办公自动化的办公系统的安全问题
(一)网络威胁增多,安全域划分难度较大
办公系统通常部署在政府部门、企事业单位的内部网络或专用网络,以TCP/IP作为主要的网络通信协议。TCP/IP协议是一种开放协议,侧重于不同类型的物理网络互联,但在安全设计上存在缺陷。随着来自互联网威胁的日益增多,攻击者可能利用已知的安全缺陷和漏洞进行攻击和入侵,使办公网络面临信息搜集、侦听、哄骗、会话劫持、拒绝服务(DoS)等安全威胁,而不合理的网络配置、设备安装的缺失、不严格的访问控制措施等则加大了系统遭受攻击和入侵的可能性。受资金、设备、人员、技术、管理等因素影响,划分网络安全域、应用整体的安全策略、实施边界防护和访问控制存在较大困难,特别是在互联网、内部网络、专用网络之间实现安全交换数据的难度较大。
(二)操作系统安全问题突出,缺乏有效的措施
众所周知,Windows是办公系统中使用最多的操作系统,但Windows本身存在诸多问题。一是核心安全技术不透明。作为一种商业软件,微软并没有公开Windows的源代码,涉及信息安全的核心技术不透明,对办公系统来说仍是一种不可信的操作系统。二是针对Windows系统的威胁增加。如果系统更新不及时,安全措施不严格,存在的漏洞和缺陷可能会被非法入侵者利用,从而对系统的安全产生致命影响。三是技术支持和安全升级服务受限。ppp微软已宣布将停止WindowsXP的主流支持服务、扩展支持服务延续到2014年4月8日;新推出的Vista、Windows7操作系统,由于各方面的原因,尚未在办公等领域大量使用;个别用户仍使用的Windows98和WindowsMe,微软早在2006年7月12日就停止了相关的支持服务。
(三)数据泄露途径多样化,保密性措施不到位
办公系统要处理、传递、存储公文等敏感信息和机密数据,一旦泄露可能会造成难以估量的后果,而非法窃取、病毒和恶意软件的破坏、内部管理的漏洞均会造成数据的泄露。随着计算机和网络技术的迅猛发展,移动存储介质、即时通信、P2P、电子邮件在办公系统中大量使用,使数据泄露的途径更趋多样化。目前的办公系统中,也有对数据加密的措施,例如口令的MD5对称加密、验证码、电子签名等,但这些加密措施多侧重于用户的身份认证和识别,大量的敏感信息和业务数据仍以明文形式在网络传送,或在数据库中以明文形式存储。同时,多数办公系统在使用中普遍存在缺省安装、权限设置过低、内容缺乏保护等问题,影响数据的保密性。
(四)系统安全性设计存在缺陷
随着安全威胁的增多,系统环境的日趋复杂,办公系统安全性设计的漏洞和缺陷也逐步暴露出来。一是安全设计缺乏系统性。受各种因素影响,办公系统在建设中缺乏整体的安全规划,项目关系人对安全需求缺乏一致的理解,安全设计的针对性、系统性不强,无法形成覆盖网络、操作系统、应用程序、数据库的多层次的纵深防御体系。二是安全性技术的缺失。多数办公系统属于仓促部署,多侧重于满足功能性需求等目标,对安全性需求考虑较少,开发团队也缺少熟悉关键安全技术的专业人员,采取的安全防范措施层次较低。随着时间的推移,新的风险、漏洞被发现,新的攻击手段不断被采用,安全技术的缺失使办公系统面临的安全风险日益增多。
(五)安全管理薄弱,技术防范手段较为落后
办公系统的发展过程,也是安全管理不断加强的过程。办公系统在安全管理方面存在的问题主要有以下4个方面。
一是忽视人的因素。人是系统安全最关键的因素,如果忽视人的因素(安全意识和安全管理),即使采用最先进的技术和最安全的设计,也无法确保系统的安全性。二是重建设、轻管理。在办公系统的整个生命周期都存在安全管理的问题,即使在建设之初较为安全的系统,也会因为系统的脆弱性和可腐败性,在运营、维护中出现新的问题。三是技术手段落后。受各种因素影响,多数单位除部署防病毒软件外,很少采取虚拟网络、访问控制等措施,也缺少防火墙、入侵检测等硬件设备,技术防范手段较为落后。四是员工缺乏防范技能。部分政府部门、企事业单位的信息安全培训不到位,员工对信息安全知识掌握较少,也缺乏病毒查杀、系统升级等必要的安全防范技能。