办公自动化网络系统安全设计分析

4办公自动化系统安全设计分析
由于众多的因素造成了对数据完整性威胁和安全威胁，因此，办公自动化网络系统必须建设一套完整的策
略和安全措施来保障整个系统的安全.
4.1安全设计的基本原则
1)安全性第一的原则:由于安全性和网络的性能(使用的灵活性、方便性、传输效率等)是一对矛盾，两者
不能兼得.建议选择前者，以牺牲网络的性能，来换取安全性的增强，但采取的措施应让用户感觉不到网络性
能受到的影响.2)多重保护的原则:任何安全保护措施都可能被攻破.建立一个多重保护系统，各重保护相互
补充，当一重保护被攻破时，其它重保护仍可保护信息系统的安全.3)多层次((OSI参考模型中的逻辑层次)的
原则:如在链路层和网络层实施包过滤，在表示层实施加密传送，在应用层设置专用程序代码、运行应用审计
软件，在应用层之上启动代理服务等.4)多个安全单元的原则:把整个网络的安全性赋予多个安全单元，如路
由器、屏蔽子网、网关，形成了多道安全防线.5)网络分段的原则:网络分段是保证安全的重要措施.网络分
段可分为物理分段和逻辑分段.网络可通过交换器连接各段.也可把网络分成若干IP子网，各子网通过路由器
连接，并在路由器上建立可访问表，来控制各子网的访问.6)最小授权的原则:对特权(超级)网络要有制约措
施，分散权力，以降低灾难程度.7)综合性原则:计算机网络系统的安全应从物理上、技术上、管理制度(如
安全操作乃至计算机病毒的防范等)上以及安全教育上全面采取措施，相互弥补和完善，尽可能地排除安全漏洞.
4.2建立一套安全措施
办公自动化网络建立以后，在运用安全设计原则的基础上如何很好地协调系统的安全和系统的灵活性、开
放性，是在设计系统安全时必须考虑的问题.分析此类办公自动化网络系统的特点，安全威胁主要有4个方面:
一是外界黑客或非法用户的侵入;二是病毒的侵害:三是内部人员闯入非允许进入的节点，获取非授权的资料;
四是设备发生问题影响网络的运行.为了防止这类事情的发生，在设计方案中根据实际情况，制定一系列的防
范措施.这些措施主要有:
1)建立用户使用网络资源的规章制度;2)严格划分不同工作人员的权限;3)严格设定各种信息资源、设备
资源的使用权限:4)关键信息的传输采用端到端的专用加密工具:5)完善认证/授权的技术控制手段;6)采用分
布授柳集中控制的安全策略;7)采用数字签名技术和第三方确认的控制措施;8)加强用户管理，防止非法侵入;
9)加强对用户下卸的软件进行病毒检查;10)定时备份，防止系统崩溃;11)加强组织管理，完善各项规章制度.
4.3防止非法访问与数据丢失
由于办公自动化网络联接着许多重要的部门，网上一些信息资源有着很高的保密性.在网络设计方案中应
根据实际情况，制定一系列的防范措施，分别对网络层、系统设备层、应用层进行分级安全保护，采用一些专
用的软件和设备提高安全性.数据的安全保护方法主要体现在两个方面:防止非法访问和防止数据丢失.
对于第一个方面，可以通过防火墙并利用CISCO路由器自带软件来实现.1)授权控制(Authentication):控制特定
的用户在特定的时间内使用特定的应用.防火墙用专有的FTP和
Telnet进程取代了标准进程。FTP或者Telnet的请求只有经过防火墙认证般权后才能进行通信.HTTP认证服务运
行在Firewallgateway之上，可以保护在防火墙之后的所有的HTTP服务器.管理员可以制定用户授权策略，决定
哪些服务器或应用可以被用户访问.2)数据加密((Encryption):在通信节点配备Firewallgateway，可以将各个节
点定义成为一个加密域，形成了一个虚拟专用网VPN.3)地址转换(IPTranslation):管理员可决定哪些IP地址需
要映射成能够接入Internet的有效地址，哪些地址被屏蔽掉，不能接入Internet.4)在对操作系统(Windows2000
Server)访问检查设置功能中采取进入系统时口令检查;在文件管理系统中建立文件、记录和共享资源的访问许
可控制;对存储空间的访问进行保护;控制面板中的网络窗口定义网络资源的访问许可控制;用户管理系统建
立登录用户的帐户，规定用户在系统中各种操作的权利等保护措施.
对于防止数据丢失，采取的方法是:
1)利用磁带机对文件服务器上的系统数据进行定期备份.2)采用先进的UPS来防止外部电源断电而引起的
对网络使用的伤害.3)利用磁盘阵列做好重要数据的冗余备份，提高网上重要设备的自身容错能力.4)设计
的主机群应采用双机祸合容错结构，主辅机可以共享磁盘阵列资源，可以自动错误侦测，接管备援，恢复系统，
使整个主机群处于高可靠祸合工作状态，双机可以互为备份，两台机器之间可以均衡负载.
4.4基于角色的访问控制机制
在防止非法访问和数据丢失的同时，应做到既防止公文信息被窃取、破坏和滥用，又有利于提高公文处理
效率，其重要手段之一就是采取一套安全有效又灵活的访问控制机制.
基于角色的访问控制是GeorgeMason(乔治梅森)大学的教授Sandhu(圣得胡)提出的一种新型访问控制模
型.它的基本思想是将权限与角色联系起来，在系统中根据工作应用的需要为不同的工作岗位创建相应的角色，
同时根据用户职务和责任指派合适的角色，用户通过所指派的角色获得相应的权限，实现对文件的访问.因此
可以极大地简化权限的管理，灵活地将用户从一个角色重新指派为另一个角色，给角色分配和撤销一些权限.它
支持最小特权、责任分离以及数据抽象三个基本的安全原则.
基于角色的安全性是指公文文档可被而且仅被预先定义的人员存取操作，在底层是网络和数据库安全性保
证，包括服务器存取控制、数据库存取控制表、加密、签名和用于鉴别的Domino/Notes和SSL(SecureSocketsLayer)
数字签名验证字.Domin。有以下访问类型(角色)，按权限的高低依次有:管理者、设计者、编辑者、作者、读
者、投稿者等。而实际参与办公系统的有管理员、文书、办公室主任、局领导、科领导和科员等角色，由于在
该系统运行中，实际的角色权限还在动态改变，仍无法直接用Domino系统提供的权限，因此，提出通过映射关
系来实现(见表1).还必须借助Script动态的修改表单的域，实现对包括管理员在内的一些必要的限制.
如何根据应用的需求恰当地建立用户—角色—权限这三者之间多对多的映射关系，将是整个办公自动
化系统安全可靠和高效运行的关键.此外，所建立的映射关系，应提供灵活的配置功能，使映射关系具有可更
改和可扩充性，以适应可能变化的需求.为了实现基于角色的访问控制，这里定义了四张表以实现角色到用户、
角色到权限的分配.如表2}3}4}5所示.
在用户申请某操作时，系统需要检测用户所拥有的角色集，并根据这些角色集中所包含的权限来判断该用
户是否能进行该操作，如果可行则置许可证发放标记为真.同时，系统为了执行某些静态约束，比如同一用户
不能同属于两个互斥角色，还可以定义互斥角色表.约束是基于角色的访问控制中重要的安全策略，是对用户
执行权限的一些限制.静态约束在系统设计时定义，而动态约束在系统运行时执行.某个用户在系统中可能同
时拥有多个角色，但是在某一个工作过程中，当他充当其中一个角色的同时不能激活其另一个角色.例如在一
个文件的处理过程中，用户的拟稿角色和审批角色至多只能激活一个.又例如对用户阅读文件的时间期限，系
统也可以加以限制.
5小结
系统安全在办公自动化网络系统中占据着尤为重要的地位.本文对系统安全设计进行了简要的阐述，针对
非法访问，数据丢失和访问控制模式进行了较为详细的论述.
随着我国信息化的逐步深入，尤其是“电子政务”建设热点的兴起，建设办公自动化网络系统的热潮将会
得到更迅速的发展，将会促进我国信息化的建设.
参考文献:
t1]李海泉.计算机系统安全技术与方法[叫.西安:西安电子科技大学出版社，1991.
陈江东.办公自动化系统的系统分析闭.计算机系统应用，1998,(10).
李孟柯，余祥宣.基于角色的访问控制技术及应用t}l.计算机应用研究，2000,(10).
洪帆，杜小勇.办公自动化系统中基于任务的访问控制【月，华中科技大学学报，2001,(3).