oa系统安全包含了很多方面，有操作系统层面的、硬件和网络层面的，有应用层面的，而数据安全则是oa系统安全中比较重要的部分，数据丢失带来的损失是无法挽回的。很多用户在进行oa系统的选型时，更多的是关注oa系统的功能和价格，功能是否与自身的要求相符合，价格是否是自己能够承受的范围；其次就是关心售后服务，而把oa系统的安全性、性能和稳定性等方面忽略了。

oa系统需要做好基本的安全措施及应用策略，避免因安全问题而导致系统的无法正常运行，避免安全问题带来的数据丢失。
一、oa服务器与网络安全
很多用户选择自建oa服务器，服务器安全和网络安全是oa系统安全的第一层保障，服务器被非法入侵，攻击者获取了服务器的超级用户的权限，整个系统完全处于“暴露”状态。如：勒索病毒攻击Windows操作系统的电脑或服务器，这种病毒程序利用各种加密算法对电脑上的文件进行加密，并同时删除被加密的原始文件，这样被感染者的电脑无法解密并打开文件。
[常见问题]
自建服务器服务器被非法入侵、硬件毁坏，硬盘物理毁坏导致的数据丢失等。
应对措施：
1、自建服务器的硬盘做磁盘阵列，安装防病毒和查杀木马的工具；
2、尽量不要在服务器安装不必要的软件，不运行来历不明的安装文件；
3、windows安装高版本，如：windows server 2016以上，服务器定期及时更新系统补丁；
4、加强网络的安全，减少入侵者攻击服务器的途径；
5、服务器尽量关闭不必要的服务和端口；
6、需经常关注服务器的运行状况，看看是否有“异常”（如：未知的进程在运行）；
相关阅读：勒索病毒的应对与oa系统的异地备份

二、oa系统的数据安全
oa系统安全典型的包括数据损坏、数据丢失、数据泄漏等，数据的毁坏和丢失是最为严重的，如果没有做相应的安全和数据备份策略，则数据的丢失是无法挽回的 。
1、数据损坏
服务器硬盘的损坏，系统崩溃、突然中断、木马病毒对文件的破坏导致数据出现问题。
应对措施：
根据数据的更新频率定期的做数据备份（数据更新频繁则备份的间隔时间短），为防止OA服务器硬件的损坏，定期的做数据的异地备份（将数据备份在OA服务器之外的其他存储介质上）。
对于大型的oa系统应用如果有条件可以考虑双机热备，这样其中一台服务器损坏另外一台服务器有实时的备份。

2、数据丢失
   误操作，服务器被非法入侵，系统不稳定、系统存在漏洞受到恶意攻击数据被删除等导致数据丢失。
应对措施：
加强服务器操作系统安全的设置，OA软件自身编码的安全性检测，数据库系统的安全设置。
根据数据的更新频率定期的做数据备份（数据更新频繁则备份的间隔时间短），为防止OA服务器硬件的损坏，定期的做数据的异地备份（将数据备份在OA服务器之外的其他存储介质上）。
注意：数据丢失和数据错误有很大的区别，数据错误一般是程序逻辑运行错误导致的，而数据丢失有可能是由oa系统安全性造成的。

3、数据泄漏
程序的存储安全漏洞，相关的应用未作安全控制，冒用相关用户身份获取信息，服务器被非法入侵，基于Internet访问时数据传输的信息泄露。
应对措施：
服务器操作系统安全的设置加强，增强系统对身份认证安全与控制，oa系统自身编码的安全性检测，增强数据库系统的安全设置，重要数据的加密存储，基于Internet的需关注数据的加密传输。

三、身份认证安全
身份认证安全是oa系统安全中容易被忽略但又是非常重要的部分，程序中存在漏洞给攻击者提供了机会（如：sql攻击、文件上载问题、目录权限问题等），账号和密码的泄露，冒用相关用户身份登入oa系统进行“合法”操作，导致数据的丢失、数据的泄露。
基本的应对措施：
1、oa系统需具备强大完善的权限系统，统一权限控制、统一权限的分配、统一身份认证。（如：有的oa系统中普通用户可以输入系统后台管理的地址，由于没有进行权限控制，可以直接进行相关操作）
2、用户账号和密码的加密存储，密码加密的不可逆性，重要用户保管好自身的密码，不允许设置过于简单的密码。
3、手机OA与用户账号绑定+使用手机app的扫码登录控制，提升身份认证的安全性。
4、使用短信验证码结合用户账号和密码登录认证，相关重要操作的身份二次认证。

其它的身份安全措施：
1、结合SSL(HTTPS)和VPN。
2、系统重要操作结合手机短信验证，将验证码发到指定用户的手机上后，输入验证码后才允许操作。
3、客户端结合硬件进行登录认证，如：USB硬件设备里面存放了登陆者的认证信息，当登录认证时必须同时插上钥匙才能进行密码的验证。
4、对于大型的OA应用可以考虑结合CA认证。

四、oa系统的应用安全
应用安全与OA系统安全性主要体现在开发技术和语言、数据库、操作系统、系统的设计与编码、数据加密机制、应用的权限控制(OA的权限系统)等，这块与oa厂商的产品和技术有直接关系。应用系统在保证合法用户能够正常访问授权访问的应用资源的前提下，一方面，内网应用平台对用户身份和权限进行管理，在安全管理的配合下保证网络应用的安全；另一方面，可采用第三方安全产品对系统的安全性进行加强。
应对措施：
oa使用单位严格做好权限的管理和控制，应用安全同oa系统厂商提供的软件密切相关，主要由oa厂商在技术层面上保障，如：自身编码的安全性检测，sql攻击、跨站脚本、文件上载、目录权限等，每个程序和页面需在OA权限系统的统一控制之下。
攻击者可利用程序中的漏洞进行非法的攻击、假冒用户身份；除了oa系统的设计和编码水平外，同系统软件和软件架构的选择也有很大的关系，一般Unix操作系统安全性高于windows，Java开发的软件安全性高于.Net、PHP和asp语言开发的软件。

五、其他的安全措施
1、严格管理好oa服务器，管理好服务器的日常操作；
2、规范oa系统的日常操作和管理；
3、一般来说Unix和Linux的安全性高于windows，而且windows的病毒比较多；
4、系统部署在局域网的安全性高于Internet，杜绝了Internet的攻击途径；
5、Java开发的oa系统安全高于.net、asp和php开发的系统；

承元软件建议，oa系统安全需根据自身的实际情况进行处理，安全与经济性、易用性是成反比的，对安全性的要求越高，投入的成本越大，完全忽视oa系统安全和过分的强调系统安全都存在一定的问题，中小企业oa做好常见的安全措施，保障数据的安全性是重中之重。