四个移动oa办公系统系统安全策略加强内网安全防护

　　移动oa办公系统员在维护企业移动办公oa时都想要得到一个真正安全的移动办公oa，就必须关注5个重要的领域。这些领域包括周边防护，移动办公oa防护，应用防护，数据防护，和主机防护。在本文中，我将讨论移动办公OA系统安全策略，加强内网安全防护。

　　移动办公OA系统安全策略基础知识之什么是移动办公oa防护？ 　　

　　首先，移动办公oa防护的概念显得过于宽泛笼统。但是在这个领域内没有什么是多余或者是过于笼统的。移动办公oa防护解决了包括移动办公oa之间联接的问题，把所有的移动办公oa联接成一个整个的移动办公oa。移动办公oa防护并不解决诸如外部防火墙或者拨号联接的问题，周边安全性包含了这些问题。移动办公oa防护也不涵盖单个的服务器或者工作站的问题，那是属于主机防护的问题。移动办公oa防护涵盖了包括协议和路由器等问题。 　　

　　移动办公oa系统安全策略——内部防火墙 　　

　　移动办公oa防护不包含外部防护墙，但这并不意味着它完全不涉及防火墙。相反，我所建议的移动办公oa防护的第一步就是在可能的情况下使用内部防火墙。内部防火墙同外部防火墙一样是安全的基础。两者主要的区别在于内部防火墙的主要工作是保护你的机器不受内部通信的伤害。有很多使用内部防火墙的理由。 　　

　　首先，想象一下，如果一个黑客或者某种病毒以某种方式控制了你的外部防火墙，那么他就可以不受防火墙阻碍地同内部移动办公oa进行通信。通常，这意味着你的移动办公oa对于外部世界完全敞开。但是，如果你有内部防火墙，那么内部防火墙会阻止从外部防火墙里溜进来的恶意的数据包。 　

　　移动办公oa系统安全策略之移动办公oa通信加密 　　

　　我建议的下一个步骤对于你的移动办公oa通信进行加密。只要可能的话，就要采用IPSec。因此，你需要了解IPSec安全性。

　　如果你配置一台机器使用IPSec，你应该对于进行双向加密。如果你让IPSec要求加密，那么当其他的机器试图连接到你的机器上的时候，就会被告之需要加密。如果其他机器有IPSec加密的能力，那么在通信建立的开始就能够建立一个安全的通信通道。另一方面，如果其他机器没有IPSec加密的能力，那么通信进程就会被拒绝，因为所要求的加密没 有实现。 　　

　　请求加密选项则略有不同。当一个机器请求联接，它也会要求加密。如果两台机器都支持IPSec机密，那么就会在两台机器之间建立起一个安全的通路，通信就开始了。如果其中一台机器不支持IPSec加密，那么通信进程也会开始，但是数据却没有 被加密。 　　

　　由于这个原因，我提供一些建议。首先，我建议把一个站点内所有的服务器放在一个安全的移动办公oa中。这个移动办公oa应该完全同平常的移动办公oa分开。用户需要访问的每一台服务器都应该有两块网卡，一个联接到主要移动办公oa，另一个联接到私有服务器移动办公oa。这个服务器移动办公oa应该只包含服务器，而且应该有专用的集线器或者交换机。 　　

　　这样做，你需要在服务器之间建立专用的骨干网。所有的基于服务器的通信，比如RPC通信或者是复制所使用的通信就能够在专用骨干网里进行。这样，你就能够保护基于移动办公oa的通信，你也能够提高主要移动办公oa的可用带宽的数量。 　　

　　接下来，我推荐使用IPSec。对于只有服务器的移动办公oa，应该要求IPSec加密。毕竟这个移动办公oa里只有服务器，所以除非你有UNIX、Linux、Macintosh或者其他非微软的服务器，你的服务器没有理由不支持IPSec。因此你可以很放心地要求IPSec加密。 　　

　　现在，对于连接到重要移动办公oa上的所有工作站和服务器，你应该让机器要求加密。这样，你就能够在安全性和功能性之间获得一个优化平衡。

　　不幸的是，IPSec不能区分在多台家庭电脑上移动办公oa适配器。因此，除非一台服务器是处在服务器移动办公oa之外，你可能会需要使用请求加密选项 ，否则其他的客户端就不能够访问该服务器。 　　

　　当然IPSec并不是你移动办公oa通信所能选择的唯一加密方式。你还必须考虑你要如何保护通过你的移动办公oa周边以及通向你无线移动办公oa的通信。 　　

　　今天谈论无线加密还有点困难，因为无线移动办公oa设备还在发展。大部分移动OA办公系统员都认为无线移动办公oa是不安全的，因为移动办公oa通信包是在开放空间传播的，任何一个人都可以用带有无线NIC卡的笔记本电脑截获这些通信包。

　　虽然无线移动办公oa确实存在一些风险，但是从某种角度来说，无线移动办公oa甚至比有线移动办公oa更安全。这是因为无线通信主要的加密机制是WEP加密。WEP加密从40位到152位甚至更高。实际的长度取决于最低的通信参与者。例如，如果你的接入点支持128位WEP加密，但是你的一个无线移动办公oa用户设备只支持64位WEP加密，那么你就只能获得64位加密。但是目前基本上所有的无线设备都至少支持128位加密。 　

　　很多管理员并没有意识到的事情是，虽然无线移动办公oa可以使用WEP加密，但是这并不是他们能够使用的唯一的加密方式。WEP加密仅仅是对所有通过移动办公oa的通信进行加密。它对于自己所加密的是何种类型的数据并不关心。因此，如果你已经使用了IPSec来加密数据，那么WEP就能够对已经加密的数据进行第二重加密。

　　移动办公oa系统安全策略之移动办公oa隔离

　　如果你的公司非常大，那么你很有可能有一台Web服务器作为公司网站的主机。如果这台移动办公oa服务器不需要访问后台数据库或者你私有移动办公oa中的其他资源的话，那么就没有理由把它放在你的私有移动办公oa中。既然你可以把这台服务器和你自己的移动办公oa隔离开来，那为什么要把它放在私有移动办公oa内部，给黑客一个进入你私有移动办公oa的机会呢？ 　　

　　如果你的Web服务器需要访问数据库或者私有移动办公oa中的其他资源，那么我建议你在你的防火墙和移动办公oa服务器之间放置一台ISA服务器。互联网用户同ISA服务器进行通信，而不是直接通过Web服务器访问。ISA服务器将代理用户和Web服务器之间的请求。你就能在Web服务器和数据库服务器建立起一个IPSec 连接，并在Web服务器和ISA服务器之间建立起了一个SSL联接。 　　

　　移动办公oa系统安全策略之包监听 　　

　　在你已经采取了所有必要的步骤来保护经过你的移动办公oa中的通信之后，我建议偶尔采用包监听来监视移动办公oa通信。这仅仅是一个预防措施，因为它帮助你了解在你的移动办公oa中究竟发生了哪些类型的通信。如果你发现了意料不到的通信包类型，你就可以查找到这些包的来源。 　　

　　协议分析器的最大问题在于它可能被黑客所利用，成为黑客手中的利器。由于包监听的特性，我曾经认为不可能探测出谁在我的移动办公oa中进行包监听。包监听仅仅是监视线缆中发生的通信。由于包监听不改变通信包，那又怎么能够知道谁在进行监听呢？

　　其实检查包监听比你想象的要容易得多。你所需要的仅仅是一台机器作为诱饵。诱饵机器应该是一台除了你之外任何人都不知道它存在的工作站。确保你的诱饵机器有一个IP地址，但是不在域之中。现在把诱饵机器连接到移动办公oa中，并让它产生一些通信包。如果有人在监听移动办公oa。监听这就会发现这些由诱饵机器所发出的通信包。问题在于监听者会知道诱饵机器的IP地址，但是却不知道它的主机名。通常，监听者会进行一次DNS查找，试图找到这台机器的主机名。由于你是唯一知道这台机器存在的人，没有人会进行DNS查找来寻找这台机器。所以，如果你发现DNS日志中有人进行DNS查找来查找你的诱饵机器，那么你就有理由怀疑这台机器被利用来监听移动办公oa了。 　　

　　另一个你可以采取、用以阻止监听的步骤是用VLAN交换机替换掉所有现有的集线器。这些交换机在包的发送者和接受者创建虚拟移动办公oa。包不再经过移动办公oa里的所有机器。它将直接从发送端发送到接受端。这意味着如果有监听者在监听你的移动办公oa，他就很难获得有用的信息。

　　这种类型的交换机还有其他的优点。对于一个标准的集线器，所有的节点都落在同一个域中。这就意味着如果你有100 Mbps的总带宽，那么带宽将在所有的节点之间进行分配。但是VLAN交换机却不是如此，每一个虚拟LAN都有专有的带宽，它不需要进行分享。这就意味着一台100 Mbps交换机能够同时处理好几百Mbps的通信量，所有的通信都发生在不同的虚拟移动办公oa上。采用VLAN交换机能够同时提高安全性和效率。

　　通过以上四个移动办公oa系统安全策略来布置你的网站，相信内容想不安全都难。

【相关阅读】

◆遵循网管软件选择标准　做好网管

◆移动oa办公系统维护常见问题及解决办法

◆选择好的移动oa办公系统系统软件让网管员变成防火员

◆掌握局域网维护优化技巧做个优秀网管