首頁 >
研究院 >
OA智庫 >
[IT168]棱鏡門敲響OA系統(tǒng)安全警鐘
[IT168]棱鏡門敲響OA系統(tǒng)安全警鐘
在企業(yè)的各種管理系統(tǒng)中,OA系統(tǒng)可能是面向人員最多、開放程度最強的一種。
雖然大部分企業(yè)是通過外網(wǎng)訪問OA系統(tǒng),但在以前,OA系統(tǒng)的安全性似乎并不被用戶所普遍關(guān)注,大家只是想當(dāng)然的認為沒有問題。
那么OA系統(tǒng)的安全性到底如何,又有哪些需要我們注意的呢?記者采訪了知名的OA系統(tǒng)廠商華天動力的CTO鐘先生。這個話題的緣由正是現(xiàn)在全球關(guān)注的“棱鏡門”事件。
據(jù)美國中情局前職員斯諾登爆料,美國從2007年開始“棱鏡”計劃,即監(jiān)控互聯(lián)網(wǎng)數(shù)據(jù),包括電郵、即時消息、視頻、照片、存儲數(shù)據(jù)、語音聊天、文件傳輸、視頻會議等10類信息。
受此事件影響,一些大型企業(yè)和敏感型行業(yè)開始檢視自己的軟硬件及網(wǎng)絡(luò)環(huán)境,并對IT供應(yīng)商進行重新評估。
對比,鐘先生表示:不管在什么時候,安全問題都是信息管理中的重中之重。任何應(yīng)用都要建立在安全、穩(wěn)定的基礎(chǔ)之上,否則就沒有意義。在網(wǎng)絡(luò)應(yīng)用無孔不入的今天,安全問題更應(yīng)該引起企業(yè)足夠的重視。
在問及OA系統(tǒng)的安全性時,鐘先生說,主流的OA系統(tǒng)廠商都非常重視安全性設(shè)計,安全防護總體上來說都比較完善。但準(zhǔn)確的說,OA系統(tǒng)使用的安全性取決于三個方面:1、系統(tǒng)本身的安全設(shè)計,2、用戶的IT環(huán)境,3、用戶的管理制度。
既然我們采訪的是OA系統(tǒng)廠商,所以我們更關(guān)心OA系統(tǒng)本身的安全型設(shè)計。據(jù)記者所知,某OA廠家的員工曾利用自己公司系統(tǒng)的漏洞,泄露出公司向大量客戶行賄的丑聞。而另一家OA廠商,則留有官方后門,即使是正式版的用戶,也會經(jīng)常受到廠家推送的各種信息。
就OA系統(tǒng)的安全設(shè)計,鐘先生做了比較詳細的介紹。他以華天動力OA系統(tǒng)為例,介紹了OA系統(tǒng)的安全性設(shè)計應(yīng)該包括四個方面:
1)訪問安全:包括弱密碼檢測、密碼錯誤自動封號、密碼加密、數(shù)據(jù)加密存儲于傳輸、電子印章、硬件加密鎖、數(shù)字證書、嚴格的權(quán)限劃分、內(nèi)部IP訪問限制等;
2)網(wǎng)絡(luò)安全:包括無規(guī)則ID、SSL安全傳輸協(xié)議等;
3)系統(tǒng)安全:包括權(quán)限管理體系(角色權(quán)限設(shè)置、組織目錄權(quán)限設(shè)置)、數(shù)據(jù)備份容錯、日志管理等;
4)管理安全:包括集中控制、分級管理、安全管理框架、安全技術(shù)規(guī)范、安全崗位職責(zé)設(shè)置、文檔管理、檢查及獎懲辦法、應(yīng)急事件與響應(yīng)、詳盡的訪問日志、安全培訓(xùn)等。
鐘先生說道:OA系統(tǒng)在安全性設(shè)計上不能有絲毫的馬虎和松懈,通過這些措施,OA系統(tǒng)就能夠建立起相對完善的安全體系。當(dāng)然,安全問題是一個永恒的話題,還需要廠商根據(jù)各種新情況、新特點來與時俱進,不斷完善。
那么,用戶對于OA系統(tǒng)的安全性問題,有哪些需要注意的呢?
鐘先生說:在選型的時候,用戶應(yīng)該選擇主流的OA系統(tǒng),這樣的OA系統(tǒng)經(jīng)過多年的市場檢驗,成熟穩(wěn)定,安全漏洞較少。而在使用的時候,用戶也應(yīng)該制定嚴格的管理制度,在訪問方式、權(quán)限控制、使用規(guī)范方面盡量的細化,系統(tǒng)管理員應(yīng)該多與廠商溝通,保證系統(tǒng)的安全使用。
最后,鐘先生還提出了一個重要的理念,那就是“適度安全”原則。雖然從理論上說是越安全越好,但安全級別每提升一個級別,費用就會數(shù)倍增長。所以,企業(yè)應(yīng)該結(jié)合自己的實際需要以及資金狀況,制定適合自己的安全策略。
這一點,顯然并不只適用于OA系統(tǒng),而是企業(yè)IT建設(shè)應(yīng)該遵循的安全準(zhǔn)則。
關(guān)鍵詞:
華天
OA系統(tǒng)
系統(tǒng)安全