1、办公自动化网络系统安全设计分析引言 随着计算机网络技术的普及,利用联网实现办公自动化,并将办公自动化应用到政府、军队等安全性要求 较高的机构已成为一种迫切的需要.所谓办公自动化是指运用微机及相关外设,有效地管理和传输各种信息, 达到提高工作效率的目的. 办公自动化网络是一个中小型的局部网络.办公自动化网络系统是自动化无纸办公系统的重要组成部分.在 实现联网办公时,由于覆盖面大,使用人员混杂,管理水平各异,往往不能保证公文在网络上安全传输和管理. 还有一些人专门在网络上从事信息破坏活动,给国家、企业造成巨大的损失.因此,加强网络安全,防止信息被 泄露、修改和非法窃取成为当前网络办公自动化普及与应
2、用迫切需要解决的问题. 2 办公自动化的主要特点 一般认为将办公室日常处理各种事务和信息的过程,在办公主体人的控制下,利用现代工具和手段自 动完成,这就是办公自动化.从信息处理的多层面和复杂性来讲,办公自动化可分以下三个层面或阶段: (1)行文处理自动化主要指纵向和横向单位传递来的各类文件之接收、批阅与办理过程;本单位发往上述单 位文件的拟稿、审核、签发等过程;本单位内部各种报告、计划、总结等材料的形成以及逐级审核、审批过程; 文档一体化及综合档案管理. (2)事务处理自动化主要包括各种行政事务(车辆管理、固定资产管理等);秘书事务(会议安排、领导活动安 排、信息采编等);督办事务(领导交办事
3、务督察、信访工作管理等);专业事务(财务管理、生产经营管理等); 个人事务(个人信息交流、个人通信录等). (3)辅助决策自动化该层次的自动化是建立在前两个方面自动化基础上的,专门为负责人汇总各方面信息, 并就各种问题作出正确决策提供准确、全面、及时的依据而建立.其主要内容应建在领导综合查询平台下,提 供的信息主要是单位内部资金、经营等各方面情况的汇总及分析:国际国内相关领域有关情况分析预测;国家 相关法律法规汇编及快速参考等.通过综合查询能使本单位领导自动、快速地得到决策所需的各种详实材料, 使决策更加及时、准确. 3 安全的诸多因素 根据以上办公自动化特点的分析,系统的安全应主要包括数据与
4、信息的完整性和系统安全两个方面;数据与 信息的完整性指数据不发生损坏或丢失,具有完全的可靠性和准确性;系统安全指防止故意窃取和损坏数据.威 胁数据完整性和系统安全的因素主要有: (1)数据完整性威胁因素 1)人类自身方面:主要是意外操作、缺乏经验、蓄意破坏等;2)自然灾难方面:包括地震、水灾、火灾、 电磁等;3)逻辑问题方面:包括应用软件错误、文件损坏、数据交换错误、操作系统错保、不恰当的用户 需求等:4)硬件故障方面:主要指硬件系统的各个组成部分,如芯片、主板、存储介质、电源、I/O 控制器等 发生故障;5)来自网络故障方面:网络故障包括网络连接问题(如网桥或路由器的缓冲不够大引起的阻塞),
5、网 络接口卡和驱动程序问题以及辐射问题等. (2)系统安全威胁因素 I)物理设备威胁:是指偷窃设备、直接读取设备、间谍行为等以直接方式对系统信息造成的威胁;2)线 缆连接威胁:包括拨号进入、连线或非连线(如磁场分析)窃听等方式窃取重要信息;3)身份鉴别威胁:包括口 令被破解、加密算法不周全等漏洞性因素;4)病毒或编程威胁:病毒袭击己成为计算机系统的最大威胁.此外, 有的编程人员为了某种目的,故意编写一段程序代码隐藏在系统中,对系统安全构成威胁.4 办公自动化系统安全设计分析 由于众多的因素造成了对数据完整性威胁和安全威胁,因此,办公自动化网络系统必须建设一套完整的策 略和安全措施来保障整个系统
6、的安全. 4.1 安全设计的基本原则 1)安全性第一的原则:由于安全性和网络的性能(使用的灵活性、方便性、传输效率等)是一对矛盾,两者 不能兼得.建议选择前者,以牺牲网络的性能,来换取安全性的增强,但采取的措施应让用户感觉不到网络性 能受到的影响.2)多重保护的原则:任何安全保护措施都可能被攻破.建立一个多重保护系统,各重保护相互 补充,当一重保护被攻破时,其它重保护仍可保护信息系统的安全.3)多层次(OSI 参考模型中的逻辑层次)的 原则:如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置专用程序代码、运行应用审计 软件,在应用层之上启动代理服务等.4)多个安全单元的原则:把整
7、个网络的安全性赋予多个安全单元,如路 由器、屏蔽子网、网关,形成了多道安全防线.5)网络分段的原则:网络分段是保证安全的重要措施.网络分 段可分为物理分段和逻辑分段.网络可通过交换器连接各段.也可把网络分成若干 IP 子网,各子网通过路由器 连接,并在路由器上建立可访问表,来控制各子网的访问.6)最小授权的原则:对特权(超级)网络要有制约措 施,分散权力,以降低灾难程度.7)综合性原则:计算机网络系统的安全应从物理上、技术上、管理制度(如 安全操作乃至计算机病毒的防范等)上以及安全教育上全面采取措施,相互弥补和完善,尽可能地排除安全漏洞. 4.2 建立一套安全措施 办公自动化网络建立以后,在运
8、用安全设计原则的基础上如何很好地协调系统的安全和系统的灵活性、开 放性,是在设计系统安全时必须考虑的问题.分析此类办公自动化网络系统的特点,安全威胁主要有 4 个方面: 一是外界黑客或非法用户的侵入;二是病毒的侵害:三是内部人员闯入非允许进入的节点,获取非授权的资料; 四是设备发生问题影响网络的运行.为了防止这类事情的发生,在设计方案中根据实际情况,制定一系列的防 范措施.这些措施主要有: 1)建立用户使用网络资源的规章制度;2)严格划分不同工作人员的权限;3)严格设定各种信息资源、设备 资源的使用权限:4)关键信息的传输采用端到端的专用加密工具:5)完善认证/授权的技术控制手段;6)采用分
9、布授柳集中控制的安全策略;7)采用数字签名技术和第三方确认的控制措施;8)加强用户管理,防止非法侵入; 9)加强对用户下卸的软件进行病毒检查;10)定时备份,防止系统崩溃;11)加强组织管理,完善各项规章制度. 4.3 防止非法访问与数据丢失 由于办公自动化网络联接着许多重要的部门,网上一些信息资源有着很高的保密性.在网络设计方案中应 根据实际情况,制定一系列的防范措施,分别对网络层、系统设备层、应用层进行分级安全保护,采用一些专 用的软件和设备提高安全性.数据的安全保护方法主要体现在两个方面:防止非法访问和防止数据丢失. 对于第一个方面,可以通过防火墙并利用 CISCO 路由器自带软件来实现
10、. 1)授权控制(Authentication):控制特定 的用户在特定的时间内使用特定的应用.防火墙用专有的 FTP 和 Telnet 进程取代了标准进程。FTP 或者 Telnet 的请求只有经过防火墙认证般权后才能进行通信.HTTP 认证服务运 行在 Firewall gateway 之上,可以保护在防火墙之后的所有的 HTTP 服务器.管理员可以制定用户授权策略,决定 哪些服务器或应用可以被用户访问.2)数据加密(Encryption):在通信节点配备 Firewall gateway,可以将各个节 点定义成为一个加密域,形成了一个虚拟专用网 VPN. 3)地址转换(IP Transl
11、ation):管理员可决定哪些 IP 地址需 要映射成能够接入 Internet 的有效地址,哪些地址被屏蔽掉,不能接入Internet. 4)在对操作系统(Windows 2000 Server)访问检查设置功能中采取进入系统时口令检查;在文件管理系统中建立文件、记录和共享资源的访问许 可控制;对存储空间的访问进行保护;控制面板中的网络窗口定义网络资源的访问许可控制;用户管理系统建 立登录用户的帐户,规定用户在系统中各种操作的权利等保护措施. 对于防止数据丢失,采取的方法是: 1)利用磁带机对文件服务器上的系统数据进行定期备份.2)采用先进的 UPS 来防止外部电源断电而引起的 对网络使用的
12、伤害.3)利用磁盘阵列做好重要数据的冗余备份,提高网上重要设备的自身容错能力.4)设计 的主机群应采用双机祸合容错结构,主辅机可以共享磁盘阵列资源,可以自动错误侦测,接管备援,恢复系统, 使整个主机群处于高可靠祸合工作状态,双机可以互为备份,两台机器之间可以均衡负载. 4.4 基于角色的访问控制机制 在防止非法访问和数据丢失的同时,应做到既防止公文信息被窃取、破坏和滥用,又有利于提高公文处理 效率,其重要手段之一就是采取一套安全有效又灵活的访问控制机制. 基于角色的访问控制是 George Mason(乔治梅森)大学的教授Sandhu(圣得胡)提出的一种新型访问控制模 型.它的基本思想是将权限
13、与角色联系起来,在系统中根据工作应用的需要为不同的工作岗位创建相应的角色, 同时根据用户职务和责任指派合适的角色,用户通过所指派的角色获得相应的权限,实现对文件的访问.因此 可以极大地简化权限的管理,灵活地将用户从一个角色重新指派为另一个角色,给角色分配和撤销一些权限.它 支持最小特权、责任分离以及数据抽象三个基本的安全原则. 基于角色的安全性是指公文文档可被而且仅被预先定义的人员存取操作,在底层是网络和数据库安全性保 证,包括服务器存取控制、数据库存取控制表、加密、签名和用于鉴别的 Domino/Notes 和 SSL(SecureSocketsLayer) 数字签名验证字.Domin。有以
14、下访问类型(角色),按权限的高低依次有:管理者、设计者、编辑者、作者、读 者、投稿者等。而实际参与办公系统的有管理员、文书、办公室主任、局领导、科领导和科员等角色,由于在 该系统运行中,实际的角色权限还在动态改变,仍无法直接用 Domino 系统提供的权限,因此,提出通过映射关 系来实现(见表 1).还必须借助 Script 动态的修改表单的域,实现对包括管理员在内的一些必要的限制. 如何根据应用的需求恰当地建立用户角色权限这三者之间多对多的映射关系,将是整个办公自动 化系统安全可靠和高效运行的关键.此外,所建立的映射关系,应提供灵活的配置功能,使映射关系具有可更 改和可扩充性,以适应可能变化
15、的需求.为了实现基于角色的访问控制,这里定义了四张表以实现角色到用户、 角色到权限的分配.如表 2 3 4 5 所示. 在用户申请某操作时,系统需要检测用户所拥有的角色集,并根据这些角色集中所包含的权限来判断该用 户是否能进行该操作,如果可行则置许可证发放标记为真.同时,系统为了执行某些静态约束,比如同一用户 不能同属于两个互斥角色,还可以定义互斥角色表.约束是基于角色的访问控制中重要的安全策略,是对用户 执行权限的一些限制.静态约束在系统设计时定义,而动态约束在系统运行时执行.某个用户在系统中可能同 时拥有多个角色,但是在某一个工作过程中,当他充当其中一个角色的同时不能激活其另一个角色.例如
16、在一 个文件的处理过程中,用户的拟稿角色和审批角色至多只能激活一个.又例如对用户阅读文件的时间期限,系 统也可以加以限制. 5 小结 系统安全在办公自动化网络系统中占据着尤为重要的地位.本文对系统安全设计进行了简要的阐述,针对 非法访问,数据丢失和访问控制模式进行了较为详细的论述. 随着我国信息化的逐步深入,尤其是“电子政务”建设热点的兴起,建设办公自动化网络系统的热潮将会 得到更迅速的发展,将会促进我国信息化的建设. 参考文献: t1李海泉.计算机系统安全技术与方法叫.西安:西安电子科技大学出版社,1991. 2陈江东.办公自动化系统的系统分析闭.计算机系统应用,1998,(10). 3李孟柯,余祥宣.基于角色的访问控制技术及应用 tl.计算机应用研究,2000, (10). 4洪帆,杜小勇.办公自动化系统中基于任务的访问控制【月,华中科技大学学报,2001,(3).
