王曉妮

摘要：隨著高校信息化建設(shè)的不斷發(fā)展，OA系統(tǒng)已在各大高校廣泛應(yīng)用，在提高教職員工作效率的同時(shí)，其自身的網(wǎng)絡(luò)安全問題尤其重要，引起人們的高度關(guān)注。該文從高校信息安全實(shí)際需求著手，分析了OA 系統(tǒng)存在安全風(fēng)險(xiǎn)，并提出了應(yīng)對策略。

關(guān)鍵詞： 信息安全；OA系統(tǒng)；應(yīng)對策略

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）20-0057-02

Abstract： with the development of informatization construction in universities， OA system has widely used in universities， in improving the working efficiency of the staff at the same time， its own network security problem is especially important， attracted people's attention. In this paper， from the actual needs of information security in Colleges and universities， the paper analyzes the security risks of OA system， and puts forward the countermeasures.

Key words： information security； OA system； coping strategies

網(wǎng)絡(luò)的快速發(fā)展，推動(dòng)了高校信息化建設(shè)，于是 OA系統(tǒng)應(yīng)運(yùn)而生，提高了辦公效率?？墒荌nternet上有許多的安全隱患，OA信息易受黑客、病毒和非法人員攻擊，數(shù)據(jù)包在傳輸中會(huì)被攔截、修改和刪除。而辦公系統(tǒng)中有高校的機(jī)密文件和重要數(shù)據(jù)，其安全性和保密性顯得非常重要，必須引起高度重視。故在設(shè)計(jì)OA系統(tǒng)時(shí)采取必要安全策略，以保證系統(tǒng)信息不會(huì)受到惡意攻擊和破壞、數(shù)據(jù)傳輸時(shí)不會(huì)遭到人為竊取和篡改。

1 OA系統(tǒng)的安全風(fēng)險(xiǎn)分析

由于高校OA系統(tǒng)管理的是全校的重要數(shù)據(jù)，而且時(shí)刻都會(huì)有用戶上網(wǎng)訪問，所以必須全天連續(xù)運(yùn)行，這就必須充分評估OA信息可能所面臨的一切安全風(fēng)險(xiǎn)，確保系統(tǒng)信息的安全可靠。全面分析我校現(xiàn)用的OA系統(tǒng)， 發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)如下：

1）用戶重視度不夠、現(xiàn)有的安全體系不健全、信息管理薄弱，目前的安全機(jī)制位于應(yīng)用層，導(dǎo)致系統(tǒng)存在一定的安全隱患。

2）出現(xiàn)非授權(quán)訪問。系統(tǒng)用戶的身份認(rèn)證太簡單，不夠嚴(yán)密，有被非法用戶冒充的可能。由于對用戶的身份認(rèn)證控制不當(dāng)和加密算法不周全，導(dǎo)致可能會(huì)出現(xiàn)登錄密碼被破解和數(shù)據(jù)泄密的嚴(yán)重問題。

3）無法追蹤詳細(xì)的訪問記錄和查詢具體的操作日志。由于OA系統(tǒng)存在較多的工作流程，管理員無法隨時(shí)追蹤和查詢用戶的錯(cuò)誤操作和可能出現(xiàn)的異常情況，破壞了數(shù)據(jù)的完整性。

4）用戶權(quán)限分配不合理。系統(tǒng)僅有一個(gè)管理員，而且權(quán)限過于集中，根本無法制約和監(jiān)督，如果管理員出現(xiàn)問題系統(tǒng)存在很大的安全隱患。

5）數(shù)據(jù)的加密存在漏洞。未對用戶的信息設(shè)置動(dòng)態(tài)口令、對訪問通道沒有加密、對服務(wù)器和數(shù)據(jù)庫沒有進(jìn)行隔離加密，出現(xiàn)從客戶端泄密的可能性。

2 應(yīng)對策略

由于OA系統(tǒng)直接影響全校的日常辦公和管理，其公文處理工作具有保密性、嚴(yán)肅性的特點(diǎn)，故它對安全性要求很高。系統(tǒng)采用嚴(yán)密、可靠的機(jī)制，保證系統(tǒng)的完整性及一致性。采用當(dāng)代最新技術(shù)，建立一種新概念的、開放的現(xiàn)代管理和辦公環(huán)境，它以TCP/IP、廣域網(wǎng)互連、路由、防火墻和網(wǎng)絡(luò)管理技術(shù)為核心，建立一個(gè)安全可靠的網(wǎng)絡(luò)應(yīng)用平臺(tái)。 除支撐系統(tǒng)級(jí)的安全性控制（如防火墻技術(shù)、操作系統(tǒng)安全控制、病毒防火墻、數(shù)據(jù)庫備份等）外主要從以下幾個(gè)方面來確保系統(tǒng)的安全性：

1）大力宣傳網(wǎng)絡(luò)信息安全。提高全院師生的信息安全意識(shí)，進(jìn)行定期的安全知識(shí)普及、培訓(xùn)和教育。通過學(xué)院網(wǎng)站、即時(shí)通、QQ、微信等平臺(tái)，及時(shí)更新常見的網(wǎng)絡(luò)安全問題處理方法。

2）統(tǒng)一身份認(rèn)證和數(shù)字簽名。采用與系統(tǒng)相適應(yīng)的身份驗(yàn)證和數(shù)字簽名技術(shù)，將用戶名、密碼和驗(yàn)證碼的身份控制登錄機(jī)制，并且密碼皆有高強(qiáng)度的加密措施。在數(shù)字簽名技術(shù)基礎(chǔ)上對數(shù)據(jù)傳輸進(jìn)行加密，數(shù)字簽名技術(shù)也能識(shí)別用戶身份，確定公文責(zé)任，支持公文數(shù)據(jù)的發(fā)送起源和防止發(fā)送者的抵賴。

3）訪問控制機(jī)制和日志管理。在系統(tǒng)中所用的服務(wù)器和終端都按照預(yù)先確定的授權(quán)表，檢查彼此間訪問以及數(shù)據(jù)交換的合法性。系統(tǒng)記錄詳盡的登陸日志及故障日志。當(dāng)出現(xiàn)非授權(quán)訪問或越權(quán)訪問時(shí)，認(rèn)證授權(quán)機(jī)制可將此企圖拒之門外，將此事件報(bào)告交給安全設(shè)計(jì)服務(wù)器形成記錄。訪問日志每天及時(shí)備份，能夠查出非法訪問的用戶的具體IP地址和用戶信息。

4）基于角色的權(quán)限控制。由于OA系統(tǒng)的用戶復(fù)雜，故采取基于角色的權(quán)限控制，使不同的用戶具有不同的訪問權(quán)限，形成完備的用戶權(quán)限體系。在基于角色的權(quán)限控制模型中，先把角色分配給用戶，再把權(quán)限賦予角色。他們（用戶與角色、角色與權(quán)限、角色與資源對象）之間的關(guān)系均是多對多的關(guān)系。由于高校用戶（教職工）變化較多而角色（崗位）相對變化較少的現(xiàn)實(shí)情況，使角色關(guān)系具有易維護(hù)性和穩(wěn)定性，這樣減少了管理員的負(fù)擔(dān)。又例如將三權(quán)分立的安全機(jī)制運(yùn)用于管理員，將其分為只能建立賬號(hào)普通管理員、進(jìn)行權(quán)限劃分管理員和管系統(tǒng)后臺(tái)和數(shù)據(jù)庫的管理員，這樣便把泄漏信息的可能性降到最低。

5）電子簽章和手寫批注技術(shù)。在公文處理過程中可以加蓋需事先制作好單位或個(gè)人的電子印章或手寫簽名，通過寫字板可以實(shí)現(xiàn)手寫簽名。在電子文檔上加蓋印章，實(shí)現(xiàn)該功能需要印章鑰匙盤，同時(shí)需要輸入密碼確認(rèn)用戶身份。蓋章后設(shè)置完全保護(hù)表示即不允許蓋章也不允許修改文檔，印章不允許被移動(dòng)，位置固定。電子簽章的應(yīng)用流程圖1所示。

6）痕跡跟蹤技術(shù)。審批公文中采用全跡手寫痕跡批注技術(shù)，拒絕模仿。公文在處理的過程往往經(jīng)過多個(gè)部門的多個(gè)工作人員，可能存在大量的修改行為，為了保證公文的原始信息，確定公文責(zé)任，需要對各種修改行為進(jìn)行跟蹤，并形成附屬公文的流程跟蹤報(bào)表。如果有多人修改一份文件，那么可以通過“痕跡保留”功能顯示每一個(gè)修改人的修改時(shí)間和修改內(nèi)容，不同的修改人會(huì)用不同的顏色顯示。

7）服務(wù)器和數(shù)據(jù)庫安全。服務(wù)器和數(shù)據(jù)庫采用各自獨(dú)立的密碼，建立可靠的系統(tǒng)數(shù)據(jù)備份及恢復(fù)方案，確保災(zāi)難情況下系統(tǒng)的只需要較短恢復(fù)時(shí)間。服務(wù)器采用完善、細(xì)致的功能操作權(quán)限控制，其管理可以達(dá)到指定的個(gè)人、模塊的具體操作。使服務(wù)器與操作系統(tǒng)安全機(jī)制良好的集成，實(shí)現(xiàn)了域用戶安全機(jī)制，可以達(dá)到軍用C2級(jí)安全標(biāo)準(zhǔn)。充分利用數(shù)據(jù)庫系統(tǒng)本身的安全機(jī)制和策略，從而進(jìn)一步提升數(shù)據(jù)庫的安全性。增強(qiáng)數(shù)據(jù)庫密碼的防護(hù)能力，要求密碼長度至少10 位以上；其次不允許某些特權(quán)用戶對業(yè)務(wù)數(shù)據(jù)庫、表進(jìn)行操作；另外交易平臺(tái)系統(tǒng)的數(shù)據(jù)庫、表創(chuàng)立專門的數(shù)據(jù)庫用戶，這些用戶不能夠訪問其他以外的數(shù)據(jù)信息和對象。加強(qiáng)所有用戶的身份驗(yàn)證、授權(quán)和審計(jì)管理。刪除xp_cmdshell 等存儲(chǔ)過程防范SQL 注入黑客入侵。

3 結(jié)束語

伴隨科技的不斷更新，OA系統(tǒng)的應(yīng)用提高了全校的工作效率和教職工的工作積極性為高校為帶來更好的經(jīng)濟(jì)效益。但是方便性和安全性這對矛盾體卻存在于OA系統(tǒng)中，安全問題嚴(yán)重影響到OA系統(tǒng)的發(fā)展，一旦出現(xiàn)安全隱患，肯定辦公效率會(huì)受影響，給高校造成一定的損失。故高校應(yīng)采取相應(yīng)的安全措施，確保OA系統(tǒng)的信息安全和順利推廣使用。

參考文獻(xiàn)：

[1] 王英凱. 計(jì)算機(jī)網(wǎng)絡(luò)辦公自動(dòng)化及安全策略探究[J]. 化工設(shè)計(jì)通訊，2016（1） ：66-69.

[2] 韓慧. 計(jì)算機(jī)網(wǎng)絡(luò)辦公自動(dòng)化及安全策略研究[J]. 信息技術(shù)與信息化，2015（11）：114-116.

[3] 田凌燕. 淺析計(jì)算機(jī)教學(xué)中網(wǎng)絡(luò)辦公自動(dòng)化及安全策略[J]. 計(jì)算機(jī)光盤軟件與應(yīng)用，2015（3）：170-171.

[4] 王曉旗. 淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)辦公自動(dòng)化及安全策略[J]. 黑龍江科技信息，2010（7）：60-62.