劉亞岐　李星君

摘 要 從網(wǎng)絡的連接方式、Web服務器和數(shù)據(jù)庫幾方面分析了網(wǎng)絡化辦公中有關信息安全方面的問題；從防范的角度闡述了保證信息安全必須要有安全防范意識，通過建立多層次的防病毒系統(tǒng)，運用防火墻、安全檢測系統(tǒng)、漏洞掃描系統(tǒng)和監(jiān)聽維護子網(wǎng)系統(tǒng)等多種方式來保證網(wǎng)絡辦公中信息的安全。

關鍵詞 信息 網(wǎng)絡安全 系統(tǒng)

中圖分類號：TP393 文獻標識碼：A

近年來，隨著經(jīng)濟水平的不斷提高，信息技術的不斷發(fā)展，一些單位、企業(yè)將辦公業(yè)務的處理、流轉和管理等過程都采用了電子化、信息化，大大提高了辦事效率。然而，正由于網(wǎng)絡技術的廣泛普及和各類信息系統(tǒng)的廣泛應用使得網(wǎng)絡化辦公中必然存在眾多潛在的安全隱患。也即在連結信息能力、流通能力迅速提高的同時，基于網(wǎng)絡連接的安全問題將日益突出。因此，在網(wǎng)絡開放的信息時代為了保護數(shù)據(jù)的安全，讓網(wǎng)絡辦公系統(tǒng)免受黑客的威脅，就需要考慮網(wǎng)絡化辦公中的安全問題并預以解決。

1網(wǎng)絡連接上的安全

目前，企業(yè)網(wǎng)絡辦公系統(tǒng)多數(shù)采用的是客戶機/服務器工作模式，遠程用戶、公司分支機構、商業(yè)伙伴及供應商基本上是通過客戶端軟件使用調(diào)制解調(diào)器撥號或網(wǎng)卡連接到服務器，以獲取信息資源，通過網(wǎng)絡在對身份的認證和信息的傳輸過程中如不采取有效措施就容易被讀取或竊聽，入侵者將能以合法的身份進行非法操作，這樣就會存在嚴重的安全隱患。

同時，企業(yè)為了完成各分支機構間的數(shù)據(jù)、話音的傳送，需要建立企業(yè)專用網(wǎng)絡。早期由于網(wǎng)絡技術及網(wǎng)絡規(guī)模的限制，只能租用專線、自購設備、投入大量資金及人員構建自己實實在在的專用網(wǎng)絡（PN，Private Network）。隨著數(shù)據(jù)通信技術的發(fā)展，特別是ATM、Frame Relay（簡稱FR）技術的出現(xiàn)，企業(yè)用戶可以通過租用面向連接的邏輯通道PVC組建與專線網(wǎng)絡性質(zhì)一樣的網(wǎng)絡，但是由于在物理層帶寬及介質(zhì)的非獨享性，所以叫虛擬專用網(wǎng)絡（VPN，Virtual Private Network）。特別是Internet的興起，為企業(yè)用戶提供了更加廣泛的網(wǎng)絡基礎和靈活的網(wǎng)絡應用。

VPN（Virtual Private Network，虛擬專用網(wǎng)絡）是一種通過綜合利用網(wǎng)絡技術、訪問控制技術和加密技術，并通過一定的用戶管理機制，在公共網(wǎng)絡中建立起安全的“專用”網(wǎng)絡 。它替代了傳統(tǒng)的撥號訪問，通過一個公用網(wǎng)絡（Internet、幀中繼、ATM）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道，利用公網(wǎng)資源作為企業(yè)專網(wǎng)的延續(xù)，節(jié)省了租用專線的費用。

VPN是對企業(yè)內(nèi)部網(wǎng)的擴展，通過它可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN也可作為電信專線（DDN、FR）備份線路，當專線出現(xiàn)故障時可迅速切換到VPN鏈路進行數(shù)據(jù)傳輸，確保數(shù)據(jù)無間斷性地傳輸。

進行遠程訪問時，遠程用戶可以通過VPN技術撥號到當?shù)氐腎SP，然后通過共享路由網(wǎng)絡，連接到總公司的防火墻或是交換機上，在實現(xiàn)訪問信息資源的同時可節(jié)省長途撥號的費用。當一個數(shù)據(jù)傳輸通道的兩個端點被認為是可信的時候，安全性主要在于加強兩個虛擬專用網(wǎng)服務器之間的加密和認證手段上，而VPN通過對自己承載的隧道和數(shù)據(jù)包實施特定的安全協(xié)議，主機之間可通過這些協(xié)議協(xié)商用于保證數(shù)據(jù)保密性、數(shù)據(jù)完整性、數(shù)據(jù)收發(fā)雙方的認證性等安全性所需的加密技術和數(shù)據(jù)簽字技術。

2Web服務器的安全

Intranet是目前最為流行的網(wǎng)絡技術。利用Intranet，各個企業(yè)，無論大中小，都可以很方便地建立起自己的內(nèi)部網(wǎng)絡信息系統(tǒng)。Intranet通過瀏覽器來查看信息，用戶的請求送到Web服務器，由Web服務器對用戶的請求進行操作，直接提交靜態(tài)頁面；或通過CGI進行交互式復雜處理，再由Web服務器負責將處理結果轉化為HTML格式，反饋給用戶。因此，Web服務器的安全是不容忽視的。而安全套接字層SSL（Securesocketlayer）的使用為其提供了較好的安全性。

SSL是用于服務器之上的一個加密系統(tǒng)，是利用傳輸控制協(xié)議（TCP）來提供可靠的端到端的安全服務，它可以確保在客戶機與服務器之間傳輸?shù)臄?shù)據(jù)是安全與隱密的。SSL協(xié)議分為兩層，底層是建立在可靠的TCP上的SSL記錄層，用來封裝高層的協(xié)議，上層通過握手協(xié)議、警示協(xié)議、更改密碼協(xié)議，用于對SSL交換過程的管理，從而實現(xiàn)超文體傳輸協(xié)議的傳輸。目前大部分的Web服務器和瀏覽器都支持SSL的資料加密傳輸協(xié)議。要使服務器和客戶機使用SSL進行安全的通信，服務器必須有兩樣東西：密鑰對（Key pair）和證書（Certificate）。SSL使用安全握手來初始化客戶機與服務器之間的安全連接。在握手期間，客戶機和服務器對它們將要為此會話使用的密鑰及加密方法達成一致?？蛻魴C使用服務器證書驗證服務器。握手之后，SSL被用來加密和解密HTTPS（組合SSL和HTTP的一個獨特協(xié)議）請求和服務器響應中的所有信息。

3數(shù)據(jù)庫的安全

在辦公自動化中， 數(shù)據(jù)庫在描述、存儲、組織和共享數(shù)據(jù)中發(fā)揮了巨大的作用，它的安全直接關系到系統(tǒng)的有效性、數(shù)據(jù)和交易的完整性、保密性。但并不是訪問并鎖定了關鍵的網(wǎng)絡服務和操作系統(tǒng)的漏洞，服務器上的所有應用程序就得到了安全保障?，F(xiàn)代數(shù)據(jù)庫系統(tǒng)具有多種特征和性能配置方式，在使用時可能會誤用，或危及數(shù)據(jù)的保密性、有效性和完整性。所有現(xiàn)代關系型數(shù)據(jù)庫系統(tǒng)都是“可從端口尋址的”，這意味著任何人只要有合適的查詢工具，就都可與數(shù)據(jù)庫直接相連，并能躲開操作系統(tǒng)的安全機制。例如：可以用TCP/IP協(xié)議從1521和1526端口訪問Oracle 7.3和8數(shù)據(jù)庫。多數(shù)數(shù)據(jù)庫系統(tǒng)還有眾所周知的默認帳號和密碼，可支持對數(shù)據(jù)庫資源的各級訪問。從這兩個簡單的數(shù)據(jù)相結合，很多重要的數(shù)據(jù)庫系統(tǒng)很可能受到威協(xié)。因此，要保證數(shù)據(jù)庫的完整性，首先應做好備份，同時要有嚴格的用戶身份鑒別，對使用數(shù)據(jù)庫的時間、地點加以限制，另外還需要使用數(shù)據(jù)庫管理系統(tǒng)提供的審計功能，用以跟蹤和記錄用戶對數(shù)據(jù)庫和數(shù)據(jù)庫對象的操作，全方面保障數(shù)據(jù)庫系統(tǒng)的安全。

4網(wǎng)絡安全防范

現(xiàn)階段為了保證網(wǎng)絡信息的安全，企業(yè)辦公的正常運行，我們將采用以下幾種方式來對網(wǎng)絡安全進行防范：

（1）配置防病毒軟件

在網(wǎng)絡環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關的防病毒軟件，加強上網(wǎng)計算機的安全。如果在網(wǎng)絡內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使網(wǎng)絡免受病毒的侵襲。

（2）利用防火墻

利用防火墻可以將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡，防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡安全的重要一環(huán)。雖然防火墻是目前保護網(wǎng)絡免遭黑客襲擊的有效手段，但不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

（3）Web、Email的安全監(jiān)測系統(tǒng)

在網(wǎng)絡的WWW服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的WWW、Email、FTP、Telnet應用的內(nèi)容，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。

（4）漏洞掃描系統(tǒng)

解決網(wǎng)絡層安全問題，首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況，僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。

（5）利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全

對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的審計文件提供備份。

總之，網(wǎng)絡辦公中的信息安全是一個系統(tǒng)的工程，不能僅僅依靠防毒軟件或者防火墻等單個的系統(tǒng)，必須將各種安全技術結合在一起，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。但由于系統(tǒng)中的安全隱患、黑客的攻擊手段和技術在不斷提高，因此我們對安全的概念要不斷的擴展，安全的技術也應不斷更新，這就有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索，以此才能保證我國信息網(wǎng)絡的安全，推動我國國民經(jīng)濟的高速發(fā)展。

參考文獻

[1] 楊波.網(wǎng)絡安全理論與應用.北京電子工業(yè)出版社，2002.

[2] 蔡立軍.計算機網(wǎng)絡安全技術.中國水利水電出版社，2005.

[3] 鄧文淵，陳惠貞，陳俊榮.ASP與網(wǎng)絡數(shù)據(jù)庫技術.中國鐵道出版社，2007.

[4] 馬宜興.網(wǎng)絡安全與病毒防范.上海交通大學出版社，2007.