电子文档安全管理方案办公网安全解决 方案Word格式.docx

1、离线方式使用受控文档时，依赖于用户所具有的USB-KEY完成身份认证与内容解密。离线方式无需支持用户打印与编辑文档权限，通常是只读权限，必要时，需要控制使用次数或使用终端。2.1.5 预警、审记与追踪系统要综合运用多种保护技术，支持在文档使用时对用户的非法行为进行报警。系统要具备审记和追踪功能，可以依据多种手段对用户的电子文件使用行为进行审记，在必要的情况下，依照相关规定对对用户操作进行取证。能够通过技术手段对电子文件的使用情况、传播流程进行追踪，以有效防范信息失泄密情况的发生。2.1.6 权限管理系统要提供便利的电子文件权限分发、配置和回收机制。支持在必要的时候对已经下发的权限进行更改或回收

2、。在特殊情况下，能够完成对电子文件的销毁。2.1.7 策略管理策略的运用应该构成系统应用的核心。系统应该具有良好的策略管理机制，从而支持整个系统在能够方便、灵活的满足用户不同层面、复杂多变需求的同时，具有非常好的扩充性。2.2 主要技术指标需求2.2.1 常规服务能力系统应具有电子文件管理相关的常规服务能力，包括文档的安全录入、自动化归档、受控分发和使用等，可以支持Word、PowerPoint、Excel、PDF等格式文档。2.2.2 集成能力系统应建立在统一的开发平台和接口标准之上，具有强大的与其它应用系统相结合使用的能力；同时应支持通过二次开发接口或其它方式，构建多平台联合服务体系，形成

3、广泛使用、灵活集成、扩展性好的综合性系统。2.2.3 访问控制能力粗粒度访问控制用来与我所组织机构、人员分工、职级别等管理相关信息对应，完成使用者是否有权存取电子文件的访问控制；粗粒度访问控制应依托于认证中心所发放的数字证书完成强身份认证；细粒度访问控制除完成强身份认证外，还要依托认证中心与系统中定义的各种证书完成加/解密、审记/追踪操作，提供普密级以上的安全支持。2.3 技术指标需求定性描述在实际应用环境下，经过完善配置的系统应可实现如下技术指标：1. 安全管理所支持的文件格式：Word、PowerPoint、Excel、PDF2. 所支持客户端类型:Windows 2000+SP4、Win

4、dows XP、Windows 20033. 支持的管理模式：基于组的用户管理或基于角色的用户管理（单选）4. 粗粒度控制包括：禁止使用、共享使用5. 细粒度控制包括：禁止使用、只读、打印、编辑、使用次数、打印次数限制、使用时间限制、使用地点限制6. 支持离线受限使用，保证离线文档正确解密并受控使用。离线使用时，不要求授与打印权限，不要求具有编辑权限，但需要支持使用终端控制和使用次数7. 支持用户数量5，000人8. 平均故障间隔时间（MTBF）10000小时9. 平均故障维修时间（MTTR）30分钟10. 典型配置下服务支持能力：1） 支持最少1000名客户并发在线使用；2） 峰值处理能力1

5、00次请求/秒；3） 每日服务能力10万人次；4） 每日最高服务请求处理能力100万次；5） 每日最高审记行为记录50万条。11. 网络兼容性：支持10M、100M和1000M 以太网，支持TCT/IP协议12. 服务器端兼容性：支持Windows 2000/2003，Linux 2.4以上版本13. 数据库兼容性：支持Oracle 9i、Microsoft SQL Server 2000/2005， MySQL 4.1以上版本2.4 其它需求2.4.1 安全兼容性 出于安全及密码管理的考虑，对于系统内部所使用的密码设备（含密码基础设施和密码构件）的调用，都需要依照国家相应标准进行规范化、兼容

6、化设计，以使所有密码相关部件满足不同层次密码管理与使用的需求，并在需求发生变化时，使系统最小程度修改的基础上就能够进行运行使用。2.4.2 可视化管理 系统的所有子系统应该采用统一的综合可视化管理界面，实现对整个应用系统的高实时性、高易用性的监控和管理。2.4.3 系统监控 出于可靠性考虑，对于系统内部的所有硬件设备、网络、以及应用程序必须进行实时监控，尽早发现和解决任何故障，以便系统最大程度上能够正常运行。3 系统实现原则基于系统的需求和特征，我们认为从技术研发和工程实施角度来讲，其实现应该遵循以下原则。3.1 紧贴用户实际需求，提供切实可行的管理手段电子文件格式众多，应用环境复杂，用户使用

7、与操作习惯各异，而且用户数量巨大，不可能强行要求用户改变其习惯或遵守某种硬性规定来适应系统，只能由系统来充分考虑用户的实际需求，适应用户。3.2 按照密码统管思想统一设计，确保互联互通按照密码统管的思想，依托已有的标准化密码基础设施，构建统一的底层密码支持平台，坚持对密码设备与算法的严格要求，确保一致性，确保系统在不同应用平台下使用时的互联互通。3.3 采用成熟技术，充分利用资源借鉴国内其它大型系统开发的成功经验，尽量采用成熟技术，系统主要设备和支撑软件均使用主流产品，以提高系统可靠性，缩短研制周期。3.4 关键技术自主开发系统所涉及的关键技术，包括适合需求的权限描述语言设计技术、密码管理与应

8、用技术等，需要坚持自主开发的原则，避免在安全管理与控制上不能深入底层，发生受制于人的情况。3.5 适应发展特点，具备集成与扩充能力系统设计中要充分考虑信息化系统发展的需要，系统建设中要积累具备基础功能、相对独立的开发平台技术，将与其它系统结合应用的支持做为扩展性的重点。系统功能可灵活配置，对外互连接口丰富易用，可依具体应用形式动态调整或以很小的代价集成，以适应系统未来功能更新、升级换代、构建多平台联合服务体系的需要。3.6 松散耦合性设计由于待建系统的对硬件、软件、网络、存储等各方面都有很高的要求，所以在整体方案设计过程中，应尽量降低各个层面之间的依赖性，使它们之间相对独立。松散耦合性设计会增

9、强整个系统的可扩展性，利于系统各个层面的维护和升级。例如操作系统的选择不应依赖于服务器的硬件结构，这样未来对服务器的升级不会影响到整个系统。又如软件架构的设计应独立于硬件和操作系统平台，等等。3.7 标准化、规范化技术规范标准化有利于提高设计开发的效率，保持系统的可扩展性。在系统设计与实现中应采用目前IT领域的一些成熟标准，如：1） 以XML做为信息交换传输的标准格式2） 以MQ做为异步消息传递的标准机制3） 以SOAP/Web Service做为网络间服务调用的标准4） 以J2EE做为分布式系统运行环境4 总体技术方案4.1 系统架构4.1.1 整体组成系统整体结构组成的逻辑示意图如图4-1

10、所示。虚线内的部份是系统平台自身所包括的部件，从整体上表示了内部部件间的逻辑层次和关系；虚线外的部份是已有（或在建）应用及系统所涉及的用户，表示了系统平台外部的应用需求调用与系统平台之间的逻辑关系。综合管控中心是系统平台的核心部件，负责响应用户管理服务器和授权服务器的请求，在密码运算和认证协议的支持下，完成用户初始化、用户角色定义、系统策略及用户自定义策略生成、电子文件归档存储等功能。综合管控中心是唯一的，它向所有的用户管理服务器和授权服务器提供服务，其间通过安全的信道进行连接。综合管控中心后台需要数据库与目录服务的支持，用来存储数字内容、安全策略、用户组织结构及角色定义等信息。综合管控中心获

11、得认证中心CA的签名证书后才能为用户所接受。审记/追踪平台是系统平台的重要组成部份，其对所有的用户认证过程、满足策略定义要求的使用行为和重要事件进行必要的记录并提供丰富的审记与追踪手段，以便与行政管理等传统管理方式协作，形成对违规行为追究处罚的威慑，进一步提高系统的安全性。 图 41系统整体组成用户管理服务器针对具体应用设置，接受综合管控中心统一管理，一般情况下一个具体应用只设立一个用户管理服务器。用户管理服务器用来规划所属应用人员的组织结构，定义用户角色，将用户身份与用户代理相绑定，从而支持内部的身份认证，为访问控制的实施打下基础，为审记/追踪提供底层的不可否认性支持。授权服务器针对具体应用

12、设置，接受综合管控中心统一管理，一个具体应用可以设立多个授权服务器。授权服务器支持集群，可以满足大量用户的并发请求需要。授权服务器的功能是完成客户端安全代理所提出的提交数字内容、获取数字内容、获取数字内容使用许可证等请求，具体实现粗/细粒度访问控制策略设置与应用。它接受客户端应用程序的调用，需要与用户代理相结合完成一系列复杂的密码变换，执行多步的安全协议以安全、正确、可信的将策略应用到数字内容，或获取所需要的数字内容使用权。授权服务器是系统的关键部件。用户代理是系统引入的用来标识或绑定用户真实身份的密码对象，它可以是USB-Key，也可以是加密卡。只要能完成用户私钥的安全存储、具有独立加/解密

13、运算功能的实体都可以做为用户代理。用户代理经认证中心CA的签名后有效。客户端安全代理面向所有客户端应用程序提供服务，它负责与用户代理交互，利用其加/解密运算能力完成一系列复杂的密码变换，同时与授权服务器通信完成用户身份认证、策略生成、策略应用、加/解密数字内容等实质性工作。客户端安全代理与客户端应用程序相配合，保证数字内容的安全、可控使用，是系统的关键部件。客户端应用程序具体完成电子文件的编辑、归档和使用工作，它可以是通用常规应用软件，也可以是配合系统使用的专用软件。无论采用哪种形式，其必须保证以某种技术手段与客户端安全代理相关联并完成相互认证，同时忠实的将用户所定义的安全策略应用到数字内容，

14、使数字内容受到高强度的加密保护；或按照策略定义的使用要求，保证用户安全、可控的使用数字内容。认证中心（CA）、RA是标准化CA中心的有机组成部份，整个系统在密码基础设施使用上接受其管理，由其签署证书才能进行综合管控中心的合理部署。同样，客户端的具体用户，也要持有其签名的用户代理证书，才能为系统所识别和承认，从而纳入系统的统一管理与控制体系。在密码信任链上，认证中心构成了综合管控中心与用户两端的可信根。用户泛指系统功能的使用者。特殊情况下，用户可以是具有某些管理功能的使用者，如对电子文件进行归档管理的管理人员，但是其一样要通过用户代理与客户端安全代理的结合使用获得相应的功能权限。4.1.2 功能

15、层次划分电子文件综合管理与控制系统在功能层次结构上分为做为基础服务支撑的核心层、面向管理人员提供服务的管理层和面向普通用户提供功能支持的应用层三个层次，具体的系统功能组成如图4-2所示。图 42系统功能层次划分4.1.2.1 核心层核心层包括密码支撑服务、策略制定服务、策略应用服务、存取控制服务、审记支撑服务、集群支撑服务和认证接口服务。密码支撑服务是系统最基本的核心服务，是保障系统安全的基础。它利用用户代理或其它软/硬件形式的密码服务构件，完成密码运算，如加/解密、签名及签名验证等等，从而支持其它核心服务，如面向数字内容的策略制定与应用、审记和认证等等。策略制定与策略应用服务面向管理层与应用

16、层提供策略相关功能支持，分别支持系统级/用户级策略制定，支持对电子文件应用规定的策略以保证电子文件受到高强度的加密保护并按所定义策略受控使用。存取控制服务与管理层的用户管理服务相互协作，完成电子文件的粗粒度访问控制。审记支撑服务在密码支撑服务和认证接口服务的支持下，有选择的对用户获取/使用电子文件的过程行为，特别是一些非法或违规行为进行记录并保证其不可否认性，从而为管理层的审记查询服务提供支持。集群支撑服务在保证系统安全的前提下，支持授权服务器集群。认证接口服务依托密码支撑服务，向管理层与应用层提供认证接口，保证上层所有操作行为都经过安全可靠的认证手段加以验证，同时为审记/追踪提供基础支持数据

17、。4.1.2.2 管理层管理层包括用户管理服务、系统策略管理服务、审记查询服务、远程备份服务。用户管理服务定义用户对应的组织机构形式和角色，完成用户与用户代理的绑定，在核心层策略应用服务、存取控制服务、认证接口服务的支持下完成细粒度/粗粒度的访问控制和用户认证功能。系统策略管理服务在核心层策略制定服务的支持下，完成系统级的策略制定与管理。系统策略在全系统指定范围内有效，属于需优先满足的高级策略。审记查询服务在核心层审记支撑服务的支持下，以灵活、方便的可视化形式向系统管理者提供强大的审记/追踪记录查询功能，该功能具备高级过滤能力，支持各种方式的组合查询，满足在海量审记/追踪记录中高效检索所需信息

18、的要求，同时可在策略允许的条件下，提供必要的不可否认证据信息输出功能。远程备份服务是功能相对独立的管理层应用服务，支持在远程对关键数据进行安全异地备份和故障恢复，支持一定的远程数据维护与管理功能。4.1.2.3 应用层应用层包括交互认证服务、用户策略服务和访问控制服务。交互认证服务在核心层密码支撑服务和认证接口服务的支持下，完成应用程序与客户端安全代理间的交互认证，使双方建立互信基础，共同完成对电子文件可信、受控的操作。用户策略管理区别于系统策略管理，其定义的策略只在用户所生成的电子文件上有效。访问控制服务是应用层的关键部件。它与核心层的密码支撑服务密切配合，控制应用程序完成符合策略定义要求的

19、电子文件使用。4.2 子系统划分本系统从软件层次上讲可以划分为下面几个子系统： 策略管理子系统。策略管理子系统是系统应用的核心，它负责根据具体应用需求制定符合应用特点的各种策略，包括粗粒度/细粒度的文件访问控制策略、审记追踪策略、取证策略、系统管理策略等，所有系统行为必须在某一或某些特定的策略约束之下。在该子系统的支持下，整体系统能够方便、灵活的满足用户不同层面、复杂多变的需求，同时具有非常好的扩充性。 用户管理子系统。它负责完成应用系统用户的管理，如定义组织机构、角色等，最重要的是它需要完成应用系统用户与用户证书的绑定。同时，它还负责完成应用系统用户信息与本系统维护的信息之间的同步。 认证授

20、权子系统。它负责对客户端的访问控制请求进行认证，并在完成认证后对其操作行为进行授权。作为本系统的中枢，认证授权子系统负责对认证请求及授权申请进行解释、分解，将请求转化为一组内部逻辑协议并提交或返回给客户端代理系统，由其完成具体的访问控制操作，同时其还负责将请求信息进行记录，交由审记追踪子系统综合汇总，以形成完整的数据处理结果。作为本系统的调度中心，它还负责对所有的业务流程进行监控与管理。 客户端电子文件安全代理子系统。它负责将用户权限与数字内容相捆绑，并通过与应用系统软件的紧密配合，实现对电子文件的全方位、细粒度的有效管理与控制。通过与认证授权子系统、审记追踪子系统的密切配合，完成针对电子文件

21、的事前保护、事中预警、事后追踪三个层面的全生命周期的安全管理。 审记追踪子系统。审记追踪系统在认证授权子系统的支持下，记录策略定义的用户行为信息，并以灵活、方便的可视化形式向系统管理者提供强大的审记/追踪记录查询功能，向审查者提供必要的不可否认性计算机行为取证信息。实际上，除了上述的几个子系统之外，在系统内部还有其它的子系统，包括CA交互子系统、密码基础设施子系统等等，由于它们与其他子系统之间逻辑接口相对简单，而且没有涉及本系统相关的复杂的密码相关业务处理过程，只是提供最基本、最通用的密码调用支持，因此，在这里我们不对其进行阐述。4.2.1 策略管理子系统4.2.1.1 主要功能策略管理子系统

22、做为电子文件综合管理与控制系统的核心，其主要功能包括：1） 完成常规的系统策略信息维护，包括创建、修改和删除等，涉及的策略为根认证服务器配置策略、授权服务器配置策略、用户管理子系统配置策略。2） 完成电子文件使用相关策略信息维护，包括创建、修改和删除等，涉及的策略为对电子文件使用行为进行细粒度访问控制约束的电子文件使用策略，包括应用于整个系统的全局性策略和用户自定义策略。3） 完成日志策略信息维护，包括创建、修改和删除等，其定义了用户管理子系统、认证授权子系统、客户端电子文件安全代理子系统、审记追踪子系统和文件存储子系统如何进行日志信息记录。4） 完成审记/追踪策略信息维护，包括创建、修改和删

23、除等，其定义了认证授权子系统如何为审记追踪子系统记录相应的审记/追踪信息，如信息的粒度等。4.2.1.2 模块划分策略管理子系统模块划分如图4-3所示。其模块与主要功能一一对应。许可证处理模块为一个通用模块，用来完成证书、许可证的解析和验证。图 43策略管理子系统模块划分4.2.1.3 与其它子系统间关系策略管理子系统是系统应用的核心，所有其它子系统都必须与其交互以获得相应的策略信息，其子系统间关系如图4-4所示。策略管理子系统将所生成的策略全部安全的保存目录服务器。图 44策略管理子系统与其它子系统关系4.2.2 用户管理子系统4.2.2.1 主要功能用户管理子系统是为电子文件综合管理与控制

24、系统提供用户管理相关支持服务的，其主要功能包括：1） 完成常规用户管理操作，包括基本信息录入等。2） 完成组织机构的定义与维护。3） 完成角色的定义与维护。4） 完成用户与用户代理所关联的用户证书之间的绑定。5） 完成用户信息与系统目录服务器之间的同步。4.2.2.2 模块划分用户管理子系统模块划分如图4-5所示。策略查询模块负责与策略管理子系统交互以获得用户管理相关的配置策略。图 45用户管理子系统模块划分4.2.2.3 与其它子系统间关系用户管理子系统是与其它子系统之间交互并不紧密，这是系统面向具体应用独立性设计的结果，它只通过策略查询模块与策略管理子系统交互，以获得日志记录的相关策略。用

25、户管理子系统通用用户信息同步模块，将其所管理的用户、组、角色信息与系统目录服务同步。用户管理子系统可以操作局部目录服务库和归属于自己管理的数据库。4.2.3 认证授权子系统4.2.3.1 主要功能认证授权子系统的主要功能是：1） 完成对系统用户的内部认证。2） 完成系统用户密钥等秘密信息的生成和加密保管，以使用户在系统内具有统一的密钥，同时为意外情况（如丢失用户代理）恢复已加密信息提供基础条件。3） 完成对系统用户的授权，包括对电子文件使用的授权。4） 为审记/追踪提供必要的记录和不可否认性证据。4.2.3.2 模块划分认证授权子系统的模块划分如图4-6所示，其通过向目录服务进行用户信息查询，

26、最终决定是否为用户颁发其所请求的使用授权。图 46认证授权子系统的模块划分4.2.3.3 与其它子系统间关系认证授权子系统与其它子系统之间的关系如图4-7所示。它可以查询目录服务库，但是不能修改。图 47 认证授权子系统与其它子系统关系4.2.4 客户端电子文件安全代理子系统4.2.4.1 主要功能客户端电子文件安全代理子系统的主要功能是：1） 对用户使用电子文件的行为进行符合策略定义要求的细粒度的访问控制，包括读、写、打印、时间与次数限制等等。2） 采用显水印技术对用户的非法行为进行警告。3） 采用隐水印技术对非法行为进行取证。4.2.4.2 模块划分客户端电子文件安全代理子系统的模块划分如

27、图4-8所示。图 48 客户端电子文件安全代理子系统的模块划分4.2.4.3 与其它子系统间关系客户端电子文件安全代理子系统与其它子系统之间的关系如图4-9所示。它不参与数据库与目录服务库的任何操作。图 49客户端电子文件安全代理子系统与其它子系统关系4.2.5 审记追踪子系统4.2.5.1 主要功能审记追踪子系统的主要功能是：1） 对用户联机使用电子文件行为进行审记。2） 对用户非法使用行为进行追踪以确定路径。3） 对用户行为进行不可否认性的数字取证。4） 与策略管理子系统和认证授权子系统联动，及时制止用户的非法行为。4.2.5.2 模块划分审记追踪子系统的模块划分如图4-10所示。图 41

28、0审记追踪子系统模块划分4.2.5.3 与其它子系统间关系审记追踪系统与其它子系统之间的关系如图4-11所示。审记追踪系统可以查阅系统数据库相关表内数据，但是不能修改，但在系统策略许可的条件下，它可以联动的部份修改目录服务库中指定的相关策略。图 411审记追踪子系统与其它子系统关系4.2.6 文件存储子系统4.2.6.1 主要功能文件存储子系统的主要功能是：1） 对关键数据进行本地备份，包括数据库和目录服务数据。2） 对数据进行安全的远程备份3） 对集中管理的电子文件进行符合权限限定策略的搜索4.2.6.2 模块划分文件存储子系统的模块划分如图4-12所示。图 412文件存储子系统模块划分4.2.6.3 与其它子系统间关系文件存储子系统与其它子系统之间的关系如图4-13所示。文件存储子系统可以不受限制的复制系统数据库与目录服务库。图 413