网站首页  词典首页

请输入您要查询的论文:

 

标题 提高办公自动化网安全构想
范文

    霍领乐+郭新海+秦宏伟+耿琳莹

    【摘要】 本文针对当前计算机安全形势和办公自动化网的建设需求,在深入研究LPS系统的基础上,为实现安全保密工作的精细化管理,提高工作效率,本文设计了一种新的办公自动化网络架构及部署方案。

    【关键字】 网络安全 LPS系统 办公自动化 网络架构

    一、引言

    目前,计算机应用越来越广泛,计算机、计算机网络在大幅度提高了工作效率,加快科研进度的同时,由其带来的信息安全问题也日益更加受到广泛的关注。一方面是由于信息本身具有易复制的特性,利用这个特性,信息更容易受到难以控制和追溯的盗取威胁;另一方面是由于网络所具有的远程信息存取功能,使信息更容易受到破坏、更改和盗取[1]。

    本文设计了一种新的办公自动化体系模型,该模型有效实现了办公自动化网络的用户身份认证管理、对终端计算机远程协助管理,安全事件的处理机制、以及对局域网用户操作的审计等,能够有效解决内网安全管理问题,提高计算机终端防护能力,有力的增强了办公自动化的层次管理和精细化管理。

    二、办公自动化网现状

    据网络安全调查显示:超过85%的安全威胁来自网络内部、有6%来自内部未授权的存取。以上数据充分说明了内部人员因素的严重危害。来自内部的威胁已经成为危害网络安全的首要因素。信息网络需要高度保密,而绝大多数的安全事件都是从终端计算机上发起的。由于内部网络监控的缺位,有许多漏洞可以被内部人员利用以截取资料。

    如今,信息资料的数量日益激增,并且每天都在不断产生新的信息,如果对终端计算机的管理缺乏手段,造成失泄密是必然的。只有从终端计算机实施管理和防护,这些不安全因素才能从终端源头被控制。因此,办公自动化网建设,必须应满足以下几点需求:一是对网络内部终端计算机实时监控和管理。二是对移动存储设备的有效管理和認证。三是控制非法计算机接入的手段。四是对终端计算机的全面审计。

    三、新型办公自动化网的设计部署方案

    3.1 需求分析

    单位的办公自动化网安全需求与现状对照表如表1所示,现有产品和LPS满足内部网络管理需求的情况对照情况如表2所示。

    依据现阶段计算机网络安全保密形势实际,一个安全系统管理应该有着如下的部署效果:

    (1)网络内部的数据安全交换平台

    依据于强大的域数据交换体系。有第三方能够获得传输过程中的数据时,在内部网络内安全域之间的任何数据在交换过程中是安全的。有效的防止了任何非法外联的主机窃取重要数据。

    (2)主机的资源审计和管理平台

    对于网络内部需要管理的重要主机信息进行实时的审计,并且根据相应的审计信息定制科学的安全策略。

    (3)主机外设端口管理平台

    对于一切可能通过外设形成泄密的行为进行控制,有效地防止了核心数据区的服务器被第三方通过各种网络接口直接从服务器将机密数据盗窃,保障了核心区的数据安全。

    (4)磁盘管理平台

    能够提供磁盘管理手段,保证了数据的存储介质——磁盘的科学使用,可以规定每台主机上磁盘的存储方式(正常读写、保密读写)及其磁盘的数据有效范围(单机有效、域有效、第三方有效),从而可以保证了重要数据在未授权的前提下,不可能被带出网络,解决了用户身份和数据身份的访问控制问题。

    (5)突发病毒、木马的应急响应措施

    对于任何可能形式的突发病毒、木马,都可以归纳出其特征进程及服务,我们可以保障在该病毒、木马的防病毒软件升级包出现之前,有效的隔离已被感染的主机,并且强行禁止响应的 进程和服务,保证在病毒木马出现直到补丁出现这段“真空时间”内主机的安全。

    通过安全系统工程的实施,建立完整的网络信息系统的安全防护体系,从安全策略、安全域、安全系统、安全管理多个层次[2],多个角度,构建网络内部信息安全保障技术框架,实现:有效管理移动存储设备,防止非法(未注册)的移动存储设备的接入。网络内部信息与网络资源受控合法地使用。对所需保护的主机进行详细的管理和审计。

    内部安全解决方案的设计目标是在最小安全投资的前提下,最大限度的管理网络内部信息的安全[3]。

    3.2 设计部署方案

    服务器通过管理控制台进行管理,具备分级部署和分级管理的能力[4]。能够实现:

    (1)广域网多级部署

    满足多用户和不同网络环境的需求。

    (2)集中授权分级管理

    下级管理员只能在获得上级管理员授权,并在其授权的范围内进行相应的管理操作。

    (3)信息自动集中

    在审计和备份时,上级服务器能够自动收集下级各个服务器的日志信息。

    (4)策略自动分发

    上级服务器可以向下级服务器的安全域统一制定策略,并会自动实施到各个安全域相应的MA中。支持安全策略状态切换。部署框图如图1。

    举例说明:如图2把总数据服务器放于自动化工作站机房内,下设管理域包括A点子系统服务器、B点子系统服务器、C点子系统服务器、D点子系统服务器。并同时指定一台主机作为总管理控制台对各个单位的子系统服务器进行分级管理。以A点为例,A点办公楼内放一台LPS子系统服务器,连接A点办公计算机200台。总管理控制台管理员可以直接对A点的所有计算机进行管理;也可以在A点所有计算机内抽取一台作为管理控制台,一方面来接受总管理控制台的指令,另一方面直接对A点管理域内的所有计算机进行直接管控。同时总管理控制台管理员还可以随时登录到A点任何一台办公计算机上进行安全检查。

    用户使用时根据用户身份或数据身份进入系统,使用的主机上磁盘的存储方式被规定为正常读写或保密读写,磁盘的数据有效范围被规定为单机有效、安全域有效或第三方有效。主机信息可以被进行实时的审计。各种外设接口被控制。切断了一切可能通过外设形成泄密的行为。

    四、结束语

    针对计算机网络安全管理实际,办公自动化网应实现对计算机设备的安全管理,对非法计算机的接入管理、局域网内计算机的授权通信、对计算机外联的控制管理,计算机的软硬件资产管理、用户身份认证管理、对终端计算机远程协助管理,安全事件的处理机制、以及实现对局域网用户操作的审计等等。如果相关技术能够在办公计算机安全网络中广泛应用,必将有效解决内网安全管理问题,提高计算机终端防护能力,有力的增强了办公自动化的层次管理和精细化管理。

    参 考 文 献

    [1]郑嵬.一个小型内网安全产品的研究与实现. 湖北工业大学. 2007

    [2]康仲生 高斌 王登坡 陈汶《信息系统安全等级保护基本要求》在信息系统规划、建设、整改中的实施》电子政务. 2008年3期

    [3]蒙海涛. 内网信息安全分析与探讨. 计算机光盘软件与应用. 2010年10期

    [4]孙金萍. 基于H.248协议的视频通信系统信令体系研究. 山东科技大学, 2007

随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2024/12/23 6:47:01