電子文檔安全管理方案(辦公網(wǎng)安全解決-方案)

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)電子文件綜合管理與控制系統(tǒng)實現(xiàn)方案概述隨著信息現(xiàn)代化建設(shè)的不斷深入，越來越多的文件以電子化的形式進行分發(fā)和存儲。電子文件在使用上帶來諸多便利的同時，其在管理和控制上暴露出的問題也日益突出，主要問題集中在使用不可控、傳播不易追查等方面。為了適應(yīng)廣大用戶日益增長的迫切需求，我所著手研發(fā)和建設(shè)實用、安全、高效的電子文件綜合管理與控制系統(tǒng)，以滿足現(xiàn)代化、網(wǎng)絡(luò)化、電子化條件下對電子文件管理與使用的實際需要。系統(tǒng)需求概述功能需求電子文件綜合管理與控制系統(tǒng)是對電子文件進行全方位管理與控制的應(yīng)用系統(tǒng)，其要對電子文件整個生存周期進行管理與控制，包括電子文件的生成、保存、使用、銷毀等各個階段。系統(tǒng)應(yīng)具備的基本功能有：安全錄入能夠通過本地編輯、在線編輯、向服務(wù)器提交等多種方式，針對DOC、PPT、EXCEL、PDF、HTML等文檔格式，提供完善、一致的電子文件安全錄入手段，保證受策略控制的電子文件在從錄入開始就受到安全的控制與管理。自動化管理提供對受控檔案的自動化歸檔及相應(yīng)管理功能?？刹捎肂/S模式，通過Web服務(wù)技術(shù)向用戶提供全方位的多種應(yīng)用服務(wù)，形成功能強大、應(yīng)用靈活的統(tǒng)一管理系統(tǒng)。系統(tǒng)功能包括各種類型文檔錄入、數(shù)字資源分配和管理、數(shù)字內(nèi)容分發(fā)和使用等方面。訪問控制系統(tǒng)應(yīng)支持粗粒度、細(xì)粒度兩級訪問控制，具有依據(jù)組織單位、角色等信息，針對電子文件實施訪問控制的能力。粗粒度訪問控制用來與單位組織機構(gòu)、人員分工、職級別等管理相關(guān)信息對應(yīng)，完成使用者是否有權(quán)存取電子文件的訪問控制；細(xì)粒度訪問控制與電子文件歸檔時所定義的策略有關(guān)，與使用者所具有的角色信息相關(guān)聯(lián)，完成使用者可以如何使用電子文件的訪問控制，如是否可以進行摘錄、打印等等。訪問控制應(yīng)依托于認(rèn)證中心所發(fā)放的數(shù)字證書完成強身份認(rèn)證。支持離線應(yīng)用在研究所及下屬的各分支機構(gòu)中，存在著大量的文檔交換需求。而下屬各分支機構(gòu)通常與研究所之間無網(wǎng)絡(luò)聯(lián)接，無法使用依賴網(wǎng)絡(luò)的認(rèn)證和密鑰協(xié)商來完成文檔脫密。系統(tǒng)應(yīng)當(dāng)支持無網(wǎng)絡(luò)聯(lián)接情況下的離線方式文檔解密及安全訪問控制。離線方式下，受保護文檔應(yīng)能夠正常解密并受到訪問控制的保護。離線方式使用受控文檔時，依賴于用戶所具有的USB-KEY完成身份認(rèn)證與內(nèi)容解密。離線方式無需支持用戶打印與編輯文檔權(quán)限，通常是只讀權(quán)限，必要時，需要控制使用次數(shù)或使用終端。預(yù)警、審記與追蹤系統(tǒng)要綜合運用多種保護技術(shù)，支持在文檔使用時對用戶的非法行為進行報警。系統(tǒng)要具備審記和追蹤功能，可以依據(jù)多種手段對用戶的電子文件使用行為進行審記，在必要的情況下，依照相關(guān)規(guī)定對對用戶操作進行取證。能夠通過技術(shù)手段對電子文件的使用情況、傳播流程進行追蹤，以有效防范信息失泄密情況的發(fā)生。權(quán)限管理系統(tǒng)要提供便利的電子文件權(quán)限分發(fā)、配置和回收機制。支持在必要的時候?qū)σ呀?jīng)下發(fā)的權(quán)限進行更改或回收。在特殊情況下，能夠完成對電子文件的銷毀。策略管理策略的運用應(yīng)該構(gòu)成系統(tǒng)應(yīng)用的核心。系統(tǒng)應(yīng)該具有良好的策略管理機制，從而支持整個系統(tǒng)在能夠方便、靈活的滿足用戶不同層面、復(fù)雜多變需求的同時，具有非常好的擴充性。主要技術(shù)指標(biāo)需求常規(guī)服務(wù)能力系統(tǒng)應(yīng)具有電子文件管理相關(guān)的常規(guī)服務(wù)能力，包括文檔的安全錄入、自動化歸檔、受控分發(fā)和使用等，可以支持Word、PowerPoint、Excel、PDF等格式文檔。集成能力系統(tǒng)應(yīng)建立在統(tǒng)一的開發(fā)平臺和接口標(biāo)準(zhǔn)之上，具有強大的與其它應(yīng)用系統(tǒng)相結(jié)合使用的能力；同時應(yīng)支持通過二次開發(fā)接口或其它方式，構(gòu)建多平臺聯(lián)合服務(wù)體系，形成廣泛使用、靈活集成、擴展性好的綜合性系統(tǒng)。訪問控制能力系統(tǒng)應(yīng)支持粗粒度、細(xì)粒度兩級訪問控制，具有依據(jù)組織單位、角色等信息，針對電子文件實施訪問控制的能力。粗粒度訪問控制用來與我所組織機構(gòu)、人員分工、職級別等管理相關(guān)信息對應(yīng)，完成使用者是否有權(quán)存取電子文件的訪問控制；細(xì)粒度訪問控制與電子文件歸檔時所定義的策略有關(guān)，與使用者所具有的角色信息相關(guān)聯(lián)，完成使用者可以如何使用電子文件的訪問控制，如是否可以進行摘錄、打印等等。粗粒度訪問控制應(yīng)依托于認(rèn)證中心所發(fā)放的數(shù)字證書完成強身份認(rèn)證；細(xì)粒度訪問控制除完成強身份認(rèn)證外，還要依托認(rèn)證中心與系統(tǒng)中定義的各種證書完成加/解密、審記/追蹤操作，提供普密級以上的安全支持。技術(shù)指標(biāo)需求定性描述在實際應(yīng)用環(huán)境下，經(jīng)過完善配置的系統(tǒng)應(yīng)可實現(xiàn)如下技術(shù)指標(biāo)：安全管理所支持的文件格式：Word、PowerPoint、Excel、PDF所支持客戶端類型:Windows2000+SP4、WindowsXP、Windows2003支持的管理模式：基于組的用戶管理或基于角色的用戶管理(單選)粗粒度控制包括：禁止使用、共享使用細(xì)粒度控制包括：禁止使用、只讀、打印、編輯、使用次數(shù)、打印次數(shù)限制、使用時間限制、使用地點限制支持離線受限使用，保證離線文檔正確解密并受控使用。離線使用時，不要求授與打印權(quán)限，不要求具有編輯權(quán)限，但需要支持使用終端控制和使用次數(shù)支持用戶數(shù)量≥5，000人平均故障間隔時間(MTBF)≥10000小時平均故障維修時間(MTTR)≤30分鐘典型配置下服務(wù)支持能力：支持最少1000名客戶并發(fā)在線使用；峰值處理能力≥100次請求/秒；每日服務(wù)能力≥10萬人次；每日最高服務(wù)請求處理能力≥100萬次；每日最高審記行為記錄≥50萬條。網(wǎng)絡(luò)兼容性：支持10M、100M和1000M以太網(wǎng)，支持TCT/IP協(xié)議服務(wù)器端兼容性：支持Windows2000/2003，Linux2.4以上版本數(shù)據(jù)庫兼容性：支持Oracle9i、MicrosoftSQLServer2000/2005，MySQL4.1以上版本其它需求安全兼容性 出于安全及密碼管理的考慮，對于系統(tǒng)內(nèi)部所使用的密碼設(shè)備（含密碼基礎(chǔ)設(shè)施和密碼構(gòu)件）的調(diào)用，都需要依照國家相應(yīng)標(biāo)準(zhǔn)進行規(guī)范化、兼容化設(shè)計，以使所有密碼相關(guān)部件滿足不同層次密碼管理與使用的需求，并在需求發(fā)生變化時，使系統(tǒng)最小程度修改的基礎(chǔ)上就能夠進行運行使用。可視化管理 系統(tǒng)的所有子系統(tǒng)應(yīng)該采用統(tǒng)一的綜合可視化管理界面，實現(xiàn)對整個應(yīng)用系統(tǒng)的高實時性、高易用性的監(jiān)控和管理。系統(tǒng)監(jiān)控 出于可靠性考慮，對于系統(tǒng)內(nèi)部的所有硬件設(shè)備、網(wǎng)絡(luò)、以及應(yīng)用程序必須進行實時監(jiān)控，盡早發(fā)現(xiàn)和解決任何故障，以便系統(tǒng)最大程度上能夠正常運行。系統(tǒng)實現(xiàn)原則基于系統(tǒng)的需求和特征，我們認(rèn)為從技術(shù)研發(fā)和工程實施角度來講，其實現(xiàn)應(yīng)該遵循以下原則。緊貼用戶實際需求，提供切實可行的管理手段電子文件格式眾多，應(yīng)用環(huán)境復(fù)雜，用戶使用與操作習(xí)慣各異，而且用戶數(shù)量巨大，不可能強行要求用戶改變其習(xí)慣或遵守某種硬性規(guī)定來適應(yīng)系統(tǒng)，只能由系統(tǒng)來充分考慮用戶的實際需求，適應(yīng)用戶。按照密碼統(tǒng)管思想統(tǒng)一設(shè)計，確保互聯(lián)互通按照密碼統(tǒng)管的思想，依托已有的標(biāo)準(zhǔn)化密碼基礎(chǔ)設(shè)施，構(gòu)建統(tǒng)一的底層密碼支持平臺，堅持對密碼設(shè)備與算法的嚴(yán)格要求，確保一致性，確保系統(tǒng)在不同應(yīng)用平臺下使用時的互聯(lián)互通。采用成熟技術(shù)，充分利用資源借鑒國內(nèi)其它大型系統(tǒng)開發(fā)的成功經(jīng)驗，盡量采用成熟技術(shù)，系統(tǒng)主要設(shè)備和支撐軟件均使用主流產(chǎn)品，以提高系統(tǒng)可靠性，縮短研制周期。關(guān)鍵技術(shù)自主開發(fā)系統(tǒng)所涉及的關(guān)鍵技術(shù)，包括適合需求的權(quán)限描述語言設(shè)計技術(shù)、密碼管理與應(yīng)用技術(shù)等，需要堅持自主開發(fā)的原則，避免在安全管理與控制上不能深入底層，發(fā)生受制于人的情況。適應(yīng)發(fā)展特點，具備集成與擴充能力系統(tǒng)設(shè)計中要充分考慮信息化系統(tǒng)發(fā)展的需要，系統(tǒng)建設(shè)中要積累具備基礎(chǔ)功能、相對獨立的開發(fā)平臺技術(shù)，將與其它系統(tǒng)結(jié)合應(yīng)用的支持做為擴展性的重點。系統(tǒng)功能可靈活配置，對外互連接口豐富易用，可依具體應(yīng)用形式動態(tài)調(diào)整或以很小的代價集成，以適應(yīng)系統(tǒng)未來功能更新、升級換代、構(gòu)建多平臺聯(lián)合服務(wù)體系的需要。松散耦合性設(shè)計由于待建系統(tǒng)的對硬件、軟件、網(wǎng)絡(luò)、存儲等各方面都有很高的要求，所以在整體方案設(shè)計過程中，應(yīng)盡量降低各個層面之間的依賴性，使它們之間相對獨立。松散耦合性設(shè)計會增強整個系統(tǒng)的可擴展性，利于系統(tǒng)各個層面的維護和升級。例如操作系統(tǒng)的選擇不應(yīng)依賴于服務(wù)器的硬件結(jié)構(gòu)，這樣未來對服務(wù)器的升級不會影響到整個系統(tǒng)。又如軟件架構(gòu)的設(shè)計應(yīng)獨立于硬件和操作系統(tǒng)平臺，等等。標(biāo)準(zhǔn)化、規(guī)范化技術(shù)規(guī)范標(biāo)準(zhǔn)化有利于提高設(shè)計開發(fā)的效率，保持系統(tǒng)的可擴展性。在系統(tǒng)設(shè)計與實現(xiàn)中應(yīng)采用目前IT領(lǐng)域的一些成熟標(biāo)準(zhǔn)，如：以XML做為信息交換傳輸?shù)臉?biāo)準(zhǔn)格式以MQ做為異步消息傳遞的標(biāo)準(zhǔn)機制以SOAP/WebService做為網(wǎng)絡(luò)間服務(wù)調(diào)用的標(biāo)準(zhǔn)以J2EE做為分布式系統(tǒng)運行環(huán)境總體技術(shù)方案系統(tǒng)架構(gòu)整體組成系統(tǒng)整體結(jié)構(gòu)組成的邏輯示意圖如圖4-1所示。虛線內(nèi)的部份是系統(tǒng)平臺自身所包括的部件，從整體上表示了內(nèi)部部件間的邏輯層次和關(guān)系；虛線外的部份是已有（或在建）應(yīng)用及系統(tǒng)所涉及的用戶，表示了系統(tǒng)平臺外部的應(yīng)用需求調(diào)用與系統(tǒng)平臺之間的邏輯關(guān)系。綜合管控中心是系統(tǒng)平臺的核心部件，負(fù)責(zé)響應(yīng)用戶管理服務(wù)器和授權(quán)服務(wù)器的請求，在密碼運算和認(rèn)證協(xié)議的支持下，完成用戶初始化、用戶角色定義、系統(tǒng)策略及用戶自定義策略生成、電子文件歸檔存儲等功能。綜合管控中心是唯一的，它向所有的用戶管理服務(wù)器和授權(quán)服務(wù)器提供服務(wù)，其間通過安全的信道進行連接。綜合管控中心后臺需要數(shù)據(jù)庫與目錄服務(wù)的支持，用來存儲數(shù)字內(nèi)容、安全策略、用戶組織結(jié)構(gòu)及角色定義等信息。綜合管控中心獲得認(rèn)證中心CA的簽名證書后才能為用戶所接受。審記/追蹤平臺是系統(tǒng)平臺的重要組成部份，其對所有的用戶認(rèn)證過程、滿足策略定義要求的使用行為和重要事件進行必要的記錄并提供豐富的審記與追蹤手段，以便與行政管理等傳統(tǒng)管理方式協(xié)作，形成對違規(guī)行為追究處罰的威懾，進一步提高系統(tǒng)的安全性。圖圖STYLEREF1\s41系統(tǒng)整體組成用戶管理服務(wù)器針對具體應(yīng)用設(shè)置，接受綜合管控中心統(tǒng)一管理，一般情況下一個具體應(yīng)用只設(shè)立一個用戶管理服務(wù)器。用戶管理服務(wù)器用來規(guī)劃所屬應(yīng)用人員的組織結(jié)構(gòu)，定義用戶角色，將用戶身份與用戶代理相綁定，從而支持內(nèi)部的身份認(rèn)證，為訪問控制的實施打下基礎(chǔ)，為審記/追蹤提供底層的不可否認(rèn)性支持。授權(quán)服務(wù)器針對具體應(yīng)用設(shè)置，接受綜合管控中心統(tǒng)一管理，一個具體應(yīng)用可以設(shè)立多個授權(quán)服務(wù)器。授權(quán)服務(wù)器支持集群，可以滿足大量用戶的并發(fā)請求需要。授權(quán)服務(wù)器的功能是完成客戶端安全代理所提出的提交數(shù)字內(nèi)容、獲取數(shù)字內(nèi)容、獲取數(shù)字內(nèi)容使用許可證等請求，具體實現(xiàn)粗/細(xì)粒度訪問控制策略設(shè)置與應(yīng)用。它接受客戶端應(yīng)用程序的調(diào)用，需要與用戶代理相結(jié)合完成一系列復(fù)雜的密碼變換，執(zhí)行多步的安全協(xié)議以安全、正確、可信的將策略應(yīng)用到數(shù)字內(nèi)容，或獲取所需要的數(shù)字內(nèi)容使用權(quán)。授權(quán)服務(wù)器是系統(tǒng)的關(guān)鍵部件。用戶代理是系統(tǒng)引入的用來標(biāo)識或綁定用戶真實身份的密碼對象，它可以是USB-Key，也可以是加密卡。只要能完成用戶私鑰的安全存儲、具有獨立加/解密運算功能的實體都可以做為用戶代理。用戶代理經(jīng)認(rèn)證中心CA的簽名后有效?？蛻舳税踩砻嫦蛩锌蛻舳藨?yīng)用程序提供服務(wù)，它負(fù)責(zé)與用戶代理交互，利用其加/解密運算能力完成一系列復(fù)雜的密碼變換，同時與授權(quán)服務(wù)器通信完成用戶身份認(rèn)證、策略生成、策略應(yīng)用、加/解密數(shù)字內(nèi)容等實質(zhì)性工作。客戶端安全代理與客戶端應(yīng)用程序相配合，保證數(shù)字內(nèi)容的安全、可控使用，是系統(tǒng)的關(guān)鍵部件。客戶端應(yīng)用程序具體完成電子文件的編輯、歸檔和使用工作，它可以是通用常規(guī)應(yīng)用軟件，也可以是配合系統(tǒng)使用的專用軟件。無論采用哪種形式，其必須保證以某種技術(shù)手段與客戶端安全代理相關(guān)聯(lián)并完成相互認(rèn)證，同時忠實的將用戶所定義的安全策略應(yīng)用到數(shù)字內(nèi)容，使數(shù)字內(nèi)容受到高強度的加密保護；或按照策略定義的使用要求，保證用戶安全、可控的使用數(shù)字內(nèi)容。認(rèn)證中心(CA)、RA是標(biāo)準(zhǔn)化CA中心的有機組成部份，整個系統(tǒng)在密碼基礎(chǔ)設(shè)施使用上接受其管理，由其簽署證書才能進行綜合管控中心的合理部署。同樣，客戶端的具體用戶，也要持有其簽名的用戶代理證書，才能為系統(tǒng)所識別和承認(rèn)，從而納入系統(tǒng)的統(tǒng)一管理與控制體系。在密碼信任鏈上，認(rèn)證中心構(gòu)成了綜合管控中心與用戶兩端的可信根。用戶泛指系統(tǒng)功能的使用者。特殊情況下，用戶可以是具有某些管理功能的使用者，如對電子文件進行歸檔管理的管理人員，但是其一樣要通過用戶代理與客戶端安全代理的結(jié)合使用獲得相應(yīng)的功能權(quán)限。功能層次劃分電子文件綜合管理與控制系統(tǒng)在功能層次結(jié)構(gòu)上分為做為基礎(chǔ)服務(wù)支撐的核心層、面向管理人員提供服務(wù)的管理層和面向普通用戶提供功能支持的應(yīng)用層三個層次，具體的系統(tǒng)功能組成如圖4-2所示。圖圖STYLEREF1\s4SEQ圖\*ARABIC\s12系統(tǒng)功能層次劃分核心層核心層包括密碼支撐服務(wù)、策略制定服務(wù)、策略應(yīng)用服務(wù)、存取控制服務(wù)、審記支撐服務(wù)、集群支撐服務(wù)和認(rèn)證接口服務(wù)。密碼支撐服務(wù)是系統(tǒng)最基本的核心服務(wù)，是保障系統(tǒng)安全的基礎(chǔ)。它利用用戶代理或其它軟/硬件形式的密碼服務(wù)構(gòu)件，完成密碼運算，如加/解密、簽名及簽名驗證等等，從而支持其它核心服務(wù)，如面向數(shù)字內(nèi)容的策略制定與應(yīng)用、審記和認(rèn)證等等。策略制定與策略應(yīng)用服務(wù)面向管理層與應(yīng)用層提供策略相關(guān)功能支持，分別支持系統(tǒng)級/用戶級策略制定，支持對電子文件應(yīng)用規(guī)定的策略以保證電子文件受到高強度的加密保護并按所定義策略受控使用。存取控制服務(wù)與管理層的用戶管理服務(wù)相互協(xié)作，完成電子文件的粗粒度訪問控制。審記支撐服務(wù)在密碼支撐服務(wù)和認(rèn)證接口服務(wù)的支持下，有選擇的對用戶獲取/使用電子文件的過程行為，特別是一些非法或違規(guī)行為進行記錄并保證其不可否認(rèn)性，從而為管理層的審記查詢服務(wù)提供支持。集群支撐服務(wù)在保證系統(tǒng)安全的前提下，支持授權(quán)服務(wù)器集群。認(rèn)證接口服務(wù)依托密碼支撐服務(wù)，向管理層與應(yīng)用層提供認(rèn)證接口，保證上層所有操作行為都經(jīng)過安全可靠的認(rèn)證手段加以驗證，同時為審記/追蹤提供基礎(chǔ)支持?jǐn)?shù)據(jù)。管理層管理層包括用戶管理服務(wù)、系統(tǒng)策略管理服務(wù)、審記查詢服務(wù)、遠(yuǎn)程備份服務(wù)。用戶管理服務(wù)定義用戶對應(yīng)的組織機構(gòu)形式和角色，完成用戶與用戶代理的綁定，在核心層策略應(yīng)用服務(wù)、存取控制服務(wù)、認(rèn)證接口服務(wù)的支持下完成細(xì)粒度/粗粒度的訪問控制和用戶認(rèn)證功能。系統(tǒng)策略管理服務(wù)在核心層策略制定服務(wù)的支持下，完成系統(tǒng)級的策略制定與管理。系統(tǒng)策略在全系統(tǒng)指定范圍內(nèi)有效，屬于需優(yōu)先滿足的高級策略。審記查詢服務(wù)在核心層審記支撐服務(wù)的支持下，以靈活、方便的可視化形式向系統(tǒng)管理者提供強大的審記/追蹤記錄查詢功能，該功能具備高級過濾能力，支持各種方式的組合查詢，滿足在海量審記/追蹤記錄中高效檢索所需信息的要求，同時可在策略允許的條件下，提供必要的不可否認(rèn)證據(jù)信息輸出功能。遠(yuǎn)程備份服務(wù)是功能相對獨立的管理層應(yīng)用服務(wù)，支持在遠(yuǎn)程對關(guān)鍵數(shù)據(jù)進行安全異地備份和故障恢復(fù)，支持一定的遠(yuǎn)程數(shù)據(jù)維護與管理功能。應(yīng)用層應(yīng)用層包括交互認(rèn)證服務(wù)、用戶策略服務(wù)和訪問控制服務(wù)。交互認(rèn)證服務(wù)在核心層密碼支撐服務(wù)和認(rèn)證接口服務(wù)的支持下，完成應(yīng)用程序與客戶端安全代理間的交互認(rèn)證，使雙方建立互信基礎(chǔ)，共同完成對電子文件可信、受控的操作。用戶策略管理區(qū)別于系統(tǒng)策略管理，其定義的策略只在用戶所生成的電子文件上有效。訪問控制服務(wù)是應(yīng)用層的關(guān)鍵部件。它與核心層的密碼支撐服務(wù)密切配合，控制應(yīng)用程序完成符合策略定義要求的電子文件使用。子系統(tǒng)劃分本系統(tǒng)從軟件層次上講可以劃分為下面幾個子系統(tǒng)：策略管理子系統(tǒng)。策略管理子系統(tǒng)是系統(tǒng)應(yīng)用的核心，它負(fù)責(zé)根據(jù)具體應(yīng)用需求制定符合應(yīng)用特點的各種策略，包括粗粒度/細(xì)粒度的文件訪問控制策略、審記追蹤策略、取證策略、系統(tǒng)管理策略等，所有系統(tǒng)行為必須在某一或某些特定的策略約束之下。在該子系統(tǒng)的支持下，整體系統(tǒng)能夠方便、靈活的滿足用戶不同層面、復(fù)雜多變的需求，同時具有非常好的擴充性。用戶管理子系統(tǒng)。它負(fù)責(zé)完成應(yīng)用系統(tǒng)用戶的管理，如定義組織機構(gòu)、角色等，最重要的是它需要完成應(yīng)用系統(tǒng)用戶與用戶證書的綁定。同時，它還負(fù)責(zé)完成應(yīng)用系統(tǒng)用戶信息與本系統(tǒng)維護的信息之間的同步。認(rèn)證授權(quán)子系統(tǒng)。它負(fù)責(zé)對客戶端的訪問控制請求進行認(rèn)證，并在完成認(rèn)證后對其操作行為進行授權(quán)。作為本系統(tǒng)的中樞，認(rèn)證授權(quán)子系統(tǒng)負(fù)責(zé)對認(rèn)證請求及授權(quán)申請進行解釋、分解，將請求轉(zhuǎn)化為一組內(nèi)部邏輯協(xié)議并提交或返回給客戶端代理系統(tǒng)，由其完成具體的訪問控制操作，同時其還負(fù)責(zé)將請求信息進行記錄，交由審記追蹤子系統(tǒng)綜合匯總，以形成完整的數(shù)據(jù)處理結(jié)果。作為本系統(tǒng)的調(diào)度中心，它還負(fù)責(zé)對所有的業(yè)務(wù)流程進行監(jiān)控與管理。客戶端電子文件安全代理子系統(tǒng)。它負(fù)責(zé)將用戶權(quán)限與數(shù)字內(nèi)容相捆綁，并通過與應(yīng)用系統(tǒng)軟件的緊密配合，實現(xiàn)對電子文件的全方位、細(xì)粒度的有效管理與控制。通過與認(rèn)證授權(quán)子系統(tǒng)、審記追蹤子系統(tǒng)的密切配合，完成針對電子文件的事前保護、事中預(yù)警、事后追蹤三個層面的全生命周期的安全管理。審記追蹤子系統(tǒng)。審記追蹤系統(tǒng)在認(rèn)證授權(quán)子系統(tǒng)的支持下，記錄策略定義的用戶行為信息，并以靈活、方便的可視化形式向系統(tǒng)管理者提供強大的審記/追蹤記錄查詢功能，向?qū)彶檎咛峁┍匾牟豢煞裾J(rèn)性計算機行為取證信息。實際上，除了上述的幾個子系統(tǒng)之外，在系統(tǒng)內(nèi)部還有其它的子系統(tǒng)，包括CA交互子系統(tǒng)、密碼基礎(chǔ)設(shè)施子系統(tǒng)等等，由于它們與其他子系統(tǒng)之間邏輯接口相對簡單，而且沒有涉及本系統(tǒng)相關(guān)的復(fù)雜的密碼相關(guān)業(yè)務(wù)處理過程，只是提供最基本、最通用的密碼調(diào)用支持，因此，在這里我們不對其進行闡述。策略管理子系統(tǒng)主要功能策略管理子系統(tǒng)做為電子文件綜合管理與控制系統(tǒng)的核心，其主要功能包括：完成常規(guī)的系統(tǒng)策略信息維護，包括創(chuàng)建、修改和刪除等，涉及的策略為根認(rèn)證服務(wù)器配置策略、授權(quán)服務(wù)器配置策略、用戶管理子系統(tǒng)配置策略。完成電子文件使用相關(guān)策略信息維護，包括創(chuàng)建、修改和刪除等，涉及的策略為對電子文件使用行為進行細(xì)粒度訪問控制約束的電子文件使用策略，包括應(yīng)用于整個系統(tǒng)的全局性策略和用戶自定義策略。完成日志策略信息維護，包括創(chuàng)建、修改和刪除等，其定義了用戶管理子系統(tǒng)、認(rèn)證授權(quán)子系統(tǒng)、客戶端電子文件安全代理子系統(tǒng)、審記追蹤子系統(tǒng)和文件存儲子系統(tǒng)如何進行日志信息記錄。完成審記/追蹤策略信息維護，包括創(chuàng)建、修改和刪除等，其定義了認(rèn)證授權(quán)子系統(tǒng)如何為審記追蹤子系統(tǒng)記錄相應(yīng)的審記/追蹤信息，如信息的粒度等。模塊劃分策略管理子系統(tǒng)模塊劃分如圖4-3所示。其模塊與主要功能一一對應(yīng)。許可證處理模塊為一個通用模塊，用來完成證書、許可證的解析和驗證。圖圖STYLEREF1\s4SEQ圖\*ARABIC\s13策略管理子系統(tǒng)模塊劃分與其它子系統(tǒng)間關(guān)系策略管理子系統(tǒng)是系統(tǒng)應(yīng)用的核心，所有其它子系統(tǒng)都必須與其交互以獲得相應(yīng)的策略信息，其子系統(tǒng)間關(guān)系如圖4-4所示。策略管理子系統(tǒng)將所生成的策略全部安全的保存目錄服務(wù)器。圖圖STYLEREF1\s4SEQ圖\*ARABIC\s14策略管理子系統(tǒng)與其它子系統(tǒng)關(guān)系用戶管理子系統(tǒng)主要功能用戶管理子系統(tǒng)是為電子文件綜合管理與控制系統(tǒng)提供用戶管理相關(guān)支持服務(wù)的，其主要功能包括：完成常規(guī)用戶管理操作，包括基本信息錄入等。完成組織機構(gòu)的定義與維護。完成角色的定義與維護。完成用戶與用戶代理所關(guān)聯(lián)的用戶證書之間的綁定。完成用戶信息與系統(tǒng)目錄服務(wù)器之間的同步。模塊劃分用戶管理子系統(tǒng)模塊劃分如圖4-5所示。其模塊與主要功能一一對應(yīng)。策略查詢模塊負(fù)責(zé)與策略管理子系統(tǒng)交互以獲得用戶管理相關(guān)的配置策略。圖圖STYLEREF1\s4SEQ圖\*ARABIC\s15用戶管理子系統(tǒng)模塊劃分與其它子系統(tǒng)間關(guān)系用戶管理子系統(tǒng)是與其它子系統(tǒng)之間交互并不緊密，這是系統(tǒng)面向具體應(yīng)用獨立性設(shè)計的結(jié)果，它只通過策略查詢模塊與策略管理子系統(tǒng)交互，以獲得日志記錄的相關(guān)策略。用戶管理子系統(tǒng)通用用戶信息同步模塊，將其所管理的用戶、組、角色信息與系統(tǒng)目錄服務(wù)同步。用戶管理子系統(tǒng)可以操作局部目錄服務(wù)庫和歸屬于自己管理的數(shù)據(jù)庫。認(rèn)證授權(quán)子系統(tǒng)主要功能認(rèn)證授權(quán)子系統(tǒng)的主要功能是：完成對系統(tǒng)用戶的內(nèi)部認(rèn)證。完成系統(tǒng)用戶密鑰等秘密信息的生成和加密保管，以使用戶在系統(tǒng)內(nèi)具有統(tǒng)一的密鑰，同時為意外情況（如丟失用戶代理）恢復(fù)已加密信息提供基礎(chǔ)條件。完成對系統(tǒng)用戶的授權(quán)，包括對電子文件使用的授權(quán)。為審記/追蹤提供必要的記錄和不可否認(rèn)性證據(jù)。模塊劃分認(rèn)證授權(quán)子系統(tǒng)的模塊劃分如圖4-6所示，其通過向目錄服務(wù)進行用戶信息查詢，最終決定是否為用戶頒發(fā)其所請求的使用授權(quán)。圖圖STYLEREF1\s4SEQ圖\*ARABIC\s16認(rèn)證授權(quán)子系統(tǒng)的模塊劃分與其它子系統(tǒng)間關(guān)系認(rèn)證授權(quán)子系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-7所示。它可以查詢目錄服務(wù)庫，但是不能修改。圖圖STYLEREF1\s4SEQ圖\*ARABIC\s17認(rèn)證授權(quán)子系統(tǒng)與其它子系統(tǒng)關(guān)系客戶端電子文件安全代理子系統(tǒng)主要功能客戶端電子文件安全代理子系統(tǒng)的主要功能是：對用戶使用電子文件的行為進行符合策略定義要求的細(xì)粒度的訪問控制，包括讀、寫、打印、時間與次數(shù)限制等等。采用顯水印技術(shù)對用戶的非法行為進行警告。采用隱水印技術(shù)對非法行為進行取證。模塊劃分客戶端電子文件安全代理子系統(tǒng)的模塊劃分如圖4-8所示。圖圖STYLEREF1\s4SEQ圖\*ARABIC\s18客戶端電子文件安全代理子系統(tǒng)的模塊劃分與其它子系統(tǒng)間關(guān)系客戶端電子文件安全代理子系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-9所示。它不參與數(shù)據(jù)庫與目錄服務(wù)庫的任何操作。圖圖STYLEREF1\s49客戶端電子文件安全代理子系統(tǒng)與其它子系統(tǒng)關(guān)系審記追蹤子系統(tǒng)主要功能審記追蹤子系統(tǒng)的主要功能是：對用戶聯(lián)機使用電子文件行為進行審記。對用戶非法使用行為進行追蹤以確定路徑。對用戶行為進行不可否認(rèn)性的數(shù)字取證。與策略管理子系統(tǒng)和認(rèn)證授權(quán)子系統(tǒng)聯(lián)動，及時制止用戶的非法行為。模塊劃分審記追蹤子系統(tǒng)的模塊劃分如圖4-10所示。圖圖STYLEREF1\s410審記追蹤子系統(tǒng)模塊劃分與其它子系統(tǒng)間關(guān)系審記追蹤系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-11所示。審記追蹤系統(tǒng)可以查閱系統(tǒng)數(shù)據(jù)庫相關(guān)表內(nèi)數(shù)據(jù)，但是不能修改，但在系統(tǒng)策略許可的條件下，它可以聯(lián)動的部份修改目錄服務(wù)庫中指定的相關(guān)策略。圖圖STYLEREF1\s411審記追蹤子系統(tǒng)與其它子系統(tǒng)關(guān)系文件存儲子系統(tǒng)主要功能文件存儲子系統(tǒng)的主要功能是：對關(guān)鍵數(shù)據(jù)進行本地備份，包括數(shù)據(jù)庫和目錄服務(wù)數(shù)據(jù)。對數(shù)據(jù)進行安全的遠(yuǎn)程備份對集中管理的電子文件進行符合權(quán)限限定策略的搜索模塊劃分文件存儲子系統(tǒng)的模塊劃分如圖4-12所示。圖圖STYLEREF1\s412文件存儲子系統(tǒng)模塊劃分與其它子系統(tǒng)間關(guān)系文件存儲子系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-13所示。文件存儲子系統(tǒng)可以不受限制的復(fù)制系統(tǒng)數(shù)據(jù)庫與目錄服務(wù)庫。圖圖STYLEREF1\s413文件存儲子系統(tǒng)與其它子系統(tǒng)關(guān)系可擴展應(yīng)用架構(gòu)整個系統(tǒng)具有良好的可擴展性，無論系統(tǒng)面對的具體應(yīng)用形式如何，都可以通過我們定義的擴展應(yīng)用架構(gòu)進行無改動或很少改動后的擴展使用。系統(tǒng)的可擴展應(yīng)用架構(gòu)如圖4-14所示，圖中的系統(tǒng)服務(wù)器主要是指認(rèn)證授權(quán)服務(wù)器。擴展涉及的應(yīng)用對應(yīng)圖中所示的具體應(yīng)用系統(tǒng)，而系統(tǒng)服務(wù)器位于應(yīng)用服務(wù)器端代理之后。而無論是客戶端的應(yīng)用程序還是具體應(yīng)用系統(tǒng)，都不允許與系統(tǒng)服務(wù)器直接交互。面向客戶端，應(yīng)用程序需要通過客戶端安全代理與系統(tǒng)服務(wù)器交互；面向服務(wù)器端，具體應(yīng)用系統(tǒng)需要通過應(yīng)用服務(wù)器端代理使用本系統(tǒng)提供的針對特定應(yīng)用系統(tǒng)的受限功能。一般來說，本系統(tǒng)生成的客戶端和應(yīng)用服務(wù)器端安全代理是一個(組)具有自保護功能的程序(程序集)。客戶端代理具有通用性，以滿足復(fù)雜多樣的客戶端應(yīng)用程序的普遍需求；應(yīng)用服務(wù)器端代理具有專用性，滿足特定應(yīng)用在指定范圍內(nèi)的專項需求，如用戶同步、授權(quán)后權(quán)限處理等。通過應(yīng)用服務(wù)器端代理專用化，可以針對不同應(yīng)用開發(fā)不同的應(yīng)用服務(wù)器端以適應(yīng)應(yīng)用的變化和發(fā)展，減少對系統(tǒng)服務(wù)器所提供基礎(chǔ)功能造成的影響；通過指定專用應(yīng)用服務(wù)器端的作用范圍，可以起到防止錯誤擴散，增加安全性，降低審記與追蹤難度，提高操作效率的作用。本系統(tǒng)的可擴展應(yīng)用架構(gòu)具有如下特點：①簡單直觀，表明本系統(tǒng)提供了其所必須提供的通用的面向電子文件安全管理與控制的應(yīng)用支撐。②有利于保證本系統(tǒng)的安全性，尤其是認(rèn)證/授權(quán)服務(wù)器的安全性。③與應(yīng)用耦合性小，功能的封裝性好?？蛻舳藨?yīng)用程序與服務(wù)器端具體應(yīng)用系統(tǒng)之間可能存在通過網(wǎng)絡(luò)通信構(gòu)成的交互調(diào)用的可能，但不在本系統(tǒng)安全管理與控制范圍之內(nèi)?？蛻舳藨?yīng)用程序與客戶端代理、服務(wù)器端具體應(yīng)用系統(tǒng)和應(yīng)用服務(wù)器端代理、客戶端代理和系統(tǒng)服務(wù)器、應(yīng)用服務(wù)器端代理和系統(tǒng)服務(wù)器之間需要互相認(rèn)證，以保證調(diào)用合法性。這點由系統(tǒng)密碼相關(guān)的設(shè)計所保證，其根本是依托與專用的公鑰密碼基礎(chǔ)設(shè)施與相應(yīng)的密碼構(gòu)件。圖圖STYLEREF1\s414可擴展應(yīng)用架構(gòu)實驗室部署在實驗室環(huán)境下，系統(tǒng)只滿足基本功能，立足于對所建應(yīng)用進行測試，同時為測評認(rèn)證提供基本環(huán)境，因此功能集合有所合并。圖4-15為在實驗室環(huán)境下，系統(tǒng)整體部署的示意圖：圖圖STYLEREF1\s415實驗室條件下系統(tǒng)部署模擬中心機房相對獨立，包括綜合管控中心、認(rèn)證授權(quán)服務(wù)器、后臺數(shù)據(jù)庫及目錄服務(wù)三個組成部份。其中，考慮到實驗室的建設(shè)情況及系統(tǒng)在實驗室部署的目的，綜合管控中心集成性的包括了審記追蹤子系統(tǒng)、策略管理子系統(tǒng)、文件存儲子系統(tǒng)、用戶管理子系統(tǒng)、軍用CA交互子系統(tǒng)。數(shù)據(jù)庫與目錄服務(wù)庫統(tǒng)一部署在模擬中心機房，接受認(rèn)證授權(quán)服務(wù)器和綜合管控中心的統(tǒng)一調(diào)用。即使在實驗室環(huán)境下，認(rèn)證授權(quán)服務(wù)器必須獨立存在，因為其可能需求相應(yīng)的保密設(shè)備，如指定的密碼卡的支持。在實驗室環(huán)境下，認(rèn)證授權(quán)服務(wù)器不具備集群能力。綜合管控中心的用戶管理服務(wù)器模擬管理應(yīng)用所涉及的用戶信息，從而為支持用戶認(rèn)證與訪問控制提供基本支持。用戶在模擬應(yīng)用系統(tǒng)內(nèi)可以通過直接訪問綜合管控中心的文件存儲服務(wù)來完成電子文件的提交或獲取。在實驗室環(huán)境下不部署CA和RA，而是使用二級CA及相應(yīng)的RA，只完成測試用認(rèn)證授權(quán)服務(wù)器和測試用戶的證書發(fā)布。具體來說是簽署認(rèn)證授權(quán)服務(wù)許可證和用戶代理證書，用來使認(rèn)證授權(quán)服務(wù)器可以為用戶所認(rèn)可，同時認(rèn)證授權(quán)服務(wù)器也可以對用戶實施基于公鑰密碼體制的強身份認(rèn)證。測試CA只需要通過安全途徑將證書傳遞實驗室即可，因此相對獨立。在客戶端要同時部署客戶端電子文件安全代理子系統(tǒng)。這個子系統(tǒng)屬于直接面向用戶應(yīng)用的終端應(yīng)用系統(tǒng)，所以只在通用的Windows平臺下運行，且不區(qū)分實驗室環(huán)境還是實際應(yīng)用環(huán)境。也就是說，從用戶體驗來講，實驗室環(huán)境和實際應(yīng)用環(huán)境是一樣的，這樣有助于在實驗室環(huán)境下就模擬出實際應(yīng)用的各種情況從而直接滿足用戶的需求并統(tǒng)一用戶體驗。實際應(yīng)用部署在實際應(yīng)用環(huán)境下，系統(tǒng)要滿足各種各樣的應(yīng)用系統(tǒng)需求，因此需要完成系統(tǒng)定義的所有功能，并同時考慮性能、兼容性、穩(wěn)定性問題。圖4-16為在實際應(yīng)用環(huán)境下，系統(tǒng)整體部署的示意圖：圖圖STYLEREF1\s416實際應(yīng)用條件下系統(tǒng)部署在實際應(yīng)用環(huán)境下，電子文件綜合管理與控制系統(tǒng)中心機房相對獨立，包括綜合管控中心、授權(quán)服務(wù)器集群、審記/追蹤平臺、文件存儲管理平臺、后臺數(shù)據(jù)庫及目錄服務(wù)等部份。數(shù)據(jù)庫與目錄服務(wù)庫通過安全專線與遠(yuǎn)程備份中心相連，按照系統(tǒng)安全備份相關(guān)的要求進行實時或定時備份，同時支持遠(yuǎn)程故障恢復(fù)。與實驗室環(huán)境不同的是，實際應(yīng)用中的綜合管控中心只包含策略管理子系統(tǒng)、CA交互子系統(tǒng)兩個子系統(tǒng)，而認(rèn)證授權(quán)子系統(tǒng)獨立為授權(quán)服務(wù)器集群，審記追蹤子系統(tǒng)獨立為審記/追蹤平臺，文件存儲管理子系統(tǒng)獨立為文件存儲管理平臺。此環(huán)境下，文件存儲管理平臺具有完備定義的功能集合，支持安全專線支持下的遠(yuǎn)程備份，支持?jǐn)?shù)據(jù)冗余備份和遷移；而審記/追蹤平臺則可以由區(qū)別于系統(tǒng)管理員的專門的審記人員擔(dān)任，職責(zé)更為清晰，權(quán)力互相制約的特點更為明顯；最為關(guān)鍵的是，即使在使用密碼設(shè)備（如專用密碼卡）的情況下，認(rèn)證授權(quán)服務(wù)也可以進行集群，以應(yīng)對大量用戶并發(fā)請求的需要。系統(tǒng)下屬各應(yīng)用應(yīng)獨立架設(shè)支持冗余備份的用戶管理服務(wù)器。用戶管理服務(wù)器通過安全信道與綜合管控中心相通信，將應(yīng)用所涉及的用戶信息提交給系統(tǒng)，以支持用戶認(rèn)證與訪問控制。對于實時性要求很高的應(yīng)用，可以在應(yīng)用系統(tǒng)內(nèi)部架設(shè)分布式數(shù)據(jù)庫，用來存儲系統(tǒng)中心數(shù)據(jù)庫中與具體應(yīng)用相關(guān)的電子文件數(shù)據(jù)。用戶在應(yīng)用系統(tǒng)內(nèi)可以通過直接訪問內(nèi)部的分布式數(shù)據(jù)庫來完成電子文件的提交或獲取，該數(shù)據(jù)庫定時與中心數(shù)據(jù)庫進行同步。在實際應(yīng)用系統(tǒng)中，應(yīng)部署相應(yīng)的CA與RA，根據(jù)應(yīng)用系統(tǒng)的規(guī)模，可以采用使用二級CA或三級CA的密碼基礎(chǔ)設(shè)施應(yīng)用模式。CA和RA與系統(tǒng)獨立存在，在密碼關(guān)系上對認(rèn)證授權(quán)服務(wù)器（含其集群）和各應(yīng)用系統(tǒng)所涉及的用戶(或用戶代理)進行管理，具體來說是簽署認(rèn)證授權(quán)服務(wù)器服務(wù)許可證和用戶代理證書，用來使認(rèn)證授權(quán)服務(wù)器可以為用戶所認(rèn)可，同時認(rèn)證授權(quán)服務(wù)器也可以對用戶實施基于公鑰密碼體制的強身份認(rèn)證。CA需要通過安全途徑將證書傳遞給系統(tǒng)和用戶，例如通過機要交通或嚴(yán)格管理的組織機構(gòu)等等。專用的加密防火墻軟件部署在各應(yīng)用系統(tǒng)與電子文件綜合管理與控制系統(tǒng)中心之間，用來保證信道的安全、可用，同時防止與外部直聯(lián)時可能出現(xiàn)的無法定向的攻擊行為，避免不可追查的冗余記錄信息對審記/追蹤造成影響。非功能性需求系統(tǒng)除了需要滿足用戶提出的功能性需求，還必須考慮到非功能性需求。雖然每個非功能性需求并不能直接給用戶帶來收益，但是如果不考慮到非功能性需求，則作為工程實施來說系統(tǒng)可能根本無法使用。在本系統(tǒng)中，我們主要針對下面給出的幾個非功能點進行了考慮，并設(shè)計了相應(yīng)的解決方案。性能系統(tǒng)在性能上的要求主要體現(xiàn)在實際應(yīng)用環(huán)境下。主要包括支持用戶數(shù)量、并發(fā)用戶數(shù)量、認(rèn)證與授權(quán)速度、數(shù)據(jù)本地/異地存儲量、受控文檔搜索速度等。在典型實際應(yīng)用配置條件下，性能相關(guān)的指標(biāo)要求如下：支持海量(十萬級以上)用戶的統(tǒng)一管理與身份認(rèn)證，身份認(rèn)證時間小于10秒；支持海量(百萬級以上)數(shù)字內(nèi)容的權(quán)限驗證、配置、管理與轉(zhuǎn)移，權(quán)限驗證時間小于20秒，權(quán)限轉(zhuǎn)移時間小于10秒；最少支持5,000用戶在線請求服務(wù)；峰值處理能力大于1,000用戶服務(wù)請求/秒；數(shù)字內(nèi)容加密及權(quán)限應(yīng)用速度大于260MB/秒；審記與權(quán)限策略管理違規(guī)聯(lián)動時間小于10秒，追蹤時間小于60分鐘；支持匿名用戶數(shù)量大于10,000名，并能完成違規(guī)自動化處理；本地取證時間小于30分鐘，網(wǎng)絡(luò)取證時間小于1分鐘；典型實際應(yīng)用配置標(biāo)準(zhǔn)如下：標(biāo)準(zhǔn)服務(wù)器端配置為：根認(rèn)證服務(wù)器(2個雙核2.1GHz處理器，16GB內(nèi)存，6個FC-AL磁盤驅(qū)動器，2塊PCI加密卡)；三個授權(quán)服務(wù)器構(gòu)成負(fù)載均衡集群(2個雙核2.1GHz處理器，8GB內(nèi)存，2個FC-AL磁盤驅(qū)動器，1塊PCI加密卡)，三個數(shù)據(jù)庫服務(wù)器構(gòu)成負(fù)載均衡集群(2個雙核2.1GHz處理器，16GB內(nèi)存，6個FC-AL磁盤驅(qū)動器，ORICALE9i)。操作系統(tǒng)為RedHatLinuxEnterprise4.0。標(biāo)準(zhǔn)客戶端配置為P42.0G處理器，512M內(nèi)存（DDR667），WindowsXP操作系統(tǒng)、軟件加密算法、基于USB-Kye(16位)的終端密碼認(rèn)證構(gòu)件?？煽啃?任何一個系統(tǒng)的正常運行都需要保證其可靠性，一個輕易就會崩潰的系統(tǒng)無法讓用戶正常使用，可以會使得系統(tǒng)的維護非常頻繁。系統(tǒng)可靠性對外主要體現(xiàn)為下面的幾點：系統(tǒng)平均無故障運行時間。這個指標(biāo)表示的是在兩次系統(tǒng)故障之間，平均意義下的正常運行時間，這個指標(biāo)越大越好；系統(tǒng)平均恢復(fù)時間。這個指標(biāo)表示的是在系統(tǒng)崩潰了之后，操作人員將系統(tǒng)恢復(fù)正常，重新開始運行所需要的時間，這個指標(biāo)越短越好；一旦系統(tǒng)崩潰，會造成何種損失；為了盡量延長系統(tǒng)平均無故障運行時間，在項目經(jīng)費允許的情況下，系統(tǒng)在方案設(shè)計上應(yīng)采取如下措施：盡量保證無單點故障。這一點體現(xiàn)在硬件上，包括應(yīng)用服務(wù)器主機的冗余（集群方式）、磁盤陣列備份等，在某一個設(shè)備損壞的時候，其他的設(shè)備可以啟動熱備份，立刻替代原有設(shè)備進行后續(xù)的服務(wù)。體現(xiàn)在數(shù)據(jù)上，則表現(xiàn)在系統(tǒng)中的數(shù)據(jù)備份策略上，重要的數(shù)據(jù)文件都將被備份到容災(zāi)系統(tǒng)中。采用公開的、成熟的平臺與硬件，例如Linux、Weblogic、Oracle，還有SAN、SCSI、光纖網(wǎng)、以太網(wǎng)等技術(shù)；進行詳細(xì)的系統(tǒng)架構(gòu)分析與技術(shù)風(fēng)險分析，在前期解決所有的技術(shù)難題，保證實施的應(yīng)用系統(tǒng)能適應(yīng)多種錯誤情況，同時建立完善的異常處理機制。為了盡量縮短系統(tǒng)恢復(fù)時間，系統(tǒng)在方案設(shè)計上應(yīng)采取如下措施：提供對數(shù)據(jù)庫與數(shù)據(jù)文件的恢復(fù)手段，在數(shù)據(jù)庫損壞或者數(shù)據(jù)文件損壞的時候可以將歷史最近的數(shù)據(jù)庫通過數(shù)據(jù)庫恢復(fù)工具重新導(dǎo)入，數(shù)據(jù)文件損壞的時候可以通過磁帶或者容災(zāi)系統(tǒng)進行恢復(fù)；通過統(tǒng)一的監(jiān)控平臺對各個子系統(tǒng)進行監(jiān)控，在最短的時間里面讓操作員知道錯誤的發(fā)生；通過系統(tǒng)日志記錄系統(tǒng)的運行情況，在發(fā)生程序錯誤的時候可以迅速定位錯誤進行修正；此外，在系統(tǒng)崩潰的時候，在本系統(tǒng)可能會造成以下后果：簡單崩潰，不損壞服務(wù)器本機文件系統(tǒng)與相關(guān)數(shù)據(jù)庫。會造成當(dāng)前運行請求的中途失敗，但是由于數(shù)據(jù)庫與文件系統(tǒng)都沒有損壞，因此在系統(tǒng)重新啟動以后仍然可以重新運行，故障恢復(fù)時間短；系統(tǒng)崩潰，服務(wù)器本機文件系統(tǒng)或者數(shù)據(jù)庫被損壞，熱備數(shù)據(jù)庫沒有損壞，容災(zāi)系統(tǒng)有本機丟失的數(shù)據(jù)。系統(tǒng)可以通過熱備的數(shù)據(jù)庫與容災(zāi)系統(tǒng)進行恢復(fù)；系統(tǒng)崩潰，服務(wù)器本機文件系統(tǒng)或者數(shù)據(jù)庫被損壞，同時熱備數(shù)據(jù)庫或者容災(zāi)系統(tǒng)也沒有數(shù)據(jù)。需要使用備份的數(shù)據(jù)文件進行恢復(fù)，但是在最近一段時間系統(tǒng)的變化將可能會被丟失，會造成數(shù)據(jù)損失。不過這種情況見相當(dāng)少見，概率極低；系統(tǒng)相關(guān)的可靠性指標(biāo)如下：平均故障間隔時間(MTBF)≥10000小時平均故障維修時間(MTTR)≤30分鐘系統(tǒng)熱備份頻率≥1次/小時可維護性 可維護性表現(xiàn)為系統(tǒng)管理人員、操作人員以及普通使用者在對系統(tǒng)進行操作（包含管理性工作和常規(guī)使用）是否方便，以及在系統(tǒng)出現(xiàn)故障的時候是否可以快速、精確地定位到錯誤處。在本方案中，采用了以下的措施加強系統(tǒng)的可維護性：各個子系統(tǒng)的用戶界面與操作方式具有統(tǒng)一的風(fēng)格。界面風(fēng)格的一致保證了管理者在各個子系統(tǒng)間切換時具有相對的熟悉程度，也保證了使用者在各個終端、各個配置策略下對系統(tǒng)的使用方法具有一致性系統(tǒng)日志信息的完整性。這里所指的日志是系統(tǒng)操作及運行的相關(guān)記錄信息。所有系統(tǒng)運行過程中出現(xiàn)的錯誤與異常都被記錄在了日志文件中，同時對操作員有意義的錯誤還將顯示在用戶界面上。同時，管理員可以修改日志模塊的配置，以記錄更加詳細(xì)的日志信息經(jīng)濟性通過網(wǎng)格的設(shè)計，系統(tǒng)中的服務(wù)器及存儲設(shè)備可以采用漸進方式，根據(jù)系統(tǒng)當(dāng)前的實際負(fù)載逐批添加，也可以根據(jù)實際負(fù)載進行動態(tài)調(diào)度。通過面向服務(wù)架構(gòu)設(shè)計，系統(tǒng)各部分之間及系統(tǒng)與外部系統(tǒng)之