董海波

摘要：世界經(jīng)濟的快速發(fā)展使得辦公無紙化成為提升辦事質(zhì)量和效率的主要形式，OA系統(tǒng)對于政府、企業(yè)、學校的高效運轉(zhuǎn)意義重大。本文通過概述OA系統(tǒng)防護工作，圍繞數(shù)據(jù)庫、網(wǎng)絡通信安全兩方面對OA系統(tǒng)敏感數(shù)據(jù)安全影響因素和策略進行研究，進而為辦公全面實現(xiàn)網(wǎng)絡化、無紙化提供技術(shù)支持。

關(guān)鍵詞：OA系統(tǒng);敏感數(shù)據(jù);安全認證技術(shù)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2020）02-0194-01

0 引言

OA系統(tǒng)基于信息技術(shù)和計算機網(wǎng)絡技術(shù)構(gòu)建而成，因此容易面臨信息安全風險，假若政府部門和企業(yè)的機密文件遭到不法人員的泄露和篡改，后果不堪設想。因此，有必要分析OA系統(tǒng)敏感數(shù)據(jù)安全性，探究提升系統(tǒng)數(shù)據(jù)安全性的策略，進而全面優(yōu)化系統(tǒng)運行主機安全、物理安全、管理安全等建設工作。

1 OA系統(tǒng)防護工作概述

其一，數(shù)據(jù)保護。OA系統(tǒng)中敏感數(shù)據(jù)的安全性和完整性是關(guān)鍵，大部分黑客入侵目的是纂改和竊取數(shù)據(jù)，計算機硬件的毀壞也會導致重要數(shù)據(jù)的丟失。因此，對于這些問題國內(nèi)外相關(guān)研究人員提出了訪問控制保護和身份認證措施，極大程度地避免因機械故障導致的數(shù)據(jù)丟失問題。其二，物理隔離層的設置。OA系統(tǒng)中加設物理隔離是為了保護數(shù)據(jù)安全性，隔離層設置在防火墻和路由器中，能夠?qū)W(wǎng)絡訪問數(shù)據(jù)進行過濾并監(jiān)測，提升系統(tǒng)安全性。其三，訪問控制。OA系統(tǒng)訪問控制形式可以將多種功能模塊融合到多種權(quán)限中，如把核心敏感數(shù)據(jù)源存儲到系統(tǒng)內(nèi)網(wǎng)中，使非法人員無法竊取敏感數(shù)據(jù)，極大程度的保證數(shù)據(jù)的安全性。

2 OA系統(tǒng)中敏感數(shù)據(jù)安全分析

2.1 OA數(shù)據(jù)庫安全分析

2.1.1 數(shù)據(jù)庫安全威脅因素

其一，物理方面。對于OA數(shù)據(jù)庫來講，物理威脅相當于硬件故障，若正常使用的硬件發(fā)生故障，會導致數(shù)據(jù)無法恢復并丟失。其二，邏輯方面。邏輯因素包含敏感數(shù)據(jù)泄露、用戶有意泄露、DBA意外操作。當數(shù)據(jù)庫的硬件出現(xiàn)故障后，DBA對敏感數(shù)據(jù)進行修改會使維修過程出現(xiàn)數(shù)據(jù)泄露問題，導致數(shù)據(jù)安全受威脅。

2.1.2 提升OA數(shù)據(jù)庫安全的技術(shù)方式

第一，網(wǎng)絡層的安全策略。數(shù)據(jù)庫應用基礎和外部環(huán)境與網(wǎng)絡層相關(guān)，這是OA數(shù)據(jù)庫安全的第一道屏障。安全措施包含數(shù)字簽名、防火墻、協(xié)作入侵檢測、認證技術(shù)。其中，數(shù)字簽名技術(shù)可以確保網(wǎng)絡信道傳輸信息的完整性，進而避免惡意篡改現(xiàn)象;防火墻是保護OA數(shù)據(jù)庫系統(tǒng)的基礎，可以避免非法訪問和內(nèi)部數(shù)據(jù)泄露問題，對可信任和不可信任網(wǎng)絡通道進行監(jiān)控，分析信道數(shù)據(jù)包的過濾狀態(tài);協(xié)作入侵檢測技術(shù)應用各種非法入侵行為，通過交換信息得到入侵信息并進行檢測。

第二，用戶操作系統(tǒng)層安全技術(shù)。此技術(shù)是OA數(shù)據(jù)庫運行的主要平臺，對于使用者和數(shù)據(jù)庫十分重要。當前操作系統(tǒng)安全級別包含C1和C2，主要安全技術(shù)分為審計追蹤、安全策略、數(shù)據(jù)安全三種。系統(tǒng)安全策略適用于解決宿主計算機中的安全設置問題，如恢復加密數(shù)據(jù)、分派用戶權(quán)力、其他安全選項、用戶鎖定策略，同時數(shù)據(jù)安全問題體現(xiàn)在數(shù)據(jù)存儲安全、傳輸安全、加密技術(shù)、數(shù)據(jù)備份恢復等方面[1]。

第三，OA數(shù)據(jù)庫管理系統(tǒng)層安全技術(shù)。首先是身份認證技術(shù)。此模式為用戶提供標示合法身份機制，將用戶信息存儲到系統(tǒng)內(nèi)部。當前身份驗證的主要方式是口令設置、智能卡技術(shù)、指紋識別、數(shù)字簽名等，應用于安全級別較高的部門。其次，數(shù)據(jù)庫加密技術(shù)。通過對敏感數(shù)據(jù)進行加密處理，避免數(shù)據(jù)泄露，主要原理是設置加密算法將數(shù)據(jù)由明文轉(zhuǎn)變?yōu)槊芪?，黑客即使入侵進系統(tǒng)也無法讀取數(shù)據(jù)。最后，數(shù)據(jù)保護技術(shù)。此模式主要減少數(shù)據(jù)庫硬件出現(xiàn)故障的不良影響，如各大銀行數(shù)據(jù)庫若丟失數(shù)據(jù)后果十分嚴重，因此應借助數(shù)據(jù)保護技術(shù)實現(xiàn)。此技術(shù)包含數(shù)據(jù)庫日志、數(shù)據(jù)、控制文件的備份過程，其中備份形式包含物理備份和邏輯備份兩類[2]。邏輯備份需要先讀取數(shù)據(jù)庫記錄，再將其寫到文件中;物理備份又分為脫機備份和聯(lián)機備份，是DBA主要使用的方式。

2.2 網(wǎng)絡通信安全分析

2.2.1 網(wǎng)絡通信安全的影響因素

網(wǎng)絡計算機通信發(fā)展中，TCP/IP協(xié)議五層模型均容易受到多種攻擊，具體包含以下類型：其一，物理層。網(wǎng)絡互連裝置大多利用雙絞線和銅線，在通信中容易受到電磁干擾，因此具有一定數(shù)據(jù)安全威脅。其二，數(shù)據(jù)鏈路層。這一層最普遍的攻擊方式是數(shù)據(jù)監(jiān)聽，因此局域網(wǎng)主要利用以太網(wǎng)，通過劃分以太網(wǎng)網(wǎng)段將敏感數(shù)據(jù)與非授權(quán)用戶隔離開，避免非法監(jiān)聽行為。此外，通過將共享集線器換為交換集線器也可以降低數(shù)據(jù)監(jiān)聽的設備基礎。

相較于物理層、網(wǎng)絡層、數(shù)據(jù)鏈路層的安全問題，應用層安全問題更加嚴重。例如，保密性、訪問控制、完整性等問題因為缺少認證加密機制，會使黑客在監(jiān)聽時進行攻擊。最主要的攻擊模式包含以下幾種：第一，冒充。非法攻擊客體通過假扮合法客體進行非法攻擊稱為冒充，如不法分子利用別人口令和合法賬號進入計算機系統(tǒng)。第二，消息篡改。此模式主要對傳送消息完成改動并不被發(fā)覺。如傳授的信息實際是“授權(quán)用戶x對機密文檔進行查閱”，被纂改為“授權(quán)用戶y對機密文檔進行查閱”，則y為未授權(quán)用戶，造成難以預料的后果。

2.2.2 提升安全需求的策略

首先，保密性措施。在網(wǎng)絡正常運行的前提下，系統(tǒng)一般無法確認非法用戶對網(wǎng)絡數(shù)據(jù)信息的竊聽行為。對于此類問題，若將較為敏感的數(shù)據(jù)進行加密處理，可以保證數(shù)據(jù)在信道傳輸過程中的安全性，即使被竊取也不會正常讀出，原因是非法用戶缺少解密密鑰[3]。因此，技術(shù)人員在選擇加密算法對敏感數(shù)據(jù)完成加密時，應考慮其復雜性，避免非法人員直接對密文進行破譯。

其次，完整性策略。數(shù)據(jù)完整性是對部分敏感數(shù)據(jù)設置為“不授權(quán)便不能改動”的功能，此方法主要對篡改主要信息的非法行為進行管控，并能夠直接判斷關(guān)鍵數(shù)據(jù)信息是否被篡改過，確保計算機通信網(wǎng)絡信息的安全性與完整性，當前也可以借助數(shù)字簽名、加密等形式確保數(shù)據(jù)的完整性。

最后，可行性策略。部分合法用戶實體能夠?qū)?shù)據(jù)進行按需使用和授權(quán)訪問，突出數(shù)據(jù)使用的可行性。當合法用戶需要訪問一些數(shù)據(jù)資源時，可以保存需要的數(shù)據(jù)信息，而其他的非法網(wǎng)絡攻擊者不會影響合法用戶對網(wǎng)絡資源的正常使用。此外，可控性措施能夠?qū)κ跈?quán)操作中行為方式、信息流、信息內(nèi)容、信息傳播方式進行控制，此模式同樣可以優(yōu)化系統(tǒng)數(shù)據(jù)的訪問對象和訪問形式。

3 結(jié)論

辦公自動化是網(wǎng)絡技術(shù)、計算機技術(shù)、管理技術(shù)共同發(fā)展的產(chǎn)物，同時對OA系統(tǒng)敏感數(shù)據(jù)安全進行詳細分析可以提升系統(tǒng)運行效率。因此，技術(shù)部門對于非法攻擊需要加強防范，避免機密文件的泄露，圍繞用戶權(quán)限、訪問控制進行研究，對系統(tǒng)公文數(shù)據(jù)存儲完成加密，進而提升敏感數(shù)據(jù)的安全性。

參考文獻

[1] 何源.基于SOA的應用系統(tǒng)集成模型研究[J].信息系統(tǒng)工程，2019（11）：105-108.

[2] 李玲.探析OA辦公系統(tǒng)與檔案管理系統(tǒng)的數(shù)據(jù)對接[J].辦公室業(yè)務，2019（13）：30.

[3] 張晟愷.OA系統(tǒng)在工程項目管理中的應用[J].現(xiàn)代商業(yè)，2019（04）：102-103.

Sensitive Data Security Analysis in OA System

DONG Hai-bo

（Tianjin Financial Stability Promotion Center， Tianjin? 300040）

Abstract：The rapid development of the world economy makes office paperless as the main form of improving the quality and efficiency of work， OA system for the government， enterprises， schools， the efficient operation of great significance. This paper summarizes the protection of OA system， and studies the factors and strategies of Sensitive Data Security of OA system around database and network communication security， and provides technical support for the overall networking and paperless ization of the office.

Key words：OA system; sensitive data; security authentication technology