严谨的四级安全控制体系

严谨的四级安全控制体系

金和软件平台的4层安全体系层层防护

六种复合认证方式保障登录安全

» 口令认证

ASP.NET 配置为使用窗体身份验证，IIS配置为匿名访问，系统将根据数据存储（数据库）对调用者提供的凭证进行身份验证（使用 HTML 窗体）。口令认证采用MD5加密算法，128位密钥加密确保系统安全。

» 口令+验证码认证

在口令认证的基础上，在客户端增加验证码功能，防止某个用户用特定程序暴力破解方式进行不断的登陆尝试。

» 口令+短信验证码

在口令认证的基础上，系统会发一条短信告诉用户一个确认密码，用户使用这个密码才可登录。每次的密码仅一次有效。

» 口令+身份认证卡

普通用户通过口令认证，而重要的角色如企业领导，财务等使用UKEY身份认证卡+PIN码登录。

» AD域用户认证

ASP.NET 配置为windows身份验证，IIS配置为集成windows身份验证和Windows域服务器的摘要式身份验证，IIS将根据数据存储（Active Directory 目录服务）对调用者提供的凭证进行身份验证（使用客户机的用户名和密码）。系统直接使用验证后的用户信息。

AD域用户认证

» CA数字证书认证

IIS配置为要求安全通道 （SSL），客户端使用 HTTPS访问系统。SSL 确保服务器身份（使用服务器证书）和客户端身份的安全。系统直接使用验证后的用户信息。其中SSL 提供了一个安全通道，以便保护在客户端和服务器之间传递的机密数据。对那些安全级别高，权限大的客户，如单位领导、财务主管等，推荐采用CA硬件身份认证卡登陆；硬件认证卡具有运算速度更快，更安全，效率更高的特点。

CA数字证书认证

严格的用户权限+URL授权保障应用安全

» 界面安全控制

C6对数据操作实现有效的安全检查。防止黑客通过界面注入木马对数据库和文件造成不可恢复的损失。C6不仅对数据类型进行检查，也对数据进行约束。使得数据的流出和流入在界面操作上得到真正的控制。

» URL授权控制

平台采用严格的URL授权和逻辑授权机制，URL授权确保用户可以访问所请求的文件或文件夹，访问到文件后还要再根据系统逻辑授权对数据范围和操作等控制。此外，平台还支持管理权委托机制，以能够管理大型组织结构的跨应用的访问授权。

» 用户权限控制

C6对数据操作实现有效的安全检查。防止黑客通过界面注入木马对数据库和文件造成不可恢复的损失。C6不仅对数据类型进行检查，也对数据进行约束。使得数据的流出和流入在界面操作上得到真正的控制。

» 数字签名控制

平台将电子印章和数字签名结合为一体，可在Word、Excel、Html页面、PDF、WPS等文件上实现手写电子签名和加盖电子印章；并可将签章和文件绑定在一起，通过密码验证、签名验证、数字证书确保文档防伪造、防篡改、防抵赖，安全可靠。硬件采用Key智能密码设备(通称智能密码钥匙盘)，该设备是国家商业密码管理委员会定点生产的商用密码产品，通过了国家商业密码管理委员会的商用密码产品技术鉴定，该设备自带快速存储器和加密处理机制，用于存放单位或个人数字证书、用户所属标识和单位印章或个人签名信息，并进行硬件级签名运算，该设备通过USB接口与计算机相连，在使用时数字证书和签名印章等信息不会残留在内存或硬盘中，设备体积小，重量轻，携带方便。

» IP地址安全控制

系统记录客户端发送请求的IP地址和物理地址，通过IP开关，可以有效防止黑客通过其它路径进入C6系统。

严格的加密机制保障数据安全

» 数据安全控制

实现对敏感数据的加密，如用户密码。用户进入敏感模块需要二次验证，如，用户工资账户。对敏感数据的加密和限制，可以防止内部人员通过合法手段获得不应该获取的敏感数据。

» 事务处理控制

对于重要业务流程，系统采用事务的方式处理，遇到意外状况（比如掉电）发生的时候，使得业务数据处理不会出现数据丢失的现象。

» 操作日志记录

重要的模块所有的操作都记录在日志中，重要的数据系统采用回收站的方式保留，系统管理员能够恢复被删除的数据。