OA办公系统安全之身份认证
发布日期:2010-12-30 信息来源:http://www.chysoft.net

OA办公系统的安全涉及多个方面,典型包括的数据安全、硬件网络的安全、身份认证安全等。它们之间会相互关联影响,如:身份认证安全出现问题,非法用户的非法入侵系统导致数据的丢失和泄露,硬件的毁坏导致数据的损失,网络不安全导致数据传输过程中的数据泄露。身份认证安全是指通过一列的技术手段和相关的措施,确保用户在登录认证和应用中的安全性和合法性,身份认证安全包括了登录认证安全和应用身份认证安全。
一、OA办公系统的登录认证安全
在进入OA办公系统之前一般都需进行用户的登录验证,通过验证后才允许进入系统,在实现上常见的由以下几种模式:
1、基于用户名和密码的认证方式
这种方法是最简单、也是最常见的,用户输入用户名和密码,系统在后台进行匹配,正确则通过验证,错误则拒绝。如果在网络传输中用户名和密码泄露,数据库的账号信息被泄露,则攻击者可以直接使用用户名和密码以合法的身份进入OA系统,此时可以采用以下措施加强安全:
A、用户的密码加密存储,加密不可逆。
B、用户名和密码在网络传输过程进行加密
C、结合动态随机的验证码,防止攻击者使用程序进行反复攻击。

2、基于USB Key的身份认证
基于USB Key的身份认证技术,采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的密码算法实现对用户身份的认证。
使用者在登录OA系统时需插入USB Key,可以同时结合用户名和密码的验证。
3、基于CA的认证
电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA是证书的签发机构,它是PKI(Public Key Infrastructure ,即"公钥基础设施)的核心。
通常将CA证书下发到具体的用户,用户将CA证书安装在自己机器上。这种认证的方式的安全性极高,但投入的成本也相当大,证书的颁发、销毁等过程比较繁琐。
4、动态密码
在登录认证时采用了短信密码,以手机短信形式请求包含多位随机数的动态密码,OA办公系统以短信形式发送随机的多位密码到客户的手机上。用户在登录或者时候输入此动态密码,从而确保系统身份认证的安全性。
动态密码也可以结合用户名、密码及其它认证方式。

二、OA办公系统的应用身份认证安全
指在OA具体应用中的操作安全,如:不同岗位、拥有不同权限的用户只能操作指定授权范围的操作,具体同以下因素相关:
1、OA办公系统设计和编码的安全,如:权限系统设计是否严谨,每个功能操作是否在权限系统的控制之下。
2、程序的编码是否存在安全漏洞,攻击者可以利用程序的存在的漏洞进行非法的入侵和攻击,这样是系统安全和健壮的体现之一。
应用身份认证安全的重要操作除了结合审批流程外,还可以结合短信动态密码,相关的操作进行日志记录,操作的短信提醒(类似银行取款的短信提醒),应用的授权可以结合授权审计。

粤ICP备11095012号-1
Copyright 2005-2017 深圳市承元软件技术有限公司