电子文档安全管理方案办公网安全解决 方案Word文档下载推荐.docx
《电子文档安全管理方案办公网安全解决 方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《电子文档安全管理方案办公网安全解决 方案Word文档下载推荐.docx(30页珍藏版)》请在冰豆网上搜索。
离线方式使用受控文档时,依赖于用户所具有的USB-KEY完成身份认证与内容解密。
离线方式无需支持用户打印与编辑文档权限,通常是只读权限,必要时,需要控制使用次数或使用终端。
2.1.5预警、审记与追踪
系统要综合运用多种保护技术,支持在文档使用时对用户的非法行为进行报警。
系统要具备审记和追踪功能,可以依据多种手段对用户的电子文件使用行为进行审记,在必要的情况下,依照相关规定对对用户操作进行取证。
能够通过技术手段对电子文件的使用情况、传播流程进行追踪,以有效防范信息失泄密情况的发生。
2.1.6权限管理
系统要提供便利的电子文件权限分发、配置和回收机制。
支持在必要的时候对已经下发的权限进行更改或回收。
在特殊情况下,能够完成对电子文件的销毁。
2.1.7策略管理
策略的运用应该构成系统应用的核心。
系统应该具有良好的策略管理机制,从而支持整个系统在能够方便、灵活的满足用户不同层面、复杂多变需求的同时,具有非常好的扩充性。
2.2主要技术指标需求
2.2.1常规效劳能力
系统应具有电子文件管理相关的常规效劳能力,包括文档的平安录入、自动化归档、受控分发和使用等,可以支持Word、PowerPoint、Excel、PDF等格式文档。
2.2.2集成能力
系统应建立在统一的开发平台和接口标准之上,具有强大的与其它应用系统相结合使用的能力;
同时应支持通过二次开发接口或其它方式,构建多平台联合效劳体系,形成广泛使用、灵活集成、扩展性好的综合性系统。
2.2.3访问控制能力
粗粒度访问控制用来与我所组织机构、人员分工、职级别等管理相关信息对应,完成使用者是否有权存取电子文件的访问控制;
粗粒度访问控制应依托于认证中心所发放的数字证书完成强身份认证;
细粒度访问控制除完成强身份认证外,还要依托认证中心与系统中定义的各种证书完成加/解密、审记/追踪操作,提供普密级以上的平安支持。
2.3技术指标需求定性描述
在实际应用环境下,经过完善配置的系统应可实现如下技术指标:
1.平安管理所支持的文件格式:
Word、PowerPoint、Excel、PDF
2.所支持客户端类型:
Windows2000+SP4、WindowsXP、Windows2003
3.支持的管理模式:
基于组的用户管理或基于角色的用户管理(单项选择)
4.粗粒度控制包括:
禁止使用、共享使用
5.细粒度控制包括:
禁止使用、只读、打印、编辑、使用次数、打印次数限制、使用时间限制、使用地点限制
6.支持离线受限使用,保证离线文档正确解密并受控使用。
离线使用时,不要求授与打印权限,不要求具有编辑权限,但需要支持使用终端控制和使用次数
7.支持用户数量≥5,000人
8.平均故障间隔时间(MTBF)≥10000小时
9.平均故障维修时间(MTTR)≤30分钟
10.典型配置下效劳支持能力:
1)支持最少1000名客户并发在线使用;
2)峰值处理能力≥100次请求/秒;
3)每日效劳能力≥10万人次;
4)每日最高效劳请求处理能力≥100万次;
5)每日最高审记行为记录≥50万条。
11.网络兼容性:
支持10M、100M和1000M以太网,支持TCT/IP协议
12.
13.数据库兼容性:
支持Oracle9i、MicrosoftSQLServer
2.4其它需求
2.4.1平安兼容性
出于平安及密码管理的考虑,对于系统内部所使用的密码设备〔含密码根底设施和密码构件〕的调用,都需要依照国家相应标准进行标准化、兼容化设计,以使所有密码相关部件满足不同层次密码管理与使用的需求,并在需求发生变化时,使系统最小程度修改的根底上就能够进行运行使用。
2.4.2可视化管理
系统的所有子系统应该采用统一的综合可视化管理界面,实现对整个应用系统的高实时性、高易用性的监控和管理。
2.4.3系统监控
出于可靠性考虑,对于系统内部的所有硬件设备、网络、以及应用程序必须进行实时监控,尽早发现和解决任何故障,以便系统最大程度上能够正常运行。
3系统实现原那么
基于系统的需求和特征,我们认为从技术研发和工程实施角度来讲,其实现应该遵循以下原那么。
3.1紧贴用户实际需求,提供切实可行的管理手段
电子文件格式众多,应用环境复杂,用户使用与操作习惯各异,而且用户数量巨大,不可能强行要求用户改变其习惯或遵守某种硬性规定来适应系统,只能由系统来充分考虑用户的实际需求,适应用户。
3.2按照密码统管思想统一设计,确保互联互通
按照密码统管的思想,依托已有的标准化密码根底设施,构建统一的底层密码支持平台,坚持对密码设备与算法的严格要求,确保一致性,确保系统在不同应用平台下使用时的互联互通。
3.3采用成熟技术,充分利用资源
借鉴国内其它大型系统开发的成功经验,尽量采用成熟技术,系统主要设备和支撑软件均使用主流产品,以提高系统可靠性,缩短研制周期。
3.4关键技术自主开发
系统所涉及的关键技术,包括适合需求的权限描述语言设计技术、密码管理与应用技术等,需要坚持自主开发的原那么,防止在平安管理与控制上不能深入底层,发生受制于人的情况。
3.5适应开展特点,具备集成与扩充能力
系统设计中要充分考虑信息化系统开展的需要,系统建设中要积累具备根底功能、相对独立的开发平台技术,将与其它系统结合应用的支持做为扩展性的重点。
系统功能可灵活配置,对外互连接口丰富易用,可依具体应用形式动态调整或以很小的代价集成,以适应系统未来功能更新、升级换代、构建多平台联合效劳体系的需要。
3.6松散耦合性设计
由于待建系统的对硬件、软件、网络、存储等各方面都有很高的要求,所以在整体方案设计过程中,应尽量降低各个层面之间的依赖性,使它们之间相对独立。
松散耦合性设计会增强整个系统的可扩展性,利于系统各个层面的维护和升级。
例如操作系统的选择不应依赖于效劳器的硬件结构,这样未来对效劳器的升级不会影响到整个系统。
又如软件架构的设计应独立于硬件和操作系统平台,等等。
3.7标准化、标准化
技术标准标准化有利于提高设计开发的效率,保持系统的可扩展性。
在系统设计与实现中应采用目前IT领域的一些成熟标准,如:
1)以XML做为信息交换传输的标准格式
2)以MQ做为异步消息传递的标准机制
3)以SOAP/WebService做为网络间效劳调用的标准
4)以J2EE做为分布式系统运行环境
4总体技术方案
4.1系统架构
4.1.1整体组成
系统整体结构组成的逻辑示意图如图4-1所示。
虚线内的部份是系统平台自身所包括的部件,从整体上表示了内部部件间的逻辑层次和关系;
虚线外的部份是已有〔或在建〕应用及系统所涉及的用户,表示了系统平台外部的应用需求调用与系统平台之间的逻辑关系。
综合管控中心是系统平台的核心部件,负责响应用户管理效劳器和授权效劳器的请求,在密码运算和认证协议的支持下,完成用户初始化、用户角色定义、系统策略及用户自定义策略生成、电子文件归档存储等功能。
综合管控中心是唯一的,它向所有的用户管理效劳器和授权效劳器提供效劳,其间通过平安的信道进行连接。
综合管控中心后台需要数据库与目录效劳的支持,用来存储数字内容、平安策略、用户组织结构及角色定义等信息。
综合管控中心获得认证中心CA的签名证书后才能为用户所接受。
审记/追踪平台是系统平台的重要组成部份,其对所有的用户认证过程、满足策略定义要求的使用行为和重要事件进行必要的记录并提供丰富的审记与追踪手段,以便与行政管理等传统管理方式协作,形成对违规行为追究处分的威慑,进一步提高系统的平安性。
图41系统整体组成
用户管理效劳器针对具体应用设置,接受综合管控中心统一管理,一般情况下一个具体应用只设立一个用户管理效劳器。
用户管理效劳器用来规划所属应用人员的组织结构,定义用户角色,将用户身份与用户代理相绑定,从而支持内部的身份认证,为访问控制的实施打下根底,为审记/追踪提供底层的不可否认性支持。
授权效劳器针对具体应用设置,接受综合管控中心统一管理,一个具体应用可以设立多个授权效劳器。
授权效劳器支持集群,可以满足大量用户的并发请求需要。
授权效劳器的功能是完成客户端平安代理所提出的提交数字内容、获取数字内容、获取数字内容使用许可证等请求,具体实现粗/细粒度访问控制策略设置与应用。
它接受客户端应用程序的调用,需要与用户代理相结合完成一系列复杂的密码变换,执行多步的平安协议以平安、正确、可信的将策略应用到数字内容,或获取所需要的数字内容使用权。
授权效劳器是系统的关键部件。
用户代理是系统引入的用来标识或绑定用户真实身份的密码对象,它可以是USB-Key,也可以是加密卡。
只要能完成用户私钥的平安存储、具有独立加/解密运算功能的实体都可以做为用户代理。
用户代理经认证中心CA的签名后有效。
客户端平安代理面向所有客户端应用程序提供效劳,它负责与用户代理交互,利用其加/解密运算能力完成一系列复杂的密码变换,同时与授权效劳器通信完成用户身份认证、策略生成、策略应用、加/解密数字内容等实质性工作。
客户端平安代理与客户端应用程序相配合,保证数字内容的平安、可控使用,是系统的关键部件。
客户端应用程序具体完成电子文件的编辑、归档和使用工作,它可以是通用常规应用软件,也可以是配合系统使用的专用软件。
无论采用哪种形式,其必须保证以某种技术手段与客户端平安代理相关联并完成相互认证,同时忠实的将用户所定义的平安策略应用到数字内容,使数字内容受到高强度的加密保护;
或按照策略定义的使用要求,保证用户平安、可控的使用数字内容。
认证中心(CA)、RA是标准化CA中心的有机组成部份,整个系统在密码根底设施使用上接受其管理,由其签署证书才能进行综合管控中心的合理部署。
同样,客户端的具体用户,也要持有其签名的用户代理证书,才能为系统所识别和成认,从而纳入系统的统一管理与控制体系。
在密码信任链上,认证中心构成了综合管控中心与用户两端的可信根。
用户泛指系统功能的使用者。
特殊情况下,用户可以是具有某些管理功能的使用者,如对电子文件进行归档管理的管理人员,但是其一样要通过用户代理与客户端平安代理的结合使用获得相应的功能权限。
4.1.2功能层次划分
电子文件综合管理与控制系统在功能层次结构上分为做为根底效劳支撑的核心层、面向管理人员提供效劳的管理层和面向普通用户提供功能支持的应用层三个层次,具体的系统功能组成如图4-2所示。
图42系统功能层次划分
4.1.2.1核心层
核心层包括密码支撑效劳、策略制定效劳、策略应用效劳、存取控制效劳、审记支撑效劳、集群支撑效劳和认证接口效劳。
密码支撑效劳是系统最根本的核心效劳,是保障系统平安的根底。
它利用用户代理或其它软/硬件形式的密码效劳构件,完成密码运算,如加/解密、签名及签名验证等等,从而支持其它核心效劳,如面向数字内容的策略制定与应用、审记和认证等等。
策略制定与策略应用效劳面向管理层与应用层提供策略相关功能支持,分别支持系统级/用户级策略制定,支持对电子文件应用规定的策略以保证电子文件受到高强度的加密保护并按所定义策略受控使用。
存取控制效劳与管理层的用户管理效劳相互协作,完成电子文件的粗粒度访问控制。
审记支撑效劳在密码支撑效劳和认证接口效劳的支持下,有选择的对用户获取/使用电子文件的过程行为,特别是一些非法或违规行为进行记录并保证其不可否认性,从而为管理层的审记查询效劳提供支持。
集群支撑效劳在保证系统平安的前提下,支持授权效劳器集群。
认证接口效劳依托密码支撑效劳,向管理层与应用层提供认证接口,保证上层所有操作行为都经过平安可靠的认证手段加以验证,同时为审记/追踪提供根底支持数据。
4.1.2.2管理层
管理层包括用户管理效劳、系统策略管理效劳、审记查询效劳、远程备份效劳。
用户管理效劳定义用户对应的组织机构形式和角色,完成用户与用户代理的绑定,在核心层策略应用效劳、存取控制效劳、认证接口效劳的支持下完成细粒度/粗粒度的访问控制和用户认证功能。
系统策略管理效劳在核心层策略制定效劳的支持下,完成系统级的策略制定与管理。
系统策略在全系统指定范围内有效,属于需优先满足的高级策略。
审记查询效劳在核心层审记支撑效劳的支持下,以灵活、方便的可视化形式向系统管理者提供强大的审记/追踪记录查询功能,该功能具备高级过滤能力,支持各种方式的组合查询,满足在海量审记/追踪记录中高效检索所需信息的要求,同时可在策略允许的条件下,提供必要的不可否认证据信息输出功能。
远程备份效劳是功能相对独立的管理层应用效劳,支持在远程对关键数据进行平安异地备份和故障恢复,支持一定的远程数据维护与管理功能。
4.1.2.3应用层
应用层包括交互认证效劳、用户策略效劳和访问控制效劳。
交互认证效劳在核心层密码支撑效劳和认证接口效劳的支持下,完成应用程序与客户端平安代理间的交互认证,使双方建立互信根底,共同完成对电子文件可信、受控的操作。
用户策略管理区别于系统策略管理,其定义的策略只在用户所生成的电子文件上有效。
访问控制效劳是应用层的关键部件。
它与核心层的密码支撑效劳密切配合,控制应用程序完成符合策略定义要求的电子文件使用。
4.2子系统划分
本系统从软件层次上讲可以划分为下面几个子系统:
●策略管理子系统。
策略管理子系统是系统应用的核心,它负责根据具体应用需求制定符合应用特点的各种策略,包括粗粒度/细粒度的文件访问控制策略、审记追踪策略、取证策略、系统管理策略等,所有系统行为必须在某一或某些特定的策略约束之下。
在该子系统的支持下,整体系统能够方便、灵活的满足用户不同层面、复杂多变的需求,同时具有非常好的扩充性。
●用户管理子系统。
它负责完成应用系统用户的管理,如定义组织机构、角色等,最重要的是它需要完成应用系统用户与用户证书的绑定。
同时,它还负责完成应用系统用户信息与本系统维护的信息之间的同步。
●认证授权子系统。
它负责对客户端的访问控制请求进行认证,并在完成认证后对其操作行为进行授权。
作为本系统的中枢,认证授权子系统负责对认证请求及授权申请进行解释、分解,将请求转化为一组内部逻辑协议并提交或返回给客户端代理系统,由其完成具体的访问控制操作,同时其还负责将请求信息进行记录,交由审记追踪子系统综合汇总,以形成完整的数据处理结果。
作为本系统的调度中心,它还负责对所有的业务流程进行监控与管理。
●客户端电子文件平安代理子系统。
它负责将用户权限与数字内容相捆绑,并通过与应用系统软件的紧密配合,实现对电子文件的全方位、细粒度的有效管理与控制。
通过与认证授权子系统、审记追踪子系统的密切配合,完成针对电子文件的事前保护、事中预警、事后追踪三个层面的全生命周期的平安管理。
●审记追踪子系统。
审记追踪系统在认证授权子系统的支持下,记录策略定义的用户行为信息,并以灵活、方便的可视化形式向系统管理者提供强大的审记/追踪记录查询功能,向审查者提供必要的不可否认性计算机行为取证信息。
实际上,除了上述的几个子系统之外,在系统内部还有其它的子系统,包括CA交互子系统、密码根底设施子系统等等,由于它们与其他子系统之间逻辑接口相对简单,而且没有涉及本系统相关的复杂的密码相关业务处理过程,只是提供最根本、最通用的密码调用支持,因此,在这里我们不对其进行阐述。
4.2.1策略管理子系统
4.2.1.1主要功能
策略管理子系统做为电子文件综合管理与控制系统的核心,其主要功能包括:
1)完成常规的系统策略信息维护,包括创立、修改和删除等,涉及的策略为根认证效劳器配置策略、授权效劳器配置策略、用户管理子系统配置策略。
2)完成电子文件使用相关策略信息维护,包括创立、修改和删除等,涉及的策略为对电子文件使用行为进行细粒度访问控制约束的电子文件使用策略,包括应用于整个系统的全局性策略和用户自定义策略。
3)完成日志策略信息维护,包括创立、修改和删除等,其定义了用户管理子系统、认证授权子系统、客户端电子文件平安代理子系统、审记追踪子系统和文件存储子系统如何进行日志信息记录。
4)完成审记/追踪策略信息维护,包括创立、修改和删除等,其定义了认证授权子系统如何为审记追踪子系统记录相应的审记/追踪信息,如信息的粒度等。
4.2.1.2模块划分
策略管理子系统模块划分如图4-3所示。
其模块与主要功能一一对应。
许可证处理模块为一个通用模块,用来完成证书、许可证的解析和验证。
图43策略管理子系统模块划分
4.2.1.3与其它子系统间关系
策略管理子系统是系统应用的核心,所有其它子系统都必须与其交互以获得相应的策略信息,其子系统间关系如图4-4所示。
策略管理子系统将所生成的策略全部平安的保存目录效劳器。
图44策略管理子系统与其它子系统关系
4.2.2用户管理子系统
4.2.2.1主要功能
用户管理子系统是为电子文件综合管理与控制系统提供用户管理相关支持效劳的,其主要功能包括:
1)完成常规用户管理操作,包括根本信息录入等。
2)完成组织机构的定义与维护。
3)完成角色的定义与维护。
4)完成用户与用户代理所关联的用户证书之间的绑定。
5)完成用户信息与系统目录效劳器之间的同步。
4.2.2.2模块划分
用户管理子系统模块划分如图4-5所示。
策略查询模块负责与策略管理子系统交互以获得用户管理相关的配置策略。
图45用户管理子系统模块划分
4.2.2.3与其它子系统间关系
用户管理子系统是与其它子系统之间交互并不紧密,这是系统面向具体应用独立性设计的结果,它只通过策略查询模块与策略管理子系统交互,以获得日志记录的相关策略。
用户管理子系统通用用户信息同步模块,将其所管理的用户、组、角色信息与系统目录效劳同步。
用户管理子系统可以操作局部目录效劳库和归属于自己管理的数据库。
4.2.3认证授权子系统
4.2.3.1主要功能
认证授权子系统的主要功能是:
1)完成对系统用户的内部认证。
2)完成系统用户密钥等秘密信息的生成和加密保管,以使用户在系统内具有统一的密钥,同时为意外情况〔如丧失用户代理〕恢复已加密信息提供根底条件。
3)完成对系统用户的授权,包括对电子文件使用的授权。
4)为审记/追踪提供必要的记录和不可否认性证据。
4.2.3.2模块划分
认证授权子系统的模块划分如图4-6所示,其通过向目录效劳进行用户信息查询,最终决定是否为用户颁发其所请求的使用授权。
图46认证授权子系统的模块划分
4.2.3.3与其它子系统间关系
认证授权子系统与其它子系统之间的关系如图4-7所示。
它可以查询目录效劳库,但是不能修改。
图47认证授权子系统与其它子系统关系
4.2.4客户端电子文件平安代理子系统
4.2.4.1主要功能
客户端电子文件平安代理子系统的主要功能是:
1)对用户使用电子文件的行为进行符合策略定义要求的细粒度的访问控制,包括读、写、打印、时间与次数限制等等。
2)采用显水印技术对用户的非法行为进行警告。
3)采用隐水印技术对非法行为进行取证。
4.2.4.2模块划分
客户端电子文件平安代理子系统的模块划分如图4-8所示。
图48客户端电子文件平安代理子系统的模块划分
4.2.4.3与其它子系统间关系
客户端电子文件平安代理子系统与其它子系统之间的关系如图4-9所示。
它不参与数据库与目录效劳库的任何操作。
图49客户端电子文件平安代理子系统与其它子系统关系
4.2.5审记追踪子系统
4.2.5.1主要功能
审记追踪子系统的主要功能是:
1)对用户联机使用电子文件行为进行审记。
2)对用户非法使用行为进行追踪以确定路径。
3)对用户行为进行不可否认性的数字取证。
4)与策略管理子系统和认证授权子系统联动,及时制止用户的非法行为。
4.2.5.2模块划分
审记追踪子系统的模块划分如图4-10所示。
图410审记追踪子系统模块划分
4.2.5.3与其它子系统间关系
审记追踪系统与其它子系统之间的关系如图4-11所示。
审记追踪系统可以查阅系统数据库相关表内数据,但是不能修改,但在系统策略许可的条件下,它可以联动的部份修改目录效劳库中指定的相关策略。
图411审记追踪子系统与其它子系统关系
4.2.6文件存储子系统
4.2.6.1主要功能
文件存储子系统的主要功能是:
1)对关键数据进行本地备份,包括数据库和目录效劳数据。
2)对数据进行平安的远程备份
3)对集中管理的电子文件进行符合权限限定策略的搜索
4.2.6.2模块划分
文件存储子系统的模块划分如图4-12所示。
图412文件存储子系统模块划分
4.2.6.3与其它子系统间关系
文件存储子系统与其它子系统之间的关系如图4-13所示。
文件存储子系统可以不受限制的复制系统数据库与目录效劳库。
图413文件存储子系统与其它子系统关系
4.3可扩展应用架构
整个系统具有良好的可扩展性,无论系统面对的具体应用形式如何,都可以通过我们定义的扩展应用架构进行无改动或很少改动后的扩展使用。
系统的可扩展应用架构如图4-14所示,图中的系统效劳器主要是指认证授权效劳器。
扩展涉及的应用对应图中所示的具体应用系统,而系统效劳器位于应用效劳器端代
升级会员 