办公自动化网络安全防护策略探讨.docxVIP

办公自动化网络安全防护策略探讨 3.2数据安全保卫3.2.1针对入侵的安全保卫对于数据库来说，其物理完好性、逻辑完好性、数据元素完好性都是特别主要的。数据库中的数据有纯洁信息数据和功能文件数据两大类，人侵保卫应重要考虑下面几条原则: 物理设备和安全防护，包含效劳器、有线、无线通信线路的安全防护; 效劳器安全保卫，不同类型、不同主要水平的数据应尽可能在不同的效劳器上实现，主要数据采取分布式管理，效劳器应有合理的访问控制和身份认证办法保卫，并记录访问日志。系统中的主要数据在数据库中应有加密和验证办法。 用户对数据的存取应有明确的受权策略，保证用户只能翻开自己权限范围之内的文件; 通过审计和留痕技术避免非法者从系统外获得系统数据或是合法用户为逃避系统预警报告的监督而从系统中获得数据; 客户端安全保卫，客户端的安全重要是要求能配合效劳器的安全办法，提供身份认证、加密、解密、数字签名和信息完好性验证功能，并通过软件强迫实现各客户机口令的定期更换，以防止口令泄漏可能带来的损失。3.2.2针对病毒毁坏及灾难毁坏的安全保卫 对于病毒和灾难毁坏的数据保卫来说，最为有效的保卫方式有两大类:物理保卫和数据备份。 要防止病毒和灾难毁坏数据，首先要在网络核心设备上设置物理保卫办法，包含设置电源冗余模块和交换端口的冗余备份;其次是采取磁盘镜像或磁盘阵列存储数据，避免由于磁盘物理故障造成数据丢失;另外，还要使用其他物理媒体对主要的数据进行备份，包含实时数据备份和定期数据备份，以便数据丢失后及时有效地恢复。3.3人侵防备 要有效地防备非法入侵，应做到内外网隔离、访问控制、内部网络隔离和分段管理。3.3.1内外网隔离 在内部办公自动化网络和外网之间，设置物理隔离，以实现内外网的隔离是保卫办公自动化网络安全的最重要、同时也是最有效、最经济的办法之一。 第一层隔离防护办法是路由器。路由器滤掉被屏蔽的IP地址和效劳。能够首先屏蔽所有的IP地址，然后有选择的放行一些地址进人办公自动化网络。 第二层隔离防护办法是防火墙。大多数防火墙都有认证机制，无论何种类型防火墙，从总体上看，都应具有下面五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。3.3.2访问控制 力、公自动化网络应采取访问控制的安全办法，将整个网络构造分为三部分，内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的区域，它不对外提供任何效劳，所以外部用户检测不到它的IP地址，也难以对它进行攻击。隔离区对外提供效劳，系统开放的信息都放在该区，由于它的开放性，就使它成为黑客们攻击的对象，但由于它与内部网是隔离开的，所以即便遭到了攻击也不会危及内部网，这样双重保卫了内部网络的资源不受损害，也方便管理员监视和诊断网络故障。3.3.3内部网络的隔离及分段管理 内部网络分段是保证安全的一项主要办法，同时也是一项基本办法，其指点思想在于将非法用户与网络资源互相隔离，进而到达限制用户非法访问的目的。 办公自动化网络能够根据部门或业务需要分段.网络分段可采取物理分段或逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层上分为若干网段，各网段互相之间无法进行直接通讯;逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用经过中，通常采用物理分段与逻辑分段相结合的方法来实现隔离。 采用相应的安全办法后，子网间可互相访问。对于TCP/IP网络，可把网络分成若干IP子网，各子网间必需通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在这里，防火墙被用来隔离内部网络的一个网段与另一个网段，能够限制部分网络安全问题对全局网络造成的影响。3.4病毒防治 相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理严密结合。网络防病毒最大的特点在于网络的管理功能，假如没有管理功能，很难完成网络防毒的任务。只要管理与防备相结合，能力保证系统正常运行。 计算机病毒的预防在于完善操作系统和应用软件的安全机制。在网络环境下，病毒传播扩散快，仅用单机防杀病毒产品已经难以去除网络病毒，必需有适用于局域网、广域网的全方位防杀病毒产品。为实现计算机病毒的防治，可在办公自动化网络系统上安装网络病毒防治效劳器，并在内部网络效劳器上安装网络病毒防治软件，在单机上安装单机环境的反病毒软件。安装网络病毒防治效劳器的目的是以实时作业方式扫描所有进出网络的文件。当地网络与其它网络(包含I1}1ITR1V}1‘和各种局域网)间的数据交换、当地网络工作站与效劳器间的数据交换、当地网络各工作站之间的数据交换都要经过网络病毒防治效劳器的检测与过滤，这