首頁(yè) >
研究院 >
OA智庫(kù) >
[IT168]棱鏡門(mén)敲響OA系統(tǒng)安全警鐘
[IT168]棱鏡門(mén)敲響OA系統(tǒng)安全警鐘
在企業(yè)的各種管理系統(tǒng)中,OA系統(tǒng)可能是面向人員最多、開(kāi)放程度最強(qiáng)的一種。
雖然大部分企業(yè)是通過(guò)外網(wǎng)訪問(wèn)OA系統(tǒng),但在以前,OA系統(tǒng)的安全性似乎并不被用戶所普遍關(guān)注,大家只是想當(dāng)然的認(rèn)為沒(méi)有問(wèn)題。
那么OA系統(tǒng)的安全性到底如何,又有哪些需要我們注意的呢?記者采訪了知名的OA系統(tǒng)廠商華天動(dòng)力的CTO鐘先生。這個(gè)話題的緣由正是現(xiàn)在全球關(guān)注的“棱鏡門(mén)”事件。
據(jù)美國(guó)中情局前職員斯諾登爆料,美國(guó)從2007年開(kāi)始“棱鏡”計(jì)劃,即監(jiān)控互聯(lián)網(wǎng)數(shù)據(jù),包括電郵、即時(shí)消息、視頻、照片、存儲(chǔ)數(shù)據(jù)、語(yǔ)音聊天、文件傳輸、視頻會(huì)議等10類信息。
受此事件影響,一些大型企業(yè)和敏感型行業(yè)開(kāi)始檢視自己的軟硬件及網(wǎng)絡(luò)環(huán)境,并對(duì)IT供應(yīng)商進(jìn)行重新評(píng)估。
對(duì)比,鐘先生表示:不管在什么時(shí)候,安全問(wèn)題都是信息管理中的重中之重。任何應(yīng)用都要建立在安全、穩(wěn)定的基礎(chǔ)之上,否則就沒(méi)有意義。在網(wǎng)絡(luò)應(yīng)用無(wú)孔不入的今天,安全問(wèn)題更應(yīng)該引起企業(yè)足夠的重視。
在問(wèn)及OA系統(tǒng)的安全性時(shí),鐘先生說(shuō),主流的OA系統(tǒng)廠商都非常重視安全性設(shè)計(jì),安全防護(hù)總體上來(lái)說(shuō)都比較完善。但準(zhǔn)確的說(shuō),OA系統(tǒng)使用的安全性取決于三個(gè)方面:1、系統(tǒng)本身的安全設(shè)計(jì),2、用戶的IT環(huán)境,3、用戶的管理制度。
既然我們采訪的是OA系統(tǒng)廠商,所以我們更關(guān)心OA系統(tǒng)本身的安全型設(shè)計(jì)。據(jù)記者所知,某OA廠家的員工曾利用自己公司系統(tǒng)的漏洞,泄露出公司向大量客戶行賄的丑聞。而另一家OA廠商,則留有官方后門(mén),即使是正式版的用戶,也會(huì)經(jīng)常受到廠家推送的各種信息。
就OA系統(tǒng)的安全設(shè)計(jì),鐘先生做了比較詳細(xì)的介紹。他以華天動(dòng)力OA系統(tǒng)為例,介紹了OA系統(tǒng)的安全性設(shè)計(jì)應(yīng)該包括四個(gè)方面:
1)訪問(wèn)安全:包括弱密碼檢測(cè)、密碼錯(cuò)誤自動(dòng)封號(hào)、密碼加密、數(shù)據(jù)加密存儲(chǔ)于傳輸、電子印章、硬件加密鎖、數(shù)字證書(shū)、嚴(yán)格的權(quán)限劃分、內(nèi)部IP訪問(wèn)限制等;
2)網(wǎng)絡(luò)安全:包括無(wú)規(guī)則ID、SSL安全傳輸協(xié)議等;
3)系統(tǒng)安全:包括權(quán)限管理體系(角色權(quán)限設(shè)置、組織目錄權(quán)限設(shè)置)、數(shù)據(jù)備份容錯(cuò)、日志管理等;
4)管理安全:包括集中控制、分級(jí)管理、安全管理框架、安全技術(shù)規(guī)范、安全崗位職責(zé)設(shè)置、文檔管理、檢查及獎(jiǎng)懲辦法、應(yīng)急事件與響應(yīng)、詳盡的訪問(wèn)日志、安全培訓(xùn)等。
鐘先生說(shuō)道:OA系統(tǒng)在安全性設(shè)計(jì)上不能有絲毫的馬虎和松懈,通過(guò)這些措施,OA系統(tǒng)就能夠建立起相對(duì)完善的安全體系。當(dāng)然,安全問(wèn)題是一個(gè)永恒的話題,還需要廠商根據(jù)各種新情況、新特點(diǎn)來(lái)與時(shí)俱進(jìn),不斷完善。
那么,用戶對(duì)于OA系統(tǒng)的安全性問(wèn)題,有哪些需要注意的呢?
鐘先生說(shuō):在選型的時(shí)候,用戶應(yīng)該選擇主流的OA系統(tǒng),這樣的OA系統(tǒng)經(jīng)過(guò)多年的市場(chǎng)檢驗(yàn),成熟穩(wěn)定,安全漏洞較少。而在使用的時(shí)候,用戶也應(yīng)該制定嚴(yán)格的管理制度,在訪問(wèn)方式、權(quán)限控制、使用規(guī)范方面盡量的細(xì)化,系統(tǒng)管理員應(yīng)該多與廠商溝通,保證系統(tǒng)的安全使用。
最后,鐘先生還提出了一個(gè)重要的理念,那就是“適度安全”原則。雖然從理論上說(shuō)是越安全越好,但安全級(jí)別每提升一個(gè)級(jí)別,費(fèi)用就會(huì)數(shù)倍增長(zhǎng)。所以,企業(yè)應(yīng)該結(jié)合自己的實(shí)際需要以及資金狀況,制定適合自己的安全策略。
這一點(diǎn),顯然并不只適用于OA系統(tǒng),而是企業(yè)IT建設(shè)應(yīng)該遵循的安全準(zhǔn)則。
關(guān)鍵詞:
華天
OA系統(tǒng)
系統(tǒng)安全