电子文档安全管理方案(办公网安全解决 方案).doc

电子文件综合管理与控制系统实现方案1 概述随着信息现代化建设的不断深入，越来越多的文件以电子化的形式进行分发和存储。电子文件在使用上带来诸多便利的同时，其在管理和控制上暴露出的问题也日益突出，主要问题集中在使用不可控、传播不易追查等方面。为了适应广大用户日益增长的迫切需求，我所着手研发和建设实用、安全、高效的电子文件综合管理与控制系统，以满足现代化、网络化、电子化条件下对电子文件管理与使用的实际需要。2 系统需求概述2.1 功能需求电子文件综合管理与控制系统是对电子文件进行全方位管理与控制的应用系统，其要对电子文件整个生存周期进行管理与控制，包括电子文件的生成、保存、使用、销毁等各个阶段。系统应具备的基本功能有：2.1.1 安全录入能够通过本地编辑、在线编辑、向服务器提交等多种方式，针对DOC、PPT、EXCEL、PDF、HTML等文档格式，提供完善、一致的电子文件安全录入手段，保证受策略控制的电子文件在从录入开始就受到安全的控制与管理。2.1.2 自动化管理提供对受控档案的自动化归档及相应管理功能。可采用B/S模式，通过Web服务技术向用户提供全方位的多种应用服务，形成功能强大、应用灵活的统一管理系统。系统功能包括各种类型文档录入、数字资源分配和管理、数字内容分发和使用等方面。2.1.3 访问控制系统应支持粗粒度、细粒度两级访问控制，具有依据组织单位、角色等信息，针对电子文件实施访问控制的能力。粗粒度访问控制用来与单位组织机构、人员分工、职级别等管理相关信息对应，完成使用者是否有权存取电子文件的访问控制；细粒度访问控制与电子文件归档时所定义的策略有关，与使用者所具有的角色信息相关联，完成使用者可以如何使用电子文件的访问控制，如是否可以进行摘录、打印等等。访问控制应依托于认证中心所发放的数字证书完成强身份认证。2.1.4 支持离线应用在研究所及下属的各分支机构中，存在着大量的文档交换需求。而下属各分支机构通常与研究所之间无网络联接，无法使用依赖网络的认证和密钥协商来完成文档脱密。系统应当支持无网络联接情况下的离线方式文档解密及安全访问控制。离线方式下，受保护文档应能够正常解密并受到访问控制的保护。离线方式使用受控文档时，依赖于用户所具有的USB-KEY完成身份认证与内容解密。离线方式无需支持用户打印与编辑文档权限，通常是只读权限，必要时，需要控制使用次数或使用终端。2.1.5 预警、审记与追踪系统要综合运用多种保护技术，支持在文档使用时对用户的非法行为进行报警。系统要具备审记和追踪功能，可以依据多种手段对用户的电子文件使用行为进行审记，在必要的情况下，依照相关规定对对用户操作进行取证。能够通过技术手段对电子文件的使用情况、传播流程进行追踪，以有效防范信息失泄密情况的发生。2.1.6 权限管理系统要提供便利的电子文件权限分发、配置和回收机制。支持在必要的时候对已经下发的权限进行更改或回收。在特殊情况下，能够完成对电子文件的销毁。2.1.7 策略管理策略的运用应该构成系统应用的核心。系统应该具有良好的策略管理机制，从而支持整个系统在能够方便、灵活的满足用户不同层面、复杂多变需求的同时，具有非常好的扩充性。2.2 主要技术指标需求2.2.1 常规服务能力系统应具有电子文件管理相关的常规服务能力，包括文档的安全录入、自动化归档、受控分发和使用等，可以支持Word、PowerPoint、Excel、PDF等格式文档。2.2.2 集成能力系统应建立在统一的开发平台和接口标准之上，具有强大的与其它应用系统相结合使用的能力；同时应支持通过二次开发接口或其它方式，构建多平台联合服务体系，形成广泛使用、灵活集成、扩展性好的综合性系统。2.2.3 访问控制能力系统应支持粗粒度、细粒度两级访问控制，具有依据组织单位、角色等信息，针对电子文件实施访问控制的能力。粗粒度访问控制用来与我所组织机构、人员分工、职级别等管理相关信息对应，完成使用者是否有权存取电子文件的访问控制；细粒度访问控制与电子文件归档时所定义的策略有关，与使用者所具有的角色信息相关联，完成使用者可以如何使用电子文件的访问控制，如是否可以进行摘录、打印等等。粗粒度访问控制应依托于认证中心所发放的数字证书完成强身份认证；细粒度访问控制除完成强身份认证外，还要依托认证中心与系统中定义的各种证书完成加/解密、审记/追踪操作，提供普密级以上的安全支持。2.3 技术指标需求定性描述在实际应用环境下，经过完善配置的系统应可实现如下技术指标：1. 安全管理所支持的文件格式：Word、PowerPoint、Excel、PDF2. 所支持客户端类型:Windows 2000+SP4、Windows XP、Windows 20033. 支持的管理模式：基于组的用户管理或基于角色的用户管理(单选)4. 粗粒度控制包括：禁止使用、共享使用5. 细粒度控制包括：禁止使用、只读、打印、编辑、使用次数、打印次数限制、使用时间限制、使用地点限制6. 支持离线受限使用，保证离线文档正确解密并受控使用。离线使用时，不要求授与打印权限，不要求具有编辑权限，但需要支持使用终端控制和使用次数7. 支持用户数量5，000人8. 平均故障间隔时间(MTBF)10000小时9. 平均故障维修时间(MTTR)30分钟10. 典型配置下服务支持能力：1) 支持最少1000名客户并发在线使用；2) 峰值处理能力100次请求/秒；3) 每日服务能力10万人次；4) 每日最高服务请求处理能力100万次；5) 每日最高审记行为记录50万条。11. 网络兼容性：支持10M、100M和1000M 以太网，支持TCT/IP协议12. 服务器端兼容性：支持Windows 2000/2003，Linux 2.4以上版本13. 数据库兼容性：支持Oracle 9i、Microsoft SQL Server 2000/2005， MySQL 4.1以上版本2.4 其它需求2.4.1 安全兼容性出于安全及密码管理的考虑，对于系统内部所使用的密码设备（含密码基础设施和密码构件）的调用，都需要依照国家相应标准进行规范化、兼容化设计，以使所有密码相关部件满足不同层次密码管理与使用的需求，并在需求发生变化时，使系统最小程度修改的基础上就能够进行运行使用。2.4.2 可视化管理系统的所有子系统应该采用统一的综合可视化管理界面，实现对整个应用系统的高实时性、高易用性的监控和管理。2.4.3 系统监控出于可靠性考虑，对于系统内部的所有硬件设备、网络、以及应用程序必须进行实时监控，尽早发现和解决任何故障，以便系统最大程度上能够正常运行。3 系统实现原则基于系统的需求和特征，我们认为从技术研发和工程实施角度来讲，其实现应该遵循以下原则。3.1 紧贴用户实际需求，提供切实可行的管理手段电子文件格式众多，应用环境复杂，用户使用与操作习惯各异，而且用户数量巨大，不可能强行要求用户改变其习惯或遵守某种硬性规定来适应系统，只能由系统来充分考虑用户的实际需求，适应用户。3.2 按照密码统管思想统一设计，确保互联互通按照密码统管的思想，依托已有的标准化密码基础设施，构建统一的底层密码支持平台，坚持对密码设备与算法的严格要求，确保一致性，确保系统在不同应用平台下使用时的互联互通。3.3 采用成熟技术，充分利用资源借鉴国内其它大型系统开发的成功经验，尽量采用成熟技术，系统主要设备和支撑软件均使用主流产品，以提高系统可靠性，缩短研制周期。3.4 关键技术自主开发系统所涉及的关键技术，包括适合需求的权限描述语言设计技术、密码管理与应用技术等，需要坚持自主开发的原则，避免在安全管理与控制上不能深入底层，发生受制于人的情况。3.5 适应发展特点，具备集成与扩充能力系统设计中要充分考虑信息化系统发展的需要，系统建设中要积累具备基础功能、相对独立的开发平台技术，将与其它系统结合应用的支持做为扩展性的重点。系统功能可灵活配置，对外互连接口丰富易用，可依具体应用形式动态调整或以很小的代价集成，以适应系统未来功能更新、升级换代、构建多平台联合服务体系的需要。3.6 松散耦合性设计由于待建系统的对硬件、软件、网络、存储等各方面都有很高的要求，所以在整体方案设计过程中，应尽量降低各个层面之间的依赖性，使它们之间相对独立。松散耦合性设计会增强整个系统的可扩展性，利于系统各个层面的维护和升级。例如操作系统的选择不应依赖于服务器的硬件结构，这样未来对服务器的升级不会影响到整个系统。又如软件架构的设计应独立于硬件和操作系统平台，等等。3.7 标准化、规范化技术规范标准化有利于提高设计开发的效率，保持系统的可扩展性。在系统设计与实现中应采用目前IT领域的一些成熟标准，如：1) 以XML做为信息交换传输的标准格式2) 以MQ做为异步消息传递的标准机制3) 以SOAP/Web Service做为网络间服务调用的标准4) 以J2EE做为分布式系统运行环境4 总体技术方案4.1 系统架构4.1.1 整体组成系统整体结构组成的逻辑示意图如图4-1所示。虚线内的部份是系统平台自身所包括的部件，从整体上表示了内部部件间的逻辑层次和关系；虚线外的部份是已有（或在建）应用及系统所涉及的用户，表示了系统平台外部的应用需求调用与系统平台之间的逻辑关系。综合管控中心是系统平台的核心部件，负责响应用户管理服务器和授权服务器的请求，在密码运算和认证协议的支持下，完成用户初始化、用户角色定义、系统策略及用户自定义策略生成、电子文件归档存储等功能。综合管控中心是唯一的，它向所有的用户管理服务器和授权服务器提供服务，其间通过安全的信道进行连接。综合管控中心后台需要数据库与目录服务的支持，用来存储数字内容、安全策略、用户组织结构及角色定义等信息。综合管控中心获得认证中心CA的签名证书后才能为用户所接受。审记/追踪平台是系统平台的重要组成部份，其对所有的用户认证过程、满足策略定义要求的使用行为和重要事件进行必要的记录并提供丰富的审记与追踪手段，以便与行政管理等传统管理方式协作，形成对违规行为追究处罚的威慑，进一步提高系统的安全性。 图 41系统整体组成用户管理服务器针对具体应用设置，接受综合管控中心统一管理，一般情况下一个具体应用只设立一个用户管理服务器。用户管理服务器用来规划所属应用人员的组织结构，定义用户角色，将用户身份与用户代理相绑定，从而支持内部的身份认证，为访问控制的实施打下基础，为审记/追踪提供底层的不可否认性支持。授权服务器针对具体应用设置，接受综合管控中心统一管理，一个具体应用可以设立多个授权服务器。授权服务器支持集群，可以满足大量用户的并发请求需要。授权服务器的功能是完成客户端安全代理所提出的提交数字内容、获取数字内容、获取数字内容使用许可证等请求，具体实现粗/细粒度访问控制策略设置与应用。它接受客户端应用程序的调用，需要与用户代理相结合完成一系列复杂的密码变换，执行多步的安全协议以安全、正确、可信的将策略应用到数字内容，或获取所需要的数字内容使用权。授权服务器是系统的关键部件。用户代理是系统引入的用来标识或绑定用户真实身份的密码对象，它可以是USB-Key，也可以是加密卡。只要能完成用户私钥的安全存储、具有独立加/解密运算功能的实体都可以做为用户代理。用户代理经认证中心CA的签名后有效。客户端安全代理面向所有客户端应用程序提供服务，它负责与用户代理交互，利用其加/解密运算能力完成一系列复杂的密码变换，同时与授权服务器通信完成用户身份认证、策略生成、策略应用、加/解密数字内容等实质性工作。客户端安全代理与客户端应用程序相配合，保证数字内容的安全、可控使用，是系统的关键部件。客户端应用程序具体完成电子文件的编辑、归档和使用工作，它可以是通用常规应用软件，也可以是配合系统使用的专用软件。无论采用哪种形式，其必须保证以某种技术手段与客户端安全代理相关联并完成相互认证，同时忠实的将用户所定义的安全策略应用到数字内容，使数字内容受到高强度的加密保护；或按照策略定义的使用要求，保证用户安全、可控的使用数字内容。认证中心(CA)、RA是标准化CA中心的有机组成部份，整个系统在密码基础设施使用上接受其管理，由其签署证书才能进行综合管控中心的合理部署。同样，客户端的具体用户，也要持有其签名的用户代理证书，才能为系统所识别和承认，从而纳入系统的统一管理与控制体系。在密码信任链上，认证中心构成了综合管控中心与用户两端的可信根。用户泛指系统功能的使用者。特殊情况下，用户可以是具有某些管理功能的使用者，如对电子文件进行归档管理的管理人员，但是其一样要通过用户代理与客户端安全代理的结合使用获得相应的功能权限。4.1.2 功能层次划分电子文件综合管理与控制系统在功能层次结构上分为做为基础服务支撑的核心层、面向管理人员提供服务的管理层和面向普通用户提供功能支持的应用层三个层次，具体的系统功能组成如图4-2所示。图 41系统功能层次划分4.1.2.1 核心层核心层包括密码支撑服务、策略制定服务、策略应用服务、存取控制服务、审记支撑服务、集群支撑服务和认证接口服务。密码支撑服务是系统最基本的核心服务，是保障系统安全的基础。它利用用户代理或其它软/硬件形式的密码服务构件，完成密码运算，如加/解密、签名及签名验证等等，从而支持其它核心服务，如面向数字内容的策略制定与应用、审记和认证等等。策略制定与策略应用服务面向管理层与应用层提供策略相关功能支持，分别支持系统级/用户级策略制定，支持对电子文件应用规定的策略以保证电子文件受到高强度的加密保护并按所定义策略受控使用。存取控制服务与管理层的用户管理服务相互协作，完成电子文件的粗粒度访问控制。审记支撑服务在密码支撑服务和认证接口服务的支持下，有选择的对用户获取/使用电子文件的过程行为，特别是一些非法或违规行为进行记录并保证其不可否认性，从而为管理层的审记查询服务提供支持。集群支撑服务在保证系统安全的前提下，支持授权服务器集群。认证接口服务依托密码支撑服务，向管理层与应用层提供认证接口，保证上层所有操作行为都经过安全可靠的认证手段加以验证，同时为审记/追踪提供基础支持数据。4.1.2.2 管理层管理层包括用户管理服务、系统策略管理服务、审记查询服务、远程备份服务。用户管理服务定义用户对应的组织机构形式和角色，完成用户与用户代理的绑定，在核心层策略应用服务、存取控制服务、认证接口服务的支持下完成细粒度/粗粒度的访问控制和用户认证功能。系统策略管理服务在核心层策略制定服务的支持下，完成系统级的策略制定与管理。系统策略在全系统指定范围内有效，属于需优先满足的高级策略。审记查询服务在核心层审记支撑服务的支持下，以灵活、方便的可视化形式向系统管理者提供强大的审记/追踪记录查询功能，该功能具备高级过滤能力，支持各种方式的组合查询，满足在海量审记/追踪记录中高效检索所需信息的要求，同时可在策略允许的条件下，提供必要的不可否认证据信息输出功能。远程备份服务是功能相对独立的管理层应用服务，支持在远程对关键数据进行安全异地备份和故障恢复，支持一定的远程数据维护与管理功能。4.1.2.3 应用层应用层包括交互认证服务、用户策略服务和访问控制服务。交互认证服务在核心层密码支撑服务和认证接口服务的支持下，完成应用程序与客户端安全代理间的交互认证，使双方建立互信基础，共同完成对电子文件可信、受控的操作。用户策略管理区别于系统策略管理，其定义的策略只在用户所生成的电子文件上有效。访问控制服务是应用层的关键部件。它与核心层的密码支撑服务密切配合，控制应用程序完成符合策略定义要求的电子文件使用。4.2 子系统划分本系统从软件层次上讲可以划分为下面几个子系统：l 策略管理子系统。策略管理子系统是系统应用的核心，它负责根据具体应用需求制定符合应用特点的各种策略，包括粗粒度/细粒度的文件访问控制策略、审记追踪策略、取证策略、系统管理策略等，所有系统行为必须在某一或某些特定的策略约束之下。在该子系统的支持下，整体系统能够方便、灵活的满足用户不同层面、复杂多变的需求，同时具有非常好的扩充性。l 用户管理子系统。它负责完成应用系统用户的管理，如定义组织机构、角色等，最重要的是它需要完成应用系统用户与用户证书的绑定。同时，它还负责完成应用系统用户信息与本系统维护的信息之间的同步。l 认证授权子系统。它负责对客户端的访问控制请求进行认证，并在完成认证后对其操作行为进行授权。作为本系统的中枢，认证授权子系统负责对认证请求及授权申请进行解释、分解，将请求转化为一组内部逻辑协议并提交或返回给客户端代理系统，由其完成具体的访问控制操作，同时其还负责将请求信息进行记录，交由审记追踪子系统综合汇总，以形成完整的数据处理结果。作为本系统的调度中心，它还负责对所有的业务流程进行监控与管理。l 客户端电子文件安全代理子系统。它负责将用户权限与数字内容相捆绑，并通过与应用系统软件的紧密配合，实现对电子文件的全方位、细粒度的有效管理与控制。通过与认证授权子系统、审记追踪子系统的密切配合，完成针对电子文件的事前保护、事中预警、事后追踪三个层面的全生命周期的安全管理。l 审记追踪子系统。审记追踪系统在认证授权子系统的支持下，记录策略定义的用户行为信息，并以灵活、方便的可视化形式向系统管理者提供强大的审记/追踪记录查询功能，向审查者提供必要的不可否认性计算机行为取证信息。实际上，除了上述的几个子系统之外，在系统内部还有其它的子系统，包括CA交互子系统、密码基础设施子系统等等，由于它们与其他子系统之间逻辑接口相对简单，而且没有涉及本系统相关的复杂的密码相关业务处理过程，只是提供最基本、最通用的密码调用支持，因此，在这里我们不对其进行阐述。4.2.1 策略管理子系统4.2.1.1 主要功能策略管理子系统做为电子文件综合管理与控制系统的核心，其主要功能包括：1) 完成常规的系统策略信息维护，包括创建、修改和删除等，涉及的策略为根认证服务器配置策略、授权服务器配置策略、用户管理子系统配置策略。2) 完成电子文件使用相关策略信息维护，包括创建、修改和删除等，涉及的策略为对电子文件使用行为进行细粒度访问控制约束的电子文件使用策略，包括应用于整个系统的全局性策略和用户自定义策略。3) 完成日志策略信息维护，包括创建、修改和删除等，其定义了用户管理子系统、认证授权子系统、客户端电子文件安全代理子系统、审记追踪子系统和文件存储子系统如何进行日志信息记录。4) 完成审记/追踪策略信息维护，包括创建、修改和删除等，其定义了认证授权子系统如何为审记追踪子系统记录相应的审记/追踪信息，如信息的粒度等。4.2.1.2 模块划分策略管理子系统模块划分如图4-3所示。其模块与主要功能一一对应。许可证处理模块为一个通用模块，用来完成证书、许可证的解析和验证。图 42策略管理子系统模块划分4.2.1.3 与其它子系统间关系策略管理子系统是系统应用的核心，所有其它子系统都必须与其交互以获得相应的策略信息，其子系统间关系如图4-4所示。策略管理子系统将所生成的策略全部安全的保存目录服务器。图 43策略管理子系统与其它子系统关系4.2.2 用户管理子系统4.2.2.1 主要功能用户管理子系统是为电子文件综合管理与控制系统提供用户管理相关支持服务的，其主要功能包括：1) 完成常规用户管理操作，包括基本信息录入等。2) 完成组织机构的定义与维护。3) 完成角色的定义与维护。4) 完成用户与用户代理所关联的用户证书之间的绑定。5) 完成用户信息与系统目录服务器之间的同步。4.2.2.2 模块划分用户管理子系统模块划分如图4-5所示。其模块与主要功能一一对应。策略查询模块负责与策略管理子系统交互以获得用户管理相关的配置策略。图 44用户管理子系统模块划分4.2.2.3 与其它子系统间关系用户管理子系统是与其它子系统之间交互并不紧密，这是系统面向具体应用独立性设计的结果，它只通过策略查询模块与策略管理子系统交互，以获得日志记录的相关策略。用户管理子系统通用用户信息同步模块，将其所管理的用户、组、角色信息与系统目录服务同步。用户管理子系统可以操作局部目录服务库和归属于自己管理的数据库。4.2.3 认证授权子系统4.2.3.1 主要功能认证授权子系统的主要功能是：1) 完成对系统用户的内部认证。2) 完成系统用户密钥等秘密信息的生成和加密保管，以使用户在系统内具有统一的密钥，同时为意外情况（如丢失用户代理）恢复已加密信息提供基础条件。3) 完成对系统用户的授权，包括对电子文件使用的授权。4) 为审记/追踪提供必要的记录和不可否认性证据。4.2.3.2 模块划分认证授权子系统的模块划分如图4-6所示，其通过向目录服务进行用户信息查询，最终决定是否为用户颁发其所请求的使用授权。图 45认证授权子系统的模块划分4.2.3.3 与其它子系统间关系认证授权子系统与其它子系统之间的关系如图4-7所示。它可以查询目录服务库，但是不能修改。图 46 认证授权子系统与其它子系统关系4.2.4 客户端电子文件安全代理子系统4.2.4.1 主要功能客户端电子文件安全代理子系统的主要功能是：1) 对用户使用电子文件的行为进行符合策略定义要求的细粒度的访问控制，包括读、写、打印、时间与次数限制等等。2) 采用显水印技术对用户的非法行为进行警告。3) 采用隐水印技术对非法行为进行取证。4.2.4.2 模块划分客户端电子文件安全代理子系统的模块划分如图4-8所示。图 47 客户端电子文件安全代理子系统的模块划分4.2.4.3 与其它子系统间关系客户端电子文件安全代理子系统与其它子系统之间的关系如图4-9所示。它不参与数据库与目录服务库的任何操作。图 49客户端电子文件安全代理子系统与其它子系统关系4.2.5 审记追踪子系统4.2.5.1 主要功能审记追踪子系统的主要功能是：1) 对用户联机使用电子文件行为进行审记。2) 对用户非法使用行为进行追踪以确定路径。3) 对用户行为进行不可否认性的数字取证。4) 与策略管理子系统和认证授权子系统联动，及时制止用户的非法行为。4.2.5.2 模块划分审记追踪子系统的模块划分如图4-10所示。图 410审记追踪子系统模块划分4.2.5.3 与其它子系统间关系审记追踪系统与其它子系统之间的关系如图4-11所示。审记追踪系统可以查阅系统数据库相关表内数据，但是不能修改，但在系统策略许可的条件下，它可以联动的部份修改目录服务库中指定的相关策略。图 411审记追踪子系统与其它子系统关系4.2.6 文件存储子系统4.2.6.1 主要功能文件存储子系统的主要功能是：1) 对关键数据进行本地备份，包括数据库和目录服务数据。2) 对数据进行安全的远程备份3) 对集中管理的电子文件进行符合权限限定策略的搜索4.2.6.2 模块划分文件存储子系统的模块划分如图4-12所示。图 412文件存储子系统模块划分4.2.6.3 与其它子系统间关系文件存储子系统与其它子系统之间的关系如图4-13所示。文件存储子系统可以不受限制的复制系统数据库与目录服务库。图 413 文件存储子系统与其它子系统关系4.3 可扩展应用架构整个系统具有良好的可扩展性，无论系统面对的具体应用形式如何，都可以通过我们定义的扩展应用架构进行无改动或很少改动后的扩展使用。系统的可扩展应用架构如图4-14所示，图中的系统服务器主要是指认证授权服务器。扩展涉及的应用对应图中所示的具体应用系统，而系统服务器位于应用服务器端代理之后。而无论是客户端的应用程序还是具体应用系统，都不允许与系统服务器直接交互。面向客户端，应用程序需要通过客户端安全代理与系统服务器交互；面向服务器端，具体应用系统需要通过应用服务器端代理使用本系统提供的针对特定应用系统的受限功能。一般来说，本系统生成的客户端和应用服务器端安全代理是一个(组)具有自保护功能的程序(程序集)。客户端代理具有通用性，以满足复杂多样的客户端应用程序的普遍需求；应用服务器端代理具有专用性，满足特定应用在指定范围内的专项需求，如用户同步、授权后权限处理等。通过应用服务器端代理专用化，可以针对不同应用开发不同的应用服务器端以适应应用的变化和发展，减少对系统服务器所提供基础功能造成的影响；通过指定专用应用服务器端的作用范围，可以起到防止错误扩散，增加安全性，降低审记与追踪难度，提高操作效率的作用。本系统的可扩展应用架构具有如下特点：简单直观，表明本系统提供了其所必须提供的通用的面向电子文件安全管理与控制的应用支撑。有利于保证本系统的安全性，尤其是认证/授权服务器的安全性。与应用耦合性小，功能的封装性好。客户端应用程序与服务器端具体应用系统之间可能存在通过网络通信构成的交互调用的可能，但不在本系统安全管理与控制范围之内。客户端应用程序与客户端代理、服务器端具体应用系统和应用服务器端代理、客户端代理和系统服务器、应用服务器端代理和系统服务器之间需要互相认证，以保证调用合法性。这点由系统密码相关的设计所保证，其根本是依托与专用的公钥密码基础设施与相应的密码构件。图 414可扩展应用架构4.4 实验室部署在实验室环境下，系统只满足基本功能，立足于对所建应用进行测试，同时为测评认证提供基本环境，因此功能集合有所合并。图4-15为在实验室环境下，系统整体部署的示意图：图 415实验室条件下系统部署模拟中心机房相对独立，包括综合管控中心、认证授权服务器、后台数据库及目录服务三个组成部份。其中，考虑到实验室的建设情况及系统在实验室部署的目的，综合管控中心集成性的包括了审记追踪子系统、策略管理子系统、文件存储子系统、用户管理子系统、军用CA交互子系统。数据库与目录服务库统一部署在模拟中心机房，接受认证授权服务器和综合管控中心的统一调用。即使在实验室环境下，认证授权服务器必须独立存在，因为其可能需求相应的保密设备，如指定的密码卡的支持。在实验室环境下，认证授权服务器不具备集群能力。综合管控中心的用户管理服务器模拟管理应用所涉及的用户信息，从而为支持用户认证与访问控制提供基本支持。用户在模拟应用系统内可以通过直接访问综合管控中心的文件存储服务来完成电子文件的提交或获取。在实验室环境下不部署CA和RA，而是使用二级CA及相应的RA，只完成测试用认证授权服务器和测试用户的证书发布。具体来说是签署认证授权服务许可证和用户代理证书，用来使认证授权服务器可以为用户所认可，同时认证授权服务器也可以对用户实施基于公钥密码体制的强身份认证。测试CA只需要通过安全途径将证书传递实验室即可，因此相对独立。在客户端要同时部署客户端电子文件安全代理子系统。这个子系统属于直接面向用户应用的终端应用系统，所以只在通用的Windows平台下运行，且不区分实验室环境还是实际应用环境。也就是说，从用户体验来讲，实验室环境和实际应用环境是一样的，这样有助于在实验室环境下就模拟出实际应用的各种情况从而直接满足用户的需求并统一用户体验。4.5 实际应用部署在实际应用环境下，系统要满足各种各样的应用系统需求，因此需要完成系统定义的所有功能，并同时考虑性能、兼容性、稳定性问题。图4-16为在实际应用环境下，系统整体部署的示意图：图 416实际应用条件下系统部署在实际应用环境下，电子文件综合管理与控制系统中心机房相对独立，包括综合管控中心、授权服务器集群、审记/追踪平台、文件存储管理平台、后台数据库及目录服务等部份。数据库与目录服务库通过安全专线与远程备份中心相连，按照系统安全备份相关的要求进行实时或定时备份，同时支持远程故障恢复。与实验室环境不同的是，实际应用中的综合管控中心只包含策略管理子系统、CA交互子系统两个子系统，而认证授权子系统独立为授权服务器集群，审记追踪子系统独立为审记/追踪平台，文件存储管理子系统独立为文件存储管理平台。此环境下，文件存储管理平台具有完备定义的功能集合，支持安全专线支持下的远程备份，支持数据冗余备份和迁移；而审记/追踪平台则可以由区别于系统管理员的专门的审记人员担任，职责更为清晰，权力互相制约的特点更为明显；最为关键的是，即使在使用密码设备（如专用密码卡）的情况下，认证授权服务也可以进行集群，以应对大量用户并发请求的需要。系统下属各应用应独立架设支持冗余备份的用户管理服务器。用户管理服务器通过安全信道与综合管控中心相通信，将应用所涉及的用户信息提交给系统，以支持用户认证与访问控制。对于实时性要求很高的应用，可以在应用系统内部架设分布式数据库，用来存储系统中心数据库中与具体应用相关的电子文件数据。用户在应用系统内可以通过直接访问内部的分布式数据库来完成电子文件的提交或获取，该数据库定时与中心数据库进行同步。在实际应用系统中，应部署相应的CA与RA，根据应用系统的规模，可以采用使用二级CA或三级CA的密码基础设施应用模式。CA和RA与系统独立存在，在密码关系上对认证授权服务器（含其集群）和各应用系统所涉及的用户(或用户代理)进行管理，具体来说是签署认证授权服务器服务许可证和用户代理证书，用来使认证授权服务器可以为用户所认可，同时认证授权服务器也可以对用户实施基于公钥密码体制的强身份认证。CA需要通过安全途径将证书传递给系统和用户，例如通过机要交通或严格管理的组织机构等等。专用的加密防火墙软件部署在各应用系统与电子文件综合管理与控制系统中心之间，用来保证信道的安全、可用，同时防止与外部直联时可能出现的无法定向的攻击行为，避免不可追查的冗余记录信息对审记/追踪造成影响。5 非功能性需求系统除了需要满足用户提出的功能性需求，还必须考虑到非功能性需求。虽然每个非功能性需求并不能直接给用户带来收益，但是如果不考虑到非功能性需求，则作为工程实施来说系统可能根本无法使用。在本系统中，我们主要针对下面给出的几个非功能点进行了考虑，并设计了相应的解决方案。5.1 性能系统在性能上的要求主要体现在实际应用环境下。主要包括支持用户数量、并发用户数量、认证与授权速度、数据本地/异地存储量、受控文档搜索速度等。在典型实际应用配置条件下，性能相关的指标要求如下：1) 支持海量(十万级以上)用户的统一管理与身份认证，身份认证时间小于10秒；2) 支持海量(百万级以上)数字内容的权限验证、配置、管理与转移，权限验证时间小于20秒，权限转移时间小于10秒；3) 最少支持5,000用户在线请求服务；4) 峰值处理能力大于1,000用户服务请求/秒；5) 数字内容加密及权限应用速度大于260MB/秒；6) 审记与权限策略管理违规联动时间小于10秒，追踪时间小于60分钟；7) 支持匿名用户数量大于10,000名，并能完成违规自动化处理；8) 本地取证时间小于30分钟，网络取证时间小于1分钟；典型实际应用配置标准如下：标准服务器端配置为：根认证服务器(2 个双核2.1 GHz处理器，16GB 内存，6 个 FC-AL 磁盘驱动器，2 块 PCI 加密卡)；三个授权服务器构成负载均衡集群(2 个双核2.1 GHz处理器，8GB 内存，2 个 FC-AL 磁盘驱动器，1 块 PCI 加密卡)，三个数据库服务器构成负载均衡集群(2 个双核2.1 GHz处理器，16GB 内存，6个 FC-AL 磁盘驱动器，ORICALE 9i)。操作系统为RedHat Linux Enterprise 4.0。标准客户端配置为P4 2.0G处理器，512M内存（DDR667），Windows XP操作系统、软件加密算法、基于USB-Kye(16位)的终端密码认证构件。5.2 可靠性任何一个系统的正常运行都需要保证其可靠性，一个轻易就会崩溃的系统无法让用户正常使用，可以会使得系统的维护非常频繁。系统可靠性对外主要体现为下面的几点：1) 系统平均无故障运行时间。这个指标表示的是在两次系统故障之间，平均意义下的正常运行时间，这个指标越大越好；2) 系统平均恢复时间。这个指标表示的是在系统崩溃了之后，操作人员将系统恢复正常，重新开始运行所需要的时间，这个指标越短越好；3) 一旦系统崩溃，会造成何种损失；为了尽量延长系统平均无故障运行时间，在项目经费允许的情况下，系统在方案设计上应采取如下措施：1) 尽量保证无单点故障。这一点体现在硬件上，包括应用服务器主机的冗余（集群方式）、磁盘阵列备份等，在某一个设备损坏的时候，其他的设备可以启动热备份，立刻替代原有设备进行后续的服务。体现在数据上，则表现在系统中的数据备份策略上，重要的数据文件都将被备份到容灾系统中。2) 采用公开的、成熟的平台与硬件，例如Linux、Weblogic、Oracle，还有SAN、SCSI、光纤网、以太网等技术；3) 进行详细的系统架构分析与技术风险分析，在前期解决所有的技术难题，保证实施的应用系统能适应多种错误情况，同时建立完善的异常处理机制。为了尽量缩短系统恢复时间，系统在方案设计上应采取如下措施：1) 提供对数据库与数据文件的恢复手段，在数据库损坏或者数据文件损坏的时候可以将历史最近的数据库通过数据库恢复工具重新导入，数据文件损坏的时候可以通过磁带或者容灾系统进行恢复；2) 通过统一的监控平台对各个子系统进行监控，在最短的时间里面让操作员知道错误的发生；3) 通过系统日志记录系统的运行情况，在发生程序错误的时候可以迅速定位错误进行修正；此外，在系统崩溃的时候，在本系统可能会造成以下后果：1) 简单崩溃，不损坏服务器本机文件系统与相关数据库。会造成当前运行请求的中途失败，但是由于数据库与文件系统都没有损坏，因此在系统重新启动以后仍然可以重新运行，故障恢复时间短；2) 系统崩溃，服务器本机文件系统或者数据库被损坏，热备数据库没有损坏，容灾系统有本机丢失的数据。系统可以通过热备的数据库与容灾系统进行恢复；3) 系统崩溃，服务器本机文件系统或者数据库被损坏，同时热备数据库或者容灾系统也没有数据。需要使用备份的数据文件进行恢复，但是在最近一段时间系统的变化将可能会被丢失，会造成数据损失。不过这种情况见相当少见，概率极低；系统相关的可靠性指标如下：1) 平均故障间隔时间(MTBF)10000小时2) 平均故障维修时间(MTTR)30分钟3) 系统热备份频率1次/小时5.3 可维护性可维护性表现为系统管理人员、操作人员以及普通使用者在对系统进行操作（包含管理性工作和常规使用）是否方便，以及在系统出现故障的时候是否可以快速、精确地定位到错误处。在本方案中，采用了以下的措施加强系统的可维护性：1) 各个子系统的用户界面与操作方式具有统一的风格。界面风格的一致保证了管理者在各个子系统间切换时具有相对的熟悉程度，也保证了使用者在各个终端、各个配置策略下对系统的使用方法具有一致性2) 系统日志信息的完整性。这里所指的日志是系统操作及运行的相关记录信息。所有系统运行过程中出现的错误与异常都被记录在了日志文件中，同时对操作员有意义的错误还将显示在用户界面上。同时，管理员可以修改日志模块的配置，以记录更加详细的日志信息5.4 经济性通过网格的设计，系统中的服务器及存储设备可以采用渐进方式，根据系统当前的实际负载逐批添加，也可以根据实际负载进行动态调度。通过面向服务架构设计，系统各部分之间及系统与外部系统之间的接口采用规范的设