安全性
OSI安全框架X.800将安全服务分为六个基本方面,如下图所示:
参考上述的OSI对安全服务的要求,结合信息管理平台的实际情况,iOffice.net针对安全所采用的技术及策略详见下表。
| 类型 | iOffice.net解决方案 | 说明 | |
|---|---|---|---|
| 身份认证* | 针对普通用户 | 用户名+密码 | 系统定期提醒更改密码。 |
| 针对领导层和敏感岗位人员 | 用户名+密码+智能卡 | 智能卡(iKey)是一种内置集成电路的芯片,存有与用户相关的数据,是不可复制的硬件。 | |
| 登录手机短信提醒 | 系统的每次登录都会发一个短信到合法用户的手机,非法登录可以第一时间就被发现。 | ||
| 针对涉密部门 | 用户名+动态口令 | 动态口令技术是一种让用户密码按照时间或使用次数不断变化,每个密码只能使用一次的技术。 | |
| 验证码的验证 | 用户的每次登录,系统会随机发一个验证码到用户手机,用户输入正确的验证码信息方可登录。 | ||
| 访问控制(权限) | 范围控制 | 采用权限和人事系统岗位角色结合 | . |
| 权限限制 | “三权分离” | 国内首家采用与企业实际应用结合,让管理、系统维护、使用人“三权分离”独有的设计理念,结合责权利管理思想而设计。 | |
| 针对涉密单位 | 依据安全涉密要求,增加安全保密管理员、安全审计员等角色,权限之间相互制约、相互监督。 | ||
| 加密 | 传输加密 | 密码传输 | 采用SSL或对称密钥 |
| 数据传输 | 采用对称密钥或SSL、IPSec | ||
| 存储加密 | 密码存储 | 采用不可逆的HASH杂凑算法处理,任何人无法看到明文 | |
| 数据存储 | 采用EFS加密 | ||
| 不可否认 | . | 采用数字签名 | . |
| 数据备份 | . | 系统自带 | . |
| 网络安全 | 防病毒 | . | 支持第三方 |
| 防火墙 | . | 支持第三方 | |
| VPN | . | 支持第三方 | |
| 入侵检测 | . | 支持第三方 | |
身份认证有两种实现机制。第一种是系统实现的安全机制,应用依赖于平台服务来提供必要的认证和授权功能,开发者不必编写和测试任何代码,IIS服务器提供了适合许多情形的大量认证方法,但采用系统安全机制时,应用也同时受到平台安全服务固有局限的束缚。第二种是应用实现的安全机制,应用本身必须提供所有进行身份认证和授权的代码。应用本身实现的安全机制灵活性最高,但代价是代码必须由开发者自己编写。由于对安全机制的灵活性要求高,iOffice.net采用应用实现的安全机制,并提供了windows AD账号和OA系统的人事账号进行同步的功能
iOffice.net是基于Internet/Intranet运行的平台。大量的办公信息通过网络进行传输,网络系统的安全性将直接影响到iOffice.net信息管理平台的安全性。虽然在iOffice.net内部已经采取多种措施极大地加强了安全性,如完善的权限设置、账号认证、数据传输加密等,但这些手段只是在软件的层面做到防止数据信息的泄密和恶意破坏,网络及硬件系统的安全性并不属于信息平台所包含的范畴,需要专门的网络安全解决方案;
保护系统安全的设计选择会影响到性能、可缩放性和可用性。通常要在安全性、性能和可用性之间进行权衡,具体可与我们的安全技术人员沟通。