安全移動(dòng)辦公解決方案

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

 　　在當(dāng)信息化高速發(fā)展的今天，國(guó)內(nèi)很多企業(yè)業(yè)務(wù)流程對(duì)0A系統(tǒng)，CRM 客戶關(guān)系管理系統(tǒng)，財(cái)務(wù)軟件，PLM/PDM等業(yè)務(wù)軟件依賴度越來越高。通常ERP服務(wù)器上存放關(guān)系著企業(yè)生死存亡的核心數(shù)據(jù)和各種技術(shù)文檔，但是企業(yè)老總或IT部門對(duì)信息安全的投入僅限于采購(gòu)軟硬防火墻，殺毒軟件，備份軟件等傳統(tǒng)外圍信息安全工具等，還沒有一個(gè)切實(shí)有效的防泄密手段，一旦發(fā)生黑客入侵或內(nèi)部員工非法泄漏事件，給企業(yè)將帶來重大損失甚至是滅頂之災(zāi)!

　　一、數(shù)據(jù)安全問題

　　OA系統(tǒng)安全中最常見的問題是數(shù)據(jù)安全，典型的包括數(shù)據(jù)損壞、數(shù)據(jù)丟失、數(shù)據(jù)泄漏等。

    數(shù)據(jù)損壞：服務(wù)器硬盤的損壞，系統(tǒng)崩潰、突然中斷、木馬病毒對(duì)文件的破壞導(dǎo)致數(shù)據(jù)出現(xiàn)問題。

    數(shù)據(jù)丟失：誤操作，服務(wù)器被非法入侵，系統(tǒng)不穩(wěn)定、系統(tǒng)存在漏洞受到惡意攻擊數(shù)據(jù)被刪除等導(dǎo)致數(shù)據(jù)丟失。

    數(shù)據(jù)泄漏：程序的存儲(chǔ)安全漏洞，相關(guān)的應(yīng)用未作安全控制，冒用相關(guān)用戶身份獲取信息，服務(wù)器被非法入侵，基于Internet 訪間時(shí)數(shù)據(jù)傳輸?shù)男畔⑿孤丁?/p>

　　問題1：數(shù)據(jù)損壞

　　服務(wù)器硬盤的損壞，系統(tǒng)崩潰、突然中斷、木馬病毒對(duì)文件的破壞導(dǎo)致數(shù)據(jù)出現(xiàn)問題。

　　應(yīng)對(duì)措施：

　　根據(jù)數(shù)據(jù)的更新頻率定期的做數(shù)據(jù)備份(數(shù)據(jù)更新頻繁則備份的間隔時(shí)間短)，為防止OA服務(wù)器硬件的損壞，定期的做數(shù)據(jù)的異地備份(將數(shù)據(jù)備份在OA服務(wù)器之外的其他存儲(chǔ)介質(zhì)上)。對(duì)于大型的OA系統(tǒng)應(yīng)用如果有條件可以考慮雙機(jī)熱備，這樣其中一臺(tái)服務(wù)器損壞另外一臺(tái)服務(wù)器有實(shí)時(shí)的備份。

　　問題2：數(shù)據(jù)丟失

　　誤操作，服務(wù)器被非法入侵，系統(tǒng)不穩(wěn)定、系統(tǒng)存在漏洞受到惡意攻擊數(shù)據(jù)被刪除等導(dǎo)致數(shù)據(jù)丟失。

    應(yīng)對(duì)措施：

　　加強(qiáng)服務(wù)器操作系統(tǒng)安全的設(shè)置，OA軟件自身編碼的安全性檢測(cè)，數(shù)據(jù)庫(kù)系統(tǒng)的安全設(shè)置。根據(jù)數(shù)據(jù)的更新頻率定期的做數(shù)據(jù)備份(數(shù)據(jù)更新頻繁則備份的間隔時(shí)間短)，為防止OA服務(wù)器硬件的損壞，定期的做數(shù)據(jù)的異地備份(將數(shù)據(jù)備份在OA服務(wù)器之外的其他存儲(chǔ)介質(zhì)上)。

　　注意：數(shù)據(jù)丟失和數(shù)據(jù)錯(cuò)誤有很大的區(qū)別，數(shù)據(jù)錯(cuò)誤一般是程序邏輯運(yùn)行錯(cuò)誤導(dǎo)致的，而數(shù)據(jù)丟失有可能是由OA系統(tǒng)安全性造成的。

　　問題3：數(shù)據(jù)泄漏

　　程序的存儲(chǔ)安全漏洞，相關(guān)的應(yīng)用未作安全控制，冒用相關(guān)用戶身份獲取信息，服務(wù)器被非法入侵，基于Internet 訪問時(shí)數(shù)據(jù)傳輸?shù)男畔⑿孤丁?/p>

　　應(yīng)對(duì)措施：

　　服務(wù)器操作系統(tǒng)安全的設(shè)置加強(qiáng)，增強(qiáng)系統(tǒng)對(duì)身份認(rèn)證安全與控制，OA軟件自身編碼的安全性檢測(cè)，增強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全設(shè)置，重要數(shù)據(jù)的加密存儲(chǔ)，基于Internet的需關(guān)注數(shù)據(jù)的加密傳輸。

　　二、身份認(rèn)證安全問題

　　身份認(rèn)證安全是OA系統(tǒng)安全中容易被忽略但又是非常重要的部分，程序中存在漏洞給攻擊者提供了機(jī)會(huì)，賬號(hào)和密碼的泄露，冒用相關(guān)用戶身份登入OA系統(tǒng)進(jìn)行“合法”操作，導(dǎo)致數(shù)據(jù)的丟失、數(shù)據(jù)的泄露。

    應(yīng)對(duì)措施：

　　1、準(zhǔn)入機(jī)制

　　0A系統(tǒng)支持大量認(rèn)證方式，如用戶名、密碼，UKey、LDAP認(rèn)證、CA認(rèn)證等方式可以供用戶選擇，最大限度的保證用戶登錄的合法性，且每個(gè)用戶只能在一個(gè)終端登錄。系統(tǒng)對(duì)每個(gè)頁面都做了認(rèn)證，若不經(jīng)過登錄直接請(qǐng)求URL將直接轉(zhuǎn)向到登錄頁面，保證系統(tǒng)信息不被非法獲取。

　　2.細(xì)粒度的文檔授權(quán)管理

　　發(fā)布到用戶手中的加密文檔，可以預(yù)先設(shè)定使用期限，也可以根據(jù)需要隨時(shí)調(diào)整用戶的使用權(quán)限，甚至收回其使用權(quán)限，文檔使用的控制更加完善和靈活。

　　另外，0A能夠通過IP控制登陸系統(tǒng)的用戶群，擁有特權(quán)的用戶在特權(quán)期限內(nèi)可以隨時(shí)隨地登陸系統(tǒng)，普通用戶只有在開通IP地址的機(jī)器上才能登陸系統(tǒng)。在局域網(wǎng)內(nèi)，IP地址一般都分布在一個(gè)或幾個(gè)IP段內(nèi)，管理員只要將IP段開通，用戶通過開通的IP可以成功登陸系統(tǒng)。

　　0A系統(tǒng)管理員可以把系統(tǒng)用戶劃分成不同的組，并具有不同的身份和其他屬性。0A系統(tǒng)管理員可以定義一系列不同的訪問規(guī)則，如用戶身份驗(yàn)證規(guī)則，授權(quán)規(guī)則等。系統(tǒng)管理員可以把不同組中的用戶通過既定的規(guī)則分配來實(shí)現(xiàn)對(duì)不同資源的訪問從而完成授權(quán)管理。另外，九思軟件0A系統(tǒng)基于三權(quán)分立的管理思想，并且集成各種安全策略，實(shí)現(xiàn)登錄安全、傳輸安全、數(shù)據(jù)安全和權(quán)限安全。

　　3.時(shí)間期限控制

　　與合作伙伴協(xié)同工作完成后，合作伙伴無法將原有的資料用于其他項(xiàng)目。用戶能夠隨時(shí)隨地控制文件的使用期限，根據(jù)實(shí)際情況追加使用時(shí)間或縮短期限收回文件。

　　4.按用戶習(xí)慣的方式使用文檔

　　使用保密文檔時(shí)僅需要身份認(rèn)證。加密后的文檔打開后，界面和操作方式和明文文檔的完全一致。

　　5.詳細(xì)的文件訪間審計(jì)記錄

　　詳細(xì)的文檔操作記錄，可記錄操作的人員、時(shí)間、地點(diǎn)(計(jì)算機(jī))、操作方式等，可用來追蹤泄密渠道，也可用作電子取證。

　　三、OA服務(wù)器與網(wǎng)絡(luò)安全

　　服務(wù)器被非法入侵，攻擊者獲取了服務(wù)器的超級(jí)用戶的權(quán)限，整個(gè)系統(tǒng)完全處于“暴露”狀態(tài)，所以服務(wù)器安全和網(wǎng)絡(luò)安全是OA系統(tǒng)安全的第一層保障。

　　應(yīng)對(duì)措施：

　　1、加強(qiáng)網(wǎng)絡(luò)的安全，減少入侵者攻擊服務(wù)器的途徑。

　　2、安裝防病毒和查殺木馬的工具。

　　3、服務(wù)器盡量關(guān)閉不必要的服務(wù)和端口。

　　4、需經(jīng)常關(guān)注服務(wù)器的運(yùn)行狀況，看看是否有“異常”。

　　在本系統(tǒng)中，防火墻是設(shè)置在VPN服務(wù)器和0A辦公系統(tǒng)內(nèi)部網(wǎng)Internet之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)。防火墻在開放和封閉的界面上構(gòu)造一個(gè)保護(hù)層，屬于內(nèi)部范圍的業(yè)務(wù)，依照協(xié)議在授權(quán)許可下進(jìn)行，外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問則受到防火墻的限制?；趯?duì)0A辦公自動(dòng)化系統(tǒng)安全需求的分析，兼顧系統(tǒng)安全和系統(tǒng)效率，并結(jié)合不同防火墻技術(shù)的優(yōu)缺點(diǎn)，采用如下雙層防火墻解決方案。首先，將網(wǎng)絡(luò)結(jié)構(gòu)分為互聯(lián)網(wǎng)域和OA辦公自動(dòng)化系統(tǒng)網(wǎng)域兩部分。0辦公自動(dòng)化系統(tǒng)中部分功能需要與構(gòu)架于外界互聯(lián)網(wǎng)域之中，而另外一些功能則只需要在0A辦公自動(dòng)化系統(tǒng)內(nèi)網(wǎng)域之中即可。