數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

　　随着信息技(jì)術(shù)的飛速發展，以及信息化應用對各行(xíng)各業的逐漸滲透，越來(lái)越多(duō)的企事業單位都建立了自己的內(nèi)部辦公網絡，并在自建的內(nèi)部網絡中處理(lǐ)日常辦公事務。然而，在享受其為(wèi)辦公帶來(lái)方便的同時(shí)，我們必須面對其所帶來(lái)的安全問題。目前，機構的辦公網絡大(dà)多(duō)是基于自建的內(nèi)部網絡，雖然部分網絡也與Internet相連通(tōng)，但(dàn)是內(nèi)部網絡運行(xíng)環境的始終安全、可(kě)靠、保密，才能幫助機構內(nèi)各類業務的開(kāi)展提供保障。下面就辦公內(nèi)網網絡談談其安全體(tǐ)系建設。

　　1、辦公網絡的結構

　　辦公網絡在結構上(shàng)由外部網絡和(hé)內(nèi)部網絡兩個(gè)部分組成。外部網絡主要用于機構與外部用戶之間(jiān)的溝通(tōng)及信息的發布和(hé)采集：內(nèi)部網絡主要用于機構內(nèi)部部門(mén)間(jiān)、上(shàng)下級問的公文流轉、信息交換和(hé)流程處理(lǐ)等。

　　2、辦公網絡安全

　　上(shàng)世紀70年代中期，辦公業務量急劇(jù)增加對生(shēng)産率産生(shēng)巨大(dà)的影(yǐng)響，發達國家(jiā)為(wèi)解決問題，發展出了一門(mén)綜合性技(jì)術(shù)，也就是我們常說的OA，即辦公自動化。辦公網絡需要一種便利的內(nèi)部通(tōng)訊和(hé)消息傳送機制(zhì)，在計(jì)算(suàn)機上(shàng)實現基于網絡的協同工作(zuò)機制(zhì)，将所有(yǒu)的辦公文檔彙集在一起，實現規範化和(hé)一緻化，方便統計(jì)和(hé)查詢，實現內(nèi)部成員基于不同權限共享資源。辦公網絡安全一直随着辦公自動化的發展而發展。從最初的“COMSEC”到上(shàng)世紀70年代的“INFOSEC”，1973年Anderson提出了危害安全的三種情況：非授權的信息發布，非授權的信息修改、非授權的拒絕服務，用戶越來(lái)越關心如何防範計(jì)算(suàn)機系統不被他人(rén)非授權使用。80年代末，美國出現了“莫裏斯”蠕蟲事件，到了90年代，如何防止通(tōng)過網絡對聯網計(jì)算(suàn)機進行(xíng)攻擊成為(wèi)了人(rén)們關注的重點。

　　學術(shù)界稱之為(wèi)“NETSEC”。2000年，Stoneburg在NIST重申信息安全的目标包括機密性、完整性、可(kě)用性、可(kě)追蹤性和(hé)保障。進入新世紀，信息和(hé)系統的可(kě)控性、信息行(xíng)為(wèi)的不可(kě)否認性等要求也被加入到了信息安全的概念裏。安全已經不局限于信息的保護。用戶需要的是對整個(gè)信息和(hé)信息系統提供包括防範、檢測、反應和(hé)恢複四個(gè)方面在內(nèi)的保護和(hé)防禦。如今，大(dà)部分的機構對外網和(hé)內(nèi)網的隔離都從物理(lǐ)和(hé)邏輯兩方面開(kāi)展，防火(huǒ)牆、入侵檢測、防病毒的常規組合基本隔絕了來(lái)自外網的威脅，但(dàn)是對來(lái)自內(nèi)部網絡的安全威脅基本沒有(yǒu)防範，造成了沈昌祥院士所說的“老三樣防外，防不勝防”的局面。

　　3、內(nèi)網常見安全隐患分析

　　未經允許，安裝各類軟件，容易導緻內(nèi)網遭受病毒的感染；

　　員工私自随意更換、更改計(jì)算(suàn)機軟硬件，或辦公計(jì)算(suàn)機軟硬件變更後，管理(lǐ)人(rén)員沒有(yǒu)及時(shí)進行(xíng)備案，造成軟硬件資源管理(lǐ)困難；

　　上(shàng)網行(xíng)為(wèi)缺少(shǎo)有(yǒu)效監控。員工随意訪問外部網站(zhàn)，玩遊戲、看電(diàn)影(yǐng)、下載文件，不僅影(yǐng)響了自身的辦公效率，而且會(huì)占用大(dà)量帶寬資源，造成網絡擁堵，同時(shí)其所訪問的外部網站(zhàn)其安全性也是未知數(shù)；

　　非法修改IP地址或MAC地址，導緻網絡內(nèi)部地址沖突，造成內(nèi)部網絡混亂；

　　外部終端設備非法接入辦公內(nèi)網。移動終端設備和(hé)新增其他終端設備未經過安全檢查和(hé)處理(lǐ)違規接入，很(hěn)有(yǒu)可(kě)能帶來(lái)病毒傳播、黑(hēi)客入侵等安全問題：

　　未經備案和(hé)安全檢測，私自在內(nèi)部網絡中的終端上(shàng)使用外來(lái)的可(kě)移動存儲設備， 可(kě)能帶來(lái)病毒傳播、黑(hēi)客入侵等安全問題：

　　利用系統漏洞、病毒入侵、非法接入、非法外鏈、網絡濫用、外設濫用、密碼過于簡單等各種原因與管理(lǐ)不善，繼而導緻企業內(nèi)部重要信息披露、修改或者毀滅，造成不可(kě)彌補的損失；

　　內(nèi)網用戶通(tōng)過利用內(nèi)網中的某一終端，實行(xíng)網絡攻擊或欺騙，非法獲得(de)內(nèi)網中其他終端甚至是服務器(qì)的重要數(shù)據；蠕蟲病毒、網絡阻塞、數(shù)據損壞或丢失，而且短(duǎn)期內(nèi)無法定位故障來(lái)源以迅速采取隔離等處理(lǐ)措施，導緻正常業務的開(kāi)展遭受持續性的災難性的影(yǐng)響。

　　4、內(nèi)網安全體(tǐ)系

　　随着信息化的普及.用戶對信息安全的認識也逐漸深入.但(dàn)對網絡安全的理(lǐ)解依舊(jiù)存有(yǒu)誤區(qū)。在對風險的防範上(shàng)，用戶在選擇上(shàng)常常偏愛(ài)簡單的靜态安全模型，即将信息安全技(jì)術(shù)都集中在對系統本身的加固和(hé)防護上(shàng)，認為(wèi)利用網絡操作(zuò)系統、數(shù)據庫系統以及應用系統的認證、授權和(hé)訪問控制(zhì)等措施，加裝了防病毒系統後，網絡就安全了。但(dàn)是随着網絡的深入發展.靜态安全模型已無法完全應對動态變化的網絡安全問題。網絡安全是一個(gè)整體(tǐ)的、動态的、基于時(shí)間(jiān)變化的概念，不再是僅依靠一個(gè)或幾個(gè)安全産品的簡單堆積就能實現的。

　　4.1建設目标

　　內(nèi)網安全體(tǐ)系的建設目标為(wèi)：通(tōng)過采用防範、檢測、反應、恢複四方面行(xíng)之有(yǒu)效的安全措施，以将來(lái)實際運行(xíng)過程中網絡可(kě)能遇到的各種安全威脅為(wèi)切入點，構建一個(gè)全方位、易管理(lǐ)的安全體(tǐ)系，保障網絡運行(xíng)的安全性、穩定性和(hé)可(kě)靠性。

　　4.2基本原則

　　(1)安全第一：內(nèi)網辦公要求網絡有(yǒu)較高(gāo)的性能，而安全性的實施又會(huì)消耗掉部分網絡和(hé)計(jì)算(suàn)資源，兩者存在一定的矛盾，在考量和(hé)實施的過程中，可(kě)以選擇在做(zuò)好基礎安全的情況，兼顧額外的安全性和(hé)網絡性能。

　　(2)多(duō)重保護：如前文提到的，單個(gè)安全産品無法做(zuò)到全方位的保護。建立一個(gè)多(duō)重保護系統，系統間(jiān)相互支持，相互補充。當一種安全産品被攻破後，其他産品依舊(jiù)可(kě)以維持對系統的保護。

　　(3)模塊化：根據網絡模型和(hé)網絡中數(shù)據傳播的階段。将整個(gè)數(shù)據的傳播和(hé)加拆包過程模塊化。分模塊做(zuò)好保護。

　　(4)網段劃分：在物理(lǐ)劃分的基礎上(shàng)做(zuò)好邏輯上(shàng)的子網劃分，控制(zhì)好各網段的訪問權限，同時(shí)可(kě)以在網絡設備中做(zuò)好訪問控制(zhì)的相關設置，以達到訪問控制(zhì)。

　　(5)最小(xiǎo)授權：對各網段做(zuò)好訪問權限管理(lǐ)，防止權限過于集中，避免一旦發生(shēng)入侵，受到災害過大(dà)。

　　(6)平衡點：網絡的安全通(tōng)過增加功能和(hé)設置。或安裝第三方軟件來(lái)實現，而這些(xiē)都會(huì)消耗系統資源，在性能和(hé)安全中進行(xíng)平衡。防止以偏廢全。

　　(7)非純技(jì)術(shù)：網絡系統的安全既是技(jì)術(shù)的，又是管理(lǐ)的。既要做(zuò)好技(jì)術(shù)保障，又要做(zuò)好管理(lǐ)上(shàng)的配套制(zhì)度和(hé)措施，相互彌補和(hé)完善，須知管理(lǐ)的漏洞有(yǒu)時(shí)也能轉變成系統的漏洞。

　　4.3安全體(tǐ)系架構

　　(1)系統安全體(tǐ)系

　　從物理(lǐ)上(shàng)做(zuò)好保障是系統安全體(tǐ)系建設的前提。首先，機房(fáng)的建設需嚴格按照國家(jiā)相關标準，如GB50173-93《電(diàn)子計(jì)算(suàn)機機房(fáng)設計(jì)規範》、GB-2887-89《計(jì)算(suàn)站(zhàn)抄底技(jì)術(shù)條件》、GB9361-88《計(jì)算(suàn)站(zhàn)場(chǎng)地安全要求》。其次，做(zuò)好設備安全，做(zuò)好防盜、防毀、防電(diàn)磁信息輻射洩漏、防止線路截獲、抗電(diàn)磁幹擾及電(diàn)源保護等。最後，要做(zuò)好針對重要網路設備和(hé)服務器(qì)的冗餘備份。

　　從物理(lǐ)和(hé)邏輯兩方面建立隔離平台，不僅要對內(nèi)外網問的數(shù)據做(zuò)好過濾和(hé)隔離。對內(nèi)網內(nèi)的數(shù)據也要根據權限做(zuò)好過濾和(hé)隔離措施。

　　建立嚴謹完善的網絡拓撲。對內(nèi)網中的硬件進行(xíng)嚴格的網段劃分，并配合信任策略表，嚴格控制(zhì)設備問的信任關系。一個(gè)網段必須有(yǒu)足夠的理(lǐ)由才能夠信任另一個(gè)網段，這樣網段間(jiān)的信任關系就很(hěn)小(xiǎo)，一旦出現監聽(tīng)問題，能确保受災面隻存在在小(xiǎo)範圍內(nèi)。

　　(2)信息安全體(tǐ)系

　　做(zuò)好基于角色的安全控制(zhì)，基本思路是：在系統中根據工作(zuò)應用的需要為(wèi)不同的崗位創建對應的角色，将角色與權限聯系起來(lái)，對用戶的職務和(hé)責任指派相應的角色，用戶通(tōng)過角色所匹配的權限，實現對系統的訪問。通(tōng)過加密算(suàn)法和(hé)數(shù)字簽名算(suàn)法對用戶的身份驗證進行(xíng)加密，用戶在登錄門(mén)戶時(shí)需做(zuò)好相應的身份驗證。驗證通(tōng)過後才能訪問系統。這種方法可(kě)以有(yǒu)效地簡化權限管理(lǐ)，同時(shí)還(hái)可(kě)以支持最小(xiǎo)授權原則。

　　做(zuò)好網絡安全審計(jì)。作(zuò)為(wèi)識别和(hé)防止網絡攻擊行(xíng)為(wèi)、追查網絡洩密行(xíng)為(wèi)的一種重要措施，網絡安全審計(jì)主要包括采用網絡監控與入侵檢測系統，識别網絡中與各個(gè)主體(tǐ)相關的違規操作(zuò)與攻擊行(xíng)為(wèi)，做(zuò)到即時(shí)響應并阻斷；還(hái)有(yǒu)對數(shù)據信息內(nèi)容的審計(jì)。可(kě)有(yǒu)效防止內(nèi)部機密或敏感信息洩漏。

　　做(zuò)好網絡重點資源監控、網絡設備使用監控、內(nèi)網網絡信息采集及分析，對內(nèi)部發起的攻擊進行(xíng)報警及阻斷，并做(zuò)好基于終端的集中式訪問控制(zhì)管理(lǐ)。

　　根據系統的安全需求，對系統有(yǒu)選擇地實行(xíng)不同的備份機制(zhì)。依據系統設置和(hé)數(shù)據的重要程度，備份機制(zhì)主要分為(wèi)：實時(shí)、高(gāo)速、大(dà)容量的自動數(shù)據存儲、備份和(hé)恢複：定期的數(shù)據存儲、備份和(hé)恢複：對系統設備的備份。

　　(3)安全制(zhì)度體(tǐ)系

　　加強網絡安全教育，提高(gāo)網絡安全意識。首先。必須要在思想上(shàng)對網絡安全十分重視(shì)。自機構領導至普通(tōng)員工，都必須對網絡安全的重要性有(yǒu)足夠清晰、全面的認識，充分了解潛在的網絡安全隐患所能帶來(lái)的後果。要定期或不定期地、有(yǒu)針對性地開(kāi)展信息安全教育，提高(gāo)網絡安全意識，并适當地用典型案例進行(xíng)教育，使其充分認識到網絡安全的重要性。

　　其次，不斷提高(gāo)管理(lǐ)人(rén)員的專業素養。網絡安全管理(lǐ)需要大(dà)量對信息化知識精通(tōng)、掌握網絡管理(lǐ)技(jì)能的複合型人(rén)才。因此，在聘用相關人(rén)才管理(lǐ)網絡的同時(shí)，還(hái)需要定期對管理(lǐ)人(rén)員進行(xíng)網絡安全管理(lǐ)方面的技(jì)能培訓，提高(gāo)網絡安全防護能力。做(zuò)好網絡安全管理(lǐ)的技(jì)術(shù)儲備。

　　加強網絡安全管理(lǐ)，健全網絡管理(lǐ)制(zhì)度七分管理(lǐ)，三分技(jì)術(shù)。管理(lǐ)是機構網絡安全的核心，技(jì)術(shù)是安全管理(lǐ)的保證，安全管理(lǐ)是安全體(tǐ)系的核心，必須始終貫穿整個(gè)安全體(tǐ)系。網絡安全技(jì)術(shù)與完整的規章制(zhì)度、行(xíng)為(wèi)準則相結合，網絡安全管理(lǐ)才能落地，網絡安全才能有(yǒu)最大(dà)的保障。作(zuò)為(wèi)機構.應制(zhì)定機房(fáng)管理(lǐ)制(zhì)度、各類人(rén)員職責分工、安全保密規定、口令管理(lǐ)制(zhì)度、網絡安全指南、用戶上(shàng)網使用手冊、系統操作(zuò)規範、應急響應預案、安全防護記錄等一整套的制(zhì)度來(lái)保證網絡安全、可(kě)靠地運作(zuò)。

　　5、結語

　　內(nèi)部網絡安全在實現辦公自動化的企業中占據着尤為(wèi)重要的地位。本文對辦公網絡安全和(hé)內(nèi)網安全隐患進行(xíng)了簡要的闡述，并對內(nèi)網安全體(tǐ)系的建設進行(xíng)了較為(wèi)詳細的論述。随着信息化在各行(xíng)各業的進一步推廣和(hé)深入，機構內(nèi)部網絡的安全體(tǐ)系建設也要跟據技(jì)術(shù)的發展進行(xíng)動态的調整和(hé)更新。

　“威盾內(nèi)網安全管理(lǐ)系統”（簡稱ViaControl）是上海騰赫信息科技有限公司一個(gè)對局域網內(nèi)的主機進行(xíng)監控和(hé)管理(lǐ)的遠程主機監測類軟件産品。用于幫助企事業單位、政府機構更好地管理(lǐ)局域網內(nèi)部的重要信息資料，提高(gāo)員工的工作(zuò)效率，協助IT管理(lǐ)者更方便、快捷地進行(xíng)電(diàn)腦(nǎo)、網絡和(hé)內(nèi)部信息的安全管理(lǐ)。