丁茜

（中國人民解放軍94159部隊(duì)，甘肅 蘭州 730030）

辦公數(shù)據(jù)安全威脅及防范措施

丁茜

（中國人民解放軍94159部隊(duì)，甘肅 蘭州 730030）

為了提高公辦數(shù)據(jù)的安全性，從計(jì)算機(jī)病毒、木馬程序、黑客攻擊、人為因素等方面論述了辦公數(shù)據(jù)安全威脅因素，結(jié)合計(jì)算機(jī)病毒的防范、訪問控制、網(wǎng)絡(luò)安全、數(shù)據(jù)恢復(fù)給出了辦公數(shù)據(jù)安全防范策略。

辦公；數(shù)據(jù)安全；防范措施

隨著信息化進(jìn)程的不斷深化，辦公自動(dòng)化的靈活性，高速性和敏捷性得以顯著提高，與此同時(shí)辦公數(shù)據(jù)安全也受到越來越多的關(guān)注。在自動(dòng)化辦公環(huán)境中要求我們不斷加強(qiáng)數(shù)據(jù)安全意識(shí)，規(guī)范操作流程，認(rèn)知數(shù)據(jù)安全威脅因素，掌握信息化辦公的安全防范策略。

1 辦公數(shù)據(jù)安全威脅因素

1.1 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是具備傳染性、潛伏性和破壞性的一組計(jì)算機(jī)指令序列，可以借助各種移動(dòng)存儲(chǔ)介質(zhì)和通訊網(wǎng)絡(luò)得以快速傳播，給計(jì)算機(jī)網(wǎng)絡(luò)及計(jì)算機(jī)軟、硬件系統(tǒng)帶來巨大的潛在威脅[1]。計(jì)算機(jī)病毒對(duì)辦公數(shù)據(jù)安全的主要威脅表現(xiàn)為：（1）篡改文件、刪除文件，（2）自我復(fù)制吞噬磁盤空間，（3）搶占系統(tǒng)資源，導(dǎo)致系統(tǒng)運(yùn)行速度降低甚至死機(jī)，（4）造成系統(tǒng)崩潰、格式化系統(tǒng)，（5）破壞計(jì)算機(jī)硬件。

1.2 木馬程序

木馬是為了實(shí)現(xiàn)惡意控制遠(yuǎn)程計(jì)算機(jī)的目的而編制的特定程序，通常由客戶端及服務(wù)端兩部分組成，一旦用戶運(yùn)行了服務(wù)端程序，其電腦就會(huì)開啟一個(gè)或多個(gè)端口供客戶端訪問，此時(shí)個(gè)人隱私及辦公數(shù)據(jù)安全將受到極大威脅[2]，其表現(xiàn)主要為：（1）修改用戶訪問控制權(quán)限，（2）閱讀、復(fù)制、篡改、刪除文件，（3）更改計(jì)算機(jī)軟、硬件配置，（4）盜用用戶各種賬號(hào)、密碼及安全證書。

1.3 黑客攻擊

黑客原指熱衷于研究IT技術(shù)，精通編程語言、各類計(jì)算機(jī)操作系統(tǒng)、計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)及高級(jí)計(jì)算機(jī)網(wǎng)絡(luò)，具備高超水平的計(jì)算機(jī)專家。現(xiàn)在主要特指利用計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)安全漏洞進(jìn)行網(wǎng)絡(luò)監(jiān)聽、截獲口令、盜用特權(quán)、安放木馬、WWW欺騙、電子郵件攻擊、截獲他人資料的人群[3]。黑客攻擊對(duì)辦公數(shù)據(jù)安全的威脅主要表現(xiàn)為：（1）竊取辦公機(jī)密和信息，（2）盜用財(cái)務(wù)賬號(hào)，謀取經(jīng)濟(jì)利益，（3）纂改、破壞系統(tǒng)配置，導(dǎo)致業(yè)務(wù)處理崩潰。

1.4 人為因素

人為因素也是影響公辦數(shù)據(jù)安全的又一威脅，倘若辦公人員信息素養(yǎng)不高，不能嚴(yán)格履行辦公安全防范守則，辦公資料及信息很容易丟失或泄露，具體表現(xiàn)為：（1）沒有設(shè)置系統(tǒng)登錄及文件訪問密碼，或密碼強(qiáng)度過低，威脅數(shù)據(jù)安全，（2）對(duì)E-mail或即時(shí)通訊工具賬號(hào)保護(hù)力度不夠，導(dǎo)致信息泄露，（3）隨意處置辦公存儲(chǔ)介質(zhì)，導(dǎo)致U盤、光盤等的丟失。

2 數(shù)據(jù)安全防范策略

2.1 計(jì)算機(jī)病毒的防范

病毒防治應(yīng)與計(jì)算機(jī)管理緊密結(jié)合起來，組成殺毒軟件、防火墻、安全衛(wèi)士構(gòu)建的病毒防線。定期對(duì)防護(hù)系統(tǒng)進(jìn)行必要更新，同時(shí)及時(shí)操作系統(tǒng)及應(yīng)用軟件漏洞進(jìn)行修復(fù)。網(wǎng)絡(luò)環(huán)境中應(yīng)該加強(qiáng)網(wǎng)絡(luò)管理，除了在單機(jī)環(huán)境上安裝必要的反病毒及安全衛(wèi)士套件，而且還應(yīng)該部署針對(duì)局域網(wǎng)、廣域網(wǎng)的查殺病毒軟件，對(duì)安全保密要求高的部門還應(yīng)該安裝網(wǎng)絡(luò)病毒防治服務(wù)器，確保在網(wǎng)絡(luò)數(shù)據(jù)交換過程中病毒的檢測與過濾。

2.2 訪問控制

通過用戶權(quán)限分配，計(jì)算機(jī)密碼設(shè)置降低辦公數(shù)據(jù)安全隱患，各層次常見密碼包括CMOS密碼，系統(tǒng)登錄密碼，屏幕保護(hù)密碼，E-mail賬號(hào)密碼，文檔加密及壓縮文件加密等。在設(shè)置密碼時(shí)盡量采用長度足夠長、排列隨機(jī)、使用大小寫字母以及數(shù)字和特殊符號(hào)組成的高強(qiáng)度密碼。

2.3 網(wǎng)絡(luò)安全

為了有效防治木馬植入、黑客攻擊對(duì)本地網(wǎng)絡(luò)的入侵，應(yīng)該采用內(nèi)部外部網(wǎng)絡(luò)隔離策略、訪問控制策略、內(nèi)部網(wǎng)絡(luò)隔離策略及分段管理策略，以提高整個(gè)網(wǎng)絡(luò)辦公環(huán)境的數(shù)據(jù)安全性保障[4-5]。

1）內(nèi)部外部網(wǎng)絡(luò)隔離策略，為了實(shí)現(xiàn)內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離，可以在路由器上設(shè)置屏蔽IP地址及服務(wù)，或者在路由器上設(shè)置允許進(jìn)入辦公網(wǎng)絡(luò)的IP地址及服務(wù)而阻擋非法訪問，對(duì)于安全保密要求較高的部門還可以設(shè)置防火墻認(rèn)證系統(tǒng)，通過防火墻網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)測，保護(hù)內(nèi)網(wǎng)信息、內(nèi)網(wǎng)結(jié)構(gòu)和內(nèi)網(wǎng)運(yùn)行狀態(tài)，其基本功能為：對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過濾；限定整個(gè)網(wǎng)絡(luò)的訪問控制行為；屏蔽被禁用的系統(tǒng)服務(wù)；登記網(wǎng)絡(luò)活動(dòng)及信息；網(wǎng)絡(luò)攻擊預(yù)警。

2）分區(qū)訪問權(quán)限設(shè)定策略，將整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)邏輯上分成三個(gè)子系統(tǒng)，內(nèi)網(wǎng)系統(tǒng)、隔離區(qū)系統(tǒng)、外網(wǎng)系統(tǒng)，每個(gè)系統(tǒng)分配不同的訪問控制權(quán)限和方式。內(nèi)網(wǎng)系統(tǒng)對(duì)外完全透明，不設(shè)置任何對(duì)外服務(wù)，確保內(nèi)網(wǎng)系統(tǒng)的絕對(duì)安全。隔離區(qū)系統(tǒng)是在內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)之間設(shè)置的一個(gè)緩沖區(qū)，該系統(tǒng)可以對(duì)外提供必要的網(wǎng)絡(luò)服務(wù)，如Web服務(wù)、FTP服務(wù)、郵件服務(wù)等，雖然隔離區(qū)系統(tǒng)有可能受到黑客攻擊，但由于隔離區(qū)緩沖系統(tǒng)的存在可以確保內(nèi)部網(wǎng)絡(luò)核心數(shù)據(jù)和服務(wù)的安全，同時(shí)也方便管理對(duì)網(wǎng)絡(luò)運(yùn)行監(jiān)測及網(wǎng)絡(luò)故障診斷。

3）內(nèi)部網(wǎng)絡(luò)的分段管理策略，分段管理策略不僅有利于網(wǎng)絡(luò)監(jiān)測、診斷、維護(hù)，縮小網(wǎng)絡(luò)沖突隱患，隔離內(nèi)部網(wǎng)絡(luò)的廣播風(fēng)暴，提高網(wǎng)絡(luò)穩(wěn)定性和安全性。網(wǎng)絡(luò)分段可以采用物理分段和邏輯分段兩種實(shí)現(xiàn)方法，前者將物理層或數(shù)據(jù)鏈路層分成若干網(wǎng)段，原則上不允許各網(wǎng)段之間直接通信；后者指將網(wǎng)絡(luò)在網(wǎng)絡(luò)層上進(jìn)行分段處理，實(shí)現(xiàn)子網(wǎng)隔離。在預(yù)算比較寬裕的情況下，可以使用路由器、防火墻、帶有虛擬局域網(wǎng)功能的三層交換機(jī)實(shí)現(xiàn)內(nèi)網(wǎng)分段；在預(yù)算緊張的情況下，可以使用多網(wǎng)卡主機(jī)軟路由方式實(shí)現(xiàn)內(nèi)網(wǎng)分段，利用網(wǎng)絡(luò)連接中間設(shè)備實(shí)現(xiàn)各級(jí)安全設(shè)置。

2.4 數(shù)據(jù)備份

為了防止因?yàn)橄到y(tǒng)故障或誤操作造成的辦公數(shù)據(jù)安全威脅，有必要將重要數(shù)據(jù)拷貝至其他存儲(chǔ)設(shè)備，而對(duì)于海量數(shù)據(jù)還可以采用數(shù)據(jù)備份恢復(fù)管理軟件結(jié)合存儲(chǔ)介質(zhì)的網(wǎng)絡(luò)備份方式，還可根據(jù)各單位的實(shí)際需求，采用實(shí)時(shí)自動(dòng)備份、定期備份、系統(tǒng)設(shè)備備份等機(jī)制。

3 結(jié)論

隨著信息化進(jìn)程的推進(jìn)，辦公自動(dòng)化成為各級(jí)單位辦公效率提升的基本要素，同時(shí)受計(jì)算機(jī)病毒、木馬程序、黑客攻擊和人為因素的影響辦公數(shù)據(jù)安全隱患也越發(fā)凸顯，要求病毒防治應(yīng)與計(jì)算機(jī)管理緊密結(jié)合起來，組成殺毒軟件、防火墻、安全衛(wèi)士構(gòu)建的病毒防線；通過用戶權(quán)限分配，計(jì)算機(jī)密碼設(shè)置降低辦公數(shù)據(jù)安全威脅；采用內(nèi)部外部網(wǎng)絡(luò)隔離策略、訪問控制策略、內(nèi)部網(wǎng)絡(luò)隔離策略及分段管理策略，以提高整個(gè)網(wǎng)絡(luò)辦公環(huán)境的數(shù)據(jù)安全性保障；引入數(shù)據(jù)備份恢復(fù)機(jī)制保障辦公數(shù)據(jù)安全。

[1] 周琪娟.打造電子辦公安全環(huán)境[J].中國石化,2011(4): 20-21.

[2] 徐清亮.移動(dòng)辦公安全威脅與解決方案[J].財(cái)經(jīng)文摘, 2010(7):114-114.

[3] 竇宇海,陳麗冰.PKI在網(wǎng)絡(luò)辦公安全中的應(yīng)用[J].今日科苑,2008(16).

[4] 任子亭.網(wǎng)絡(luò)環(huán)境下辦公安全策略研究與實(shí)現(xiàn)[J].計(jì)算機(jī)安全,2013(6):51-55.

[5] 王朝崗.計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施研究[J].電腦知識(shí)與技術(shù),2014,26:011.

TP393.08