论文部分内容阅读
摘 要:由于无纸化办公的优势,无纸化办公系统在各行各业中的应用日趋广泛。但对于涉密单位而言,由于单位性质特殊,其无纸化办公系统依然面临一些无法避免的风险,本文结合实际,分析涉密单位无纸化办公系统可能面临的风险,阐述了涉密单位无纸化办公系统的风险应对措施和数据容灾策略。
关键词:涉密 无纸化办公 风险 数据容灾 策略
办公,通常指国家机关、企事业单位处理日常管理事务与各项服务等行为。在普遍的概念中,在多数情况下,日常办公行为是通过信息的交换、材料的转递等实现的。近些年出现的办公自动化系统(Office Automation System,简称OA系统)是将现代化办公和计算机技术结合起来的一种新型的办公方式。办公自动化没有统一的定义,凡是在传统的办公室中采用各种新技术、新机器、新设备从事办公业务,都属于办公自动化的领域。
一、行业现状
对于涉密单位来说,长期以来,日常办公依赖有形介质(纸质材料),一方面有中高层管理人员使用习惯的原因,另一方面,更重要的,纸质材料的“产生、保管、销毁”整个生命周期的涉密管控目標明确,实施手段方便,使得有形介质在涉密单位的使用一直持续至今。相对于传统办公方式来说,由于无纸化办公系统对操作人员要求较高、难以做到完善的安全保密、存储传输等环节的脆弱性等特点,令不少国有、集体涉密单位望而却步。但随着信息化、现代化办公的不断推进,特别触摸屏、手写板在日常办公中的广泛应用,令信息化办公与有形介质参与的办公在形式上趋接近,再加上信息化(无纸化)办公相对于纸质材料办公在环保、资源整合、规范办公流程等方面无法比拟的优势,促使信息化(无纸化)办公系统应用越来越广。党政机关、国企部门的OA系统为例,各类办公自动化系统中,以无纸化办公系统的日常利用率最高,应用最为广泛。通常情况下,OA系统拓扑结构多为类似图1所示。
涉密单位OA系统功能相对比较简单,服务端硬件通常包含服务器(或高性能工作站)、磁盘阵列等,服务器上运行OA服务端软件,主要提供身份认证服务、公文分发管理、公文存储等服务;客户端硬件以无盘(有盘)工作站为主,其上运行OA客户端,为用户日常办公使用。通过考察现行的多数涉密单位OA系统,为了对敏感信息进行集中管理,其客户端通常并不会在本地存储文档,而是将工作文档在公文流程处理结束后(或按用户需求执行保存操作后)上传至服务端集中存储,传输方式多采用直接明文传输或通过虚拟专用网(VPN)传输。
不少单位为了保障涉密计算机敏感数据的安全,会采取与互联网(Internet)物理隔离的策略,涉密单位办公网通常依托内部局域网或单位内部的小规模广域网构建。由于部署异地大范围局域网或内部广域网成本很高,在构建数据容灾系统时通常不会采用异地冗余备份的方式,而通常只采用本地备份的方式。而且,多数单位在搭建数据存储服务器时,独立磁盘冗余阵列(Redundant Arrays of Independent Disks,RAID,简称磁盘阵列)成本适中,且有一定的数据容灾能力,被多数单位作为首选方案。在实际应用中,出于成本和性能综合考虑,不少单位都选用RAID50磁盘阵列作为数据存储服务器的核心部件。
如图3所示,RAID50磁盘阵列通常包含2组共6块磁盘。每一组3块磁盘形成一个RAID5阵列,RAID5阵列中各个磁盘均包含存储区和校验区,在任意一组RAID5阵列系统中,允许在一个磁盘出现故障的情况下,系统正常工作,而不会造成数据丢失,当故障磁盘被替换后,RAID5系统根据其他磁盘上的校验信息在替换后的磁盘中完成数据重建,实现较高的容错性能。同时,两组RAID5阵列之间以RAID0的方式并行工作,以获得较好的数据吞吐能力,同时令该数据存储系统具备一定的数据容灾能力。并且,由数据服务软件控制,进行定期增量备份和完整备份,确保数据的安全。
二、潜在风险分析
尽管现行OA系统方案相对成熟,但由于涉密单位情况多种多样,特别是客观环境条件、管理制度、人等多种因素交织作用,在实际使用中依然存在不少风险。
1.用户身份验证风险。现行OA系统以客户端/服务端结构(即C/S结构)为主,普通用户通过客户端软件登录,服务端确认其身份后提供分配相应的权限提供服务,绝大多数鉴权方式仍然为传统的用户名/口令方式,少部分使用了指纹登陆的方式。目前看来,用户名/口令的鉴权方式安全风险较高,无法有效的核准实际使用者身份,即:无法有效杜绝或识别伪造身份登录行为;指纹登陆方式近些年正逐步普及,但指纹套(指模)伪造指纹技术的逐步成熟也令指纹身份验证方式的可靠性大打折扣。由于上述原因,即使发生违规行为或数据安全事故,也无法根据用户行为日志进行追责。
2.敏感数据安全问题。依照相关规定,多数单位对涉密办公文档实施集中管控策略,尽管做到了与互联网(Internet)的物理隔离,有些单位从敏感数据的安全性考虑,在文档传输的时候使用了VPN技术,但VPN技术仅仅是数据包的再封包与重定向,实质上敏感数据仍然是以明文方式进行传输的,鉴于用户身份验证风险的存在,在办公网络环境中进行明文传输信息存在较高的失泄密风险。
3.数据灾难风险。多数单位对涉密办公文档进行集中存储的时候,由数据服务器和磁盘阵列完成数据存储、资料备份等工作。尽管OA系统在设计时具备完善的增量备份和完整备份机制,但各个备份项均保存在当前数据存储系统中,当数据存储系统自身出现严重故障时,即使再完备的备份机制也是形同虚设。现行数据存储系统多以磁盘阵列作为存储系统为核心,以当前应用实例较多、安全性较高的RAID50磁盘阵列为例,两组RAID5磁盘阵列中,任意一组RAID5磁盘阵列中的一块磁盘发生故障,不影响当前存储系统的使用,及时替换损坏硬盘后,系统完成数据重建。但是,对于市场上常见的磁盘阵列柜来说,若单个磁盘发生故障,通常仅提供单一的指示灯报警方式,对于规模较大的磁盘阵列柜来说,故障报警的时效性无法得到保证,当发生更多的磁盘损坏情况时,数据灾难就难以避免。涉密单位由于其特殊性,一旦发生数据灾难,无法向专业公开的数据恢复公司寻求数据恢复技术支持,而单位内部通常没有专业设备和人员能够拯救丢失的数据,因而造成的损失也通常是无法挽回的。 三、应对策略
1.从技术角度出发防止敏感信息泄露。对用户客户机系统及软件做限制,防止并监控用户违规行为。摒弃传统的身份认证方式,使用相对安全可靠的身份认证方式,如虹膜身份识别认证系统;设置UEFI启动,并设置可靠的BIOS管理员密码;默认非Administrator账户登录,禁止访问系统分区(防止清除Administrator密码提升权限)和本地临时文件存储空间(防止在涉密文档上传前的失泄密);禁用注册表、组策略等高权限系统工具,并禁止运行bat文件(批处理)、reg文件(注册表文件);添加USB Filter对USB设备进行限制管控,并实时记录、上传违规使用信息;同时在客户机系统、交换机、路由器端进行端口控制,限制非必要端口的使用。为数据传输环节添加软、硬件加密措施,以保证敏感数据的安全。如图4所示,加密设备的使用能够保证数据在以密文的形式传输,大大降低了敏感数据失泄密风险。
2.数据容灾策略。使用带有热切换功能的工作磁盘系统,并将各类备份数据存于额外的存储系统中,同时提供更多样化的故障报警手段,确保及时响应存储系统故障,有效防止数据灾难的发生。
日常工作时,由仲裁机控制阵列1提供数据存储服务,阵列1与阵列2中的数据做到准实时同步,备份服务器完成定期增量备份功能。当阵列1中的磁盘发生非灾难性故障时,仲裁机在维持阵列1工作的情况下向管理员发送低等级报警信息;当阵列1中的磁盘发生灾难性故障时,仲裁机停止阵列1工作,切换阵列2提供數据存储服务,并向管理员发送高等级报警信息;当阵列1故障未被及时处理的情况下,阵列2发生非灾难性故障时,数据服务器不再向外界提供数据服务,以保证数据的安全,直至故障被处理。
3.政策、制度和人。所有的工作最终都要落实到人,对于涉密单位OA系统的管理,更应当制定相对合理的支持政策,出台相对完善的管理制度,同时选配技术过硬、责任心强的人员确保整个系统管理各个环节的安全,类似内容早已是老生常谈,此处不再赘述。
综上,尽管无纸化办公系统目前已相对成熟,但由于涉密单位的特殊性,涉密单位无纸化办公系统面临的风险依然较多,对数据的安全性、可靠性要求也较高,成熟完善的风险应对机制和数据容灾策略依然是当前涉密单位无纸化办公系统的首要需求,通过实施“技防”和“人防”并重的策略,必将为涉密单位无纸化办公提供更为有力的保障。
参考文献:
[1]王琦,浅析无纸化办公的优势和风险应对[J].互联网科技,2011(4):70-71.
[2]陈建逢,浅谈数据安全及数据容灾[J].广东公安科技,2016(2):23-25.
[3]郝乐,数据容灾技术研究[J].电子科技,2011(3):20-21.
关键词:涉密 无纸化办公 风险 数据容灾 策略
办公,通常指国家机关、企事业单位处理日常管理事务与各项服务等行为。在普遍的概念中,在多数情况下,日常办公行为是通过信息的交换、材料的转递等实现的。近些年出现的办公自动化系统(Office Automation System,简称OA系统)是将现代化办公和计算机技术结合起来的一种新型的办公方式。办公自动化没有统一的定义,凡是在传统的办公室中采用各种新技术、新机器、新设备从事办公业务,都属于办公自动化的领域。
一、行业现状
对于涉密单位来说,长期以来,日常办公依赖有形介质(纸质材料),一方面有中高层管理人员使用习惯的原因,另一方面,更重要的,纸质材料的“产生、保管、销毁”整个生命周期的涉密管控目標明确,实施手段方便,使得有形介质在涉密单位的使用一直持续至今。相对于传统办公方式来说,由于无纸化办公系统对操作人员要求较高、难以做到完善的安全保密、存储传输等环节的脆弱性等特点,令不少国有、集体涉密单位望而却步。但随着信息化、现代化办公的不断推进,特别触摸屏、手写板在日常办公中的广泛应用,令信息化办公与有形介质参与的办公在形式上趋接近,再加上信息化(无纸化)办公相对于纸质材料办公在环保、资源整合、规范办公流程等方面无法比拟的优势,促使信息化(无纸化)办公系统应用越来越广。党政机关、国企部门的OA系统为例,各类办公自动化系统中,以无纸化办公系统的日常利用率最高,应用最为广泛。通常情况下,OA系统拓扑结构多为类似图1所示。
涉密单位OA系统功能相对比较简单,服务端硬件通常包含服务器(或高性能工作站)、磁盘阵列等,服务器上运行OA服务端软件,主要提供身份认证服务、公文分发管理、公文存储等服务;客户端硬件以无盘(有盘)工作站为主,其上运行OA客户端,为用户日常办公使用。通过考察现行的多数涉密单位OA系统,为了对敏感信息进行集中管理,其客户端通常并不会在本地存储文档,而是将工作文档在公文流程处理结束后(或按用户需求执行保存操作后)上传至服务端集中存储,传输方式多采用直接明文传输或通过虚拟专用网(VPN)传输。
不少单位为了保障涉密计算机敏感数据的安全,会采取与互联网(Internet)物理隔离的策略,涉密单位办公网通常依托内部局域网或单位内部的小规模广域网构建。由于部署异地大范围局域网或内部广域网成本很高,在构建数据容灾系统时通常不会采用异地冗余备份的方式,而通常只采用本地备份的方式。而且,多数单位在搭建数据存储服务器时,独立磁盘冗余阵列(Redundant Arrays of Independent Disks,RAID,简称磁盘阵列)成本适中,且有一定的数据容灾能力,被多数单位作为首选方案。在实际应用中,出于成本和性能综合考虑,不少单位都选用RAID50磁盘阵列作为数据存储服务器的核心部件。
如图3所示,RAID50磁盘阵列通常包含2组共6块磁盘。每一组3块磁盘形成一个RAID5阵列,RAID5阵列中各个磁盘均包含存储区和校验区,在任意一组RAID5阵列系统中,允许在一个磁盘出现故障的情况下,系统正常工作,而不会造成数据丢失,当故障磁盘被替换后,RAID5系统根据其他磁盘上的校验信息在替换后的磁盘中完成数据重建,实现较高的容错性能。同时,两组RAID5阵列之间以RAID0的方式并行工作,以获得较好的数据吞吐能力,同时令该数据存储系统具备一定的数据容灾能力。并且,由数据服务软件控制,进行定期增量备份和完整备份,确保数据的安全。
二、潜在风险分析
尽管现行OA系统方案相对成熟,但由于涉密单位情况多种多样,特别是客观环境条件、管理制度、人等多种因素交织作用,在实际使用中依然存在不少风险。
1.用户身份验证风险。现行OA系统以客户端/服务端结构(即C/S结构)为主,普通用户通过客户端软件登录,服务端确认其身份后提供分配相应的权限提供服务,绝大多数鉴权方式仍然为传统的用户名/口令方式,少部分使用了指纹登陆的方式。目前看来,用户名/口令的鉴权方式安全风险较高,无法有效的核准实际使用者身份,即:无法有效杜绝或识别伪造身份登录行为;指纹登陆方式近些年正逐步普及,但指纹套(指模)伪造指纹技术的逐步成熟也令指纹身份验证方式的可靠性大打折扣。由于上述原因,即使发生违规行为或数据安全事故,也无法根据用户行为日志进行追责。
2.敏感数据安全问题。依照相关规定,多数单位对涉密办公文档实施集中管控策略,尽管做到了与互联网(Internet)的物理隔离,有些单位从敏感数据的安全性考虑,在文档传输的时候使用了VPN技术,但VPN技术仅仅是数据包的再封包与重定向,实质上敏感数据仍然是以明文方式进行传输的,鉴于用户身份验证风险的存在,在办公网络环境中进行明文传输信息存在较高的失泄密风险。
3.数据灾难风险。多数单位对涉密办公文档进行集中存储的时候,由数据服务器和磁盘阵列完成数据存储、资料备份等工作。尽管OA系统在设计时具备完善的增量备份和完整备份机制,但各个备份项均保存在当前数据存储系统中,当数据存储系统自身出现严重故障时,即使再完备的备份机制也是形同虚设。现行数据存储系统多以磁盘阵列作为存储系统为核心,以当前应用实例较多、安全性较高的RAID50磁盘阵列为例,两组RAID5磁盘阵列中,任意一组RAID5磁盘阵列中的一块磁盘发生故障,不影响当前存储系统的使用,及时替换损坏硬盘后,系统完成数据重建。但是,对于市场上常见的磁盘阵列柜来说,若单个磁盘发生故障,通常仅提供单一的指示灯报警方式,对于规模较大的磁盘阵列柜来说,故障报警的时效性无法得到保证,当发生更多的磁盘损坏情况时,数据灾难就难以避免。涉密单位由于其特殊性,一旦发生数据灾难,无法向专业公开的数据恢复公司寻求数据恢复技术支持,而单位内部通常没有专业设备和人员能够拯救丢失的数据,因而造成的损失也通常是无法挽回的。 三、应对策略
1.从技术角度出发防止敏感信息泄露。对用户客户机系统及软件做限制,防止并监控用户违规行为。摒弃传统的身份认证方式,使用相对安全可靠的身份认证方式,如虹膜身份识别认证系统;设置UEFI启动,并设置可靠的BIOS管理员密码;默认非Administrator账户登录,禁止访问系统分区(防止清除Administrator密码提升权限)和本地临时文件存储空间(防止在涉密文档上传前的失泄密);禁用注册表、组策略等高权限系统工具,并禁止运行bat文件(批处理)、reg文件(注册表文件);添加USB Filter对USB设备进行限制管控,并实时记录、上传违规使用信息;同时在客户机系统、交换机、路由器端进行端口控制,限制非必要端口的使用。为数据传输环节添加软、硬件加密措施,以保证敏感数据的安全。如图4所示,加密设备的使用能够保证数据在以密文的形式传输,大大降低了敏感数据失泄密风险。
2.数据容灾策略。使用带有热切换功能的工作磁盘系统,并将各类备份数据存于额外的存储系统中,同时提供更多样化的故障报警手段,确保及时响应存储系统故障,有效防止数据灾难的发生。
日常工作时,由仲裁机控制阵列1提供数据存储服务,阵列1与阵列2中的数据做到准实时同步,备份服务器完成定期增量备份功能。当阵列1中的磁盘发生非灾难性故障时,仲裁机在维持阵列1工作的情况下向管理员发送低等级报警信息;当阵列1中的磁盘发生灾难性故障时,仲裁机停止阵列1工作,切换阵列2提供數据存储服务,并向管理员发送高等级报警信息;当阵列1故障未被及时处理的情况下,阵列2发生非灾难性故障时,数据服务器不再向外界提供数据服务,以保证数据的安全,直至故障被处理。
3.政策、制度和人。所有的工作最终都要落实到人,对于涉密单位OA系统的管理,更应当制定相对合理的支持政策,出台相对完善的管理制度,同时选配技术过硬、责任心强的人员确保整个系统管理各个环节的安全,类似内容早已是老生常谈,此处不再赘述。
综上,尽管无纸化办公系统目前已相对成熟,但由于涉密单位的特殊性,涉密单位无纸化办公系统面临的风险依然较多,对数据的安全性、可靠性要求也较高,成熟完善的风险应对机制和数据容灾策略依然是当前涉密单位无纸化办公系统的首要需求,通过实施“技防”和“人防”并重的策略,必将为涉密单位无纸化办公提供更为有力的保障。
参考文献:
[1]王琦,浅析无纸化办公的优势和风险应对[J].互联网科技,2011(4):70-71.
[2]陈建逢,浅谈数据安全及数据容灾[J].广东公安科技,2016(2):23-25.
[3]郝乐,数据容灾技术研究[J].电子科技,2011(3):20-21.