四個(gè)移動(dòng)oa辦公系統(tǒng)系統(tǒng)安全策略加強(qiáng)內(nèi)網(wǎng)安全防護(hù)

　　移動(dòng)oa辦公系統(tǒng)員在維護(hù)企業(yè)移動(dòng)辦公oa時(shí)都想要得到一個(gè)真正安全的移動(dòng)辦公oa，就必須關(guān)注5個(gè)重要的領(lǐng)域。這些領(lǐng)域包括周邊防護(hù)，移動(dòng)辦公oa防護(hù)，應(yīng)用防護(hù)，數(shù)據(jù)防護(hù)，和主機(jī)防護(hù)。在本文中，我將討論移動(dòng)辦公OA系統(tǒng)安全策略，加強(qiáng)內(nèi)網(wǎng)安全防護(hù)。

　　移動(dòng)辦公OA系統(tǒng)安全策略基礎(chǔ)知識(shí)之什么是移動(dòng)辦公oa防護(hù)？ 　　

　　首先，移動(dòng)辦公oa防護(hù)的概念顯得過于寬泛籠統(tǒng)。但是在這個(gè)領(lǐng)域內(nèi)沒有什么是多余或者是過于籠統(tǒng)的。移動(dòng)辦公oa防護(hù)解決了包括移動(dòng)辦公oa之間聯(lián)接的問題，把所有的移動(dòng)辦公oa聯(lián)接成一個(gè)整個(gè)的移動(dòng)辦公oa。移動(dòng)辦公oa防護(hù)并不解決諸如外部防火墻或者撥號(hào)聯(lián)接的問題，周邊安全性包含了這些問題。移動(dòng)辦公oa防護(hù)也不涵蓋單個(gè)的服務(wù)器或者工作站的問題，那是屬于主機(jī)防護(hù)的問題。移動(dòng)辦公oa防護(hù)涵蓋了包括協(xié)議和路由器等問題。 　　

　　移動(dòng)辦公oa系統(tǒng)安全策略——內(nèi)部防火墻 　　

　　移動(dòng)辦公oa防護(hù)不包含外部防護(hù)墻，但這并不意味著它完全不涉及防火墻。相反，我所建議的移動(dòng)辦公oa防護(hù)的第一步就是在可能的情況下使用內(nèi)部防火墻。內(nèi)部防火墻同外部防火墻一樣是安全的基礎(chǔ)。兩者主要的區(qū)別在于內(nèi)部防火墻的主要工作是保護(hù)你的機(jī)器不受內(nèi)部通信的傷害。有很多使用內(nèi)部防火墻的理由。 　　

　　首先，想象一下，如果一個(gè)黑客或者某種病毒以某種方式控制了你的外部防火墻，那么他就可以不受防火墻阻礙地同內(nèi)部移動(dòng)辦公oa進(jìn)行通信。通常，這意味著你的移動(dòng)辦公oa對(duì)于外部世界完全敞開。但是，如果你有內(nèi)部防火墻，那么內(nèi)部防火墻會(huì)阻止從外部防火墻里溜進(jìn)來的惡意的數(shù)據(jù)包。 　

　　移動(dòng)辦公oa系統(tǒng)安全策略之移動(dòng)辦公oa通信加密 　　

　　我建議的下一個(gè)步驟對(duì)于你的移動(dòng)辦公oa通信進(jìn)行加密。只要可能的話，就要采用IPSec。因此，你需要了解IPSec安全性。

　　如果你配置一臺(tái)機(jī)器使用IPSec，你應(yīng)該對(duì)于進(jìn)行雙向加密。如果你讓IPSec要求加密，那么當(dāng)其他的機(jī)器試圖連接到你的機(jī)器上的時(shí)候，就會(huì)被告之需要加密。如果其他機(jī)器有IPSec加密的能力，那么在通信建立的開始就能夠建立一個(gè)安全的通信通道。另一方面，如果其他機(jī)器沒有IPSec加密的能力，那么通信進(jìn)程就會(huì)被拒絕，因?yàn)樗蟮募用軟] 有實(shí)現(xiàn)。 　　

　　請(qǐng)求加密選項(xiàng)則略有不同。當(dāng)一個(gè)機(jī)器請(qǐng)求聯(lián)接，它也會(huì)要求加密。如果兩臺(tái)機(jī)器都支持IPSec機(jī)密，那么就會(huì)在兩臺(tái)機(jī)器之間建立起一個(gè)安全的通路，通信就開始了。如果其中一臺(tái)機(jī)器不支持IPSec加密，那么通信進(jìn)程也會(huì)開始，但是數(shù)據(jù)卻沒有 被加密。 　　

　　由于這個(gè)原因，我提供一些建議。首先，我建議把一個(gè)站點(diǎn)內(nèi)所有的服務(wù)器放在一個(gè)安全的移動(dòng)辦公oa中。這個(gè)移動(dòng)辦公oa應(yīng)該完全同平常的移動(dòng)辦公oa分開。用戶需要訪問的每一臺(tái)服務(wù)器都應(yīng)該有兩塊網(wǎng)卡，一個(gè)聯(lián)接到主要移動(dòng)辦公oa，另一個(gè)聯(lián)接到私有服務(wù)器移動(dòng)辦公oa。這個(gè)服務(wù)器移動(dòng)辦公oa應(yīng)該只包含服務(wù)器，而且應(yīng)該有專用的集線器或者交換機(jī)。 　　

　　這樣做，你需要在服務(wù)器之間建立專用的骨干網(wǎng)。所有的基于服務(wù)器的通信，比如RPC通信或者是復(fù)制所使用的通信就能夠在專用骨干網(wǎng)里進(jìn)行。這樣，你就能夠保護(hù)基于移動(dòng)辦公oa的通信，你也能夠提高主要移動(dòng)辦公oa的可用帶寬的數(shù)量。 　　

　　接下來，我推薦使用IPSec。對(duì)于只有服務(wù)器的移動(dòng)辦公oa，應(yīng)該要求IPSec加密。畢竟這個(gè)移動(dòng)辦公oa里只有服務(wù)器，所以除非你有UNIX、Linux、Macintosh或者其他非微軟的服務(wù)器，你的服務(wù)器沒有理由不支持IPSec。因此你可以很放心地要求IPSec加密。 　　

　　現(xiàn)在，對(duì)于連接到重要移動(dòng)辦公oa上的所有工作站和服務(wù)器，你應(yīng)該讓機(jī)器要求加密。這樣，你就能夠在安全性和功能性之間獲得一個(gè)優(yōu)化平衡。

　　不幸的是，IPSec不能區(qū)分在多臺(tái)家庭電腦上移動(dòng)辦公oa適配器。因此，除非一臺(tái)服務(wù)器是處在服務(wù)器移動(dòng)辦公oa之外，你可能會(huì)需要使用請(qǐng)求加密選項(xiàng) ，否則其他的客戶端就不能夠訪問該服務(wù)器。 　　

　　當(dāng)然IPSec并不是你移動(dòng)辦公oa通信所能選擇的唯一加密方式。你還必須考慮你要如何保護(hù)通過你的移動(dòng)辦公oa周邊以及通向你無線移動(dòng)辦公oa的通信。 　　

　　今天談?wù)摕o線加密還有點(diǎn)困難，因?yàn)闊o線移動(dòng)辦公oa設(shè)備還在發(fā)展。大部分移動(dòng)OA辦公系統(tǒng)員都認(rèn)為無線移動(dòng)辦公oa是不安全的，因?yàn)橐苿?dòng)辦公oa通信包是在開放空間傳播的，任何一個(gè)人都可以用帶有無線NIC卡的筆記本電腦截獲這些通信包。

　　雖然無線移動(dòng)辦公oa確實(shí)存在一些風(fēng)險(xiǎn)，但是從某種角度來說，無線移動(dòng)辦公oa甚至比有線移動(dòng)辦公oa更安全。這是因?yàn)闊o線通信主要的加密機(jī)制是WEP加密。WEP加密從40位到152位甚至更高。實(shí)際的長(zhǎng)度取決于最低的通信參與者。例如，如果你的接入點(diǎn)支持128位WEP加密，但是你的一個(gè)無線移動(dòng)辦公oa用戶設(shè)備只支持64位WEP加密，那么你就只能獲得64位加密。但是目前基本上所有的無線設(shè)備都至少支持128位加密。 　

　　很多管理員并沒有意識(shí)到的事情是，雖然無線移動(dòng)辦公oa可以使用WEP加密，但是這并不是他們能夠使用的唯一的加密方式。WEP加密僅僅是對(duì)所有通過移動(dòng)辦公oa的通信進(jìn)行加密。它對(duì)于自己所加密的是何種類型的數(shù)據(jù)并不關(guān)心。因此，如果你已經(jīng)使用了IPSec來加密數(shù)據(jù)，那么WEP就能夠?qū)σ呀?jīng)加密的數(shù)據(jù)進(jìn)行第二重加密。

　　移動(dòng)辦公oa系統(tǒng)安全策略之移動(dòng)辦公oa隔離

　　如果你的公司非常大，那么你很有可能有一臺(tái)Web服務(wù)器作為公司網(wǎng)站的主機(jī)。如果這臺(tái)移動(dòng)辦公oa服務(wù)器不需要訪問后臺(tái)數(shù)據(jù)庫(kù)或者你私有移動(dòng)辦公oa中的其他資源的話，那么就沒有理由把它放在你的私有移動(dòng)辦公oa中。既然你可以把這臺(tái)服務(wù)器和你自己的移動(dòng)辦公oa隔離開來，那為什么要把它放在私有移動(dòng)辦公oa內(nèi)部，給黑客一個(gè)進(jìn)入你私有移動(dòng)辦公oa的機(jī)會(huì)呢？ 　　

　　如果你的Web服務(wù)器需要訪問數(shù)據(jù)庫(kù)或者私有移動(dòng)辦公oa中的其他資源，那么我建議你在你的防火墻和移動(dòng)辦公oa服務(wù)器之間放置一臺(tái)ISA服務(wù)器?；ヂ?lián)網(wǎng)用戶同ISA服務(wù)器進(jìn)行通信，而不是直接通過Web服務(wù)器訪問。ISA服務(wù)器將代理用戶和Web服務(wù)器之間的請(qǐng)求。你就能在Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器建立起一個(gè)IPSec 連接，并在Web服務(wù)器和ISA服務(wù)器之間建立起了一個(gè)SSL聯(lián)接。 　　

　　移動(dòng)辦公oa系統(tǒng)安全策略之包監(jiān)聽 　　

　　在你已經(jīng)采取了所有必要的步驟來保護(hù)經(jīng)過你的移動(dòng)辦公oa中的通信之后，我建議偶爾采用包監(jiān)聽來監(jiān)視移動(dòng)辦公oa通信。這僅僅是一個(gè)預(yù)防措施，因?yàn)樗鼛椭懔私庠谀愕囊苿?dòng)辦公oa中究竟發(fā)生了哪些類型的通信。如果你發(fā)現(xiàn)了意料不到的通信包類型，你就可以查找到這些包的來源。 　　

　　協(xié)議分析器的最大問題在于它可能被黑客所利用，成為黑客手中的利器。由于包監(jiān)聽的特性，我曾經(jīng)認(rèn)為不可能探測(cè)出誰在我的移動(dòng)辦公oa中進(jìn)行包監(jiān)聽。包監(jiān)聽僅僅是監(jiān)視線纜中發(fā)生的通信。由于包監(jiān)聽不改變通信包，那又怎么能夠知道誰在進(jìn)行監(jiān)聽呢？

　　其實(shí)檢查包監(jiān)聽比你想象的要容易得多。你所需要的僅僅是一臺(tái)機(jī)器作為誘餌。誘餌機(jī)器應(yīng)該是一臺(tái)除了你之外任何人都不知道它存在的工作站。確保你的誘餌機(jī)器有一個(gè)IP地址，但是不在域之中?，F(xiàn)在把誘餌機(jī)器連接到移動(dòng)辦公oa中，并讓它產(chǎn)生一些通信包。如果有人在監(jiān)聽移動(dòng)辦公oa。監(jiān)聽這就會(huì)發(fā)現(xiàn)這些由誘餌機(jī)器所發(fā)出的通信包。問題在于監(jiān)聽者會(huì)知道誘餌機(jī)器的IP地址，但是卻不知道它的主機(jī)名。通常，監(jiān)聽者會(huì)進(jìn)行一次DNS查找，試圖找到這臺(tái)機(jī)器的主機(jī)名。由于你是唯一知道這臺(tái)機(jī)器存在的人，沒有人會(huì)進(jìn)行DNS查找來尋找這臺(tái)機(jī)器。所以，如果你發(fā)現(xiàn)DNS日志中有人進(jìn)行DNS查找來查找你的誘餌機(jī)器，那么你就有理由懷疑這臺(tái)機(jī)器被利用來監(jiān)聽移動(dòng)辦公oa了。 　　

　　另一個(gè)你可以采取、用以阻止監(jiān)聽的步驟是用VLAN交換機(jī)替換掉所有現(xiàn)有的集線器。這些交換機(jī)在包的發(fā)送者和接受者創(chuàng)建虛擬移動(dòng)辦公oa。包不再經(jīng)過移動(dòng)辦公oa里的所有機(jī)器。它將直接從發(fā)送端發(fā)送到接受端。這意味著如果有監(jiān)聽者在監(jiān)聽你的移動(dòng)辦公oa，他就很難獲得有用的信息。

　　這種類型的交換機(jī)還有其他的優(yōu)點(diǎn)。對(duì)于一個(gè)標(biāo)準(zhǔn)的集線器，所有的節(jié)點(diǎn)都落在同一個(gè)域中。這就意味著如果你有100 Mbps的總帶寬，那么帶寬將在所有的節(jié)點(diǎn)之間進(jìn)行分配。但是VLAN交換機(jī)卻不是如此，每一個(gè)虛擬LAN都有專有的帶寬，它不需要進(jìn)行分享。這就意味著一臺(tái)100 Mbps交換機(jī)能夠同時(shí)處理好幾百M(fèi)bps的通信量，所有的通信都發(fā)生在不同的虛擬移動(dòng)辦公oa上。采用VLAN交換機(jī)能夠同時(shí)提高安全性和效率。

　　通過以上四個(gè)移動(dòng)辦公oa系統(tǒng)安全策略來布置你的網(wǎng)站，相信內(nèi)容想不安全都難。

【相關(guān)閱讀】

◆遵循網(wǎng)管軟件選擇標(biāo)準(zhǔn)　做好網(wǎng)管

◆移動(dòng)oa辦公系統(tǒng)維護(hù)常見問題及解決辦法

◆選擇好的移動(dòng)oa辦公系統(tǒng)系統(tǒng)軟件讓網(wǎng)管員變成防火員

◆掌握局域網(wǎng)維護(hù)優(yōu)化技巧做個(gè)優(yōu)秀網(wǎng)管