随着互联网的飞速发展,网络信息安全逐渐成为一个潜在的巨大问题,严重安全事故影响到企业的正常运营,因此需要在系统架构设计上多维度、立体保障信息安全。
主要需要解决服务器存储信息安全、移动端使用安全、客户端与服务器端之间的通讯安全这三个方面
1、服务器信息存储安全:消息记录存储涉及到公司机密信息,所有采用的系统首先就需要是能支持私有化部署的,其次每个会话的消息都应该独立加密存储,就算服务器被攻破,别人也无法破解加密的数据。
2、移动端信息安全:现在移动办公比较常见,所以对手机端的使用安全也需要特别注意,移动端的文件、图片、消息、组织架构,所有与信息安全相关的数据全部加密储存,就算用户手机丢失或被盗,别人也无法通过文件管理工具直接查看文件及数据,除此之外系统还应该具备数据抹除功能,手机在没有网络的情况下,支持需要输入安全密码才能进入APP,手机客户端本地不保存密码或密码hash,本地只保存login ticket,服务器可以控制login ticket有效期。通过管理后台可以设置客户端的登录二次验证,在验证用户名和密码通过的情况下,再通过短信验证码验证一次,才能确保万无一失。
3、网络通信安全:客户端与服务器网络通信全程加密,长连接采用TLS Socket,短连接采用HTTPS,符合国际标准的TLS1.2加密方式进行数据传输,密钥长度分别为:2048位RSA公私钥和256位AES对称密钥。手机客户端登录与服务器通讯,网络均不传输密码或密码hash。
