电子文档安全管理方案(办公网安全解决 方案)

电子文件综合管理与控制系统实现方案1概述随着信息现代化建设的不断深入，越来越多的文件以电子化的形式进行分发和存储。电子文件在使用上带来诸多便利的同时，其在管理和控制上暴露出的问题也日益突出，主要问题集中在使用不可控、传播不易追查等方面。为了适应广大用户日益增长的迫切需求，我所着手研发和建设实用、安全、高效的电子文件综合管理与控制系统，以满足现代化、网络化、电子化条件下对电子文件管理与使用的实际需要。2系统需求概述2.1功能需求电子文件综合管理与控制系统是对电子文件进行全方位管理与控制的应用系统，其要对电子文件整个生存周期进行管理与控制，包括电子文件的生成、保存、使用、销毁等各个阶段。系统应具备的基本功能有：2.1.1安全录入能够通过本地编辑、在线编辑、向服务器提交等多种方式，针对DOC、PPT、EXCEL、PDF、HTML等文档格式，提供完善、一致的电子文件安全录入手段，保证受策略控制的电子文件在从录入开始就受到安全的控制与管理。2.1.2自动化管理提供对受控档案的自动化归档及相应管理功能。可采用B/S模式，通过Web服务技术向用户提供全方位的多种应用服务，形成功能强大、应用灵活的统一管理系统。系统功能包括各种类型文档录入、数字资源分配和管理、数字内容分发和使用等方面。2.1.3访问控制系统应支持粗粒度、细粒度两级访问控制，具有依据组织单位、角色等信息，针对电子文件实施访问控制的能力。粗粒度访问控制用来与单位组织机构、人员分工、职级别等管理相关信息对应，完成使用者是否有权存取电子文件的访问控制；细粒度访问控制与电子文件归档时所定义的策略有关，与使用者所具有的角色信息相关联，完成使用者可以如何使用电子文件的访问控制，如是否可以进行摘录、打印等等。访问控制应依托于认证中心所发放的数字证书完成强身份认证。2.1.4支持离线应用在研究所及下属的各分支机构中，存在着大量的文档交换需求。而下属各分支机构通常与研究所之间无网络联接，无法使用依赖网络的认证和密钥协商来完成文档脱密。系统应当支持无网络联接情况下的离线方式文档解密及安全访问控制。离线方式下，受保护文档应能够正常解密并受到访问控制的保护。离线方式使用受控文档时，依赖于用户所具有的USB-KEY完成身份认证与内容解密。离线方式无需支持用户打印与编辑文档权限，通常是只读权限，必要时，需要控制使用次数或使用终端。2.1.5预警、审记与追踪系统要综合运用多种保护技术，支持在文档使用时对用户的非法行为进行报警。系统要具备审记和追踪功能，可以依据多种手段对用户的电子文件使用行为进行审记，在必要的情况下，依照相关规定对对用户操作进行取证。能够通过技术手段对电子文件的使用情况、传播流程进行追踪，以有效防范信息失泄密情况的发生。2.1.6权限管理系统要提供便利的电子文件权限分发、配置和回收机制。支持在必要的时候对已经下发的权限进行更改或回收。在特殊情况下，能够完成对电子文件的销毁。2.1.7策略管理策略的运用应该构成系统应用的核心。系统应该具有良好的策略管理机制，从而支持整个系统在能够方便、灵活的满足用户不同层面、复杂多变需求的同时，具有非常好的扩充性。2.2主要技术指标需求2.2.1常规服务能力系统应具有电子文件管理相关的常规服务能力，包括文档的安全录入、自动化归档、受控分发和使用等，可以支持Word、PowerPoint、Excel、PDF等格式文档。2.2.2集成能力系统应建立在统一的开发平台和接口标准之上，具有强大的与其它应用系统相结合使用的能力；同时应支持通过二次开发接口或其它方式，构建多平台联合服务体系，形成广泛使用、灵活集成、扩展性好的综合性系统。2.2.3访问控制能力系统应支持粗粒度、细粒度两级访问控制，具有依据组织单位、角色等信息，针对电子文件实施访问控制的能力。粗粒度访问控制用来与我所组织机构、人员分工、职级别等管理相关信息对应，完成使用者是否有权存取电子文件的访问控制；细粒度访问控制与电子文件归档时所定义的策略有关，与使用者所具有的角色信息相关联，完成使用者可以如何使用电子文件的访问控制，如是否可以进行摘录、打印等等。粗粒度访问控制应依托于认证中心所发放的数字证书完成强身份认证；细粒度访问控制除完成强身份认证外，还要依托认证中心与系统中定义的各种证书完成加/解密、审记/追踪操作，提供普密级以上的安全支持。2.3技术指标需求定性描述在实际应用环境下，经过完善配置的系统应可实现如下技术指标：1.安全管理所支持的文件格式：Word、PowerPoint、Excel、PDF2.所支持客户端类型:Windows2000+SP4、WindowsXP、Windows20033.支持的管理模式：基于组的用户管理或基于角色的用户管理(单选)4.粗粒度控制包括：禁止使用、共享使用5.细粒度控制包括：禁止使用、只读、打印、编辑、使用次数、打印次数限制、使用时间限制、使用地点限制6.支持离线受限使用，保证离线文档正确解密并受控使用。离线使用时，不要求授与打印权限，不要求具有编辑权限，但需要支持使用终端控制和使用次数7.支持用户数量≥5，000人8.平均故障间隔时间(MTBF)≥10000小时9.平均故障维修时间(MTTR)≤30分钟10.典型配置下服务支持能力：1)支持最少1000名客户并发在线使用；2)峰值处理能力≥100次请求/秒；3)每日服务能力≥10万人次；4)每日最高服务请求处理能力≥100万次；5)每日最高审记行为记录≥50万条。11.网络兼容性：支持10M、100M和1000M以太网，支持TCT/IP协议12.服务器端兼容性：支持Windows2000/2003，Linux2.4以上版本13.数据库兼容性：支持Oracle9i、MicrosoftSQLServer2000/2005，MySQL4.1以上版本2.4其它需求2.4.1安全兼容性出于安全及密码管理的考虑，对于系统内部所使用的密码设备（含密码基础设施和密码构件）的调用，都需要依照国家相应标准进行规范化、兼容化设计，以使所有密码相关部件满足不同层次密码管理与使用的需求，并在需求发生变化时，使系统最小程度修改的基础上就能够进行运行使用。2.4.2可视化管理系统的所有子系统应该采用统一的综合可视化管理界面，实现对整个应用系统的高实时性、高易用性的监控和管理。2.4.3系统监控出于可靠性考虑，对于系统内部的所有硬件设备、网络、以及应用程序必须进行实时监控，尽早发现和解决任何故障，以便系统最大程度上能够正常运行。3系统实现原则基于系统的需求和特征，我们认为从技术研发和工程实施角度来讲，其实现应该遵循以下原则。3.1紧贴用户实际需求，提供切实可行的管理手段电子文件格式众多，应用环境复杂，用户使用与操作习惯各异，而且用户数量巨大，不可能强行要求用户改变其习惯或遵守某种硬性规定来适应系统，只能由系统来充分考虑用户的实际需求，适应用户。3.2按照密码统管思想统一设计，确保互联互通按照密码统管的思想，依托已有的标准化密码基础设施，构建统一的底层密码支持平台，坚持对密码设备与算法的严格要求，确保一致性，确保系统在不同应用平台下使用时的互联互通。3.3采用成熟技术，充分利用资源借鉴国内其它大型系统开发的成功经验，尽量采用成熟技术，系统主要设备和支撑软件均使用主流产品，以提高系统可靠性，缩短研制周期。3.4关键技术自主开发系统所涉及的关键技术，包括适合需求的权限描述语言设计技术、密码管理与应用技术等，需要坚持自主开发的原则，避免在安全管理与控制上不能深入底层，发生受制于人的情况。3.5适应发展特点，具备集成与扩充能力系统设计中要充分考虑信息化系统发展的需要，系统建设中要积累具备基础功能、相对独立的开发平台技术，将与其它系统结合应用的支持做为扩展性的重点。系统功能可灵活配置，对外互连接口丰富易用，可依具体应用形式动态调整或以很小的代价集成，以适应系统未来功能更新、升级换代、构建多平台联合服务体系的需要。3.6松散耦合性设计由于待建系统的对硬件、软件、网络、存储等各方面都有很高的要求，所以在整体方案设计过程中，应尽量降低各个层面之间的依赖性，使它们之间相对独立。松散耦合性设计会增强整个系统的可扩展性，利于系统各个层面的维护和升级。例如操作系统的选择不应依赖于服务器的硬件结构，这样未来对服务器的升级不会影响到整个系统。又如软件架构的设计应独立于硬件和操作系统平台，等等。3.7标准化、规范化技术规范标准化有利于提高设计开发的效率，保持系统的可扩展性。在系统设计与实现中应采用目前IT领域的一些成熟标准，如：1)以XML做为信息交换传输的标准格式2)以MQ做为异步消息传递的标准机制3)以SOAP/WebService做为网络间服务调用的标准4)以J2EE做为分布式系统运行环境4总体技术方案4.1系统架构4.1.1整体组成系统整体结构组成的逻辑示意图如图4-1所示。虚线内的部份是系统平台自身所包括的部件，从整体上表示了内部部件间的逻辑层次和关系；虚线外的部份是已有（或在建）应用及系统所涉及的用户，表示了系统平台外部的应用需求调用与系统平台之间的逻辑关系。综合管控中心是系统平台的核心部件，负责响应用户管理服务器和授权服务器的请求，在密码运算和认证协议的支持下，完成用户初始化、用户角色定义、系统策略及用户自定义策略生成、电子文件归档存储等功能。综合管控中心是唯一的，它向所有的用户管理服务器和授权服务器提供服务，其间通过安全的信道进行连接。综合管控中心后台需要数据库与目录服务的支持，用来存储数字内容、安全策略、用户组织结构及角色定义等信息。综合管控中心获得认证中心CA的签名证书后才能为用户所接受。审记/追踪平台是系统平台的重要组成部份，其对所有的用户认证过程、满足策略定义要求的使用行为和重要事件进行必要的记录并提供丰富的审记与追踪手段，以便与行政管理等传统管理方式协作，形成对违规行为追究处罚的威慑，进一步提高系统的安全性。图4-1系统整体组成用户管理服务器针对具体应用设置，接受综合管控中心统一管理，一般情况下一个具体应用只设立一个用户管理服务器。用户管理服务器用来规划所属应用人员的组织结构，定义用户角色，将用户身份与用户代理相绑定，从而支持内部的身份认证，为访问控制的实施打下基础，为审记/追踪提供底层的不可否认性支持。授权服务器针对具体应用设置，接受综合管控中心统一管理，一个具体应用可以设立多个授权服务器。授权服务器支持集群，可以满足大量用户的并发请求需要。授权服务器的功能是完成客户端安全代理所提出的提交数字内容、获取数字内容、获取数字内容使用许可证等请求，具体实现粗/细粒度访问控制策略设置与应用。它接受客户端应用程序的调用，需要与用户代理相结合完成一系列复杂的密码变换，执行多步的安全协议以安全、正确、可信的将策略应用到数字内容，或获取所需要的数字内容使用权。授权服务器是系统的关键部件。用户代理是系统引入的用来标识或绑定用户真实身份的密码对象，它可以是USB-Key，也可以是加密卡。只要能完成用户私钥的安全存储、具有独立加/解密运算功能的实体都可以做为用户代理。用户代理经认证中心CA的签名后有效。客户端安全代理面向所有客户端应用程序提供服务，它负责与用户代理交互，利用其加/解密运算能力完成一系列复杂的密码变换，同时与授权服务器通信完成用户身份认证、策略生成、策略应用、加/解密数字内容等实质性工作。客户端安全代理与客户端应用程序相配合，保证数字内容的安全、可控使用，是系统的关键部件。客户端应用程序具体完成电子文件的编辑、归档和使用工作，它可以是通用常规应用软件，也可以是配合系统使用的专用软件。无论采用哪种形式，其必须保证以某种技术手段与客户端安全代理相关联并完成相互认证，同时忠实的将用户所定义的安全策略应用到数字内容，使数字内容受到高强度的加密保护；或按照策略定义的使用要求，保证用户安全、可控的使用数字内容。认证中心(CA)、RA是标准化CA中心的有机组成部份，整个系统在密码基础设施使用上接受其管理，由其签署证书才能进行综合管控中心的合理部署。同样，客户端的