随着检验检疫系统信息化建设的发展,特别是“大通关”工程的逐步实施,检验检疫系统建立起了内部网站、推行了电子报检系统与电子监管系统,办公自动化系统也得到了充分的应用,网络化办公的格局已经基本形成。那如何在网络化办公环境中保障信息的安全呢?
Web服务器的安全性
目前检验检疫系统内越来越多的信息化管理系统都是基于Web服务的三层应用,而安全套接字层——SSL(secure socket layer)的使用为其提供了较好的安全性。SSL是利用传输控制协议(TCP)来提供可靠的端到端的安全服务,协议分为两层,底层是建立在可靠的TCP上的SSL记录层,用来封装高层的协议,上层通过握手协议、警示协议、更改密码协议,用于对SSL交换过程的管理,从而实现超文本传输协议的传输。目前大部分的Web服务器和浏览器都支持SSL的资料加密传输协议。因此,可以利用这个功能,将部分具有机密性质的网页设定成加密的传输模式,即安全的超文本传输协议S-HTTP,通过客户机和服务器之间的协商建立起各种安全业务。建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通讯,并且在使用URL资源定位器时,输入“https://”,而不是传统的“http://”。这里需要说明的是,加密过的SSL将比没有加密的Web浏览的时候慢一点,主要是因为加密的隧道还要占用一些CPU的资源。
在Windows2000的系统中实现SSL,首先需要添加证书服务,选择独立根的安装类型,为自己的证书起名后,就可以启动Inter?鄄net信息服务器(IIS)来申请数字证书了。打开IIS管理器,选择“站点属性→目录安全性→安全通信→服务器证书”,启动“IIS证书向导”,该向导可以为IIS服务器生成一个服务器证书,并将证书提交给安装在本地的证书服务器。在默认的情况下证书服务器完成安装后,会在本地的IIS Web服务器里面生成几个虚拟的目录,这时打开
http://lo?鄄calhost/CertSrv/defualt.asp,按照提示来提交证书。接下来启动管理工具中的证书颁发机构,在待定申请中找到刚刚申请的条目,然后点击鼠标右键选择颁发该证书,并将刚才颁发的证书复制成文件保存起来。最后还需要回到IIS的管理界面里重新选择证书申请,这时候出来的界面就是挂起来的证书请求了,设置正确后就可以安装上SSL,默认情况下SSL将启动443端口。此时网站上的所有信息就是以加密的方式来传送了。
数据库系统的安全性
数据库作为办公自动化的有效支持手段,在描述、存储、组织和共享数据中发挥了巨大的作用,其中存放的信息价值远远超过系统本身的价值,因此数据库系统的安全性是一个不容忽视的问题。
要保证数据库的完整性,首先,要使数据不受物理故障(如掉电、存储介质损坏)的影响,并做好备份,一旦出现灾难性事故后,能立即恢复。其次,数据库管理系统要有严格的用户身份鉴别,并将用户权限登记到数据字典中。为了进一步加强数据库系统的安全性和保密性,必须对使用数据库的时间、地点加以限制,另外还需要使用数据库管理系统提供的审计功能,跟踪和记录用户对数据库和数据库对象的操作,为系统事故的原因提供查找的线索和依据,进而保障数据库系统的安全。
虚拟专用网技术
检验检疫系统的网络办公系统采用客户机/服务器的工作模式,职工在内部从客户端机器通过局域网连接到服务器,以获取信息资源;当职工在外出差办公时,则可以通过VPN远程接入。虚拟专用网VPN是通过公网建立一个临时的、安全的连接,是一条穿过混乱的公用网络的“安全通道”,是对单位内部网的扩展。利用VPN可以帮助用户在外部与单位内部的局域网建立安全连接,并保证安全传输。
远程用户可以通过VPN技术拨号到当地的ISP,然后通过共享路由网络,连接到局内的防火墙或是交换机上,在实现访问信息资源的同时可节省拨号费用。当一个数据传输通道的两个端点被认为是可信的时候,安全性建设主要为了加强两个虚拟专用网服务器之间的加密和认证手段上,而VPN通过对自己承载的隧道和数据包实施特定的安全协议,主机之间可通过这些协议协商用于保证数据保密性、数据完整性、数据收发双方的认证性等安全性所需的加密技术和数据签字技术。
邮件加密
即使在单位局域网内部,信息传送也需要加密处理,以保证信息的安全,因为大多数的泄密是来自单位内部。电子邮件作为主要的信息传送手段,同样也需要加密处理,在局域网上传输的文件或电子邮件可以采用加密软件来进行加密。目前最流行的一种加密软件,是利用以公开密钥密码学为基础的邮件加密软件。私人密钥和公开密钥都可以通过软件的密钥生成向导来产生。例如,当需要传送一份绝密邮件到某个部门,必须先取得该部门的公开密钥,并且把它加入公开密钥环中,然后利用该部门的公开密钥将信件加密,由于电子邮件对信息的长度有限制,如不超过50000字节,当信息大于此值时,软件将对其自动分段,分段是在所有处理之后进行的。在接收端,加密软件将各段自动重组成原来的信息,当该部门收到邮件后,必须利用其相对的私人密钥来解密,将加密过的文件恢复成原来的文件格式。
因此,只有拥有私人密钥的人才能打开已加密的邮件,从而保证了邮件的安全,为办公自动化提供了安全保障,这里需要注意的是对密钥的管理至关重要,因为一旦有人截获了用户的数据包,并掌握了用户私人密钥,用户的加密就宣告失败。
防病毒意识
计算机病毒的泛滥成灾给信息化进程蒙上了一层阴影,它可以破坏计算机系统及文件,并通过计算机系统及网络和电子邮件进行传播,严重地干扰了办公自动化的正常进行。因此需要建立多层次、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护对病毒的防护。
提高安全意识
杜绝病毒,主观能动性起到很重要的作用。病毒传播的渠道有很多种,可能通过网络、物理介质等方式进行传播。病毒的蔓延,往往是由于用户对病毒的传播方式不够了解所造成的。因此查杀病毒,首先要知道病毒到底是什么,它的危害是怎样的,从而提高安全意识,对日常工作中隐藏的病毒危害增加警觉性。如安装一种大众认可的网络版杀毒软件,定时更新病毒库,对来历不明的文件在运行前查杀,每周查杀一次病毒,减少共享文件夹的使用,需要共享时尽量控制权限和增加密码,这些都可以很好地防止病毒在网络的传播。
邮件查毒
随着网络的普及,电子邮件已成为办公自动化中不可缺少的一种手段。它在方便、快捷地提高人们的工作效率的同时,也无意中成了病毒的帮凶。尽管这些病毒的传播原理很简单,但不仅是技术问题,还应该提醒广大用户采取适当的防护措施。总之,只要用户随时小心警惕,不要打开值得怀疑的邮件,就可以把这类病毒拒之于门外。
可以说,在重视网络化办公、提高工作效率的同时,信息安全也是一个不可忽视的问题。由于系统的安全隐患、黑客的攻击手段和技术在不断提高,加强管理,树立安全意识就是一个迫切需要解决的问题。笔者正是从这点出发,提出了网络化办公中解决安全性问题的几种手段。但安全的概念是在不断扩展的,安全的技术也是在不断进步的,将来网络化办公中还会需要其他新的技术来为其支撑,只有通过使用这些手段保证系统安全,系统才能够最大限度地发挥作用。