12306连曝6项低级漏洞 信息化管理勿轻技术

来源:IT专家网  
2012/9/29 10:14:39
多个低级错误,只能说明,在这个系统的规划中,对技术的忽视到了何等地步。信息化要服从于管理,但笔者以为,雷万云博士的话更加振聋发聩:“在企业规划中要有IT的思维才算得上是现代化企业的思维。”

而SQL注射等漏洞,乌云网站技术负责人认为,从安全的角度看,这样的漏洞有点简单和低级。“一般网站上线前,公司都会对系统进行系列的严格的测试,所以这种简单的错误和漏洞就会避免。12306曝出低级错误,说明缺乏这种检测措施。”

值得欣慰的是,从目前披露的资料来看,12306的系统开发方是中国铁道科学研究院,可谓学院派,发生低级错误虽然很难原谅,但情有可原。而在久经实战企业的CIO之中,便有很多明白人。

如河北钢铁集团唐山钢铁股份有限公司计控管理部部长袁志明说,企业信息部门既要懂得IT,也要懂得管理,未来需要二者的融合。他强调,企业有信息化,并不代表就是信息化的企业。

中国医药集团信息化专家组组长、中国医药集团总公司信息部主任雷万云博士说,“信息化战略规划不仅仅是简单的信息化技术规划,而是在明晰公司战略、充分理解管控模式、业务模式,总结、发现、分析管理和业务瓶颈问题,进而才去寻找信息化解决的途径。”

这仍然是信息化服从于企业战略规划的意思。然而,笔者以为,思维不能如此局限,雷博士上述表述后面的话更加振聋发聩:“在企业规划中要有IT的思维才算得上是现代化企业的思维。”

链接:12306系统被指本月连曝6项低级漏洞

综合媒体报道,国内漏洞报告平台“乌云”发布了一份名为 “12306漏洞一包裹”的漏洞指出,在国庆节前订票高峰期,12306也进入了漏洞频发高峰期。9月份以来12306出现了6个漏洞。

根据乌云网站统计数据显示,12306从今年2月份开始,除了6月和8月,每月都有漏洞报告。而在半个月前12306的确出现一个漏洞,称12306系统修改任意密码,有可能会导致订票人信息泄露。

从12306曝出的漏洞类型看,主要为SQL注射漏洞、账户体系控制不严、系统/服务运维配置不当、设计缺陷/逻辑错误,其中,SQL注射漏洞这一类型的漏洞最多的,比例达到78%。

这份低级漏洞报告,也让系统开发方中国铁道科学研究院浮出水面,因为12306所有的漏洞相关厂商都是该学院的名称。

目前,有很多学生和企业在设法为12306系统“减压”。京东商城的高级技术副总裁李大学表示要牵头成立12306开源项目组,不过他在微博中称此事系个人行为,与公司无关。

共2页: [1]2 下一页
责编:罗信
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918