OA知識(shí)
這四種方法可以測(cè)試OA辦公系統(tǒng)的安全性
OA辦公系統(tǒng)的安全性是非常值得重視的話(huà)題。
我們都知道系統(tǒng)安全問(wèn)題如同一個(gè)由很多個(gè)木板拼接起來(lái)的木桶,有很多方面,而任 何一面的不堅(jiān)固或者出現(xiàn)問(wèn)題(如操作系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫(kù)安全、內(nèi)部行為安全 等),都會(huì)使系統(tǒng)處于不安全狀態(tài),沒(méi)有哪一個(gè)產(chǎn)品或者方案可以解決全方位的安全問(wèn)題。
這里我們僅對(duì)應(yīng)用系統(tǒng)——OA辦公系統(tǒng)的安全性進(jìn)行考察,其他基礎(chǔ)性的安全問(wèn)題是需要在實(shí)施時(shí)考慮的。那么對(duì)于一款OA辦公系統(tǒng),如何考察它的安全性呢?
1) 建立完整的、安全的用戶(hù)認(rèn)證體系
用戶(hù)認(rèn)證體系是應(yīng)用軟件最突出的安全考慮問(wèn)題。如果用戶(hù)認(rèn)證體系不夠強(qiáng)壯,那么 意味著系統(tǒng)很容易被非法入侵。如通過(guò)SQL注入、暴力破解等非法入侵方式。
一個(gè)優(yōu)良的軟件系統(tǒng)在用戶(hù)認(rèn)證體系上都有著嚴(yán)密的防范措施:
用戶(hù)信息的加密存儲(chǔ),其中用戶(hù)登錄號(hào)、密碼等字段關(guān)鍵加密對(duì)象,密碼常以MD5 算法進(jìn)行加密,該算法具有很強(qiáng)的反破解能力。對(duì)于用戶(hù)密碼的強(qiáng)制要求,如要求用戶(hù)對(duì)默認(rèn)密碼進(jìn)行修改,要求用戶(hù)密碼至少6 個(gè)或8個(gè)字節(jié)長(zhǎng)度,甚至要求密碼必須由大小寫(xiě)字母、數(shù)字等組成等等。相當(dāng)難度的驗(yàn)證碼措施,加強(qiáng)驗(yàn)證,防止暴力破解,防嗅探侵犯。通過(guò)手機(jī)、二維碼、CA證書(shū)等多重認(rèn)證方式。系統(tǒng)登錄后短消息提醒機(jī)制。
2) 完善的用戶(hù)授權(quán)管理體系
越細(xì)化的用戶(hù)授權(quán),意味著系統(tǒng)的權(quán)限分配粒度越細(xì)。應(yīng)避免不同用戶(hù)使用權(quán)限上的 交叉性,確保應(yīng)用安全。
一個(gè)優(yōu)良的系統(tǒng)的用戶(hù)權(quán)限分配需要達(dá)到模塊級(jí)、功能級(jí)、數(shù)據(jù)級(jí),而不能僅為模塊級(jí)。
3) 頁(yè)面SQL注入防范
頁(yè)面程序SQL注入是非常常見(jiàn)的入侵方式,幾乎90%以上的網(wǎng)站系統(tǒng)和Web應(yīng)用系 統(tǒng)都存在這樣的安全漏洞! 一旦被入侵,就意味著你的系統(tǒng)的數(shù)據(jù)是完全敞開(kāi)的了。黑客 可以任意獲取系統(tǒng)的重要數(shù)據(jù),更糟糕的情況是數(shù)據(jù)被肆意刪除或篡改。所以SQL注入防 范是需要非常重視的。
SQL注入是從正常的WWW端口進(jìn)行訪(fǎng)問(wèn)(執(zhí)行入侵動(dòng)作),將SQL的查詢(xún)/行為命 令通過(guò)“嵌入”的方式放入合法的HTTP提交請(qǐng)求,動(dòng)態(tài)地構(gòu)成SQL請(qǐng)求發(fā)給數(shù)據(jù)庫(kù),進(jìn) 而達(dá)到完全入侵目的。這種入侵方式表面看起來(lái)跟一般的Web頁(yè)面訪(fǎng)問(wèn)沒(méi)什么區(qū)別,所以 網(wǎng)絡(luò)防火墻都不會(huì)對(duì)SQL注入發(fā)出任何警報(bào)和進(jìn)行防范處理。
一般情況下,SQL注入漏洞都是程序設(shè)計(jì)開(kāi)發(fā)不嚴(yán)謹(jǐn)造成的。雖然這是一個(gè)非常公開(kāi) 的話(huà)題,但似乎很少有程序員在程序開(kāi)發(fā)時(shí)重視這個(gè)問(wèn)題。
4) 其他Web安全漏洞問(wèn)題
其他常見(jiàn)系統(tǒng)漏洞包括SQL盲注、跨站點(diǎn)腳本、解密登錄請(qǐng)求、跨站請(qǐng)求偽造鏈接注入、通過(guò)框架釣魚(yú)等問(wèn)題。用戶(hù)可以自己利用Security AppScan這樣的專(zhuān)業(yè)工具進(jìn)行評(píng)測(cè),也可以委托第三方機(jī) 構(gòu)進(jìn)行軟件安全評(píng)測(cè)。