一种基于分级制的oa系统应用访问方法
【技术领域】
[0001]本发明涉及办公安全技术领域,具体涉及一种基于分级制的OA系统应用访问方法。
【背景技术】
[0002]对于大型企业而言,一个完善的OA系统能够极大地提高办公效率。但是安全与便捷永远是一对矛盾体。因此,如何行之有效地在维持办公自动化的同时确保系统的安全性就成为了一个非常头痛的难题。
[0003]现有技术中从两个方面入手进行安全性的保证。如公开号为102148819A的中国专利申请《防信息泄漏协同办公安全系统及方法》公开了一种防信息泄漏协同办公安全系统及方法,该防信息泄漏协同办公安全系统包括;互相通信的服务器端和客户端;管理员在服务器端中建立一个协同办公的工作区域:当用户想访问该区域时,必须首先注册申请,管理员受理用户的申请之后给该用户分配角色,并设置该角色相应的权限,同时分配给该角色一个对应的私钥;用户必须通过所述客户端的验证才能进入到公共区域;用户使用公钥私钥加密机制上传、修改或删除协同办公安全系统的公共区域中的文件。该中国专利申请通过公钥私钥加密机制对文件进行加密,能实现对信息泄密的主动预防,同时对协同办公安全系统的公共区域中的文件进行安全性的保护,解决了一般协同办公系统不安全性的问题。
[0004]如公开号为1588385的中国专利申请《签章集中管理与委托授权电子签章安全的方法》中通过在OA系统中部署集中签章服务器的方式,来提供远程集中签章服务和印章集中管理,在用户端提供控件来实现签章公文的本地验证以及已归当签章公文的验证,通过专用接口与OA系统的角色权限分配进行通信,把电子印章的管理集成到OA系统角色权限管理中,实现了电子印章的集中管理和委托授权的问题。系统安全性高,结构简单,方式灵活,易于集成。该发明方法解决了电子印章分散管理带来的安全问题,以及印章使用权限委托授权与临时授权的问题。
[0005]可见,现有技术中对办公系统加密的方式通常采用前者这样通过管理员给予身份的方式,或者后者在OA系统中部署集中签章服务器的方式,来提供远程集中签章服务和印章集中管理。但是这两个方案都依然存在着致命的缺点。
[0006]通过管理员分配角色的方式来授权。但是对于大型集团公司而言,高层的领导未必具有很高的计算机水平,也就是说,管理员身份并不在领导手中,而是在普通员工手中。这样会导致管理员权限过大,甚至有机会给自己赋予高级权限,从而进行一些特殊的活动,存在安全隐患。
[0007]通过远程集中签章服务和印章集中管理时,由于印章的集中管理,一旦印章管理的服务器被破解,所有权限就都毫无私密可言,完全暴露在他人目光之下。而如果所有工作均进行动态管理,则对服务器的负载要求过高,造成不必要的浪费。
【发明内容】
[0008]针对现有技术的不足,本发明的提供了一种基于分级制的OA系统应用访问方法。
[0009]—种基于分级制的OA系统应用访问方法,包括:
[0010](I)将所有用户分为四级权限级别,各个权限级别由高至低依次为一级权限、二级权限、三级和四级权限;
[0011](2)依次由上级权限用户指定下一级权限用户,并指定该级权限的访问权限范围,且一级权限用户指定二级权限用户后一级权限用户自动注销;
[0012]所述的权限范围为相应权限级别用户能够访问的应用集合;
[0013](3)各个用户访问与自身访问权限范围相匹配的应用。
[0014]在实际应用中一级权限实际上为管理员。现有技术中,在系统初始化完成(即指定一级权限用户后)管理员权限仍然存在。这样通过管理员账户即能够很容易获取整个OA系统中的数据,存在安全漏洞。本发明中指定一级权限用户指定二级权限用户后直接注销掉管理管账户,大大提高了 OA系统的安全性。
[0015]在实际应用时,可以根据应用需求划分更多权限级别。
[0016]作为优选,各个用户初次初始登陆时还需要设置安全问题,在后续访问应用时,通过设置的安全问题随机进行身份验证。
[0017]所述OA系统中的应用按照安全等级的由高至低依次包括开放应用、内部应用和核心应用。
[0018]将OA系统中的应用划分为三个安全等级,所述的安全等级由高至低依次为开放应用、内部应用和核心应用。开放应用,所有用户均可访问,内部应用相应部门内的应用,相应部门内的所有用户可以访问,核心应用为各个部门内的保密区,该部门内一定职位的用户才可访问。
[0019]本发明中设定的应用的安全等级与访问权限级别相互匹配,开放应用对所有权限级别的用户开放,内部应用对于相应部门内的所有权限用户开放,核心应用对于该部门内的三级权限用户开放,且每个部门内的内部应用对其他部门内所有权限级别均不开放。所有开放应用均对二级权限用户开放。
[0020]作为优选,访问安全等级越高的应用,身份验证的概率越大,即访问安全等级高的应用时进行身份验证的概率大于访问安全等级低的应用时出现身份验证的概率。安全等级越尚,使访冋越困难,提尚安全性。
[0021]根据系统应用需求,在特定时间或满足一定的条件时,可由上级用户为下一级用户的访问权限进行升级,具体如下:
[0022]对于三级权限用户和四级权限用户进行访问权限范围提升,包括被动提升和主动提升:
[0023]被动提升时:上级权限用户在设定的时间段内将相应的应用添加至被提升用户能够访问的应用集合中;
[0024]主动提升时:请求提升的用户向上一级权限用户提交文本文件,上一级权限用户批准后根据所述的文本文件向请求提升的用户发送秘钥,请求提升的用户利用所述的秘钥根据文本文件获取激活码,并利用该激活码激活相应权限,以将对应的应用添加自身的能够访问的应用集合中。
[0025]本发明中的秘钥可以为从文本文件选取的若干字符的组合,也可以为其他形式。
[0026]此外,所述用户定期更新文本文件,以定期更新所述的秘钥。
[0027]在实际应用中,OA系统可能需要增加新的应用,所述的OA系统增加新的应用时,进行如下操作:
[0028]划分该应用的安全等级,并将该应用添加至相应用户所能访问的应用集合中。
[0029]与现有技术相比,本发明的基于分级制的OA系统应用访问方法中指定二级权限用户后自动注销一级权限,且通过安全等级在访问时随机进行身份验证,大大提高了 OA系统的安全性。
【具体实施方式】
[0030]下面将结合具体实施例对本发明进行详细描述。以某公司集团化办公自动化系统为例,首先要安装办公自动化系统(即OA系统),并且在此基础上安装基于分级制的OA系统管理软件。
[0031]安装完毕后首先对OA系统中的所有应用划分安全等级,安全等级由高至低依次开放应用、内部应用和核心应用。
[0032]其中,开放应用,所有用户均可访问;
[0033]内部应用为各个部门内的应用,相应部门内的所有用户可以访问;
[0034]核心应用为各个部门内的保密区,该部门内一定职位的用户才可访问。
[0035]本实施例的基于分级制的OA系统应用访问方法,包括:
[0036](I)将所有用户分为四级权限级别,各个权限级别由高至低依次为一级权限、二级权限、三级和四级权限;
[0037](2)依次由上级权限用户指定下一级权限用户,并指定该级权限的访问权限范围,且一级权限用户指定二级权限用户后一级权限用户自动注销,其中,权限范围为相应权限级别用户能够访问的应用集合。
[0038]对于整个集团公司,系统管理员作为一级权限,预先设定公司领导的用户ID,并开放所有权限,作为二级权限。等所有公司最高领导的用户ID确认后,注销系