霍領(lǐng)樂+郭新海+秦宏偉+耿琳瑩

【摘要】 本文針對當(dāng)前計算機安全形勢和辦公自動化網(wǎng)的建設(shè)需求，在深入研究LPS系統(tǒng)的基礎(chǔ)上，為實現(xiàn)安全保密工作的精細化管理，提高工作效率，本文設(shè)計了一種新的辦公自動化網(wǎng)絡(luò)架構(gòu)及部署方案。

【關(guān)鍵字】 網(wǎng)絡(luò)安全 LPS系統(tǒng) 辦公自動化 網(wǎng)絡(luò)架構(gòu)

一、引言

目前，計算機應(yīng)用越來越廣泛，計算機、計算機網(wǎng)絡(luò)在大幅度提高了工作效率，加快科研進度的同時，由其帶來的信息安全問題也日益更加受到廣泛的關(guān)注。一方面是由于信息本身具有易復(fù)制的特性，利用這個特性，信息更容易受到難以控制和追溯的盜取威脅；另一方面是由于網(wǎng)絡(luò)所具有的遠程信息存取功能，使信息更容易受到破壞、更改和盜取[1]。

本文設(shè)計了一種新的辦公自動化體系模型，該模型有效實現(xiàn)了辦公自動化網(wǎng)絡(luò)的用戶身份認證管理、對終端計算機遠程協(xié)助管理，安全事件的處理機制、以及對局域網(wǎng)用戶操作的審計等，能夠有效解決內(nèi)網(wǎng)安全管理問題，提高計算機終端防護能力，有力的增強了辦公自動化的層次管理和精細化管理。

二、辦公自動化網(wǎng)現(xiàn)狀

據(jù)網(wǎng)絡(luò)安全調(diào)查顯示：超過85%的安全威脅來自網(wǎng)絡(luò)內(nèi)部、有6%來自內(nèi)部未授權(quán)的存取。以上數(shù)據(jù)充分說明了內(nèi)部人員因素的嚴重危害。來自內(nèi)部的威脅已經(jīng)成為危害網(wǎng)絡(luò)安全的首要因素。信息網(wǎng)絡(luò)需要高度保密，而絕大多數(shù)的安全事件都是從終端計算機上發(fā)起的。由于內(nèi)部網(wǎng)絡(luò)監(jiān)控的缺位，有許多漏洞可以被內(nèi)部人員利用以截取資料。

如今，信息資料的數(shù)量日益激增，并且每天都在不斷產(chǎn)生新的信息，如果對終端計算機的管理缺乏手段，造成失泄密是必然的。只有從終端計算機實施管理和防護，這些不安全因素才能從終端源頭被控制。因此，辦公自動化網(wǎng)建設(shè)，必須應(yīng)滿足以下幾點需求：一是對網(wǎng)絡(luò)內(nèi)部終端計算機實時監(jiān)控和管理。二是對移動存儲設(shè)備的有效管理和認證。三是控制非法計算機接入的手段。四是對終端計算機的全面審計。

三、新型辦公自動化網(wǎng)的設(shè)計部署方案

3.1 需求分析

單位的辦公自動化網(wǎng)安全需求與現(xiàn)狀對照表如表1所示，現(xiàn)有產(chǎn)品和LPS滿足內(nèi)部網(wǎng)絡(luò)管理需求的情況對照情況如表2所示。

依據(jù)現(xiàn)階段計算機網(wǎng)絡(luò)安全保密形勢實際，一個安全系統(tǒng)管理應(yīng)該有著如下的部署效果：

（1）網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)安全交換平臺

依據(jù)于強大的域數(shù)據(jù)交換體系。有第三方能夠獲得傳輸過程中的數(shù)據(jù)時，在內(nèi)部網(wǎng)絡(luò)內(nèi)安全域之間的任何數(shù)據(jù)在交換過程中是安全的。有效的防止了任何非法外聯(lián)的主機竊取重要數(shù)據(jù)。

（2）主機的資源審計和管理平臺

對于網(wǎng)絡(luò)內(nèi)部需要管理的重要主機信息進行實時的審計，并且根據(jù)相應(yīng)的審計信息定制科學(xué)的安全策略。

（3）主機外設(shè)端口管理平臺

對于一切可能通過外設(shè)形成泄密的行為進行控制，有效地防止了核心數(shù)據(jù)區(qū)的服務(wù)器被第三方通過各種網(wǎng)絡(luò)接口直接從服務(wù)器將機密數(shù)據(jù)盜竊，保障了核心區(qū)的數(shù)據(jù)安全。

（4）磁盤管理平臺

能夠提供磁盤管理手段，保證了數(shù)據(jù)的存儲介質(zhì)——磁盤的科學(xué)使用，可以規(guī)定每臺主機上磁盤的存儲方式（正常讀寫、保密讀寫）及其磁盤的數(shù)據(jù)有效范圍（單機有效、域有效、第三方有效），從而可以保證了重要數(shù)據(jù)在未授權(quán)的前提下，不可能被帶出網(wǎng)絡(luò)，解決了用戶身份和數(shù)據(jù)身份的訪問控制問題。

（5）突發(fā)病毒、木馬的應(yīng)急響應(yīng)措施

對于任何可能形式的突發(fā)病毒、木馬，都可以歸納出其特征進程及服務(wù)，我們可以保障在該病毒、木馬的防病毒軟件升級包出現(xiàn)之前，有效的隔離已被感染的主機，并且強行禁止響應(yīng)的 進程和服務(wù)，保證在病毒木馬出現(xiàn)直到補丁出現(xiàn)這段“真空時間”內(nèi)主機的安全。

通過安全系統(tǒng)工程的實施，建立完整的網(wǎng)絡(luò)信息系統(tǒng)的安全防護體系，從安全策略、安全域、安全系統(tǒng)、安全管理多個層次[2]，多個角度，構(gòu)建網(wǎng)絡(luò)內(nèi)部信息安全保障技術(shù)框架，實現(xiàn)：有效管理移動存儲設(shè)備，防止非法（未注冊）的移動存儲設(shè)備的接入。網(wǎng)絡(luò)內(nèi)部信息與網(wǎng)絡(luò)資源受控合法地使用。對所需保護的主機進行詳細的管理和審計。

內(nèi)部安全解決方案的設(shè)計目標(biāo)是在最小安全投資的前提下，最大限度的管理網(wǎng)絡(luò)內(nèi)部信息的安全[3]。

3.2 設(shè)計部署方案

服務(wù)器通過管理控制臺進行管理，具備分級部署和分級管理的能力[4]。能夠?qū)崿F(xiàn)：

（1）廣域網(wǎng)多級部署

滿足多用戶和不同網(wǎng)絡(luò)環(huán)境的需求。

（2）集中授權(quán)分級管理

下級管理員只能在獲得上級管理員授權(quán)，并在其授權(quán)的范圍內(nèi)進行相應(yīng)的管理操作。

（3）信息自動集中

在審計和備份時，上級服務(wù)器能夠自動收集下級各個服務(wù)器的日志信息。

（4）策略自動分發(fā)

上級服務(wù)器可以向下級服務(wù)器的安全域統(tǒng)一制定策略，并會自動實施到各個安全域相應(yīng)的MA中。支持安全策略狀態(tài)切換。部署框圖如圖1。

舉例說明：如圖2把總數(shù)據(jù)服務(wù)器放于自動化工作站機房內(nèi)，下設(shè)管理域包括A點子系統(tǒng)服務(wù)器、B點子系統(tǒng)服務(wù)器、C點子系統(tǒng)服務(wù)器、D點子系統(tǒng)服務(wù)器。并同時指定一臺主機作為總管理控制臺對各個單位的子系統(tǒng)服務(wù)器進行分級管理。以A點為例，A點辦公樓內(nèi)放一臺LPS子系統(tǒng)服務(wù)器，連接A點辦公計算機200臺?？偣芾砜刂婆_管理員可以直接對A點的所有計算機進行管理；也可以在A點所有計算機內(nèi)抽取一臺作為管理控制臺，一方面來接受總管理控制臺的指令，另一方面直接對A點管理域內(nèi)的所有計算機進行直接管控。同時總管理控制臺管理員還可以隨時登錄到A點任何一臺辦公計算機上進行安全檢查。

用戶使用時根據(jù)用戶身份或數(shù)據(jù)身份進入系統(tǒng)，使用的主機上磁盤的存儲方式被規(guī)定為正常讀寫或保密讀寫，磁盤的數(shù)據(jù)有效范圍被規(guī)定為單機有效、安全域有效或第三方有效。主機信息可以被進行實時的審計。各種外設(shè)接口被控制。切斷了一切可能通過外設(shè)形成泄密的行為。

四、結(jié)束語

針對計算機網(wǎng)絡(luò)安全管理實際，辦公自動化網(wǎng)應(yīng)實現(xiàn)對計算機設(shè)備的安全管理，對非法計算機的接入管理、局域網(wǎng)內(nèi)計算機的授權(quán)通信、對計算機外聯(lián)的控制管理，計算機的軟硬件資產(chǎn)管理、用戶身份認證管理、對終端計算機遠程協(xié)助管理，安全事件的處理機制、以及實現(xiàn)對局域網(wǎng)用戶操作的審計等等。如果相關(guān)技術(shù)能夠在辦公計算機安全網(wǎng)絡(luò)中廣泛應(yīng)用，必將有效解決內(nèi)網(wǎng)安全管理問題，提高計算機終端防護能力，有力的增強了辦公自動化的層次管理和精細化管理。

參 考 文 獻

[1]鄭嵬.一個小型內(nèi)網(wǎng)安全產(chǎn)品的研究與實現(xiàn). 湖北工業(yè)大學(xué). 2007

[2]康仲生 高斌 王登坡 陳汶《信息系統(tǒng)安全等級保護基本要求》在信息系統(tǒng)規(guī)劃、建設(shè)、整改中的實施》電子政務(wù). 2008年3期

[3]蒙海濤. 內(nèi)網(wǎng)信息安全分析與探討. 計算機光盤軟件與應(yīng)用. 2010年10期

[4]孫金萍. 基于H.248協(xié)議的視頻通信系統(tǒng)信令體系研究. 山東科技大學(xué)， 2007