辦公信息安全存在的問題及防范

1、辦公信息安全存在的問題及防范各企事業(yè)單位目前都在推動或擬推動辦公設備及手 段信息化。這一趨勢有利于提高辦公效率及規(guī)范化管理，但 由此也產(chǎn)生了辦公信息安全問題，并引發(fā)出信息安全帶來的 一系列負面影響。下面筆者就辦公信息安全及辦公內(nèi)部信息 安全存在的問題和防范做一探討。一、辦公信息環(huán)境現(xiàn)狀計算機辦公系統(tǒng)是基于數(shù)據(jù)庫（DB）、文檔數(shù)據(jù)庫（DD）、 電子郵件（E-mail）、遠程通訊（Telnet）、因特網(wǎng)（Internet）、 企業(yè)內(nèi)部網(wǎng)（In tra net、技術及相應的輔助硬件設備組成的， 它是一個包括電子政務、業(yè)務運作的綜合管理系統(tǒng)。通過系 統(tǒng)可實現(xiàn)使用主體與上下級、客戶之間的信息交流、共享、

2、 服務。從安全形勢來看，計算機辦公系統(tǒng)存在著嚴重的信息不 安全因素。信息設備提供了便捷及資源共享，但同時在安全 方面又是脆弱和復雜的，對數(shù)據(jù)安全和保密構成威脅。這就 需要為數(shù)據(jù)存儲、處理、傳輸?shù)认到y(tǒng)建立起安全屏障，使硬 件、軟件、數(shù)據(jù)不因偶然或惡意因素受破壞、更改和泄漏， 享受更全面穩(wěn)妥的防范。由于計算機辦公系統(tǒng)構成較復雜，所以對其安全平穩(wěn)運 行構成威脅的因素是多樣的。計算機基礎環(huán)境安全因素 如辦公場所環(huán)境、機房安全技術要求、機房周圍磁場和 靜電環(huán)境、機房周邊電磁波輻射與干擾、電源保護及計算機 機房接地保護。計算機自身安全因素 主要部件同樣會影響數(shù)據(jù)的安全性，所以計算機部件的 可靠性也是需要考

3、慮的問題，另外部件被盜以及電磁輻射都 會泄露重要數(shù)據(jù)。輔助硬件設備帶來的安全因素 傳真機、復印機、打印機、掃描儀、移動設備的大量使 用，會在沒有監(jiān)管的環(huán)境下泄露數(shù)據(jù)并帶來安全隱患。來自因特網(wǎng)、企業(yè)內(nèi)部網(wǎng)的安全因素 目前計算機安全事件主要誘發(fā)因素是來自互聯(lián)網(wǎng)的網(wǎng) 絡攻擊、病毒、蠕蟲、木馬及垃圾郵件等。計算機使用人員道德風險安全因素 計算機是由人來操作的，人本身就會產(chǎn)生失誤，從而影 響計算機安全運轉造成操作失誤。職業(yè)道德操守問題是重要 文件失密的主要原因。二、信息安全防范措施 每一個環(huán)節(jié)的失誤都會造成安全事件頻發(fā)，產(chǎn)生不可估 量的損失。因此，必須提出相應的解決方法，制定有效的防 范措施。計算機基礎

4、環(huán)境防范措施計算機剛進入單位時，幾乎都有非?？量痰沫h(huán)境要求， 專用空調(diào)、鞋套、除塵、除靜電等，這些措施都是因當時計 算機硬件水平不足以保證長時間穩(wěn)定工作，而采取的提高環(huán) 境質量換取穩(wěn)定運行的方法?，F(xiàn)在計算機自身都采用高效散 熱等裝置，以保證內(nèi)部環(huán)境的可靠性，相比起來提高了穩(wěn)定 運行時間。不少企業(yè)因此就漸漸忽略了外部環(huán)境可能對計算 機系統(tǒng)產(chǎn)生的影響。為避免外部因素的影響，建機房時應注 意以下問題。（1）應避免放在大變壓器或發(fā)電機等強電磁輻射源附 近。（2）機房內(nèi)應當有防火器材設備。（3）克服濕度給計算機設備帶來的危害。（4）機房應避開強振動源和強噪聲源。（5）采用耐燃活動地板。（6）為計算機提供

5、可靠運行的高質量電源。（7）計算機機房應采用專用空調(diào)設備。（8）機房建設還應注意防靜電、防雷擊等。計算機自身因素防范措施計算機各部件都采用模塊式設計，方便更換拆卸，但也 方便不法之徒利用此便利竊取信息。其中硬盤作為計算機數(shù) 據(jù)存儲中心，安全性更為重要。硬盤在計算機移動、維修等 途中都有可能造成信息丟失。為防止硬盤被竊取后信息泄漏 可以采用硬盤鎖方式來保護數(shù)據(jù)不外泄。（1）熱鍵式硬盤鎖。將硬盤加上密碼鍵保護，使用計 算機之前必須按下設置的密碼鍵方可進入硬盤。（2）密碼式硬盤鎖。將硬盤加上密碼保護，使用計算 機之前必須輸入設置的密碼方可進入硬盤。輔助硬件設備防范措施傳真機、復印機、打印機、掃描儀、

6、移動設備面臨的相 關安全威脅包括以下幾個：移動設備丟失或被盜而數(shù)據(jù)失密 通過 WiFi、3G 網(wǎng)絡進行通訊時，數(shù)據(jù)被截獲；通過藍牙連接 捕獲數(shù)據(jù)；病毒。對不同類型、各種版本的移動設備提供安全訪問機制， 這項工作對 IT 部門來說過于繁重。想有效地對移動設備進行 管理，應該制定有針對性的移動設備防范策略，不只是采用 通用防范。具體措施有：（1）密碼保護。對于存儲著單位信息，需要連接到單 位網(wǎng)絡的移動設備，應設置密碼保護，并盡可能復雜或用密 鑰。（2）存儲卡保護。對于移動設備支持的 SD、minSD 等 存儲卡來說，如果得不到保護的話，即使竊賊無法訪問該設 備本身，也可從移動設備上拔下存儲卡，在別

7、的設備上讀取 信息。因此，應該要對存儲有單位信息的存儲卡進行加密。（3）文件加密。數(shù)據(jù)文件加密，以保護其內(nèi)容。（4）備份。為預防有價值的數(shù)據(jù)丟失，移動設備中的 數(shù)據(jù)文件應備份到移動設備之外的安全地方。（5）軟件限制。連接到單位網(wǎng)絡的移動設備，用戶允 許安裝哪些軟件應該由單位安全策略進行控制。安全策略可 以利用技術手段強制執(zhí)行，但更多地依賴于用戶的遵守情況 所以，對移動設備使用者進行包括物理安全在內(nèi)的安全意識 教育很重要。（6）現(xiàn)在輔助硬件設備都有RAM或可擦寫ROM,為信 息安全留下隱患，許多設備在工作完成后，可再次被喚醒輸 出,造成信息泄露。輸出控制。使用數(shù)碼多功能移動設備最常用的功能就 是

8、復印和打印。輸出時,打印作業(yè)將暫時儲存在設備上,若 沒有防范措施,可被再次喚醒調(diào)用,比如在復印機上重新調(diào) 用標書。只有設置在多功能機操作面板上輸入密碼才可進行 復（打）印或使用后進行清空RAM或可擦寫ROM，才能確 保文件的私密性?！鞍踩　碧准捎行Х乐狗欠◤椭莆?件。在復（打）印時選擇“安全水印”功能就可在要輸出文 檔中嵌入限制復制的數(shù)字碼，被嵌入數(shù)字碼文件就不能在此 系列設備上再被復印、掃描或傳真。掃描設定。掃描功能在日常辦公中很常見，文件需要 電子化時即通過掃描保存或發(fā)送?？上拗瓢l(fā)送地址，將掃描 文件發(fā)送至本地或郵件服務器地址本中已登記的地址，而任 何未登記的地址都無法發(fā)送。這樣可保

9、障掃描文件安全發(fā)送 傳真也如此。數(shù)據(jù)刪除。包括數(shù)據(jù)覆寫和刪除兩個功能，在完成一 項作業(yè)后，通過無規(guī)律代碼對原有數(shù)據(jù)進行覆蓋刪除，永久 刪除硬盤上的數(shù)據(jù)，消除硬盤被復制或丟失的后顧之憂。認證管理。采用IC卡認證方案，實現(xiàn)用戶身份識別和 權限管理。就是必須通過刷卡識別使用權限，才可操作設備 或使用設備某一功能。事先設置用戶使用權限，每個有使用 權的用戶刷卡驗證身份后才可使用設備。如可用IC卡進行保 密打印，刷卡認證后設備才會進行打印輸出。這些功能可以 防止未經(jīng)授權使用，保護打印安全，有利于改善成本管理和 提高用戶跟蹤能力。因特網(wǎng)、企業(yè)內(nèi)部網(wǎng)安全防范措施 病毒制造的模塊化、專業(yè)化以及病毒“運營”模式

10、的網(wǎng) 絡化成為計算機病毒發(fā)展的三大顯著特征。“顯耀與貪利” 的病毒制造者依舊沒有改變，網(wǎng)頁掛馬、漏洞攻擊成為黑客 獲利的主渠道。面對嚴峻的互聯(lián)網(wǎng)安全，單位需要建立合適的方案來應 對來自網(wǎng)絡的威脅。需要明確，安全技術并不能杜絕所有對 網(wǎng)絡的侵擾和破壞，作用僅在于最大限度地防范及在受到破 壞后將損失盡量降低。網(wǎng)絡安全技術主要有四大作用：采用 多層防衛(wèi)手段，將受到侵擾和破壞的概率降到最低；提供迅 速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者 活動；提供恢復被破壞數(shù)據(jù)和系統(tǒng)的手段，以降低損失；提 供查獲侵入者的手段。針對單位網(wǎng)絡系統(tǒng)實際情況，解決網(wǎng)絡安全保密問題是 當務之急，考慮技術難度及經(jīng)費

11、等因素，設計時應遵循如下 思想：大幅度地提高系統(tǒng)安全性和保密性；保持網(wǎng)絡原有的 性能特點，對網(wǎng)絡協(xié)議和傳輸具有很好的透明性；易操作、 維護，便于自動化管理，不增加或少增加附加操作；不影響 原網(wǎng)絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能擴展；安全保密 系統(tǒng)具有較好的性價比；安全與密碼產(chǎn)品的合法性；分步實 施分級管理?？刹扇〉陌踩呗允牵翰捎寐┒磼呙瑁瑢W(wǎng)絡設備進行 風險評估，保證信息系統(tǒng)在最優(yōu)狀況下運行；采用安全技術， 構筑防御系統(tǒng)。(1)防火墻技術。在網(wǎng)絡對外接口，采用防火墻技術， 在網(wǎng)絡層進行訪問控制NAT技術。隱藏內(nèi)部網(wǎng)絡信息。VPN (虛擬專用網(wǎng))。這是企業(yè)網(wǎng)在因特網(wǎng)等公共 網(wǎng)絡上的延伸。通過私

12、有通道在公共網(wǎng)絡上創(chuàng)建安全的私有 連接。通過安全數(shù)據(jù)通道將遠程用戶、分支機構、業(yè)務伙伴 等與企業(yè)網(wǎng)連接起來，構成一個擴展的企業(yè)網(wǎng)。該網(wǎng)中主機 將不會覺察到公共網(wǎng)絡存在，仿佛所有機器都處于同個網(wǎng)絡 之中。網(wǎng)絡加密技術(Ipsec)。對公網(wǎng)中傳輸IP包進行加 密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡 數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問 題提供基于身份的認證，并在各種認證機制中使用。( 6)多層次級別的企業(yè)級防病毒系統(tǒng)，對病毒實現(xiàn)全 面防護。如在網(wǎng)絡結構方面：從第一層工作站、第二層服務 器、第三層電子郵件服務器到第四層防火墻，都有相應的防 毒軟件提供完整全面的防病毒保護，尤其是對電子郵件的防 病毒。采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡進行監(jiān)測和預 警，提高網(wǎng)絡防御外來攻擊的能力。要根據(jù)自身不同情況進行方案的設計，目的在于為用戶 提供信息保密、認證和完整性保護機制，使網(wǎng)絡服務、數(shù)據(jù) 及系統(tǒng)免受侵擾和破壞。要注意對計算機使用人員的安全教育 單位網(wǎng)絡管理越來越困難，員工在上班時經(jīng)常進行一些 與工作無關的網(wǎng)絡行為，利用電腦和網(wǎng)絡進行即時語音聊天 的人越來越多，QQ、MSN已經(jīng)成為必備的大