中小企业的信息安全管理真的太弱了

至少我见到的企业，对数据安全甚至是密码安全一点防范都没有，例如金某的财务软件，用某的财务软件，在部署的时候统一的 sa 密码（ MS SQLServer ），用户各种简单的管理员密码（公司电话）。

行政部门基本上都没有对信息安全做过重视（特别是密码安全）。

一些企业如果有专门部门管理的会好很多，例如中外合资企业，有专人管理，企业内布置 AD 集中管理的会好很多。

前阵子方程式爆的那个漏洞，敌对企业真想搞你的黑材料，简直太容易，那个笔记本走到公司附近的 wifi ，社工一下 wifi 密码。中小企业基本不更新 windows ，要怎么捅就怎么捅。

我这里是三线城市。 99%中小企业没有专业人员管理企业内部的信息安全。有的老板想看看员工上班干嘛，就买台深信服放在那里，算是企业信息安全咯。

而且这些老板根本没有意识，我觉得只有教训才能让他们觉醒。

楼主还是太年轻了，很多时候不是技术问题，而是需求问题。

一些政府机关也是，，，无脑注就能进管理系统了，，比如之前进过一个政府车辆信息管理系统，，，，，，

@Tunar 你这些事还是不要说出来比较好。

楼主让我们团队帮你重做吧 。绝对不是用开源的框架哦

现在很多企业都么有安全意识的

看到楼上一些 V 友在互相推脱责任，我们做黑产的打心底高兴！！！ 2333333 。

我觉得用开源的挺好啊，自己改起来也方便。。

不要和低端产品谈质量，也别和高端产品谈价格~~~

拿 java 来说， oa 最核心的工作流引擎只能拿来那几个开源的弄，而且还不一定玩得 6 。培训班出来的绝对搞不定。
然后就是比如 apache 的全家桶里的安全相关那些轮子，整合的好，安全性还是很强的。我不觉得原创的安全模块能和它们比，当然培训班出来的基本上也是玩不 6 的。

所以说， 3w 买来的 oa 确实是狗屎，不过就这点钱也只能买到这种程度的狗屎。

上一家公司，老板被一个刚入职的产品忽悠，花 70w 买了个 oa ，买来还不能直接用，夸海口 2 周上线，又招 java ，开发了半年，第二年过完年，这哥们就闪人了，走时 oa 还没上线不能用

安全性从来是这类面向中小型企业工程的一项次要考虑……
见过某所谓上市餐饮软件企业还在推荐客户们用 Microsoft SQL Server 2000 来当做数据库软件，并且密码明文存储……

因为他们有钱没文化

关键不在于公司本身，而在于负责这方面的人

多数人还是记不住密码的
当然我还见过密码是 SpicySushiRoll15!的，好奇他们维护的时候不会肚子饿么

楼主，要学会见怪不怪。

身在国企，信息安全很多方面都不堪入目。已经见怪不怪。

3 万好便宜啊。现在两三天弄出来的所谓 h5 都能给你报到 10 几万。

强密码+2FA 最好，可是最终用户会用么-。- 客户+开发商都不重视的结果

SMEs 能活下来就不错了，信息安全的问题绝对是比较次要的。一些东西 just works 就好。

Disclaimer: An owner of a very small business.