首頁 >
研究院 >
OA智庫 >
[IT168]棱鏡門敲響OA系統(tǒng)安全警鐘
[IT168]棱鏡門敲響OA系統(tǒng)安全警鐘
在企業(yè)的各種管理系統(tǒng)中,OA系統(tǒng)可能是面向人員最多�����、開放程度最強(qiáng)的一種����。
雖然大部分企業(yè)是通過外網(wǎng)訪問OA系統(tǒng),但在以前�,OA系統(tǒng)的安全性似乎并不被用戶所普遍關(guān)注,大家只是想當(dāng)然的認(rèn)為沒有問題��。
那么OA系統(tǒng)的安全性到底如何�,又有哪些需要我們注意的呢?記者采訪了知名的OA系統(tǒng)廠商華天動(dòng)力的CTO鐘先生��。這個(gè)話題的緣由正是現(xiàn)在全球關(guān)注的“棱鏡門”事件����。
據(jù)美國中情局前職員斯諾登爆料,美國從2007年開始“棱鏡”計(jì)劃����,即監(jiān)控互聯(lián)網(wǎng)數(shù)據(jù),包括電郵��、即時(shí)消息�����、視頻、照片���、存儲(chǔ)數(shù)據(jù)�、語音聊天����、文件傳輸、視頻會(huì)議等10類信息�。
受此事件影響,一些大型企業(yè)和敏感型行業(yè)開始檢視自己的軟硬件及網(wǎng)絡(luò)環(huán)境����,并對(duì)IT供應(yīng)商進(jìn)行重新評(píng)估。
對(duì)比��,鐘先生表示:不管在什么時(shí)候���,安全問題都是信息管理中的重中之重���。任何應(yīng)用都要建立在安全�、穩(wěn)定的基礎(chǔ)之上,否則就沒有意義�。在網(wǎng)絡(luò)應(yīng)用無孔不入的今天�,安全問題更應(yīng)該引起企業(yè)足夠的重視����。
在問及OA系統(tǒng)的安全性時(shí),鐘先生說�,主流的OA系統(tǒng)廠商都非常重視安全性設(shè)計(jì),安全防護(hù)總體上來說都比較完善��。但準(zhǔn)確的說����,OA系統(tǒng)使用的安全性取決于三個(gè)方面:1、系統(tǒng)本身的安全設(shè)計(jì)�,2、用戶的IT環(huán)境�����,3�、用戶的管理制度。
既然我們采訪的是OA系統(tǒng)廠商��,所以我們更關(guān)心OA系統(tǒng)本身的安全型設(shè)計(jì)�。據(jù)記者所知,某OA廠家的員工曾利用自己公司系統(tǒng)的漏洞,泄露出公司向大量客戶行賄的丑聞���。而另一家OA廠商���,則留有官方后門,即使是正式版的用戶��,也會(huì)經(jīng)常受到廠家推送的各種信息����。
就OA系統(tǒng)的安全設(shè)計(jì),鐘先生做了比較詳細(xì)的介紹����。他以華天動(dòng)力OA系統(tǒng)為例,介紹了OA系統(tǒng)的安全性設(shè)計(jì)應(yīng)該包括四個(gè)方面:
1)訪問安全:包括弱密碼檢測(cè)����、密碼錯(cuò)誤自動(dòng)封號(hào)、密碼加密�、數(shù)據(jù)加密存儲(chǔ)于傳輸、電子印章�����、硬件加密鎖、數(shù)字證書�、嚴(yán)格的權(quán)限劃分����、內(nèi)部IP訪問限制等;
2)網(wǎng)絡(luò)安全:包括無規(guī)則ID���、SSL安全傳輸協(xié)議等��;
3)系統(tǒng)安全:包括權(quán)限管理體系(角色權(quán)限設(shè)置����、組織目錄權(quán)限設(shè)置)��、數(shù)據(jù)備份容錯(cuò)�����、日志管理等���;
4)管理安全:包括集中控制��、分級(jí)管理���、安全管理框架����、安全技術(shù)規(guī)范���、安全崗位職責(zé)設(shè)置�、文檔管理�、檢查及獎(jiǎng)懲辦法、應(yīng)急事件與響應(yīng)�、詳盡的訪問日志、安全培訓(xùn)等���。
鐘先生說道:OA系統(tǒng)在安全性設(shè)計(jì)上不能有絲毫的馬虎和松懈�,通過這些措施�,OA系統(tǒng)就能夠建立起相對(duì)完善的安全體系。當(dāng)然�,安全問題是一個(gè)永恒的話題,還需要廠商根據(jù)各種新情況���、新特點(diǎn)來與時(shí)俱進(jìn)���,不斷完善���。
那么,用戶對(duì)于OA系統(tǒng)的安全性問題���,有哪些需要注意的呢?
鐘先生說:在選型的時(shí)候�����,用戶應(yīng)該選擇主流的OA系統(tǒng)����,這樣的OA系統(tǒng)經(jīng)過多年的市場(chǎng)檢驗(yàn),成熟穩(wěn)定�����,安全漏洞較少����。而在使用的時(shí)候,用戶也應(yīng)該制定嚴(yán)格的管理制度����,在訪問方式�、權(quán)限控制����、使用規(guī)范方面盡量的細(xì)化,系統(tǒng)管理員應(yīng)該多與廠商溝通���,保證系統(tǒng)的安全使用��。
最后���,鐘先生還提出了一個(gè)重要的理念,那就是“適度安全”原則����。雖然從理論上說是越安全越好,但安全級(jí)別每提升一個(gè)級(jí)別�,費(fèi)用就會(huì)數(shù)倍增長(zhǎng)。所以��,企業(yè)應(yīng)該結(jié)合自己的實(shí)際需要以及資金狀況����,制定適合自己的安全策略。
這一點(diǎn)�,顯然并不只適用于OA系統(tǒng)�,而是企業(yè)IT建設(shè)應(yīng)該遵循的安全準(zhǔn)則�����。
關(guān)鍵詞:
華天
OA系統(tǒng)
系統(tǒng)安全
