丁茜

（中國人民解放軍94159部隊，甘肅 蘭州 730030）

辦公數(shù)據(jù)安全威脅及防范措施

丁茜

（中國人民解放軍94159部隊，甘肅 蘭州 730030）

為了提高公辦數(shù)據(jù)的安全性，從計算機病毒、木馬程序、黑客攻擊、人為因素等方面論述了辦公數(shù)據(jù)安全威脅因素，結(jié)合計算機病毒的防范、訪問控制、網(wǎng)絡(luò)安全、數(shù)據(jù)恢復(fù)給出了辦公數(shù)據(jù)安全防范策略。

辦公；數(shù)據(jù)安全；防范措施

隨著信息化進程的不斷深化，辦公自動化的靈活性，高速性和敏捷性得以顯著提高，與此同時辦公數(shù)據(jù)安全也受到越來越多的關(guān)注。在自動化辦公環(huán)境中要求我們不斷加強數(shù)據(jù)安全意識，規(guī)范操作流程，認知數(shù)據(jù)安全威脅因素，掌握信息化辦公的安全防范策略。

1 辦公數(shù)據(jù)安全威脅因素

1.1 計算機病毒

計算機病毒是具備傳染性、潛伏性和破壞性的一組計算機指令序列，可以借助各種移動存儲介質(zhì)和通訊網(wǎng)絡(luò)得以快速傳播，給計算機網(wǎng)絡(luò)及計算機軟、硬件系統(tǒng)帶來巨大的潛在威脅[1]。計算機病毒對辦公數(shù)據(jù)安全的主要威脅表現(xiàn)為：（1）篡改文件、刪除文件，（2）自我復(fù)制吞噬磁盤空間，（3）搶占系統(tǒng)資源，導(dǎo)致系統(tǒng)運行速度降低甚至死機，（4）造成系統(tǒng)崩潰、格式化系統(tǒng)，（5）破壞計算機硬件。

1.2 木馬程序

木馬是為了實現(xiàn)惡意控制遠程計算機的目的而編制的特定程序，通常由客戶端及服務(wù)端兩部分組成，一旦用戶運行了服務(wù)端程序，其電腦就會開啟一個或多個端口供客戶端訪問，此時個人隱私及辦公數(shù)據(jù)安全將受到極大威脅[2]，其表現(xiàn)主要為：（1）修改用戶訪問控制權(quán)限，（2）閱讀、復(fù)制、篡改、刪除文件，（3）更改計算機軟、硬件配置，（4）盜用用戶各種賬號、密碼及安全證書。

1.3 黑客攻擊

黑客原指熱衷于研究IT技術(shù)，精通編程語言、各類計算機操作系統(tǒng)、計算機系統(tǒng)結(jié)構(gòu)及高級計算機網(wǎng)絡(luò)，具備高超水平的計算機專家?，F(xiàn)在主要特指利用計算機網(wǎng)絡(luò)和計算機系統(tǒng)安全漏洞進行網(wǎng)絡(luò)監(jiān)聽、截獲口令、盜用特權(quán)、安放木馬、WWW欺騙、電子郵件攻擊、截獲他人資料的人群[3]。黑客攻擊對辦公數(shù)據(jù)安全的威脅主要表現(xiàn)為：（1）竊取辦公機密和信息，（2）盜用財務(wù)賬號，謀取經(jīng)濟利益，（3）纂改、破壞系統(tǒng)配置，導(dǎo)致業(yè)務(wù)處理崩潰。

1.4 人為因素

人為因素也是影響公辦數(shù)據(jù)安全的又一威脅，倘若辦公人員信息素養(yǎng)不高，不能嚴格履行辦公安全防范守則，辦公資料及信息很容易丟失或泄露，具體表現(xiàn)為：（1）沒有設(shè)置系統(tǒng)登錄及文件訪問密碼，或密碼強度過低，威脅數(shù)據(jù)安全，（2）對E-mail或即時通訊工具賬號保護力度不夠，導(dǎo)致信息泄露，（3）隨意處置辦公存儲介質(zhì)，導(dǎo)致U盤、光盤等的丟失。

2 數(shù)據(jù)安全防范策略

2.1 計算機病毒的防范

病毒防治應(yīng)與計算機管理緊密結(jié)合起來，組成殺毒軟件、防火墻、安全衛(wèi)士構(gòu)建的病毒防線。定期對防護系統(tǒng)進行必要更新，同時及時操作系統(tǒng)及應(yīng)用軟件漏洞進行修復(fù)。網(wǎng)絡(luò)環(huán)境中應(yīng)該加強網(wǎng)絡(luò)管理，除了在單機環(huán)境上安裝必要的反病毒及安全衛(wèi)士套件，而且還應(yīng)該部署針對局域網(wǎng)、廣域網(wǎng)的查殺病毒軟件，對安全保密要求高的部門還應(yīng)該安裝網(wǎng)絡(luò)病毒防治服務(wù)器，確保在網(wǎng)絡(luò)數(shù)據(jù)交換過程中病毒的檢測與過濾。

2.2 訪問控制

通過用戶權(quán)限分配，計算機密碼設(shè)置降低辦公數(shù)據(jù)安全隱患，各層次常見密碼包括CMOS密碼，系統(tǒng)登錄密碼，屏幕保護密碼，E-mail賬號密碼，文檔加密及壓縮文件加密等。在設(shè)置密碼時盡量采用長度足夠長、排列隨機、使用大小寫字母以及數(shù)字和特殊符號組成的高強度密碼。

2.3 網(wǎng)絡(luò)安全

為了有效防治木馬植入、黑客攻擊對本地網(wǎng)絡(luò)的入侵，應(yīng)該采用內(nèi)部外部網(wǎng)絡(luò)隔離策略、訪問控制策略、內(nèi)部網(wǎng)絡(luò)隔離策略及分段管理策略，以提高整個網(wǎng)絡(luò)辦公環(huán)境的數(shù)據(jù)安全性保障[4-5]。

1）內(nèi)部外部網(wǎng)絡(luò)隔離策略，為了實現(xiàn)內(nèi)部辦公自動化網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的隔離，可以在路由器上設(shè)置屏蔽IP地址及服務(wù)，或者在路由器上設(shè)置允許進入辦公網(wǎng)絡(luò)的IP地址及服務(wù)而阻擋非法訪問，對于安全保密要求較高的部門還可以設(shè)置防火墻認證系統(tǒng)，通過防火墻網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)測，保護內(nèi)網(wǎng)信息、內(nèi)網(wǎng)結(jié)構(gòu)和內(nèi)網(wǎng)運行狀態(tài)，其基本功能為：對網(wǎng)絡(luò)數(shù)據(jù)包進行過濾；限定整個網(wǎng)絡(luò)的訪問控制行為；屏蔽被禁用的系統(tǒng)服務(wù)；登記網(wǎng)絡(luò)活動及信息；網(wǎng)絡(luò)攻擊預(yù)警。

2）分區(qū)訪問權(quán)限設(shè)定策略，將整個網(wǎng)絡(luò)結(jié)構(gòu)邏輯上分成三個子系統(tǒng)，內(nèi)網(wǎng)系統(tǒng)、隔離區(qū)系統(tǒng)、外網(wǎng)系統(tǒng)，每個系統(tǒng)分配不同的訪問控制權(quán)限和方式。內(nèi)網(wǎng)系統(tǒng)對外完全透明，不設(shè)置任何對外服務(wù)，確保內(nèi)網(wǎng)系統(tǒng)的絕對安全。隔離區(qū)系統(tǒng)是在內(nèi)網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)之間設(shè)置的一個緩沖區(qū)，該系統(tǒng)可以對外提供必要的網(wǎng)絡(luò)服務(wù)，如Web服務(wù)、FTP服務(wù)、郵件服務(wù)等，雖然隔離區(qū)系統(tǒng)有可能受到黑客攻擊，但由于隔離區(qū)緩沖系統(tǒng)的存在可以確保內(nèi)部網(wǎng)絡(luò)核心數(shù)據(jù)和服務(wù)的安全，同時也方便管理對網(wǎng)絡(luò)運行監(jiān)測及網(wǎng)絡(luò)故障診斷。

3）內(nèi)部網(wǎng)絡(luò)的分段管理策略，分段管理策略不僅有利于網(wǎng)絡(luò)監(jiān)測、診斷、維護，縮小網(wǎng)絡(luò)沖突隱患，隔離內(nèi)部網(wǎng)絡(luò)的廣播風(fēng)暴，提高網(wǎng)絡(luò)穩(wěn)定性和安全性。網(wǎng)絡(luò)分段可以采用物理分段和邏輯分段兩種實現(xiàn)方法，前者將物理層或數(shù)據(jù)鏈路層分成若干網(wǎng)段，原則上不允許各網(wǎng)段之間直接通信；后者指將網(wǎng)絡(luò)在網(wǎng)絡(luò)層上進行分段處理，實現(xiàn)子網(wǎng)隔離。在預(yù)算比較寬裕的情況下，可以使用路由器、防火墻、帶有虛擬局域網(wǎng)功能的三層交換機實現(xiàn)內(nèi)網(wǎng)分段；在預(yù)算緊張的情況下，可以使用多網(wǎng)卡主機軟路由方式實現(xiàn)內(nèi)網(wǎng)分段，利用網(wǎng)絡(luò)連接中間設(shè)備實現(xiàn)各級安全設(shè)置。

2.4 數(shù)據(jù)備份

為了防止因為系統(tǒng)故障或誤操作造成的辦公數(shù)據(jù)安全威脅，有必要將重要數(shù)據(jù)拷貝至其他存儲設(shè)備，而對于海量數(shù)據(jù)還可以采用數(shù)據(jù)備份恢復(fù)管理軟件結(jié)合存儲介質(zhì)的網(wǎng)絡(luò)備份方式，還可根據(jù)各單位的實際需求，采用實時自動備份、定期備份、系統(tǒng)設(shè)備備份等機制。

3 結(jié)論

隨著信息化進程的推進，辦公自動化成為各級單位辦公效率提升的基本要素，同時受計算機病毒、木馬程序、黑客攻擊和人為因素的影響辦公數(shù)據(jù)安全隱患也越發(fā)凸顯，要求病毒防治應(yīng)與計算機管理緊密結(jié)合起來，組成殺毒軟件、防火墻、安全衛(wèi)士構(gòu)建的病毒防線；通過用戶權(quán)限分配，計算機密碼設(shè)置降低辦公數(shù)據(jù)安全威脅；采用內(nèi)部外部網(wǎng)絡(luò)隔離策略、訪問控制策略、內(nèi)部網(wǎng)絡(luò)隔離策略及分段管理策略，以提高整個網(wǎng)絡(luò)辦公環(huán)境的數(shù)據(jù)安全性保障；引入數(shù)據(jù)備份恢復(fù)機制保障辦公數(shù)據(jù)安全。

[1] 周琪娟.打造電子辦公安全環(huán)境[J].中國石化,2011(4): 20-21.

[2] 徐清亮.移動辦公安全威脅與解決方案[J].財經(jīng)文摘, 2010(7):114-114.

[3] 竇宇海,陳麗冰.PKI在網(wǎng)絡(luò)辦公安全中的應(yīng)用[J].今日科苑,2008(16).

[4] 任子亭.網(wǎng)絡(luò)環(huán)境下辦公安全策略研究與實現(xiàn)[J].計算機安全,2013(6):51-55.

[5] 王朝崗.計算機網(wǎng)絡(luò)安全防范措施研究[J].電腦知識與技術(shù),2014,26:011.

TP393.08