曲進(jìn)
安全是保障OA系統(tǒng)穩(wěn)定運(yùn)行的基本條件,本文闡釋了OA系統(tǒng)組成及特點(diǎn),就其物理安全、主機(jī)安全、應(yīng)用安全及安全管理等防護(hù)架構(gòu)展開(kāi)探討,重點(diǎn)提出安全評(píng)估體系和制定安全保障策略。
【關(guān)鍵詞】OA系統(tǒng) 安全評(píng)估 安全策略
信息化建設(shè)作為國(guó)家戰(zhàn)略發(fā)展的重要內(nèi)容,保障信息安全是發(fā)揮網(wǎng)絡(luò)系統(tǒng)優(yōu)勢(shì)的必然條件。OA系統(tǒng)作為協(xié)同辦公平臺(tái),承擔(dān)著系統(tǒng)內(nèi)部信息流的互聯(lián)互通,而加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)安全體系的評(píng)估是制定安全保障策略的重中之重。
1 OA系統(tǒng)組成及防護(hù)設(shè)計(jì)
從當(dāng)前互聯(lián)網(wǎng)發(fā)展現(xiàn)狀來(lái)看,OA系統(tǒng)已經(jīng)不再局限于某地的協(xié)同辦公網(wǎng)絡(luò),而是基于不同地域下,從企業(yè)及下屬各機(jī)構(gòu)之間的全局化管理需求上,搭建滿足日常辦公、業(yè)務(wù)處理、事務(wù)管理等活動(dòng)的,涵蓋公文收發(fā)、文件查詢、簽報(bào)處理、會(huì)議管理等在內(nèi)的多元化信息交互平臺(tái),從而實(shí)現(xiàn)企業(yè)辦公無(wú)紙化、信息化、網(wǎng)絡(luò)化目標(biāo)。如圖1所示。
從圖1所示的OA系統(tǒng)結(jié)構(gòu)來(lái)看,主要有基礎(chǔ)層、數(shù)據(jù)庫(kù)層、業(yè)務(wù)邏輯層、表示層等四部分組成,并通過(guò)各級(jí)接口單元來(lái)實(shí)現(xiàn)不同用戶、不用業(yè)務(wù)的互聯(lián)互通。
從OA系統(tǒng)管理來(lái)看,安全性是運(yùn)行的關(guān)鍵,而加強(qiáng)對(duì)OA系統(tǒng)數(shù)據(jù)的安全防范,主要從防范破壞、竊聽(tīng)、篡改、偽造等方面,來(lái)構(gòu)建多層級(jí)安全防護(hù)體系。依據(jù)木桶原理,一個(gè)應(yīng)用系統(tǒng)的安全等級(jí)是由最低的短板來(lái)決定,同樣,對(duì)于OA系統(tǒng)安全來(lái)說(shuō),如果存在某一弱項(xiàng),就會(huì)降低系統(tǒng)的整體安全性。為此,在設(shè)計(jì)OA系統(tǒng)安全防護(hù)時(shí),要統(tǒng)籌考慮,要將物理安全、主機(jī)安全、應(yīng)用安排進(jìn)行綜合,來(lái)共同制定完善的安全管理保障體系。如在物理安全防護(hù)上,要對(duì)OA系統(tǒng)內(nèi)的各類(lèi)網(wǎng)絡(luò)硬件設(shè)備與其他媒介設(shè)施進(jìn)行有效隔離,減少和降低可能存在的安全風(fēng)險(xiǎn)。利用網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)病毒監(jiān)測(cè)數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)入侵系統(tǒng)等設(shè)備來(lái)實(shí)現(xiàn)有效監(jiān)控;在對(duì)主機(jī)系統(tǒng)進(jìn)行防護(hù)上,通過(guò)設(shè)置漏洞掃描系統(tǒng)等保障其安全性;在對(duì)應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)時(shí),利用證書(shū)管理系統(tǒng)來(lái)通過(guò)證書(shū)管理、授權(quán)管理等實(shí)現(xiàn)安全保障。
2 OA系統(tǒng)安排評(píng)估及保障策略構(gòu)建
提升OA系統(tǒng)的安全防護(hù)等級(jí),必然需要從OA系統(tǒng)安全評(píng)估中來(lái)構(gòu)建防范策略。隨著OA系統(tǒng)應(yīng)用的不斷拓展,面對(duì)安全防護(hù)體系建設(shè)要求也越來(lái)越高,各類(lèi)防范安全攻擊手段也不斷增強(qiáng)。作為一種動(dòng)態(tài)的防護(hù)保障體系,通常需要經(jīng)歷安全策略制定、安全風(fēng)險(xiǎn)評(píng)估、系統(tǒng)配置調(diào)整和應(yīng)急預(yù)案編制、應(yīng)急響應(yīng)和系統(tǒng)數(shù)據(jù)恢復(fù)等流程。
2.1 制定安全策略
安全策略的制定是保障OA系統(tǒng)的基礎(chǔ),也是首項(xiàng)任務(wù)。從不同OA系統(tǒng)管理安全目標(biāo)來(lái)說(shuō),在制定安全策略上,要確保安全設(shè)備、主機(jī)設(shè)備、服務(wù)器系統(tǒng)的連續(xù)性和可擴(kuò)展性。
2.2 做好安全風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是制定安全策略的前提,也是圍繞可能存在的安全威脅,對(duì)可能存在的網(wǎng)絡(luò)攻擊行為、網(wǎng)絡(luò)安全漏洞等進(jìn)行專門(mén)防范的基礎(chǔ)。隨著OA系統(tǒng)功能的不斷拓展,面臨的安全風(fēng)險(xiǎn)也更加多樣。因此需要從安全風(fēng)險(xiǎn)評(píng)估中通過(guò)技術(shù)手段來(lái)進(jìn)行安全檢測(cè)。具體評(píng)估方法有兩種。一種是對(duì)單一安全因素進(jìn)行評(píng)估。如對(duì)于網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、計(jì)算機(jī)本身進(jìn)行安全性評(píng)估,并從網(wǎng)絡(luò)設(shè)備的使用數(shù)量、型號(hào)、性能等信息上進(jìn)行合理部署和優(yōu)化,利用操作系統(tǒng)安裝相應(yīng)的安全軟件,并從補(bǔ)丁庫(kù)、漏洞庫(kù)及時(shí)更新上來(lái)做好各項(xiàng)風(fēng)險(xiǎn)源的檢測(cè)和控制。針對(duì)網(wǎng)絡(luò)上流行的病毒、木馬等惡意代碼,可以通過(guò)定期升級(jí)、備份來(lái)進(jìn)行防范。另一種是整體安全評(píng)估,通過(guò)綜合性安全防范分析軟件,從系統(tǒng)安全性等級(jí)、系統(tǒng)安全趨勢(shì)分析、系統(tǒng)安全缺陷等方面進(jìn)行綜合評(píng)估,并發(fā)現(xiàn)和鎖定可能風(fēng)險(xiǎn)源,為下一步構(gòu)建安全防護(hù)體系提供參考。
2.3 優(yōu)化安全配置數(shù)據(jù)
通過(guò)安全評(píng)估,針對(duì)可能存在的安全隱患,需要從具體的安全策略制定上來(lái)加以優(yōu)化,來(lái)改進(jìn)系統(tǒng)安全等級(jí)。如對(duì)于某類(lèi)風(fēng)險(xiǎn)源,利用設(shè)置防范參數(shù)來(lái)進(jìn)行過(guò)濾和截獲。同時(shí),針對(duì)病毒庫(kù)、事件庫(kù)、安全補(bǔ)丁更新問(wèn)題,可以從自動(dòng)升級(jí)、人工升級(jí)模式設(shè)置上來(lái)優(yōu)化;對(duì)于各類(lèi)網(wǎng)絡(luò)共享端口,通過(guò)設(shè)置安全口令來(lái)進(jìn)行授權(quán)管理;對(duì)于系統(tǒng)服務(wù)器及其他安全設(shè)備,不必要的端口要進(jìn)行關(guān)閉。
2.4 制定安全應(yīng)急預(yù)案
應(yīng)急預(yù)案是在可能存在的安全攻擊或自然災(zāi)害時(shí)所采取的系統(tǒng)化解決防范思路和方法。如對(duì)于常見(jiàn)的網(wǎng)絡(luò)攻擊行為,通過(guò)應(yīng)急預(yù)案來(lái)進(jìn)行處置,來(lái)減少和避免損失,提升網(wǎng)絡(luò)管理系統(tǒng)安全性。以某意外斷電為例,在應(yīng)急措施編制上,應(yīng)該對(duì)主機(jī)系統(tǒng)進(jìn)行有序斷電,在UPS電池耗盡前完成服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等系統(tǒng)的關(guān)閉;在電力恢復(fù)時(shí),應(yīng)該遵循打開(kāi)總開(kāi)關(guān)、啟動(dòng)UPS,逐次打開(kāi)分支開(kāi)關(guān),啟動(dòng)核心路由器、交換機(jī)和網(wǎng)絡(luò)安全設(shè)備,再依次打開(kāi)各個(gè)服務(wù)器,對(duì)各服務(wù)器工作狀態(tài)進(jìn)行檢查,確保正常啟動(dòng)相應(yīng)服務(wù)。
2.5 應(yīng)急響應(yīng)及數(shù)據(jù)恢復(fù)
應(yīng)急響應(yīng)是對(duì)存在的安全風(fēng)險(xiǎn)及事件進(jìn)行響應(yīng)的過(guò)程,通常在發(fā)生網(wǎng)絡(luò)異常或告警時(shí),需要對(duì)根據(jù)預(yù)案來(lái)進(jìn)行應(yīng)急處置。如對(duì)于某次網(wǎng)絡(luò)病毒攻擊事件,在應(yīng)急預(yù)案設(shè)計(jì)上,應(yīng)該遵循六點(diǎn):
(1)首先對(duì)被感染計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)隔離;
(2)對(duì)該系統(tǒng)硬盤(pán)數(shù)據(jù)進(jìn)行備份;
(3)判斷病毒類(lèi)型、危害,涉及到那些網(wǎng)絡(luò)端口,并啟動(dòng)殺毒軟件對(duì)該計(jì)算機(jī)系統(tǒng)進(jìn)行全面殺毒處理;
(4)為保障安全,需要對(duì)其他服務(wù)器系統(tǒng)進(jìn)行病毒掃描和清除;
(5)對(duì)于殺毒軟件無(wú)法清除的病毒應(yīng)立即報(bào)告,并聯(lián)系廠商協(xié)助解決,針對(duì)事態(tài)危重問(wèn)題,要告知相關(guān)部門(mén)給予協(xié)同處理,并發(fā)布病毒語(yǔ)境;
(6)清除完病毒后,重新啟動(dòng)計(jì)算機(jī)并接入網(wǎng)絡(luò)系統(tǒng)。應(yīng)急恢復(fù)是在完成安全防范事件后,對(duì)原有系統(tǒng)進(jìn)行啟動(dòng),并將系統(tǒng)恢復(fù)至正常狀態(tài)。
3 結(jié)語(yǔ)
OA系統(tǒng)安全評(píng)估及策略的制定,重點(diǎn)在于對(duì)可能存在的應(yīng)急風(fēng)險(xiǎn)進(jìn)行預(yù)案設(shè)計(jì)和應(yīng)急響應(yīng),并從異常事件處置中總結(jié)經(jīng)驗(yàn),優(yōu)化安全策略,確保OA系統(tǒng)處于良好運(yùn)行狀態(tài)。
參考文獻(xiàn)
[1]陳建新,王金玉,陳禹,程渙青,胡韜.OA網(wǎng)絡(luò)信息系統(tǒng)的頂層設(shè)計(jì)方略[J].辦公自動(dòng)化,2014(10).
[2]陳燕,魏鵬飛.辦公自動(dòng)化系統(tǒng)安全控制策略[J].技術(shù)與市場(chǎng),2016(06).
作者單位
軍工保密資格審查認(rèn)證中心 北京市 100089