办公数据安全威胁及防范措施

丁茜

（中国人民解放军94159部队，甘肃 兰州 730030）

办公数据安全威胁及防范措施

丁茜

（中国人民解放军94159部队，甘肃 兰州 730030）

为了提高公办数据的安全性，从计算机病毒、木马程序、黑客攻击、人为因素等方面论述了办公数据安全威胁因素，结合计算机病毒的防范、访问控制、网络安全、数据恢复给出了办公数据安全防范策略。

办公；数据安全；防范措施

随着信息化进程的不断深化，办公自动化的灵活性，高速性和敏捷性得以显著提高，与此同时办公数据安全也受到越来越多的关注。在自动化办公环境中要求我们不断加强数据安全意识，规范操作流程，认知数据安全威胁因素，掌握信息化办公的安全防范策略。

1 办公数据安全威胁因素

1.1 计算机病毒

计算机病毒是具备传染性、潜伏性和破坏性的一组计算机指令序列，可以借助各种移动存储介质和通讯网络得以快速传播，给计算机网络及计算机软、硬件系统带来巨大的潜在威胁[1]。计算机病毒对办公数据安全的主要威胁表现为：（1）篡改文件、删除文件，（2）自我复制吞噬磁盘空间，（3）抢占系统资源，导致系统运行速度降低甚至死机，（4）造成系统崩溃、格式化系统，（5）破坏计算机硬件。

1.2 木马程序

木马是为了实现恶意控制远程计算机的目的而编制的特定程序，通常由客户端及服务端两部分组成，一旦用户运行了服务端程序，其电脑就会开启一个或多个端口供客户端访问，此时个人隐私及办公数据安全将受到极大威胁[2]，其表现主要为：（1）修改用户访问控制权限，（2）阅读、复制、篡改、删除文件，（3）更改计算机软、硬件配置，（4）盗用用户各种账号、密码及安全证书。

1.3 黑客攻击

黑客原指热衷于研究IT技术，精通编程语言、各类计算机操作系统、计算机系统结构及高级计算机网络，具备高超水平的计算机专家。现在主要特指利用计算机网络和计算机系统安全漏洞进行网络监听、截获口令、盗用特权、安放木马、WWW欺骗、电子邮件攻击、截获他人资料的人群[3]。黑客攻击对办公数据安全的威胁主要表现为：（1）窃取办公机密和信息，（2）盗用财务账号，谋取经济利益，（3）纂改、破坏系统配置，导致业务处理崩溃。

1.4 人为因素

人为因素也是影响公办数据安全的又一威胁，倘若办公人员信息素养不高，不能严格履行办公安全防范守则，办公资料及信息很容易丢失或泄露，具体表现为：（1）没有设置系统登录及文件访问密码，或密码强度过低，威胁数据安全，（2）对E-mail或即时通讯工具账号保护力度不够，导致信息泄露，（3）随意处置办公存储介质，导致U盘、光盘等的丢失。

2 数据安全防范策略

2.1 计算机病毒的防范

病毒防治应与计算机管理紧密结合起来，组成杀毒软件、防火墙、安全卫士构建的病毒防线。定期对防护系统进行必要更新，同时及时操作系统及应用软件漏洞进行修复。网络环境中应该加强网络管理，除了在单机环境上安装必要的反病毒及安全卫士套件，而且还应该部署针对局域网、广域网的查杀病毒软件，对安全保密要求高的部门还应该安装网络病毒防治服务器，确保在网络数据交换过程中病毒的检测与过滤。

2.2 访问控制

通过用户权限分配，计算机密码设置降低办公数据安全隐患，各层次常见密码包括CMOS密码，系统登录密码，屏幕保护密码，E-mail账号密码，文档加密及压缩文件加密等。在设置密码时尽量采用长度足够长、排列随机、使用大小写字母以及数字和特殊符号组成的高强度密码。

2.3 网络安全

为了有效防治木马植入、黑客攻击对本地网络的入侵，应该采用内部外部网络隔离策略、访问控制策略、内部网络隔离策略及分段管理策略，以提高整个网络办公环境的数据安全性保障[4-5]。

1）内部外部网络隔离策略，为了实现内部办公自动化网络和外部网络的隔离，可以在路由器上设置屏蔽IP地址及服务，或者在路由器上设置允许进入办公网络的IP地址及服务而阻挡非法访问，对于安全保密要求较高的部门还可以设置防火墙认证系统，通过防火墙网络数据流监测，保护内网信息、内网结构和内网运行状态，其基本功能为：对网络数据包进行过滤；限定整个网络的访问控制行为；屏蔽被禁用的系统服务；登记网络活动及信息；网络攻击预警。

2）分区访问权限设定策略，将整个网络结构逻辑上分成三个子系统，内网系统、隔离区系统、外网系统，每个系统分配不同的访问控制权限和方式。内网系统对外完全透明，不设置任何对外服务，确保内网系统的绝对安全。隔离区系统是在内网系统和外网系统之间设置的一个缓冲区，该系统可以对外提供必要的网络服务，如Web服务、FTP服务、邮件服务等，虽然隔离区系统有可能受到黑客攻击，但由于隔离区缓冲系统的存在可以确保内部网络核心数据和服务的安全，同时也方便管理对网络运行监测及网络故障诊断。

3）内部网络的分段管理策略，分段管理策略不仅有利于网络监测、诊断、维护，缩小网络冲突隐患，隔离内部网络的广播风暴，提高网络稳定性和安全性。网络分段可以采用物理分段和逻辑分段两种实现方法，前者将物理层或数据链路层分成若干网段，原则上不允许各网段之间直接通信；后者指将网络在网络层上进行分段处理，实现子网隔离。在预算比较宽裕的情况下，可以使用路由器、防火墙、带有虚拟局域网功能的三层交换机实现内网分段；在预算紧张的情况下，可以使用多网卡主机软路由方式实现内网分段，利用网络连接中间设备实现各级安全设置。

2.4 数据备份

为了防止因为系统故障或误操作造成的办公数据安全威胁，有必要将重要数据拷贝至其他存储设备，而对于海量数据还可以采用数据备份恢复管理软件结合存储介质的网络备份方式，还可根据各单位的实际需求，采用实时自动备份、定期备份、系统设备备份等机制。

3 结论

随着信息化进程的推进，办公自动化成为各级单位办公效率提升的基本要素，同时受计算机病毒、木马程序、黑客攻击和人为因素的影响办公数据安全隐患也越发凸显，要求病毒防治应与计算机管理紧密结合起来，组成杀毒软件、防火墙、安全卫士构建的病毒防线；通过用户权限分配，计算机密码设置降低办公数据安全威胁；采用内部外部网络隔离策略、访问控制策略、内部网络隔离策略及分段管理策略，以提高整个网络办公环境的数据安全性保障；引入数据备份恢复机制保障办公数据安全。

[1] 周琪娟.打造电子办公安全环境[J].中国石化,2011(4): 20-21.

[2] 徐清亮.移动办公安全威胁与解决方案[J].财经文摘, 2010(7):114-114.

[3] 窦宇海,陈丽冰.PKI在网络办公安全中的应用[J].今日科苑,2008(16).

[4] 任子亭.网络环境下办公安全策略研究与实现[J].计算机安全,2013(6):51-55.

[5] 王朝岗.计算机网络安全防范措施研究[J].电脑知识与技术,2014,26:011.

TP393.08