重慶網(wǎng)絡公司:簡述OA系統(tǒng)的安全方案
簡述OA系統(tǒng)的安全方案
政府OA系統(tǒng)存在的信息安全問題分析
在傳統(tǒng)的辦公模式中,辦公信息主要通過紙介質(zhì)進行傳遞的���。而OA系統(tǒng)則將辦公信息轉(zhuǎn)化為電子信息�����,通過計算機網(wǎng)絡高效地實現(xiàn)信息的共享�����、處理和流轉(zhuǎn)����,極大地提高了政府的工作效率。但正是由于信息的載體和處理方式發(fā)生了根本變化�,導致傳統(tǒng)辦公模式和OA系統(tǒng)中對信息安全的要求及解決方法完全不同,OA系統(tǒng)在信息安全方面提出了新的挑戰(zhàn)�����,OA系統(tǒng)的信息安全也越來越受到人們的關注����?��?偟膩碚f��,OA系統(tǒng)面臨的信息安全問題可歸結為以下幾個方面:
系統(tǒng)用戶身份的確認問題
如何確認用戶是否為OA系統(tǒng)的合法用戶��?這對于防止非法用戶進入OA系統(tǒng)是至關重要的�����。目前���,OA系統(tǒng)廣泛采用的方法是用“用戶名/口令”的方式來驗證用戶的合法性��,“用戶名/口令”的方式雖然可以完成驗證用戶的功能��,但其安全性是較低的�����,一是因為口令本身的安全強度不高�,可能被他人所猜出��,二是因為用戶名及口令在網(wǎng)絡中是明文傳輸�,在傳輸過程中可能被監(jiān)聽而泄露。另外�����,有些OA系統(tǒng)在“用戶名/口令”的基礎上又加上用戶機器設備的信息(如MAC地址)進行用戶驗證���,看起來似乎增加了“用戶名/口令”方式的安全性��,但用戶機器設備的信息可以在傳輸前替換偽造�,完全可以欺騙驗證服務器�,其安全性仍然存在著隱患,所以,還需要一種更安全的方式來進行用戶身份的確認����。
系統(tǒng)用戶權限的控制問題
當系統(tǒng)用戶的身份確認后,用戶即是系統(tǒng)的合法用戶�,但OA系統(tǒng)的業(yè)務處理流程的特殊性,要求對不同級別的合法用戶在信息的訪問和操作方面應該進行嚴格的權限控制��,防止非授權用戶越權訪問或操作信息�����。目前�����,OA系統(tǒng)已經(jīng)將用戶權限控制作為系統(tǒng)的重要功能�����,已得到很好地實現(xiàn)�����。
信息在傳輸過程中的保密性和完整性問題
由于網(wǎng)絡的互聯(lián)性和開放性��,信息在網(wǎng)絡中的傳輸不可避免地存在被監(jiān)聽的可能�����,要實現(xiàn)信息傳輸?shù)谋C苄灾挥袑π畔⑦M行加密���,以密文方式傳輸��,即使被監(jiān)聽����,監(jiān)聽者也無法明白密文所表示的信息�����。同樣�����,信息也可能在傳輸過程中被截獲篡改后再轉(zhuǎn)發(fā)出去�,造成信息的完整性受損,這種情況也是不可避免的�,但依靠完整性校驗算法,信息接收者可以判斷受到信息是否已被改動����,如被改動則認為該信息無效�,以此保證信息的完整性�����。目前���,OA系統(tǒng)對這個問題關注不夠�����,沒有能予以有效解決�����。
信息的不可否認性問題
在傳統(tǒng)的辦公模式中,通過紙介質(zhì)上的印章或簽名來解決信息的不可否認性問題�。但OA系統(tǒng)中,傳統(tǒng)的印章或簽名已不能使用�����,當前只有依靠數(shù)字簽名技術來解決信息的不可否認性問題���,世界上許多國家已紛紛頒布數(shù)字簽名法案���,確立數(shù)字簽名的法律地位�����。目前�,OA系統(tǒng)中沒有實現(xiàn)數(shù)字簽名�,許多重要的信息還需要依靠紙介質(zhì)保存,并沒有實現(xiàn)真正的無紙化辦公��。
針對OA系統(tǒng)存在的以上信息安全問題���,我們提出以下解決方案�。
政府OA系統(tǒng)信息安全解決方案
方案的設計原則是:完全遵從安全標準���,原系統(tǒng)盡量少改動�,方案實施簡單快捷�����。
具體方案如下:
- 取消用戶名和口令��,在OA系統(tǒng)中采用SSL協(xié)議來解決系統(tǒng)用戶身份的確認問題以及信息在傳輸過程中的保密性和完整性問題。
- 利用OA系統(tǒng)現(xiàn)有的用戶權限控制功能來解決系統(tǒng)用戶權限的控制問題�����。
- 在OA系統(tǒng)實現(xiàn)數(shù)字簽名功能來解決信息的不可否認性問題����。
- 由于現(xiàn)有的OA系統(tǒng)已經(jīng)很好地實現(xiàn)了對用戶權限的控制,所以對這部分不做改動�����,繼續(xù)使用OA系統(tǒng)現(xiàn)有用戶權限控制功能
- 數(shù)字簽名的實現(xiàn)需要用戶數(shù)字證書�,同時,對現(xiàn)有的OA系統(tǒng)改動也相對較大�����,OA系統(tǒng)中任何需要簽名的環(huán)節(jié)都需要創(chuàng)建相應的數(shù)字簽名�����,并且所有的數(shù)字簽名信息都需要存入數(shù)據(jù)庫
- SSL協(xié)議作為安全標準獲得了廣泛應用��,幾乎所有的WEB服務器和瀏覽器都支持SSL協(xié)議����,包括IIS和IE。SSL協(xié)議完美地解決解決系統(tǒng)用戶身份的確 認問題以及信息在傳輸過程中的保密性和完整性問題�����,而且IIS和IE都支持SSL協(xié)議����,實現(xiàn)起來相當簡單,只需要為IIS簽發(fā)并安裝一份WEB服務器數(shù)字 證書�����,為每一位系統(tǒng)用戶簽發(fā)一份用戶數(shù)字證書即可�。以用戶數(shù)字證書取代用戶名和口令來驗證用戶的合法身份,由于數(shù)字證書幾乎不可能被偽造���,這種身份確認方 式擁有極高的安全性�����,OA系統(tǒng)只需要作點相應的小改動���,以前是通過用戶名/口令來識別用戶���,現(xiàn)在需要從用戶數(shù)字證書中取得相應信息來識別用戶。
重慶網(wǎng)絡公司
渝公網(wǎng)安備 50010302000872號