1.概述

　　1.1背 景

　　信息是財富，安全是保障，網上信息資源共享、網上協同辦公等信息系統建設給黨政機關和企事業帶來了很多便利，極大地提高了工作效率。但是隨著封閉系統的開放化程度提高，網絡信息系統互聯互通和協同性的加強，越來越多的信息安全問題也同時浮現出來。網絡所具有的開放性、共享性等特點，使得分布在各應用系統和個人電腦中的重要信息資源處于一種高風險的狀態，應用系統和業務數據很容易受到非法訪問和惡意攻擊，最終造成泄密、業務數據丟失，給用戶造成重大損失。如何有效地保護這些重要的網絡信息資源，對應用系統和業務數據的訪問進行有效的管控，日益成為網絡信息系統應用中的關鍵重要問題，從某種意義上說，這是一個關系到信息化大規模深入，信息系統建設能否順利實施的關鍵因素，目前網絡信息安全隱患越來越突出，信息泄密事件時有發生，黑客攻擊或商業間諜入侵、木馬病毒肆虐、內部人員有意或無意的泄密行為，以及存儲大量數據的硬件被盜或丟失，都可能直接導致泄密情況發生，并給單位造成極大的經濟與聲譽損失，信息安全也成為各網絡應用單位面臨的難點問題，而且隨著各單位與個人對網絡和電腦依存度越來越大，這種安全威脅和影響也越來越大，甚至已經成為當今網絡應用中最敏感的問題之一。往小的說，關系一個單位的生存和發展；往大的說，可能對國家大局和長遠利益產生重大影響。

　　缺乏可信的安全措施，信息不敢數字化，不敢將數字信息上網

　　信息系統建設的一個重要目標就是要實現各個部門之間的網絡互聯、信息互通，業務互動，信息共享，惟其如此才能保證業務處理的高效開展。但由于缺乏可行的安全措施，用戶害怕信息化后出現泄密和數據丟失問題，而不敢將信息上網進行信息系統的互聯互通、網上協同辦公、建立數字信息資源系統和實現信息資源共享。

　　口令繁多、多次登錄

　　隨著信息技術和網絡技術的迅猛發展，企業內部的應用系統越來越多，由于這些系統互相獨立，用戶在使用每個應用系統之前都必須按照相應的系統身份進行登錄，為此用戶必須記住每一個系統的用戶名和密碼，這給用戶帶來了不少麻煩。同時，由于口令極易被非法獲取或截獲，造成系統被非法訪問，系統不安全。

　　用戶信息分散管理，管理困難且不安全

　　用戶在所有應用系統中都存在用戶信息，而由于對用戶信息的管理沒有統一的規劃設計，造成一個用戶在多個應用系統中有不同的用戶信息，用戶崗位變更或增加應用系統用戶，要重復在多個應用系統中變更用戶信息，這既煩瑣，又存在遺漏變更而造成影響用戶履行新的崗位職責或沒有收回老用戶資源訪問權限而出現安全問題。

　　沒有統一的、規范的、合理的的授權信息

　　在現實環境中，每一個工作人員都是依據其組織機構（單位）、部門、職務、崗位、級別等角色信息執行其業務操作。而每個人員的職務和級別任命是由專門的人事部門負責。在信息系統世界中，每一個人的應用系統資源的操作權限是由管理員進行分配的，每個人的職務、崗位等角色信息分散在各個系統中，且叫法不一。這就造成了這些角色信息的混亂、不一致，同時進行修改維護也需要在每一個系統中進行更改，且在信息系統中都由應用系統管理員管理，不符合黨政機關管理的實際、存在安全隱患。

　　1.沒有統一的信息資源訪問控制

　　在眾多的應用系統中，哪些用戶能夠進入哪些應用系統需要管理員在每個應用系統中進行配置，既不方便容易出錯，同時也不安全。這就需要一個統一的資源訪問控制系統進行應用系統信息資源的統一訪問控制，降低工作強度，提高安全強度。

　　1.2.6沒有文檔數據端安全防護防泄密措施

　　許多單位采取拆除光驅軟驅、封掉USB 接口、限制上網等方法來盡可能的減少信息交換，以達到信息保密的目的；或者安裝一些監控軟件，監控員工的日常工作，使其不敢輕舉妄動；或者安裝各種網絡信息安全防護產品，如防火墻、入侵檢測、防病毒產品等來防范黑客攻擊和病毒侵襲。但人們很快發現，網絡信息安全不是絕對的，沒有任何一個產品或者技術能夠絕對確保自己的網絡不被黑客攻擊和病毒入侵。同時，限制上網、封閉USB 接口、拆除光驅軟驅、安裝監控軟件等等做法一方面嚴重影響工作的方便性，并容易引起員工的抵觸情緒；另一方面還是無法根本杜絕有意的內部泄密行為，同時存在因噎廢食之嫌。大量事實也證明這些方法效果不是很好，重要的文件依舊會泄漏。

　　1.3系統應用領域

　　本解決方案是一套高擴展性、可定制化的綜合安全解決方案，系統集密鑰管理、用戶和授權管理、單點登錄、訪問控制、身份驗證、數字簽名加密、文檔數據防泄密和安全PDF版式公文、打印控制、程序控制、文件自動透明加密、安全審計等多種技術于一體，完成用戶統一身份認證和信息資源的統一認證、統一授權功能，為各部門之間的信息共享提供一個安全可靠的認證服務和授權服務平臺；同時對單位內部的圖紙、文件、設計文稿、重要數據或信息等敏感電子文件從創建、分發、流轉、審批、歸檔乃至銷毀的全過程進行控制和保護，確保這些文件不被泄漏，即便被黑客盜取或內部員工有意外泄，獲得者也無法打開，切實保障單位的信息安全。

　　系統可以廣泛應用于需要驗證用戶身份、限制用戶權限、查證用戶行為、控制用戶訪問、以及限制文檔訪問范圍的領域：

　　? 黨政機關和軍隊：涉及國家機密的文檔（公文、機密文件、會議紀要、統計數據、軍事情報等）。

　　? 金融機構：包含大量敏感信息和商業秘密的文檔（投資信息、大客戶信息、上市公司年報等）。

　　? 醫療行業：帶有不允許泄漏敏感信息的文檔（醫案、病案、病人信息、圖片等）。

　　? 咨詢行業：含有商業秘密信息的文檔（調查報告、咨詢報告、商業計劃、客戶資料等）。

　　? 制造行業：需要限制共享對象的企業文檔（設計圖紙、財務預算、商業計劃、價格體系、采購成本、合同定單、物流信息、管理制度等）。

　　? 研發行業：需要保護知識產權的文檔（源代碼、設計文檔、知識庫等）。

　　2.系統目標

　　? 統一管理數字證書和加密密鑰（PKI CA公鑰基礎實施）：管理用戶數字證書、證書吊銷列表和加密公私鑰對。

　　? 統一管理用戶信息和授權信息：從CA獲得基本用戶信息，并分解成用戶所在的行政區劃、單位信息，配置用戶所屬部門、職務、崗位、級別、組織機構代碼（身份證號碼）、級別、秘密等級等用戶信息，配置用戶角色，配置角色可以訪問的IP地址、服務等粗粒度資源，向應用系統、單點登錄系統和下級統一用戶信息和授權信息管理系統發布用戶信息、用戶角色信息和角色資源授權信息。

　　? 實現單點登錄統一身份認證和粗粒度資源訪問控制：對用戶登錄應用系統進行基于PKI密碼技術的強認證，從用戶和授權信息管理系統獲得IP、服務端口等粗粒度的資源授權信息，進行資源訪問控制決策，禁止非法用戶訪問單點登錄系統所保護的網絡信息資源。

　　? 實現基于角色的應用系統細粒度資源訪問控制：管理細粒度的應用系統和客戶端信息資源，包括：功能模塊、信息目錄、信息條目、操作按鈕，細分到對信息和文檔的閱讀、增加、刪除、修改、復制/另存、打印等操作授權控制，進行用戶訪問信息資源的決策，防止非法用戶對應用系統和客戶端信息資源的非法訪問。

　　? 進行業務數據數字簽名、加密密碼安全服務：確保業務數據和文檔的真實性，防止竊取敏感信息和涉密信息

　　? 客戶端數據加密防泄密和安全PDF版式公文：使用文檔和存儲介質加密、虛擬硬盤、文檔操作集中授權等技術防止對文檔的非法閱讀、發送、修改、復制/另存、打印、脫密，防止在硬盤上殘留涉密文檔數據。

　　? 負責安全審計：對用戶受控的信息資源訪問進行審計

　　3.系統總體結構

文章作者：安信天元
責任編輯：鐘燕