首頁 >
研究院 >
OA智庫 >
[IT168]棱鏡門敲響OA系統安全警鐘
[IT168]棱鏡門敲響OA系統安全警鐘
在企業的各種管理系統中,OA系統可能是面向人員最多、開放程度最強的一種。
雖然大部分企業是通過外網訪問OA系統,但在以前,OA系統的安全性似乎并不被用戶所普遍關注,大家只是想當然的認為沒有問題。
那么OA系統的安全性到底如何,又有哪些需要我們注意的呢?記者采訪了知名的OA系統廠商華天動力的CTO鐘先生。這個話題的緣由正是現在全球關注的“棱鏡門”事件。
據美國中情局前職員斯諾登爆料,美國從2007年開始“棱鏡”計劃,即監控互聯網數據,包括電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議等10類信息。
受此事件影響,一些大型企業和敏感型行業開始檢視自己的軟硬件及網絡環境,并對IT供應商進行重新評估。
對比,鐘先生表示:不管在什么時候,安全問題都是信息管理中的重中之重。任何應用都要建立在安全、穩定的基礎之上,否則就沒有意義。在網絡應用無孔不入的今天,安全問題更應該引起企業足夠的重視。
在問及OA系統的安全性時,鐘先生說,主流的OA系統廠商都非常重視安全性設計,安全防護總體上來說都比較完善。但準確的說,OA系統使用的安全性取決于三個方面:1、系統本身的安全設計,2、用戶的IT環境,3、用戶的管理制度。
既然我們采訪的是OA系統廠商,所以我們更關心OA系統本身的安全型設計。據記者所知,某OA廠家的員工曾利用自己公司系統的漏洞,泄露出公司向大量客戶行賄的丑聞。而另一家OA廠商,則留有官方后門,即使是正式版的用戶,也會經常受到廠家推送的各種信息。
就OA系統的安全設計,鐘先生做了比較詳細的介紹。他以華天動力OA系統為例,介紹了OA系統的安全性設計應該包括四個方面:
1)訪問安全:包括弱密碼檢測、密碼錯誤自動封號、密碼加密、數據加密存儲于傳輸、電子印章、硬件加密鎖、數字證書、嚴格的權限劃分、內部IP訪問限制等;
2)網絡安全:包括無規則ID、SSL安全傳輸協議等;
3)系統安全:包括權限管理體系(角色權限設置、組織目錄權限設置)、數據備份容錯、日志管理等;
4)管理安全:包括集中控制、分級管理、安全管理框架、安全技術規范、安全崗位職責設置、文檔管理、檢查及獎懲辦法、應急事件與響應、詳盡的訪問日志、安全培訓等。
鐘先生說道:OA系統在安全性設計上不能有絲毫的馬虎和松懈,通過這些措施,OA系統就能夠建立起相對完善的安全體系。當然,安全問題是一個永恒的話題,還需要廠商根據各種新情況、新特點來與時俱進,不斷完善。
那么,用戶對于OA系統的安全性問題,有哪些需要注意的呢?
鐘先生說:在選型的時候,用戶應該選擇主流的OA系統,這樣的OA系統經過多年的市場檢驗,成熟穩定,安全漏洞較少。而在使用的時候,用戶也應該制定嚴格的管理制度,在訪問方式、權限控制、使用規范方面盡量的細化,系統管理員應該多與廠商溝通,保證系統的安全使用。
最后,鐘先生還提出了一個重要的理念,那就是“適度安全”原則。雖然從理論上說是越安全越好,但安全級別每提升一個級別,費用就會數倍增長。所以,企業應該結合自己的實際需要以及資金狀況,制定適合自己的安全策略。
這一點,顯然并不只適用于OA系統,而是企業IT建設應該遵循的安全準則。
關鍵詞:
華天
OA系統
系統安全
