很多用户在进行OA系统的选型时,一般只是关注OA系统的功能,功能是否与自身的情况相符合,其次就是关心售后服务,而把OA系统的安全性、性能和稳定性等方面忽略了。其实系统的安全尤为重要,与OA软件的技术、设计以及OA系统运行的环境等因素有关,OA系统安全维护也包含了多方方面。
一、数据安全维护
OA系统安全中最常见的问题是数据安全,典型的包括数据损坏、数据丢失、数据泄漏等。
1、数据损坏
服务器硬盘的损坏,系统崩溃、突然中断、木马病毒对文件的破坏导致数据出现问题。
应对措施:
根据数据的更新频率定期的做数据备份(数据更新频繁则备份的间隔时间短),为防止OA服务器硬件的损坏,定期的做数据的异地备份(将数据备份在OA服务器之外的其他存储介质上)。
对于大型的OA系统应用如果有条件可以考虑双机热备,这样其中一台服务器损坏另外一台服务器有实时的备份。
2、数据丢失
误操作,服务器被非法入侵,系统不稳定、系统存在漏洞受到恶意攻击数据被删除等导致数据丢失。
应对措施:
加强服务器操作系统安全的设置,OA软件自身编码的安全性检测,数据库系统的安全设置。
根据数据的更新频率定期的做数据备份(数据更新频繁则备份的间隔时间短),为防止OA服务器硬件的损坏,定期的做数据的异地备份(将数据备份在OA服务器之外的其他存储介质上)。
注意:数据丢失和数据错误有很大的区别,数据错误一般是程序逻辑运行错误导致的,而数据丢失有可能是由OA系统安全性造成的。
3、数据泄漏
程序的存储安全漏洞,相关的应用未作安全控制,冒用相关用户身份获取信息,服务器被非法入侵,基于Internet访问时数据传输的信息泄露。
应对措施:
服务器操作系统安全的设置加强,增强系统对身份认证安全与控制,OA软件自身编码的安全性检测,增强数据库系统的安全设置,重要数据的加密存储,基于Internet的需关注数据的加密传输。
二、身份认证安全
身份认证安全是OA系统安全中容易被忽略但又是非常重要的部分,程序中存在漏洞给攻击者提供了机会(如:sql攻击、文件上载问题、目录权限问题等),账号和密码的泄露,冒用相关用户身份登入OA系统进行“合法”操作,导致数据的丢失、数据的泄露。
应对措施:
1、OA软件自身编码的安全性检测,如:sql攻击、跨站脚本、文件上载、目录权限等,每个程序和页面需在OA权限系统的统一控制之下。
OA系统需具备强大完善的权限系统,统一权限控制、统一权限的分配、统一身份认证。(如:有的OA系统中普通用户可以输入系统后台管理的地址,由于没有进行权限控制,可以直接进行相关操作)
2、用户账号和密码的加密存储,密码加密的不可逆性,重要用户保管好自身的密码,不允许设置过于简单的密码。
3、使用验证码结合用户账号和密码登录认证,防止非法的登录认证攻击。
4、客户端结合硬件进行登录认证,如:USB硬件设备里面存放了登陆者的认证信息,当登录认证时必须同时插上钥匙才能进行密码的验证。
5、系统重要操作结合手机短信验证,将验证码发到指定用户的手机上后,输入验证码后才允许操作。
6、对于大型的OA应用可以考虑结合CA认证
7、结合SSL(HTTPS)和VPN。
三、OA服务器与网络安全
服务器被非法入侵,攻击者获取了服务器的超级用户的权限,整个系统完全处于“暴露”状态,所以服务器安全和网络安全是OA系统安全的第一层保障。
应对措施:
1、加强网络的安全,减少入侵者攻击服务器的途径。
2、安装防病毒和查杀木马的工具。
3、服务器尽量关闭不必要的服务和端口
4、需经常关注服务器的运行状况,看看是否有“异常”(如:不熟悉的进程在运行)。
四、其他
1、规范日常管理
2、一般来说Unix和Linux的安全性高于windows,而且windows的病毒比较多。
3、系统部署在局域网的安全性高于Internet,杜绝了Internet的攻击途径。
4、Java开发的OA系统安全高于.net、asp和php开发的系统。