OA | 项目 | 合同 | 知识 | 档案 | CRM | KM | ERP |  设备 |  专题       
伟创首页 易企管 定制软件 解决方案 经典案例 行业资讯
关于我们  |  联系我们  | 400-0906-395

伟创软件:办公软件专家

+ 企业信息化咨询顾问      + 办公软件集成方案      + 企业信息化解决方案     
+ 数据集成及安全方案      + 数据挖掘解决方案      + 移动办公及云办公     
当前位置: 伟创软件 -> 软件服务/产品 -> 在线OA协同办公系统专题

在线OA协同办公系统专题

中小企业仓库管理的重要性及三个妙招

伟创软件 -> 在线免费OA协同办公系统专题
靠人去用,企业应用深度与否取决于企业领导层重视程度,以及配套的办理制度保证和供应商的服务能力,两者缺一不可。仅仅通过某一个部门去推动,结尾只会导致在整个公司应用的失败。 第三:软件售后服务决议后期实施 因为目前国内软件厂商比较多,所以售..

浅谈中小企业网络管理系统

伟创软件 -> 在线免费OA协同办公系统专题
,从建立网络,到应用网络,直至管理网络,都缺乏一个科学性、有序化和规范化的发展态势,甚至直接影响乃至制约着企业核心业务的持续发展。     所以,作为一家中小企业有必要搭建起一个管理企业网络的技术服务平台,以..

 

在线OA协同办公系统:云端加密存在的困境、隐患和问题

作者:佚名  来源:网络
导读:在线OA协同办公系统专题:云端加密存在的困境、隐患和问题:; 数据总在无休无止地创建过程,我们还必须考虑如何保护数据的机密性、完整性、可访问性。在创建数据时,我们需要假设一些可能发生的最糟糕的情况,其中包括但不限于数据泄露、未授权访问、完全丧失对数据的访问,等等。未授权的访问意味着丧失了对数据的控制。数据处理的一个副作用就是生成了额外的副本,例如在硬盘上的,在线OA协同办公系统专题,免费OA协同办公系统
关键词: 协同办公  ERP软件  档案  客户管理  知识管理  项目管理  合同管理  进销存  设备管理 

   与从云服务供应商处得到的安全相比,同样的安全控制在企业内部实现可能会更昂贵。不管云供应商提供了什么样的安全水平,理解这个问题很重要:安全并不是“一锤子买卖”,而是一个过程,因而企业需要在云服务的两端实施安全,即:为保障数据的安全性,终端用户(进一步称为云服务用户)仍需要采取同样的行动。

    数据总在无休无止地创建过程,我们还必须考虑如何保护数据的机密性、完整性、可访问性。在创建数据时,我们需要假设一些可能发生的最糟糕的情况,其中包括但不限于数据泄露、未授权访问、完全丧失对数据的访问,等等。未授权的访问意味着丧失了对数据的控制。数据处理的一个副作用就是生成了额外的副本,例如在硬盘上的交换内存、临时文件,或者是我们用以处理数据过程的内存。在基于云的方案中,关于数据处理的另一个必须考虑到的副作用就是元数据的创建。即使简单的处理也能产生大量的元数据。如今,收集元数据成为一项艰巨的任务,这意味着元数据也要求某种形式的保护,特别是由于元数据包含敏感信息,所以对其保护显得尤为重要。其次,从安全的观点看,加密和解密的位置与时间极为重要。如果加密发生在云端,企业就必须提供安全措施,将未加密的数据发送到其中。

    在谈到数据泄露或未授权的访问时,我们首先想到的是加密。由于加密是从军事领域进入企业的,所以加密往往被误解,并被描述为一种很有魔力的可以解决所有安全问题的方案。但这种方法从开始就是有瑕疵的。下面展开讨论其中的诸多因素。

    1.不安全的过程

    用复杂的方案解决复杂问题并不是简单任务,在我们试图通过加密解决安全问题时尤其如此。安全始于信息处理过程。如果设计过程不合理,加密会安全吗?例如,如果你要求用户使用过长的复杂口令,用户就会找到一种不安全的方法绕过去。此处的原则是终端用户的体验对安全来说至关重要:控制应当允许用户快速完成任务而不带来太多障碍。企业的业务人员也喜欢这种方法,因为它可以长久地使利润最大化。

    口令策略与加密有什么关系呢?虽然从安全的观点看,口令已成“过去式”,但是口令仍在使用中,而且还很强健。用户如何登录到移动设备?难道不是用PIN?用户如何登录到社交账户或云中的电子邮件账户?问题的寓意在于:如果你使用口令来保护对数据的访问,就需要保障口令的安全,并且经常更换。云方案并不会使口令完全消失。

    2.用户教育和安全意识

    不管你是如何巧妙地设计过程和实施过程,都不能忽视人的因素。正如爱因斯坦所言,有两件事情是永恒的,就是宇宙和人类的愚蠢,对于前者我并不太了解。如果用户能够在恶意软件弹出的窗口中多次输入口令,就不要期望加密会阻止其这样做。如果再强调加密的作用就是在自欺欺人。用户们必须认识到威胁,并且理解如何处理控制才能保证安全。钓鱼攻击正被一些类似恶意软件的攻击所利用。在恶意软件防护问题上这尤其重要。除非云服务供应商在其云服务和客户系统上提供恶意软件的防护,否则,对于终端用户的恶意软件防护来说,可做的很少。当然,客户必须安装最新的安全方案。扫描上传到云服务的文件或数据并不能阻止终端系统受到恶意软件的感染。因而,恶意软件不但可以感染系统,还能够从云服务的客户端窃取未加密的数据,并且可以窃取需要云服务访问的信息,还能破坏云服务。

    3.不安全的架构

    再次谈到云服务供应商。整个系统的架构(其中包括密码系统)对于最终的安全水平都至关重要。在多数情况下,要保障数据一直处于加密状态并不可行,因而,解密过程在应对未授权的访问和数据泄露风险时就显得尤为重要。企业应遵循如下的最佳实践:

   (1)部署多层防御,仅有加密这一层还远远不够。

   (2)尽可能在一个地方加密和解密数据,例如,这样做会限制有些信息没有被正确加密的风险,而且还要以使安全审计更容易。

   (3)要保护好加密密钥和IV(初始向量)。

   (4)确保实施强健的随机数字生成器。

   (5)如果可行的话,不要使公众使用全部功能,从而限制攻击面。

    很明显,上述清单并没有包含所有的最佳实践。有些最佳实践与服务类型或云服务的经营模式有紧密联系。

    4.脆弱协议和算法

    从安全的观点看,如果实施和部署不当,即使最佳的架构仍有可能成为隐患。例如,一些不安全协议和算法的使用,如SSH的老版本等。幸运的是,有些厂商开始禁止对不安全协议的支持。

    另一个问题是,由于密钥太短小或生成方式不强大,就有可能造成企业的协议很强健而其密钥很脆弱。总之,不要使用太短小的密钥,因为其容易被破解。如果攻击者自身缺乏计算能力,他完全可以购买云服务,从而可以使其快速地破解短密钥。

    5.随机数的随机性不强

    如果不使用基于硬件的方案,对计算机来说随机数的生成并不是容易的任务。多数编程语言都提供随机函数,但这类函数并不安全,因而不应用于密码系统中。简言之,脆弱的随机数生成器可以使整个密码系统不安全,并易于被破解,因为这可以使攻击者正确地猜测到生成器的结果和种子的初始向量,从而使密码分析攻击更容易,并且使攻击者可以破坏整个加密过程。 


扩展阅读:OA办公系统_协同办公系统;免费OA协同办公系统专题;在线OA协同办公系统专题;..; 数据总在无休无止地创建过程,我们还必须考虑如何保护数据的机密性、完整性、可访问性。在创建数据时,我们需要假设一些可能发生的最糟糕的情况,其中包括但不限于数据泄露、未授权访问、完全丧失对数据的访问,等等。未授权的访问意味着丧失了对数据的控制。数据处理的一个副作用就是生成了额外的副本,例如在硬盘上的..


OA  ERP  CRM  进销存  知识  人事  自动化  流程  工程项目  成本  协同  项目  档案  移动  移动平台  合同  电子档案  设备  销售CRM  客户关系  项目  知识库  人事  ERP  无纸化 
热线电话:400-0906-395  伟创软件-办公软件专家 京ICP备17005839号    项目  合同  知识  档案  办公  ERP  客户  进销存  设备