中小企业的信息安全管理真的太弱了

今天和一个大学师兄通话
他开了一个知识产权代理公司（代为申请专利和商标什么的），公司30多人了
他们找了个外包公司做了一个后台管理系统，
结果我一看，你们猜怎么着？

1 、管理员密码是 6 个 1
2 、联系人和业务案件详细内容，堆在后台，一览无余
3 、这个破系统一看就是用某个开源框架搭起来的，功能残缺，至于漏洞和安全性，简直就更不用说了

我也是射了，实在无力吐槽，而且就这么一坨狗屎，还花了 3 万， 2 个月工期延期到 4 个月。。。。。

现在外包的钱这么好赚么？

PS：搞了半天，这密码是6个1的账号，还是一个超级管理员账号。。。。。

wwc

2017-04-23 21:07:38 +08:00

不很正常吗，有的为企业用 DZ 搭个论坛还要 5W 呢。

davidzhanwork

2017-04-23 21:07:43 +08:00

你以为大企业就好了么？

非互联网行业感觉还是很糟糕

helica

2017-04-23 21:09:06 +08:00

感觉信息安全市场还有待开发

visonme

2017-04-23 21:09:13 +08:00

不懂技术的碰上了外包被坑点也是正常的，大多数中小企业不会注重网站的安全问题的。
如果是程序本身的安全问题，作为外包开发者这么轻易的对待，却是对客户太不负责了。

3W 做个后台系统，其实并不贵了，我们团队很多客户的项目也都是基于开源框架打造的，唯一不同我们有形成一套自己的开发框架。

你描述，只能说你朋友真的被人坑了，而且者坑的 3W 有点贵了

ericgui

2017-04-23 21:11:27 +08:00

@visonme 用开源框架搭起来，没毛病。但这明显是欺负人不懂技术嘛。你说连一点权限管理的概念都没有，而且这个系统直接连接微信，用户可以直接查询自己的案件的进度等信息。这尼玛连个 API 都不做，直接可以查。太他妈容易出事了。

echo1937

2017-04-23 21:11:57 +08:00

简单来说，要是你师兄找你签合同，做个后台管理系统，带点简单的售后服务，你开多少钱？

至于安全嘛，我见识过 2 个 500 强， root 密码是第一排+第二排。

visonme

2017-04-23 21:13:04 +08:00

补充下，楼主应该说明下，你口中的安全问题是指程序本身的安全问题还是服务器的安全问题，两者区别是很大的，大多数开发者是只会去处理些常见的程序安全问题，而不会太多考虑服务器安全这块的。

同时很多中小企业不太注重安全是个事实，而如果要做安全，相对成本也高，所以很多企业外包项目，基本都不会在需求中提到安全问题，更多集中在功能性需求上，这点我觉得欧美那边的中小企业会跟注重些，国内的碰过几个基本都是死磕功能的。

ericgui

2017-04-23 21:13:43 +08:00

@echo1937 这不是钱的事。至少不要把业务信息搞得这么容易泄露出去。超级管理员账号密码是 6 个 1 ，这个后台直接连接微信，用户可以直接查询。好歹弄个可以返回 JSON 数据的 API 啊，然后微信后台简单开发一个小框架，从 API 获取客户数据，展示到微信。对吧，这个思路好歹稍微安全一点吧？

visonme

2017-04-23 21:15:08 +08:00

@ericgui 所以说你的朋友被坑了，开发者也不厚道，基本的安全问题还是需要为客户考虑的

thinkif

2017-04-23 21:15:52 +08:00

光说密码这事儿吧，很多情况下开发商做完后演示的时候都会是弱密码，交付后有点责任心的就会提醒客户一定要改密码，但无论是否提醒客户，客户那边都很少改，有的是因为不知道改，有的是懒得改，他们很多人都觉得“黑客攻击我这么个小公司有啥用”。有时你好意为他设置了强密码，他还会要求改成简单点的吧，记不住。。。

ericgui

2017-04-23 21:18:13 +08:00

@thinkif 密码弱了的话，对超级管理员是不是可以设置一个短信二次验证呢？反正增强安全性的方案有很多，但这公司基本一点不为客户考虑。纯粹糊弄人。

ericgui

2017-04-23 21:19:38 +08:00

@echo1937 现在一般报价是多少呢？

gen900

2017-04-23 21:20:09 +08:00

才 3 万？我以为 30 万被坑了呢。
3 万弄个信息系统不用开源框架？自己从头开发一个？ 3 万刀也打不住啊。

脱离需求和预算评价软件就是刷流氓。你让人家一个小公司为了一个安全性不那么高的系统上全套安全措施？行啊加钱呗， 3 万刚好够咨询费，实施另算。

再说了一个内部使用的系统账号简单一点说不定是老板的要求呢。你给设个大小写符号数字混合的密码？别逗了。退一万步说，账号密码是可以修改的啊。默认密码是否安全和系统本身的安全完全不是一回事吧。

你认为不合理的事，很可能是最符合客观规律的。不信你试试改进一下

ericgui

2017-04-23 21:22:50 +08:00

@gen900 这系统，里面包含了全部的客户名单和联系方式，以及每一个客户的专利申请信息和进度。这个安全性要不要提高一些呢？ 3 万或许少了，但这也明显太糊弄人了吧？

MrMario

2017-04-23 21:23:07 +08:00

标题说好了是安全管理，怎么后面扯应用系统开发上去了？

Weixk

2017-04-23 21:24:16 +08:00

这个是不是外包的公司再外包给学生做的。在学校遇到过这种情况，而且价位也差不多的。

ericgui

2017-04-23 21:24:43 +08:00

@MrMario 某专利代理公司的后台系统的信息安全

ericgui

2017-04-23 21:25:32 +08:00

@Weixk 几乎可以肯定是包给某个学生或者半吊子实习生做出来的

shakoon

2017-04-23 21:26:20 +08:00

楼主看来是没在大企业呆过，哈哈哈哈

gen900

2017-04-23 21:31:05 +08:00

@ericgui 还是那句话。也许这就是客户需求，甲方自身流程制度上还没到你说那个程度。系统复杂一点（安全和易用总是互相取舍的）客户不乐意。

我遇到很多次客户忘记密码要我后台看下的，解释很多次都是加密的看不到。结果客户说不用加密这样不就可以在我需要时候帮我看看密码了吗？再一个如果我想登陆某个员工的账户，密码都加密了不就看不到了吗？……

你看我们自认为替客户考虑周到的地方并不是客户需要的，反而是使用上的障碍。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/356829

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.