1、网络自动化办公信息安全第一章 前 言1.1课题的研究意义近年来网络的普及的同时,计算机系统漏洞的发现速度加快,大量蠕虫攻击不断爆发,计算机网络安全状况不容乐观。目前的计算机网络攻击相对集中,攻击手段更加多样,攻击对象的范围扩大等新特点。虽然现在的网络安全技术较过去有了很大进步,但计算机网络安全攻击和防御是技术共存的,整体状况不容乐观。网络安全企业和专家应该从这些特点出发,寻找解决的方法。办公自动化确实给我国的现代化建设带来了极大的便捷和极高的效率目前文件传输及管理可以利用计算机实现,资料要保存可以用扫描仪将其转变为电子数据;要了解外界信息可以从网络上进行浏览。有必要的话还可以下载;集团公司内部
2、之间进行操作与沟通,可以通过局域网来实现,既具有安全性又方便快捷;如果办公室配备具有无线上网的笔记本的话,则可以在长途旅行中操作一切本文及信息资料的起草、排版、打印、储存、检索、传输等流程;收发文件、打印资料、电脑互联网会议、真正实现办公自动化。目前,办公自动化网络的发展趋势是:1) 办公目动化设备向高性能、多功能、复合化和系统化发展。2) 整个办公室系统将向数字化、无纸化、综合化办公系统发展。3) 用计算机做的办公工作站将向同时能处理文字、数据、图形、图象、声音的多功能发展。4) 通信在办公自动化系统中的地位将进一步增强,可以充分利用多种通信媒介来建立全球性的通信网络体系。5) 办公智能化日
3、趋成熟。网络安全的根本目的就是防止信息泄露。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据,不会发生增加、修改、丢失和泄露等。第二章 办公自动化网络常见的安全问题2.1 办公自动化概念办公自动化(Office Automation,简称OA)是将现代化办公和计算机网络功能结合起来的一种新型的办公方式。办公自动化没有统一的定义,凡是在传统的办公室中采用各种新技术、新机器、新设备从事办公业务,都属于办公自动化的领域。在行政机关中,大多把办公自动化叫做电子政务,企事业单位就大多叫OA,即办公自动化。通过实现办公自动化,或者说实现数字化办公,可以优化现有的管理组织结构,调整管理体制,在
4、提高效率的基础上,增加协同办公能力,强化决策的一致性,最后实现提高决策效能的目的。2.2 网络安全概念网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。2.3 办公自动化网络安全的因素系统的安全应主要包括数据与信息的完整性和系统安全两个方面;数据与信息的完整性指数据不发生损坏或丢失,具有完全的可靠性和准确性;系统安全指防止故意窃取和损坏数据。威胁数据完整性和系统安全的因素主
5、要有:(1)数据完整性威胁因素 1) 人类自身方面:主要是意外操作、缺乏经验、蓄意破坏等;2) 逻辑问题方面:包括应用软件错误、文件损坏、数据交换错误、操作系统错保、不恰当的用户需求等;3) 硬件故障方面:主要指硬件系统的各个组成部分,如芯片、主板、存储介质、电源、I/O控制器等发生故障;4) 网络故障方面:网络故障包括网络连接问题(如网桥或路由器的缓冲不够大引起的阻塞),网络接口卡和驱动程序问题以及辐射问题等。(2)系统安全威胁因素 1) 物理设备威胁:是指偷窃设备、直接读取设备、间谍行为等以直接方式对系统信息造成的威胁;2) 线缆连接威胁:包括拨号进入、连线或非连线(如磁场分析)窃听等方式
6、窃取重要信息;3) 身份鉴别威胁:包括口令被破解、加密算法不周全等漏洞性因素;4) 病毒或编程威胁:病毒袭击己成为计算机系统的最大威胁。此外, 有的编程人员为了某种目的,故意编写一段程序代码隐藏在系统中,对系统安全构成威胁。2.4 办公自动化网络常见的安全问题(1)病毒的传播“病毒”的定义是:“计算机病毒是指编制或者在计算机程序中插入破坏计算机或毁坏数据、影响计算机使用,并能自我复制的一级计算机指令或程序代码”。随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就
7、可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。网络病毒普遍具有较强的再生机制,可以通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。(2)黑客的入侵“黑客”是英文“Hacker”的音译,最初是指那些热衷于计算机程序设计的人,现在则专指利用通信软件及联网计算机,通过网络非法进入他人系统,截获或篡改计算机数据,危害信息安全的计算机入侵者。随着计算机技术的飞速进步和互连网的普及,许多“
8、黑客”的活动已开始从寻求刺激、炫耀技能的恶作剧演变为利用网络技术从事经济或政治犯罪活动,其形式也开始由个人行为向有组织方向发展。在网上,“黑客”几乎无处不在,党政机关的核心机密、企业的商业秘密及个人隐私等均在他们窥视之列。“黑客”中有的破坏党政机关及办公机构的网站,使它们突然瘫痪或不能正常工作,有的窃取银行帐号,盗取巨额资金,有的以窃获的文秘机密资料为要挟,进行网上恐怖活动。(3)数据的丢失在办公自动化互联网技术系统中,会有诸多因素导致数据信息被窃取。首先是计算机黑客的入侵,计算机黑客出于各种目的入侵网络,其中恶意入侵对办公自动化的危害也产生在诸多方面。其中一种入侵方法就是破坏数据,通过入侵服
9、务器硬盘引导区的数据,删除或恶意篡改原始数据、损害应用程序等。另一种就是病毒破坏,病毒入侵系统数据分区。包括硬盘主引导记录、系统扇区、文件目录等;病毒还可能侵入文件数据分区,使文件数据被恶意篡改、删除、替换、丢失部分应用程序及信息资料,造成办公单位的人力、物力、财力等巨大损失。第三章 办公自动化网络系统安全防范及策略 网络系统的安全是保证数据与信息的完整性、消除整个系统的安全威胁是每一个计算机应用系统必须考虑的问题。计算机系统的安全包括数据与信息的完整性和系统安全两个方面:数据与信息完整性指数据不发生损坏或丢失,具有完全的可靠性和准确性;系统安全指防止故意窃取和损坏数据,计算机系统通常使用安全
10、产品和措施来保证数据免受威胁。3.1教育防范加强网络道德教育非常关键,引导工作人员看清形势,即要让他们知道,随着国门大开,国外情报间谍机构可以借机进入他们以前难以进人的产业和领域,搜集情报的活动更加广泛和方便,由于科学技术的迅猛发展,如果不注意保密和自我保护,机密文件就会在网上泄露,势必造成不可估量的损失。3.2制度防范(1)要建立健全信息防御法规制度,严格信息安全管理工作,做到有章可循、依法办事,在网络内部筑起一道由法规制度铸就的“防火墙”。(2)单位上网实行上网前申报和上网后审查制度,加强对上网人员的监督,减少泄密人员上网的机会,防止过失泄密。(3)规范秩序,加强对单位上网进行管理,认真按
11、照中华人民共和国计算机信息网络国际联网管理暂行规定,严格审查和控制,并采取有关技术防范措施,堵塞有害信息传播和泄密渠道。(4)加大检查监督力度,严厉打击网络违法犯罪活动,减少和防止“网”上泄密事件的发生。3.3技术防范(1)加强机房管理对目前大多数办公自动化系统来说,存在的一个很大的不安全因素是网络管理员的权力太大,据有关资料报道,80%的计算机犯罪来自内部,所以对机房工作人员要做好选择和日常考察,妾采取一定的手段来限制或者削弱网络管理员的权力,对机房工作人员,要结合机房、硬件、软件、数据和网络等各个方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;要加强业务、技术等方面的定期培训
12、,提高管理人员的技术水平。(2)设里访问控制访问控制是保证网络安全最重要的策略之一。访问控制策略包括人网访问控制策略、操作权限控制策略等几个方面的内容。首先,网络管理员应该对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户账户应只有网络管理员才能建立,用户口令是用户访问网络所必须提交的准人证。针对用户登录时多次输人口令不正确的情况,系统应按照非法用户人人口令的次数给予给出报警信息,同时应该能够对允许用户输其次,用户名和口令通过验证之后,系统需要进一步对用户账户的默认权限进行检查。最后,针对用户和用户组赋予一定的操作权限。网络管理员能够通过设置,指定用户和用户组可以访问网络中的哪些资
13、源,可以在服务器上进行何种类型的操作。网络管理员要根据访问权限将用户分为特殊用户、普通用户和审计用户等等。(3)数据加密主要针对办公自动化系统中的数据进行加密。它是通过网络中的加密系统,把各种原始的数据信息(明文)按照某种特定的加密算法变换成与明文完全不同的数据信息(密文)的过程。目前常用的数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密对用户来说比较容易实现,使用的密钥较少,而端到端加密比较灵活,对用户可见,在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。数据存储加密主要就是
14、针对系统数据库中存储的数据本身进行加密,这样即使数据不幸泄露或者丢失,也难以被人破译。数据存储加密的关键是选择一个好的加密算法。(4)建立工作日志对所有合法登录用户的操作情况进行跟踪记录;对非法用户,要求系统能够自动记录其登录次数,时间,IP地址等信息,以便网络管理员能够根据日志信息监控系统使用状态,并针对恶意行为采取相应的措施。(5)Web服务器的安全 Intranet是目前最为流行的网络技术。利用Intranet,各个企业,无论大中小,都可以很方便地建立起自己的内部网络信息系统。Intranet通过浏览器来查看信息,用户的请求送到Web服务器,由Web服务器对用户的请求进行操作,直接提交静
15、态页面;或通过CGI进行交互式复杂处理,再由Web服务器负责将处理结果转化为HTML格式,反馈给用户。因此,Web服务器的安全是不容忽视的。而安全套接字层SSL(Securesocketlayer)的使用为其提供了较好的安全性。 SSL是用于服务器之上的一个加密系统,是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,它可以确保在客户机与服务器之间传输的数据是安全与隐密的。SSL协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文体传输协议的传输。目前大部分的Web服务器和浏览器都支
16、持SSL的资料加密传输协议。要使服务器和客户机使用SSL进行安全的通信,服务器必须有两样东西:密钥对(Key pair)和证书(Certificate)。SSL使用安全握手来初始化客户机与服务器之间的安全连接。在握手期间,客户机和服务器对它们将要为此会话使用的密钥及加密方法达成一致。客户机使用服务器证书验证服务器。握手之后,SSL被用来加密和解密HTTPS(组合SSL和HTTP的一个独特协议)请求和服务器响应中的所有信息。(6)漏洞扫描系统 解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评
17、估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。(7)加强邮件安全在众多的通信工具中,电子邮件以其方便、快捷的特点已成了广大网络用户的首选。然而这也给网络安全带来了很大的隐患,目前垃圾邮件数量巨大、邮件病毒防不胜防,而关于邮件泄密的报道更是层出不穷。面对电子邮件存在的巨大安全隐患,可以采取如下的防御措施:1)加强防御,一般用户会经常忽略使用电邮安全的基本常识,因此教育用户一些常识是
18、非常有必须的。例如,勿开启来自未知寄件者的附件;勿点选不熟悉来源的任何内容;封锁陌生人的实时讯息等。2) 对邮件进行加密,由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性和不被其他人截取和偷阅也变得日趋重要。据调查,74%邮件泄密是因为邮件中的机密信息未做任何加密措施引起的。因此,邮件加密是一种比较有效的、针对邮件内容的安全防范措施,采取先进的加密算法可以有效地保障数据的安全。3) 反垃圾邮件,垃圾邮件经常与病毒有关,因此用户需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含恶意软件的网站,而且病毒经常通过电子邮件传播。大大减轻邮件病毒肆虐的方法是使用反
19、病毒软件,例如只使用提供自动病毒保护功能的电子邮箱,只打开来源可信的电子邮件,或在打开邮件附件之前用反病毒软件进行扫描等等。(8)设置网络防火墙通过安装并启用网络防火墙,可以有效地建立起计算机与外界不安全因素的第一道屏障,做到实时监控网路中的数据流,保护本地计算机不被病毒或者黑客人侵。1)总拥有成本 防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如仅作粗略估算,非关键部门的防火墙购置成本不应超过网络系统的建设总成本,关键部门则应另当别论。 2)防火墙本身是安全的 作为信息
20、系统安全产品,防火墙本身也应该保证安全,不给外部入侵者以可乘之机。通常,防火墙的安全问题来自两个方面:一是防火墙本身的设计是否合理。二是使用不当。 3) 管理与培训 管理和培训是评价一个防火墙好坏的重要方面。人员的培训和日常维护费用通常会在TCO中占较大比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。 4)可扩充性 随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平不高的情况下,可只选购基本系统,而随着要求的提
21、高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提高防火墙产品的厂商来说,也扩大了产品覆盖面。5) 防火墙的安全性 防火墙产品最难评估的方面是防火墙的安全性能。这一点同防火墙自身的安全性一样,普通用户通常无法判断。所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证测试的产品。6) 保护传输线路安全对于传输线路,应有相应的保护措施,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误;网络连接设备如Hub等应放置在易于监视的地方,以断绝外连的企图;还要定期检查线路的连接状况,以检测是否有外连或破坏等行为。第四章 结论与展望办公自动化是现代企业运行的新模
22、式,也是一个系统的工程,在充分利用网络平台的同时,我们也要做好网络威胁防范工作。这不能仅仅依靠防毒软件或者防火墙等单个的系统,必须将各种安全技术结合在一起。一个技术上可行性、设计上合理性、投资上平衡性的安全策略已经成为成功的办公自动化网络的重要组成部分。系统中的安全隐患、黑客的攻击手段和技术在不断提高,我们要对安全的概念要不断的扩展,安全的技术也应不断更新,才能生成一个高效、通用、安全的网络系统。本文对办公自动化网络安全进行了较为详细的阐述,针对非法访问,数据丢失和访问控制模式进行了论述. 随着我国信息化的逐步深入,尤其是“电子政务”建设热点的兴起,建设办公自动化网络系统的热潮将会得到更迅速的
23、发展,将会促进我国信息化的建设。致 谢论文写到致谢,也就意味着即将向我的学生涯说再见了,回首这过去三年的学习经历,心生很多感慨。在写这篇论文的过程中,也经历了很大的考验。开始为选题困惑,后来是文章结构,同时在这个过程了发现了自己知识沉淀的不足。不过,最终还是完成了论文。在此要感谢所有的老师,对我的教育和培养,是你们认真负责的态度,使我没有虚度这三年的光阴,获得了人生重要的财富。同时还要感谢所有的同学们,正是因为有了你们的支持和鼓励。此次毕业设计才会顺利完成。最后,想对自己说,学生时代的结束是又一个新的开始,在今后的岁月里,不论做任何事情,都要努力认真,不断成就自己的梦想和更加精彩的人生!参考文献1网络安全理论与应用杨波 北京电子工业出版社 2计算机网络安全技术蔡立军 中国水利水电出版社 3计算机系统安全技术与方法李海泉 西安电子科技大学出版社 4Intranet网络建设与应用开发袁鹏飞 人民邮电出版社5网络安全与管理(第二版)戚文静 中国水利水电出版社6网络安全体系结构设计与实现 王秋华 杭州电子科技大学学报7ASP与网络数据库技术邓文渊、陈惠贞、陈俊荣 中国铁道出版社
