iT邦幫忙

0

關於把公司網站當雲端使用

各位大師好~
我們部門有一個同事很喜歡把公司網站當雲端使用
她常常會為了方便修改把外包的網頁設計PSD原始檔或是AI檔直接就放到網路上
就算跟她說過原始檔不能放到公開的網路上她也沒有改善
於是變成我每天檢查網站活動的時候看到再手動刪掉

這兩天我在察看網站活動時
發現網站內多了一個中文字的資料夾
裡面有很多幾十MB的圖片檔案(都是3000px以上的尺寸)
一問之下才知道她為了拿檔案方便叫負責找圖的人放的...

我想她可能覺得只要不要讓別人發現位置也不會造成多大的嚴重性(資料外流之類的吧)
然後今天跟主管反應的時候主管也問了我"為什麼不能放?"
這讓我有點疑惑...
我一直都覺得不能把過大的檔案放到伺服器內
過去是因為伺服器容量有限制的關係
但公司的伺服器有1TB的容量...沒有容量限制的問題

這樣一來...其實我也不知道該怎麼說不要把伺服器當雲端用
所以我想問問各位有什麼比較好的說法可以說服她們或是其實把伺服器當雲端用是OK的?

看更多先前的討論...收起先前的討論...
ayu iT邦好手 3 級 ‧ 2019-11-06 04:11:00 檢舉
問題不在容量, 而在資安.

公司與客戶的往來文件會放在門口嗎?
把公司網站(官網)當私人雲端使用像話嗎?
客戶資料外洩會有什麼後果? 想死一次看看嗎?
你的主管可能沒相關實務歷練? 也可能想考驗你的反應.

總之, 公私要分明, 資安要小心, 不該讓事情爆發後再收拾爛尾.
若確實有雲端硬碟需求應另做規劃, 不可貪一時方便造成重大損失.
我覺得問題產生者會被解決.....
版主要小心...
hsiang11 iT邦好手 1 級 ‧ 2019-11-06 09:52:39 檢舉
你們公司沒有NAS存放檔案嗎? 如果隨便放檔案到web也會造成備份肥大 非常浪費時間,
其實這種事情倒也不少
開發前後端的人,很多都會因為測試或改版需求
就把舊版資料夾或舊版資料庫改個名稱就保留下來
然後就不刪除了 使用習慣非常的差
然後過了幾年之後接手的IT一問 根本沒人知道那些檔案有沒有用
很多前人可能離職或自己也忘了 一些垃圾檔案就一直放在那
小魚 iT邦大師 1 級 ‧ 2019-11-06 11:10:05 檢舉
這個話題很熱門.
player iT邦大師 1 級 ‧ 2019-11-06 14:04:10 檢舉
你不如先徵詢主管的同意後
找套OpenSource的放檔案用的網站套件來裝(當NAS用)
至少可以做到讀寫檔案的權限控管
newkevin iT邦高手 1 級 ‧ 2019-11-06 18:37:47 檢舉
比較好的說法
1 客戶電腦中加密病毒或清空電腦病毒
2 客戶不知中毒 把檔案放網站雲端
接下來 看是事實 還是誇大 隨便你
把各部門損失 ....
分救回來. 救不回來......
表格給老闆 當事者..簽字.
證明你告知
謝謝各位的意見~主管是希望我能有一個讓同事心服口服的說法
所以才會問我"為什麼不能放?"讓我去想想我該怎麼去說服對方
畢竟我們的職位是平等的 她也不是我的助理沒有道理要聽我的
而主管不懂網站 所以有時候跟同事說不能這麼做
反而會被同事提的一些反駁問題變得不知所措

喔~對了~公司是有架設內部網路硬碟的。
通常我們作業的時候要傳檔案或是建檔都是放在裡面
(我進去這間公司的時候就是這樣了 同事進來的時候我們也有教她)
每個部門的硬碟是有做存取限制 這部分可以說是很完善了
ninja iT邦研究生 3 級 ‧ 2019-11-07 09:09:48 檢舉
權限能鎖嗎?還是他也是IT?
7
mytiny
iT邦大師 1 級 ‧ 2019-11-05 23:36:51
最佳解答

主管也問了我"為什麼不能放?"

真的!無知最可怕!
檔案能隨意放在公開網站取用,難道不怕被入侵
不過貴主管無知不代表樓主也要自我蒙蔽

先從法律面講起
我國在電腦資料方面相關的
就有新頒的資訊安全法
還有營業秘密法以及個資法
歐盟還有GDPR等等都有相關規定與罰則
如先前所知貴公司有網站銷售商業行為
再加上曾經被全球無數IP位置攻擊(不知解決沒)
不得不說貴公司主管心臟非常大顆

就算雲端的功能也是有區分用途的
公開的網頁與資訊應該放在DMZ區
如果為了存取檔案方便
應該另設FTP或File Access等經由VPN等認證程序後存取
兩者之間不能直接互通存取
Web Application Firewall是最基本配備
這些在下的淺見都是一些基本的資安觀念
樓主您再多參考看看

非常謝謝大家提供的寶貴意見
最後還是用法律嚇到他們了...
而且這件事我越過了主管直接向經理報告...(越級告狀)
所以經理直接下令禁止

3
小魚
iT邦大師 1 級 ‧ 2019-11-05 22:49:48

主管沒意見就算了,
反正除非網管有在管,
外流也查不到,
不知道就沒事了.

不能把過大的檔案放到伺服器內

這個主要應該是說網站的載入速度會變慢吧,
但是你那些圖片又不是網頁要用的,
不會影響到.

我覺得主要是安全的考量吧,
反正資料被撈走也沒人知道,
不用太擔心.

小魚 iT邦大師 1 級 ‧ 2019-11-06 14:33:56 檢舉

其實,
主管只是問你 "為什麼不能放?"
沒有說他覺得可以放,
你有試過客觀分析嗎?
你可以客觀分析順便留證據,
出了問題就沒你的問題了.

我明白主管的用意
她希望我能有一個比較完整的說法才能說服同事
因為她檔案到處亂放其實也不是第一次了...
要她不要這樣做 首先要有足夠的理由去讓她心服口服
主管也是知道的...所以才這麼問我

3
阿展展展
iT邦好手 1 級 ‧ 2019-11-06 04:45:45

https://ithelp.ithome.com.tw/upload/images/20191106/20119546IfkAIgo2s9.jpg
https://ithelp.ithome.com.tw/upload/images/20191106/20119546047kAATDNI.jpg
-~-~-~-
一個 FTP 可以解決的事情
搞得似乎好像有點嚴重
貴單位....恩...

4
海綿寶寶
iT邦大神 1 級 ‧ 2019-11-06 08:57:11

所以我想問問各位有什麼比較好的說法可以說服她們或是其實把伺服器當雲端用是OK的?

我提供三個說法,你可以自己選一個喜歡的
1.說服主管
有另一個做法,不用多花一毛錢建置,資安比現在更好,跟現在一樣方便,建議更換做法
有另一個做法,不用多花一毛錢建置,資安比現在更好,不過比現在麻煩一點點,建議更換做法
2.說服使用者
有另一個做法,讓你比現在更方便,要不要換?
有另一個做法,跟現在一樣方便,但是比現在要安全一些,主管要求要更換做法
3.說服你自己
我想不出什麼比現在「更好」(註)的做法,就維持現狀,等出事再說

註:「更好」的定義如下
以上說法都是圍繞在「方便」「安全」「成本」三件事情在打轉
而這三件事情在不同人眼中的「定義」和「優先」(權重)也不䀆相同
而且通常是互相衝突的
你在處理類似問題時
都可以從這三個面向去考慮如何才是解決問題的最佳方案

選我正解

超全面!!!

還少一個...人的因素
以上是依照正常範例...
但人的因素可以把以上都給否定..

2
補覺鳴詩
iT邦研究生 4 級 ‧ 2019-11-06 08:58:02

最簡單的作法
開個 HFS
或是
nextcloud
或是 FTP 給他
簡單來說 要有驗證機制

他有需求
你要給他替代方案
不要只是一昧的阻止
檔案伺服器,本身是沒問題的

froce iT邦大師 1 級 ‧ 2019-11-06 09:03:50 檢舉

nextcloud要設定正確說真的沒那麼簡單...
建議是找其他的理由把上傳權限鎖起來,然後買企業版的雲端硬碟給他們分享用。
這樣出事才能追是誰搞的,問題在那個人身上,而不是出事,老闆把資訊叫去罵,然後洞還是補不起來。

補覺鳴詩 iT邦研究生 4 級 ‧ 2019-11-06 11:45:39 檢舉

可以請教你在用 nextcloud 設定的難題是??

froce iT邦大師 1 級 ‧ 2019-11-06 12:05:11 檢舉

nextcloud要用在網際網路至少你要會:
1.fail2ban
2.iptables
3.SSL設定、domain
4.nextcloud本身設定
5.排程備份
6.資料庫設定

更不要說後續如果還想加什麼onlyoffice、使用者多要配置redis cache、php-fpm的效能調教...

1
ak02
iT邦研究生 3 級 ‧ 2019-11-06 09:22:04

常有的事情
說服自已吧
說服不了自已
很多種暗的方式
舉例來說
流量限縮
懂我意思吧
嘿嘿....

咖咖拉 iT邦研究生 5 級 ‧ 2019-11-06 09:41:54 檢舉

這...好像才是解決的好辦法XD

就是方便才會習慣
讓她不方便就不會再用了

禁附檔名PSD AI

3CBrian iT邦新手 1 級 ‧ 2019-11-06 09:49:07 檢舉

都已經勸不聽了,現在給她限縮流量,人家第一個想到的就是你在搞鬼!

小魚 iT邦大師 1 級 ‧ 2019-11-06 11:11:07 檢舉

不,
有更好的辦法,
換一間公司.

1
bluegrass
iT邦高手 1 級 ‧ 2019-11-06 10:04:01

公司網站當雲端沒什麼好吧, 也給我一下, 我送你圖片, 什麼圖也有.

2
ckp6250
iT邦研究生 4 級 ‧ 2019-11-06 10:08:42

請神容易送神難。

我的看法是,先不動聲色三個月,等大家不注意時,
偷偷限制上傳下載速度,1M花她半小時,(要一週週遞減,不要一下去露出馬腳)
然後,等主管來問。

您千萬不要先去找主管談,《漢書‧霍光傳》:「曲突徙薪亡恩澤,焦頭爛額為上客耶?」

3CBrian iT邦新手 1 級 ‧ 2019-11-06 11:44:30 檢舉

這太有心機了~~~

ckp6250 iT邦研究生 4 級 ‧ 2019-11-06 16:17:03 檢舉

  這是我當年當大樓主委時,學到的經驗,

  那時,有很多人欠繳管理費,前任怎麼去催都催不到,不然就是避不見面,找都找不到人。

  等我一上任,就給他【電梯偶然故障,他的卡刷不了,別人的可以】,很快就自動找上門了。

  如果肯繳,立馬就通;若不肯繳,我也不催,三、五天斷一次,時好時壞。

  我發現,與其去找人,不如讓人來找你。

6
雷伊
iT邦好手 1 級 ‧ 2019-11-06 12:05:26

假如她是個正妹:
這時候我會檢討自己為何沒有另外提供他暫存的FTP空間

假如她是個阿尚:
以違反資安理由上報給老闆

看更多先前的回應...收起先前的回應...
froce iT邦大師 1 級 ‧ 2019-11-06 13:21:39 檢舉

正解

3CBrian iT邦新手 1 級 ‧ 2019-11-06 13:24:33 檢舉

可惜,大部份的老闆根本不懂!
除非三不五十給他出點狀況,他才會緊張

如果阿尚是老闆的親戚,這套劇本請記得重寫。

froce iT邦大師 1 級 ‧ 2019-11-06 14:29:48 檢舉

樓上,那這套劇本可以直接改成去找101了。

ckp6250 iT邦研究生 4 級 ‧ 2019-11-06 16:20:30 檢舉

咦,我的看法剛好相反哩,

若她是個正妹,我保證三不五時出狀況,常常來拜託我。

若是阿尚,能少來就少來。

雷伊 iT邦好手 1 級 ‧ 2019-11-06 16:56:35 檢舉

正妹有事:30秒內到其座位處理且附贈巧克力與飲料。
阿尚或男同事有事:去公共資料夾看SOP,自行處理。

/images/emoticon/emoticon12.gif

傳說中的正妹即戰力 : 會自動吸引一堆理工宅來當志工 !
/images/emoticon/emoticon39.gif

熊大叔 iT邦新手 5 級 ‧ 2019-11-08 09:52:56 檢舉

/images/emoticon/emoticon01.gif

2
eric19740521
iT邦新手 4 級 ‧ 2019-11-06 15:16:35

服務器裡面有個權限管理
可以管理每個人的容量/網頁可以顯示的權限
去設定一下吧!!!
那就不會超過1TB.....
你也不用一直刪檔案!!隨便放!反正不會超過,web也不會看到

1
浩瀚星空
iT邦超人 1 級 ‧ 2019-11-06 21:10:11

其實,我是想給開版主一個很大的問題重點。

表面上來說是為了資安。實際上來說是為了什麼呢?
其實如果就暗黑心態來問的話。就是為了表現自已,突顯自已的重要性。
對上級者而言,這是製造麻煩的人
對平級者來說,你在挖洞給他跳。

是的,你可能會覺得為何我會先很機車的說這樣的話。
不是真的這樣說你,而是讓你明白別人可能性對你的看法是什麼。

你搞不好還會覺得吃力不討好。

當然,就我個人而言,我會覺得你做的很對。可是在職場上,我不能說你做的對。
很矛盾對不對。
其實我也是公司內資安管理的負責人。也曾經碰過這樣的問題過。
如內部測試網路,不給外連。就為了老闆一句話。還是開放了外連。
很幹對不對。但老闆說的有理,業務說的有理。
我就為了資安給氣死。久而久之,我選擇的放爛。

因為我不是決定者。但我也表示了。資安我沒辦法負責。
我很早就跟上層的人員說過。如果沒辦法照我的要求,資安事件我不會管。

上級就覺得我不負責任,製造麻煩。
所以呢???
我就選擇了離開這家公司了。

其實,如果說資安不用管,東西盡量外放。只要不是我負責。我一切都是ok的。
但又要負責資安,又要破壞資安。這等於是給我一個炸彈。

說那麼多,重點其實在於。先決定你公司的政策是如何的。
如主管確定覺得無所謂。你也無所謂。
但如果是你要負責的。你要覺得有所謂,否則就將責任給主管負責。

當然,我沒辦法保証你是否會像我之後變成被人家說是不負責且製造麻煩的人。
這就是你自已要決定的事了。

我再說一次,就個人的看法而言,你做的很對。但就職場而言。你做的很差。

主管其實愛莫能助因為她不懂網站
她能幫我的 就是我跟同事爭論完了
她在旁邊補一句"嗯!我說的有理那就照我說的做!"
所以前提就是...我要先自己去找一個讓同事心服口服的理由

就算有主管在 要是真的出了事...我還是首要出來負責的人
沒有理由 就是"老闆覺得"...

3CBrian iT邦新手 1 級 ‧ 2019-11-07 09:45:33 檢舉

如果可以的話,另外找個地方讓那位同事很開心的去存放她的檔案,最好還是無限暢放的,一來不影響資安,二來維護同事感情,三來老闆滿意

一兼兩顧,摸蛤仔兼洗褲~~~

0
Someone
iT邦見習生 ‧ 2019-11-07 10:46:33

1.A可以用~那B呢?C知道了也來用,1T能撐多久?

2.A放了,她有拿掉嗎?變成IT負責清掃?額外增加IT的工作?

3.有合適的工具不用偏偏要自己搞創意?
人不走大門跑來鑽狗洞,然後問說為什麼不可以?

以上理由請參考

0
googlemap
iT邦新手 5 級 ‧ 2019-11-07 11:59:58

看看有沒有辦法鎖權限?
就說這有可能會被公司以外的人看到,有些東西若放到公開場合可能會被盜用?

1
zero
iT邦新手 1 級 ‧ 2019-11-07 14:59:53

浩瀚星空
就個人看法而言,我跟你的意見一致,但在職場而言的看法,

我與你看法不同,原因在於資安的遵守與否與道德有關,很不巧,

每間公司願意遵守資安規範的標準線完全是看老闆的道德觀,

我曾經待過兩個極端的公司,一間非常重視資安,因為與金錢交易有關

重視到讓資安管理者都嫌麻煩的程度,各種稽核各種限制

一間完全沒有隨你高興愛怎麼放就怎麼放,

你只是不願意在一間不願意重視資安的公司工作而已,

不代表所有公司都不重視資安,當然不重視資安到底會不會爆炸?

你我都知道,就像一顆不定時炸彈,沒人說得準什麼時候爆

這就跟法務的工作一樣,你要跟公司同流合汙出事你要扛法律責任

還是直接謝絕配合,換一間公司另謀工作,這完全沒有對錯之分

1
darkslayer
iT邦好手 1 級 ‧ 2019-11-07 17:02:35

我不認為這種人會聽得下去你說的話.
要不要考慮自己先塞一堆垃圾進網站, 然讓他放到爆, 接這跟老闆回報都是他放到網站掛掉的...

2
熊大叔
iT邦新手 5 級 ‧ 2019-11-08 10:19:28

資安我做到現在,我只有2個心得
要讓主管幫你,他沒感受到痛苦難受,你說的都是天方夜譚
要讓同事聽話,他沒感受到要被上司盯,你說的都是狗屁不通
/images/emoticon/emoticon01.gif

就如你的主管,他一定有權利要求你那位同事
其實他只要硬起來,你同事敢不聽話嗎?
總歸到底就是因為你主管也沒有感受到你同事的作法有影響到什麼
都做到主管了都在社會上一段時間了,還問"為什麼不能放"
這跟開車看到紅燈,問"為什麼一定要停"有何差別
就是因為沒有感受到危險阿
闖紅燈有機會翹辮子阿
但放檔案在公司雲端,沒感覺阿,有什麼損失造成了嗎?
/images/emoticon/emoticon67.gif

所以
要嘛伸頭狠起來
要嘛縮頭忍下來
/images/emoticon/emoticon18.gif
我的話會讓全公司有個資安大問題產生
然後提供資安建議時
在所有可能造成危險的目標中
把公司雲端空間移除或是控管放進建議的其中一項

多讓公司哀個幾聲,主管都會自己下達強制命令了


我現在的公司
我來之前
就是因為在之前他們自己遇到勒索病毒造成超大量文件被鎖
很多資安建議超暢通
貴貴的防火牆,正版防毒,審核的時間比申請買一台新電腦都還快
/images/emoticon/emoticon08.gif

反之像最近我在這邊詢問的文件控管光是這問題就拖了要三個月多還沒定案
因為沒痛過他們考慮就多了
/images/emoticon/emoticon70.gif

0
bembac
iT邦見習生 ‧ 2019-12-05 22:30:35

感覺還是要分開比較好,但如果主管知道沒意見也行,
不過在資安方面感覺會有問題呢!

我要發表回答

立即登入回答