[分享] 关于系统身份认证安全的日常管理措施

xumingboy

身份认证安全是OA系统安全中容易被忽略但又是非常重要的部分，程序中存在漏洞给攻击者提供了机会（如：sql攻击、文件上载问题、目录权限问题等），账号和密码的泄露，冒用相关用户身份登入OA系统进行“合法”操作，导致数据的丢失、数据的泄露。
基于身份认证安全方面的管理措施：
1、OA软件自身编码的安全性检测，如：sql攻击、跨站脚本、文件上载、目录权限等，每个程序和页面需在OA权限系统的统一控制之下。
     OA系统需具备强大完善的权限系统，统一权限控制、统一权限的分配、统一身份认证。（如：有的OA系统中普通用户可以输入系统后台管理的地址，由于没有进行权限控制，可以直接进行相关操作）
2、用户账号和密码的加密存储，密码加密的不可逆性，重要用户保管好自身的密码，不允许设置过于简单的密码。
3、使用验证码结合用户账号和密码登录认证，防止非法的登录认证攻击。
4、客户端结合硬件进行登录认证，如：USB硬件设备里面存放了登陆者的认证信息，当登录认证时必须同时插上钥匙才能进行密码的验证。
5、系统重要操作结合手机短信验证，将验证码发到指定用户的手机上后，输入验证码后才允许操作。
6、对于大型的OA应用可以考虑结合CA认证
7、结合SSL(HTTPS)和VPN。