淺探辦公自動化的安全防范與措施

黃友亮

【摘 要】隨著計算機的技術普及，利用聯網實現辦公自動化已成為迫切的需要。其目的就在于更有效地提高辦公效率。在實現聯網辦公時，由于覆蓋面大，使用人員雜，管理水平各有差異，往往不能保證公文在網絡上安全傳輸和管理，以致于給國家和單位造成了巨大的損失，因此加強網絡安全，防止信息泄漏、篡改和被破壞是當前網絡辦公自動化最為普及與迫切需要解決的問題。

【關鍵詞】辦公自動化;網絡;網絡安全;病毒;黑客

引言

辦公自動化系統一般是基于TcpIp協議并采用了Internet的通信標準和Web信息流通模式的Intra-net，它具有開放性，因而使用時非常方便。但也帶了許多安全問題，如病毒入侵、黑客入侵等。下面就針對辦公自動化出現的安全問題所采取的具體防范措施談談自己的看法。

1 辦公自動化網絡中常見的安全問題

（1）網絡病毒的傳播與感染

隨著計算機和網絡的普及，計算機病毒也不斷出現和升級，其破壞性也隨之增加。網絡病毒較其他計算機病毒更具有傳染性，且有很強的再生和擴散能力;其二具有隱蔽性，計算機病毒是一段沒有文件名的程序，通常隱藏在正常程序中，潛伏起來，在其發作之前很難被發現;其三具有激發性，計算機病毒發作都有一個特定的激發條件，當外界條件滿足計算機病毒發作的條件時，才被激活，并開始傳染和破壞;其四具有破壞性，網絡病毒會破壞系統的部分或全部數據，可篡改一些數據而擾亂系統的正常工作，甚至可以徹底破壞整個計算機系統。由于網絡病毒具有較強的再生機制，可以通過網絡擴散與傳染，一旦某個公用程序被傳染，會造成一些文件服務器的硬盤被感染病毒，就可能造成系統損壞，數據丟失，網絡服務器無法啟動，造成整個網絡都會被傳染，甚至導致癱瘓，其解毒的時間是單機的幾十倍以上，其損失是不可估計的。網絡病毒可以攻擊系統數據區，包括硬盤主引導扇區、Boot扇區、FAT表、文件目錄等，病毒還可能攻擊文件數據區，是文件數據被刪除、改名、替換、丟失部門程序代碼、丟失數據文件等，病毒還可能攻擊CMOS，破壞系統CMOS中的數據。

（2）黑客網絡技術的入侵

目前的辦公自動化網絡都是采用了以廣播為技術基礎的以太網，在同一以太網中，任何兩個節點之間的通信數據包，不僅可以為這兩個節點的網卡接收，也同時可以為處在同一以太網上的任何一個節點的網卡所截取，因此，外網及互聯網中的黑客只要侵入辦公自動化網絡中的任意節點，就可以捕獲到在這個以太網上的所有數據包，并對其進行解包分析，從而竊取相關信息，造成信息的失竊。黑客的侵入會造成網絡數據的丟失和破壞，如黑客可能破壞服務器硬盤引導區數據、刪除或覆蓋原始數據庫、破壞應用程序數據等。

（3）自然災害、突然停電、強烈地震、誤操作等都會造成數據的破壞和丟失，也是辦公自動化中較常見的安全問題。

2 計算機網絡病毒的防范與措施

辦公自動化系統的安全包括網絡設備、配套設備的安全、數據的安全、通訊的安全、運行環境的安全，下面我將著重從做好內網安全控制和防范外網非法入侵以及內外網相互間采取相應的措施等方面進行探討。

2.1 內網安全控制

（1）加強內部網絡的分段管理。內部網絡分段是保證安全的一項重要措施，同時也是一項基本措施。它可以將非法用戶與網絡資源相互隔離，從而達到限制用戶非法訪問的目的。辦公自動化網絡可以根據部門或業務需要分段。網絡分段可采用物理分段或邏輯分段兩種方式。物理分段通常是將網絡從物理層和數據鏈路層上分為若干網段，個網段相互間無法進行直接通訊;邏輯分段則是指將整個系統在網絡層上進行分段，并能實現子網隔離。在實際應用中，通常采用物理分段與邏輯分段相結合的方法來實現隔離。

（2）加強網絡服務器的安全。對網絡服務器一般要做磁盤鏡像、磁盤雙工、服務器鏡像等工作，所謂磁盤鏡像就是服務器上同一塊磁盤控制卡帶一對硬盤，數據被寫到一個硬盤后再被復制到另一個硬盤，如果一個硬盤失效，鏡像功能自動使用另一個，不會使數據丟失。所謂磁盤雙工就是同一個服務器上安裝兩個硬盤系統，同時工作，實現數據雙重備份，一個硬盤系統失效，另一個立即接管網絡運行。所謂服務器鏡像，即建立配置相同的兩臺服務器，一臺為主服務器，一臺為從服務器，當主服務器出故障時，從服務器立即自動接管，不影響網絡運行。服務器安全保護，不同類型、不同程度的數據應盡可能在不同的服務器上實現，重要數據采用分布式管理，服務器應有合理的訪問控制和身份認證措施保護，并記錄訪問日志。

（3）加強軟件系統的安全以及用戶合法使用資源。用戶盡量地使用設計完善的安全控制功能程序的應用軟件，用戶對數據的存取應有明確的授權策略，保證用戶只能打開自己權限范圍之內的文件。系統中的重要數據在數據庫中應有加密和驗證措施，如用戶身份，訪問控制，對用戶權限以及用戶賬戶進行維護和管理，設置相應口令與更換;加密與密鑰管理;監視和控制網上的破壞安全系統的行為，以防止口令泄露可能帶來的損失。

2.2 加強防范外網非法入侵

辦公自動化網絡最安全的保密方法莫過于不與外網聯網，但是由于工作的需要，局域網與廣域網的連接是大勢所趨，因此，必須防止辦公自動化網絡與外部網絡連通后保密信息的外泄和來自外網的非法入侵。

（1）在辦公自動化網絡中安裝防殺毒軟件。計算機病毒的預防在于完善操作系統和應用軟件的安全機制。在網絡環境下，病毒傳播擴散快，僅用單機防殺是難以消除網絡病毒的，必須有適用于局域網、廣域網的全方位防殺病毒產品。為了實現計算機病毒的防治，可以在辦公自動化網絡系統上安裝網絡病毒防治服務器，并在內部網絡服務器上安裝網絡病毒防治軟件，在單機上安裝單機環境的反病毒軟件。本地網絡與其它網絡間的數據交換、本地網絡工作站與服務器間的數據交換、本地網絡各工作站之間的數據交換都要通過網絡病毒防治服務器的檢測與過濾，這樣就保證了網絡病毒的實時查殺與防治。在辦公自動化系統內安裝病毒預警和入侵預警系統。病毒預警系統通過對所有的進出網絡的數據包實施不間斷地持續掃描，保持全天24小時監控，發現病毒立即產生報警信息，通知管理員，并通過IP地址定位、端口定位追蹤病毒來源，并產生功能強大的掃描日志與報告，記錄規定時間內追蹤網絡所有病毒的活動。入侵預警系統可以分析確定網絡中傳輸的數據是否經過授權，一旦檢測到入侵信息，將發出警告，從而減少對網絡的威脅。

（2）加強重要數據的備份。辦公自動化系統數據受到破壞之后，最主要的依賴于數據備份方案。數據備份的目的在于盡早可能快地全盤恢復運行計算機系統所需的數據和系統信息。備份不僅在網絡系統硬件故障或認為失誤時起到保護作用，也在入侵者非授權訪問或對網絡進行攻擊及破壞數據完整性時起到保護作用，同時就是系統災難恢復的前提之一。目前主要采用在網絡核心設備上設置物理保護措施，包括設置電源冗余模塊和交換機端口冗余備份;磁盤鏡像或磁盤陣列存儲數據，避免由于磁盤物理故障造成數據丟失，還可以使用其他物理媒體對重要數據進行備份，包括實時數據備份和定期數據備份，以便數據丟失后及時有效地恢復。

（3）加強預防網絡操作過程中的病毒傳染。相對于單機病毒的防護來說，網絡防病毒最大的特點在于網絡的管理功能，辦公自動化系統的網絡病毒防治具有更大的難度，網絡病毒防治應與網絡管理緊密結合。網絡病毒可以通過網絡資源共享，電子郵件的發送、FTP下載、WWW瀏覽以及系統漏洞進行攻擊。因此，在網絡操作過程中應該特別注意防范網絡上（特別是Internet）病毒的傳播，是當前保護辦公自動化系統正常運行的手段之一。

（作者單位：武警警官學院訓練基地信息技術教研室）