今天,无论是企事业单位,还是政府机关都使用办公自动化系统。办公自动化系统(Office Automation System,简称OAS)是办公业务借助于各种自动化的办公设备,并用这些设备与办公人员构成服务的人际信息系统。它的主要作用是使信息收集和资料处理自动化,提高办公效率。
近年来,办公自动化系统都是架设在网络之上的,办公信息在网上流通的比例越来越大,所以对系统的安全与保密提出了更高的要求。计算机犯罪正在引起全社会的普遍关注,而计算机网络是被攻击的重点。计算机犯罪是一种高技术型犯罪,由于其犯罪的隐蔽性,因此对计算机网络安全构成了很大的威胁。在国际上,计算机犯罪案件正在以100%的速率增长;在Internet网上,“黑客”(Hacker)攻击事件则以每年10倍的速率增长;计算机犯罪从1986年发现首例以来,十多年间正以几何级数增长,目前已经发现了3万多种病毒,它对计算机网络带来了很大的威胁。例如,美国国防部的计算机系统曾经几度受到非法闯入者的攻击,美国金融界为此每年损失金额近百亿美元。因此,计算机网络的安全问题必须引起我们的高度重视。
我国的网络安全现状是:自主开发产品少,硬软技术受制于人,这是我们的网络管理呈现出一种十分“虚弱”的健康状态,这主要表现在:计算机网络的发展水平,安全技术和管理手段不配套;计算机产品到技术严重依赖外国,但都是“杯水车薪”,难以形成体系。因此,在安全的硬件、软件方面,中国同国外的差距至少有10-15年。这一方面源于我国的应用技术开发比较落后;另一方面我国的网络在工商业中应用的范围和水平都比较低,因而善良地希望“黑客”不光顾是极难办到的。要讨论办公自动化系统的安全与保密问题,从根本上就是要讨论整个网络的安全与保密问题。
在这里我们把网络分为内网和外网。单位内部的办公局域网称为内网,而因特网被称为外网。由于内网往往都与外网连接,所以网络的安全问题从实质上说就是要解决如何保障内网的安全、防范外网的非法入侵以及本内网与其它网络在数据交换过程中的安全保密等问题。下面先讨论网络安全的一般对策,然后就这几方面所面临的问题以及解决办法进行深入讨论。
7.1办公自动化系统的安全与一般政策
7.1.1计算机系统和网络的安全需求
1.保密性:计算机系统中的信息和用于传输的信息只允许授权的用户访问,这种访问包括:打印、显示以及其它可保持信息的形式。
2.可信性:信息报文的发送者必须能被正确地识别,并确定其身份是真实无误的。
3.完整性:计算机系统资源和传输的信息应该只允许授权的用户修改,这种修改包括写、改变信息本身、改变状态、删除以及创建等。
4.可用性:计算机系统资源只在需要的时候对授权的用户才是可用的。
7.1.2来自网络的安全威胁
这种威胁包括:假冒内网的IP地址,登录内网,窃取信息;利用网络传输协议或操作系统的漏洞攻击网络;获得网络的超级管理员权限,窃取信息或破坏系统;在传输链路上截取信息;物理破坏;“黑客”侵入,修改网址或主页;病毒侵入等。
7.1.3针对威胁的一般对策
1.基本概念。
1)安全威胁:即任何危及一个组织的信息安全的动作。
2)安全服务:是一种增强组织的数据处理系统和信息传输安全性的通信服务,目的在于对付安全威胁。
3)安全机制:一种用于检测、防止或者从安全威胁中恢复正常的通信机制。
2.安全对策。
1)保密教育。对工作人员,结合机房、硬件、软件、数据和网络等各个方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;加强业务、技术等方面的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,尽量防止人为事故的发生。
2)保护传输线路安全。对于传输线路,应有露天保护措施或者埋于地下,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误;电缆铺设应当使用金属导管,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。网络连接设备如Hub、Switch、Modem等应放置在易于监视的地方,以断绝外连的企图;还要定期检查线路的连接状况,以检测是否有搭线窃听、外连或破坏等行为。
3)网络加密。网络加密是网络中采用的最基本的安全技术。网络中数据加密,除了选择加密算法和密钥外,主要问题是加密方式及实现加密的网络协议层和密钥的分配及管理。
4)存取控制。访问控制是在有鉴别机制提供信息的基础上,来限制任何非授权的资源存取。对于文件和数据库应设置安全属性,对其共享的程度予以划分,通过存取矩阵来限制用户的使用方式,如只读、只写、读/写,可修改、可执行等。数据库的存取控制,还可以分库结构、文件、记录和数据项等四级进行。
5)鉴别机制。它是对等实体间交换认证信息的一种机制,以便检验和确认对等实体的合法性。它是访问控制实现的先决条件。鉴别机制中采用报文鉴别,也可以采用数字签名或终端识别等多种方式。鉴别是在通信双方建立通信联系之后,每个通信者对收到的信息进行验证,以保证听收到的信息的真实性,验证报文的完整性。一旦这种鉴别信息被得知,并且它的准确性和完整性有保证,那么本地用户或系统可作出适当的判断,即什么样的数据可以发送到对方。
数字签名是一个密文收发和确认的过程。所用的签名信息是签名者所专有、秘密和唯一的,而对接受方检验该签名所用的信息和程序则是公用的。签名只能由签名者的专用信息来产生,检验过程则使用公用程序和信息来确定签名是否用签名者的专用信息产生的。当出现纠纷时,仲裁者可利用公用程序来证明签名者的唯一性。数字签名可以为实体认证,无连接完整性、源点鉴别、直至否认等服务提供支持。它也是数据完整性、公证和认证机制的基础。
终端识别技术是利用回收信息核对用户位置,识别用户身份的一种方式。回信核对装置还对用户的联机位置进行检查、核对。如果某人窃用得到的联机口令在非法地点联机,系统会立即切断联络,并对这一非法事件进行记录,将非法者的联机时间、地点等详细情况记录并打印出来,以便及时查处和制止非法犯罪行为。
6)路由选择机制。路由选择机制实际上就是流向控制。在一个大型网络系统中,选择安全通路是一个重要问题。这种选择,可以由用户提出申请,在自己的程序和数据前打上路由标志,也可以在网络安全控制机构检测出不安全路由后,通过动态调整路由表,限制某些不安全通路。
7)通信流控制。通信流安全控制包括:掩盖通信的频度;掩盖报文的长度;掩盖报文的形式;掩盖报文的地址。具体方法是填充报文和改变传输路径。填充报文,包括增加伪报文或将所有报文都扩充到同样长度,并随机的选择通信对象,使网络中的数据流量比较平衡。为了掩盖报文地址,一般采用物理层的链路加密方式。而伪报文的发送者在网络高层协议中实现。为了掩盖报文地址的形式常采用带反馈的加密方式。
8)数据完整性。网络通信协议中一般都考虑了传输中的差错控制措施,但不能对付人为的破坏。网络中传输数据完整性控制包括:数据来自正确的发送方;数据送到了正确的接收方;数据接收的内容与发送的一致;数据接收的时序与发送的一致;数据没有重复接收。
9)端口保护。远程终端和通信线路是安全的薄弱环节,尤其在利用电话拨号交换网的计算机网络中。因此,端口保护成为网络安全的一个重要问题。一种简单的保护方法是在不使用时拔下插头或关掉电源。不过,这种方式对于拨号系统或联机系统是不行的。因此,通常采用的方法是利用各种端口保护设备。
10)其它安全防护措施。确保服务器能防止物理损坏。一般把服务器放在上锁的柜子中或上锁的房间里,尽量不要让外人接近服务器。使用电源调节设备如UPS(不间断电源),保护网络运行时间足够长来执行正常关机。其他网络硬件如工作站等,通常用稳压电源。
在服务器上使用容错措施,如WindowsNT Server提供的磁盘镜像或磁盘双工(其它网络操作系统也提供)等。容错是一种系统设计方法。它使用一定数量的冗余部件,在单个部件出现故障时系统能继续保持连续运行。在印刷电路板机的容错设计中,使用冗余的电路和芯片,具有自动绕开故障点的能力。在计算机系统一级中的容错设计是使用双份部件,如硬盘、磁盘控制系统应放在较远的地方以防止破坏。磁盘镜像和磁盘双工是两种不同的硬盘容错系统,这两种办法都是把相同的信息同时写入两个硬盘。在磁盘镜像中,两个磁盘使用同一个磁盘控制器;在磁盘双工中,每个磁盘都有自己单独的磁盘控制器。
经常性地做数据备份,且要多做几个备份,并对备份进行多次测试,以确保它的准确性。备份文件就是将所需要的文件拷贝到光盘、磁带或磁盘等存储介质上,并要把备份保存在一个安全的并且远离现场的地方,最好有温度调节、控制访问(即不能随意接近)等防护措施。要完成日常网络备份工作,需要解决以下几个问题:
(1)选择备份设备 选择备份设备应根据网络文件系统的规模、文件的重要性来决定。一般的网络操作系统都支持光盘、活动硬盘、磁带与软盘等多种存储介质与相应的备份设备。光盘因具有存储量大、易于保存和恢复的优点,是一种理想的备份存储介质。软盘是一种不大可靠的存储介质,但造价低,便于携带,一般适用于存储相对不太重要的文件,而且只能短期使用。磁带无论从造价还是容量上均适中,但使用起来不太方便。在大中型应用系统及重要数据备份上,一般应选择光盘或活动硬盘作为备份的存储介质。
(2)选择备份程序
备份程序可以由网络操作系统提供,也可以使用第三方开发的软件。在使用第三方开发的软件时应注意以下几个问题:①支持哪种网络操作系统;②支持何种备份设备;③备份设备是安装在服务器上还是安装在工作站上;④如果网络中有多个文件服务器,能否从单个文件服务器的备份设备上完成多个服务器的备份。
(3)建立备份制度
在建立好备份系统后,需要为文件备份制定一张计划表,规定多长时间做一次网络备份以及是否每一次都要备份所有文件。建立备份制度计划表的第一件事是选择需要备份的文件和备份时间。例如,可以选择每月备份一次网络用户、打印服务程序和打印队列的地址、口令与属性等信息;每周做一次所有网络文件的全部备份,每天做一次仅从上次备份以来修改过的文件的备份。在制定备份计划时,还应考虑采用多个备份版本,以及备份的介质存放在什么地方。最常见的方法是网络管理员使用3到4盘磁带,每次循环使用这些磁带。
为远程设备安装回拨式调制解调器(Dialback Modem),以此来限制非法授权的登录企图。这种Modem能记录呼叫方的登陆信息,然后断开连接。如果发出呼叫的电话号码和登录信息均正确,将由Modem拨通一个预先定义的电话号码,从而允许用户访问网络,也可在WindowsNT Server中使用回拨调制解调器。
使用操作系统中所有的审计跟踪(Audit Trail)和登记功能。审计跟踪能记录系统中每一个用户操作是否正确的所有细节。这些信息可用来帮助寻找企图攻击的访问者的信息。
控制对敏感文件和目录的访问,要确保适当地为Intranet内的文件和目录分配读、写和执行许可权。让所有用户了解安全保密制度,了解作为用户应有的责任和义务。
制作一份在发现网络受到攻击时可立即执行的应变计划,确保将采取的步骤和顺序的准确性和安全性,确定在什么条件下应该关掉Intranet服务。
每天都要扫描所有服务器和工作站,并实时向有需要的用户提供防病毒功能。使用留驻内存空间并且一直运行查病毒扫描软件,还要定期升级,用以对付日新月异的网络病毒。
不要在网络上用明文传送保密信息。在任何网络包括Intranet上传送的所有敏感信息和文件都应先进行加密。
7.1.4办公自动化系统的一般安全防护技术
根据办公自动化系统的组成,办公自动化系统的一般安全防护技术可分为实体安全防护技术、通信安全防护技术和系统安全防护技术。
1.实体安全防护技术
实体,指办公自动化系统中的设备,从硬件到软件系统。实体安全防护技术的主要任务是防止窃取系统实体,防止环境因素对实体的破坏,包括实体访问控制、环境控制、灾害控制等。例如,身份识别技术,非法侵入自动报警以及防雷电、防静电、防辐射等措施。
2.通信安全防护技术
它的重点技术是监测技术和密码技术。监测技术是对故意安放在通信线路上或设备内的入侵装置进行防范的技术,如电子搜索和发射检测设备等。密码技术是在通信过程中设置只有少数人才知道的安全密码。