电子文档安全管理方案(办公网安全解决 方案)

1、.：.；电子文件综合管理与控制系统实现方案概述随着信息现代化建立的不断深化，越来越多的文件以电子化的方式进展分发和存储。电子文件在运用上带来诸多便利的同时，其在管理和控制上暴显露的问题也日益突出，主要问题集中在运用不可控、传播不易清查等方面。为了顺应宽广用户日益增长的迫切需求，我所着手研发和建立适用、平安、高效的电子文件综合管理与控制系统，以满足现代化、网络化、电子化条件下对电子文件管理与运用的实践需求。系统需求概述功能需求电子文件综合管理与控制系统是对电子文件进展全方位管理与控制的运用系统，其要对电子文件整个生存周期进展管理与控制，包括电子文件的生成、保管、运用、销毁等各个阶段。系统应具备的

2、根本功能有：平安录入可以经过本地编辑、在线编辑、向效力器提交等多种方式，针对DOC、PPT、EXCEL、PDF、HTML等文档格式，提供完善、一致的电子文件平安录入手段，保证受战略控制的电子文件在从录入开场就遭到平安的控制与管理。自动化管理提供对受控档案的自动化归档及相应管理功能。可采用B/S方式，经过Web效力技术向用户提供全方位的多种运用效力，形胜利能强大、运用灵敏的一致管理系统。系统功能包括各种类型文档录入、数字资源分配和管理、数字内容分发和运用等方面。访问控制系统应支持粗粒度、细粒度两级访问控制，具有根据组织单位、角色等信息，针对电子文件实施访问控制的才干。粗粒度访问控制用来与单位组织

3、机构、人员分工、职级别等管理相关信息对应，完成运用者能否有权存取电子文件的访问控制；细粒度访问控制与电子文件归档时所定义的战略有关，与运用者所具有的角色信息相关联，完成运用者可以如何运用电子文件的访问控制，如能否可以进展摘录、打印等等。访问控制应依托于认证中心所发放的数字证书完成强身份认证。支持离线运用在研讨所及下属的各分支机构中，存在着大量的文档交换需求。而下属各分支机构通常与研讨所之间无网络联接，无法运用依赖网络的认证和密钥协商来完成文档脱密。系统该当支持无网络联接情况下的离线方式文档解密及平安访问控制。离线方式下，受维护文档应可以正常解密并遭到访问控制的维护。离线方式运用受控文档时，依赖

4、于用户所具有的USB-KEY完成身份认证与内容解密。离线方式无需支持用户打印与编辑文档权限，通常是只读权限，必要时，需求控制运用次数或运用终端。预警、审记与追踪系统要综合运用多种维护技术，支持在文档运用时对用户的非法行为进展报警。系统要具备审记和追踪功能，可以根据多种手段对用户的电子文件运用行为进展审记，在必要的情况下，按照相关规定对对用户操作进展取证。可以经过技术手段对电子文件的运用情况、传播流程进展追踪，以有效防备信息失泄密情况的发生。权限管理系统要提供便利的电子文件权限分发、配置和回收机制。支持在必要的时候对曾经下发的权限进展更改或回收。在特殊情况下，可以完成对电子文件的销毁。战略管理战

5、略的运用应该构成系统运用的中心。系统应该具有良好的战略管理机制，从而支持整个系统在可以方便、灵敏的满足用户不同层面、复杂多变需求的同时，具有非常好的扩展性。主要技术目的需求常规效力才干系统应具有电子文件管理相关的常规效力才干，包括文档的平安录入、自动化归档、受控分发和运用等，可以支持Word、PowerPoint、Excel、PDF等格式文档。集成才干系统应建立在一致的开发平台和接口规范之上，具有强大的与其它运用系统相结合运用的才干；同时应支持经过二次开发接口或其它方式，构建多平台结合效力体系，构成广泛运用、灵敏集成、扩展性好的综合性系统。访问控制才干系统应支持粗粒度、细粒度两级访问控制，具有

6、根据组织单位、角色等信息，针对电子文件实施访问控制的才干。粗粒度访问控制用来与我所组织机构、人员分工、职级别等管理相关信息对应，完成运用者能否有权存取电子文件的访问控制；细粒度访问控制与电子文件归档时所定义的战略有关，与运用者所具有的角色信息相关联，完成运用者可以如何运用电子文件的访问控制，如能否可以进展摘录、打印等等。粗粒度访问控制应依托于认证中心所发放的数字证书完成强身份认证；细粒度访问控制除完成强身份认证外，还要依托认证中心与系统中定义的各种证书完成加/解密、审记/追踪操作，提供普密级以上的平安支持。技术目的需求定性描画在实践运用环境下，经过完善配置的系统应可实现如下技术目的：平安管理所

7、支持的文件格式：Word、PowerPoint、Excel、PDF所支持客户端类型:Windows 2000+SP4、Windows XP、Windows 2003支持的管理方式：基于组的用户管理或基于角色的用户管理(单项选择)粗粒度控制包括：制止运用、共享运用细粒度控制包括：制止运用、只读、打印、编辑、运用次数、打印次数限制、运用时间限制、运用地点限制支持离线受限运用，保证离线文档正确解密并受控运用。离线运用时，不要求授与打印权限，不要求具有编辑权限，但需求支持运用终端控制和运用次数支持用户数量5，000人平均缺点间隔时间(MTBF)10000小时平均缺点维修时间(MTTR)30分钟典型配置

8、下效力支持才干：支持最少1000名客户并发在线运用；峰值处置才干100次恳求/秒；每日效力才干10万人次；每日最高效力恳求处置才干100万次；每日最高审记行为记录50万条。网络兼容性：支持10M、100M和1000M 以太网，支持TCT/IP协议效力器端兼容性：支持Windows 2000/2003，Linux 2.4以上版本数据库兼容性：支持Oracle 9i、Microsoft SQL Server 2000/2005， MySQL 4.1以上版本其它需求平安兼容性出于平安及密码管理的思索，对于系统内部所运用的密码设备含密码根底设备和密码构件的调用，都需求按照国家相应规范进展规范化、兼容化

9、设计，以使一切密码相关部件满足不同层次密码管理与运用的需求，并在需求发生变化时，使系统最小程度修正的根底上就可以进展运转运用。可视化管理系统的一切子系统应该采用一致的综合可视化管理界面，实现对整个运用系统的高实时性、高易用性的监控和管理。系统监控出于可靠性思索，对于系统内部的一切硬件设备、网络、以及运用程序必需进展实时监控，尽早发现和处理任何缺点，以便系统最大程度上可以正常运转。系统实现原那么基于系统的需求和特征，我们以为从技术研发和工程实施角度来讲，其实现应该遵照以下原那么。紧贴用户实践需求，提供真实可行的管理手段电子文件格式众多，运用环境复杂，用户运用与操作习惯各异，而且用户数量宏大，不能

10、够强行要求用户改动其习惯或遵守某种硬性规定来顺应系统，只能由系统来充分思索用户的实践需求，顺运用户。按照密码统管思想一致设计，确保互联互通按照密码统管的思想，依托已有的规范化密码根底设备，构建一致的底层密码支持平台，坚持对密码设备与算法的严厉要求，确保一致性，确保系统在不同运用平台下运用时的互联互通。采用成熟技术，充分利用资源自创国内其它大型系统开发的胜利阅历，尽量采用成熟技术，系统主要设备和支撑软件均运用主流产品，以提高系统可靠性，缩短研制周期。关键技术自主开发系统所涉及的关键技术，包括适宜需求的权限描画言语设计技术、密码管理与运用技术等，需求坚持自主开发的原那么，防止在平安管理与控制上不能

11、深化底层，发生受制于人的情况。顺应开展特点，具备集成与扩展才干系统设计中要充分思索信息化系统开展的需求，系统建立中要积累具备根底功能、相对独立的开发平台技术，将与其它系统结合运用的支持做为扩展性的重点。系统功能可灵敏配置，对外互衔接口丰富易用，可依详细运用方式动态调整或以很小的代价集成，以顺应系统未来功能更新、晋级换代、构建多平台结合效力体系的需求。松散耦合性设计由于待建系统的对硬件、软件、网络、存储等各方面都有很高的要求，所以在整体方案设计过程中，应尽量降低各个层面之间的依赖性，使它们之间相对独立。松散耦合性设计会加强整个系统的可扩展性，利于系统各个层面的维护和晋级。例如操作系统的选择不应依

12、赖于效力器的硬件构造，这样未来对效力器的晋级不会影响到整个系统。又如软件架构的设计应独立于硬件和操作系统平台，等等。规范化、规范化技术规范规范化有利于提高设计开发的效率，坚持系统的可扩展性。在系统设计与实现中应采用目前IT领域的一些成熟规范，如：以XML做为信息交换传输的规范格式以MQ做为异步音讯传送的规范机制以SOAP/Web Service做为网络间效力调用的规范以J2EE做为分布式系统运转环境总体技术方案系统架构整体组成系统整体构造组成的逻辑表示图如图4-1所示。虚线内的部份是系统平台本身所包括的部件，从整体上表示了内部部件间的逻辑层次和关系；虚线外的部份是已有或在建运用及系统所涉及的用

13、户，表示了系统平台外部的运用需求调用与系统平台之间的逻辑关系。综合管控中心是系统平台的中心部件，担任响运用户管理效力器和授权效力器的恳求，在密码运算和认证协议的支持下，完成用户初始化、用户角色定义、系统战略及用户自定义战略生成、电子文件归档存储等功能。综合管控中心是独一的，它向一切的用户管理效力器和授权效力器提供效力，其间经过平安的信道进展衔接。综合管控中心后台需求数据库与目录效力的支持，用来存储数字内容、平安战略、用户组织构造及角色定义等信息。综合管控中心获得认证中心CA的签名证书后才干为用户所接受。审记/追踪平台是系统平台的重要组成部份，其对一切的用户认证过程、满足战略定义要求的运用行为和

14、重要事件进展必要的记录并提供丰富的审记与追踪手段，以便与行政管理等传统管理方式协作，构成对违规行为清查处分的威慑，进一步提高系统的平安性。 图 STYLEREF 1 s 41系统整体组成用户管理效力器针对详细运用设置，接受综合管控中心一致管理，普通情况下一个详细运用只设立一个用户管理效力器。用户管理效力器用来规划所属运用人员的组织构造，定义用户角色，将用户身份与用户代理相绑定，从而支持内部的身份认证，为访问控制的实施打下根底，为审记/追踪提供底层的不可否认性支持。授权效力器针对详细运用设置，接受综合管控中心一致管理，一个详细运用可以设立多个授权效力器。授权效力器支持集群，可以满足大量用户的并发

15、恳求需求。授权效力器的功能是完成客户端平安代理所提出的提交数字内容、获取数字内容、获取数字内容运用答应证等恳求，详细实现粗/细粒度访问控制战略设置与运用。它接受客户端运用程序的调用，需求与用户代理相结合完成一系列复杂的密码变换，执行多步的平安协议以平安、正确、可信的将战略运用到数字内容，或获取所需求的数字内容运用权。授权效力器是系统的关键部件。用户代理是系统引入的用来标识或绑定用户真实身份的密码对象，它可以是USB-Key，也可以是加密卡。只需能完成用户私钥的平安存储、具有独立加/解密运算功能的实体都可以做为用户代理。用户代理经认证中心CA的签名后有效。客户端平安代理面向一切客户端运用程序提供

16、效力，它担任与用户代理交互，利用其加/解密运算才干完成一系列复杂的密码变换，同时与授权效力器通讯完成用户身份认证、战略生成、战略运用、加/解密数字内容等本质性任务。客户端平安代理与客户端运用程序相配合，保证数字内容的平安、可控运用，是系统的关键部件。客户端运用程序详细完成电子文件的编辑、归档和运用任务，它可以是通用常规运用软件，也可以是配合系统运用的公用软件。无论采用哪种方式，其必需保证以某种技术手段与客户端平安代理相关联并完成相互认证，同时忠实的将用户所定义的平安战略运用到数字内容，使数字内容遭到高强度的加密维护；或按照战略定义的运用要求，保证用户平安、可控的运用数字内容。认证中心(CA)、

17、RA是规范化CA中心的有机组成部份，整个系统在密码根底设备运用上接受其管理，由其签署证书才干进展综合管控中心的合理部署。同样，客户端的详细用户，也要持有其签名的用户代理证书，才干为系统所识别和成认，从而纳入系统的一致管理与控制体系。在密码信任链上，认证中心构成了综合管控中心与用户两端的可信根。用户泛指系统功能的运用者。特殊情况下，用户可以是具有某些管理功能的运用者，如对电子文件进展归档管理的管理人员，但是其一样要经过用户代理与客户端平安代理的结合运用获得相应的功能权限。功能层次划分电子文件综合管理与控制系统在功能层次构造上分为做为根底效力支撑的中心层、面向管理人员提供效力的管理层和面向普通用户

18、提供功能支持的运用层三个层次，详细的系统功能组成如图4-2所示。图 STYLEREF 1 s 4 SEQ 图 * ARABIC s 1 2系统功能层次划分中心层中心层包括密码支撑效力、战略制定效力、战略运用效力、存取控制效力、审记支撑效力、集群支撑效力和认证接口效力。密码支撑效力是系统最根本的中心效力，是保证系统平安的根底。它利用用户代理或其它软/硬件方式的密码效力构件，完成密码运算，如加/解密、签名及签名验证等等，从而支持其它中心效力，如面向数字内容的战略制定与运用、审记和认证等等。战略制定与战略运用效力面向管理层与运用层提供战略相关功能支持，分别支持系统级/用户级战略制定，支持对电子文件运

19、用规定的战略以保证电子文件遭到高强度的加密维护并按所定义战略受控运用。存取控制效力与管理层的用户管理效力相互协作，完成电子文件的粗粒度访问控制。审记支撑效力在密码支撑效力和认证接口效力的支持下，有选择的对用户获取/运用电子文件的过程行为，特别是一些非法或违规行为进展记录并保证其不可否认性，从而为管理层的审记查询效力提供支持。集群支撑效力在保证系统平安的前提下，支持授权效力器集群。认证接口效力依托密码支撑效力，向管理层与运用层提招认证接口，保证上层一切操作行为都经过平安可靠的认证手段加以验证，同时为审记/追踪提供根底支持数据。管理层管理层包括用户管理效力、系统战略管理效力、审记查询效力、远程备份

20、效力。用户管理效力定义用户对应的组织机构方式和角色，完成用户与用户代理的绑定，在中心层战略运用效力、存取控制效力、认证接口效力的支持下完成细粒度/粗粒度的访问控制和用户认证功能。系统战略管理效力在中心层战略制定效力的支持下，完成系统级的战略制定与管理。系统战略在全系统指定范围内有效，属于需优先满足的高级战略。审记查询效力在中心层审记支撑效力的支持下，以灵敏、方便的可视化方式向系统管理者提供强大的审记/追踪记录查询功能，该功能具备高级过滤才干，支持各种方式的组合查询，满足在海量审记/追踪记录中高效检索所需信息的要求，同时可在战略允许的条件下，提供必要的不可否认证据信息输出功能。远程备份效力是功能

21、相对独立的管理层运用效力，支持在远程对关键数据进展平安异地备份和缺点恢复，支持一定的远程数据维护与管理功能。运用层运用层包括交互认证效力、用户战略效力和访问控制效力。交互认证效力在中心层密码支撑效力和认证接口效力的支持下，完成运用程序与客户端平安代理间的交互认证，使双方建立互信根底，共同完成对电子文件可信、受控的操作。用户战略管理区别于系统战略管理，其定义的战略只在用户所生成的电子文件上有效。访问控制效力是运用层的关键部件。它与中心层的密码支撑效力亲密配合，控制运用程序完成符合战略定义要求的电子文件运用。子系统划分本系统从软件层次上讲可以划分为下面几个子系统：战略管理子系统。战略管理子系统是系

22、统运用的中心，它担任根据详细运用需求制定符合运用特点的各种战略，包括粗粒度/细粒度的文件访问控制战略、审记追踪战略、取证战略、系统管理战略等，一切系统行为必需在某一或某些特定的战略约束之下。在该子系统的支持下，整体系统可以方便、灵敏的满足用户不同层面、复杂多变的需求，同时具有非常好的扩展性。用户管理子系统。它担任完成运用系统用户的管理，如定义组织机构、角色等，最重要的是它需求完成运用系统用户与用户证书的绑定。同时，它还担任完成运用系统用户信息与本系统维护的信息之间的同步。认证授权子系统。它担任对客户端的访问控制恳求进展认证，并在完成认证后对其操作行为进展授权。作为本系统的中枢，认证授权子系统担

23、任对认证恳求及授权恳求进展解释、分解，将恳求转化为一组内部逻辑协议并提交或前往给客户端代理系统，由其完成详细的访问控制操作，同时其还担任将恳求信息进展记录，交由审记追踪子系统综合汇总，以构成完好的数据处置结果。作为本系统的调度中心，它还担任对一切的业务流程进展监控与管理。客户端电子文件平安代理子系统。它担任将用户权限与数字内容相捆绑，并经过与运用系统软件的严密配合，实现对电子文件的全方位、细粒度的有效管理与控制。经过与认证授权子系统、审记追踪子系统的亲密配合，完成针对电子文件的事前维护、事中预警、事后追踪三个层面的全生命周期的平安管理。审记追踪子系统。审记追踪系统在认证授权子系统的支持下，记录

24、战略定义的用户行为信息，并以灵敏、方便的可视化方式向系统管理者提供强大的审记/追踪记录查询功能，向审查者提供必要的不可否认性计算机行为取证信息。实践上，除了上述的几个子系统之外，在系统内部还有其它的子系统，包括CA交互子系统、密码根底设备子系统等等，由于它们与其他子系统之间逻辑接口相对简单，而且没有涉及本系统相关的复杂的密码相关业务处置过程，只是提供最根本、最通用的密码调用支持，因此，在这里我们不对其进展论述。战略管理子系统主要功能战略管理子系统做为电子文件综合管理与控制系统的中心，其主要功能包括：完成常规的系统战略信息维护，包括创建、修正和删除等，涉及的战略为根认证效力器配置战略、授权效力器

25、配置战略、用户管理子系统配置战略。完成电子文件运用相关战略信息维护，包括创建、修正和删除等，涉及的战略为对电子文件运用行为进展细粒度访问控制约束的电子文件运用战略，包括运用于整个系统的全局性战略和用户自定义战略。完成日志战略信息维护，包括创建、修正和删除等，其定义了用户管理子系统、认证授权子系统、客户端电子文件平安代理子系统、审记追踪子系统和文件存储子系统如何进展日志信息记录。完成审记/追踪战略信息维护，包括创建、修正和删除等，其定义了认证授权子系统如何为审记追踪子系统记录相应的审记/追踪信息，如信息的粒度等。模块划分战略管理子系统模块划分如图4-3所示。其模块与主要功能一一对应。答应证处置模

26、块为一个通用模块，用来完成证书、答应证的解析和验证。图 STYLEREF 1 s 4 SEQ 图 * ARABIC s 1 3战略管理子系统模块划分与其它子系统间关系战略管理子系统是系统运用的中心，一切其它子系统都必需与其交互以获得相应的战略信息，其子系统间关系如图4-4所示。战略管理子系统将所生成的战略全部平安的保管目录效力器。图 STYLEREF 1 s 4 SEQ 图 * ARABIC s 1 4战略管理子系统与其它子系统关系用户管理子系统主要功能用户管理子系统是为电子文件综合管理与控制系统提供用户管理相关支持效力的，其主要功能包括：完成常规用户管理操作，包括根本信息录入等。完成组织机构

27、的定义与维护。完成角色的定义与维护。完成用户与用户代理所关联的用户证书之间的绑定。完成用户信息与系统目录效力器之间的同步。模块划分用户管理子系统模块划分如图4-5所示。其模块与主要功能一一对应。战略查询模块担任与战略管理子系统交互以获得用户管理相关的配置战略。图 STYLEREF 1 s 4 SEQ 图 * ARABIC s 1 5用户管理子系统模块划分与其它子系统间关系用户管理子系统是与其它子系统之间交互并不严密，这是系统面向详细运用独立性设计的结果，它只经过战略查询模块与战略管理子系统交互，以获得日志记录的相关战略。用户管理子系统通用用户信息同步模块，将其所管理的用户、组、角色信息与系统目

28、录效力同步。用户管理子系统可以操作部分目录效力库和归属于本人管理的数据库。认证授权子系统主要功能认证授权子系统的主要功能是：完成对系统用户的内部认证。完成系统用户密钥等信息的生成和加密保管，以运用户在系统内具有一致的密钥，同时为不测情况如丧失用户代理恢复已加密信息提供根底条件。完成对系统用户的授权，包括对电子文件运用的授权。为审记/追踪提供必要的记录和不可否认性证据。模块划分认证授权子系统的模块划分如图4-6所示，其经过向目录效力进展用户信息查询，最终决议能否为用户颁发其所恳求的运用授权。图 STYLEREF 1 s 4 SEQ 图 * ARABIC s 1 6认证授权子系统的模块划分与其它子

29、系统间关系认证授权子系统与其它子系统之间的关系如图4-7所示。它可以查询目录效力库，但是不能修正。图 STYLEREF 1 s 4 SEQ 图 * ARABIC s 1 7 认证授权子系统与其它子系统关系客户端电子文件平安代理子系统主要功能客户端电子文件平安代理子系统的主要功能是：对用户运用电子文件的行为进展符合战略定义要求的细粒度的访问控制，包括读、写、打印、时间与次数限制等等。采用显水印技术对用户的非法行为进展警告。采用隐水印技术对非法行为进展取证。模块划分客户端电子文件平安代理子系统的模块划分如图4-8所示。图 STYLEREF 1 s 4 SEQ 图 * ARABIC s 1 8 客户

30、端电子文件平安代理子系统的模块划分与其它子系统间关系客户端电子文件平安代理子系统与其它子系统之间的关系如图4-9所示。它不参与数据库与目录效力库的任何操作。图 STYLEREF 1 s 49客户端电子文件平安代理子系统与其它子系统关系审记追踪子系统主要功能审记追踪子系统的主要功能是：对用户联机运用电子文件行为进展审记。对用户非法运用行为进展追踪以确定途径。对用户行为进展不可否认性的数字取证。与战略管理子系统和认证授权子系统联动，及时制止用户的非法行为。模块划分审记追踪子系统的模块划分如图4-10所示。图 STYLEREF 1 s 410审记追踪子系统模块划分与其它子系统间关系审记追踪系统与其它

31、子系统之间的关系如图4-11所示。审记追踪系统可以查阅系统数据库相关表内数据，但是不能修正，但在系统战略答应的条件下，它可以联动的部份修正目录效力库中指定的相关战略。图 STYLEREF 1 s 411审记追踪子系统与其它子系统关系文件存储子系统主要功能文件存储子系统的主要功能是：对关键数据进展本地备份，包括数据库和目录效力数据。对数据进展平安的远程备份对集中管理的电子文件进展符合权限限定战略的搜索模块划分文件存储子系统的模块划分如图4-12所示。图 STYLEREF 1 s 412文件存储子系统模块划分与其它子系统间关系文件存储子系统与其它子系统之间的关系如图4-13所示。文件存储子系统可以

32、不受限制的复制系统数据库与目录效力库。图 STYLEREF 1 s 413 文件存储子系统与其它子系统关系可扩展运用架构整个系统具有良好的可扩展性，无论系统面对的详细运用方式如何，都可以经过我们定义的扩展运用架构进展无改动或很少改动后的扩展运用。系统的可扩展运用架构如图4-14所示，图中的系统效力器主要是指认证授权效力器。扩展涉及的运用对应图中所示的详细运用系统，而系统效力器位于运用效力器端代理之后。而无论是客户端的运用程序还是详细运用系统，都不允许与系统效力器直接交互。面向客户端，运用程序需求经过客户端平安代理与系统效力器交互；面向效力器端，详细运用系统需求经过运用效力器端代理运用本系统提供

33、的针对特定运用系统的受限功能。普通来说，本系统生成的客户端和运用效力器端平安代理是一个(组)具有自维护功能的程序(程序集)。客户端代理具有通用性，以满足复杂多样的客户端运用程序的普遍需求；运用效力器端代理具有公用性，满足特定运用在指定范围内的专项需求，如用户同步、授权后权限处置等。经过运用效力器端代理公用化，可以针对不同运用开发不同的运用效力器端以顺应运用的变化和开展，减少对系统效力器所提供根底功能呵斥的影响；经过指定公用运用效力器端的作用范围，可以起到防止错误分散，添加平安性，降低审记与追踪难度，提高操作效率的作用。本系统的可扩展运用架构具有如下特点：简单直观，阐明本系统提供了其所必需提供的

34、通用的面向电子文件平安管理与控制的运用支撑。有利于保证本系统的平安性，尤其是认证/授权效力器的平安性。与运用耦合性小，功能的封装性好。客户端运用程序与效力器端详细运用系统之间能够存在经过网络通讯构成的交互调用的能够，但不在本系统平安管理与控制范围之内。客户端运用程序与客户端代理、效力器端详细运用系统和运用效力器端代理、客户端代理和系统效力器、运用效力器端代理和系统效力器之间需求相互认证，以保证调用合法性。这点由系统密码相关的设计所保证，其根本是依托与公用的公钥密码根底设备与相应的密码构件。图 STYLEREF 1 s 414可扩展运用架构实验室部署在实验室环境下，系统只满足根本功能，立足于对所

35、建运用进展测试，同时为测评认证提供根本环境，因此功能集合有所合并。图4-15为在实验室环境下，系统整体部署的表示图：图 STYLEREF 1 s 415实验室条件下系统部署模拟中心机房相对独立，包括综合管控中心、认证授权效力器、后台数据库及目录效力三个组成部份。其中，思索到实验室的建立情况及系统在实验室部署的目的，综合管控中心集成性的包括了审记追踪子系统、战略管理子系统、文件存储子系统、用户管理子系统、军用CA交互子系统。数据库与目录效力库一致部署在模拟中心机房，接受认证授权效力器和综合管控中心的一致调用。即使在实验室环境下，认证授权效力器必需独立存在，由于其能够需求相应的严密设备，如指定的密

36、码卡的支持。在实验室环境下，认证授权效力器不具备集群才干。综合管控中心的用户管理效力器模拟管理运用所涉及的用户信息，从而为支持用户认证与访问控制提供根本支持。用户在模拟运用系统内可以经过直接访问综合管控中心的文件存储效力来完成电子文件的提交或获取。在实验室环境下不部署CA和RA，而是运用二级CA及相应的RA，只完成测试用认证授权效力器和测试用户的证书发布。详细来说是签署认证授权效力答应证和用户代理证书，用来使认证授权效力器可以为用户所认可，同时认证授权效力器也可以对用户实施基于公钥密码体制的强身份认证。测试CA只需求经过平安途径将证书传送实验室即可，因此相对独立。在客户端要同时部署客户端电子文

37、件平安代理子系统。这个子系统属于直接面向用户运用的终端运用系统，所以只在通用的Windows平台下运转，且不区分实验室环境还是实践运用环境。也就是说，从用户体验来讲，实验室环境和实践运用环境是一样的，这样有助于在实验室环境下就模拟出实践运用的各种情况从而直接满足用户的需求并一致用户体验。实践运用部署在实践运用环境下，系统要满足各种各样的运用系统需求，因此需求完成系统定义的一切功能，并同时思索性能、兼容性、稳定性问题。图4-16为在实践运用环境下，系统整体部署的表示图：图 STYLEREF 1 s 416实践运用条件下系统部署在实践运用环境下，电子文件综合管理与控制系统中心机房相对独立，包括综合

38、管控中心、授权效力器集群、审记/追踪平台、文件存储管理平台、后台数据库及目录效力等部份。数据库与目录效力库经过平安专线与远程备份中心相连，按照系统平安备份相关的要求进展实时或定时备份，同时支持远程缺点恢复。与实验室环境不同的是，实践运用中的综合管控中心只包含战略管理子系统、CA交互子系统两个子系统，而认证授权子系统独立为授权效力器集群，审记追踪子系统独立为审记/追踪平台，文件存储管理子系统独立为文件存储管理平台。此环境下，文件存储管理平台具有完备定义的功能集合，支持平安专线支持下的远程备份，支持数据冗余备份和迁移；而审记/追踪平台那么可以由区别于系统管理员的专门的审记人员担任，职责更为明晰，权

39、益相互制约的特点更为明显；最为关键的是，即使在运用密码设备如公用密码卡的情况下，认证授权效力也可以进展集群，以应对大量用户并发恳求的需求。系统下属各运用应独立架设支持冗余备份的用户管理效力器。用户管理效力器经过平安信道与综合管控中心相通讯，将运用所涉及的用户信息提交给系统，以支持用户认证与访问控制。对于实时性要求很高的运用，可以在运用系统内部架设分布式数据库，用来存储系统中心数据库中与详细运用相关的电子文件数据。用户在运用系统内可以经过直接访问内部的分布式数据库来完成电子文件的提交或获取，该数据库定时与中心数据库进展同步。在实践运用系统中，应部署相应的CA与RA，根据运用系统的规模，可以采用运

40、用二级CA或三级CA的密码根底设备运用方式。CA和RA与系统独立存在，在密码关系上对认证授权效力器含其集群和各运用系统所涉及的用户(或用户代理)进展管理，详细来说是签署认证授权效力器效力答应证和用户代理证书，用来使认证授权效力器可以为用户所认可，同时认证授权效力器也可以对用户实施基于公钥密码体制的强身份认证。CA需求经过平安途径将证书传送给系统和用户，例如经过机要交通或严厉管理的组织机构等等。公用的加密防火墙软件部署在各运用系统与电子文件综合管理与控制系统中心之间，用来保证信道的平安、可用，同时防止与外部直联时能够出现的无法定向的攻击行为，防止不可清查的冗余记录信息对审记/追踪呵斥影响。非功能

41、性需求系统除了需求满足用户提出的功能性需求，还必需思索到非功能性需求。虽然每个非功能性需求并不能直接给用户带来收益，但是假设不思索到非功能性需求，那么作为工程实施来说系统能够根本无法运用。在本系统中，我们主要针对下面给出的几个非功能点进展了思索，并设计了相应的处理方案。性能系统在性能上的要求主要表达在实践运用环境下。主要包括支持用户数量、并发用户数量、认证与授权速度、数据本地/异地存储量、受控文档搜索速度等。在典型实践运用配置条件下，性能相关的目的要求如下：支持海量(十万级以上)用户的一致管理与身份认证，身份认证时间小于10秒；支持海量(百万级以上)数字内容的权限验证、配置、管理与转移，权限验

42、证时间小于20秒，权限转移时间小于10秒；最少支持5,000用户在线恳求效力；峰值处置才干大于1,000用户效力恳求/秒；数字内容加密及权限运用速度大于260MB/秒；审记与权限战略管理违规联动时间小于10秒，追踪时间小于60分钟；支持匿名用户数量大于10,000名，并能完成违规自动化处置；本地取证时间小于30分钟，网络取证时间小于1分钟；典型实践运用配置规范如下：规范效力器端配置为：根认证效力器(2 个双核2.1 GHz处置器，16GB 内存，6 个 FC-AL 磁盘驱动器，2 块 PCI 加密卡)；三个授权效力器构成负载平衡集群(2 个双核2.1 GHz处置器，8GB 内存，2 个 FC-

43、AL 磁盘驱动器，1 块 PCI 加密卡)，三个数据库效力器构成负载平衡集群(2 个双核2.1 GHz处置器，16GB 内存，6个 FC-AL 磁盘驱动器，ORICALE 9i)。操作系统为RedHat Linux Enterprise 4.0。规范客户端配置为P4 2.0G处置器，512M内存DDR667，Windows XP操作系统、软件加密算法、基于USB-Kye(16位)的终端密码认证构件。可靠性任何一个系统的正常运转都需求保证其可靠性，一个随便就会解体的系统无法让用户正常运用，可以会使得系统的维护非常频繁。系统可靠性对外主要表达为下面的几点：系统平均无缺点运转时间。这个目的表示的是在

44、两次系统缺点之间，平均意义下的正常运转时间，这个目的越大越好；系统平均恢复时间。这个目的表示的是在系统解体了之后，操作人员将系统恢复正常，重新开场运转所需求的时间，这个目的越短越好；一旦系统解体，会呵斥何种损失；为了尽量延伸系统平均无缺点运转时间，在工程经费允许的情况下，系统在方案设计上应采取如下措施：尽量保证无单点缺点。这一点表达在硬件上，包括运用效力器主机的冗余集群方式、磁盘阵列备份等，在某一个设备损坏的时候，其他的设备可以启动热备份，立刻替代原有设备进展后续的效力。表达在数据上，那么表如今系统中的数据备份战略上，重要的数据文件都将被备份到容灾系统中。采用公开的、成熟的平台与硬件，例如Li

45、nux、Weblogic、Oracle，还有SAN、SCSI、光纤网、以太网等技术；进展详细的系统架构分析与技术风险分析，在前期处理一切的技术难题，保证明施的运用系统能顺应多种错误情况，同时建立完善的异常处置机制。为了尽量缩短系统恢复时间，系统在方案设计上应采取如下措施：提供对数据库与数据文件的恢复手段，在数据库损坏或者数据文件损坏的时候可以将历史最近的数据库经过数据库恢复工具重新导入，数据文件损坏的时候可以经过磁带或者容灾系统进展恢复；经过一致的监控平台对各个子系统进展监控，在最短的时间里面让操作员知道错误的发生；经过系统日志记录系统的运转情况，在发生程序错误的时候可以迅速定位错误进展修正；

46、此外，在系统解体的时候，在本系统能够会呵斥以下后果：简单解体，不损坏效力器本机文件系统与相关数据库。会呵斥当前运转恳求的中途失败，但是由于数据库与文件系统都没有损坏，因此在系统重新启动以后依然可以重新运转，缺点恢复时间短；系统解体，效力器本机文件系统或者数据库被损坏，热备数据库没有损坏，容灾系统有本机丧失的数据。系统可以经过热备的数据库与容灾系统进展恢复；系统解体，效力器本机文件系统或者数据库被损坏，同时热备数据库或者容灾系统也没有数据。需求运用备份的数据文件进展恢复，但是在最近一段时间系统的变化将能够会被丧失，会呵斥数据损失。不过这种情况见相当少见，概率极低；系统相关的可靠性目的如下：平均缺

47、点间隔时间(MTBF)10000小时平均缺点维修时间(MTTR)30分钟系统热备份频率1次/小时可维护性可维护性表现为系统管理人员、操作人员以及普通运用者在对系统进展操作包含管理性任务和常规运用能否方便，以及在系统出现缺点的时候能否可以快速、准确地定位到错误处。在本方案中，采用了以下的措施加强系统的可维护性：各个子系统的用户界面与操作方式具有一致的风格。界面风格的一致保证了管理者在各个子系统间切换时具有相对的熟习程度，也保证了运用者在各个终端、各个配置战略下对系统的运用方法具有一致性系统日志信息的完好性。这里所指的日志是系统操作及运转的相关记录信息。一切系统运转过程中出现的错误与异常都被记录在了日志文件中，同时对操作员有意义的错误还将显示在用户界面上。同时，管理员可以修正日志模块的配置，以记录更加详细的日志信息经济性经过网格的设计，系统中的效力器及存储设备可以采用渐进方式，根据系统当前的实践负载逐批添加，也可以根据实践负载进展动态调度。经过面向效力架构设计，系统各部分之间及系统与外部系统之间的接口采用规范的设计，并为