OA办公系统资金管理安全方案要点.pptVIP

泛普软件ThinkOne安全性方案 完善的权限体系 业务功能和数据权限 完备的权限模型 三个基本要素 ：组织＋功能权限＋用户 支持功能权限、数据权限（行级和字段级） 灵活的授权机制 角色授权 用户授权 功能权限的可转授 功能权限的禁止权：禁止权优先于任何权限 支持特殊数据权限：主管权限、创建者权限、离散权限 支持行级权限、字段级权限 泛普软件ThinkOne安全策略——密码策略 密码策略 根据不同敏感程度的用户，设置不同级别的密码策略，使安全策略应用到了用户级别 可以设置的密码控制项包括： 密码的最小长度、 密码是否必须包含英文字母和数字、 密码有效天数、 首次登录必须修改密码。 泛普软件ThinkOne安全策略——账户锁定策略 账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定。 账户锁定策略 锁定阀值 即允许使用错误密码的最大登录次数 可按不同用户设置不同阀值，超过阀值则锁定账户 锁定期 使其在锁定的时间内，就算是正确的密码也不能登录 一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这就造成了许多不便，提供锁定期功能，以便锁定期过后可自动解锁； 泛普软件ThinkOne安全策略——重复登录提醒、踢出 场景 存在一个账户多人共用 也允许一个账户多点登录 泛普软件ThinkOne支持重复登录的提醒、踢出功能 如果是独享的账户，则用户可以选择立即将对方的登录账户踢出系统，并立即修改密码，以减少账户被盗用带来的后果。 泛普软件ThinkOne安全策略——闲置账户自动踢出 闲置账户的定义 是指账户登录系统之后，在一段时间内，不在系统中做任何操作 长时间闲置所带来的问题 浪费资源 通常应用系统都是按用户license销售的，长时间闲置仍会占用license 安全隐患 当用户离开电脑时，若忘记锁定电脑，存在被盗用的隐患 解决方案 闲置账户自动踢出功能 可设置闲置时间阈值 踢出前友好提醒，用户可中断踢出 泛普软件ThinkOne安全管理工具——上机日志 系统操作日志 与所有系统的日志相类似，将所有进入泛普软件ThinkOne系统的用户的操作和系统发生的某些错误记录下来，为系统管理和系统安全提供分析数据。 日志的转储、删除等功能 日志是系统操作的流水帐，记录内容非常多，因此，需要有日志的转储、删除等功能。 泛普软件ThinkOne安全管理工具——在线用户实时监控 实时监控在线用户 泛普软件ThinkOne系统提供在线用户的实时监控功能，对所有的在线用户账户（身份）、客户端的IP和机器名、在线时间、操作功能等信息进行实时监控，对非法用户在线进行破坏或者在线用户进行违规操作时，可以立即进行阻止。 对在线用户进行的危险操作，管理员也可以发送提示信息或者警告信息，达到预防危险发生的目的。 基于证书的双身份认证 对于资金等安全性要求较高的系统，为提高身份认证的安全级别，需要支持基于第三方CA证书的用户身份认证； 为保护证书和私钥，应采取USB KEY存储证书和私钥； 为了防止内部安全漏洞，需要执行双管理员机制： 泛普软件ThinkOne安全管理员和泛普软件ThinkOne超级管理员必须由不同人员担当 USB KEY的管理（包括用户绑定等等）应交由泛普软件ThinkOne安全管理员处理，泛普软件ThinkOne超级管理员则无权处理； 泛普软件ThinkOne用户的创建和权限分配可由泛普软件ThinkOne超级管理员管理，但泛普软件ThinkOne安全管理员不允许处理此项业务； 为了防止内部安全漏洞，需要结合双安全管理员机制，在证书身份认证的基础上，增加另一维度的身份认证，如：泛普软件ThinkOne传统命名身份认证; USB Key身份认证 USB Key身份认证 基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的硬件身份认证技术，很好地解决了用户个人私钥的安全可靠存储，并提供USB接口与现今的电脑通用。 它的内部结构不简单，它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书。 利用USB Key内置的密码算法实现对用户身份的认证。 USB Key是一个二次硬件加密功能，在经过系统的软加密验证通过后，还需经过一次第三方的硬件加密，主要用于部分客户关心的关键功能。 泛普软件ThinkOne目前支持在银企互联中使用。 USB Key的优点 是基于泛普软件ThinkOne系统外的第三方硬件，可以由用户自由选择具体的供应商，对于系统而言，多了个第三方的保证。 是一种方便、安全、可靠的身份认证技术，甚至很多银行都使用这种身份认证技术。 USB Key又叫智能密码钥匙 ，可以绑定具体的操