提高辦公自動化網安全構想

霍領樂+郭新海+秦宏偉+耿琳瑩

【摘要】 本文針對當前計算機安全形勢和辦公自動化網的建設需求，在深入研究LPS系統的基礎上，為實現安全保密工作的精細化管理，提高工作效率，本文設計了一種新的辦公自動化網絡架構及部署方案。

【關鍵字】 網絡安全 LPS系統 辦公自動化 網絡架構

一、引言

目前，計算機應用越來越廣泛，計算機、計算機網絡在大幅度提高了工作效率，加快科研進度的同時，由其帶來的信息安全問題也日益更加受到廣泛的關注。一方面是由于信息本身具有易復制的特性，利用這個特性，信息更容易受到難以控制和追溯的盜取威脅；另一方面是由于網絡所具有的遠程信息存取功能，使信息更容易受到破壞、更改和盜取[1]。

本文設計了一種新的辦公自動化體系模型，該模型有效實現了辦公自動化網絡的用戶身份認證管理、對終端計算機遠程協助管理，安全事件的處理機制、以及對局域網用戶操作的審計等，能夠有效解決內網安全管理問題，提高計算機終端防護能力，有力的增強了辦公自動化的層次管理和精細化管理。

二、辦公自動化網現狀

據網絡安全調查顯示：超過85%的安全威脅來自網絡內部、有6%來自內部未授權的存取。以上數據充分說明了內部人員因素的嚴重危害。來自內部的威脅已經成為危害網絡安全的首要因素。信息網絡需要高度保密，而絕大多數的安全事件都是從終端計算機上發起的。由于內部網絡監控的缺位，有許多漏洞可以被內部人員利用以截取資料。

如今，信息資料的數量日益激增，并且每天都在不斷產生新的信息，如果對終端計算機的管理缺乏手段，造成失泄密是必然的。只有從終端計算機實施管理和防護，這些不安全因素才能從終端源頭被控制。因此，辦公自動化網建設，必須應滿足以下幾點需求：一是對網絡內部終端計算機實時監控和管理。二是對移動存儲設備的有效管理和認證。三是控制非法計算機接入的手段。四是對終端計算機的全面審計。

三、新型辦公自動化網的設計部署方案

3.1 需求分析

單位的辦公自動化網安全需求與現狀對照表如表1所示，現有產品和LPS滿足內部網絡管理需求的情況對照情況如表2所示。

依據現階段計算機網絡安全保密形勢實際，一個安全系統管理應該有著如下的部署效果：

（1）網絡內部的數據安全交換平臺

依據于強大的域數據交換體系。有第三方能夠獲得傳輸過程中的數據時，在內部網絡內安全域之間的任何數據在交換過程中是安全的。有效的防止了任何非法外聯的主機竊取重要數據。

（2）主機的資源審計和管理平臺

對于網絡內部需要管理的重要主機信息進行實時的審計，并且根據相應的審計信息定制科學的安全策略。

（3）主機外設端口管理平臺

對于一切可能通過外設形成泄密的行為進行控制，有效地防止了核心數據區的服務器被第三方通過各種網絡接口直接從服務器將機密數據盜竊，保障了核心區的數據安全。

（4）磁盤管理平臺

能夠提供磁盤管理手段，保證了數據的存儲介質——磁盤的科學使用，可以規定每臺主機上磁盤的存儲方式（正常讀寫、保密讀寫）及其磁盤的數據有效范圍（單機有效、域有效、第三方有效），從而可以保證了重要數據在未授權的前提下，不可能被帶出網絡，解決了用戶身份和數據身份的訪問控制問題。

（5）突發病毒、木馬的應急響應措施

對于任何可能形式的突發病毒、木馬，都可以歸納出其特征進程及服務，我們可以保障在該病毒、木馬的防病毒軟件升級包出現之前，有效的隔離已被感染的主機，并且強行禁止響應的 進程和服務，保證在病毒木馬出現直到補丁出現這段“真空時間”內主機的安全。

通過安全系統工程的實施，建立完整的網絡信息系統的安全防護體系，從安全策略、安全域、安全系統、安全管理多個層次[2]，多個角度，構建網絡內部信息安全保障技術框架，實現：有效管理移動存儲設備，防止非法（未注冊）的移動存儲設備的接入。網絡內部信息與網絡資源受控合法地使用。對所需保護的主機進行詳細的管理和審計。

內部安全解決方案的設計目標是在最小安全投資的前提下，最大限度的管理網絡內部信息的安全[3]。

3.2 設計部署方案

服務器通過管理控制臺進行管理，具備分級部署和分級管理的能力[4]。能夠實現：

（1）廣域網多級部署

滿足多用戶和不同網絡環境的需求。

（2）集中授權分級管理

下級管理員只能在獲得上級管理員授權，并在其授權的范圍內進行相應的管理操作。

（3）信息自動集中

在審計和備份時，上級服務器能夠自動收集下級各個服務器的日志信息。

（4）策略自動分發

上級服務器可以向下級服務器的安全域統一制定策略，并會自動實施到各個安全域相應的MA中。支持安全策略狀態切換。部署框圖如圖1。

舉例說明：如圖2把總數據服務器放于自動化工作站機房內，下設管理域包括A點子系統服務器、B點子系統服務器、C點子系統服務器、D點子系統服務器。并同時指定一臺主機作為總管理控制臺對各個單位的子系統服務器進行分級管理。以A點為例，A點辦公樓內放一臺LPS子系統服務器，連接A點辦公計算機200臺。總管理控制臺管理員可以直接對A點的所有計算機進行管理；也可以在A點所有計算機內抽取一臺作為管理控制臺，一方面來接受總管理控制臺的指令，另一方面直接對A點管理域內的所有計算機進行直接管控。同時總管理控制臺管理員還可以隨時登錄到A點任何一臺辦公計算機上進行安全檢查。

用戶使用時根據用戶身份或數據身份進入系統，使用的主機上磁盤的存儲方式被規定為正常讀寫或保密讀寫，磁盤的數據有效范圍被規定為單機有效、安全域有效或第三方有效。主機信息可以被進行實時的審計。各種外設接口被控制。切斷了一切可能通過外設形成泄密的行為。

四、結束語

針對計算機網絡安全管理實際，辦公自動化網應實現對計算機設備的安全管理，對非法計算機的接入管理、局域網內計算機的授權通信、對計算機外聯的控制管理，計算機的軟硬件資產管理、用戶身份認證管理、對終端計算機遠程協助管理，安全事件的處理機制、以及實現對局域網用戶操作的審計等等。如果相關技術能夠在辦公計算機安全網絡中廣泛應用，必將有效解決內網安全管理問題，提高計算機終端防護能力，有力的增強了辦公自動化的層次管理和精細化管理。

參 考 文 獻

[1]鄭嵬.一個小型內網安全產品的研究與實現. 湖北工業大學. 2007

[2]康仲生 高斌 王登坡 陳汶《信息系統安全等級保護基本要求》在信息系統規劃、建設、整改中的實施》電子政務. 2008年3期

[3]蒙海濤. 內網信息安全分析與探討. 計算機光盤軟件與應用. 2010年10期

[4]孫金萍. 基于H.248協議的視頻通信系統信令體系研究. 山東科技大學， 2007