四個移動oa辦公系統(tǒng)系統(tǒng)安全策略加強內網安全防護

　　移動oa辦公系統(tǒng)員在維護企業(yè)移動辦公oa時都想要得到一個真正安全的移動辦公oa，就必須關注5個重要的領域。這些領域包括周邊防護，移動辦公oa防護，應用防護，數(shù)據防護，和主機防護。在本文中，我將討論移動辦公OA系統(tǒng)安全策略，加強內網安全防護。

　　移動辦公OA系統(tǒng)安全策略基礎知識之什么是移動辦公oa防護？ 　　

　　首先，移動辦公oa防護的概念顯得過于寬泛籠統(tǒng)。但是在這個領域內沒有什么是多余或者是過于籠統(tǒng)的。移動辦公oa防護解決了包括移動辦公oa之間聯(lián)接的問題，把所有的移動辦公oa聯(lián)接成一個整個的移動辦公oa。移動辦公oa防護并不解決諸如外部防火墻或者撥號聯(lián)接的問題，周邊安全性包含了這些問題。移動辦公oa防護也不涵蓋單個的服務器或者工作站的問題，那是屬于主機防護的問題。移動辦公oa防護涵蓋了包括協(xié)議和路由器等問題。 　　

　　移動辦公oa系統(tǒng)安全策略——內部防火墻 　　

　　移動辦公oa防護不包含外部防護墻，但這并不意味著它完全不涉及防火墻。相反，我所建議的移動辦公oa防護的第一步就是在可能的情況下使用內部防火墻。內部防火墻同外部防火墻一樣是安全的基礎。兩者主要的區(qū)別在于內部防火墻的主要工作是保護你的機器不受內部通信的傷害。有很多使用內部防火墻的理由。 　　

　　首先，想象一下，如果一個黑客或者某種病毒以某種方式控制了你的外部防火墻，那么他就可以不受防火墻阻礙地同內部移動辦公oa進行通信。通常，這意味著你的移動辦公oa對于外部世界完全敞開。但是，如果你有內部防火墻，那么內部防火墻會阻止從外部防火墻里溜進來的惡意的數(shù)據包。 　

　　移動辦公oa系統(tǒng)安全策略之移動辦公oa通信加密 　　

　　我建議的下一個步驟對于你的移動辦公oa通信進行加密。只要可能的話，就要采用IPSec。因此，你需要了解IPSec安全性。

　　如果你配置一臺機器使用IPSec，你應該對于進行雙向加密。如果你讓IPSec要求加密，那么當其他的機器試圖連接到你的機器上的時候，就會被告之需要加密。如果其他機器有IPSec加密的能力，那么在通信建立的開始就能夠建立一個安全的通信通道。另一方面，如果其他機器沒有IPSec加密的能力，那么通信進程就會被拒絕，因為所要求的加密沒 有實現(xiàn)。 　　

　　請求加密選項則略有不同。當一個機器請求聯(lián)接，它也會要求加密。如果兩臺機器都支持IPSec機密，那么就會在兩臺機器之間建立起一個安全的通路，通信就開始了。如果其中一臺機器不支持IPSec加密，那么通信進程也會開始，但是數(shù)據卻沒有 被加密。 　　

　　由于這個原因，我提供一些建議。首先，我建議把一個站點內所有的服務器放在一個安全的移動辦公oa中。這個移動辦公oa應該完全同平常的移動辦公oa分開。用戶需要訪問的每一臺服務器都應該有兩塊網卡，一個聯(lián)接到主要移動辦公oa，另一個聯(lián)接到私有服務器移動辦公oa。這個服務器移動辦公oa應該只包含服務器，而且應該有專用的集線器或者交換機。 　　

　　這樣做，你需要在服務器之間建立專用的骨干網。所有的基于服務器的通信，比如RPC通信或者是復制所使用的通信就能夠在專用骨干網里進行。這樣，你就能夠保護基于移動辦公oa的通信，你也能夠提高主要移動辦公oa的可用帶寬的數(shù)量。 　　

　　接下來，我推薦使用IPSec。對于只有服務器的移動辦公oa，應該要求IPSec加密。畢竟這個移動辦公oa里只有服務器，所以除非你有UNIX、Linux、Macintosh或者其他非微軟的服務器，你的服務器沒有理由不支持IPSec。因此你可以很放心地要求IPSec加密。 　　

　　現(xiàn)在，對于連接到重要移動辦公oa上的所有工作站和服務器，你應該讓機器要求加密。這樣，你就能夠在安全性和功能性之間獲得一個優(yōu)化平衡。

　　不幸的是，IPSec不能區(qū)分在多臺家庭電腦上移動辦公oa適配器。因此，除非一臺服務器是處在服務器移動辦公oa之外，你可能會需要使用請求加密選項 ，否則其他的客戶端就不能夠訪問該服務器。 　　

　　當然IPSec并不是你移動辦公oa通信所能選擇的唯一加密方式。你還必須考慮你要如何保護通過你的移動辦公oa周邊以及通向你無線移動辦公oa的通信。 　　

　　今天談論無線加密還有點困難，因為無線移動辦公oa設備還在發(fā)展。大部分移動OA辦公系統(tǒng)員都認為無線移動辦公oa是不安全的，因為移動辦公oa通信包是在開放空間傳播的，任何一個人都可以用帶有無線NIC卡的筆記本電腦截獲這些通信包。

　　雖然無線移動辦公oa確實存在一些風險，但是從某種角度來說，無線移動辦公oa甚至比有線移動辦公oa更安全。這是因為無線通信主要的加密機制是WEP加密。WEP加密從40位到152位甚至更高。實際的長度取決于最低的通信參與者。例如，如果你的接入點支持128位WEP加密，但是你的一個無線移動辦公oa用戶設備只支持64位WEP加密，那么你就只能獲得64位加密。但是目前基本上所有的無線設備都至少支持128位加密。 　

　　很多管理員并沒有意識到的事情是，雖然無線移動辦公oa可以使用WEP加密，但是這并不是他們能夠使用的唯一的加密方式。WEP加密僅僅是對所有通過移動辦公oa的通信進行加密。它對于自己所加密的是何種類型的數(shù)據并不關心。因此，如果你已經使用了IPSec來加密數(shù)據，那么WEP就能夠對已經加密的數(shù)據進行第二重加密。

　　移動辦公oa系統(tǒng)安全策略之移動辦公oa隔離

　　如果你的公司非常大，那么你很有可能有一臺Web服務器作為公司網站的主機。如果這臺移動辦公oa服務器不需要訪問后臺數(shù)據庫或者你私有移動辦公oa中的其他資源的話，那么就沒有理由把它放在你的私有移動辦公oa中。既然你可以把這臺服務器和你自己的移動辦公oa隔離開來，那為什么要把它放在私有移動辦公oa內部，給黑客一個進入你私有移動辦公oa的機會呢？ 　　

　　如果你的Web服務器需要訪問數(shù)據庫或者私有移動辦公oa中的其他資源，那么我建議你在你的防火墻和移動辦公oa服務器之間放置一臺ISA服務器。互聯(lián)網用戶同ISA服務器進行通信，而不是直接通過Web服務器訪問。ISA服務器將代理用戶和Web服務器之間的請求。你就能在Web服務器和數(shù)據庫服務器建立起一個IPSec 連接，并在Web服務器和ISA服務器之間建立起了一個SSL聯(lián)接。 　　

　　移動辦公oa系統(tǒng)安全策略之包監(jiān)聽 　　

　　在你已經采取了所有必要的步驟來保護經過你的移動辦公oa中的通信之后，我建議偶爾采用包監(jiān)聽來監(jiān)視移動辦公oa通信。這僅僅是一個預防措施，因為它幫助你了解在你的移動辦公oa中究竟發(fā)生了哪些類型的通信。如果你發(fā)現(xiàn)了意料不到的通信包類型，你就可以查找到這些包的來源。 　　

　　協(xié)議分析器的最大問題在于它可能被黑客所利用，成為黑客手中的利器。由于包監(jiān)聽的特性，我曾經認為不可能探測出誰在我的移動辦公oa中進行包監(jiān)聽。包監(jiān)聽僅僅是監(jiān)視線纜中發(fā)生的通信。由于包監(jiān)聽不改變通信包，那又怎么能夠知道誰在進行監(jiān)聽呢？

　　其實檢查包監(jiān)聽比你想象的要容易得多。你所需要的僅僅是一臺機器作為誘餌。誘餌機器應該是一臺除了你之外任何人都不知道它存在的工作站。確保你的誘餌機器有一個IP地址，但是不在域之中。現(xiàn)在把誘餌機器連接到移動辦公oa中，并讓它產生一些通信包。如果有人在監(jiān)聽移動辦公oa。監(jiān)聽這就會發(fā)現(xiàn)這些由誘餌機器所發(fā)出的通信包。問題在于監(jiān)聽者會知道誘餌機器的IP地址，但是卻不知道它的主機名。通常，監(jiān)聽者會進行一次DNS查找，試圖找到這臺機器的主機名。由于你是唯一知道這臺機器存在的人，沒有人會進行DNS查找來尋找這臺機器。所以，如果你發(fā)現(xiàn)DNS日志中有人進行DNS查找來查找你的誘餌機器，那么你就有理由懷疑這臺機器被利用來監(jiān)聽移動辦公oa了。 　　

　　另一個你可以采取、用以阻止監(jiān)聽的步驟是用VLAN交換機替換掉所有現(xiàn)有的集線器。這些交換機在包的發(fā)送者和接受者創(chuàng)建虛擬移動辦公oa。包不再經過移動辦公oa里的所有機器。它將直接從發(fā)送端發(fā)送到接受端。這意味著如果有監(jiān)聽者在監(jiān)聽你的移動辦公oa，他就很難獲得有用的信息。

　　這種類型的交換機還有其他的優(yōu)點。對于一個標準的集線器，所有的節(jié)點都落在同一個域中。這就意味著如果你有100 Mbps的總帶寬，那么帶寬將在所有的節(jié)點之間進行分配。但是VLAN交換機卻不是如此，每一個虛擬LAN都有專有的帶寬，它不需要進行分享。這就意味著一臺100 Mbps交換機能夠同時處理好幾百Mbps的通信量，所有的通信都發(fā)生在不同的虛擬移動辦公oa上。采用VLAN交換機能夠同時提高安全性和效率。

　　通過以上四個移動辦公oa系統(tǒng)安全策略來布置你的網站，相信內容想不安全都難。

【相關閱讀】

◆遵循網管軟件選擇標準　做好網管

◆移動oa辦公系統(tǒng)維護常見問題及解決辦法

◆選擇好的移動oa辦公系統(tǒng)系統(tǒng)軟件讓網管員變成防火員

◆掌握局域網維護優(yōu)化技巧做個優(yōu)秀網管