首页 >
研究院 >
OA智库 >
[IT168]棱镜门敲响...
[IT168]棱镜门敲响OA系统安全警钟
在企业的各种管理系统中,OA系统可能是面向人员最多、开放程度最强的一种。
虽然大部分企业是通过外网访问OA系统,但在以前,OA系统的安全性似乎并不被用户所普遍关注,大家只是想当然的认为没有问题。
那么OA系统的安全性到底如何,又有哪些需要我们注意的呢?记者采访了知名的OA系统厂商华天动力的CTO钟先生。这个话题的缘由正是现在全球关注的“棱镜门”事件。
据美国中情局前职员斯诺登爆料,美国从2007年开始“棱镜”计划,即监控互联网数据,包括电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议等10类信息。
受此事件影响,一些大型企业和敏感型行业开始检视自己的软硬件及网络环境,并对IT供应商进行重新评估。
对比,钟先生表示:不管在什么时候,安全问题都是信息管理中的重中之重。任何应用都要建立在安全、稳定的基础之上,否则就没有意义。在网络应用无孔不入的今天,安全问题更应该引起企业足够的重视。
在问及OA系统的安全性时,钟先生说,主流的OA系统厂商都非常重视安全性设计,安全防护总体上来说都比较完善。但准确的说,OA系统使用的安全性取决于三个方面:1、系统本身的安全设计,2、用户的IT环境,3、用户的管理制度。
既然我们采访的是OA系统厂商,所以我们更关心OA系统本身的安全型设计。据记者所知,某OA厂家的员工曾利用自己公司系统的漏洞,泄露出公司向大量客户行贿的丑闻。而另一家OA厂商,则留有官方后门,即使是正式版的用户,也会经常受到厂家推送的各种信息。
就OA系统的安全设计,钟先生做了比较详细的介绍。他以华天动力OA系统为例,介绍了OA系统的安全性设计应该包括四个方面:
1)访问安全:包括弱密码检测、密码错误自动封号、密码加密、数据加密存储于传输、电子印章、硬件加密锁、数字证书、严格的权限划分、内部IP访问限制等;
2)网络安全:包括无规则ID、SSL安全传输协议等;
3)系统安全:包括权限管理体系(角色权限设置、组织目录权限设置)、数据备份容错、日志管理等;
4)管理安全:包括集中控制、分级管理、安全管理框架、安全技术规范、安全岗位职责设置、文档管理、检查及奖惩办法、应急事件与响应、详尽的访问日志、安全培训等。
钟先生说道:OA系统在安全性设计上不能有丝毫的马虎和松懈,通过这些措施,OA系统就能够建立起相对完善的安全体系。当然,安全问题是一个永恒的话题,还需要厂商根据各种新情况、新特点来与时俱进,不断完善。
那么,用户对于OA系统的安全性问题,有哪些需要注意的呢?
钟先生说:在选型的时候,用户应该选择主流的OA系统,这样的OA系统经过多年的市场检验,成熟稳定,安全漏洞较少。而在使用的时候,用户也应该制定严格的管理制度,在访问方式、权限控制、使用规范方面尽量的细化,系统管理员应该多与厂商沟通,保证系统的安全使用。
最后,钟先生还提出了一个重要的理念,那就是“适度安全”原则。虽然从理论上说是越安全越好,但安全级别每提升一个级别,费用就会数倍增长。所以,企业应该结合自己的实际需要以及资金状况,制定适合自己的安全策略。
这一点,显然并不只适用于OA系统,而是企业IT建设应该遵循的安全准则。
关键词:
华天
OA系统
系统安全
