使用OA系統(tǒng)越久的企業(yè),其OA系統(tǒng)里的企業(yè)數(shù)據(jù)就會(huì)隨著使用的年限日積月累,越來(lái)越多,而OA系統(tǒng)里的數(shù)據(jù)都是企業(yè)的一種無(wú)形的財(cái)富,若是這些財(cái)富出現(xiàn)損失,就代表著企業(yè)可能要重新花時(shí)間去積累這些數(shù)據(jù),就意味著要重頭再來(lái)。
數(shù)據(jù)泄露防護(hù)領(lǐng)航者,北京億賽通科技發(fā)展有限責(zé)任公司(簡(jiǎn)稱:億賽通)數(shù)據(jù)安全防護(hù)專家表示:剛實(shí)施OA系統(tǒng)的企業(yè),他們對(duì)OA的安全性沒有認(rèn)識(shí),他們的眼光全部集中在OA的功能和OA所帶來(lái)的效果上,沒錯(cuò),OA是給企業(yè)帶來(lái)效果了,但是失去了安全性。本文將講述億賽通結(jié)合十多年信息化系統(tǒng)應(yīng)用數(shù)據(jù)安全防護(hù)經(jīng)驗(yàn),針對(duì)OA系統(tǒng)常見的數(shù)據(jù)安全問(wèn)題及應(yīng)對(duì)方法的全面分析。
一、數(shù)據(jù)安全
OA系統(tǒng)安全中最常見的問(wèn)題是數(shù)據(jù)安全,典型的包括數(shù)據(jù)損壞、數(shù)據(jù)丟失、數(shù)據(jù)泄漏等
問(wèn)題1:數(shù)據(jù)損壞
服務(wù)器硬盤的損壞,系統(tǒng)崩潰、突然中斷、木馬病毒對(duì)文件的破壞導(dǎo)致數(shù)據(jù)出現(xiàn)問(wèn)題。
應(yīng)對(duì)措施:
根據(jù)數(shù)據(jù)的更新頻率定期的做數(shù)據(jù)備份(數(shù)據(jù)更新頻繁則備份的間隔時(shí)間短),為防止OA服務(wù)器硬件的損壞,定期的做數(shù)據(jù)的異地備份(將數(shù)據(jù)備份在OA服務(wù)器之外的其他存儲(chǔ)介質(zhì)上)。
對(duì)于大型的OA系統(tǒng)應(yīng)用如果有條件可以考慮雙機(jī)熱備,這樣其中一臺(tái)服務(wù)器損壞另外一臺(tái)服務(wù)器有實(shí)時(shí)的備份。
問(wèn)題2:數(shù)據(jù)丟失
誤操作,服務(wù)器被非法入侵,系統(tǒng)不穩(wěn)定、系統(tǒng)存在漏洞受到惡意攻擊數(shù)據(jù)被刪除等導(dǎo)致數(shù)據(jù)丟失。
應(yīng)對(duì)措施:
加強(qiáng)服務(wù)器操作系統(tǒng)安全的設(shè)置,OA軟件自身編碼的安全性檢測(cè),數(shù)據(jù)庫(kù)系統(tǒng)的安全設(shè)置。
根據(jù)數(shù)據(jù)的更新頻率定期的做數(shù)據(jù)備份(數(shù)據(jù)更新頻繁則備份的間隔時(shí)間短),為防止OA服務(wù)器硬件的損壞,定期的做數(shù)據(jù)的異地備份(將數(shù)據(jù)備份在OA服務(wù)器之外的其他存儲(chǔ)介質(zhì)上)。
注意:數(shù)據(jù)丟失和數(shù)據(jù)錯(cuò)誤有很大的區(qū)別,數(shù)據(jù)錯(cuò)誤一般是程序邏輯運(yùn)行錯(cuò)誤導(dǎo)致的,而數(shù)據(jù)丟失有可能是由OA系統(tǒng)安全性造成的。
問(wèn)題3:數(shù)據(jù)泄漏
程序的存儲(chǔ)安全漏洞,相關(guān)的應(yīng)用未作安全控制,冒用相關(guān)用戶身份獲取信息,服務(wù)器被非法入侵,基于Internet訪問(wèn)時(shí)數(shù)據(jù)傳輸?shù)男畔⑿孤丁?/p>
應(yīng)對(duì)措施:
服務(wù)器操作系統(tǒng)安全的設(shè)置加強(qiáng),增強(qiáng)系統(tǒng)對(duì)身份認(rèn)證安全與控制,OA軟件自身編碼的安全性檢測(cè),增強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全設(shè)置,重要數(shù)據(jù)的加密存儲(chǔ),基于Internet的需關(guān)注數(shù)據(jù)的加密傳輸。
二、身份認(rèn)證安全
身份認(rèn)證安全是OA系統(tǒng)安全中容易被忽略但又是非常重要的部分,程序中存在漏洞給攻擊者提供了機(jī)會(huì)(如:sql攻擊、文件上傳下載問(wèn)題、目錄權(quán)限問(wèn)題等),賬號(hào)和密碼的泄露,冒用相關(guān)用戶身份登入OA系統(tǒng)進(jìn)行“合法”操作,導(dǎo)致數(shù)據(jù)的丟失、數(shù)據(jù)的泄露。
應(yīng)對(duì)措施:
十多年數(shù)據(jù)應(yīng)用防護(hù)專家億賽通在OA系統(tǒng)應(yīng)用安全方面做得比較成熟。具體如下:
1.可靠身份認(rèn)證
通過(guò)讓用戶采用USB-KEY的認(rèn)證方式登錄,在OA服務(wù)器中部署認(rèn)證服務(wù)器,有效提高整體方案的安全性。
2.細(xì)粒度的文檔授權(quán)管理
發(fā)布到用戶手中的加密文檔,可以預(yù)先設(shè)定使用期限,也可以根據(jù)需要隨時(shí)調(diào)整用戶的使用權(quán)限,甚至收回其使用權(quán)限,文檔使用的控制更加完善和靈活。
3.時(shí)間期限控制
與合作伙伴協(xié)同工作完成后,合作伙伴無(wú)法將原有的資料用于其他項(xiàng)目。用戶能夠隨時(shí)隨地控制文件的使用期限,根據(jù)實(shí)際情況追加使用時(shí)間或縮短期限收回文件。
4.按用戶習(xí)慣的方式使用文檔
使用保密文檔時(shí)僅需要身份認(rèn)證。加密后的文檔打開后,界面和操作方式和明文文檔的完全一致。
5.詳細(xì)的文件訪問(wèn)審計(jì)記錄
詳細(xì)的文檔操作記錄,可記錄操作的人員、時(shí)間、地點(diǎn)(計(jì)算機(jī))、操作方式等,可用來(lái)追蹤泄密渠道,也可用作電子取證。
三、OA服務(wù)器與網(wǎng)絡(luò)安全
服務(wù)器被非法入侵,攻擊者獲取了服務(wù)器的超級(jí)用戶的權(quán)限,整個(gè)系統(tǒng)完全處于“暴露”狀態(tài),所以服務(wù)器安全和網(wǎng)絡(luò)安全是OA系統(tǒng)安全的第一層保障。
應(yīng)對(duì)措施:
1、加強(qiáng)網(wǎng)絡(luò)的安全,減少入侵者攻擊服務(wù)器的途徑。
2、安裝防病毒和查殺木馬的工具。
3、服務(wù)器盡量關(guān)閉不必要的服務(wù)和端口。
4、需經(jīng)常關(guān)注服務(wù)器的運(yùn)行狀況,看看是否有“異常”。