日前,国务院发布报告,首次对“棱镜门”事件进行了官方确认和表态。转眼间,“棱镜门”事件已过去一年,这一年来,国际关系、政府企业都受到不同程度的影响,安全一词在公众生活中出现的频率显著升高。对于OA系统来说,系统的安全性也受到前所未有的关注。
在安全危机尚未大规模爆发之前,已有众多OA厂商在重视这个问题,素有“中国管理软件项目成功率第一品牌”之称的九思软件便是其中之一。
九思软件自主研发的iThink协同办公系统从访问层、应用层、数据层、存储层不同层面进行安全策略部署,并有效结合第三方安全技术实现联合监控,从而在安全方面,形成了与业内其他厂商的重要差异化,并打造了三重门式的防御机制:
一、准入机制
1、登录认证
九思OA系统支持大量认证方式,如用户名、密码,UKey、LDAP认证、CA认证等,最大限度的保证用户登录的合法性。OA系统系统对每个页面都做了认证,若不经过登录直接请求URL将直接转向到登录页面,保证系统信息不被非法获取。
2、IP控制
另外,OA能够通过IP控制登陆系统的用户群,拥有特权的用户在特权期限内可以随时随地登陆系统,普通用户只有在开通IP地址的机器上才能登陆系统。在局域网内,IP地址一般都分布在一个或几个IP段内,管理员只要将IP段开通,用户通过开通的IP可以成功登陆系统。
3、管理员权限
OA系统管理员可以定义一系列不同的访问规则,如用户身份验证规则,授权规则等,然后将系统用户划分成不同的组,对其配备不同的身份和属性,通过既定的规则分配来实现对不同资源的访问从而完成授权管理。
二、防御机制
1、信息加密
九思OA系统对重要信息实施加密,如用户名密码采用MD5二次加密,杜绝非法用户获取其他用户信息,还可对附件采取部分加密,防止非法下载。
2、统一出错页面
有攻击者会故意输入错误的URL使程序不能正确执行,获取出错页面用来分析服务器信息,并加以利用进行攻击。九思OA系统采用统一的出错提示页面,使攻击无法获取实际的出错信息,阻止了其进一步攻击。
三、容灾机制
当城墙无法抵御外侵时,便要求城内做好容灾准备。九思OA系统支持各种数据容灾设备,本地系统的高可用能力与容灾设备形成一个整体,实现多级的故障切换和恢复机制,确保系统在各个范围的可靠和安全。
1、同步备份
九思OA系统自身含有数据备份机制,平台服务启动后会有一个线程在系统后台运行,根据用户设置的策略定时自动执行备份计划。九思OA协同管理平台的备份文件存放在服务器本地,而为了安全考虑往往需要把这些备份文件转储到其它服务器上,当本地服务器发生灾难故障时可以保证系统能够恢复或顺利迁移至额外的服务器上。
2、异步容灾
考虑到容灾能力和对应用系统性能的影响,九思OA不但支持做近距的、同步的数据容灾,还支持远程的、异步的数据容灾。支持专业的基于备份存储柜的存储方案,实现重要数据的集中存储,并保证异地数据的完整性、可用性。
3、灾难恢复
九思OA系统建立了多层次的广域网络故障切换机制,在远程的容灾系统中,既要包含本地系统的安全机制、远程的数据复制机制,还具备广域网范围的远程故障切换能力和故障诊断能力。一旦故障发生,系统通过强大的故障诊断和切换策略制订机制,确保快速的反应和迅速的业务接管。
中国古人讲求居安思危、防患于未然,对可预见的危险准备好应对方案,对不可预测的灾难做好防御机制,如此才能站得高、走得远。