浙电办公自动化系统的安全控制策略.doc

浙电办公自动化系统的安全控制策略一、引言办公自动化系统（即通常所说的OA系统）目前已在越来越多的企事业单位得到了应用与推广。随着OA系统使用量的增大、存放的数据增多，以及与业务管理更加紧密地结合，它的安全性就被提升到更加重要的位置。因此，如何做好办公自动化系统的安全控制工作就成了一个非常重要和紧迫的课题。本文以浙电OA系统为范例，讨论办公自动化系统在保障电子文件的安全性方面所采用的各种应对策略。浙江电力办公自动化系统（浙电OA）是一个充分利用先进的科技手段和通信技术，实现电子化、网络化管理的办公自动化系统，也是一个实现企业内部决策科学化的辅助决策系统。该系统从1999年开始在浙江电力全行业范围内推广，到现在已经有100多家单位实现联网运行，各个联网单位内部实现了电子文件单轨制流转，所有联网单位之间都实现了电子文件的收发。目前在网上流转的应用包括了八个子系统、四十多个应用模块。省公司本部仅文档信息就有近十万条记录（98年后大多为全文信息），容量约为10GB。2001年、2002年两年，浙电OA系统连续在国内获得大奖，得到了各界专家、用户的一致好评，其中系统的安全性是得到重点推荐的特性之一。下面，我们就从电子文件的特性、安全技术等方面入手，来系统分析浙电OA的安全控制策略。二、电子文件特性分析浙电OA安全控制的核心内容是确保其产生的电子文件的完整性、可靠性和真实性。这里首先必须对电子文件这一高科技产物的特性进行分析。我们认为，电子文件的特性主要有：（一）电子文件是数字化信息技术的产物。（二）电子文件对设备的依赖性。（三）电子文件载体的非直读性。（四）电子文件物理结构与逻辑结构的复杂性。（五）电子文件对元数据和背景信息的依赖性。（六）电子文件信息与载体的相分离性。电子文件所具有的特性充分说明了它与传统的纸质文件的区别，所以，它所面临的安全威胁也与以往纸质文件有很大的不同，这方面主要有：窃取信息、篡改信息、身份假冒、信息抵赖等。为了能够抵御这些安全威胁，在办公自动化系统的正常运行中必须采取相应的安全措施，以满足信息加密、身份认证、数据签名、信息完整性和不可抵赖性等安全需求。而要实现这样的目标，我们认为，最有效的方法就是把各项安全措施细化到电子文件的各个元数据上。根据国家行业标准和国际惯例，电子文件的元数据可以划分为四个层次，即内容特征层、登记处理层、保管利用层和结构与背景信息层等，其中前三层主要针对单个电子文件的流转、保管，第四层是针对批量文件的保管、备份以及系统管理层的内容。通过电子文件元数据的有效划分，使我们很容易针对不同类型的元数据，制定出相应的安全策略和管理规范，从而把OA系统的安全管理落到实处。三、安全技术分析在分析了电子文件的特性之后，我们又对目前可以在办公自动化系统中采用的安全技术手段进行调研分析，认为主要有以下几种：（一）PKI技术。公共密钥基础架构（Public Key Infrastructure，PKI），从字面上讲，就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI由公钥证书、证书分发机构（CA）以及对所涉及各方的合法性进行检查和验证的其它注册机构组成的一套系统。PKI技术是信息安全技术的核心，也是保障电子文件证据性、法律性的关键和基础的技术。它通过使用公钥加密技术保护开放网络上活动的安全，通过使用数字签名验证客户机和服务器的身份，能够提供使用、管理、及查找公钥证书的能力，从而可以有效解决系统中对敏感信息的机密性、真实性、完整性、不可否认性和存取控制等安全问题。（二）签署技术。对电子文件进行签署的目的在于证实该份文件确实出自作者，其内容没有被他人进行任何改动。电子文件的签署技术一般包括证书式数字签名和手写式数字签名。数字签名的原理是：被发送的电子文件用某种HASH算法产生固定长度的数字摘要，发送方用自己的私钥对摘要进行加密，这就形成了数字签名。将原文和加密摘要同时传给对方，对方用发送方的公钥对摘要解密，同时对收到的文件用与发送方相同的HASH算法产生另一个摘要。由于数字摘要技术对于相同的数据信息进行HASH后，总是能得到同样的摘要；如果数据信息被修改，进行HASH后，其摘要必定与先前不同，不同信息的摘要相同的概率近乎0，所以只要将解密后摘要和新产生的摘要相互对比，如两者一致，则说明文件是由发送方发出的，并在传输过程中信息没有被破坏或篡改过。（三）加密技术。采用加密技术可以确保电子文件内容的非公开性。电子文件的加密方法一般分为对称加密和非对称加密。非对称加密以RSA为代表，它是一种基于公钥体制的双密钥算法，这一算法的最大特点就是网络中的每一个加密通信者都有一对密钥：一个公开发布作为加密密钥，一个由用户妥善保管作为解密密钥，通讯双方无须事先交换密钥即可进行保密通讯。这一算法的另一特点是无法从一个密钥推断出另一个密钥，以及不能用加密密钥进行解密。RSA算法的安全性基于数论中大整数分解的困难性，其难度与密钥的位数相关。（四）身份验证。为了检查访问系统的用户是否真实、有效，对用户进行认证是OA系统安全保障的第一道防线。（五）访问控制。通过对各个信息资源的访问“颗粒状”授权，判断用户是否对信息具有访问权、操作权。（六）防火墙。这也是一种访问控制技术，它是在内部网络与外部网络的分界点架设的网络安全设施，阻止外部用户对内部信息资源的非法访问，也可以阻止机要信息、专利信息从该机构的网络上非法输出。防火墙可以控制进、出两个方向的信息传输。防火墙的安全保障能力仅限于网络边界，它通过网络通信监控系统监测所有通过防火墙的数据流，凡符合事先制定的网络安全规定的信息允许通过，不符合的就拒之墙外，在网络层实施信息安全。（七）VPN技术。通过Internet将远程用户、分支机构和业务伙伴连成一个扩展的安全的企业广域网的新兴的网络安全技术。它主要通过IPSec安全体系结构（IP Security），提供对IP协议或上层协议的安全保护，包括：数据源鉴别、数据完整性、防重传保护、信息保密、不可否认服务等， Internet宽带接入采用VPN技术解决OA移动办公，该技术无论在安全上还是在系统的运行效率上都是目前解决移动办公的一个方向。（八）防写措施。对流转中的电子文件设置合适的状态，当“编辑”状态时，允许用户修改，当文件处于“只读”状态时，用户只能读取信息，而不能对其做任何修改。另外，利用只读光盘（CDROM）、一次写入式光盘（WORM）等不可逆式记录介质也可以有效地防止用户更改电子文件内容，保持电子文件的原始性和真实性。我们认为：上述技术措施对于证实电子文件内容的真实、可靠，保证电子文件在存储、传输过程中的安全、保密，防范对电子文件的非法访问和随意改动，都具有很好的效果。随着这些技术的成熟、普及和新技术的出现，电子文件的原始性和真实性可以得到更加可靠的认定和更为有效的保障。四、OA系统的安全策略分析通过对电子文件特性和安全技术的分析，下面我们就分别从应用层、系统层两个方面介绍办公自动化系统中可以采用的安全控制策略。（一）系统应用平台的安全策略浙电OA的系统平台是Lotus Domino/Notes R5，它的基础安全控制机制是依靠Domino的身份认证（Authentication）机制来实现的。首先，Domino的身份认证提供了基于工业标准RSA的PKI，即层次化或平面化的验证字发放与验证、交叉验证体系。Domino 验证字权威（CA）在注册用户时，系统为新的用户或服务器产生两个RSA密钥对，一个是512位长的北美密钥（一般称为私钥，它只保存在用户的ID文件中），另一个是630位长的国际密钥（一般称为公钥，它保存在用户的ID文件及通讯录中）；然后管理员会建立一个验证字（Certificate），并用验证者的私有密钥签名，用来保证验证字中的信息（用户名、口令、过期日期和其他默认选项）是准确的，已签名的验证字会被放置在ID文件中。当用户尝试访问服务器时，首先必须完成他与服务器之间的认证过程，而这一过程完全依赖于保存在ID文件中的验证字在用户和服务器之间表明信任关系的“电子证书”。ID文件具有口令保护（可以是多重的），而且具有时效性，它包括：所有者的名称和Notes许可证号、两个公用和私有密钥对、两个用户验证字、每个上级验证者的验证字。浙电OA系统采取单组织、单域的体系结构，建立根验证字ZPEPC。在ZPEPC网络域中的任何一台Domino服务器和Notes客户机均需要在OA系统中注册，获得合法的标识符文件（即ID文件）。在根组织ZPEPC下，分设两类组织单元，即单位级（如杭州电力/ZPEPC）和服务器级（Servers/ZPEPC）。组织中的服务器和用户拥有基于它们的层次名。验证级别的每一层都继承其验证者的结构名。如：组织级验证者ZPEPC有一个层次名“O=ZPEPC”，组织单元级验证者杭州电力的层次名为“OU=杭州电力/O=ZPEPC”，而张三则是“张三/办公室/杭州电力/ZPEPC”。ZPEPCServers / ZPEPC杭州电力/ZPEPCHZEPMA01/Servers/ZPEPC办公室/杭州电力/ZPEPC张三/办公室/杭州电力/ZPEPC图1（二）应用结构的安全策略我们这里所说的应用结构有两层意思：第一，从业务流程管理上看，OA系统用户应该有不同种类的区分和设置；第二，从业务管理范围上看上，同类OA用户只能处理本人业务范围内的电子文件。这两层意思在电子文件管理的实施效果上讲应该与手工管理是一样。而我们完全可以通过在OA系统中对网络、Domino服务器、用户认证、数据库、视图/表单、文档、区段编辑者、隐藏段落、编辑域等各级应用层次进行访问权限的设置，以保证数据的安全性。从图2可以看出：最外一层限制访问Domino服务器所在的网络，最内一层涉及Domino文档内的域级别的安全性。编辑域隐藏段落区段编辑者文档视图/表单数据库用户认证服务器网络图2我们以收文管理的流程为例：1、 首先用户需要通过Domino系统身份认证过程，确认当前用户是否合法用户、验证字是否在有效期限内、用户是否允许访问这台服务器等。2、 用户登录到服务器后，要求访问收文库时，数据库的存取权限控制（ACL）对用户的身份进行检查，判断用户是否能够访问这个数据库、对数据库具有怎样的权限（包括管理者、设计者、编辑者、作者、读者、存取者、不可存取者七大类）以及特定的安全权限和角色。3、 进入数据库后，用户只能打开有权访问的视图、创建有权访问表单的文档。浏览用户名包含在读者域内的收文。4、 对于数据库中的文档，包括两类特殊的域：读者域和作者域。只包括在有权执行读操作的读者域中的用户才能浏览中该收文，只有定义在写操作的作者域的用户才能编辑该收文。考虑到同样有权处理文件的用户也会有各自不同的权限，文档对关键字段及操作设置了隐藏条件，只有当合法用户满足条件时，才允许进行相应的处理。5、 为了保证文件的真实性、防止篡改，系统对收文的正文增加了一个特殊域，该域可以防止未授权用户修改、删除正文。6、 另外，考虑到领导处理意见的安全性、有效性，我们将领导的意见加以识别，设计不可修改的正式发表意见和可修改的暂未发表意见。（三）文件签署的安全策略提出文件签署的原因主要是因为在系统的运行过程中，用户并没有形成本地工作站的安全管理意识，特别是标识符文件（即ID文件）的安全管理意识。事实上，根据我们上面的分析知道，ID文件是整个办公自动化系统安全管理的第一步（身份认证）和通行证。但由于用户缺乏对ID文件安全管理意识，在日常工作中往往出现ID文件被窃取、口令丢失等现象。另外，一般OA系统中形成的电子文件往往都是“光头光脚”的，即没有正式红头及电子印章；而且即使具有红头和电子印章的电子文件也并不一定部署了可靠的信息安全措施。因为普通的电子印章处理方法是：将加盖在空白纸上的红章进行扫描处理，并用某种算法对图章进行加密处理，在流转过程中利用Notes的身份识别技术对图章进行显示/隐藏、打印控制等。但这种电子印章的处理方式只是“数字化签名”，不是具有数字签名的电子印章，它的最大缺点是无法提供对电子文件真实性的有效保障、不能保证签署文件的用户身份可识别和不可否认，而且这种电子印章易被窃取、仿制。所以，在浙电OA系统中我们又引入了数字签名技术来实现电子文件的签署。首先，我们建立了全省统一的制证中心（即CA，Certification Authority），统一颁发在ZPEPC网络域内有效使用的电子证书，数字证书的格式符合X.509V3国际标准。在保证整个网络系统完整的前提下，建立可供用户获得其他用户的证书和公钥的公共信息库，即证书库。正式颁发的电子证书保存在定制的智能卡内，智能卡的作用就如同书面文件签名的签字笔一样。对用户而言，它与ID文件明显不同的是：它是唯一存在的，即除了用户本人以外，没有任何其他人、包括管理员拥有智能卡的备份。用户只需把它与计算机连起来，简单点一下鼠标，就可以方便地对电子文件进行签名。目前采用的智能卡采用PKCS#15双证书、采用1024bit RSA算法，而且在数字签名和加密时，保证私钥不出卡，加密、签名运算都在卡内完成。另外，我们还建立了密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等。其次，文件签署能够在实际工作中起到加密文件、签发文件的作用，必须与OA系统的具体应用结合在一起，双方互相信任、共享资源，共同确保所建立起来的网络环境的可信性，同时降低管理维护成本。我们以发文管理为例说明目前浙江电力OA系统是如何结合文件签署技术实现电子文件双重数字签名的。1、 通过Notes客户端与服务器的身份认证，用户可以遵循流程定义的权限对流经本人处理的文件进行读、写等操作。2、 当电子文件流转到签发领导处，领导经审阅、同意签发时，由系统自动读取领导ID文件中的私钥对文件正文进行数字签名（第一层签名）。3、 领导签发后的电子文件需要在核稿秘书处编写文号（需要对正文进行编辑、保存），在核稿秘书编写文号前，系统自动将领导签名过的正文另存为旧稿本，以备后查。4、 核稿秘书在编写文号后，为了保证在以后的流转过程中不被篡改，需要对电子文件加盖印章，即由保存在智能卡中公章私钥对文件正文进行数字签名（第二层签名）。5、 在核稿秘书确认印章加盖完成后，任何人都无权对正文进行修改。实践证明，这种数字签名方式具有以下特点：l 可视性：电子图章浮显于电子文档上。l 可移动：在核稿秘书没有确认前，图章浮在文字上，达到一般盖章的视觉效果。一但确认后，图章就不可能再移动。l 持卡人可撤销签名或重签。l 可多人对同一电子文档进行签名。l 可查看证书内容和签名时间。l 可验证签名信息。l （四）移动办公的安全策略以上三种安全策略都主要针对企业内部网的用户进行设置，除此以外采用VPN技术解决用户的移动办公。我们这里主要就Remote Access VPN方式进行说明。Remote Access VPN是指用户通过Internet宽带或者拔号的方式接入Internet ,利用本地的VPN客户端软件与远程的VPN Gateway建立连接，该用户利用了Internet通道成为了企业的内部用户，该用户在IP及以上层面与Internet均不通。这种技术的应用代替了传统的直接拔入内联网的远程访问方式，能够大大降低远程访问的费用，如果采用宽带接入Internet，用户访问内部资源的效率得到明显的改善。用户在提供合法的ID文件通过OA服务器的身份认证之前，首先必须在VPN上注册，然后进行用户身份验证，只有合法的VPN用户才能通过防火墙等一系列的安全防护设施进入企业内部网，从而实现访问OA等企业内部信息资源的功能。远程拔号VPN的特点：l 需要在企业内联网中加入支持IPSec的VPN网关，但不需要对内联网中的服务器进行任何改动。l 拔入连接的数据流将被加密和认证，任何没有通过认证的数据流都会被VPN网关丢弃。l 是否把IPSec隧道延伸到内联网中的主机，取决于企业对远程用户的信任程度。l 在VPN的管理方面，它要求集中化的管理和对众多远程用户管理的可伸缩性。（五）不同办公自动化系统之间的安全策略随着电子政务、电子商务、电子事务在中国的不断发展，已经有越来越多的企事业单位在Lotus Domino平台构架了自己的应用系统，有许多单位可能与浙江电力有着不同层次的业务往来；另外，随着电力体制改革的进程，浙江电力内部也逐渐开始厂网分家，那么如何与这些单位交换信息、提高业务效率，是OA系统面临的一个重要课题。浙江电力根据实际情况及时应对，分析系统需求，建立了基于Domino交叉验证实现信息交流的安全管理机制。所谓的交叉验证是一种对等的信任（验证）模型，它允许在不同层结构被验证过的组织中的用户通过验证检验身份。我们以浙江电力与国家电网公司联网实现电子公文流转为例进行说明（图3）。在这种方式下，