12306连曝6项低级漏洞 信息化管理勿轻技术多个低级错误,只能说明,在这个系统的规划中,对技术的忽视到了何等地步。信息化要服从于管理,但笔者以为,雷万云博士的话更加振聋发聩:“在企业规划中要有IT的思维才算得上是现代化企业的思维。” 而SQL注射等漏洞,乌云网站技术负责人认为,从安全的角度看,这样的漏洞有点简单和低级。“一般网站上线前,公司都会对系统进行系列的严格的测试,所以这种简单的错误和漏洞就会避免。12306曝出低级错误,说明缺乏这种检测措施。” 值得欣慰的是,从目前披露的资料来看,12306的系统开发方是中国铁道科学研究院,可谓学院派,发生低级错误虽然很难原谅,但情有可原。而在久经实战企业的CIO之中,便有很多明白人。 如河北钢铁集团唐山钢铁股份有限公司计控管理部部长袁志明说,企业信息部门既要懂得IT,也要懂得管理,未来需要二者的融合。他强调,企业有信息化,并不代表就是信息化的企业。 中国医药集团信息化专家组组长、中国医药集团总公司信息部主任雷万云博士说,“信息化战略规划不仅仅是简单的信息化技术规划,而是在明晰公司战略、充分理解管控模式、业务模式,总结、发现、分析管理和业务瓶颈问题,进而才去寻找信息化解决的途径。” 这仍然是信息化服从于企业战略规划的意思。然而,笔者以为,思维不能如此局限,雷博士上述表述后面的话更加振聋发聩:“在企业规划中要有IT的思维才算得上是现代化企业的思维。” 链接:12306系统被指本月连曝6项低级漏洞 综合媒体报道,国内漏洞报告平台“乌云”发布了一份名为 “12306漏洞一包裹”的漏洞指出,在国庆节前订票高峰期,12306也进入了漏洞频发高峰期。9月份以来12306出现了6个漏洞。 根据乌云网站统计数据显示,12306从今年2月份开始,除了6月和8月,每月都有漏洞报告。而在半个月前12306的确出现一个漏洞,称12306系统修改任意密码,有可能会导致订票人信息泄露。
从12306曝出的漏洞类型看,主要为SQL注射漏洞、账户体系控制不严、系统/服务运维配置不当、设计缺陷/逻辑错误,其中,SQL注射漏洞这一类型的漏洞最多的,比例达到78%。 这份低级漏洞报告,也让系统开发方中国铁道科学研究院浮出水面,因为12306所有的漏洞相关厂商都是该学院的名称。 目前,有很多学生和企业在设法为12306系统“减压”。京东商城的高级技术副总裁李大学表示要牵头成立12306开源项目组,不过他在微博中称此事系个人行为,与公司无关。 责编:罗信  微信扫一扫实时了解行业动态 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
