Rei*_* SE 6 security mediawiki wiki
我们有一个 wiki,我们公司一半以上的人都在使用它。总的来说,它受到了非常积极的欢迎。然而,存在安全问题——不要让机密信息落入坏人之手(即竞争对手)。
默认答案是创建一个复杂的安全矩阵,根据创建者定义谁可以阅读什么文档(维基页面)。我个人认为这主要解决了错误的问题,因为它在公司内部制造了障碍,而不是对外部世界的障碍。但有些人担心客户站点的人员可能会与客户共享信息,然后这些信息会转交给竞争对手。
管理这样的矩阵是一场噩梦,因为 (1) 矩阵基于部门而不是项目(这是一个矩阵组织),以及 (2) 因为在 wiki 中所有页面都是动态的,所以今天的机密内容可能明天不要保密(但历史总是可读的!)。
除了安全矩阵之外,我们还考虑将 wiki 上的内容限制为非超级机密内容,但当然需要对其进行监控。
另一种解决方案(当前)是监控视图并报告任何可疑的内容(例如,报告了客户站点上的一个人在两天内获得了 2000 次查看)。再次 - 这并不理想,因为这并不直接暗示错误的动机。
有没有人有更好的解决方案?如何确保公司范围内的 wiki 安全,同时保持其低门槛 USP?
顺便说一句,我们使用 MediaWiki 和 Lockdown 来排除一些管理人员。
一个明显的观点,或者在我看来是这样,如果你想要一个非常严密的东西,那么你确定你真的想要一个 Wiki。维基精神的很大一部分不是尽可能开放吗?一旦您远离最初的目的,那么尝试一种更适合的不同工具,而不是拉紧您完全变形的工具,是否迟早会成为更好的主意?
小智 4
我们使用全公司范围的维基百科。这是我们的做法:
我们使用 LDAP 存储用户名,使用 kerberos 进行身份验证。MediaWiki 有使用 LDAP 的扩展。
我们锁定了该 IP 地址,以便我们在加拿大和美国的办事处可以通过防火墙访问 wiki。即使 wiki 使用外部 IP 地址,防火墙也只允许从办公室内部以及通过 VPN 访问的人员进行访问。
在 LocalSettings.php(wiki conf 文件)中,我们将其设置为除非您登录,否则您无法阅读页面。但是,我们确实允许在不实际登录的情况下访问某些页面。
我们还使用“访问控制”扩展来限制页面。我们有一些页面只有系统管理员团队才能看到,因此,如果 NOC 的人员尝试查看该页面,他们将看到“访问被拒绝”页面。这一切都是通过 AccessControl 扩展来处理的。
在开始之前,您需要了解办公室中如何管理用户。我们拥有 LDAP 中的一切。我们将系统管理员、开发人员、NOC 等分组,并将用户分配到这些组。因此,根据他们所在的组授予或取消访问权限会更容易。
-F
| 归档时间: |
|
| 查看次数: |
765 次 |
| 最近记录: |