动态安全的虚拟组织体系结构

1、动态安全的虚拟组织体系结构周海军，林翔（北京安高科技有限公司，北京100094）摘要：虚拟组织作为网络经济时代组织创新的新模式，在虚拟组织共享组织信息 的框架下保障组织信息的动态安全成为组织者不得不考虑的问题。从计算机及网 络科学的角度，论文探讨了一种动态安全的虚拟组织体系结构。在该体系结构呈 现的虚拟组织平台系统上能够动态地构建多个具有保护组织信息访问安全、存储 安全和流转安全的虚拟组织系统，从技术层面有效保护虚拟组织电子信息资产的 安全。关键词：虚拟组织；组织信息；信息安全；动态管理1引言网络经济时代，虚拟组织以其合作、共赢的思想，在技术、资源、成本等方面具有得天 独厚的优势和生命力，越来

2、越成为大中小企业以及个人群体实现产品研发、市场拓展、网上 办公的新选择。信息是虚拟组织的关键资源，虚拟组织的非实体性、网络的开放性以及组织 成员的动态分布性，对组织信息的安全管理，包括对组织信息的访问管理、存储管和流转管 理显得特别的重要。20世纪90年代以来，虚拟组织作为21世纪企业战略得到了全球的广泛的研究和运用。2006年第12期当代经济发表的文章面向虚拟组织的知识管理与创新研究，探讨了 虚拟组织与知识管理之间的内在联系，研究面向虚拟组织的企业间的知识创新体系的关键内 容和构建过程，旨在丰富虚拟组织和知识管理与创新的理论和方法，不足的是文章没有提出 一种切实可行的实现方法。现有的虚拟组织

3、解决方案通常是基于internet虚拟专网（VPN）将虚拟组织中的异地成 员信息系统连接起来，达到组织中成员之间信息交换和共享的目的。VPN在互联网上的集 成加密、认证和签名功能，为虚拟组织的建设奠定了一个安全可信的秘密通道。而建设VPN 需要硬件的投入和网络的部署，不能满足大量中小企业和个人动态组建和临时组建虚拟组织 的需求，并且无法保障组织信息的访问安全和存储安全。中国专利公开号CN1599322提出了一种实现企业共用虚拟自动化办公网的装置和方法，电信运营商为企业提供共用虚拟办公自动化平台，企业用户在企业共用虚拟自动化办公网服务器上建立其员工的资料数据，企业员工通过企业虚拟自动化办公网接入

4、终端，经电信 运营商共用接入网络连接到企业共用办公网服务器，通过自动化办公客户端软件登陆到企业 共用虚拟办公自动化平台进行办公，包括员工之间的信息交流和文件传递等。通过该专利的 方法，解决了虚拟组织的灵活创建问题和信息资源共享问题，但未涉及如何保护企业的电子 信息、防止重要信息泄漏的安全管理问题。针对目前虚拟组织存在的上述不足，论文提出了一种可实现的虚拟组织体系结构：基于 组织信息安全、组织动态配置管理的虚拟专有组织(Virtual Proprietary Organization, VPO)。2 VPO介绍vpo体系结构呈现为一种虚拟专有组织平台系统，采用该平台系统，能够为大中小企 业以及个

5、人用户通过intranet、extranet、internet多种网络形式灵活地组建专属于自己的虚拟 组织，并且由组织者通过部署终端安全策略的方式自行管理组织成员终端中组织专属信息的 访问安全、存储安全和流转安全，我们定义这种具有安全管理功能的虚拟组织为虚拟专有组 织(Virtual Proprietary Organization)0虚拟专有组织平台系统在保障虚拟专有组织正常运转 的同时，有效地解决虚拟专有组织系统中组织专属信息的归属权问题：虚拟专有组织中工作 形成的电子文档信息，我们定义为组织专属信息(Organization Proprietary Information，OPI)， 组

6、织专属信息不完全属于成员，成员能够在工作中正常使用组织专属信息，但在未授权的情 况下组织专属信息是无法移出虚拟专有组织，虚拟专有组织拥有组织专属信息的所有权。如 图1所示，VPO体系结构由系统服务器、系统管理台以及多个组织管理台和成员终端动态 组合而成。成员终端成员终端!图1 VPO的体系结构系统服务器：在VPO体系结构中，系统服务器是体系结构的核心部分。系统管理台、 组织管理台通过intranet、extranet、internet多种网络形式以B/S结构连接系统服务器，成员 终端通过intranet、extranet、internet多种网络形式以C/S结构连接系统服务器。系统服务器 为系

7、统管理台、组织管理台和成员终端提供了证书授权认证服务、成员终端软件下载升级服 务、虚拟专有组织管理服务、成员终端文档流转服务、成员终端安全策略服务，成员终端信 息审计服务。系统管理台：系统管理台和系统服务器组成VPO体系结构的总控中心。系统管理台主 要实现虚拟专有组织平台系统的日常维护和虚拟专有组织的审批、注册和注销管理。组织管理台：组织管理台和系统服务器组成所属虚拟专用组织的控制中心。主要实现所 属虚拟专用组织成员的管理、所属成员终端安全策略的配置和部署和所属成员终端信息的审 计。同一个组织管理台能够申请管理多个虚拟专有组织，所管理虚拟专有组织可以在同一系 统服务器上，也可以在不同系统服务器

8、上。组织管理台通过登陆时的不同角色管理各个虚拟 专有组织，之间互不影响。成员终端：基于Windows操作系统的计算机系统从虚拟专有组织平台系统上下载安装 成员终端软件后申请成为成员终端，成员终端登陆所属虚拟专有组织自动下载并实时执行组 织管理台所部署的终端安全策略，控制成员终端上组织专属信息的访问、存储和流转，并形 成操作审计信息反馈给系统服务器。同一个成员终端能够申请加盟多个虚拟专有组织，所加 盟虚拟专有组织可以在同一系统服务器上，也可以在不同系统服务器上，成员终端通过登陆 时的不同角色成为所属虚拟专有组织成员，成员终端上各虚拟专有组织之间的工作完全独 立、互不影响。3 VPO的安全管理3.

9、1证书授权与用户认证安全系统服务器为所属系统管理台创建的每一个虚拟专有组织分配组织管理台及该组织管理台专属的授权证书和用户身份，具体过程如图2所示，过程描述如下：A、组织者向虚拟专有组织平台系统提出组建虚拟专有组织的申请；B、系统管理台在虚拟专有组织平台系统中新增虚拟专有组织；C、虚拟专有组织平台系统为虚拟专有组织生成专属的组织管理台授权证书文件或ukey 设备；D、组织者安装组织管理台授权证书文件或插上ukey设备，成为虚拟专有组织平台系 统认证的组织管理台；E、执行组织管理台，选择组织，输入用户名和密码在线验证后进入虚拟专有组织管理 状态。广V.组织者111r登陆虚拟专有组 织平台系统运营

10、网1F注册用户1F网上进行 虚拟专有组织申 请下载组织证书文 件1r安装组织证书文 件1F打开组织管理台1T选择组织， 输入用户名和密 码组织证书文件,系统管理台I1T打开系统管理台1F对虚拟组织申请 进行审核1!在系统中 新增组织信息1F形成组织证书文 件*进入组织的 管理状态1F组织名、用户 名、密码验证身份确认*图2虚拟专有组织申请流程系统服务器为所属组织管理台创建的每一个成员终端配置成员信息及该成员终端专属授权证书和用户身份，具体过程如图3所示，过程描述如下：A、成员终端向组织管理台发出加盟组织的申请；B、组织管理台在虚拟专有组织中新增成员；C、虚拟专有组织平台系统为成员终端生成专属的

11、成员终端授权证书文件或ukey设备；D、成员终端安装成员终端授权证书文件或插上ukey设备，成为虚拟专有组织认证的 成员终端；E、执行成员终端登陆，选择组织，输入用户名和密码在线验证后，成员终端从非工作状态进入虚拟专有组织工作状态。导入组织成员 证书文件1安装组织成员 证书文件1r打开用户注册1选择组织， 输入用户名和密码进入组织的 工作状态11组织名、用户 名、密码验证IF身份确认图3成员终端加盟虚拟专有组织流程3.2成员终端的存储和访问安全成员终端为每一个虚拟专有组织配置组织专属信息存储区，组织专属信息以加密的方式 存储在组织专属信息存储区中，组织专属信息存储区外的信息允许移入组织专属信息

12、存储 区，组织专属信息存储区的信息禁止移出组织专属信息存储区，非工作状态下禁止访问组织 专属信息存储区，工作状态下只能访问角色所属的组织专属信息存储区而禁止访问其他角色的组织专属信息存储区。每一个虚拟专有组织的加密密钥具有唯一性，虚拟专有组织之间的 组织专属信息不具有直接交换使用性，保障了组织专属信息的存储安全。普通信息存储区组织A专属信息存储区组织B专属信息存储区组织A安全策略组织B安全策略组织AT作诳程组织B工作进程组织A成员工作环境组织B成员工作环境成员终端软件成员终端图4成员终端的信息存储和流转成员终端成员终端软件在工作状态，成员终端的进程分为工作进程和非工作进程，仅允许工作进程访问组

13、织专 属信息，工作进程所创建的信息属于组织专属信息只能存储到组织专属信息存储区中，工作 进程在访问组织专属信息时，系统自动进行信息加解密处理，并且控制成员终端内或成员终 端之间的进程信息通讯，包括：允许工作进程与工作进程间的信息通讯，允许非工作进程与 非工作进程间的信息通讯，允许非工作进程到工作进程间的信息通讯，阻止工作进程到非工 作进程间的信息通讯，保障了组织专属信息的应用安全。组织管理台对所属成员终端的组织专属信息存储区具有控制功能，包括失效成员终端对 组织专属信息存储区的访问、远程复制成员终端组织专属信息存储区、清除成员终端组织专 属信息存储区，保障了成员离职后的组织专属信息的安全。在组

14、织管理台授权的情况下，允许所属成员终端以加密方式、加壳方式、明文方式导出 组织专属信息存储区中的文档。加密方式：将组织专属信息以加密的方式移出组织专属信息 存储区，通过导入的方式存入同组织的成员终端的组织专属信息存储区中；加壳方式：将组 织专属信息移出组织专属信息存储区后在信息上绑定密码，在访问加壳信息时验证密码；明 文方式：将组织专属信息解密后移出组织专属信息存储区成为普通文档。在组织管理台授权 的情况下，允许所属成员终端脱网工作，成员终端脱网工作时仍然受安全策略的控制，脱网 的审计信息在上网时自动发送系统服务器。充分保障了虚拟专有组织在组织控制台控制下的 工作灵活性。3.3组织专属信息的流

15、转安全组织管理台能够将虚拟专有组织的成员配置为多个安全域，每个成员可以是其中几个安 全域的成员，如图5所示。安全域标记:该安全域内终端之间的数 据传输仅限于设计部A分别与B、C之间建立安令域 进行数据的传输。但B与C之间 无法直接仲输数据。该终端不在任何安全域内，无 法通过安全传输平台进行数据 传输P图5组织专属信息的流转控制在工作状态，仅允许同一安全域的成员终端之间流转组织专属信息，流转时系统自动进 行信息加解密、压缩解压缩处理，并且，文档流转接收方成员终端只能将接收到的组织专属 信息存入相应的组织专属信息存储区，保障了组织专属信息的流转安全。4结语论文以动态安全为出发点，提出了一种强操作性

16、的虚拟组织体系结构，具体阐述了该虚 拟组织体系结构下的虚拟专有组织vpo平台系统的证书授权与用户认证安全、成员终端的 存储和访问安全以及组织专属信息的流转安全。在充分保障虚拟组织成员对组织信息的协作 和共享的基础上，有效保护了虚拟组织的组织专属信息OPI的安全。动态安全的虚拟组织体系结构对实践具有很好的指导性，当然，论文只是初步提出虚拟 专有组织VPO体系结构的构建方法和参考模型，随着研究的不断深入和逐步的实践，虚拟 专有组织VPO体系结构及虚拟专有组织VPO平台系统将会更加完善和成熟，从而满足虚拟 组织在当今网络经济时代的迫切需求，推动虚拟组织的广泛运用。参考文献：1朱雪忠等.虚拟研发组织知

17、识产权管理框架分析J.科学与法律,2006,4程涛等.一种基于虚拟Agent市场的虚拟制造组织体系结构J.组合机床与 自动化加工技术,2006,3朱颖俊.面向虚拟组织管理与创新研究J.当代经济,2006,12侯万春.一种实现企业公用虚拟自动化办公网的装置和方法M.中国知识产 权网Hamideh Afsarmanesh,Luis M. Camarinha-Matos.A FRAMEWORK FOR MANAGEMENT OF VIRTUAL ORGANIZATION BREEDING ENVIRONMENTSJ. Springer Boston, 2006,3Jill Gemmill,John-

18、Paul Robinson,Tom Scavo,Purushotham Bangalore. Cross-domain authorization for federated virtual organizations using the myVocs collaboration environment. Concurrency and Computation, 2008,4An Architecture Based on Dynamic Security forVirtual OrganizationZhou Hai Jun,Lin Xiang（Beijing Amgo Technology Co.,Ltd,Beijing 100094）Abstract : As the network economy era , Virtual organization is organizational innovation new model , Under the framework of share virtual organization information , Protect organizations dynamic information security has become the organizers had to consider problem . Fro