优衣库泄露客户信息，那OA系统的数据安全……

优衣库又来“搞事情”了，继几年前的“视频门”之后，优衣库旗下品牌优衣库、GU销售网站逾46万名客户个人消息遭未授权访问，可能造成信息泄露。共同社援引声明内容报道，优衣库和GU两家线上店4月23日和5月10日遭黑客攻击，客户姓名、地址、电话号码和信用卡信息可能泄露。信息4.0时代，大数据渗透到工作生活的每一细节，相对的数据信息安全对我们每个人都有非常重要的意义：大到国家军事政治机密安全，小到如防范企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等，那协同管理OA系统的数据安全……

当前环境下，国家大力倡导无纸化办公，多数政府部门、事业单位及各大高校、大中小型企业基本实现了网上办公，协同管理OA系统中的数据随着日积月累成为企事业单位一种无形的财富，若出现损失意味着很多工作内容要重头再来，尤其是涉及到与企业商业利益息息相关的信息还有牵扯到政府安全的涉密文件，协同管理OA系统安全的重要性凸显出来。

常见的数据安全问题有哪些呢？服务器硬盘损坏、系统崩溃、木马病毒对文件破坏、误操作、服务器被非法入侵、系统不稳定、系统出现漏洞收到恶意攻击数据被删除、程序的存储安全漏洞、相关的应用未做安全控制等这些都是可能会出现的安全问题。

协同管理OA系统的安全隐患有哪些方面呢？主要还是系统中可能会存在的各种漏洞，比如SQL注入漏洞、跨站脚本漏洞、弱口令漏洞、HTTP报头追踪漏洞、Struts2远程命令执行漏洞、框架钓鱼漏洞、文件上传漏洞、应用程序测试脚本泄露、私有IP地址泄露漏洞、未加密登陆请求及敏感信息泄露漏洞等。在日常的应用过程中确保协同管理OA系统能够稳定运行，一款专注技术、安全意识强的协同管理OA系统厂商在数据安全防护方面应该有自己独特的办法。在协同管理OA系统行业以技术领先的华天动力协同OA系统在数据安全方面做了层层防护，针对可能会出现的漏洞问题有特别的应对措施，防患于未然。

1、减少前台对SQL的操作，除了必要的操作外，所有操作均为后台执行；

2、系统本身设置多项监控，对SQL文进行严格的检查和过滤，同时对审批单自动生成的数据表采用随机生成的方式；

3、数据整合采用多套操作方案，在画面端集成时安全性较弱，容易发生SQL注入问题，多采用后触发程序集成及中间件集成；

4、根据客户情况明确整合方案，先确认客户使用的网络环境，如内网、外网；还要确认客户整合业务的数据敏感性，包括财务、人事、核心业务等；

华天动力协同OA系统的代码片段

从华天动力协同OA系统的代码片段可以看出，从数据库中是按条件去的数据，向数据库中插入数据，代码中禁止使用SQL文，从根源上杜绝了SQL注入的可能性。

5、在弱口令的漏洞防护上，在数据库方面采用MYSQL数据路在出厂时已经修改默认密码，同时实施人员会要求系统管理员修改数据库密码；在web应用服务器方面，Tomcat在出厂时已经关闭后台管理入口，实施人员会要求系统管理员修改用户名及密码；

6、在文件上传漏洞的防护上做的也非常到位，例如，上传后文件名修改方面，用户上传文件后在页面上的显示名称不变，后台存储名称改变；存储路径不可见，避免了用户通过上传路径直接访问文件；文件查看采用数据库获取文件名，从未在相应文件服务器读取文件；文件上传设置了可限制上传文件大小功能等；

7、在系统漏洞的防护方面，通过WEB应用服务器，Tomcat在出厂时已经关闭后台管理入口，实施人员会要求系统管理员修改运行端口；加强系统监控，增加白名单制，对于非白名单内的文件无法执行；增加系统过滤器，对于违反过滤条件画面的无法打开……

综上所述，华天动力协同OA系统的安全措施做的非常到位，但是真正做好防护仅依靠协同管理OA系统厂商是断然不行的，协同管理OA系统厂商只能在技术方面提供防护，企业在管理方面也要提高数据安全意识，包括对网络的管理、数据管理、设备管理人员管理等，只有协同管理OA厂家和企业联合完善网络安全，才能最大程度上避免数据安全问题给企业带来无法挽回的损失。