一种对办公OA系统进行审计的技术

2014-12-07余江平王伟

中国科技纵横 2014年7期

关键词：内部人员模式匹配保密

余江平王伟

(蓝盾信息安全技术有限公司,广东广州 510180)

一种对办公OA系统进行审计的技术

余江平王伟

(蓝盾信息安全技术有限公司,广东广州 510180)

OA系统已经在政府、企事业单位发挥了广泛应用,给使用者带来了便利,提升了行政效率,但也给单位带来不少安全隐患。本文主要阐述了审计OA系统对于加强企业,政府机构办公自动化和计算机信息系统保密管理工作的必要性,接下来介绍了一种OA系统进行审计的方法,通过审计,可以防止单位内部敏感信息的未授权传播。

审计 OA系统保密管理工作

1 引言

随着政府、企事业单位等各类组织的信息化程度不断提高,无纸化办公的日益普及,OA系统的广泛应用,虽然给使用者带来极大便利的同时,也引来了众多的安全隐患。电子文档作为政府、企业信息和商业机密的重要载体,其安全问题主要表现为对文档使用者权限和文档本身等保护不健全,以及在资料传输过程中的泄露等,所以对终端用户使用OA系统的行为进行审计,尤其对于安全保密部门而言,能有效防止内部信息的泄露,准确地发现用户定义的内部敏感资料,防止单位内部敏感信息的未授权传播,提供可靠、方便、可控的安全保障,从而达到提升政府,企业形象、避免潜在的法律责任。

2 审计OA系统的必要性

对于安全保密部门来说,办公OA系统一般搭建在局域网内部,安全保密部门一般对于存储介质使用以及访问外网都有严格要求,所以一般日常管理办公大大小小事情都通过OA系统,正是由于OA的作用很大,管理着各种资料,所以对其审计非常有必要性。

在网络信息安全事件中,内部人员有意或无意造成的非法信息外泄的信息安全事件,以及内部人员违规访问等安全事件,占据了绝大多数。由于内部人员对于内部的组织结构、人员部署、机构设置相对于外部人员要熟悉的多,因此,内部员工造成的信息外泄及信息安全事件往往情节严重,并且损失巨大。由此可见,对内部人员的上网行为的规范、审计,越来越显得重要,而对于安全保密部门来说,审计OA系统就显得更加重要。

3 OA审计系统的技术实现

我们研发了一套系统用于审计OA系统。此系统基于报文内容进行审计,首先进行数据包捕获,然后对于OA系统协议进行还原分析、数据检查处理、编码转换、得到内容,然后通过监控策略多模式匹配,最后生成统计报表。

3.1 体系结构

系统的主要步骤包括:(1)数据包捕获:负责对数据包的监听捕获;通过分组捕捉机制,为系统提供从网络接口卡直接收集数据链路层网络原始信息;(2)预处理:负责数据包的重组;实现对捕获的原始数据包的重组(包括分片包、重发包等的处理),并生成会话链路缓存。应用协议解析模块直接对生成的会话链路缓存进行各层协议解析;(3)OA系统协议解析:最重要的一步,对OA系统应用层协议分析,将预处理后的会话数据,根据对OA系统协议解码成相应的分组数据结构;(4)监控策略匹配:监控策略匹配模块对解析结果采用多模式匹配技术进行预定义策略匹配;(5)报警:如果中标发送报警消息;(6)阻断:发送会话阻断消息。系统工作流程如图1所示。

3.2 OA协议解析

不同的OA系统通常具有不同协议,所以往往需要定制,根据使用的OA系统抓包分析,通过WM多模式匹配算法用于监控策略的匹配;通过BM单模式匹配算法用于高速单关键字的匹配处理。

3.3 系统的接入方式有

3.3.1 旁路模式

采用旁路监听方式时,系统接在目标网络的核心交换机镜像口上,实时监听进出该网络的通信数据包,这种接入方式对目标网络以旁路方式进行监听,对网络的性能无任何影响,适合于流量比较大的大型网络。

3.3.2 网桥模式

采用网桥方式时,系统安装在中心交换机和网关(路由器等)之间,对内部网络的对外访问进行全面的监控、过滤、阻断和管理,高效地发现和拦截各种有害/不良信息的传播。这种接入方式控制能力较强,不但能对流过的目标网络通信数据包分析、还原、监控、过滤和阻断,而且系统内置的防火墙对网络还能起安全防护的作用,适合于各种中小型网络。

3.3.3 网关模式

安装在中心交换机和网关(路由器等)之间,对内部网络的对外访问进行全面的监控、过滤、阻断和管理,高效地发现和拦截各种有害/不良信息的传播。这种接入方式控制能力较强,不但能对目标网络进行信息侦控,而且对有害信息能即时进行阻断、拦截,适合于各种中小型网络。