扫二维码关注kmpro
KMPRO
站内搜索
 位置:首页>KMPRO产品线>kmpro知识管理系统>

深蓝海域kmpro知识管理系统安全解决方案 来源:www.kmpro.cn   时间:2008-08-27 16:33   作者:kmpro

         一套系统,尤其是知识管理系统,如果没有强大的安全保护体系和保护措施,就会将系统、信息等置于遭受打击的危险之下。在KMPRO的系统研发实践中,我们提炼出一整套的安全解决方案,安全是保障知识成为核心竞争力的重要手段,是知识壁垒的重要构建材料。

一、           系统架构

1、            物理安全架构

本系统支持硬件设备的集群部署,可将web服务器与应用服务器、知识库服务器分离部署,在较大规模应用时,可将web服务器组设定一组IP段,通过服务器的别外一块网卡接入交换机,登录另外一组IP段,即使web服务器群被攻破,也不会影响系统的核心应用程序与核心数据。保证了系统核心数据的绝对安全。

 

 

知识库集群应用部署示意图

2、            系统安全架构

KMPRO支持WIN、UNIX、类UNIX系统部署,常用操作系统为linux和BSD。Linux系统的高效、稳定、少漏洞、少病毒、多用户、多任务等特点受到大家的青睐。在高度的安全要求下,建议用户部署在OpenBSD平台上,这样,可以提供更全面的安全方案。

3、            四层应用体系:

作为成熟的B/S结构软件,我们采用了客户端、表现层、应用层和数据层四层结构,保证了从用户到数据的分层安全性。

          

二、           B/S应用安全

1、            非ROOT权限访问

在unix及类unix操作系统中,具有最高权限的用户是ROOT用户,他可以访问所有的文件,具有修改其他用户权限的能力,如果用户授权时给定ROOT权限,会造成极大隐患。在KMPRO系统下,任意用户都是指定访问权限的伪装用户,能够操作权限是被系统限定在一定范围的。任何系统用户都不可能操作与权限范围无关的操作系统级文件。排队了操作系统方面受系统用户威胁的隐患。

2、            用户认证

KMPRO 系统作为典型的B/S 应用,实现了系统用户的管理,通过设置用户名和密码来达到用户授权,只有系统授权的用户,登录是输入正确的用户名和密码才能登录系统,用户的密码以非明文的方式存储,这样确保了只有正确的人才能登录系统。

3、            软件权限机制

除了做好系统的软硬件安全本身以外,我们要特别注意内部员工的权限级别控制,根据调查显示80%的泄密事件来自于企业内部人员,Kmpro知识管理系统特别注重了系统权限体系的设置,开发了大量、细致的权限模块,并通过对不同角色的建立进行不同权限设置,大大保证了每个角色只能看到自己有权限的部分,并进行相关操作,对自己没有权限的文件、目录,则完全不能进入。

l        定义用户角色:

  

对应于通常的部门员工,如服务人员可以设置成只能对服务相关的信息进行管理和访问,不能查看机会的信息,就是控制模块的访问权限。对不同的用户,按照其在组织内的权限级别,进行分别的权限设置,以保障其拥有相应的权限和限制。

l        在每个维度定义用户权限

  

在每个不同的子维度,都可以进行详细设置,充分确保每个栏目和维度的进入安全。控制企业行政级别的访问,如销售经理自然具有所有销售人员的数据的访问权限,这样就可以对整个部门或管理权限范围内的信息进行分析可管理。

l        具体权限设置

 

我们一共提供了文档查看、文档发布、文档审核、文档屏蔽、附件下载、附件查看、版本查看、点评查看、点评发布、点评删除、维度维护等11种操作权限,基本覆盖了日常文档安全的内容。

以上的权限机制可以根据企业的具体情况自由配置和组合,达到具体数据访问授权控制,实现具体数据的访问安全。

 

4、            访问时间控制

KMPRO系统在进行用户管理时,可以设置该用户的过期时间来控制用户的访问期限,当达到过期时间后,该用户就不能再登录系统。另外,对于已经是系统的用户,还可以启用停用的功能,如果该用户被停用,也不能再登录系统,实现系统的访问时间的控制。

5、            登录日志监控

通过后台的登录日志可以随时查看系统每日的访问情况,可以记录访问者是从何地、何时登录过系统,对KMPRO系统的访问情况进行适时的监控管理。

6、            记录授权

针对某条具体的数据进行授权,可以授权给相应的某个人或某组人,如一个客户的服务要几个相关的人员一起协同工作,就可以单独把这个客户的数据共享给这样相应的人。

三、           系统代码安全

1、            SSL技术加密技术

对于公网传输数据而言,最担心的当然是数据传输的安全性,KMPRO系统采用强制SSL 40位或128位安全加密技术,使用户数据时刻处于安全通道保护状态,实现WEB的HTTPS安全访问。

2、            Zend加密技术

我们采用了世界上先进的zend加密技术,使得源代码受到严格的保护,不会因为代码的明码泄露,而被破解和侵入。形成了完美的集成软件保护和licensing授权为一体。

四、           文件存储安全

1、            阅读安全

Kmpro提供在线阅读功能,用户可以不下载即可访问到相关文档,但可以被限制下载、打印、拷贝、修改等功能,只能进行阅读,其阅读缓存也不会保留在用户端。

2、            数据修改历史

通常由于权限的灵活性,一条数据可能有多个用户具有修改的权限,系统中对于每次数据的修改都日志记录,一方面方便用户对该记录数据变化的过程有一个清晰的历史认识,另一方面当数据有恶意修改时,也能方便从历史中找回正确的信息。

3、            数据回收站管理

所有操作人员删除的数据都会进入到回收站,只有系统管理员或者指定权限的人才能清空数据,一旦发现有人恶意删除数据,可以马上把数据进行还原。

4、            双备份机制

KMPRO系统具备手动备份和自动备份两种机制,用户可以根据需求随时备份数据或者按照固定时间定期备份数据,来保证数据的存储安全。

5、            锁定指定机器

考虑的KMPRO很多数据是企业比较核心的数据,对于数据要求有更高的安全要求,如密码遗失和限制在不安全的网络环境不能使用系统等。特别是当KMPRO系统部署在公网环境下,就要求只有指定的机器才能访问系统,针对这种应用需求,KMPRO提供了机器访问控制的方案,没有注册过的机器都不给予响应,对于每一个授权的机器才能登录系统。

五、           数据库安全

1、            防SQL注入

本系统经专业SQL注入漏洞扫描软件测试,其评测级别为“极低”(最低等级),可抵御常见的SQL攻击。

本系统基于PHP+MYSQL组合,这两者对SQL注入均有较好的防范性,PHP5中专门针对SQL注入开启了magic_quotes_gpc服务、safe_mode服务,对SQL注入有极高的防范性。

使用 mysql_real_escape_string() 作为用户输入的包装器,就可以避免用户输入中的任何恶意 SQL 注入,对 SQL 查询的用户输入进行转义。

数据库用户应用权限分离。用不同的用户帐户执行查询、插入、更新、删除操作,隔离了不同帐户可执行的操作,同时,用存储过程来执行所有的查询,以净化查询语句,有效防止SQL语句的注入。

2、            加密密码数据库用户访问

不用数据库用户进行操作时,需加密密码校对,防止数据权限的泄露。

 

3、            数据库存储物理安全

KMPRO支持数据库分离部署,通过不同的IP地址段增加数据库访问的加密环节,提高数据库的安全程度。

六、           用户密码加强

1、            密码位数不得少于6位。

2、            密码可提示其安全级别,分为低、中、高三级。

 

3、            支持启用ikey2000,SafeNet的iKey2000是基于USB的双因素认证令牌,可以很方便的集成到多种应用程序和网络服务中;密码芯片的操作系统提供了产生和操作密钥对的环境。附加函数提供了数据存储和广泛的安全要求。数据存储区分成两个区域。一个区域存储数字证书、公钥和其它无需保护的公共数据。第二个存储区域用于存储私钥和共享密钥等私有信息。这些私有信息有安全的验证访问机制同时以加密的格式进行存储。

关键词:
相关文章
分享到:
2010-2012 北京深蓝海域信息科技有限公司
Darkblue Sea Software Co., Ltd. all rights reserved
京ICP备13004508号-1
地址:北京市昌平区北清路1号珠江摩尔国际中心6号楼1单元907单位
电话:010-89146616/82969378
传真:010-82969378
公司介绍 | 人才招募 | 网站地图 | 联系我们 | 企业资质