一種對辦公OA系統進行審計的技術

余江平 王偉

(藍盾信息安全技術有限公司,廣東廣州 510180)

一種對辦公OA系統進行審計的技術

余江平 王偉

(藍盾信息安全技術有限公司,廣東廣州 510180)

OA系統已經在政府、企事業單位發揮了廣泛應用,給使用者帶來了便利,提升了行政效率,但也給單位帶來不少安全隱患。本文主要闡述了審計OA系統對于加強企業,政府機構辦公自動化和計算機信息系統保密管理工作的必要性,接下來介紹了一種OA系統進行審計的方法,通過審計,可以防止單位內部敏感信息的未授權傳播。

審計 OA系統 保密管理工作

1 引言

隨著政府、企事業單位等各類組織的信息化程度不斷提高,無紙化辦公的日益普及,OA系統的廣泛應用,雖然給使用者帶來極大便利的同時,也引來了眾多的安全隱患。電子文檔作為政府、企業 信息和商業機密的重要載體,其安全問題主要表現為對文檔使用者權限和文檔本身等保護不健全,以及在資料傳輸過程中的泄露等,所以對終端用戶使用OA系統的行為進行審計,尤其對于安全保密部門而言,能有效防止內部信息的泄露,準確地發現用戶定義的內部敏感資料,防止單位內部敏感信息的未授權傳播,提供可靠、方便、可控的安全保障,從而達到提升政府,企業形象、避免潛在的法律責任。

2 審計OA系統的必要性

對于安全保密部門來說,辦公OA系統一般搭建在局域網內部,安全保密部門一般對于存儲介質使用以及訪問外網都有嚴格要求,所以一般日常管理辦公大大小小事情都通過OA系統,正是由于OA的作用很大,管理著各種資料,所以對其審計非常有必要性。

在網絡信息安全事件中,內部人員有意或無意造成的非法信息外泄的信息安全事件,以及內部人員違規訪問等安全事件,占據了絕大多數。由于內部人員對于內部的組織結構、人員部署、機構設置相對于外部人員要熟悉的多,因此,內部員工造成的信息外泄及信息安全事件往往情節嚴重,并且損失巨大。由此可見,對內部人員的上網行為的規范、審計,越來越顯得重要,而對于安全保密部門來說,審計OA系統就顯得更加重要。

3 OA審計系統的技術實現

我們研發了一套系統用于審計OA系統。此系統基于報文內容進行審計,首先進行數據包捕獲,然后對于OA系統協議進行還原分析、數據檢查處理、編碼轉換、得到內容,然后通過監控策略多模式匹配,最后生成統計報表。

3.1 體系結構

系統的主要步驟包括:(1)數據包捕獲:負責對數據包的監聽捕獲;通過分組捕捉機制,為系統提供從網絡接口卡直接收集數據鏈路層網絡原始信息;(2)預處理:負責數據包的重組;實現對捕獲的原始數據包的重組(包括分片包、重發包等的處理),并生成會話鏈路緩存。應用協議解析模塊直接對生成的會話鏈路緩存進行各層協議解析;(3)OA系統協議解析:最重要的一步,對OA系統應用層協議分析,將預處理后的會話數據,根據對OA系統協議解碼成相應的分組數據結構;(4)監控策略匹配:監控策略匹配模塊對解析結果采用多模式匹配技術進行預定義策略匹配;(5)報警:如果中標發送報警消息;(6)阻斷:發送會話阻斷消息。系統工作流程如圖1所示。

3.2 OA協議解析

不同的OA系統通常具有不同協議,所以往往需要定制,根據使用的OA系統抓包分析,通過WM多模式匹配算法用于監控策略的匹配;通過BM單模式匹配算法用于高速單關鍵字的匹配處理。

3.3 系統的接入方式有

3.3.1 旁路模式

采用旁路監聽方式時,系統接在目標網絡的核心交換機鏡像口上,實時監聽進出該網絡的通信數據包,這種接入方式對目標網絡以旁路方式進行監聽,對網絡的性能無任何影響,適合于流量比較大的大型網絡。

3.3.2 網橋模式

采用網橋方式時,系統安裝在中心交換機和網關(路由器等)之間,對內部網絡的對外訪問進行全面的監控、過濾、阻斷和管理,高效地發現和攔截各種有害/不良信息的傳播。這種接入方式控制能力較強,不但能對流過的目標網絡通信數據包分析、還原、監控、過濾和阻斷,而且系統內置的防火墻對網絡還能起安全防護的作用,適合于各種中小型網絡。

3.3.3 網關模式

安裝在中心交換機和網關(路由器等)之間,對內部網絡的對外訪問進行全面的監控、過濾、阻斷和管理,高效地發現和攔截各種有害/不良信息的傳播。這種接入方式控制能力較強,不但能對目標網絡進行信息偵控,而且對有害信息能即時進行阻斷、攔截,適合于各種中小型網絡。

4 結語

本文主要闡述了審計OA系統對于加強企業,政府機構辦公自動化和計算機信息系統保密管理工作的必要性,接下來介紹了一種OA系統進行審計的方法,通過審計,可以防止單位內部敏感信息的未授權傳播。

[1]陳俊杰,趙春勝,高靜.基于工作流技術的審計辦公自動化系統的設計[J].內蒙古科技,2012年第9期.

[2]蔣俊杰.身份識別與接入控制系統的研究與應用[J].信息與電腦(理論版),2010年12期.

[3]閻彩英.淺析電子政務外網互聯網出口的安全技術構架[J].中國信息界.2011年02期.

[4]劉海波,顧國昌,張國印.Internet信息涉密檢查系統的設計與實現[J].計算機工程與應用,2004年09期.