电子文档安全管理方案

电子文档安全管理方案

实现方案1概述随着信息现代化建设的不断深入，越来越多的文件以电子化的形式进行分发和储备。电子文件在使用上带来诸多便利的同时，其在治理和操纵上暴露出的问题也日益突出，要紧问题集中在使用不可控、传播不易追查等方面。为了适应宽敞用户日益增长的迫切需求，我所着手研发和建设有用、安全、高效的电子文件综合治理与操纵系统，以满足现代化、网络化、电子化条件下对电子文件治理与使用的实际需要。2系统需求概述2.1功能需求电子文件综合治理与操纵系统是对电子文件进行全方位治理与操纵的应用系统，其要对电子文件整个生存周期进行治理与操纵，包括电子文件的生成、储存、使用、销毁等各个时期。系统应具备的差不多功能有：2.1.1安全录入能够通过本地编辑、在线编辑、向服务器提交等多种方式，针对DOC、PPT、EXCEL、PDF、HTML等文档格式，提供完善、一致的电子文件安全录入手段，保证受策略操纵的电子文件在从录入开始就受到安全的操纵与治理。2.1.2自动化治理提供对受控档案的自动化归档及相应治理功能。可采纳B/S模式，通过Web服务技术向用户提供全方位的多种应用服务，形成功能强大、应用灵活的统一治理系统。系统功能包括各种类型文档录入、数字资源分配和治理、数字内容分发和使用等方面。2.1.3访问操纵系统应支持粗粒度、细粒度两级访问操纵，具有依据组织单位、角色等信息，针对电子

文件实施访问操纵的能力。粗粒度访问操纵用来与单位组织机构、人员分工、职级别等治理相关信息对应，完成使用者是否有权存取电子文件的访问操纵；细粒度访问操纵与电子文件归档时所定义的策略有关，与使用者所具有的角色信息相关联，完成使用者能够如何使用电子文件的访问操纵，如是否能够进行摘录、打印等等。访问操纵应依靠于认证中心所发放的数字证书完成强身份认证。2.1.4支持离线应用在研究所及下属的各分支机构中，存在着大量的文档交换需求。而下属各分支机构通常与研究所之间无网络联接，无法使用依靠网络的认证和密钥协商来完成文档脱密。系统应当支持无网络联接情形下的离线方式文档解密及安全访问操纵。离线方式下，受爱护文档应能够正常解密并受到访问操纵的爱护。离线方式使用受控文档时，依靠于用户所具有的USB-KEY完成身份认证与内容解密。离线方式无需支持用户打印与编辑文档权限，通常是只读权限，必要时，需要操纵使用次数或使用终端。2.1.5预警、2.1.5预警、审记与追踪系统要综合运用多种爱护技术，支持在文档使用时对用户的非法行为进行报警。系统要具备审记和追踪功能，能够依据多种手段对用户的电子文件使用行为进行审记，在必要的情形下，依照相关规定对对用户操作进行取证。能够通过技术手段对电子文件的使用情形、传播流程进行追踪，以有效防范信息失泄密情形的发生。2.1.6权限治理系统要提供便利的电子文件权限分发、配置和回收机制。支持在必要的时候对差不多下发的权限进行更换或回收。在专门情形下，能够完成对电子文件的销毁。2.1.7策略治理策略的运用应该构成系统应用的核心。系统应该具有良好的策略治理机制，从而支持整个系统在能够方便、灵活的满足用户不同层面、复杂多变需求的同时，具有专门好的扩充性。2.2要紧技术指标需求2.2.1常规服务能力系统应具有电子文件治理相关的常规服务能力，包括文档的安全录入、自动化归档、受控分发和使用等，能够支持Word、PowerPoint、Excel、PDF等格式文档。2.2.2集成能力系统应建立在统一的开发平台和接口标准之上，具有强大的与其它应用系统相结合使用的能力；同时应支持通过二次开发接口或其它方式，构建多平台联合服务体系，形成广泛使用、灵活集成、扩展性好的综合性系统。2.2.3访问操纵能力系统应支持粗粒度、细粒度两级访问操纵，具有依据组织单位、角色等信息，针对电子文件实施访问操纵的能力。粗粒度访问操纵用来与我所组织机构、人员分工、职级别等治理相关信息对应，完成使用者是否有权存取电子文件的访问操纵；细粒度访问操纵与电子文件归档时所定义的策略有关，与使用者所具有的角色信息相关联，完成使用者能够如何使用电子文件的访问操纵，如是否能够进行摘录、打印等等。粗粒度访问操纵应依靠于认证中心所发放的数字证书完成强身份认证；细粒度访问操纵除完成强身份认证外，还要依靠认证中心与系统中定义的各种证书完成加/解密、审记/追踪操作，提供普密级以上的安全支持。2.3技术指标需求定性描述在实际应用环境下，通过完善配置的系统应可实现如下技术指标：安全治理所支持的文件格式：Word、PowerPoint、Excel、PDF所支持客户端类型:Windows2000+SP4、WindowsXP、Windows2003支持的治理模式：基于组的用户治理或基于角色的用户治理（单选）粗粒度操纵包括：禁止使用、共享使用细粒度操纵包括：禁止使用、只读、打印、编辑、使用次数、打印次数限制、使用时刻限制、使用地点限制支持离线受限使用，保证离线文档正确解密并受控使用。离线使用时，不要求授与打印权限，不要求具有编辑权限，但需要支持使用终端操纵和使用次数支持用户数量N5，000人平均故障间隔时刻（MTBF）N10000小时平均故障修理时刻（MTTR）W30分钟典型配置下服务支持能力：1） 支持最少1000名客户并发在线使用；2） 峰值处理能力N100次要求/秒；3） 每日服务能力N10万人次；4） 每日最高服务要求处理能力N100万次；5） 每日最高审记行为记录N50万条。网络兼容性：支持10M、100M和1000M以太网，支持TCT/IP协议服务器端兼容性：支持Windows2000/2003，Linux2.4以上版本数据库兼容性：支持Oracle9i、MicrosoftSQLServer2000/2005,MySQL4.1以上版本2.4其它需求2.4.1安全兼容性出于安全及密码治理的考虑，关于系统内部所使用的密码设备（含密码基础设施和密码构件）的调用，都需要依照国家相应标准进行规范化、兼容化设计，以使所有密码相关部件满足不同层次密码治理与使用的需求，并在需求发生变化时，使系统最小程度修改的基础上就能够进行运行使用。2.4.2可视化治理系统的所有子系统应该采纳统一的综合可视化治理界面，实现对整个应用系统的高实时性、高易用性的监控和治理。2.4.3系统监控出于可靠性考虑，关于系统内部的所有硬件设备、网络、以及应用程序必须进行实时监控，尽早发觉和解决任何故障，以便系统最大程度上能够正常运行。3系统实现原则基于系统的需求和特点，我们认为从技术研发和工程实施角度来讲，事实上现应该遵循以下原则。3.1紧贴用户实际需求，提供切实可行的治理手段电子文件格式众多，应用环境复杂，用户使用与操作适应各异，而且用户数量庞大，不可能强行要求用户改变其适应或遵守某种硬性规定来适应系统，只能由系统来充分考虑用户的实际需求，适应用户。3.2按照密码统管思想统一设计，确保互联互通按照密码统管的思想，依靠已有的标准化密码基础设施，构建统一的底层密码支持平台，坚持对密码设备与算法的严格要求，确保一致性，确保系统在不同应用平台下使用时的互联互通。3.3采纳成熟技术，充分利用资源借鉴国内其它大型系统开发的成功体会，尽量采纳成熟技术，系统要紧设备和支撑软件均使用主流产品，以提高系统可靠性，缩短研制周期。3.4关键技术自主开发系统所涉及的关键技术，包括适合需求的权限描述语言设计技术、密码治理与应用技术等，需要坚持自主开发的原则，幸免在安全治理与操纵上不能深入底层，发生受制于人的情形。3.5适应进展特点，具备集成与扩充能力系统设计中要充分考虑信息化系统进展的需要，系统建设中要积存具备基础功能、相对独立的开发平台技术，将与其它系统结合应用的支持做为扩展性的重点。系统功能可灵活配置，对外互连接口丰富易用，可依具体应用形式动态调整或以专门小的代价集成，以适应系统以后功能更新、升级换代、构建多平台联合服务体系的需要。3.6松散耦合性设计由于待建系统的对硬件、软件、网络、储备等各方面都有专门高的要求，因此在整体方案设计过程中，应尽量降低各个层面之间的依靠性，使它们之间相对独立。松散耦合性设计会增强整个系统的可扩展性，利于系统各个层面的爱护和升级。例如操作系统的选择不应依靠于服务器的硬件结构，如此以后对服务器的升级可不能阻碍到整个系统。又如软件架构的设计应独立于硬件和操作系统平台，等等。3.7标准化、规范化技术规范标准化有利于提高设计开发的效率，保持系统的可扩展性。在系统设计与实现中应采纳目前IT领域的一些成熟标准，如：1） 以XML做为信息交换传输的标准格式2） 以MQ做为异步消息传递的标准机制3） 以SOAP/WebService做为网络间服务调用的标准4） 以J2EE做为分布式系统运行环境4总体技术方案4.1系统架构4.1.1整体组成系统整体结构组成的逻辑示意图如图4-1所示。虚线内的部份是系统平台自身所包括的部件，从整体上表示了内部部件间的逻辑层次和关系；虚线外的部份是已有（或在建）应用及系统所涉及的用户，表示了系统平台外部的应用需求调用与系统平台之间的逻辑关系。综合管控中心是系统平台的核心部件，负责响应用户治理服务器和授权服务器的要求，在密码运算和认证协议的支持下，完成用户初始化、用户角色定义、系统策略及用户自定义策略生成、电子文件归档储备等功能。综合管控中心是唯独的，它向所有的用户治理服务器和授权服务器提供服务，其间通过安全的信道进行连接。综合管控中心后台需要数据库与名目服务的支持，用来储备数字内容、安全策略、用户组织结构及角色定义等信息。综合管控中心获得认证中心CA的签名证书后才能为用户所同意。审记/追踪平台是系统平台的重要组成部份，其对所有的用户认证过程、满足策略定义要求的使用行为和重要事件进行必要的记录并提供丰富的审记与追踪手段，以便与行政治理等传统治理方式协作，形成对违规行为追究处罚的威慑，进一步提高系统的安全性。图4-1系统整体组成用户治理服务器针对具体应用设置，同意综合管控中心统一治理，一样情形下一个具体应用只设立一个用户治理服务器。用户治理服务器用来规划所属应用人员的组织结构，定义用户角色，将用户身份与用户代理相绑定，从而支持内部的身份认证，为访问操纵的实施打下基础，为审记/追踪提供底层的不可否认性支持。授权服务器针对具体应用设置，同意综合管控中心统一治理，一个具体应用能够设立多个授权服务器。授权服务器支持集群，能够满足大量用户的并发要求需要。授权服务器的功能是完成客户端安全代理所提出的提交数字内容、猎取数字内容、猎取数字内容使用许可证等要求，具体实现粗/细粒度访问操纵策略设置与应用。它同意客户端应用程序的调用，需要与用户代理相结合完成一系列复杂的密码变换，执行多步的安全协议以安全、正确、可信的将策略应用到数字内容，或猎取所需要的数字内容使用权。授权服务器是系统的关键部件。用户代理是系统引入的用来标识或绑定用户真实身份的密码对象，它能够是USB-Key，也能够是加密卡。只要能完成用户私钥的安全储备、具有独立加/解密运算功能的实体都能够做为用户代理。用户代理经认证中心CA的签名后有效。客户端安全代理面向所有客户端应用程序提供服务，它负责与用户代理交互，利用其加/解密运算能力完成一系列复杂的密码变换，同时与授权服务器通信完成用户身份认证、策略生成、策略应用、加/解密数字内容等实质性工作。客户端安全代理与客户端应用程序相配合，保证数字内容的安全、可控使用，是系统的关键部件。客户端应用程序具体完成电子文件的编辑、归档和使用工作，它能够是通用常规应用软件，也能够是配合系统使用的专用软件。不管采纳哪种形式，其必须保证以某种技术手段与客户端安全代理相关联并完成相互认证，同时忠实的将用户所定义的安全策略应用到数字内容，使数字内容受到高强度的加密爱护；或按照策略定义的使用要求，保证用户安全、可控的使用数字内容。认证中心(CA)、RA是标准化CA中心的有机组成部份，整个系统在密码基础设施使用上同意其治理，由其签署证书才能进行综合管控中心的合理部署。同样，客户端的具体用户，也要持有其签名的用户代理证书，才能为系统所识别和承认，从而纳入系统的统一治理与操纵体系。在密码信任链上，认证中心构成了综合管控中心与用户两端的可信根。用户泛指系统功能的使用者。专门情形下，用户能够是具有某些治理功能的使用者，如对电子文件进行归档治理的治理人员，然而其一样要通过用户代理与客户端安全代理的结合使用获得相应的功能权限。4.1.2功能层次划分电子文件综合治理与操纵系统在功能层次结构上分为做为基础服务支撑的核心层、面向治理人员提供服务的治理层和面向一般用户提供功能支持的应用层三个层次，具体的系统功能组成如图4-2所示。

核心层包括密码支撑服务、策略制定服务、策略应用服务、存取控降服务、审记支撑服务、集群支撑服务和认证接口服务。密码支撑服务是系统最差不多的核心服务，是保证系统安全的基础。它利用用户代理或其它软/硬件形式的密码服务构件，完成密码运算，如加/解密、签名及签名验证等等，从而支持其它核心服务，如面向数字内容的策略制定与应用、审记和认证等等。策略制定与策略应用服务面向治理层与应用层提供策略相关功能支持，分别支持系统级/用户级策略制定，支持对电子文件应用规定的策略以保证电子文件受到高强度的加密爱护并按所定义策略受控使用。存取控降服务与治理层的用户治理服务相互协作，完成电子文件的粗粒度访问操纵。审记支撑服务在密码支撑服务和认证接口服务的支持下，有选择的对用户猎取/使用电子文件的过程行为，专门是一些非法或违规行为进行记录并保证其不可否认性，从而为治理层的审记查询服务提供支持。集群支撑服务在保证系统安全的前提下，支持授权服务器集群。认证接口服务依靠密码支撑服务，向治理层与应用层提供认证接口，保证上层所有操作行为都通过安全可靠的认证手段加以验证，同时为审记/追踪提供基础支持数据。4.1.2.2治理层治理层包括用户治理服务、系统策略治理服务、审记查询服务、远程备份服务。用户治理服务定义用户对应的组织机构形式和角色，完成用户与用户代理的绑定，在核心层策略应用服务、存取控降服务、认证接口服务的支持下完成细粒度/粗粒度的访问操纵和用户认证功能。系统策略治理服务在核心层策略制定服务的支持下，完成系统级的策略制定与治理。系统策略在全系统指定范畴内有效，属于需优先满足的高级策略。审记查询服务在核心层审记支撑服务的支持下，以灵活、方便的可视化形式向系统治理者提供强大的审记/追踪记录查询功能，该功能具备高级过滤能力，支持各种方式的组合查询，满足在海量审记/追踪记录中高效检索所需信息的要求，同时可在策略承诺的条件下，提供必要的不可否认证据信息输出功能。远程备份服务是功能相对独立的治理层应用服务，支持在远程对关键数据进行安全异地备份和故障复原，支持一定的远程数据爱护与治理功能。4・1・2.3应用层应用层包括交互认证服务、用户策略服务和访问控降服务。交互认证服务在核心层密码支撑服务和认证接口服务的支持下，完成应用程序与客户端安全代理间的交互认证，使双方建立互信基础，共同完成对电子文件可信、受控的操作。用户策略治理区别于系统策略治理，其定义的策略只在用户所生成的电子文件上有效。访问控降服务是应用层的关键部件。它与核心层的密码支撑服务紧密配合，操纵应用程序完成符合策略定义要求的电子文件使用。4.2子系统划分本系统从软件层次上讲能够划分为下面几个子系统：策略治理子系统。策略治理子系统是系统应用的核心，它负责依照具体应用需求制定符合应用特点的各种策略，包括粗粒度/细粒度的文件访问操纵策略、审记追踪策略、取证策略、系统治理策略等，所有系统行为必须在某一或某些特定的策略约束之下。在该子系统的支持下，整体系统能够方便、灵活的满足用户不同层面、复杂多变的需求，同时具有专门好的扩充性。用户治理子系统。它负责完成应用系统用户的治理，如定义组织机构、角色等，最重要的是它需要完成应用系统用户与用户证书的绑定。同时，它还负责完成应用系统用户信息与本系统爱护的信息之间的同步。认证授权子系统。它负责对客户端的访问操纵要求进行认证，并在完成认证后对其操作行为进行授权。作为本系统的中枢，认证授权子系统负责对认证要求及授权申请进行说明、分解，将要求转化为一组内部逻辑协议并提交或返回给客户端代理系统，由其完成具体的访问操纵操作，同时其还负责将要求信息进行记录，交由审记追踪子系统综合汇总，以形成完整的数据处理结果。作为本系统的调度中心，它还负责对所有的业务流程进行监控与治理。客户端电子文件安全代理子系统。它负责将用户权限与数字内容相捆绑，并通过与应用系统软件的紧密配合，实现对电子文件的全方位、细粒度的有效治理与操纵。通过与认证授权子系统、审记追踪子系统的紧密配合，完成针对电子文件的事前爱护、事中预警、事后追踪三个层面的全生命周期的安全治理。审记追踪子系统。审记追踪系统在认证授权子系统的支持下，记录策略定义的用户

行为信息，并以灵活、方便的可视化形式向系统治理者提供强大的审记/追踪记录查询功能，向审查者提供必要的不可否认性运算机行为取证信息。实际上，除了上述的几个子系统之外，在系统内部还有其它的子系统，包括CA交互子系统、密码基础设施子系统等等，由于它们与其他子系统之间逻辑接口相对简单，而且没有涉及本系统相关的复杂的密码相关业务处理过程，只是提供最差不多、最通用的密码调用支持，因此，在那个地点我们不对其进行阐述。4.2.1策略治理子系统4.2.1.1要紧功能策略治理子系统做为电子文件综合治理与操纵系统的核心，其要紧功能包括：1） 完成常规的系统策略信息爱护，包括创建、修改和删除等，涉及的策略为根认证服务器配置策略、授权服务器配置策略、用户治理子系统配置策略。2） 完成电子文件使用相关策略信息爱护，包括创建、修改和删除等，涉及的策略为对电子文件使用行为进行细粒度访问操纵约束的电子文件使用策略，包括应用于整个系统的全局性策略和用户自定义策略。3） 完成日志策略信息爱护，包括创建、修改和删除等，其定义了用户治理子系统、认证授权子系统、客户端电子文件安全代理子系统、审记追踪子系统和文件储备子系统如何进行日志信息记录。4） 完成审记/追踪策略信息爱护，包括创建、修改和删除等，其定义了认证授权子系统如何为审记追踪子系统记录相应的审记/追踪信息，如信息的粒度等。4・2・1.2模块划分策略治理子系统模块划分如图4-3所示。其模块与要紧功能一一对应。许可证处理模块为一个通用模块，用来完成证书、许可证的解析和验证。第略管理孑系统电子交店里略日志案men日志电子交店里略日志案men日志图4-2策略治理子系统模块划分4.2.1.3与其它子系统间关系策略治理子系统是系统应用的核心，所有其它子系统都必须与其交互以获得相应的策略

信息，其子系统间关系如图4-4所示。策略治理子系统将所生成的策略全部安全的储存名目服务器。4.2.2用户治理子系统4・2・2.1要紧功能用户治理子系统是为电子文件综合治理与操纵系统提供用户治理相关支持服务的，其要紧功能包括：1） 完成常规用户治理操作，包括差不多信息录入等。2） 完成组织机构的定义与爱护。3） 完成角色的定义与爱护。4） 完成用户与用户代理所关联的用户证书之间的绑定。5） 完成用户信息与系统名目服务器之间的同步。4・2・2.2模块划分用户治理子系统模块划分如图4-5所示。其模块与要紧功能一一对应。策略查询模块负责与策略治理子系统交互以获得用户治理相关的配置策略。

用户管理子系统常规用户管理组织机构管理日志用户证书零{正策略查询用户管理子系统常规用户管理组织机构管理日志用户证书零{正策略查询图4-4用户治理子系统模块划分4・2・2.3与其它子系统间关系用户治理子系统是与其它子系统之间交互并不紧密，这是系统面向具体应用独立性设计的结果，它只通过策略查询模块与策略治理子系统交互，以获得日志记录的相关策略。用户治理子系统通用用户信息同步模块，将其所治理的用户、组、角色信息与系统名目服务同步。用户治理子系统能够操作局部名目服务库和归属于自己治理的数据库。4.2.3认证授权子系统4・2・3・1要紧功能认证授权子系统的要紧功能是：1） 完成对系统用户的内部认证。2） 完成系统用户密钥等隐秘信息的生成和加密保管，以使用户在系统内具有统一的密钥，同时为意外情形（如丢失用户代理）复原已加密信息提供基础条件。3） 完成对系统用户的授权，包括对电子文件使用的授权。4） 为审记/追踪提供必要的记录和不可否认性证据。4・2・3・2模块划分认证授权子系统的模块划分如图4-6所示，其通过向名目服务进行用户信息查询，最终决定是否为用户颁发其所要求的使用授权。认证授权子系统日志露杳询用户信息查御日志露杳询用户信息查御图4-5认证授权子系统的模块划分4・2・3・3与其它子系统间关系认证授权子系统与其它子系统之间的关系如图4-7所示。它能够查询名目服务库，然而不能修改。4.2.4客户端电子文件安全代理子系统4.2.4.1要紧功能客户端电子文件安全代理子系统的要紧功能是：1） 对用户使用电子文件的行为进行符合策略定义要求的细粒度的访问操纵，包括读、写、打印、时刻与次数限制等等。2） 采纳显水印技术对用户的非法行为进行警告。3） 采纳隐水印技术对非法行为进行取证。

4・2・4.2模块划分客户端电子文件安全代理子系统的模块划分如图4-8所示。客户局电子丈件安全憾子系统授权申请与莆寂字水印顼警策略查询许可证处理授权申请与莆寂字水印顼警策略查询许可证处理图4-7客户端电子文件安全代理子系统的模块划分4.2.4.3与其它子系统间关系客户端电子文件安全代理子系统与其它子系统之间的关系如图4-9所示。它不参与数据库与名目服务库的任何操作。4.2.5审记追踪子系统4.2.5.1要紧功能审记追踪子系统的要紧功能是：1） 对用户联机使用电子文件行为进行审记。2） 对用户非法使用行为进行追踪以确定路径。3） 对用户行为进行不可否认性的数字取证。4） 与策略治理子系统和认证授权子系统联动，及时禁止用户的非法行为。

4・2・5・2模块划分审记追踪子系统的模块划分如图4-10所示。4.2.5・3与其它子系统间关系审记追踪系统与其它子系统之间的关系如图4-11所示。审记追踪系统能够查阅系统数据库相关表内数据，然而不能修改，但在系统策略许可的条件下，它能够联动的部份修改名目服务库中指定的相关策略。4.2.6文件储备子系统4.2.6.1要紧功能文件储备子系统的要紧功能是：1） 对关键数据进行本地备份，包括数据库和名目服务数据。2） 对数据进行安全的远程备份3） 对集中治理的电子文件进行符合权限限定策略的搜索

4・2・6・2模块划分文件储备子系统的模块划分如图4-12所示。4.2.6・3与其它子系统间关系文件储备子系统与其它子系统之间的关系如图4-13所示。文件储备子系统能够不受限制的复制系统数据库与名目服务库。4.3可扩展应用架构整个系统具有良好的可扩展性，不管系统面对的具体应用形式如何，都能够通过我们定义的扩展应用架构进行无改动或专门少改动后的扩展使用。系统的可扩展应用架构如图4-14所示，图中的系统服务器要紧是指认证授权服务器。扩展涉及的应用对应图中所示的具体应用系统，而系统服务器位于应用服务器端代理之后。而不管是客户端的应用程序依旧具体应用系统，都不承诺与系统服务器直截了当交互。面向客户端，应用程序需要通过客户端安全代理与系统服务器交互；面向服务器端，具体应用系统需要通过应用服务器端代理使用本系统提供的针对特定应用系统的受限功能。一样来说，本系统生成的客户端和应用服务器端安全代理是一个（组）具有自爱护功能的程序（程序集）。客户端代理具有通用性，以满足复杂多样的客户端应用程序的普遍需求；应用服务器端代理具有专用性，满足特定应用在指定范畴内的专项需求，如用户同步、授权后权限处理等。通过应用服务器端代理专用化，能够针对不同应用开发不同的应用服务器端以适应应用的变化和进展，减少对系统服务器所提供基础功能造成的阻碍；通过指定专用应用服务器端的作用范畴，能够起到防止错误扩散，增加安全性，降低审记与追踪难度，提高操作效率的作用。本系统的可扩展应用架构具有如下特点：①简单直观，说明本系统提供了其所必须提供的通用的面向电子文件安全治理与操纵的应用支撑。②有利于保证本系统的安全性，专门是认证/授权服务器的安全性。③与应用耦合性小，功能的封装性好。客户端应用程序与服务器端具体应用系统之间可能存在通过网络通信构成的交互调用的可能，但不在本系统安全治理与操纵范畴之内。客户端应用程序与客户端代理、服务器端具体应用系统和应用服务器端代理、客户端代理和系统服务器、应用服务器端代理和系统服务器之间需要互相认证，以保证调用合法性。这点由系统密码相关的设计所保证，其全然是依靠与专用的公钥密码基础设施与相应的密码构件。4.4实验室部署在实验室环境下，系统只满足差不多功能，立足于对所建应用进行测试，同时为测评认证提供差不多环境，因此功能集合有所合并。图4-15为在实验室环境下，系统整体部署的示意图：

数据曲目录服务认证中心实械室模拟中心数据曲目录服务认证中心实械室模拟中心图4-15实验室条件下系统部署模拟中心机房相对独立，包括综合管控中心、认证授权服务器、后台数据库及名目服务三个组成部份。其中，考虑到实验室的建设情形及系统在实验室部署的目的，综合管控中心集成性的包括了审记追踪子系统、策略治理子系统、文件储备子系统、用户治理子系统、军用CA交互子系统。数据库与名目服务库统一部署在模拟中心机房，同意认证授权服务器和综合管控中心的统一调用。即使在实验室环境下，认证授权服务器必须独立存在，因为其可能需求相应的保密设备，如指定的密码卡的支持。在实验室环境下，认证授权服务器不具备集群能力。综合管控中心的用户治理服务器模拟治理应用所涉及的用户信息，从而为支持用户认证与访问操纵提供差不多支持。用户在模拟应用系统内能够通过直截了当访问综合管控中心的文件储备服务来完成电子文件的提交或猎取。在实验室环境下不部署CA和RA，而是使用二级CA及相应的RA，只完成测试用认证授权服务器和测试用户的证书公布。具体来说是签署认证授权服务许可证和用户代理证书，用来使认证授权服务器能够为用户所认可，同时认证授权服务器也能够对用户实施基于公钥密码体制的强身份认证。测试CA只需要通过安全途径将证书传递实验室即可，因此相对独立。在客户端要同时部署客户端电子文件安全代理子系统。那个子系统属于直截了当面向用户应用的终端应用系统，因此只在通用的Windows平台下运行，且不区分实验室环境依旧实际应用环境。也确实是说，从用户体验来讲，实验室环境和实际应用环境是一样的，如此有助于在实验室环境下就模拟出实际应用的各种情形从而直截了当满足用户的需求并统一

用户体验。4.5实际应用部署在实际应用环境下，系统要满足各种各样的应用系统需求，因此需要完成系统定义的所有功能，并同时考虑性能、兼容性、稳固性问题。图4-16为在实际应用环境下，系统整体部署的示意图：系统中心机房A布式堑成库用户捧端用尸F系统中心机房A布式堑成库用户捧端用尸F图4-16实际应用条件下系统部署在实际应用环境下，电子文件综合治理与操纵系统中心机房相对独立，包括综合管控中心、授权服务器集群、审记/追踪平台、文件储备治理平台、后台数据库及名目服务等部份。数据库与名目服务库通过安全专线与远程备份中心相连，按照系统安全备份相关的要求进行实时或定时备份，同时支持远程故障复原。与实验室环境不同的是，实际应用中的综合管控中心只包含策略治理子系统、CA交互子系统两个子系统，而认证授权子系统独立为授权服务器集群，审记追踪子系统独立为审记/追踪平台，文件储备治理子系统独立为文件储备治理平台。此环境下，文件储备治理平台具有完备定义的功能集合，支持安全专线支持下的远程备份，支持数据冗余备份和迁移；而审记/追踪平台则能够由区别于系统治理员的专门的审记人员担任，职责更为清晰，权力互相制约的特点更为明显；最为关键的是，即使在使用密码设备（如专用密码卡）的情形下，认证授权服务也能够进行集群，以应对大量用户并发要求的需要。系统下属各应用应独立架设支持冗余备份的用户治理服务器。用户治理服务器通过安全信道与综合管控中心相通信，将应用所涉及的用户信息提交给系统，以支持用户认证与访问操纵。关于实时性要求专门高的应用，能够在应用系统内部架设分布式数据库，用来储备系统中心数据库中与具体应用相关的电子文件数据。用户在应用系统内能够通过直截了当访问内部的分布式数据库来完成电子文件的提交或猎取，该数据库定时与中心数据库进行同步。在实际应用系统中，应部署相应的CA与RA，依照顾用系统的规模，能够采纳使用二级CA或三级CA的密码基础设施应用模式。CA和RA与系统独立存在，在密码关系上对认证授权服务器（含其集群）和各应用系统所涉及的用户（或用户代理）进行治理，具体来说是签署认证授权服务器服务许可证和用户代理证书，用来使认证授权服务器能够为用户所认可，同时认证授权服务器也能够对用户实施基于公钥密码体制的强身份认证°CA需要通过安全途径将证书传递给系统和用户，例如通过机要交通或严格治理的组织机构等等。专用的加密防火墙软件部署在各应用系统与电子文件综合治理与操纵系统中心之间，用来保证信道的安全、可用，同时防止与外部直联时可能显现的无法定向的攻击行为，幸免不可追查的冗余记录信息对审记/追踪造成阻碍。5耳非功能性需求系统除了需要满足用户提出的功能性需求，还必须考虑到非功能性需求。尽管每个非功能性需求并不能直截了当给用户带来收益，然而假如不考虑到非功能性需求，则作为工程实施来说系统可能全然无法使用。在本系统中，我们要紧针对下面给出的几个非功能点进行了考虑，并设计了相应的解决方案。5.1性能系统在性能上的要求要紧表达在实际应用环境下。要紧包括支持用户数量、并发用户数量、认证与授权速度、数据本地/异地储备量、受控文档搜索速度等。在典型实际应用配置条件下，性能相关的指标要求如下：1） 支持海量（十万级以上）用户的统一治理与身份认证，身份认证时刻小于10秒；2） 支持海量（百万级以上）数字内容的权限验证、配置、治理与转移，权限验证时刻小于20秒，权限转移时刻小于10秒；3） 最少支持5,000用户在线要求服务；4） 峰值处理能力大于1,000用户服务要求/秒；5） 数字内容加密及权限应用速度大于260MB/#；6） 审记与权限策略治理违规联动时刻小于10秒，追踪时刻小于60分钟；7） 支持匿名用户数量大于10,000名，并能完成违规自动化处理；8） 本地取证时刻小于30分钟，网络取证时刻小于1分钟；典型实际应用配置标准如下：标准服务器端配置为:根认证服务器（2个双核2.1GHz处理器，16GB内存，6个FC-AL磁盘驱动器，2块PCI加密卡）；三个授权服务器构成负载均衡集群（2个双核2.1GHz处理器，8GB内存，2个FC-AL磁盘驱动器，1块PCI加密卡），三个数据库服务器构成负载均衡集群（2个双核2.1GHz处理器，16GB内存，6个FC-AL磁盘驱动器，ORICALE9i）。操作系统为RedHatLinuxEnterprise4.0。标准客户端配置为P42.0G处理器，512M内存（DDR667），WindowsXP操作系统、软件加密算法、基于USB-Kye（16位）的终端密码认证构件。5.2可靠性任何一个系统的正常运行都需要保证其可靠性，一个轻易就会崩溃的系统无法让用户正常使用，能够会使得系统的爱护专门频繁。系统可靠性对外要紧表达为下面的几点：1） 系统平均无故障运行时刻。那个指标表示的是在两次系统故障之间，平均意义下的正常运行时刻，那个指标越大越好；2） 系统平均复原时刻。那个指标表示的是在系统崩溃了之后，操作人员将系统复原正常，重新开始运行所需要的时刻，那个指标越短越好；3） 一旦系统崩溃，会造成何种缺失；为了尽量延长系统平均无故障运行时刻，在项目经费承诺的情形下，系统在方案设计上应采取如下措施：1） 尽量保证无单点故障。这一点表达在硬件上，包括应用服务器主机的冗余（集群方式）、磁盘阵列备份等，在某一个设备损坏的时候，其他的设备能够启动热备份，赶忙替代原有设备进行后续的服务。表达在数据上，则表现在系统中的数据备份策略上，重要的数据文件都将被备份到容灾系统中。2） 采纳公布的、成熟的平台与硬件，例如Linux、Weblogic、Oracle，还有SAN、SCSI、光纤网、以太网等技术；3） 进行详细的系统架构分析与技术风险分析，在前期解决所有的技术难题，保证实施的应用系统能适应多种错误情形，同时建立完善的专门处理机制。为了尽量缩短系统复原时刻，系统在方案设计上应采取如下措施：1） 提供对数据库与数据文件的复原手段，在数据库损坏或者数据文件损坏的时候能够将历史最近的数据库通过数据库复原工具重新导入，数据文件损坏的时候能够通过磁带或者容灾系统进行复原；2） 通过统一的监控平台对各个子系统进行监控，在最短的时刻里面让操作员明白错误的发生；3） 通过系统日志记录系统的运行情形，在发生程序错误的时候能够迅速定位错误进行修正；此外，在系统崩溃的时候，在本系统可能会造成以下后果：1） 简单崩溃，不损坏服务器本机文件系统与相关数据库。会造成当前运行要求的中途失败，然而由于数据库与文件系统都没有损坏，因此在系统重新启动以后仍旧能够重新运行，故障复原时刻短；2） 系统崩溃，服务器本机文件系统或者数据库被损坏，热备数据库没有损坏，容灾系统有本机丢失的数据。系统能够通过热备的数据库与容灾系统进行复原；3） 系统崩溃，服务器本机文件系统或者数据库被损坏，同时热备数据库或者容灾系统也没有数据。需要使用备份的数据文件进行复原，然而在最近一段时刻系统的变化将可能会被丢失，会造成数据缺失。只是这种情形见相当少见，概率极低；系统相关的可靠性指标如下：1）平均故障间隔时刻（MTBF）N10000小时2） 平均故障修理时刻（MTTR）W30分钟3） 系统热备份频率N1次/小时5.3可爱护性可爱护性表现为系统治理人员、操作人员以及一般使用者在对系统进行操作（包含治理性工作和常规使用）是否方便，以及在系统显现故障的时候是否能够快速、精确地定位到错误处。在本方案中，采纳了以下的措施加强系统的可爱护性：1） 各个子系统的用户界面与操作方式具有统一的风格。界面风格的一致保证了治理者在各个子系统间切换时具有相对的熟悉程度，也保证了使用者在各个终端、各个配置策略下对系统的使用方法具有一致性2） 系统日志信息的完整性。那个地点所指的日志是系统操作及运行的相关记录信息。所有系统运行过程中显现的错误与专门都被记录在了日志文件中，同时对操作员有意义的错误还将显示在用户界面上。同时，治理员能够修改日志模块的配置，以记录更加详细的日志信息5.4经济性通过网格的设计，系统中的服务器及储备设备能够采纳渐进方式，依照系统当前的实际负载逐批添加，也能够依照实际负载进行动态调度。通过面向服务架构设计，系统各部分之间及系统与外部系统之间的接口采纳规范的设计，并为