0.3.4 辦公自動(dòng)化系統(tǒng)的安全管理

為加強(qiáng)辦公自動(dòng)化系統(tǒng)的管理，保障計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)的安全、穩(wěn)定運(yùn)行，應(yīng)根據(jù)有關(guān)規(guī)定，制訂管理制度。

辦公自動(dòng)化系統(tǒng)可指定部門進(jìn)行歸口管理，明確人員，具體負(fù)責(zé)辦公自動(dòng)化系統(tǒng)管理工作。各處室主要負(fù)責(zé)人作為本處室辦公自動(dòng)化系統(tǒng)管理的第一責(zé)任人。

辦公自動(dòng)化系統(tǒng)主要管理工作有：設(shè)備管理、網(wǎng)絡(luò)管理、系統(tǒng)管理、信息管理、運(yùn)行管理、安全保密管理等。這里主要討論安全保密管理。

1.影響安全保密的因素與安全標(biāo)志

（1）安全保密因素。包括系統(tǒng)的軟、硬件設(shè)備，存儲介質(zhì)等方面的物理保護(hù)和計(jì)算機(jī)安全保密問題。它涉及環(huán)境場地的技術(shù)要求、設(shè)備安全、軟件安全、供電安全、空氣調(diào)節(jié)規(guī)范、電磁屏蔽技術(shù)、防水災(zāi)、防風(fēng)暴、防震、存儲介質(zhì)管理、機(jī)房管理等內(nèi)容。

（2）安全隱患。

① 人為失誤和設(shè)計(jì)錯(cuò)誤。使得內(nèi)部人員進(jìn)行未經(jīng)授權(quán)許可的活動(dòng)，或外部的惡意破壞者得以進(jìn)入系統(tǒng)。

② 自然災(zāi)荒或環(huán)境破壞。對信息設(shè)備及其備份系統(tǒng)造成破壞。

③ 病毒。木馬病毒、蠕蟲軟件（搜索系統(tǒng)用戶名和口令字的匹配）和其他具有破壞性的軟件，會(huì)通過借來的U盤、預(yù)先打包的軟件，甚至通過與其他網(wǎng)絡(luò)的連接進(jìn)入網(wǎng)絡(luò)。

惡意破壞軟件是應(yīng)用計(jì)算機(jī)動(dòng)態(tài)地進(jìn)行破壞行為的軟件。如有目的地編寫病毒程序、侵入其他計(jì)算機(jī)網(wǎng)絡(luò)和采取破壞系統(tǒng)軟硬件的行為等，很像是人類戰(zhàn)爭行為的活動(dòng)，其破壞性遠(yuǎn)遠(yuǎn)超過現(xiàn)在計(jì)算機(jī)病毒的能力。例如黑客、計(jì)算機(jī)盜賊以及其他侵入網(wǎng)絡(luò)的人，在網(wǎng)絡(luò)中進(jìn)行撈取金錢，尋找工業(yè)秘密，或者對系統(tǒng)本身進(jìn)行破壞。

（3）安全標(biāo)志。能防止對信息的非法竊取；能杜絕泄露和毀壞事件發(fā)生；預(yù)防泄露和毀壞事件的發(fā)生；在毀壞后的更正以及恢復(fù)正常工作的能力較強(qiáng)，所需時(shí)間較短；安全保密系統(tǒng)符合經(jīng)濟(jì)要求；安全保密系統(tǒng)符合使用方便性要求。

2.安全保密對策

（1）對策范圍。

① 行政措施。采用行政法規(guī)、規(guī)章制度及社會(huì)允許的各種方式。

② 法律措施。針對計(jì)算機(jī)犯罪的打擊、制裁手段。

③ 軟件保護(hù)措施。采用軟件技術(shù)手段辨別用戶、控制用戶的應(yīng)用方法和對信息的加密。

④ 物理保護(hù)。對場地環(huán)境、軟硬件設(shè)備及存儲介質(zhì)等方面的保護(hù)。

（2）計(jì)算機(jī)安全監(jiān)視技術(shù)。采用監(jiān)視程序?qū)τ脩舻怯浐陀脩舸嫒顩r進(jìn)行自動(dòng)記錄以保護(hù)系統(tǒng)安全的技術(shù)方法。用戶登記包括對用戶進(jìn)入系統(tǒng)的時(shí)間、終端號、用戶回答口令的時(shí)間與次數(shù)等情況的自動(dòng)記錄。為了防止非法者進(jìn)入，監(jiān)視系統(tǒng)將對口令出錯(cuò)達(dá)到規(guī)定次數(shù)的用戶報(bào)警并拒絕其進(jìn)入。對用戶存取狀況的監(jiān)視系統(tǒng)將自動(dòng)記錄下用戶操作運(yùn)行的程序、所使用的數(shù)據(jù)文件名稱、增刪情況、越權(quán)行為和次數(shù)等，形成用戶使用日志。還將記錄對被保護(hù)的信息的維護(hù)狀況，特別是違反保密規(guī)定的行為。

①“防火墻”技術(shù)：是運(yùn)行特定安全軟件的計(jì)算機(jī)系統(tǒng)，它在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)筑一個(gè)保護(hù)層，使得只有被授權(quán)的通信才能通過保護(hù)層，從而阻止未經(jīng)授權(quán)的訪問、非法入侵和破壞行為。

② 自適應(yīng)安全管理套件：可形象地比喻為網(wǎng)絡(luò)守夜人的軟件系統(tǒng)。是對在網(wǎng)絡(luò)周圍“挖護(hù)城河”式的防火墻軟件的發(fā)展，它在Internet網(wǎng)上不停地來回移動(dòng)，自動(dòng)搜索出網(wǎng)絡(luò)的薄弱處，監(jiān)測網(wǎng)絡(luò)防范侵襲的能力，必要時(shí)還會(huì)采取行動(dòng)堵住安全漏洞。

（3）用戶識別。由計(jì)算機(jī)驗(yàn)證回答身份是否合法的保密技術(shù)。一般有以下幾種，記憶方法，采用口令字或通行字，其缺點(diǎn)是失竊后不留痕跡。鑰匙或密磁卡方法，將鑰匙或密磁卡插入計(jì)算機(jī)的識別器以驗(yàn)證身份。保密算法，用戶采用某一過程或函數(shù)對某些數(shù)據(jù)進(jìn)行計(jì)算，計(jì)算機(jī)根據(jù)其結(jié)果以驗(yàn)證用戶身份。用戶的生物測定學(xué)（biometrics）手段，采用指紋、聲音、視網(wǎng)膜等由計(jì)算機(jī)識別以驗(yàn)證用戶身份，來控制訪問。

（4）終端識別。也稱回叫保護(hù)。在計(jì)算機(jī)通信網(wǎng)絡(luò)中廣泛應(yīng)用。計(jì)算機(jī)除了對用戶身份進(jìn)行識別外，還對聯(lián)機(jī)的用戶終端位置進(jìn)行核定，如果罪犯竊取了用戶口令字在非法地點(diǎn)聯(lián)機(jī)，系統(tǒng)將會(huì)立即切斷聯(lián)絡(luò)并對非法者的地點(diǎn)、時(shí)間、電話號碼加以記錄以便追蹤罪犯。

（5）計(jì)算機(jī)安全加權(quán)措施。計(jì)算機(jī)安全加權(quán)措施：對用戶、設(shè)備和數(shù)據(jù)文件授予不同級別的特權(quán)，以防止非法應(yīng)用的措施與技術(shù)。用戶權(quán)限，是對具有進(jìn)入系統(tǒng)資格的合法用戶，根據(jù)不同情況劃分不同類別，使其對不同的數(shù)據(jù)對象和設(shè)備所享有的操作被授予不同的使用權(quán)限。設(shè)備權(quán)限，是對設(shè)備（特別是終端和輸出設(shè)備）能否進(jìn)入系統(tǒng)的某一層次、部分以及能否輸出和復(fù)制系統(tǒng)程序、運(yùn)行程序或數(shù)據(jù)的規(guī)定和授予。數(shù)據(jù)的存取控制，包括對數(shù)據(jù)的只讀（出）、讀/寫、打開、運(yùn)行、刪除、查找、修改等不同級別操作權(quán)限的規(guī)定。

（6）計(jì)算機(jī)數(shù)據(jù)加密與數(shù)字簽名技術(shù)。

① 作用。計(jì)算機(jī)數(shù)據(jù)加密與數(shù)字簽名技術(shù)，應(yīng)用于以下幾個(gè)方面的目的：

數(shù)據(jù)隱蔽：避免數(shù)據(jù)被非授權(quán)人截獲或竊取。

數(shù)據(jù)完整：根據(jù)通信期間數(shù)據(jù)的完整與否，檢驗(yàn)數(shù)據(jù)是否被偽造和篡改。

發(fā)送方鑒別：證明發(fā)送方的身份以防止冒名頂替者。

防止發(fā)送方否認(rèn)：在保證數(shù)據(jù)完整性及發(fā)送方身份的前提下，防止發(fā)送方事后不承認(rèn)發(fā)送過此文件。

② 計(jì)算機(jī)數(shù)據(jù)加密：為防止數(shù)據(jù)在傳輸過程或計(jì)算機(jī)存儲系統(tǒng)中被非法獲得或篡改而采用的技術(shù)。具體做法是將原始的數(shù)據(jù)（明文）按照某些特定的復(fù)雜規(guī)律（算法）轉(zhuǎn)變成難以辨認(rèn)的數(shù)據(jù)（密碼）。這樣即使非法竊取到了數(shù)據(jù)也無法使用，而合法用戶可按照規(guī)定方法將其譯為明文。目前國際流行的自由加密軟件“雙匙”加密文件提供一對鑰匙——密匙和公匙。只要本人的密匙才能解開他人用本人提供的公匙加密的文件，為此需要把自己的公匙發(fā)布到專門的公匙服務(wù)器中供他人復(fù)制使用，本人的密匙也可用做文件的數(shù)字簽名。

③ 數(shù)字簽名技術(shù)：能夠?qū)崿F(xiàn)在網(wǎng)上傳輸?shù)奈募哂幸韵律矸荼ＷC，接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名；發(fā)送者事后不能抵賴對報(bào)文的簽名；接收者不能偽造對報(bào)文的簽名。

④ 用戶的自我保護(hù)：對于用戶來說，避免使用“脆弱的口令”，即很容易被入侵者破解的口令。可采取以下一些方法：使用數(shù)字或者加入特殊字符作為口令字，用很長的縮寫名作口令字，比如一首歌或一個(gè)短語的首字母縮寫，最好是個(gè)人化詞語的縮寫，經(jīng)常更換且從不與他人共用一條口令字，這樣不會(huì)立即被人看出來。

（7）計(jì)算機(jī)反病毒技術(shù)。

① 計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是具有自我復(fù)制能力的計(jì)算機(jī)程序，它能夠影響和破壞正常程序的執(zhí)行和數(shù)據(jù)的安全。與正常程序的本質(zhì)區(qū)別是具有傳染性，此外它是寄生的、潛伏的，可觸發(fā)和可衍生的，它具有廣泛的破壞性。它是一些惡作劇的自我表現(xiàn)者和故意破壞者的智力犯罪的產(chǎn)物。自1978年第一個(gè)病毒出現(xiàn)以來，病毒的數(shù)量已過萬種。其基本類型可分為引導(dǎo)性病毒、文件性病毒、混合性病毒等。

② 反病毒技術(shù)。目前主要為（查）殺毒軟件和硬件防病毒產(chǎn)品兩大類。

③ 殺毒軟件：由查毒和殺毒功能組成的軟件。當(dāng)用戶使用其查毒時(shí)，它將計(jì)算機(jī)文檔與已知病毒的特征值做比較，一旦相同便認(rèn)定感染病毒并報(bào)告用戶執(zhí)行殺毒程序，清除被感染的文檔使之恢復(fù)原樣。

④ 計(jì)算機(jī)免疫系統(tǒng)：以動(dòng)態(tài)防御為主的反病毒模式，計(jì)算機(jī)病毒免疫系統(tǒng)給健康磁盤加上某種已傳染病毒的標(biāo)志，因而可防止該種病毒的感染，達(dá)到免疫的目的。