办公自动化(Office Automation),简称OA。随着信息化的不断推进,OA系统日益成为机关单位内部信息收集、汇总、流转、组织、共享、传播的主渠道。近年来,一些机关单位利用连接互联网的OA系统存储、处理、传递涉密文件,导致国家秘密泄露或存在严重泄密隐患的事件时有发生,为我们敲响了警钟。
OA系统泄密隐患存在于日常应用中
当前,机关单位对于OA系统的依赖性越来越强。一些机关单位罔顾不得在连接互联网的计算机中存储、处理涉密文件资料的规定,贪图方便,利用连接互联网的OA系统起草、审批、制发、扫描、传递涉密文件资料,造成严重泄密隐患。
一是连接互联网的OA系统服务器存在受攻击的可能。OA系统与互联网相连接,面临着严重的安全威胁,入侵者每天都在试图闯入网络节点,若OA系统服务器中存储有涉密文件资料,这些涉密文件资料就有可能被入侵者窃取。
二是通过连接互联网的OA系统传输的文件资料有可能被截获。当前,黑客通过一些高技术手段,设法在公网线路上做些手脚,很容易获得在网上传输的数据信息。此外,有一些OA系统终端计算机通过无线网络的形式访问OA系统服务器,并传输、下载文件资料。由于无线网络采用公共电磁波作为载体,电磁波能够穿透天花板、玻璃、楼层、墙壁等物体,在一个无线访问点所服务的区域中,任何一个无线用户都可以接收到客户端传来的数据。
三是网络终端隐患多。由于OA系统中文件资料存储在连接互联网的服务器中,任何一个互联网终端都可以访问,也可以下载。如果使用OA系统传递涉密信息,将导致该涉密信息的扩散范围难以界定,更难以采取补救措施。应当引起注意的是,由于计算机在分辨用户时认“码”不认“人”,那些未经授权的非法用户或窃密者都有可能通过冒名顶替、长期试探或其他方法掌握用户口令,然后进入OA系统进行窃密。
OA系统泄密典型案例:
疏于管理造成严重后果有关部门在检查中发现,某集团公司(属地方国企)的一家下属公司在连接互联网的OA系统服务器中存储了6份涉密文件资料,当地保密行政管理部门立即前往该公司核查。
OA系统保密要求:密织多道防线筑牢安全防火墙
今年7月1日开始实施的《互联网政务应用安全管理规定》(以下简称《规定》)。《规定》所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。作为OA系统实质上也是属于互联网政务应用的一种,所以可以参照此《规定》,做好OA系统相关保密工作。
访问控制是保护网络安全的一项基础和重要措施,决定了哪些用户或设备可以访问哪些资源,以及以何种方式访问。互联网政务应用存储大量高价值数据,相关功能的操作权限也很敏感,故实施访问控制十分必要。
面向机关事业单位工作人员使用的OA系统,由于其使用人员相对固定,设置访问控制策略,对接入的IP地址段或设备实施访问限制,可有效防范外部入侵。同时,鉴于机关事业单位工作人员在境外使用互联网政务应用时,账号和密码容易被窃取、被恶意利用,如果确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。
二是机关事业单位委托外包单位开展OA系统应用开发和运维时,应当加强对互联网政务应用外包单位和人员的安全管理。首先,在选择外包单位时,应当选择具备一定技术实力和安全保障能力的单位。其次,以合同等手段明确外包单位应当履行的网络安全防护、及时响应和处理安全事件、定期安全评估和审计等网络和数据安全责任,并加强日常监督管理和考核问责。再次,是督促外包单位严格按照约定使用、存储、处理数据,确保数据安全性和完整性。另外,未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
三是OA系统开发阶段产生的安全风险具有持续性和隐蔽性,有可能在软件的全生命周期中留下安全隐患,严重危害互联网政务应用的安全运行。因此,应当加强互联网政务应用的开发安全管理,在软件开发的需求分析、设计、编码、测试、部署和维护等各个阶段,均采取安全检测和防护措施。特别是针对大量使用开源代码等外部代码可能带来的安全风险,应当组织开展代码安全检测,及时发现代码中存在的安全漏洞并及时修复,从源头上提升互联网政务应用的安全性。
四是对与人身财产安全、社会公共利益等相关的OA系统,应当采取身份认证措施。第一,多因素鉴别。要求用户在登录时提供两种或两种以上的验证因素(如口令、指纹、手机验证码等),以证明其身份。第二,系统超时退出。在用户一段时间不活跃后,自动结束会话并强制用户账号为退出状态,以防止其他人利用用户的已登录状态进行非法操作。第三,限制登录失败次数。在用户连续多次输入错误的身份验证信息后,系统暂时锁定该账号或采取其他措施,以防止暴力破解或猜测口令等攻击手段。第四,账号与终端绑定。将账号与特定的设备或终端进行绑定,使得该账号只能在指定的设备或终端上登录,以防止账号被盗用后在其他设备上进行非法操作。
五是加强保密教育管理。各OA使用单位要加强对领导干部、涉密人员、公文处理人员以及OA使用人员的保密宣传教育和警示教育。进一步加强电子文档和涉密载体制作、收发、传递、使用、保存和销毁的全流程、全生命周期保密管理,严禁将涉密文件上传至OA系统。
来源:国家保密局网站
