《管理信息化浙电办公自动化系统的安全控制策略》由会员分享,可在线阅读,更多相关《管理信息化浙电办公自动化系统的安全控制策略(11页珍藏版)》请在金锄头文库上搜索。
1、浙电办公自动化系统的安全控制策略一、引言办公自动化系统(即通常所说的OA系统)目前已在越来越多的企事业单位得到了应用与推广。随着OA系统使用量的增大、存放的数据增多,以及与业务管理更加紧密地结合,它的安全性就被提升到更加重要的位置。因此,如何做好办公自动化系统的安全控制工作就成了一个非常重要和紧迫的课题。本文以浙电OA系统为范例,讨论办公自动化系统在保障电子文件的安全性方面所采用的各种应对策略。浙江电力办公自动化系统(浙电OA)是一个充分利用先进的科技手段和通信技术,实现电子化、网络化管理的办公自动化系统,也是一个实现企业内部决策科学化的辅助决策系统。该系统从1999年开始在浙江电力全行业范围
2、内推广,到现在已经有100多家单位实现联网运行,各个联网单位内部实现了电子文件单轨制流转,所有联网单位之间都实现了电子文件的收发。目前在网上流转的应用包括了八个子系统、四十多个应用模块。省公司本部仅文档信息就有近十万条记录(98年后大多为全文信息),容量约为10GB。2001年、2002年两年,浙电OA系统连续在国内获得大奖,得到了各界专家、用户的一致好评,其中系统的安全性是得到重点推荐的特性之一。下面,我们就从电子文件的特性、安全技术等方面入手,来系统分析浙电OA的安全控制策略。二、电子文件特性分析浙电OA安全控制的核心内容是确保其产生的电子文件的完整性、可靠性和真实性。这里首先必须对电子文
3、件这一高科技产物的特性进行分析。我们认为,电子文件的特性主要有:(一)电子文件是数字化信息技术的产物。(二)电子文件对设备的依赖性。(三)电子文件载体的非直读性。(四)电子文件物理结构与逻辑结构的复杂性。(五)电子文件对元数据和背景信息的依赖性。(六)电子文件信息与载体的相分离性。电子文件所具有的特性充分说明了它与传统的纸质文件的区别,所以,它所面临的安全威胁也与以往纸质文件有很大的不同,这方面主要有:窃取信息、篡改信息、身份假冒、信息抵赖等。为了能够抵御这些安全威胁,在办公自动化系统的正常运行中必须采取相应的安全措施,以满足信息加密、身份认证、数据签名、信息完整性和不可抵赖性等安全需求。而要
4、实现这样的目标,我们认为,最有效的方法就是把各项安全措施细化到电子文件的各个元数据上。根据国家行业标准和国际惯例,电子文件的元数据可以划分为四个层次,即内容特征层、登记处理层、保管利用层和结构与背景信息层等,其中前三层主要针对单个电子文件的流转、保管,第四层是针对批量文件的保管、备份以及系统管理层的内容。通过电子文件元数据的有效划分,使我们很容易针对不同类型的元数据,制定出相应的安全策略和管理规范,从而把OA系统的安全管理落到实处。三、安全技术分析在分析了电子文件的特性之后,我们又对目前可以在办公自动化系统中采用的安全技术手段进行调研分析,认为主要有以下几种:(一)PKI技术。公共密钥基础架构
5、(Public Key Infrastructure,PKI),从字面上讲,就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI由公钥证书、证书分发机构(CA)以及对所涉及各方的合法性进行检查和验证的其它注册机构组成的一套系统。PKI技术是信息安全技术的核心,也是保障电子文件证据性、法律性的关键和基础的技术。它通过使用公钥加密技术保护开放网络上活动的安全,通过使用数字签名验证客户机和服务器的身份,能够提供使用、管理、及查找公钥证书的能力,从而可以有效解决系统中对敏感信息的机密性、真实性、完整性、不可否认性和存取控制等安全问题。(二)签署技术。对电子文件进行签署的目的在于证实该份文件确实出
6、自作者,其内容没有被他人进行任何改动。电子文件的签署技术一般包括证书式数字签名和手写式数字签名。数字签名的原理是:被发送的电子文件用某种HASH算法产生固定长度的数字摘要,发送方用自己的私钥对摘要进行加密,这就形成了数字签名。将原文和加密摘要同时传给对方,对方用发送方的公钥对摘要解密,同时对收到的文件用与发送方相同的HASH算法产生另一个摘要。由于数字摘要技术对于相同的数据信息进行HASH后,总是能得到同样的摘要;如果数据信息被修改,进行HASH后,其摘要必定与先前不同,不同信息的摘要相同的概率近乎0,所以只要将解密后摘要和新产生的摘要相互对比,如两者一致,则说明文件是由发送方发出的,并在传输
7、过程中信息没有被破坏或篡改过。(三)加密技术。采用加密技术可以确保电子文件内容的非公开性。电子文件的加密方法一般分为对称加密和非对称加密。非对称加密以RSA为代表,它是一种基于公钥体制的双密钥算法,这一算法的最大特点就是网络中的每一个加密通信者都有一对密钥:一个公开发布作为加密密钥,一个由用户妥善保管作为解密密钥,通讯双方无须事先交换密钥即可进行保密通讯。这一算法的另一特点是无法从一个密钥推断出另一个密钥,以及不能用加密密钥进行解密。RSA算法的安全性基于数论中大整数分解的困难性,其难度与密钥的位数相关。(四)身份验证。为了检查访问系统的用户是否真实、有效,对用户进行认证是OA系统安全保障的第
8、一道防线。(五)访问控制。通过对各个信息资源的访问“颗粒状”授权,判断用户是否对信息具有访问权、操作权。(六)防火墙。这也是一种访问控制技术,它是在内部网络与外部网络的分界点架设的网络安全设施,阻止外部用户对内部信息资源的非法访问,也可以阻止机要信息、专利信息从该机构的网络上非法输出。防火墙可以控制进、出两个方向的信息传输。防火墙的安全保障能力仅限于网络边界,它通过网络通信监控系统监测所有通过防火墙的数据流,凡符合事先制定的网络安全规定的信息允许通过,不符合的就拒之墙外,在网络层实施信息安全。(七)VPN技术。通过Internet将远程用户、分支机构和业务伙伴连成一个扩展的安全的企业广域网的新
9、兴的网络安全技术。它主要通过IPSec安全体系结构(IP Security),提供对IP协议或上层协议的安全保护,包括:数据源鉴别、数据完整性、防重传保护、信息保密、不可否认服务等, Internet宽带接入采用VPN技术解决OA移动办公,该技术无论在安全上还是在系统的运行效率上都是目前解决移动办公的一个方向。(八)防写措施。对流转中的电子文件设置合适的状态,当“编辑”状态时,允许用户修改,当文件处于“只读”状态时,用户只能读取信息,而不能对其做任何修改。另外,利用只读光盘(CDROM)、一次写入式光盘(WORM)等不可逆式记录介质也可以有效地防止用户更改电子文件内容,保持电子文件的原始性和真
10、实性。我们认为:上述技术措施对于证实电子文件内容的真实、可靠,保证电子文件在存储、传输过程中的安全、保密,防范对电子文件的非法访问和随意改动,都具有很好的效果。随着这些技术的成熟、普及和新技术的出现,电子文件的原始性和真实性可以得到更加可靠的认定和更为有效的保障。四、OA系统的安全策略分析通过对电子文件特性和安全技术的分析,下面我们就分别从应用层、系统层两个方面介绍办公自动化系统中可以采用的安全控制策略。(一)系统应用平台的安全策略浙电OA的系统平台是Lotus Domino/Notes R5,它的基础安全控制机制是依靠Domino的身份认证(Authentication)机制来实现的。首先,
11、Domino的身份认证提供了基于工业标准RSA的PKI,即层次化或平面化的验证字发放与验证、交叉验证体系。Domino 验证字权威(CA)在注册用户时,系统为新的用户或服务器产生两个RSA密钥对,一个是512位长的北美密钥(一般称为私钥,它只保存在用户的ID文件中),另一个是630位长的国际密钥(一般称为公钥,它保存在用户的ID文件及通讯录中);然后管理员会建立一个验证字(Certificate),并用验证者的私有密钥签名,用来保证验证字中的信息(用户名、口令、过期日期和其他默认选项)是准确的,已签名的验证字会被放置在ID文件中。当用户尝试访问服务器时,首先必须完成他与服务器之间的认证过程,而
12、这一过程完全依赖于保存在ID文件中的验证字在用户和服务器之间表明信任关系的“电子证书”。ID文件具有口令保护(可以是多重的),而且具有时效性,它包括:所有者的名称和Notes许可证号、两个公用和私有密钥对、两个用户验证字、每个上级验证者的验证字。浙电OA系统采取单组织、单域的体系结构,建立根验证字ZPEPC。在ZPEPC网络域中的任何一台Domino服务器和Notes客户机均需要在OA系统中注册,获得合法的标识符文件(即ID文件)。在根组织ZPEPC下,分设两类组织单元,即单位级(如杭州电力/ZPEPC)和服务器级(Servers/ZPEPC)。组织中的服务器和用户拥有基于它们的层次名。验证级
13、别的每一层都继承其验证者的结构名。如:组织级验证者ZPEPC有一个层次名“O=ZPEPC”,组织单元级验证者杭州电力的层次名为“OU=杭州电力/O=ZPEPC”,而张三则是“张三/办公室/杭州电力/ZPEPC”。ZPEPCServers / ZPEPC杭州电力/ZPEPCHZEPMA01/Servers/ZPEPC办公室/杭州电力/ZPEPC张三/办公室/杭州电力/ZPEPC图1(二)应用结构的安全策略我们这里所说的应用结构有两层意思:第一,从业务流程管理上看,OA系统用户应该有不同种类的区分和设置;第二,从业务管理范围上看上,同类OA用户只能处理本人业务范围内的电子文件。这两层意思在电子文件
14、管理的实施效果上讲应该与手工管理是一样。而我们完全可以通过在OA系统中对网络、Domino服务器、用户认证、数据库、视图/表单、文档、区段编辑者、隐藏段落、编辑域等各级应用层次进行访问权限的设置,以保证数据的安全性。从图2可以看出:最外一层限制访问Domino服务器所在的网络,最内一层涉及Domino文档内的域级别的安全性。编辑域隐藏段落区段编辑者文档视图/表单数据库用户认证服务器网络图2我们以收文管理的流程为例:1、 首先用户需要通过Domino系统身份认证过程,确认当前用户是否合法用户、验证字是否在有效期限内、用户是否允许访问这台服务器等。2、 用户登录到服务器后,要求访问收文库时,数据库
15、的存取权限控制(ACL)对用户的身份进行检查,判断用户是否能够访问这个数据库、对数据库具有怎样的权限(包括管理者、设计者、编辑者、作者、读者、存取者、不可存取者七大类)以及特定的安全权限和角色。3、 进入数据库后,用户只能打开有权访问的视图、创建有权访问表单的文档。浏览用户名包含在读者域内的收文。4、 对于数据库中的文档,包括两类特殊的域:读者域和作者域。只包括在有权执行读操作的读者域中的用户才能浏览中该收文,只有定义在写操作的作者域的用户才能编辑该收文。考虑到同样有权处理文件的用户也会有各自不同的权限,文档对关键字段及操作设置了隐藏条件,只有当合法用户满足条件时,才允许进行相应的处理。5、
16、为了保证文件的真实性、防止篡改,系统对收文的正文增加了一个特殊域,该域可以防止未授权用户修改、删除正文。6、 另外,考虑到领导处理意见的安全性、有效性,我们将领导的意见加以识别,设计不可修改的正式发表意见和可修改的暂未发表意见。(三)文件签署的安全策略提出文件签署的原因主要是因为在系统的运行过程中,用户并没有形成本地工作站的安全管理意识,特别是标识符文件(即ID文件)的安全管理意识。事实上,根据我们上面的分析知道,ID文件是整个办公自动化系统安全管理的第一步(身份认证)和通行证。但由于用户缺乏对ID文件安全管理意识,在日常工作中往往出现ID文件被窃取、口令丢失等现象。另外,一般OA系统中形成的电
