OA | 项目 | 合同 | 知识 | 档案 | CRM | KM | ERP |  设备 |  专题       
伟创首页 易企管 定制软件 解决方案 经典案例 行业资讯
关于我们  |  联系我们  | 400-0906-395

伟创软件:办公软件专家

+ 企业信息化咨询顾问      + 办公软件集成方案      + 企业信息化解决方案     
+ 数据集成及安全方案      + 数据挖掘解决方案      + 移动办公及云办公     
当前位置: 伟创软件 -> 软件服务/产品 -> OA协同办公系统 -> 云端加密存在的困境、隐患和问题

中小企业OA协同办公系统

整合大数据价值最大化的三个关键因素

伟创软件 -> OA协同办公系统
的内容往往使用户非常难以访问和分析所需的信息。      现代数据中心往往是一个复杂的系统,相互连接的服务器和设备存储,处理和分发各种来源的大量信息。但智能大数据整合,在改造传统的信息系统,可以缓解从地理位置分散的网站,甚至其他数据中心的聚集和分析信息的斗争。  &nb..

如何构建企业信息安全

伟创软件 -> OA协同办公系统
是学术界所关心的术语,就像是五、六十年前“计算机”被称为“电算机”那样仅被学术界所了解一样。现在,“信息安全”因各种原因已经像公众词汇那样被广大公众所熟知,尽管尚不能与“计算机”这个词汇的知名度所比拟,但也已经具有广泛的普及性。问题的关键在于人们对“计算机”的理解不会有什么太大的偏差,而对“信息安全..

微信在O2O,方面的应用

伟创软件 -> OA协同办公系统
会想到团购、大众点评以及愈演愈烈的红包大战。这些都是互联网与现实支付、体验很好结合的模式,也是O2O 的经典模式。而业界普遍的观点认为O2O 是未来商业模式的总趋势。O2O 的商业运用也越来越重要,特别是对于传统行业。掌握了O2O 的商家,在同等竞争条件下就可以脱颖而出,在商业的道路上就跑得更快。 ..

 

云端加密存在的困境、隐患和问题

作者:佚名  来源:网络
导读:OA协同办公系统 ,云端加密存在的困境、隐患和问题:可能会更昂贵。不管云供应商提供了什么样的安全水平,理解这个问题很重要:安全并不是“一锤子买卖”,而是一个过程,因而企业需要在云服务的两端实施安全,即:为保障数据的安全性,终端用户(进一步称为云服务用户)仍需要采取同样的行动。     数据总在无休无止地创建过程,我们还
关键词: 协同办公  ERP软件  档案  客户管理  知识管理  项目管理  合同管理 

    与从云服务供应商处得到的安全相比,同样的安全控制在企业内部实现可能会更昂贵。不管云供应商提供了什么样的安全水平,理解这个问题很重要:安全并不是“一锤子买卖”,而是一个过程,因而企业需要在云服务的两端实施安全,即:为保障数据的安全性,终端用户(进一步称为云服务用户)仍需要采取同样的行动。

    数据总在无休无止地创建过程,我们还必须考虑如何保护数据的机密性、完整性、可访问性。在创建数据时,我们需要假设一些可能发生的最糟糕的情况,其中包括但不限于数据泄露、未授权访问、完全丧失对数据的访问,等等。未授权的访问意味着丧失了对数据的控制。数据处理的一个副作用就是生成了额外的副本,例如在硬盘上的交换内存、临时文件,或者是我们用以处理数据过程的内存。在基于云的方案中,关于数据处理的另一个必须考虑到的副作用就是元数据的创建。即使简单的处理也能产生大量的元数据。如今,收集元数据成为一项艰巨的任务,这意味着元数据也要求某种形式的保护,特别是由于元数据包含敏感信息,所以对其保护显得尤为重要。其次,从安全的观点看,加密和解密的位置与时间极为重要。如果加密发生在云端,企业就必须提供安全措施,将未加密的数据发送到其中。

    在谈到数据泄露或未授权的访问时,我们首先想到的是加密。由于加密是从军事领域进入企业的,所以加密往往被误解,并被描述为一种很有魔力的可以解决所有安全问题的方案。但这种方法从开始就是有瑕疵的。下面展开讨论其中的诸多因素。

    1.不安全的过程

    用复杂的方案解决复杂问题并不是简单任务,在我们试图通过加密解决安全问题时尤其如此。安全始于信息处理过程。如果设计过程不合理,加密会安全吗?例如,如果你要求用户使用过长的复杂口令,用户就会找到一种不安全的方法绕过去。此处的原则是终端用户的体验对安全来说至关重要:控制应当允许用户快速完成任务而不带来太多障碍。企业的业务人员也喜欢这种方法,因为它可以长久地使利润最大化。

    口令策略与加密有什么关系呢?虽然从安全的观点看,口令已成“过去式”,但是口令仍在使用中,而且还很强健。用户如何登录到移动设备?难道不是用PIN?用户如何登录到社交账户或云中的电子邮件账户?问题的寓意在于:如果你使用口令来保护对数据的访问,就需要保障口令的安全,并且经常更换。云方案并不会使口令完全消失。

    2.用户教育和安全意识

    不管你是如何巧妙地设计过程和实施过程,都不能忽视人的因素。正如爱因斯坦所言,有两件事情是永恒的,就是宇宙和人类的愚蠢,对于前者我并不太了解。如果用户能够在恶意软件弹出的窗口中多次输入口令,就不要期望加密会阻止其这样做。如果再强调加密的作用就是在自欺欺人。用户们必须认识到威胁,并且理解如何处理控制才能保证安全。钓鱼攻击正被一些类似恶意软件的攻击所利用。在恶意软件防护问题上这尤其重要。除非云服务供应商在其云服务和客户系统上提供恶意软件的防护,否则,对于终端用户的恶意软件防护来说,可做的很少。当然,客户必须安装最新的安全方案。扫描上传到云服务的文件或数据并不能阻止终端系统受到恶意软件的感染。因而,恶意软件不但可以感染系统,还能够从云服务的客户端窃取未加密的数据,并且可以窃取需要云服务访问的信息,还能破坏云服务。

    3.不安全的架构

    再次谈到云服务供应商。整个系统的架构(其中包括密码系统)对于最终的安全水平都至关重要。在多数情况下,要保障数据一直处于加密状态并不可行,因而,解密过程在应对未授权的访问和数据泄露风险时就显得尤为重要。企业应遵循如下的最佳实践:

    (1)部署多层防御,仅有加密这一层还远远不够。

    (2)尽可能在一个地方加密和解密数据,例如,这样做会限制有些信息没有被正确加密的风险,而且还要以使安全审计更容易。

    (3)要保护好加密密钥和IV(初始向量)。

    (4)确保实施强健的随机数字生成器。

    (5)如果可行的话,不要使公众使用全部功能,从而限制攻击面。

    很明显,上述清单并没有包含所有的最佳实践。有些最佳实践与服务类型或云服务的经营模式有紧密联系。

    4.脆弱协议和算法

    从安全的观点看,如果实施和部署不当,即使最佳的架构仍有可能成为隐患。例如,一些不安全协议和算法的使用,如SSH的老版本等。幸运的是,有些厂商开始禁止对不安全协议的支持。

    另一个问题是,由于密钥太短小或生成方式不强大,就有可能造成企业的协议很强健而其密钥很脆弱。总之,不要使用太短小的密钥,因为其容易被破解。如果攻击者自身缺乏计算能力,他完全可以购买云服务,从而可以使其快速地破解短密钥。

    5.随机数的随机性不强

    如果不使用基于硬件的方案,对计算机来说随机数的生成并不是容易的任务。多数编程语言都提供随机函数,但这类函数并不安全,因而不应用于密码系统中。简言之,脆弱的随机数生成器可以使整个密码系统不安全,并易于被破解,因为这可以使攻击者正确地猜测到生成器的结果和种子的初始向量,从而使密码分析攻击更容易,并且使攻击者可以破坏整个加密过程。

 

..


 
OA  ERP  CRM  进销存  知识  人事  自动化  流程  工程项目  成本  协同  项目  档案  移动  移动平台  合同  电子档案  不动产  国有资产  自建房  宅基地  公租房  国有不动产  设备  销售CRM  客户关系  项目  知识库  人事  ERP  无纸化  资讯 
 
热线电话:400-0906-395  伟创软件-办公软件专家 All Rights Reserved. 产品服务  资讯专题  行业专题  伟创软件  京ICP备17005839号 
项目 | 合同 | 知识 | 档案 | OA | CRM | 设备 | 资讯 | 设备 | 专题 |