【摘要】國民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展，進(jìn)一步帶動(dòng)了工業(yè)化發(fā)展．在電子信息系統(tǒng)建設(shè)的過程中，如何保障系統(tǒng)能提供安全可靠的服務(wù)是整個(gè)企業(yè)電子信息系統(tǒng)建設(shè)必須要考慮的問題。本文分析了電子辦公系統(tǒng)的信息安全技術(shù)中的安全需求，針對需求提出了相應(yīng)的解決辦法。

　　【關(guān)鍵詞】大型企業(yè),電子辦公系統(tǒng),信息安全技術(shù)

　　1.企業(yè)電子辦公系統(tǒng)中的安全需求

　　電子辦公系統(tǒng)建設(shè)在系統(tǒng)安全性方面的總需求是安全保密、可信可靠，具體表現(xiàn)在以下幾個(gè)方面：信息的安全保密性，滿足信息在存儲(chǔ)、傳輸過程中的安全保密性需求；系統(tǒng)的安全可靠性，確保整個(gè)電子政務(wù)系統(tǒng)的安全可靠；行為的不可抵賴性，保證在所有業(yè)務(wù)處理過程中，辦公人員行為和系統(tǒng)行為的不可抵賴，以便審計(jì)和監(jiān)督；實(shí)體的可鑒別性，是實(shí)現(xiàn)監(jiān)管及其他方面需求的必要條件；對象的可授權(quán)性，針對政務(wù)工作的特點(diǎn)，要求具有對對象靈活授權(quán)的功能，包括用戶對用戶的授權(quán)、系統(tǒng)對用戶的授權(quán)、系統(tǒng)對系統(tǒng)的授權(quán)等；信息的完整性，保證信息存儲(chǔ)和傳輸過程中不被篡改和破壞。

　　2.企業(yè)電子辦公系統(tǒng)安全保障防火墻技術(shù)

　　針對安全需求，在電子信息系統(tǒng)中需要采取一系列的安全保障技術(shù)，包括安全技術(shù)和密碼技術(shù)，對涉及到核心業(yè)務(wù)的涉密網(wǎng)，還要采用物理隔離技術(shù)進(jìn)行保護(hù)。這些技術(shù)作用在網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，對信息系統(tǒng)起著不同的安全保護(hù)作用。在網(wǎng)絡(luò)層主要應(yīng)用的技術(shù)有防火墻、VPN、SSL、線路加密、安全網(wǎng)關(guān)和網(wǎng)絡(luò)安全監(jiān)測；系統(tǒng)層則包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全以及安全的傳輸協(xié)議；應(yīng)用層安全技術(shù)主要涉及認(rèn)證與訪問控制、數(shù)據(jù)或文件加密和PKI技術(shù)。

　　從網(wǎng)絡(luò)安全角度上講，它們屬于不同的網(wǎng)絡(luò)安全域，因此，在各級網(wǎng)絡(luò)邊界以及企業(yè)網(wǎng)和Internet邊界都應(yīng)安裝防火墻，并實(shí)施相應(yīng)的安全策略。防火墻可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時(shí)將安全策略不允許的用戶和數(shù)據(jù)包隔斷，達(dá)到保護(hù)高安全等級的子網(wǎng)、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點(diǎn)主要是無法防止來自防火墻內(nèi)部的攻擊。

　　3.內(nèi)網(wǎng)和外網(wǎng)隔離技術(shù)

　　企業(yè)電子辦公網(wǎng)絡(luò)是由政務(wù)核心網(wǎng)(涉密網(wǎng))。隨著各類機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(也稱內(nèi)網(wǎng))和公眾互聯(lián)網(wǎng)(也稱外網(wǎng))的不斷發(fā)展，許多業(yè)務(wù)系統(tǒng)正在逐步向互聯(lián)網(wǎng)轉(zhuǎn)移，使得內(nèi)外網(wǎng)的數(shù)據(jù)交換和互聯(lián)成為必然的趨勢�；ヂ�(lián)網(wǎng)潛在的不安全因素，造成人們對內(nèi)外網(wǎng)互聯(lián)的擔(dān)憂，所以出現(xiàn)了多種方法來解決內(nèi)外網(wǎng)的數(shù)據(jù)交換問題而又不影響內(nèi)網(wǎng)的安全性，如采用內(nèi)外網(wǎng)的物理隔離方法，將核心網(wǎng)與其他網(wǎng)絡(luò)之間斷開，將專用網(wǎng)和政府公眾信息網(wǎng)之間邏輯隔離。隔離技術(shù)的發(fā)展至今共經(jīng)歷了五代。

　　3.1隔離技術(shù)，雙網(wǎng)機(jī)系統(tǒng)。

　　3.2隔離技術(shù)，基于雙網(wǎng)線的安全隔離卡技術(shù)。

　　3.3隔離技術(shù)，數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。

　　3.4隔離技術(shù)，隔離服務(wù)器系統(tǒng)。該技術(shù)是通過使用開關(guān)，使內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問臨時(shí)緩存器來完成數(shù)據(jù)交換的，但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問題，往往成為網(wǎng)絡(luò)的瓶頸。

　　3.5隔離技術(shù)，安全通道隔離。此技術(shù)通過專用通信硬件和專有交換協(xié)議等安全機(jī)制，來實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換，不僅解決了以往隔離技術(shù)存在的問題，并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，它透明地支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。

　　4.密碼技術(shù)

　　密碼技術(shù)是信息交換安全的基礎(chǔ)，通過數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性和用戶身份真實(shí)性等安全機(jī)制，從而保證了網(wǎng)絡(luò)環(huán)境中信息傳輸和交換的安全。

　　加密技術(shù)的原理可用下面的公式表示。

　　加密：Ek1(M)一C

　　解密：Dk2(C)一M

　　其中E為加密函數(shù)；M為明文；K為密鑰；D為解密函數(shù)；C為密文。按照密鑰的不同形式，密碼技術(shù)可以分為三類：對稱密碼算法、非對稱密碼算法和單向散列函數(shù)。

　　在對稱密碼算法中，使用單一密鑰來加密和解密數(shù)據(jù)。典型的對稱密碼算法是DES、IDEA和RC算法。這類算法的特點(diǎn)是計(jì)算量小、加密效率高。但加解密雙方必須對所用的密鑰保守秘密，為保障較高的安全性，需要經(jīng)常更換密鑰。因此，密鑰的分發(fā)與管理是其最薄弱且風(fēng)險(xiǎn)最大的環(huán)節(jié)。

　　在非對稱密碼算法中，使用兩個(gè)密鑰(公鑰和私鑰)來加密和解密數(shù)據(jù)。當(dāng)兩個(gè)用戶進(jìn)行加密通信時(shí)，發(fā)送方使用接收方的公鑰加密所發(fā)送的數(shù)據(jù)；接收方則使用自己的私鑰來解密所接收的數(shù)據(jù)。由于私鑰不在網(wǎng)上傳送，比較容易解決密鑰管理問題，消除了在網(wǎng)上交換密鑰所帶來的安全隱患，所以特別適合在分布式系統(tǒng)中應(yīng)用。典型的非對稱密碼算法是RSA算法。非對稱密碼算法的缺點(diǎn)是計(jì)算量大、速度慢，不適合加密長數(shù)據(jù)。

　　非對稱密碼算法還可以用于數(shù)字簽名。數(shù)字簽名主要提供信息交換時(shí)的不可抵賴性，公鑰和私鑰的使用方式與數(shù)據(jù)加密恰好相反。

　　單向散列函數(shù)的特點(diǎn)是加密數(shù)據(jù)時(shí)不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法解密還原，只有使用同樣的單向加密算法對同樣的數(shù)據(jù)進(jìn)行加密，才能得到相同的結(jié)果。單向散列函數(shù)主要用于提供信息交換時(shí)的完整性，以驗(yàn)證數(shù)據(jù)在傳輸過程中是否被篡改。

　　5.公共密鑰基礎(chǔ)設(shè)施(PK1)

　　PKI技術(shù)是電子政務(wù)安全系統(tǒng)的核心。它通過數(shù)字證書的頒發(fā)和管理，為上層應(yīng)用提供了完善的密鑰和證書管理機(jī)制，具有用戶管理、密鑰管理、證書管理等功能，可保證各種基于公開密鑰密碼體制的安全機(jī)制在系統(tǒng)中的實(shí)現(xiàn)。

　　PKI提供的證書服務(wù)主要有兩個(gè)功能，即證實(shí)用戶身份的功能及保證信息機(jī)密性和完整性的功能。它最主要的組件就是認(rèn)證中心(CA)。CA頒發(fā)的證書可以作為驗(yàn)證用戶身份的標(biāo)識(shí)，可以有效解決網(wǎng)絡(luò)中的信任問題。它是電子政務(wù)網(wǎng)中信任篚基礎(chǔ)。

　　在CA頒發(fā)的證書基礎(chǔ)上，可以實(shí)現(xiàn)數(shù)字信封，數(shù)字簽名、抗否認(rèn)等功能，提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性等電子政務(wù)系統(tǒng)中所必需的安全服務(wù)。

　　6.入侵檢測技術(shù)

　　入侵檢測系統(tǒng)(IDS)可以做到對網(wǎng)絡(luò)邊界點(diǎn)雕數(shù)據(jù)進(jìn)行檢測，對服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測，入侵著的蓄意破壞和篡改，監(jiān)視內(nèi)部吊戶和系統(tǒng)管運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作，又用戶的非正�；顒�(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)人侵行為自規(guī)律，實(shí)時(shí)對檢測到的人侵行為進(jìn)行報(bào)警、阻斷，關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟焉管理。

　　IDS是對防火墻的非常有必要的附加，而不僅是簡單的補(bǔ)充。網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與防一墻進(jìn)行聯(lián)動(dòng)，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為，將一防火墻發(fā)送通知報(bào)文，由防火墻來阻斷連接，實(shí)現(xiàn)秀態(tài)的安全防護(hù)體系。

　　企業(yè)電子辦公的安全保障是系統(tǒng)能夠真正發(fā)揮作用的前提，各種安全保障設(shè)施必須和系統(tǒng)建設(shè)同步實(shí)施，同時(shí)要加強(qiáng)各種安全管理制度，增強(qiáng)系統(tǒng)使用和系統(tǒng)管理者的安全意識(shí)，才能從根本上保證系安全可靠的運(yùn)行�！�

　　【參考文獻(xiàn)】

　�。郏保葜焐倜瘢�現(xiàn)代辦公自動(dòng)化系統(tǒng)的架框研究，辦公自動(dòng)化技術(shù)．

　　［２］朱三元等．軟件工程技術(shù)概論，北京：科學(xué)出版社．

　�。郏常菀讟s華等．管理信息系統(tǒng)，北京：高等教育出版社．

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/xinxianqlw/24533.html