修改,删除的被删除。我通过访问日志一查,在短短的一个小时内,同一个IP地址竟然有多大十几个不同用户名的访问,而且执行的就是修改与删除的操作。后来经过追查,原来有个部门的员工以为犯错误被公司开除。他心怀不满,就用这种手段来对公司进行报复。还好,我事先有服务器备份,损失的只是当天的文件修改数据。虽然如此,但是,也吓了我一跳。我马上着手修改用户的文件服务器访问密码,用户的访问密码每个人都不一样,并且只有我知道。同时,对于用户的相关权限,特别是修改与删除权限,做了严格的限制。简单的说,对于文件的删除与修改动作,原则上只有文件所有人,即文件的创立者才可以修改与删除。其他的,最多只有查询的操作。这个意外事件,可把我吓出了一身冷汗。
在文件服务器上,可以说保存这切要一切有价值的资料,包括公开的与不公开的。所以对文件服务器的安全管理至关重要。对此,我有几个建议。
1、针对不同的员工,设置不同的用户名与密码。并且,密码的话,最后员工不需要知道。我们在给他们进行系统配置的时候,可以让操作系统自动记住密码。如此的话,在用户进行服务器登陆操作时,不会因为输入密码而泄露。如此的话,其他员工就不能在其他电脑上利用别人的用户名访问文件服务器。
2、对于用户文件访问的权限要严格限制。特别是对于修改与删除的权限,要有特殊的限制。一般来说,只有文件的主人才能够进行删除与修改动作。如此的话,可以保障文件的统一性。文件是否被修改或者删除,文件的主人都知道。这对于文件服务器的安全来说,尤其的关键。若文件的主人都不知道文件什么时候被更改的,被修改了什么内容,那么不是很危险?万一被修改了机密数据,那么就可能给员工自己与企业造成很大的损失。
3、对于文件执行安全级别的管理。如一些对于全公司公开的文件,如公司的管理制度,常用到的表单如费用报销单之类的,这些公开的信息,最好能够设立一个专门的文件夹,用来存放这些类似通知的文件,当然,权限上,一般用户来说只有查询权限。同时,按文件重要性的部门,可以分为部门专用文件、管理层共享文夹等等。通俗的说,沿用国家对于信息安全的制度。如保密级别为五星级的文件,只有高层管理员才能查看,而保密级别为一星级的则只有部门内部可以查看,没有保密级别的,全体员工都可以查看。根据企业对于安全的需求,可以设置不同的级别。在文件创建的时候,文件创建这就要设置具体的安全级别。然后我们要做的就是根据他们设置的安全级别,赋予其对应的权限。
安全漏洞四:没有采用企业级的杀毒软件
根据我的了解,有很多企业,无论是大型企业,还是中小型企业,都没有部署企业级别的杀毒软件。而真是这些企业,每次病毒横行的时候,如熊猫烧香病毒泛滥的时候,他们都不能够兴免与难。
为什么我强烈要求部署企业级别的杀毒软件,而不赞成使用单机版的杀毒软件呢?
一方面,企业级别的杀毒软件,我们可以安排统一升级。在采用单机版的杀毒软件的时候,虽然其也有定时升级的功能,但是,员工有时候,会因为升级会导致系统速度变慢等原因,所以,会把定时升级的功能关掉。这使得杀毒软件没有按时完成升级,给病毒有了可乘之机。
