丁茜

（中國人民解放軍94159部隊，甘肅 蘭州 730030）

辦公數(shù)據(jù)安全威脅及防范措施

丁茜

（中國人民解放軍94159部隊，甘肅 蘭州 730030）

為了提高公辦數(shù)據(jù)的安全性，從計算機病毒、木馬程序、黑客攻擊、人為因素等方面論述了辦公數(shù)據(jù)安全威脅因素，結合計算機病毒的防范、訪問控制、網(wǎng)絡安全、數(shù)據(jù)恢復給出了辦公數(shù)據(jù)安全防范策略。

辦公；數(shù)據(jù)安全；防范措施

隨著信息化進程的不斷深化，辦公自動化的靈活性，高速性和敏捷性得以顯著提高，與此同時辦公數(shù)據(jù)安全也受到越來越多的關注。在自動化辦公環(huán)境中要求我們不斷加強數(shù)據(jù)安全意識，規(guī)范操作流程，認知數(shù)據(jù)安全威脅因素，掌握信息化辦公的安全防范策略。

1 辦公數(shù)據(jù)安全威脅因素

1.1 計算機病毒

計算機病毒是具備傳染性、潛伏性和破壞性的一組計算機指令序列，可以借助各種移動存儲介質和通訊網(wǎng)絡得以快速傳播，給計算機網(wǎng)絡及計算機軟、硬件系統(tǒng)帶來巨大的潛在威脅[1]。計算機病毒對辦公數(shù)據(jù)安全的主要威脅表現(xiàn)為：（1）篡改文件、刪除文件，（2）自我復制吞噬磁盤空間，（3）搶占系統(tǒng)資源，導致系統(tǒng)運行速度降低甚至死機，（4）造成系統(tǒng)崩潰、格式化系統(tǒng)，（5）破壞計算機硬件。

1.2 木馬程序

木馬是為了實現(xiàn)惡意控制遠程計算機的目的而編制的特定程序，通常由客戶端及服務端兩部分組成，一旦用戶運行了服務端程序，其電腦就會開啟一個或多個端口供客戶端訪問，此時個人隱私及辦公數(shù)據(jù)安全將受到極大威脅[2]，其表現(xiàn)主要為：（1）修改用戶訪問控制權限，（2）閱讀、復制、篡改、刪除文件，（3）更改計算機軟、硬件配置，（4）盜用用戶各種賬號、密碼及安全證書。

1.3 黑客攻擊

黑客原指熱衷于研究IT技術，精通編程語言、各類計算機操作系統(tǒng)、計算機系統(tǒng)結構及高級計算機網(wǎng)絡，具備高超水平的計算機專家?，F(xiàn)在主要特指利用計算機網(wǎng)絡和計算機系統(tǒng)安全漏洞進行網(wǎng)絡監(jiān)聽、截獲口令、盜用特權、安放木馬、WWW欺騙、電子郵件攻擊、截獲他人資料的人群[3]。黑客攻擊對辦公數(shù)據(jù)安全的威脅主要表現(xiàn)為：（1）竊取辦公機密和信息，（2）盜用財務賬號，謀取經(jīng)濟利益，（3）纂改、破壞系統(tǒng)配置，導致業(yè)務處理崩潰。

1.4 人為因素

人為因素也是影響公辦數(shù)據(jù)安全的又一威脅，倘若辦公人員信息素養(yǎng)不高，不能嚴格履行辦公安全防范守則，辦公資料及信息很容易丟失或泄露，具體表現(xiàn)為：（1）沒有設置系統(tǒng)登錄及文件訪問密碼，或密碼強度過低，威脅數(shù)據(jù)安全，（2）對E-mail或即時通訊工具賬號保護力度不夠，導致信息泄露，（3）隨意處置辦公存儲介質，導致U盤、光盤等的丟失。

2 數(shù)據(jù)安全防范策略

2.1 計算機病毒的防范

病毒防治應與計算機管理緊密結合起來，組成殺毒軟件、防火墻、安全衛(wèi)士構建的病毒防線。定期對防護系統(tǒng)進行必要更新，同時及時操作系統(tǒng)及應用軟件漏洞進行修復。網(wǎng)絡環(huán)境中應該加強網(wǎng)絡管理，除了在單機環(huán)境上安裝必要的反病毒及安全衛(wèi)士套件，而且還應該部署針對局域網(wǎng)、廣域網(wǎng)的查殺病毒軟件，對安全保密要求高的部門還應該安裝網(wǎng)絡病毒防治服務器，確保在網(wǎng)絡數(shù)據(jù)交換過程中病毒的檢測與過濾。

2.2 訪問控制

通過用戶權限分配，計算機密碼設置降低辦公數(shù)據(jù)安全隱患，各層次常見密碼包括CMOS密碼，系統(tǒng)登錄密碼，屏幕保護密碼，E-mail賬號密碼，文檔加密及壓縮文件加密等。在設置密碼時盡量采用長度足夠長、排列隨機、使用大小寫字母以及數(shù)字和特殊符號組成的高強度密碼。

2.3 網(wǎng)絡安全

為了有效防治木馬植入、黑客攻擊對本地網(wǎng)絡的入侵，應該采用內部外部網(wǎng)絡隔離策略、訪問控制策略、內部網(wǎng)絡隔離策略及分段管理策略，以提高整個網(wǎng)絡辦公環(huán)境的數(shù)據(jù)安全性保障[4-5]。

1）內部外部網(wǎng)絡隔離策略，為了實現(xiàn)內部辦公自動化網(wǎng)絡和外部網(wǎng)絡的隔離，可以在路由器上設置屏蔽IP地址及服務，或者在路由器上設置允許進入辦公網(wǎng)絡的IP地址及服務而阻擋非法訪問，對于安全保密要求較高的部門還可以設置防火墻認證系統(tǒng)，通過防火墻網(wǎng)絡數(shù)據(jù)流監(jiān)測，保護內網(wǎng)信息、內網(wǎng)結構和內網(wǎng)運行狀態(tài)，其基本功能為：對網(wǎng)絡數(shù)據(jù)包進行過濾；限定整個網(wǎng)絡的訪問控制行為；屏蔽被禁用的系統(tǒng)服務；登記網(wǎng)絡活動及信息；網(wǎng)絡攻擊預警。

2）分區(qū)訪問權限設定策略，將整個網(wǎng)絡結構邏輯上分成三個子系統(tǒng)，內網(wǎng)系統(tǒng)、隔離區(qū)系統(tǒng)、外網(wǎng)系統(tǒng)，每個系統(tǒng)分配不同的訪問控制權限和方式。內網(wǎng)系統(tǒng)對外完全透明，不設置任何對外服務，確保內網(wǎng)系統(tǒng)的絕對安全。隔離區(qū)系統(tǒng)是在內網(wǎng)系統(tǒng)和外網(wǎng)系統(tǒng)之間設置的一個緩沖區(qū)，該系統(tǒng)可以對外提供必要的網(wǎng)絡服務，如Web服務、FTP服務、郵件服務等，雖然隔離區(qū)系統(tǒng)有可能受到黑客攻擊，但由于隔離區(qū)緩沖系統(tǒng)的存在可以確保內部網(wǎng)絡核心數(shù)據(jù)和服務的安全，同時也方便管理對網(wǎng)絡運行監(jiān)測及網(wǎng)絡故障診斷。

3）內部網(wǎng)絡的分段管理策略，分段管理策略不僅有利于網(wǎng)絡監(jiān)測、診斷、維護，縮小網(wǎng)絡沖突隱患，隔離內部網(wǎng)絡的廣播風暴，提高網(wǎng)絡穩(wěn)定性和安全性。網(wǎng)絡分段可以采用物理分段和邏輯分段兩種實現(xiàn)方法，前者將物理層或數(shù)據(jù)鏈路層分成若干網(wǎng)段，原則上不允許各網(wǎng)段之間直接通信；后者指將網(wǎng)絡在網(wǎng)絡層上進行分段處理，實現(xiàn)子網(wǎng)隔離。在預算比較寬裕的情況下，可以使用路由器、防火墻、帶有虛擬局域網(wǎng)功能的三層交換機實現(xiàn)內網(wǎng)分段；在預算緊張的情況下，可以使用多網(wǎng)卡主機軟路由方式實現(xiàn)內網(wǎng)分段，利用網(wǎng)絡連接中間設備實現(xiàn)各級安全設置。

2.4 數(shù)據(jù)備份

為了防止因為系統(tǒng)故障或誤操作造成的辦公數(shù)據(jù)安全威脅，有必要將重要數(shù)據(jù)拷貝至其他存儲設備，而對于海量數(shù)據(jù)還可以采用數(shù)據(jù)備份恢復管理軟件結合存儲介質的網(wǎng)絡備份方式，還可根據(jù)各單位的實際需求，采用實時自動備份、定期備份、系統(tǒng)設備備份等機制。

3 結論

隨著信息化進程的推進，辦公自動化成為各級單位辦公效率提升的基本要素，同時受計算機病毒、木馬程序、黑客攻擊和人為因素的影響辦公數(shù)據(jù)安全隱患也越發(fā)凸顯，要求病毒防治應與計算機管理緊密結合起來，組成殺毒軟件、防火墻、安全衛(wèi)士構建的病毒防線；通過用戶權限分配，計算機密碼設置降低辦公數(shù)據(jù)安全威脅；采用內部外部網(wǎng)絡隔離策略、訪問控制策略、內部網(wǎng)絡隔離策略及分段管理策略，以提高整個網(wǎng)絡辦公環(huán)境的數(shù)據(jù)安全性保障；引入數(shù)據(jù)備份恢復機制保障辦公數(shù)據(jù)安全。

[1] 周琪娟.打造電子辦公安全環(huán)境[J].中國石化,2011(4): 20-21.

[2] 徐清亮.移動辦公安全威脅與解決方案[J].財經(jīng)文摘, 2010(7):114-114.

[3] 竇宇海,陳麗冰.PKI在網(wǎng)絡辦公安全中的應用[J].今日科苑,2008(16).

[4] 任子亭.網(wǎng)絡環(huán)境下辦公安全策略研究與實現(xiàn)[J].計算機安全,2013(6):51-55.

[5] 王朝崗.計算機網(wǎng)絡安全防范措施研究[J].電腦知識與技術,2014,26:011.

TP393.08