OA办公系统安全之身份认证

   OA办公系统的安全涉及多个方面，典型包括的数据安全、硬件网络的安全、身份认证安全等。它们之间会相互关联影响，如：身份认证安全出现问题，非法用户的非法入侵系统导致数据的丢失和泄露，硬件的毁坏导致数据的损失，网络不安全导致数据传输过程中的数据泄露。身份认证安全是指通过一列的技术手段和相关的措施，确保用户在登录认证和应用中的安全性和合法性，身份认证安全包括了登录认证安全和应用身份认证安全。
一、OA办公系统的登录认证安全
    在进入OA办公系统之前一般都需进行用户的登录验证，通过验证后才允许进入系统，在实现上常见的由以下几种模式：
1、基于用户名和密码的认证方式
    这种方法是最简单、也是最常见的，用户输入用户名和密码，系统在后台进行匹配，正确则通过验证，错误则拒绝。如果在网络传输中用户名和密码泄露，数据库的账号信息被泄露，则攻击者可以直接使用用户名和密码以合法的身份进入OA系统，此时可以采用以下措施加强安全：
A、用户的密码加密存储，加密不可逆。
B、用户名和密码在网络传输过程进行加密
C、结合动态随机的验证码，防止攻击者使用程序进行反复攻击。

2、基于USB Key的身份认证
    基于USB Key的身份认证技术，采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。
使用者在登录OA系统时需插入USB Key，可以同时结合用户名和密码的验证。
3、基于CA的认证
    电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA是证书的签发机构，它是PKI（Public Key Infrastructure ，即"公钥基础设施）的核心。
通常将CA证书下发到具体的用户，用户将CA证书安装在自己机器上。这种认证的方式的安全性极高，但投入的成本也相当大，证书的颁发、销毁等过程比较繁琐。
4、动态密码
    在登录认证时采用了短信密码，以手机短信形式请求包含多位随机数的动态密码，OA办公系统以短信形式发送随机的多位密码到客户的手机上。用户在登录或者时候输入此动态密码，从而确保系统身份认证的安全性。
    动态密码也可以结合用户名、密码及其它认证方式。

二、OA办公系统的应用身份认证安全
    指在OA具体应用中的操作安全，如：不同岗位、拥有不同权限的用户只能操作指定授权范围的操作，具体同以下因素相关：
1、OA办公系统设计和编码的安全，如：权限系统设计是否严谨，每个功能操作是否在权限系统的控制之下。
2、程序的编码是否存在安全漏洞，攻击者可以利用程序的存在的漏洞进行非法的入侵和攻击，这样是系统安全和健壮的体现之一。
    应用身份认证安全的重要操作除了结合审批流程外，还可以结合短信动态密码，相关的操作进行日志记录，操作的短信提醒（类似银行取款的短信提醒），应用的授权可以结合授权审计。