前,國務院發布報告,首次對“棱鏡門”事件進行了官方確認和表態。轉眼間,“棱鏡門”事件已過去一年,這一. . .
日前,國務院發布報告,首次對“棱鏡門”事件進行了官方確認和表態。轉眼間,“棱鏡門”事件已過去一年,這一年來,國際關系、政府企業都受到不同程度的影響,安全一詞在公眾生活中出現的頻率顯著升高。對于OA系統來說,系統的安全性也受到前所未有的關注。
在安全危機尚未大規模爆發之前,已有眾多OA廠商在重視這個問題,素有“中國管理軟件項目成功率第一品牌”之稱的九思軟件便是其中之一。
九思軟件自主研發的iThink協同辦公系統從訪問層、應用層、數據層、存儲層不同層面進行安全策略部署,并有效結合第三方安全技術實現聯合監控,從而在安全方面,形成了與業內其他廠商的重要差異化,并打造了三重門式的防御機制:
一、準入機制
1、登錄認證
九思OA系統支持大量認證方式,如用戶名、密碼,UKey、LDAP認證、CA認證等,最大限度的保證用戶登錄的合法性。OA系統系統對每個頁面都做了認證,若不經過登錄直接請求URL將直接轉向到登錄頁面,保證系統信息不被非法獲取。
2、IP控制
另外,OA能夠通過IP控制登陸系統的用戶群,擁有特權的用戶在特權期限內可以隨時隨地登陸系統,普通用戶只有在開通IP地址的機器上才能登陸系統。在局域網內,IP地址一般都分布在一個或幾個IP段內,管理員只要將IP段開通,用戶通過開通的IP可以成功登陸系統。
3、管理員權限
OA系統管理員可以定義一系列不同的訪問規則,如用戶身份驗證規則,授權規則等,然后將系統用戶劃分成不同的組,對其配備不同的身份和屬性,通過既定的規則分配來實現對不同資源的訪問從而完成授權管理。
二、防御機制
1、信息加密
九思OA系統對重要信息實施加密,如用戶名密碼采用MD5二次加密,杜絕非法用戶獲取其他用戶信息,還可對附件采取部分加密,防止非法下載。
2、統一出錯頁面
有攻擊者會故意輸入錯誤的URL使程序不能正確執行,獲取出錯頁面用來分析服務器信息,并加以利用進行攻擊。九思OA系統采用統一的出錯提示頁面,使攻擊無法獲取實際的出錯信息,阻止了其進一步攻擊。
三、容災機制
當城墻無法抵御外侵時,便要求城內做好容災準備。九思OA系統支持各種數據容災設備,本地系統的高可用能力與容災設備形成一個整體,實現多級的故障切換和恢復機制,確保系統在各個范圍的可靠和安全。
1、同步備份
九思OA系統自身含有數據備份機制,平臺服務啟動后會有一個線程在系統后臺運行,根據用戶設置的策略定時自動執行備份計劃。九思OA協同管理平臺的備份文件存放在服務器本地,而為了安全考慮往往需要把這些備份文件轉儲到其它服務器上,當本地服務器發生災難故障時可以保證系統能夠恢復或順利遷移至額外的服務器上。
2、異步容災
考慮到容災能力和對應用系統性能的影響,九思OA不但支持做近距的、同步的數據容災,還支持遠程的、異步的數據容災。支持專業的基于備份存儲柜的存儲方案,實現重要數據的集中存儲,并保證異地數據的完整性、可用性。
3、災難恢復
九思OA系統建立了多層次的廣域網絡故障切換機制,在遠程的容災系統中,既要包含本地系統的安全機制、遠程的數據復制機制,還具備廣域網范圍的遠程故障切換能力和故障診斷能力。一旦故障發生,系統通過強大的故障診斷和切換策略制訂機制,確保快速的反應和迅速的業務接管。
中國古人講求居安思危、防患于未然,對可預見的危險準備好應對方案,對不可預測的災難做好防御機制,如此才能站得高、走得遠。
