長春上信科技如何測試一款OA辦公系統(tǒng)的安全性？從這四個方面下手

長春上信科技如何測試一款OA辦公系統(tǒng)的安全性？從這四個方面下手

OA辦公系統(tǒng)的安全性是非常值得重視的話題。

 我們都知道系統(tǒng)安全問題如同一個由很多個木板拼接起來的木桶，有很多方面，而任 何一面的不堅固或者出現(xiàn)問題（如操作系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫安全、內(nèi)部行為安全 等），都會使系統(tǒng)處于不安全狀態(tài)，沒有哪一個產(chǎn)品或者方案可以解決全方位的安全問題。

 這里我們僅對應(yīng)用系統(tǒng)——OA辦公系統(tǒng)的安全性進行考察，其他基礎(chǔ)性的安全問題是需要在實施時考慮的。那么對于一款OA辦公系統(tǒng)，如何考察它的安全性呢？

如何測試一款OA辦公系統(tǒng)的安全性？從這四個方面下手

可以從如下四個方面進行考慮。

1) 建立完整的、安全的用戶認證體系

 用戶認證體系是應(yīng)用軟件最突出的安全考慮問題。如果用戶認證體系不夠強壯，那么 意味著系統(tǒng)很容易被非法入侵。如通過SQL注入、暴力破解等非法入侵方式。

 一個優(yōu)良的軟件系統(tǒng)在用戶認證體系上都有著嚴密的防范措施：

□ 用戶信息的加密存儲，其中用戶登錄號、密碼等字段關(guān)鍵加密對象，密碼常以MD5 算法進行加密，該算法具有很強的反破解能力。

□對于用戶密碼的強制要求，如要求用戶對默認密碼進行修改，要求用戶密碼至少6 個或8個字節(jié)長度，甚至要求密碼必須由大小寫字母、數(shù)字等組成等等。

□ 相當難度的驗證碼措施，加強驗證，防止暴力破解，防嗅探侵犯。

□通過手機、二維碼、CA證書等多重認證方式。

□系統(tǒng)登錄后短消息提醒機制。

□其他措施。

2) 完善的用戶授權(quán)管理體系

 越細化的用戶授權(quán)，意味著系統(tǒng)的權(quán)限分配粒度越細。應(yīng)避免不同用戶使用權(quán)限上的 交叉性，確保應(yīng)用安全。

 一個優(yōu)良的系統(tǒng)的用戶權(quán)限分配需要達到模塊級、功能級、數(shù)據(jù)級，而不能僅為模塊級。

3) 頁面SQL注入防范

 頁面程序SQL注入是非常常見的入侵方式，幾乎90%以上的網(wǎng)站系統(tǒng)和Web應(yīng)用系 統(tǒng)都存在這樣的安全漏洞！ 一旦被入侵，就意味著你的系統(tǒng)的數(shù)據(jù)是完全敞開的了。黑客 可以任意獲取系統(tǒng)的重要數(shù)據(jù)，更糟糕的情況是數(shù)據(jù)被肆意刪除或篡改。所以SQL注入防 范是需要非常重視的。

SQL注入是從正常的WWW端口進行訪問（執(zhí)行入侵動作），將SQL的查詢/行為命 令通過“嵌入”的方式放入合法的HTTP提交請求，動態(tài)地構(gòu)成SQL請求發(fā)給數(shù)據(jù)庫，進 而達到完全入侵目的。這種入侵方式表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以 網(wǎng)絡(luò)防火墻都不會對SQL注入發(fā)出任何警報和進行防范處理。

 一般情況下，SQL注入漏洞都是程序設(shè)計開發(fā)不嚴謹造成的。雖然這是一個非常公開 的話題，但似乎很少有程序員在程序開發(fā)時重視這個問題。

4) 其他Web安全漏洞問題

 其他常見系統(tǒng)漏洞包括SQL盲注、跨站點腳本、解密登錄請求、跨站請求偽造鏈接注入、通過框架釣魚等問題。

 用戶可以自己利用Security AppScan這樣的專業(yè)工具進行評測，也可以委托第三方機 構(gòu)進行軟件安全評測。

更多詳細資訊請參：上信科技OA辦公系統(tǒng)帶來的經(jīng)濟效益