长春上信科技如何测试一款OA办公系统的安全性？从这四个方面下手

长春上信科技如何测试一款OA办公系统的安全性？从这四个方面下手

OA办公系统的安全性是非常值得重视的话题。

 我们都知道系统安全问题如同一个由很多个木板拼接起来的木桶，有很多方面，而任 何一面的不坚固或者出现问题（如操作系统安全、网络安全、数据库安全、内部行为安全 等），都会使系统处于不安全状态，没有哪一个产品或者方案可以解决全方位的安全问题。

 这里我们仅对应用系统——OA办公系统的安全性进行考察，其他基础性的安全问题是需要在实施时考虑的。那么对于一款OA办公系统，如何考察它的安全性呢？

如何测试一款OA办公系统的安全性？从这四个方面下手

可以从如下四个方面进行考虑。

1) 建立完整的、安全的用户认证体系

 用户认证体系是应用软件最突出的安全考虑问题。如果用户认证体系不够强壮，那么 意味着系统很容易被非法入侵。如通过SQL注入、暴力破解等非法入侵方式。

 一个优良的软件系统在用户认证体系上都有着严密的防范措施：

□ 用户信息的加密存储，其中用户登录号、密码等字段关键加密对象，密码常以MD5 算法进行加密，该算法具有很强的反破解能力。

□对于用户密码的强制要求，如要求用户对默认密码进行修改，要求用户密码至少6 个或8个字节长度，甚至要求密码必须由大小写字母、数字等组成等等。

□ 相当难度的验证码措施，加强验证，防止暴力破解，防嗅探侵犯。

□通过手机、二维码、CA证书等多重认证方式。

□系统登录后短消息提醒机制。

□其他措施。

2) 完善的用户授权管理体系

 越细化的用户授权，意味着系统的权限分配粒度越细。应避免不同用户使用权限上的 交叉性，确保应用安全。

 一个优良的系统的用户权限分配需要达到模块级、功能级、数据级，而不能仅为模块级。

3) 页面SQL注入防范

 页面程序SQL注入是非常常见的入侵方式，几乎90%以上的网站系统和Web应用系 统都存在这样的安全漏洞！ 一旦被入侵，就意味着你的系统的数据是完全敞开的了。黑客 可以任意获取系统的重要数据，更糟糕的情况是数据被肆意删除或篡改。所以SQL注入防 范是需要非常重视的。

SQL注入是从正常的WWW端口进行访问（执行入侵动作），将SQL的查询/行为命 令通过“嵌入”的方式放入合法的HTTP提交请求，动态地构成SQL请求发给数据库，进 而达到完全入侵目的。这种入侵方式表面看起来跟一般的Web页面访问没什么区别，所以 网络防火墙都不会对SQL注入发出任何警报和进行防范处理。

 一般情况下，SQL注入漏洞都是程序设计开发不严谨造成的。虽然这是一个非常公开 的话题，但似乎很少有程序员在程序开发时重视这个问题。

4) 其他Web安全漏洞问题

 其他常见系统漏洞包括SQL盲注、跨站点脚本、解密登录请求、跨站请求伪造链接注入、通过框架钓鱼等问题。

 用户可以自己利用Security AppScan这样的专业工具进行评测，也可以委托第三方机 构进行软件安全评测。

更多详细资讯请参：上信科技OA办公系统带来的经济效益