試論網絡化辦公的信息安全防范

劉亞岐　李星君

摘 要 從網絡的連接方式、Web服務器和數據庫幾方面分析了網絡化辦公中有關信息安全方面的問題；從防范的角度闡述了保證信息安全必須要有安全防范意識，通過建立多層次的防病毒系統，運用防火墻、安全檢測系統、漏洞掃描系統和監聽維護子網系統等多種方式來保證網絡辦公中信息的安全。

關鍵詞 信息 網絡安全 系統

中圖分類號：TP393 文獻標識碼：A

近年來，隨著經濟水平的不斷提高，信息技術的不斷發展，一些單位、企業將辦公業務的處理、流轉和管理等過程都采用了電子化、信息化，大大提高了辦事效率。然而，正由于網絡技術的廣泛普及和各類信息系統的廣泛應用使得網絡化辦公中必然存在眾多潛在的安全隱患。也即在連結信息能力、流通能力迅速提高的同時，基于網絡連接的安全問題將日益突出。因此，在網絡開放的信息時代為了保護數據的安全，讓網絡辦公系統免受黑客的威脅，就需要考慮網絡化辦公中的安全問題并預以解決。

1網絡連接上的安全

目前，企業網絡辦公系統多數采用的是客戶機/服務器工作模式，遠程用戶、公司分支機構、商業伙伴及供應商基本上是通過客戶端軟件使用調制解調器撥號或網卡連接到服務器，以獲取信息資源，通過網絡在對身份的認證和信息的傳輸過程中如不采取有效措施就容易被讀取或竊聽，入侵者將能以合法的身份進行非法操作，這樣就會存在嚴重的安全隱患。

同時，企業為了完成各分支機構間的數據、話音的傳送，需要建立企業專用網絡。早期由于網絡技術及網絡規模的限制，只能租用專線、自購設備、投入大量資金及人員構建自己實實在在的專用網絡（PN，Private Network）。隨著數據通信技術的發展，特別是ATM、Frame Relay（簡稱FR）技術的出現，企業用戶可以通過租用面向連接的邏輯通道PVC組建與專線網絡性質一樣的網絡，但是由于在物理層帶寬及介質的非獨享性，所以叫虛擬專用網絡（VPN，Virtual Private Network）。特別是Internet的興起，為企業用戶提供了更加廣泛的網絡基礎和靈活的網絡應用。

VPN（Virtual Private Network，虛擬專用網絡）是一種通過綜合利用網絡技術、訪問控制技術和加密技術，并通過一定的用戶管理機制，在公共網絡中建立起安全的“專用”網絡 。它替代了傳統的撥號訪問，通過一個公用網絡（Internet、幀中繼、ATM）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道，利用公網資源作為企業專網的延續，節省了租用專線的費用。

VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。VPN也可作為電信專線（DDN、FR）備份線路，當專線出現故障時可迅速切換到VPN鏈路進行數據傳輸，確保數據無間斷性地傳輸。

進行遠程訪問時，遠程用戶可以通過VPN技術撥號到當地的ISP，然后通過共享路由網絡，連接到總公司的防火墻或是交換機上，在實現訪問信息資源的同時可節省長途撥號的費用。當一個數據傳輸通道的兩個端點被認為是可信的時候，安全性主要在于加強兩個虛擬專用網服務器之間的加密和認證手段上，而VPN通過對自己承載的隧道和數據包實施特定的安全協議，主機之間可通過這些協議協商用于保證數據保密性、數據完整性、數據收發雙方的認證性等安全性所需的加密技術和數據簽字技術。

2Web服務器的安全

Intranet是目前最為流行的網絡技術。利用Intranet，各個企業，無論大中小，都可以很方便地建立起自己的內部網絡信息系統。Intranet通過瀏覽器來查看信息，用戶的請求送到Web服務器，由Web服務器對用戶的請求進行操作，直接提交靜態頁面；或通過CGI進行交互式復雜處理，再由Web服務器負責將處理結果轉化為HTML格式，反饋給用戶。因此，Web服務器的安全是不容忽視的。而安全套接字層SSL（Securesocketlayer）的使用為其提供了較好的安全性。

SSL是用于服務器之上的一個加密系統，是利用傳輸控制協議（TCP）來提供可靠的端到端的安全服務，它可以確保在客戶機與服務器之間傳輸的數據是安全與隱密的。SSL協議分為兩層，底層是建立在可靠的TCP上的SSL記錄層，用來封裝高層的協議，上層通過握手協議、警示協議、更改密碼協議，用于對SSL交換過程的管理，從而實現超文體傳輸協議的傳輸。目前大部分的Web服務器和瀏覽器都支持SSL的資料加密傳輸協議。要使服務器和客戶機使用SSL進行安全的通信，服務器必須有兩樣東西：密鑰對（Key pair）和證書（Certificate）。SSL使用安全握手來初始化客戶機與服務器之間的安全連接。在握手期間，客戶機和服務器對它們將要為此會話使用的密鑰及加密方法達成一致。客戶機使用服務器證書驗證服務器。握手之后，SSL被用來加密和解密HTTPS（組合SSL和HTTP的一個獨特協議）請求和服務器響應中的所有信息。

3數據庫的安全

在辦公自動化中， 數據庫在描述、存儲、組織和共享數據中發揮了巨大的作用，它的安全直接關系到系統的有效性、數據和交易的完整性、保密性。但并不是訪問并鎖定了關鍵的網絡服務和操作系統的漏洞，服務器上的所有應用程序就得到了安全保障。現代數據庫系統具有多種特征和性能配置方式，在使用時可能會誤用，或危及數據的保密性、有效性和完整性。所有現代關系型數據庫系統都是“可從端口尋址的”，這意味著任何人只要有合適的查詢工具，就都可與數據庫直接相連，并能躲開操作系統的安全機制。例如：可以用TCP/IP協議從1521和1526端口訪問Oracle 7.3和8數據庫。多數數據庫系統還有眾所周知的默認帳號和密碼，可支持對數據庫資源的各級訪問。從這兩個簡單的數據相結合，很多重要的數據庫系統很可能受到威協。因此，要保證數據庫的完整性，首先應做好備份，同時要有嚴格的用戶身份鑒別，對使用數據庫的時間、地點加以限制，另外還需要使用數據庫管理系統提供的審計功能，用以跟蹤和記錄用戶對數據庫和數據庫對象的操作，全方面保障數據庫系統的安全。

4網絡安全防范

現階段為了保證網絡信息的安全，企業辦公的正常運行，我們將采用以下幾種方式來對網絡安全進行防范：

（1）配置防病毒軟件

在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。如果與互聯網相連，就需要網關的防病毒軟件，加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。

（2）利用防火墻

利用防火墻可以將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制，防止Internet上的不安全因素蔓延到局域網內部，所以，防火墻是網絡安全的重要一環。雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

（3）Web、Email的安全監測系統

在網絡的WWW服務器、Email服務器等中使用網絡安全監測系統，實時跟蹤、監視網絡，截獲Internet網上傳輸的內容，并將其還原成完整的WWW、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網管中心報告，采取措施。

（4）漏洞掃描系統

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網絡模擬攻擊從而暴露出網絡的漏洞。

（5）利用網絡監聽維護子網系統安全

對于網絡外部的入侵可以通過安裝防火墻來解決，但是對于網絡內部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網做一個具有一定功能的審計文件，為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序。該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況，為系統中各個服務器的審計文件提供備份。

總之，網絡辦公中的信息安全是一個系統的工程，不能僅僅依靠防毒軟件或者防火墻等單個的系統，必須將各種安全技術結合在一起，才能生成一個高效、通用、安全的網絡系統。但由于系統中的安全隱患、黑客的攻擊手段和技術在不斷提高，因此我們對安全的概念要不斷的擴展，安全的技術也應不斷更新，這就有大量的工作需要我們去研究、開發和探索，以此才能保證我國信息網絡的安全，推動我國國民經濟的高速發展。

參考文獻

[1] 楊波.網絡安全理論與應用.北京電子工業出版社，2002.

[2] 蔡立軍.計算機網絡安全技術.中國水利水電出版社，2005.

[3] 鄧文淵，陳惠貞，陳俊榮.ASP與網絡數據庫技術.中國鐵道出版社，2007.

[4] 馬宜興.網絡安全與病毒防范.上海交通大學出版社，2007.