關(guān)于辦公服務(wù)器的安全防護

需要搭建IPS 系統(tǒng)的 防止被篡改的 主動防御 主動防篡改 以及防入侵 防注入 以及數(shù)據(jù)庫的安全

創(chuàng)新互聯(lián)建站從2013年開始，先為莫力達等服務(wù)建站，莫力達等地企業(yè)，進行企業(yè)商務(wù)咨詢服務(wù)。為莫力達企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

以及備用機制。

OA系統(tǒng)的安全性？

OA功能都差不多的，都是這些流程，現(xiàn)在誰都可以做，選擇合適的就好，安全方面可以從以下來考慮，每個系統(tǒng)和每個公司對安全的設(shè)計不一樣，別人我不知道，如果用我們的系統(tǒng)，我們至少有下面的方式讓你的系統(tǒng)安全：

思軟OA的安全方案：

1.1 安全體系兼容性

本方案安全體系有一個重要的思想是安全技術(shù)的兼容性，由于不同的實施單位或多或少都有一定的安全防范措施，因此和主流安全產(chǎn)品的兼容性是非常重要的。協(xié)同OA平臺所有的安全措施都能夠和目前主流、標準的安全技術(shù)和產(chǎn)品兼容，都得到全面支持。

1.2 系統(tǒng)體系架構(gòu)安全性

應用系統(tǒng)的系統(tǒng)架構(gòu)已經(jīng)成為保護系統(tǒng)安全的重要防線，一個優(yōu)秀的系統(tǒng)體系架構(gòu)除了能夠保證系統(tǒng)的穩(wěn)定性以外，還能夠封裝不同層次的業(yè)務(wù)邏輯。各種業(yè)務(wù)組件之間的”黑盒子”操作，能夠有效地保護系統(tǒng)邏輯隱蔽性和獨立性。

本方案采用的n-tier多層次體系架構(gòu)(具體應用中可以簡稱為三層體系架構(gòu))，把一般用戶沒必要看到的業(yè)務(wù)邏輯運算和控制都封裝到系統(tǒng)后臺的服務(wù)器上面運行，用戶的客戶端只是一個簡單的瀏覽器以及系統(tǒng)最終的內(nèi)容表現(xiàn)。

利用這種業(yè)務(wù)實現(xiàn)邏輯對用戶不可見隔離的系統(tǒng)架構(gòu)，使惡意訪問者連業(yè)務(wù)邏輯都看不到，更不用說惡意篡改，從而保證了系統(tǒng)邏輯的安全性和正確性。

1.3 傳輸安全性

由于辦公網(wǎng)絡(luò)涉及很多用戶的接入訪問，因此如何保護公文對象在傳輸過程中不被竊聽和篡改就成為本方案重點考慮在內(nèi)的問題之一。采用兩種手段保護公文對象的安全性：

? 數(shù)據(jù)對象的加密保護

支持對數(shù)據(jù)對象本身進行加密處理，在數(shù)據(jù)的上傳和下載的過程中，數(shù)據(jù)都是通過”加密－傳輸－界面－處理”的過程進行的，因此惡意訪問者即使截取了數(shù)據(jù)的內(nèi)容，得到的只是一堆對其毫無意義的數(shù)據(jù)，從而保護了數(shù)據(jù)對象的安全性。

? 傳輸協(xié)議的加密保護

支持通過Web Server提供的標準安全加密傳輸協(xié)議，如最為主流的SSL(安全套接字)協(xié)議。通過傳輸協(xié)議一級的加密保護，進一步增強了公文傳輸?shù)陌踩?/p>

1.4 模型安全性

在本方案的原型協(xié)同OA平臺除了在國內(nèi)首創(chuàng)了自定義工作流以外，還最早設(shè)計和實現(xiàn)了工作流應用的安全模型，保證所有業(yè)務(wù)流程都是按照預先設(shè)定的權(quán)限控制下進行的。公文流轉(zhuǎn)通過”公文表頭屬性”、”步驟”和”角色”三個重要的概念的結(jié)合，保證了公文在流轉(zhuǎn)的過程中，各種操作都是由有相應處理權(quán)利的用戶進行的。

1.5 軟硬件結(jié)合的防護體系

協(xié)同OA平臺支持和多種軟硬件安全設(shè)備結(jié)合，構(gòu)成一個立體防護體系。目前除了支持所有主流的軟件安全驗證解決方案，如CA的eTrust等產(chǎn)品以外，還能夠兼容所有采用PKI安全框架下標準技術(shù)的安全硬件，包括各種保存?zhèn)€人數(shù)字證書的硬件驗證設(shè)備USBKey，基于PKI體系的VPN遠程接入網(wǎng)關(guān)和SSL加解密加速器等等，支持手機短信的動態(tài)密碼身份驗證功能，因此基本上能夠和各種現(xiàn)有的和將來配備的安全設(shè)施協(xié)同工作，一起構(gòu)筑有效的安全防線。

1.6 可跟蹤審計

協(xié)同OA平臺內(nèi)置多粒度的日志系統(tǒng)，能夠按照需要把各種不同操作粒度的動作都記錄在日志中，用于跟蹤和審計用戶的歷史操作。

多粒度的日志系統(tǒng)優(yōu)勢在于不僅僅流水式地進行記錄，還可以按照安全級別的要求，記錄更為細節(jié)的歷史動作；或者簡化和忽略某些安全要求不高的登記，使跟蹤審計工作得以簡化和提高效率。

1.7 身份確認及操作不可抵賴

身份確認對于協(xié)同OA平臺來說有兩重含義，一是用戶身份的確認，二是服務(wù)器身份的確認。

用戶身份確認是通過個人數(shù)字證書和密碼得以保證，使系統(tǒng)確認用戶沒有被冒認。同時通過和公文內(nèi)部記錄以及日志功能的結(jié)合，實現(xiàn)操作的不可抵賴性。

而服務(wù)器的身份認證也是非常重要的技術(shù)之一，這是因為已經(jīng)出現(xiàn)很多利用冒認服務(wù)器身份騙取用戶密碼和投放木馬程序的黑客技術(shù)。通過PKI結(jié)構(gòu)下的服務(wù)器認證技術(shù)，確保服務(wù)器的身份也是確認無誤的，同時在該服務(wù)器下載的各種控件也是通過該服務(wù)器簽名，為用戶和機器雙方都建立起了良好的信任關(guān)系，這對于協(xié)同工作會有有非常重要的意義。

1.8 數(shù)據(jù)存儲的安全性

本方案中數(shù)據(jù)存儲方面采取兩道機制進行的保護，一是系統(tǒng)提供的訪問權(quán)限控制，二是數(shù)據(jù)的加密存放。而在本方案中采取了更高級別的安全防護，就是數(shù)據(jù)的加密保存。

所有文件在數(shù)據(jù)庫里面都是經(jīng)過64位加密再存儲的，即使惡意訪問者竊取了數(shù)據(jù)庫管理員的密碼，但是他看到的只是加密后產(chǎn)生的亂碼。

數(shù)據(jù)存取范圍控制，關(guān)鍵保密信息細化到記錄(Record)一級，涉及金額保密則細化到字段(Field)一級。

數(shù)據(jù)發(fā)布到網(wǎng)頁上以后能確保完整性，網(wǎng)頁的信息內(nèi)容可以具有防打印、防復制、防另存的控制。

如何增強OA系統(tǒng)外網(wǎng)訪問的安全性?

從登錄OA系統(tǒng)的方面來看，有以下方式可以增強OA系統(tǒng)訪問的安全性：

1、使用驗證碼登錄

使用泛微OA系統(tǒng)的企業(yè)可以隨時根據(jù)需求在OA系統(tǒng)的后臺啟動身份驗證。啟用后每位用戶登錄系統(tǒng)的時候必須輸入隨機生成的驗證碼才能進入系統(tǒng)，以此來防止外部惡意、暴力地破解密碼。

2、手機動態(tài)驗證碼登錄

OA系統(tǒng)將每位用戶的手機號碼和系統(tǒng)ID綁定，在和短信系統(tǒng)集成的基礎(chǔ)上，每次登錄都會觸發(fā)手機短信驗證碼，只有正確輸入才能進入系統(tǒng)。

（ID登錄—觸發(fā)短信驗證）

3、移動端掃碼登錄

當移動辦公迅速普及，泛微OA系統(tǒng)和微信迅速集成，實現(xiàn)兩端用戶統(tǒng)一管理、統(tǒng)一驗證，在此基礎(chǔ)上通過將PC端的登錄界面條碼化，借助微信或者APP設(shè)備掃一掃就能迅速驗證用戶身份，使用便捷、更安全。

4、指紋登陸

指紋是用戶唯一決定性的身份信息代表，采用指紋驗證是安全強度最高的驗證方式。不僅提高的系統(tǒng)登錄的安全系數(shù)還省去了記憶密碼的麻煩，每一次登錄都無可抵賴。OA系統(tǒng)通過接入指紋機采集用戶指紋，在登錄中自動驗證登錄指紋和系統(tǒng)預留指紋代碼是否統(tǒng)一。

5、U-key登錄認證

每個員工都有自己的U-key，系統(tǒng)即插即用。U-Key是一種接口的硬件存儲設(shè)備，和U盤類似，用戶的身份信息全部儲存在里面，一旦開啟，登錄時必須將U-key插入在電腦上才能登錄OA系統(tǒng)。

為了使用方便，企業(yè)管理員可以在后臺設(shè)定哪些崗位、員工需要U-key驗證，控制使用范圍，根據(jù)實際辦公需求為機密性較強的崗位和部門隨時加密。

泛微OA系統(tǒng)的各種驗證方式，企業(yè)可以根據(jù)自己辦公需求隨意選擇，對使用范圍、使用人數(shù)、使用對象做精準的控制，使用靈活，安全性更強。

如何保障OA辦公系統(tǒng)安全性

針對企業(yè)對于OA系統(tǒng)6大安全性要求，泛微OA系統(tǒng)在解決系統(tǒng)安全性方面有如下措施：

1、準入層面安全

認證體系方面：CA認證體系，可支持證書認證等多種強安全身份認證方式，解決弱口令所存在的安全隱患。

登錄安全體系方面：雙音子體系支撐（Ukey支撐、動態(tài)密碼支撐、短信支撐）和硬件對接支撐（指紋、面部識別等硬件支撐）

密碼要求體系方面：可以自定義密碼安全要求級別（密碼復雜性要求、密碼變更周期要求、強制密碼修改要求、密碼鎖定要求）；登錄策略要求（對于設(shè)備的重復登錄管理、對于網(wǎng)斷的重復登錄管理、對于時間控制的登錄管理）

2、傳輸層面安全

DMZ區(qū)域：DMZ區(qū)域+端口映射——將移動應用服務(wù)器放置在DMZ區(qū)域，PC應用服務(wù)器放置在服務(wù)器區(qū)域，通過端口向外映射的方式進行對外通訊。

優(yōu)點：較為安全，僅開放一個端口；多重防火墻保護；策略設(shè)置方便；帶寬占用相對較小；

缺點：仍然有一處端口對外；仍然承受掃描風險和DDOS風險；一般數(shù)據(jù)不加密傳輸；

建議在中間件端開啟Https，增強傳輸安全性；

VPN區(qū)域：通過VPN設(shè)備構(gòu)建內(nèi)網(wǎng)統(tǒng)一環(huán)境

優(yōu)點：安全性高，通過VPN撥入形成統(tǒng)一的內(nèi)網(wǎng)環(huán)境；數(shù)據(jù)通過Https加密保證傳輸安全；

缺點：需要進行一步VPN撥號操作；需要額外的VPN開銷；需要額外的帶寬開銷

SSL中間件生成：通過resin設(shè)置，在不增加VPN硬件的情況下實現(xiàn)外部線路的SSL加密。

3、數(shù)據(jù)層面安全

結(jié)構(gòu)化數(shù)據(jù)方面：分庫、加密、審計

非結(jié)構(gòu)化數(shù)據(jù)方面：加密、切分、展現(xiàn)層控制

文件切分、加密存儲方式——所有數(shù)據(jù)通過切分、加密技術(shù)保證：文件服務(wù)器不存在由于文件有毒而中毒情況；文件服務(wù)器所有數(shù)據(jù)不可以直接從后臺讀取；所有數(shù)據(jù)必須通過應用服務(wù)器才可以展現(xiàn)

當然也支持不加密方式以方便對于文件有獨立訪問要求的客戶

4、硬件層面安全

三層次部署結(jié)構(gòu)：最常見的OA系統(tǒng)集中部署方式，我們建議采用DMZ+服務(wù)器區(qū)+數(shù)據(jù)區(qū)

三層結(jié)構(gòu)，以保證數(shù)據(jù)的安全性；

防火墻體系：各區(qū)域中間通過硬體或軟體防火墻進行邊界防護和區(qū)域防護，保證DDOS攻擊和入侵的防控。

5、實施運營運維層面安全

實施層面的安全操守與運營層面的數(shù)據(jù)和權(quán)限保證：穩(wěn)定團隊、專業(yè)操守、工作詳細記錄和確認、對于敏感數(shù)據(jù)可以進行虛擬數(shù)據(jù)實施

運維層面的響應和記錄要求：通過變更評估流程形成統(tǒng)一的問題提交窗口，減少直接修正造成的權(quán)限錯誤和管控缺失；減少直接修正造成的部門間管理沖突；明確變更成本（IT成本和運營成本）；有章可循、有跡可查。

6、災難回復層面安全

數(shù)據(jù)的保存：

①數(shù)據(jù)備份內(nèi)容

a.程序文件：不需要自動周期備份，只需要在安裝或升級后將服務(wù)器的程序安裝的文件夾手動備份到其他服務(wù)器或電腦中；

b.數(shù)據(jù)文件：一般可通過服務(wù)器的計劃執(zhí)行命令來備份；

c.數(shù)據(jù)庫內(nèi)容：可直接使用數(shù)據(jù)庫的定期備份功能進行備份；

②備份周期頻率

a.數(shù)據(jù)備份保留周期

b.備份頻率：數(shù)據(jù)文件—每日增量備份、每周全備份；數(shù)據(jù)庫—每日全備份；

c.取備份的時間表：數(shù)據(jù)短期保留周期14日；數(shù)據(jù)中、長期保留周期-抽取每月最后一周全備份進行中、長期保留；

d.備份保留周期的要求：年度全備份需永久保留；保留最近12個月的月度全備份；保留最近1個月內(nèi)的周全備份；保留最近1個月內(nèi)的日增量備份；

e.針對不需要雙機熱備的運行狀態(tài)，還需要對e-cology日常運行的數(shù)據(jù)和程序周期進行備份，以便系統(tǒng)或服務(wù)器出現(xiàn)異樣時可快速還原正常狀態(tài)。

系統(tǒng)的快速恢復：程序文件、數(shù)據(jù)文件、數(shù)據(jù)庫內(nèi)容已損壞的數(shù)據(jù)都可以快速恢復

數(shù)據(jù)權(quán)限的終端：若終端不慎遺失，系統(tǒng)管理員可直接進行銷號操作，并綁定新設(shè)備

文章標題：oa服務(wù)器安全防護 服務(wù)器安全防護軟件
文章URL：http://jinyejixie.com/article38/dopsssp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、品牌網(wǎng)站建設(shè)、App設(shè)計、網(wǎng)站設(shè)計公司、搜索引擎優(yōu)化、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)