OA系統(tǒng)是單位信息的集中平臺(tái),OA系統(tǒng)的整體安全性對(duì)于單位來(lái)說(shuō)至關(guān)重要,如果沒(méi)有良好的安全性保障,將為單位隱藏巨大的危機(jī)。繼上次我們?cè)斀饬巳A天動(dòng)力協(xié)同OA系統(tǒng)在四大方面的安全性之后,今天我們細(xì)談下,華天動(dòng)力協(xié)同OA系統(tǒng)在開發(fā)時(shí),考慮到哪些方面的安全性?
弱密碼檢測(cè):對(duì)于過(guò)于簡(jiǎn)單的密碼,如1234等密碼,管理員可以進(jìn)行程序的掃描和檢測(cè),得到相應(yīng)的檢測(cè)報(bào)告,管理員可以視情況決定是否封鎖弱密碼的帳號(hào)。該封鎖過(guò)程可以是程序自動(dòng)進(jìn)行的,封鎖后,會(huì)給系統(tǒng)管理員一個(gè)內(nèi)部消息。
三次密碼失敗自動(dòng)封鎖帳號(hào):為了防止惡意人員猜測(cè)用戶帳號(hào),如果連續(xù)三次輸入密碼錯(cuò)誤,系統(tǒng)將自動(dòng)封鎖該帳號(hào),或者是3小時(shí)內(nèi)不允許再次登陸。封鎖后,系統(tǒng)會(huì)自動(dòng)給管理員消息提醒。
密碼輸入通過(guò)軟鍵盤方式進(jìn)行:根據(jù)Windows的原理,有些惡意程序可以在系統(tǒng)中安裝鍵盤勾子,把鍵盤輸入全部截獲后,再伺機(jī)發(fā)送出去。為了解決該問(wèn)題,密碼輸入時(shí)采用軟鍵盤輸入,即通過(guò)點(diǎn)擊數(shù)字而不是直接鍵入。目前網(wǎng)上的銀行系統(tǒng)均采用軟鍵盤輸入方式。
圖形碼認(rèn)證:圖形認(rèn)證碼現(xiàn)在已經(jīng)被廣泛應(yīng)用了。主要的目的是為了防止黑客用程序的方式不斷的嘗試密碼。
動(dòng)態(tài)密碼,通過(guò)短信獲得登陸密碼:為了加強(qiáng)密碼的安全性,進(jìn)行雙重密碼認(rèn)證,當(dāng)用戶需要登陸時(shí),自動(dòng)發(fā)送手機(jī)短信到登陸者的手機(jī)上,然后用戶根據(jù)獲得的登陸動(dòng)態(tài)密碼,才能登陸上去。這種辦法的最大的缺點(diǎn)是不實(shí)時(shí),一般短信收發(fā)需要一分鐘時(shí)間,使用起來(lái)有點(diǎn)不方便。
密碼加密:在數(shù)據(jù)傳輸過(guò)程中,密碼必須是加密的,根據(jù)網(wǎng)絡(luò)傳輸協(xié)議,大多數(shù)傳輸?shù)膮f(xié)議是明文協(xié)議,也就是說(shuō)黑客等可以通過(guò)協(xié)議的偵聽(tīng),獲得傳輸內(nèi)容,然后把匯編出數(shù)據(jù)。關(guān)于協(xié)議的偵聽(tīng)技術(shù)已經(jīng)非常成熟,所以密碼在傳輸中必須是要進(jìn)行加密的。一般密碼最后會(huì)存在數(shù)據(jù)庫(kù)中,存在數(shù)據(jù)庫(kù)中的密碼也必須是加密的。因?yàn)?,一旦有人能夠進(jìn)入數(shù)據(jù)庫(kù),如果是明文存放的,密碼將會(huì)不安全。
密碼加密的不可逆性:很多程序編寫的時(shí)候,為了方便,密碼是可逆加密的,即按照一定的算法,把加密的數(shù)據(jù)反轉(zhuǎn)過(guò)來(lái),從而獲得密碼,所以,密碼最好采用不可逆算法,即使被黑客獲取到最后密碼的存儲(chǔ)數(shù)據(jù),也無(wú)法獲知真正的密碼。
數(shù)據(jù)加密存儲(chǔ):數(shù)據(jù)庫(kù)中存放的數(shù)據(jù)大多數(shù)是明文存放,如果黑客一旦有機(jī)會(huì)侵入系統(tǒng),如果是明文存放的,該數(shù)據(jù)很容易暴露出來(lái)。所以對(duì)一些核心數(shù)據(jù),華天動(dòng)力OA系統(tǒng)在數(shù)據(jù)庫(kù)存儲(chǔ)時(shí),就進(jìn)行了數(shù)據(jù)加密。
硬件加密鎖:有一個(gè)USB硬件設(shè)備,像U盤一樣的東西,里面存放了登陸者的認(rèn)證信息,當(dāng)?shù)顷憰r(shí),必須插上鑰匙才能進(jìn)行密碼的驗(yàn)證。與短信的動(dòng)態(tài)密碼方式相比,該方式使用起來(lái)比較簡(jiǎn)單,也比較直觀。但是,為了認(rèn)證密鑰,需要設(shè)置專門的認(rèn)證服務(wù)器,以及發(fā)證的軟件,硬件的設(shè)備。這些額外的成本比較高。
數(shù)字證書:數(shù)字證書如同硬件加密鎖,數(shù)字證書中存放了使用用戶的特征碼,在用戶登陸或使用特定功能時(shí),通過(guò)在系統(tǒng)中存儲(chǔ)的特征碼與用戶的數(shù)字證書相比較,確定是否是合法的用戶。與硬件加密鎖相比,數(shù)字證書減少了使用的成本。
電子印章:對(duì)于如審批、簽字之類的需要有相應(yīng)高級(jí)權(quán)限的功能,可以通過(guò)電子印章的方式來(lái)加強(qiáng)權(quán)限的驗(yàn)證,只能授權(quán)使用電子印章的人員才能使用相應(yīng)的電子印章。
詳盡的訪問(wèn)日志:華天動(dòng)力提供詳細(xì)的日志記錄,可以查出誰(shuí)在什么時(shí)候,在哪個(gè)地方用了哪個(gè)功能,對(duì)于登陸失敗也有詳細(xì)記錄。好的日志系統(tǒng)可以提供管理員分析的工具,及時(shí)發(fā)現(xiàn)問(wèn)題。詳細(xì)的訪問(wèn)日志是系統(tǒng)安全審計(jì)的一個(gè)重要組成部分。
內(nèi)部IP訪問(wèn)限制:可以設(shè)定僅限內(nèi)部的IP地址段的用戶才能訪問(wèn),可以減少外部侵入的風(fēng)險(xiǎn)。
移動(dòng)OA手機(jī)訪問(wèn)限制:可以設(shè)定某個(gè)用戶使用移動(dòng)OA時(shí),只能使用指定的手機(jī)訪問(wèn)OA系統(tǒng),可以減少外部侵入的風(fēng)險(xiǎn)。
特定區(qū)域的限制:可以設(shè)定只有某個(gè)區(qū)域的可以訪問(wèn)系統(tǒng)。如公司只有北京和上海有分支機(jī)構(gòu),那么設(shè)定特別區(qū)域限制后,可以減少外部侵入的風(fēng)險(xiǎn)。
MAC 地址訪問(wèn)限制:在軟件系統(tǒng)中,如果標(biāo)識(shí)哪臺(tái)計(jì)算機(jī),一般采用MAC地址,MAC地址是與計(jì)算機(jī)一一對(duì)應(yīng),并且是唯一的。如果需要設(shè)定某個(gè)用戶僅限某臺(tái)電腦使用,那么可以啟用MAC認(rèn)證。一旦啟動(dòng)MAC認(rèn)證后,該用戶必須在指定的電腦前才能使用。這符合一人一臺(tái)電腦的使用狀態(tài),安全性也比較高。
訪問(wèn)時(shí)間段:可以設(shè)定某個(gè)用戶,只有在某個(gè)時(shí)間段才能使用,如一個(gè)用戶只能在上班時(shí)間才能使用,下班后,就不可使用。這種方式也會(huì)加強(qiáng)系統(tǒng)的安全性。
數(shù)據(jù)庫(kù)的默認(rèn)密碼:請(qǐng)務(wù)必設(shè)定和修改數(shù)據(jù)庫(kù)的默認(rèn)密碼,現(xiàn)在很多系統(tǒng)的默認(rèn)密碼為空,這會(huì)造成很大的安全隱患。
每項(xiàng)功能上有嚴(yán)格的權(quán)限劃分:對(duì)于不同的員工,可以指定其可以查看到的菜單以及可以使用畫面上的具體的哪個(gè)按鈕。對(duì)于不同的文檔,可以設(shè)定不同的查看人,修改人。不具有某項(xiàng)操作,就不能進(jìn)行任何操作,甚至看不到相關(guān)的文件。對(duì)于不同的審批文檔,自己也只能看到與自己相關(guān)的部分的文檔。
以上的安全措施,用戶可以根據(jù)實(shí)際情況及預(yù)算,選擇一種或幾種進(jìn)行組合,
OA的安全性能對(duì)于其使用者來(lái)說(shuō)至關(guān)重要。華天動(dòng)力協(xié)同OA系統(tǒng)正是基于這點(diǎn),把安全性作為首要任務(wù),讓您放心使用!