问题
我们开发了一款软件系统,基于WEB版运行,代码是python,php,库是mysql。有没有比较好的建议与设置来保障全系统的安全性,不至于因为员工问题而发生严重的泄密事故。
或者有无关于此的参考学习文档?
感谢。
这个话题使我想起了,网络安全最大隐患是网管这句话~~~~
权限要做到极致的细。
避免代码与系统泄密,这个如果是代码泄露的话,一般就两种吧,员工泄露不然就是被人用python扒了吧。员工泄露的话不是都有保密协议嘛,都是员工泄露的话应该是违法吧
启用密码保护
把代码装进一个文件夹里,把这个文件夹密码保护
全都是开源的,严格意义上来说,防不住,如果有员工想泄密,只能做好控制,能接触到核心代码的,有权限操作服务器的
一个系统很大,要担心泄密的部分,其实没有那么多。
如果真有什么核心模块核心技术,可以划出特定的人员管理,分清接触权限,明确责任人。还可以进一步,比如这种功能放在了特定的房间特定的电脑,房间有摄像头,要专门门卡才能进去,要特定密码才可以使用,使用过程要记录以供以后查看。
至于数据泄密,这个范围就大了。
比如网站被黑客入侵,这个问题应该不大,只要不是老旧系统技术,黑客想入侵并不容易。密码等关键数据的网络传输上做好防范。硬件上,wifi,开发电脑最好都是专用,不要乱连乱安装软件
比如员工把数据出卖给其他人。如果你公司真有这种让人垂涎的数据,就要设置接触这种数据的权限,专员管理。明确了责任人,出了问题他也逃不掉,这就形成了威压态势,让员工不敢这么做。最忌管理混乱,让员工觉得可以浑水摸鱼。
比如系统功能的实际开发成本,耗费时间,这些数据有的时候不适合让客户知道,但某些菜鸟需求就是不小心泄漏了,给公司带来一些难题。一定要加强培训,所谓培训应该是有计划的不定时突击培训,提高警惕,保持战斗力。
比如功能性问题导致权限错乱,低权限人看到了高权限的数据,这种情况只能在上线前加大测试力度。在保证功能没问题的前提下,要测试人员针对性地进一步回答几个问题,1.是否存在关键数据,关键数据是否会被不合法的人看到?2.关键数据是否存在保存失败、丢失的情况。
真要细说起来,一个系统很多细节要注意,但人力有穷时,通知式启发式的管理只是一阵风,不能长久。能嵌入操作流程的管理才有生命力