论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2002-11-05 13:34 |只看该作者 |倒序浏览

在某一单位采用了用友财务软件的U8系统，数据库采用的是sql，财务部门拥有自己的win2000域服务器和自己的ip地址段118.*.*.*，公司同时也有一个域，用的ip地址段是192.168.0.*，公司的域中有一路由器提供全公司的上网服务。两个域有一个路由器来实现两网之间的连通。用友财务系统主要使用人员包括财务人员和仓库人员，在地理位置上，财务与仓库的距离比较远。\r\n\r\n在初步检查中发现，sql的sa密码由于用友安装人员图省事，直接是个空密码。据说如果更改密码，原来的数据需要重新导入之后才可以被用友使用。\r\n\r\n对于上述情况，大家认为应该如何来解决其信息安全问题，同时请对用友比较了解的人能否对用友的有关安全设置方面提出些建议供大家参考。

Richard_Chen

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2002-11-05 22:09 |只看该作者

hehe...首先最明显也是最要命的问题就是那SA居然是空密码！用友U8系统我不熟悉，但是我相信国内挺牛X的软件，从软件本身来讲应该不会有这么大问题，问题应该出在安装人员身上。要做的第一件就是把SA加上一个安全密码。\r\n “据说如果更改密码，原来的数据需要重新导入之后才可以被用友使用。”难道U8在运行过程中需要用SA去接数据库？不太可能。我想总会有地方可以设置连接用户的地方。把连接用户更改成别的用户。至于说原来的数据找不到，很有可能是数据库角色的问题，更改一下角色应该就可以解决问题。\r\n 其它问题，jinzhi没有写详细，不太好说。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dalangui

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2002-11-06 17:45 |只看该作者

黑洞！

最初由 Richard_Chen 发布\r\n[B]hehe...首先最明显也是最要命的问题就是那SA居然是空密码！用友U8系统我不熟悉，但是我相信国内挺牛X的软件，从软件本身来讲应该不会有这么大问题，问题应该出在安装人员身上。要做的第一件就是把SA加上一个安全密码。\r\n “据说如果更改密码，原来的数据需要重新导入之后才可以被用友使用。”难道U8在运行过程中需要用SA去接数据库？不太可能。我想总会有地方可以设置连接用户的地方。把连接用户更改成别的用户。至于说原来的数据找不到，很有可能是数据库角色的问题，更改一下角色应该就可以解决问题。\r\n 其它问题，jinzhi没有写详细，不太好说。 [/B]

\r\n\r\n用友应该好好反省一下了，这样子蒙用户，迟早有一天把自己也给蒙了；

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

wuyuanya

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2002-11-06 22:23 |只看该作者

交流

从我公司的财务软件来看，上述问题可能在初始化设置时存在。\r\n目前我公司下属将近50个单位用浪潮公司开发的软件，询问技术支持人员，没有上述情况；原先使用的基于SYBASE平台的软件也没有SA将密码置空数据库调整的问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

jinzhi

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2002-11-07 08:42 |只看该作者

从目前公司的角度来看，财务信息应该是一比较敏感的信息，在其他安全措施没有部署的情况下，应该考虑与其他公司机器物理上的隔离。\r\n\r\n该公司可以考虑在路由器上设置策略来实现仓库对财务数据的访问和限制其他用户的访问财务数据服务器的能力。或者通过防火墙来实现这些限制。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Fenng

家境小康

论坛徽章:: 0

6楼 [报告]

发表于 2002-11-07 14:23 |只看该作者

不光用友，国内很多公司的工程师在实施的过程中都是这样的，根本没考虑到安全性．

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Richard_Chen

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2002-11-08 19:42 |只看该作者

最初由 jinzhi 发布\r\n[B]从目前公司的角度来看，财务信息应该是一比较敏感的信息，在其他安全措施没有部署的情况下，应该考虑与其他公司机器物理上的隔离。\r\n\r\n该公司可以考虑在路由器上设置策略来实现仓库对财务数据的访问和限制其他用户的访问财务数据服务器的能力。或者通过防火墙来实现这些限制。 [/B]

\r\n\r\n从物理上或从路由上进行隔离这是一方面，这些隔离从OSI上来讲是三层以下的隔离，这可以解决一部分安全问题。但是一些应用层上的安全问题光些措施就不够了。该CASE中，首先要解决的问题就是那个SA空口令问题，另外就是检查操作系统的安全问题和数据库的软件本身安全性问题，该打的补丁有没有打，如果这些问题得不解决的话，那么该财务系统也就存在着有人可以利用这些系统漏洞来跨过财务软件本身的权限设置的安全问题，看到不该看的东西，换句话说，如果拿到SA的密码或数据库DBO的密码，那么他就可以看到本应只有董事长和财务经理才能了解的信息了，那后果可想而知...