（计算机软件与理论专业论文）一个企业信息平台安全控制策略的研究.pdf

华中科技大学硕士学位论文 摘要 处于知识经济时代的企业，需要构建自己的以知识为中心的信息平台力能提高 企、的经营效率和竞争力。本论文的f 1 的就是要通过研究一个企业信息平台的安全 控制策略，为企业构建满足自身安全性需求的信息平台提供一个可以借鉴的解决方 案。 通过对各种丌发平台的分析，考虑到信息甲台需要有完善的通信手段和强大的 安全、权限及工作流管理机制，目前最流行的l o t u sd o m i n o n o r e s 群件系统无疑是 我们的最佳选择。由于我们需要的信息平台对f 安全性的要求非常高，因此我们采 用了以d o m i n o n o t e s 的c l i e n t s e r v e r 架构为主，b r o w s e r s e r v e r 架构为辅的访问方 式。 通过对d o m i n o n o t e s 平台的深入研究，我们发现：d o m i n o n o t e s 共提供了九层 安全机制，从外罕内分别为：网络、d o m i n o 服务器、用户认证、数据库、视图表 单、文档、区段编辑者、隐藏段落和编辑域。其中后面六个层次为应用级的安全机 制，这些应用级的安全机制也是我们在开发中着重研究的内容。 通过需求分析，我们将企业内部信息平台划分为不同的模块，主要分为公用模 块和部fj 模块。公用模块为整个公司员工服务，而部门模块则是单独为某个部门的 员工所使用。每一个模块对安全性上的需求都不同，安全控制上的复杂程度也不 样。通过不断地研究和实践，我们找到了如何充分利用d o m i n o n o t e s 在应用级上的 安令优势构建出满足这些安全需求的信息平台的方法，并最终在我们的信息平台上 实现了企q k 的知谚 和信息在严密的安全控制机制下的充分共享。 关键词：办公自动化信息平台安全性 华中科技大学硕士学位论文 a b s t r a c t i nt h ee r ao fm o d e m k n o w l e d g ee c o n o m y ，i t i sn e c e s s a r yf o rv a r i o u sc o r p o r a t i o n st o b u i l dt h e i ro w ni n f o r m a t i o np l a t f o r mt oi m p r o v et h e i rw o r k i n g e f f i c i e n c ya n dc o m p e t i t i o n a b i l i t y t h i s t h e s i si sf o c u s e do np r o v i d i n gas a m p l es o l u t i o nt ob u i l da ni n f o r m a t i o n p l a t f o r m ，w h i c h a sw e l le n s u r e st h e c o r p o r a t i o n s s e c u r i t yb yu s i n g t h e s e c u r i t y c o n t r o l l i n gm e c h a n i s m so f t h ei n f o r m a t i o np l a t f o r m a f t e re v a l u a t i n ga l l t y p e so fd e v e l o p i n gp l a t f o r m s ，t h em o s tp o p u l a rg r o u p w a r e ， l o t u sd o m i n o n o t e s ，b e c o m e so u rb e s tc h o i c e n o to n l yi t s p e r f e c t c o m m u n i c a t i o n f u n c t i o n s ，b u ta l s op o w e r f u ls e c u r i t ya n dw o r k f l o wm a n a g e m e n tm e c h a n i s m sm e e to u r d e m a n d sp e r f e c t l y c l i e n t s e r v e rm o d ei nd o m i n o n o t e sp l a t f o r mi sm a i n l yu s e di no u r s y s t e m b e c a u s es t r i c t r e q u i r e m e n t s o n s e c u r i t y a r en e e d e d a s w e l l ，c o n c e r n i n g c o n v e n i e n c ef o ru s e r s ，b r o w s e r s e r v e rm o d ew i l la l s ob es u p p o r t e di ns o m em o d u l e s w h i l et h es e c u r i t yi sn o tam a i nf a c t o rt ob ec o n s i d e r e d t h r o u g hi n v e s t i g a t i n gt h ed o m i n o n o t e sp l a t f o r m ，w ef o u n dt h a ti tc o n s i s t so fn i n e l a y e r so fs e c u r i t yf r o mt h eo u t s i d ei n ：n e t w o r k ，d o m i n os e r v e r , u s e ra u t h e n t i c a t i o n ， d a t a b a s e ，v i e w f o r m s ，d o c u m e n t s ，s e c t i o ne d i t o r , h i d d e np a r a g r a p h s ，a n de d i tf i e l d s t h el a t e rs i xl a y e r sc a nb ef u r t h e rc o n s i d e r e da sa p p l i c a t i o nl e v e l ，w h i c hi sw h a tw ea r e c o n c e n t r a t i n gi no u r r e s e a r c ha n dd e v e l o p m e n t a c c o r d i n gt o t h ed i f f e r e n tf u n c t i o n s ，w e s e p a r a t e o u ri n f o r m a t i o np l a t f o r mi n t o d i f f e r e n tm o d u l e s p u b l i cm o d u l e sa r eu s e d b y a l l e m p l o y e e so ft h ec o m p a n yw h i l e d e p a r t m e n t m o d u l e sa r e d e s i g n e df o rd e p a r t m e n t so n l y e v e r ym o d u l eh a s i t so w n r e q u i r e m e n t so ns e c u r i t y a f t e ro u rr e s e a r c h ，w ef i n dt h ew a yt os o l v ea l lt h e s es e c u r i t y p r o b l e m su s i n gs e c u r i t ym e c h a n i s m so fd o m i n o n o t e sp l a t f o r mi na p p l i c a t i o nl e v e l ，a n d f i n a l l yb u i l do u ri n f o r m a t i o np l a t f o r ms h a r i n g a l li n f o r m a t i o nw i t h i na l lu s e r su n d e rs t r i c t c o n t r 0 1 k e y w o r d s ：o f f i c ea u t o m a t i o n i n f o r m a t i o np l a t f o r m s e c u r i t y i j 独创性声明 本人声明所呈交的学位论文是找个人在导师指导f 进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他 个人或集体己经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集 体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名 f 嘲移 r 期：2 o o 斗年5 月7r 学位论文版权使用授权书 本学位沦文作者完全了解学校有关保留、使片j 学位沦义的规定，即：学校有 权保留并向困家有关部门或机构送交论文的复印件和电子版，允许论文被查测和 借阅。本人授权华中科技大学i 叮以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或 _ 描等复制手段保存和汇编本学位论文。 保密口，在 小论文属于 不保密囱。 ( 清在以上方框内打“”) 年解密后适用本授权书。 学位论文作者签名：；五r 伊 指导教师签名 p t 炯：一华年，月7 同 华中科技大学硕士学位论文 1 绪论 1 1 概述 现存的时代是知识经济的时代，仟何一个企业要想存这种全新的商业环境中牛 存下去，利用信息化的技术来提高企业的管理水平及工作效率已成为必然趋势。所 谓企v k 信息化，就是要使企业所有的知识和信息全部电子化，并通过网络充分共享 和传递，使企、【k 中的员工在任何时候、任何地点都能快速地在其访问权限之内获取 他需要的任何信息。同时，企q p 的所有员工也能够通过网络，在保证安全的前提下 实时地进行合作，以最高的效率共同完成自己的工作。这f 是我们对一个企业信息 化建设的基本要求。 f 是在这样的背景下，我所在的公司精伦电子在2 0 0 3 年初提出：希望构建一个 企业的内部信息平台。公司所有的员工都| j 以在这个平台内获取消息、共享文档和 协同i 作，将原先以书面形式流转公文的办公习惯全部电子化，使得公司员工能够 充分利用网络资源来快速、高效地完成自己的工作。通过建设和实施这个基f 知识 管理的内部信息平台，从根本上改变企业的内部管理模式，提高整体工作效率，增 强企、i k 的核心竞争力。 具体来讲，整个信息平台应该包括以r 这些基本模块： 邮件系统：企业绂的邮件系统无疑足信息半台中最不可或缺的核心部件； 信息发柿：每个企业的员工可以及时地在系统中获取最新的企、信息； 公文流转：电子化的公文流转系统将大大提高工作效率； 文档管理：企业的每名员工无论何时何地都叮以在严格的安全控制机制下存此 系统r ，获耿他需要的文档； 协作平台：多名员r ：在平台中进行协作，共同以最高的效率进行合作： f 动交流：员r 之i 司| 叮以在平台上进行技术交流，公司也可以通过下台调查民 意。 这样一个信息平台要求所有的信息在安全的前提卜允分的共享，但是，在信息 化的过柙- ，信息充分共享和信息灾令控制却是一对无牛的矛盾，如何解决好这个 华中科技大学硕士学位论文 矛盾足建立一个高效并且安全的企业信启、i r 台的重中之重。我们需要的足企、i k 的所 有信息住有效的安全摔制范闱内充分的共享，任何一点安全的漏洞部有可能对整个 企、l p 造成无法弥补的经济损失。举例来说，精伦电子是一个在全困各地捎j 有二：十多 个销售服务网点( 办事处) 的上市公司，我们公刊的销售及客户服务中心就需要有 一个文档管理系统，一方面，全国各地所有的销售人员可以在这个系统中随时查看 公一j 的销售公告、销售政策及产品技术文档，另一方面，用户对系统的访问必须遵 循严格的安令策略，不同地区，不同职责，以及不同职他的人员的文档访问权限是 完全不同的。所有这些文档无不涉及公司的产品技术及销售政策机密，如果一旦这 止j 文档被泄漏，其后果是小堪设想的。这就对我们的信息系统的安全性提出了很高 的要求。 在明确了公刊的需求后，将这个信息系统建立在哪种平台之上，以及是采用b s 还足采用c s 的麻用架构，就是我们需要考虑的最首要的一个问题了。 1 2 国内外研究与应用 1 2 1 平台的选择 可选择的丌发平台包括以f 二种1 1 , 2 1 。 1 ) 基于关系型数据库管理系统。该系统优点：数据处理能力强，访问速度快， 丌发1 具适用范围广。缺点：( 1 ) 在通信手段、广域网支持方面不够，系统的可伸 缩性和扩展性较差；( 2 ) 系统的安全和权限以及工作流管理由开发者在火系数据库 中实现，jr 发工作量人，维护较困难；( 3 )般采用c s 结构，客户端需要安装大 量的运行程序( 胖客户) ，安装维护较困难，扩展为i n t r a r t e t 结构有难度。 2 ) 基丁- 群件系统。其优点：( 1 ) 完善的通信手段和强大的非结构化数据支持能 力，系统的可伸缩性和扩展性较好；( 2 ) 系统提供强大的安全和权限以及上作流管 理机制，j 发周期短，稳定可靠：( 3 ) 稃序和数据一般放在服务器上，很容易与w e b 应用结合l ! 一起。缺点：处理结构化数据能力较弱，不擅长数据的计算、分析和统 汁，运行效率较低。目前是最流行的丌发平f p 。 华中科技大学硕士学位论文 3 ) 基于b s 结构的方式，利用c g i ( 过时) 、a s p ( 当前) 等技术进行j 下发。 优点：( 1 ) 该平台特别适合信息的奇询和组织，用户只须熟悉浏览操作，界而一致 简单：( 2 ) 易与i n t e m e t 上的其他系统结合，客户端只要装有i e 或n e t s c a p en a v i g a t o r 即可。缺点：j 】：发手段和能力有限，对于复杂的工作流和权限设置等要求显得j 小 从心。 通过上述分析比较并结合公司的需求，可以确定适合我们的最佳平台应浚足以 群件系统为基础和核心。目前，主要的群件系统 要有两种解决方案：基于l o t u s d o m i n o n o t e s 与基于m i c r o s o f te x c h a n g es e r v e r 进行设计开发。l o t u sd o m i n o n o r e s 足办公自动化领域应用最为广泛的通信处理和群件系统，自1 9 8 9 年正式推向市场以 来，在短短的时间里以其卓越超群的性能赢得了广大用户的青睐，实现了o a 的5 c 理念一沟通( c o m m u n i c a t i o n ) 、协作( c o o p e r a t i o n ) 、控制( c o n t r 0 1 ) 、创造( c r e a t i o n ) 、 和方便( c o n v e n i e n c e ) 1 5 , 6 1 ；而m i c r o s o f te x c h a n g es e r v e r 是微软公司新近推出的用 于大型商务应用的网络数据仓库，它本身也是一种邮件系统。它提供一种基于消息 的信息存储方式，即把所有的信息均看成一条消息，定义成统的方式来进行存储。 随同m i c r o s o f te x c h a n g es e r v e r ，微软公司提供了用于企业内部协同工作的w o r k f t o w 套件，它使用w i n d o w s2 0 0 0 的机制注册事件，用于捕获e x c h a n g es e r v e r 的邮件系 统所触发的事件，来进行流程的控制。使用e x c h a n g es e r v e r 结合w i n d o w s 2 0 0 0s e r v e r 【，j 以构建适合丁 企业的网络环境，提供电子邮件、用户管理、协同工作等服务，大 大提高企q k 办公的效率【7 1 。两种方案的特点比较如下。 1 ) w e b 支持：l o t u sd o m i n o n o t e s 融合ri n t e r n e t 和w e b 标准，可以将w e b 浏 览器作为n o t e s 的客户机，从而实现与i n t e r n e t 的高效率连接。目前的d o m i n o 版本 提供了丰富的w e b 结构，全而支持h t m l 4 、j a v a s c r i p t 、j a v a 等w e b 标准。而m i c r o s o f t e x c h a n g es e r v e r 将强大的工作流程工具与w e b 标准( 如x m l ，h 1 t r p ) 相结合，为 高性能w e b 应用程序提供了一个平台1 8 】。这方面，应该说用m i c r o s o f t e x c h a n g e s e r v e r 的解决方案的w e b 支持更加灵活一些，但是需要比l o t u sd o m i n o n o t e s 方案更多的 开发 _ 作鞋。l o t u sd o m i n o n o t e s 的方案在这方面的优势在丁二用户不需要知道如何 丌发网负就可以发布出1 f 常直观的州贝信息。 华中科技大学硕士学位论文 2 ) 天系数据库访问技术：l o t u sd o m i n o n o t e s 使用o d b c 标准存取异种数据库 的信息。通过n o t e s 内嵌的公式或l o t u s s c r i p t 语古，町以在n o t e s 文档中引入非n o t e s 数据库的信息，把现成数据转换成n o t e s 数据库。而m i c r o s o f te x c h a n g es e r v e r 使用 a d o ，o d b c 接r 1 可以十分方便地访叫各种类型的关系型数据库1 8 i 。从这个方碡l 米 说，m i c r o s o f t e x c h a n g es e r v e r 方案比l o t u sd o m i n o n o t e s 方案要稍稍占点优势。 3 ) 丌发工具：l o t u sd o m i n o n o t e s 的丌发工具主要是利用n o t e sd e s i g n e r 柬实 现，这种开发工具使用起来非常地直观和方便。而m i c r o s o f t e x c h a n g es e r v e r 这种方 案采用的均是微软公司的产品，兼容性和可扩展性较强，允许开发人员使用他们自 己已经熟悉的开发工具，利用已有的编程技巧，很容易地构建w e b 办公自动化应用 8 1 。这方面来说两个方案倒是不分伯仲。 4 ) 硬件平台的支持：m i c r o s o f te x c h a n g es e r v e r o u t l o o k 系统仅能在 i n t e l w i n d o w s 架构中使用，缺乏高性能服务器硬件平台的支持【9 j o 而i b m 的l o t u s d o m i n o n o r e s 则恰恰相反，它不仅可以运行在l i n u x 、s o l a r i s 、a i x 、0 s 4 0 0 等多种 、r 台之上，而且i b m 公司还为它专门设计了其专用服务器一莲花宝箱，使得l o t u s d o m i n o n o t e s 能够运行在更加稳定和高效的系统之上。 5 ) 安全性：这是我们最为关注的个项目。m i c r o s o f te x c h a n g es e r v e r 方案的 邮件客户端为o u t l o o ke x p r e s s 或o u t l o o k 等p o p 3 的工具，而我l f j 失n 道现今几乎所 有的网络病毒都是针对这些客户端进行丌发的，这说明这些客户端虽然使用起柬很 方便，但是却具有非常严重的安全性缺陷。而l o t u sd o m i n o n o t e s 的客户端就小存 侄这样的问题，由于严格的安全性特性使得n o t e s 的用户儿乎不会受到病毒邮件的 影响。另外，对于m i c r o s o f te x c h a n g es e r v e r 方案，信息平台巾信息的安全性必须借 助第一! 方的安全措施，并在开发中投入人量的精力才能实现我们的需求。而对于 l o t u sd o m i n o n o t e s 来说，很多安令性的措腌已经是与生俱来的，不需要我们进行 爪多的丌发。而m i c r o s o f te x c h a n g es e r v e r 方案的服务器是建立在脆弱的i i s 基础之 j 的，而d o m i n o 服务器则具有较强的安全阽利稳定性，甚至可以用作公司的防火 墙来使用1 1 。由这个方面来看，l o t u sd o m i n o n o t e s 方案无疑是最佳的选择。实际 i ，具白完善安全机制的d o m i n o n o t e s 在许彩埘信息安伞问题极为敏感的机构中担 华中科技大学硕士学位论文 纲管争天重要的消息传递平台【“1 ，比如美酮【：i 防部【1 2 】。也一是由_ r 安食性上的因素， 政府系统已全面采用l o t u sd o m i n o n o t e s 作为系统甲台。 从这几个方面综合考虑，l o t u sd o m i n o n o t e s 在硬件平台支持和安全性卜的优 势使我们的决策丌始向这个平台上倾斜【1 4 l 。另外，l o t u sd o m i n o n o t e s 还具有以下 一些特点。 1 ) l o t u s d o m i n o n o t e s 是以义档为中心、以邮件为联系纽带的工作流产品。它 管理电了文档的生命周期，把文档库作为一种组织内共享的资源让组织成员访问。 n o t e s 为丈现文档型工作流提供了多种文档管理功能【”1 。 2 ) 全面实现了非结构化多媒体文档数据库的管理与共享，具有严格的安全管理 手段，支持r s a 公共密钥密码体制的文件传输和文件的读写等多种权限控制【1 6 】。 3 ) l o t u s d o m i n o n o t e s 提供了一整套面向网络应用的，f ：发工具。其中包括：数 据库、表单、视图和字段的设计；可视化的导航器的定制；定义查询和检索机制： 设计和实现基于应用逻辑的安全和加密策略： 宏公式浯言；面向对象的高级编程 语言l o t u s s c r i p t ，等等| 1 7 】。 4 ) l o t u s d o m i n o n o t e s 具有曝同、可伸缩、可复制的f 1 录服务。它所提供的许 多功能本身即可满足h 常办公需要。另外，它足一个注重开放的系统，其所提供的 许多模板、编程语言和接口软件可以使用户方便地针对本单位的特殊需要升：发新的 应用系统1 1 8 l 。 5 ) 通信处理的基础设施基于c l i e n t s e r v e r 体系结构，支持多种主流的网络通讯 协议，如b a n y a nv i n e s 、n o v e l ln e t w a r es p x 、n e t b i o s 、n e t b e u i 、t c p i p 和 i p x s p x 。邮件系统支持s m t p m t a ，p o p 3 ，i m a p ，l d a p ，m i m e l l 。 6 ) 通过系统的复制技术，可以把系统中的重点数据放在系统的不州存储区域中 实现定时的列步复制备份副本。在超大数据量的系统中，根据实际情况的需要可以 设训多个服务器，通过服务器群集的策略实现数据的分布式存储与笛份【2 0 】。 7 ) 小论d o m i n o 安装在任何机器设备，其统一的管理界咖，强大的管理工具， 部r v 以使用户很好地管理系统i ! “。 刚时，m i c r o s o f te x c h a n g es e r v e r 的不足之处在于：微软存中国 i 场的重点没自 华中科技大学硕士学位论文 放存群什平台上。毕竟，微软的核心竞争j 个在于此。由丁微软产品线分l ：细致， 耍建讧一套办公自动化系统需要m i c r o s o f te x c h a n g es e r v e r 提供文档传递功能，需要 m i c r o s o f ts q ls e r v e r 提供内容存储、需要m i c r o s o f tw i n d o w s2 0 0 0i i s 提供w e b 服 务功能，再加上各种各样的丌发r 具，这就要求o a 项目j | ：发人员必须具有较深的 业技术背景才行【2 2 】。 综合上面因素，我们不难看到l o t u sd o m i n o n o t e s 无疑是实现我们企业的内部 信息平台的最佳选择1 2 3 , 2 4 1 。 1 2 2b s 与c s 基于w e b 的客户端有着原有特定开发的客户端所不可比拟的优势，其最重要的 意义在于将企业网站与后方系统相连，使客户、供应商或合作伙伴等整个供应链的 参与者方便地参与企业的业务过程，从而为食业利用现有的i t 系统实现电子商务提 供了条件。其次，对企业内部的员工来说，从w e b 上直接驱动工作流，更人程度地 支持和方便了异地办公，以w e b 页面作为控制界面具有一致、易用、不需安装专门 的客户端软件的优点。另外，w e b 应用程序| ：放、跨半台的特性使客户端程序只需 j 1 ：发个版本，便于系统的维护和升级【2 “。 客户月务器方式的o a ( 办公自动化) 系统建设最能适应o a 系统具有的分散 j 集中、普及与提高以及不断渐近的内在特色【1 6 j 。现存的r f ：多o a s ( 办公自动化系 统) 部足基于c s 模式的。这种模式具有较强的信息共享能力。它把应用程序和数 掘库系统放在分离的计算机上，通过网络连接，利用客户机与服务器合作完成处理， 具自智能化客户机或智能化服务器，“丁实现事务型o a s 、管理型o a s 和决策型 o a s i ”j 。但是，c s 的方式显然只适合在公卅局域网内部的用户，因为n o t e s 客户， 端对芹地用户来浣存在r 常维护烦琐、版本更新困难、占用人量资源、响心速度有 限等问题。但是，b s 方式的缺点同样是非常突出的，那就是安全性卜远远不及 d o m i n o n o t e s 的c s 方式。首先b s 方式是通过用户的i n t e r n e t 1 令束进行身份验 证，扫：服务器没有采崩s s l 加密措施h 、j ，其口令包括嘲上传送的数据通常是极易彼 截获的。而c s 方式则不同，它采用安令的标识符认证机制来识别用户身份，具数 华中科技大学硕士学位论文 抓的传输都是通过加密的方式进行的，所有的数据在 叫络上传输都是非常安全的。 如果n ：b s 方式上采用s s l 加密可以解决这个问题，但足，在经过s s l 加密后w e b 方式的访问速度往往也有了很人的下降，并 | 还大大增加了服务器的负载。特别要 说明的足d o m i n o 采用的安全性更强于s s l 的r s a 公用私钥算法，而且此锋法能 够消除数据截听和分组查找的可能性【2 ；l 。d o m i n o n o t e s 所提供的很多安全机制都是 建立在n o t e s 客户端的基础之上的，如客户端的执行控制列表、数据传送加密等等， 这些安全性只有使用了n o t e s 客户端才能够享有。同前柬况，我们可以认为n o t e s 是安全性最高的客户机月艮务器框架结构，是经过证明的安全性模型。有一点应陔注 意的是在d o m i n ow e b 服务器上对+ 个数据库丈档中的某个字段加密无效，是没有 意义的【2 8 1 。 实际上，公刮的内部信息甲台的目的是要使公司内部用户能够在安全机制的控 制f 及时获取公司的内部信息，安全性还是第一位的，并不希望员工能够从任何网 吧随意登录公司的内部信息平台。因此，从这个意义上来说，b s 方式不需要安装 特定客户端的优势反而成为了它的缺点。 凶此，综合以上所有这些因素，我们决定还是在c s 架构上实现我们的内部信 息甲台，但同时，我们也提供一些对安全性要求不是很高的系统的w e b 访问方式， 如企、l p 文化、舰章制度等等内容。这样就可以充分结合b s 与c s 的优势。 1 3 课题主要研究工作 1 3 1 信息平台安全性 一个信息平台成功与否，如何实现其安令性足最关键的问题。而我们之所以选 择d o m i n o n o t e s 作为此系统的平台，主要也是冈为d o m i n o n o t e s 具有非常全面的 安伞机制。这就要求我们必须从各个方面危分研究d o m i n o n o t e s 平台的安全机制， 并结合用户对信息平台的安全需求，全面考虑如何充分利用这些安全机制来实现信 息i r f 的安全性及各项功能。 华中科技大学硕士学位论文 = = = = = = = = = = ；= = = = = = = = = = = = = = = = = = = = = = 一： 1 3 2 安全性需求分析 食业对内部信息平台的需求有个整体i ：的考虑，而每个部fj 对信息平台又都 有自己的具体应用需求，并且每个模块对安全中牛的要求也都不样，我们需要调查 并整理清楚各个部门对系统的具体应用需求，埘有共性的部分进行整合，并最终划 分好具体模块。对每个模块，我们都必须与用户进行充分的交流，以分析清楚其工 作流的具体流程以及各项安全性需求。 1 3 3 设计实现及应用实施 证明确了所有的需求以后，就是具体在d o m i n o n o t e s 的平台上来进行开发，逐 个实现每一个需求。并为用户在n o t e s 客户端提供一个企q t 的门户，方便用户使用。 同时，每一个具体应用在实施后的后期开发工作量也是很大的，因为用户在使用过 程中会发现系统中存在的问题，并根据具体的需要不断提出新的需求，这就要求我 们对每一个具体的应用不断进行改进和升级，使得整个信息甲台越来越接近用户的 理想需求。 8 华中科技大学硕士学位论文 2 信息平台安全性 d o m i n o n o t e s 目前已经被世界备大企业及我国政府部r j “泛应用于安伞通信、 协作和商务应用之巾，并在消息协作市场中占有绝对的领导地位。它之所以能够得 到如此广泛的应用就是因为它具有完全的安会机制及强大的内部通信功能。这也是 我们选择这个平台的主要原因。本章我们将从各个安全级别上来分析d o m i n o n o t e s 的安全机制，以便于我们的信息平台能够充分利用这些安全优势来实现我们对信息 平台的复杂的安全性的要求。 2 1 企业信息平台的安全需求 首先，让我们具体分析一下企业在信息化过程中都有哪些安全性上的要求。 数据完整性：信息可以及时、准确、完整无缺地保存：在计算机网络上进行传 输时，信息也不会被篡改。 数据保密性：信息只能被其特定并j 户得到，除此之外任何人无权访问：在计算 机网络上进行传输时，信息也只能被发送方和接收方访问。 用户身份确认和认证：系统必须能够确认独立个体( 用户或程序) 的身份。 用户涝问控制：信息的拥有者i j 以分配用户的访问权限来保护某些敏感的资源。 数据不可否认性：信息的作者必须无法否认该信息是由他本人创建的。 住保证以卜安全性的前提下，一个企q k 的信息平台还应该能够让用户在毫不知 觉安令机制存在的情况下，自如地访问敏感信息。电就是说，所有的安全机制j 衄该 对最终用户是完全或尽可能的透明。 2 2d o m i n o n o t e s 提供的安全级别 扫：了解了企业安全需求后，我们再来看看d o m i n o n o t e s 所提供的安全级别。 d o m i n o n o t e s 所提供的安全级别从外罕内可以划分为九个层次【2 9 】，如图2 1 中所下。 最外层足限制访问d o m i n o 服务器所在的网络，而最内层则涉及d o m i n o 文档内的域 华中科技大学硕士学位论文 级别的安全性。任何一个用户必须通过这从 ：士0 下的每一层安令机制，彳能最后得 到他想要的信息。图2 1 实际上反映了访问秘限从上到下越来越严格的特性。 图2 1d o m i n o n o t e s 的安全级如 2 3d o m i n o n o t e s 公钥加密体系 所有n o t e s 的安全性都是建立在用户认证的基础之上【3 0 , 3 1 l ，而n o t e s 认证过程则 依赖于验证字：在用户和服务器之间表明信任关系的“电子证书”。验证字保存在 n o t e s 标识符文件中。n o t e s 将使用系列的加密技术，例如公共密钥和对称密钥加 密，电子签名和公共密钥验证字等，保证数据的可靠性和完整性，进而形成了n o t e s 的安全机制。 2 3 1 身份验证 当”一个l o t u sn o t e s 用j 、尝试连接到l o t u sd o m i n o 服务器时，客户端和服务器 将交换它们之问的验证字，通过检查验证字，客j 1 端将u l 别和鉴定服务器，嚼服务 器也将识别和答定用户。验证字是验计卉加到n o t e s 标以符文件中的数字符号信息， 它包括以卜| 信息：验证字所有者的名宁和细节、验证字所有者的公共密钥、验证者 0 公体之在密础立加基建钥系 、ljilii、，illliij、 华中科技大学硕士学位论文 的名字和细节、验证者的公共密钥和验i i f 字的过期r 期。咐n o t e s 标识符文件是 个储存l o t u sn o t e s 验证字和公莛私有密钥对的数掘库。在一个剧、或服务器被注册 后，系统会生成该用户或服务器的标识符文件，向所有的验证字信息就保存在这个 标识符文件之中。然后，该标识符文件被发到用户手中用于安装n o t e s 客户端。同 时，该用、1 的信息也被保存在服务器上的d o m i n o 目录之中。简单地说，在d o m i n o 的公钥加密体系r r l ，每个用户的公共密钥是存放在d o m i n of | 录之中，而私有密钥 则是存放在标i = 符文件之中。这样，在系统刘用户进行身份验证时，先从服务器的 d o m i n o 目录中寻找该用户的公共密钥，然后与该用户提交的私有密钥信息进行比 较，从而判断该用户的身份。实际上，d o m i n o n o t e s 还提供了非常完善的层次结构 验证机制，可以满足分支机构比较庞大的企业对企业复杂层次结构的需求。 2 3 2 数据完整性 数据库被复制或邮件信息在网络中路由传递时，有可能会被人篡改，为此我们 必须能够告诉别人他所收到的数据是否跟发出米的数据一致。在d o m i n o n o t e s 中， 数据的完整性是通过利用公共密钥和私有密钥对数据进行数字签名来实现的。 当一个用户对其发出的邮件进行签名时，n o t e s 将用哈希算法( h a s ha l g o r i t h m ) 根据邮件的内容产生一个摘要，并使用该用户的私有密钥来对此摘要信息进行加密 形成签名。n o t e s 在发送该邮件时，会把这个签名、用户的公共密钥以及用户的验证 宁附加到邮件数据中。 。1 邮件的接收者收到这封邮件后，n o t e s 将校验发送者的身份，并用发送者验汪 字中的公共密钥束对签名数据进行解密。如果解密成功，n o t e s 将指出谁是浚邮件的 签名肖。否则，n o t e s 将会提示不能识别该签名。通过这种方式，可以实现两个功能： 1 ) 发送者的身份被验证( 凼为摘要信息是用发送者的私有密钥进行的加密) ；2 ) 该 邮件没有被篡改( 因为由哈希算法产生的摘要信息是唯的) 。 2 3 3 数据可靠性 1 1 我们通过刚络发送数掘和邮件信息刚，任何能够利用删踪或电了监听等技术 华中科技大学硕士学位论文 截取网络包裹的人，原理上鄙可以在没 r 通过认证的情况下阅读您的数据。这显然 足一个非常严重的问题。d o m i n o n o t e s 利用公钥加密机制来刈数据进行j u 密以解决 这个问题。 在发送者加密信息时，n o t e s 产生随机加密密钥来加密信息，随机加密密钥本身 用接收者的公共密钥加密，然后附在信息上。当带有加密密钥的邮件到达时，接收 者使埘其私有密钥来解密。n o t e s 使用r s a 的r c 2 和r c 4 法则来为重要数据加密， 因此加密是有保证的，只有接收者的私有密钥才可以解密信息。 n o t e s 除了以上描述的邮件加密特性以外，还提供了其他一些加密信息的方法。 数据库、文档、域、和网络中的数据传输可以使用4 员1 二风采f 叮动交流i 培训园地 j 厂销服文档管理系统 ie r p 支持及文档管理系统 i技术支持培训及考试系统 跨部门流程优化信息平台 1销售中心合| 司管理系统 l销售中心项f i 跟踪系统 ii t 设备维护管理系统 l 研发设计更改管理系统 公用模块 l部门模块 幽3 1精伦内部信，皂、平台的模块划分 舟图3 1 中危边的模块为公司公_ e h 模块，而靠边的模块则是各个部门根掘自己 的_ 作需要提出的部门模块。所有这些模块都是建立存d o m i n o n o t e s 平台之f ：， 以d o m i n o n o l e s 邮件系统为核心的。住本蕈f i 自i 的小1 i 中，我们将就几个有代表性 的模块的安伞件需求进行分析和整理，并存卜章中i f 绌阐述这些安全性需求的实 华中科技大学硕士学位论文 现方法，以充分体现第二：章中介绍到的d o m i n o n o t e s 的安全机制是怎样破心刖到具 体系统之巾的。 3 2 公告栏安全性 公告栏的主要目的足为公司员工提供一个了解公司内部信息的平台。公告栏中 的信息分为二类：公司公告、部门公告和新闻。新闻与公告的区别在于是否发送邮 件通知，公告在发布后会给每一位读者发送邮件通知，以帮助员工尽快了解紧急信 息，而新闻则只是公布在公告栏内。所有这些发布的信息由于涉及公| 的一些内部 机密，部只能对公司的员上丌放。而公司的员工无论在局域网内还是在外出差都应 该能够随时查看。公i 】公告的读者范围是全公司的员h 而部门公告的读者范围则 是部fj 内的员工，每名员工都只能查看本部门的部门公告。另外，每一个公告或新 闻的发布又需要通过层层审查，只有在审查通过以后，这些信息才允许最终发如出 去。 图3 2 是公告发布的流程图。 3 3 企业文化、制度法规、工作文档库的安全性 企业文化：是为公司员工提供“一个了解公司概况、公司发展和公司产品的窗厂l ， 它最人的好处是可以帮助新员t 了解整个公司的食业文化，尽快融入这个大家庭。 制度法规：查看公司的规章制度以及与上作有关的国家法律政策。 工作文档库：提供工作表格下载，工作流程解释，以及工作技术指导等等。 j ：面j 个模块对安全性的要求是一致的，即公司所有的员工都对系统中的所有 文档具有读取的权限，但是没有修改的权限。系统巾所有文档的维护权限应该集中 赋予个系统管理员，山他来对系统中的文档统一进行增加、修改利删除的维护工 作。 华中科技大学硕士学位论文 二 n # 编。j * 一一 3 4 员工风采安全性 图3 2 公告发布流程剀 城工风采数据库中的信息包含三个力面。 1 ) 收集所有公司员工的基本信息，包括照片、邮箱、电话分机和手机号等等内 容，并提供员工基本信息的查询功能，方便大家互相了解并提高工作效率； 2 ) 为了保证用户信息的实时性，我们将邮箱地址的申请和关闭流程与本系统有 机地结合起来，也就是说，在新员i 到岗和老员广辞职时，他们都必须在这个系统 中走一个申请的流程，这样，既方便了员工邮箱的管理，又为系统及时处理员工信 息的变化提供了方便，保汪了员工信息的实时性。 3 ) 员工风采数据库提供了公一j 的组织结构库，即哪些部门或哪些科窀包含哪些 员l ? ，这样其他的数据库存需要套询公司组织结构数据时可以直接从员 胍采数据 库罩进行查询。 2 2 华中科技大学硕士学位论文 这样一个数据库对安全性的要求就比前面几个系统要复杂得多了。 1 ) 每位员r 的个人信息可以由他自己和管理员术进行维护，这样可以保证信息 的实时性，当他的个人信息发化变化时，他可以白行进j r 修改，同时，每位员】：在 系统罩也只能修改他自己的信息，绝对不允许他有权限去修改别人的信息； 2 ) 每位员工的个人信息中部分关键信息又是1 i 允许员工自己修改的，如邮箱账 号、所在部门等，这些信息在员工进入公司后一般是不会发生变化的，这些信息如 果不准确，会对系统的使用造成严重的影响，凼此足不允诈用户自己修改的： 3 ) 每个部门文员在申请邮箱账号时，只能申请术部门人员的邮箱；新建的邮箱 账号中清文档又只有指定的部门领导彳能进行审批；审批结束后必须在申请单卜留 有审批人的电予签名： 4 ) 我们需要为管理员管理数据库丌发一些管理功能，这些功能只能对管理员丌 普通用户无权查看和使用。 销服文档管理系统安全性 我们公司在全固有三十多个办事处和联络处，要想使这么多办事处的员t = 及时 公司的销售政策、技术资料、