黃俊儀

【摘要】 由現(xiàn)代化設(shè)備組建的辦公自動化系統(tǒng)是一個復(fù)雜系統(tǒng)，它給使用者帶來便利的同時，也給單位的內(nèi)網(wǎng)信息安全帶來了新的風(fēng)險。部分不法分子利用網(wǎng)絡(luò)的智能性、隱蔽性和復(fù)雜性特點(diǎn)，頻繁入侵辦公自動化系統(tǒng)，信息安全面臨嚴(yán)重隱患。

【關(guān)鍵詞】 辦公自動化 信息安全 計算機(jī)保密

近年來，無紙化辦公因其省時、便捷、經(jīng)濟(jì)、覆蓋面廣等顯著特點(diǎn)悄然興起，受到大眾的青睞。但是，辦公自動化系統(tǒng)涉及到設(shè)備廠家、設(shè)計人員、程序安全人員、具體操作人員以及辦公室管理人員等各個環(huán)節(jié)，所以其保密工作的對象和范圍十分復(fù)雜。因此，在辦公自動化過程中，不容忽視的工作之一便是加強(qiáng)計算機(jī)保密工作。

一、辦公自動化中存在的主要保密問題和安全隱患

1.1工作人員缺乏相應(yīng)的安全保密意識

在辦公自動化系統(tǒng)中，由于有的管理者以及工作人員對有關(guān)計算機(jī)安全知識的了解不多，所以沒有對涉密信息的保護(hù)在思想上給予高度的重視。理所當(dāng)然地認(rèn)為涉密信息在現(xiàn)有的計算機(jī)環(huán)境下是非常安全的，或者懷有僥幸心理，重視程度不足，沒有對涉密信息的產(chǎn)生、使用和管理進(jìn)行有效規(guī)范，導(dǎo)致涉密信息沒有得到有力管控。另外，也有一些管理人員保密常識缺乏，以為只要系統(tǒng)使用了加密技術(shù)，安裝了防毒軟件、防火墻，那么信息就一定不會泄露，于是涉密資料、信息被隨意傳至辦公網(wǎng)絡(luò)系統(tǒng)，進(jìn)而埋下了泄密隱患。

1.2辦公自動化設(shè)備應(yīng)用中存在信息安全風(fēng)險

首先，在辦公自動化系統(tǒng)中，筆記本電腦的應(yīng)用越來越多。由于筆記本電腦通常都裝有無線網(wǎng)卡，其他人可能通過無線設(shè)備對正在處理涉密信息的筆記本進(jìn)行聯(lián)通并最終獲得使用權(quán)限，從而導(dǎo)致涉密信息的外泄或被他人截取。

其次，辦公自動化系統(tǒng)中的打印、復(fù)印、傳真等多功能一體機(jī)假如同時連接了互聯(lián)網(wǎng)，或者是同時被用于涉密和非涉密計算機(jī)的打印，那么就有可能導(dǎo)致存儲在電腦中的涉密信息被他人竊取。

再次，移動硬盤、U盤等移動存儲介質(zhì)在涉密單位的使用也很常見，但因其存儲量大、便捷、隱蔽、難防范等特點(diǎn)，成了內(nèi)部網(wǎng)絡(luò)泄密的主要渠道。盡管涉密單位對存儲介質(zhì)制定了嚴(yán)格的管理要求，但這并不能完全杜絕移動存儲介質(zhì)內(nèi)外網(wǎng)混用、公私混用、密級不清、管理不善、甚至是被外帶遺失的現(xiàn)象發(fā)生。

1.3計算機(jī)軟件技術(shù)的安全性能不夠

很多單位對計算機(jī)軟件安全技術(shù)的應(yīng)用程度不夠，影響了辦公自動化的安全防護(hù)能力。比如，在選用操作系統(tǒng)和數(shù)據(jù)管理系統(tǒng)時，沒有考慮其安全控制能力與工作性質(zhì)是否相符合；沒有采取對應(yīng)的權(quán)限措施區(qū)分信息的密級和使用人員的層級；雖然對數(shù)據(jù)庫的進(jìn)入設(shè)置了保密口令，但因程序編譯和加密的缺失導(dǎo)致入侵者可從程序漏洞中獲取保密口令；即便對應(yīng)用程序的入口進(jìn)行了加密，但數(shù)據(jù)庫本身卻沒有被設(shè)置加密，致使別人可繞開程序直接進(jìn)入數(shù)據(jù)庫；盡管應(yīng)用程序設(shè)置了用戶查詢范圍，但是用戶可以經(jīng)多次正當(dāng)查詢，通過邏輯推理獲得保密內(nèi)容等等。

二、辦公自動化中的計算機(jī)保密措施與建議

2.1深入開展保密宣傳教育工作

應(yīng)不斷提高管理人員的保密工作技能，必須大力開展保密宣傳教育工作。狠抓問題根源，全面開展保密法的學(xué)習(xí)。不定時進(jìn)行安全保密工作檢查。定期組織信息安全方面的專題講座和培訓(xùn)，通過學(xué)習(xí)、培訓(xùn)使全體成員更深入地認(rèn)識到保密工作的重要性，掌握較高的保密工作技能，從而更好地適應(yīng)辦公自動化環(huán)境下的安全管理要求。另外，針對辦公自動化網(wǎng)絡(luò)系統(tǒng)的安全保密工作必須堅持標(biāo)本共治，除了運(yùn)用一些技術(shù)防范手段保證涉密信息的安全性外，最根本的是要做好源頭把控。

2.2明確自動化設(shè)備管理責(zé)任

圍繞設(shè)備管理的實(shí)際情況，確立自動化設(shè)備管理工作標(biāo)準(zhǔn)、內(nèi)容和程序，明確崗位保密責(zé)任，對涉密人員進(jìn)行培訓(xùn)并簽訂保密責(zé)任書，提高其保密意識和保密技能。建立規(guī)范的設(shè)備保密管理制度，對涉密人員的工作進(jìn)行定期考核，對保密工作中出現(xiàn)或存在的問題及時研究整改，確保內(nèi)部各項(xiàng)保密工作要求行之有效，各項(xiàng)自動化設(shè)備管理責(zé)任真正落到實(shí)處。另外，將德才兼?zhèn)渥鳛樯婷苋藛T選配的標(biāo)準(zhǔn)，確保涉密設(shè)備管理人員的整體素質(zhì)始終處于一個較高的水平。

2.3創(chuàng)建完善的網(wǎng)絡(luò)安全防護(hù)體系

第一、將最先進(jìn)的防火墻等技術(shù)運(yùn)用到網(wǎng)絡(luò)平臺建設(shè)中，對OA內(nèi)網(wǎng)和Internet外網(wǎng)進(jìn)行隔離，實(shí)現(xiàn)所有來自外網(wǎng)的請求都必須通過防火墻的審核；第二，采用雙硬盤和物理隔離卡等物理隔離措施，加強(qiáng)對外網(wǎng)訪問的控制，防止內(nèi)網(wǎng)被外網(wǎng)計算機(jī)直接訪問，同時制定相關(guān)制度，對內(nèi)部可訪問外網(wǎng)的計算機(jī)數(shù)量進(jìn)行明確；最后，運(yùn)用有線路由加密或端到端加密等傳輸加密技術(shù)對傳輸數(shù)據(jù)流設(shè)置加密，避免病毒或者攻擊者通過網(wǎng)絡(luò)通訊協(xié)議漏洞獲取核心數(shù)據(jù)。

三、 結(jié)語

在信息技術(shù)快速發(fā)展的時代，辦公自動化系統(tǒng)被廣泛使用，如何安全地管理涉密信息也成為了當(dāng)前信息安全管理的重要內(nèi)容。

因此，在信息安全問題被人們?nèi)諠u關(guān)注的情況下，我們更應(yīng)順勢而為，堅持以預(yù)防為主方針，嚴(yán)監(jiān)實(shí)管辦公自動化設(shè)備的使用全過程，通過保障制度、嚴(yán)肅管理、提升技術(shù)等整體合力，全面提高辦公自動化設(shè)備使用的安全性。