方案概述

在传统的办公模式中，办公信息主要通过纸介质进行传递的。而OA系统则将办公信息转化为电子信息，通过计算机网络高效地实现信息的共享、处理和流转，极大地提高了政府的工作效率。但正是由于信息的载体和处理方式发生了根本变化，导致传统办公模式和OA系统中对信息安全的要求及解决方法完全不同。

针对当前办公模式，数字通OA系统在设计中即考虑了周全的安全解决方案。

当前安全问题

• 移动设备（笔记本电脑等）和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素。
• 内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为。
• 违反规定将专网专用的计算机带出网络进入到其他网络。
• 网络出现病毒、蠕虫攻击等安全问题后，不能做到安全事件源的实时、快速、精确定位、远程阻断隔离操作。
• 大规模病毒（安全）事件发生后，网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节，无法做到事后分析和加强安全预警。
• 静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况。
• 大型网络系统中区域结构复杂，不能明确划分管理责任范围。
• 网络中计算机设备硬件设备繁多，不能做到精确统计。
• 服务器硬盘的损坏，系统崩溃、突然中断、木马病毒对文件的破坏导致数据出现问题。

当前网络类型

• 保密网：政府机关、军队、公安、保密部门的内部机密安全网络，一般采用专门的网络通道，要求具有绝对的内网隔离度。
• 内部专网：政府办公网、金融运营网及各系统重要的实时网络，该种网络一般为内部专用网络，此类网络同外部网络采取物理隔离的方式实现相互独立。
• 内部专网：政府办公网、金融运营网及各系统重要的实时网络，该种网络一般为内部专用网络，此类网络同外部网络采取物理隔离的方式实现相互独立。

解决方案

数字签名解决信息的不可否认性问题

数字签名的实现需要用户数字证书， OA系统中任何需要签名的环节都需要创建相应的数字签名，并且所有的数字签名信息都需要存入数据库保存，以备将来验证之用。

违规联网监测

内置违规联网监测功能，能够完全、准确地探测出非法接入及非法外联计算机设备的"违规联网"行为，并能对上述情况以及对离线的"拨号上网"等行为进行监测并阻断，保证网络中设备做到专机专用。

分配IP范围

可以通过预先设定合法网段，分配合法使用IP范围，此时无需提供外网IP地址，能够完全独立地监测在内部网络中是否存在"违规联网"状况，彻底杜绝了监测情况受电信网络设置上的影响。

设备安全管理

对网络中所有的联网设备进行安全管理，自动探测硬件信息及设备使用情况，提供对内存、CPU、硬盘等硬件属性信息变化监视、报警，对网络中计算机的管理更加严格化。

静态IP、MAC地址绑定

进行本地计算机静态IP同MAC地址绑定，提供设备IP变化报警。

多级区域管理

可配备多级区域管理器管理模式，支持多个不同区域的统一管理，并提供逐级上报模式。

预警安全隐患

通过安全信息统计分析，能够得到网络中主机运行的不安全因素，快速的定位存在安全隐患的机器，做到安全预警功能。

日志查看

以WEB日志方式查看用户信息、设备信息、IP分配情况、网络主机运行进程和报警信息。

智能备份

根据数据的更新频率定期的做数据备份（数据更新频繁则备份的间隔时间短），为防止OA服务器硬件的损坏，定期的做数据的异地备份（将数据备份在OA服务器之外的其他存储介质上）。

可靠身份认证

通过让用户采用USB-KEY的认证方式登录，在OA服务器中部署认证服务器，有效提高整体方案的安全性。

详细的文件访问审计记录

详细的文档操作记录，可记录操作的人员、时间、地点(计算机)、操作方式等，可用来追踪泄密渠道，也可用作电子取证。