OA系统安全评估体系及策略制定
2017-03-06曲进
曲进
安全是保障OA系统稳定运行的基本条件,本文阐释了OA系统组成及特点,就其物理安全、主机安全、应用安全及安全管理等防护架构展开探讨,重点提出安全评估体系和制定安全保障策略。
【关键词】OA系统 安全评估 安全策略
信息化建设作为国家战略发展的重要内容,保障信息安全是发挥网络系统优势的必然条件。OA系统作为协同办公平台,承担着系统内部信息流的互联互通,而加强对网络系统安全体系的评估是制定安全保障策略的重中之重。
1 OA系统组成及防护设计
从当前互联网发展现状来看,OA系统已经不再局限于某地的协同办公网络,而是基于不同地域下,从企业及下属各机构之间的全局化管理需求上,搭建满足日常办公、业务处理、事务管理等活动的,涵盖公文收发、文件查询、签报处理、会议管理等在内的多元化信息交互平台,从而实现企业办公无纸化、信息化、网络化目标。如图1所示。
从图1所示的OA系统结构来看,主要有基础层、数据库层、业务逻辑层、表示层等四部分组成,并通过各级接口单元来实现不同用户、不用业务的互联互通。
从OA系统管理来看,安全性是运行的关键,而加强对OA系统数据的安全防范,主要从防范破坏、窃听、篡改、伪造等方面,来构建多层级安全防护体系。依据木桶原理,一个应用系统的安全等级是由最低的短板来决定,同样,对于OA系统安全来说,如果存在某一弱项,就会降低系统的整体安全性。为此,在设计OA系统安全防护时,要统筹考虑,要将物理安全、主机安全、应用安排进行综合,来共同制定完善的安全管理保障体系。如在物理安全防护上,要对OA系统内的各类网络硬件设备与其他媒介设施进行有效隔离,减少和降低可能存在的安全风险。利用网络防火墙、网络病毒监测数据库、网络入侵系统等设备来实现有效监控;在对主机系统进行防护上,通过设置漏洞扫描系统等保障其安全性;在对应用系统进行安全防护时,利用证书管理系统来通过证书管理、授权管理等实现安全保障。
2 OA系统安排评估及保障策略构建
提升OA系统的安全防护等级,必然需要从OA系统安全评估中来构建防范策略。随着OA系统应用的不断拓展,面对安全防护体系建设要求也越来越高,各类防范安全攻击手段也不断增强。作为一种动态的防护保障体系,通常需要经历安全策略制定、安全风险评估、系统配置调整和应急预案编制、应急响应和系统数据恢复等流程。
2.1 制定安全策略
安全策略的制定是保障OA系统的基础,也是首项任务。从不同OA系统管理安全目标来说,在制定安全策略上,要确保安全设备、主机设备、服务器系统的连续性和可扩展性。
2.2 做好安全风险评估
风险评估是制定安全策略的前提,也是围绕可能存在的安全威胁,对可能存在的网络攻击行为、网络安全漏洞等进行专门防范的基础。随着OA系统功能的不断拓展,面临的安全风险也更加多样。因此需要从安全风险评估中通过技术手段来进行安全检测。具体评估方法有两种。一种是对单一安全因素进行评估。如对于网络设备、服务器、安全设备、计算机本身进行安全性评估,并从网络设备的使用数量、型号、性能等信息上进行合理部署和优化,利用操作系统安装相应的安全软件,并从补丁库、漏洞库及时更新上来做好各项风险源的检测和控制。针对网络上流行的病毒、木马等恶意代码,可以通过定期升级、备份来进行防范。另一种是整体安全评估,通过综合性安全防范分析软件,从系统安全性等级、系统安全趋势分析、系统安全缺陷等方面进行综合评估,并发现和锁定可能风险源,为下一步构建安全防护体系提供参考。
2.3 优化安全配置数据
通过安全评估,针对可能存在的安全隐患,需要从具体的安全策略制定上来加以优化,来改进系统安全等级。如对于某类风险源,利用设置防范参数来进行过滤和截获。同时,针对病毒库、事件库、安全补丁更新问题,可以从自动升级、人工升级模式设置上来优化;对于各类网络共享端口,通过设置安全口令来进行授权管理;对于系统服务器及其他安全设备,不必要的端口要进行关闭。
2.4 制定安全应急预案
应急预案是在可能存在的安全攻击或自然灾害时所采取的系统化解决防范思路和方法。如对于常见的网络攻击行为,通过应急预案来进行处置,来减少和避免损失,提升网络管理系统安全性。以某意外断电为例,在应急措施编制上,应该对主机系统进行有序断电,在UPS电池耗尽前完成服务器、存储设备、网络设备等系统的关闭;在电力恢复时,应该遵循打开总开关、启动UPS,逐次打开分支开关,启动核心路由器、交换机和网络安全设备,再依次打开各个服务器,对各服务器工作状态进行检查,确保正常启动相应服务。
2.5 应急响应及数据恢复
应急响应是对存在的安全风险及事件进行响应的过程,通常在发生网络异常或告警时,需要对根据预案来进行应急处置。如对于某次网络病毒攻击事件,在应急预案设计上,应该遵循六点:
(1)首先对被感染计算机进行网络隔离;
(2)对该系统硬盘数据进行备份;
(3)判斷病毒类型、危害,涉及到那些网络端口,并启动杀毒软件对该计算机系统进行全面杀毒处理;
(4)为保障安全,需要对其他服务器系统进行病毒扫描和清除;
(5)对于杀毒软件无法清除的病毒应立即报告,并联系厂商协助解决,针对事态危重问题,要告知相关部门给予协同处理,并发布病毒语境;
(6)清除完病毒后,重新启动计算机并接入网络系统。应急恢复是在完成安全防范事件后,对原有系统进行启动,并将系统恢复至正常状态。
3 结语
OA系统安全评估及策略的制定,重点在于对可能存在的应急风险进行预案设计和应急响应,并从异常事件处置中总结经验,优化安全策略,确保OA系统处于良好运行状态。
参考文献
[1]陈建新,王金玉,陈禹,程涣青,胡韬.OA网络信息系统的顶层设计方略[J].办公自动化,2014(10).
[2]陈燕,魏鹏飞.办公自动化系统安全控制策略[J].技术与市场,2016(06).
作者单位
军工保密资格审查认证中心 北京市 100089