電子文檔安全管理方案

電子文檔安全管理方案

實(shí)現(xiàn)方案1概述隨著信息現(xiàn)代化建設(shè)的不斷深入，越來(lái)越多的文件以電子化的形式進(jìn)行分發(fā)和儲(chǔ)備。電子文件在使用上帶來(lái)諸多便利的同時(shí)，其在治理和操縱上暴露出的問(wèn)題也日益突出，要緊問(wèn)題集中在使用不可控、傳播不易追查等方面。為了適應(yīng)寬敞用戶日益增長(zhǎng)的迫切需求，我所著手研發(fā)和建設(shè)有用、安全、高效的電子文件綜合治理與操縱系統(tǒng)，以滿足現(xiàn)代化、網(wǎng)絡(luò)化、電子化條件下對(duì)電子文件治理與使用的實(shí)際需要。2系統(tǒng)需求概述2.1功能需求電子文件綜合治理與操縱系統(tǒng)是對(duì)電子文件進(jìn)行全方位治理與操縱的應(yīng)用系統(tǒng)，其要對(duì)電子文件整個(gè)生存周期進(jìn)行治理與操縱，包括電子文件的生成、儲(chǔ)存、使用、銷(xiāo)毀等各個(gè)時(shí)期。系統(tǒng)應(yīng)具備的差不多功能有：2.1.1安全錄入能夠通過(guò)本地編輯、在線編輯、向服務(wù)器提交等多種方式，針對(duì)DOC、PPT、EXCEL、PDF、HTML等文檔格式，提供完善、一致的電子文件安全錄入手段，保證受策略操縱的電子文件在從錄入開(kāi)始就受到安全的操縱與治理。2.1.2自動(dòng)化治理提供對(duì)受控檔案的自動(dòng)化歸檔及相應(yīng)治理功能。可采納B/S模式，通過(guò)Web服務(wù)技術(shù)向用戶提供全方位的多種應(yīng)用服務(wù)，形成功能強(qiáng)大、應(yīng)用靈活的統(tǒng)一治理系統(tǒng)。系統(tǒng)功能包括各種類(lèi)型文檔錄入、數(shù)字資源分配和治理、數(shù)字內(nèi)容分發(fā)和使用等方面。2.1.3訪問(wèn)操縱系統(tǒng)應(yīng)支持粗粒度、細(xì)粒度兩級(jí)訪問(wèn)操縱，具有依據(jù)組織單位、角色等信息，針對(duì)電子

文件實(shí)施訪問(wèn)操縱的能力。粗粒度訪問(wèn)操縱用來(lái)與單位組織機(jī)構(gòu)、人員分工、職級(jí)別等治理相關(guān)信息對(duì)應(yīng)，完成使用者是否有權(quán)存取電子文件的訪問(wèn)操縱；細(xì)粒度訪問(wèn)操縱與電子文件歸檔時(shí)所定義的策略有關(guān)，與使用者所具有的角色信息相關(guān)聯(lián)，完成使用者能夠如何使用電子文件的訪問(wèn)操縱，如是否能夠進(jìn)行摘錄、打印等等。訪問(wèn)操縱應(yīng)依靠于認(rèn)證中心所發(fā)放的數(shù)字證書(shū)完成強(qiáng)身份認(rèn)證。2.1.4支持離線應(yīng)用在研究所及下屬的各分支機(jī)構(gòu)中，存在著大量的文檔交換需求。而下屬各分支機(jī)構(gòu)通常與研究所之間無(wú)網(wǎng)絡(luò)聯(lián)接，無(wú)法使用依靠網(wǎng)絡(luò)的認(rèn)證和密鑰協(xié)商來(lái)完成文檔脫密。系統(tǒng)應(yīng)當(dāng)支持無(wú)網(wǎng)絡(luò)聯(lián)接情形下的離線方式文檔解密及安全訪問(wèn)操縱。離線方式下，受愛(ài)護(hù)文檔應(yīng)能夠正常解密并受到訪問(wèn)操縱的愛(ài)護(hù)。離線方式使用受控文檔時(shí)，依靠于用戶所具有的USB-KEY完成身份認(rèn)證與內(nèi)容解密。離線方式無(wú)需支持用戶打印與編輯文檔權(quán)限，通常是只讀權(quán)限，必要時(shí)，需要操縱使用次數(shù)或使用終端。2.1.5預(yù)警、2.1.5預(yù)警、審記與追蹤系統(tǒng)要綜合運(yùn)用多種愛(ài)護(hù)技術(shù)，支持在文檔使用時(shí)對(duì)用戶的非法行為進(jìn)行報(bào)警。系統(tǒng)要具備審記和追蹤功能，能夠依據(jù)多種手段對(duì)用戶的電子文件使用行為進(jìn)行審記，在必要的情形下，依照相關(guān)規(guī)定對(duì)對(duì)用戶操作進(jìn)行取證。能夠通過(guò)技術(shù)手段對(duì)電子文件的使用情形、傳播流程進(jìn)行追蹤，以有效防范信息失泄密情形的發(fā)生。2.1.6權(quán)限治理系統(tǒng)要提供便利的電子文件權(quán)限分發(fā)、配置和回收機(jī)制。支持在必要的時(shí)候?qū)Σ畈欢嘞掳l(fā)的權(quán)限進(jìn)行更換或回收。在專(zhuān)門(mén)情形下，能夠完成對(duì)電子文件的銷(xiāo)毀。2.1.7策略治理策略的運(yùn)用應(yīng)該構(gòu)成系統(tǒng)應(yīng)用的核心。系統(tǒng)應(yīng)該具有良好的策略治理機(jī)制，從而支持整個(gè)系統(tǒng)在能夠方便、靈活的滿足用戶不同層面、復(fù)雜多變需求的同時(shí)，具有專(zhuān)門(mén)好的擴(kuò)充性。2.2要緊技術(shù)指標(biāo)需求2.2.1常規(guī)服務(wù)能力系統(tǒng)應(yīng)具有電子文件治理相關(guān)的常規(guī)服務(wù)能力，包括文檔的安全錄入、自動(dòng)化歸檔、受控分發(fā)和使用等，能夠支持Word、PowerPoint、Excel、PDF等格式文檔。2.2.2集成能力系統(tǒng)應(yīng)建立在統(tǒng)一的開(kāi)發(fā)平臺(tái)和接口標(biāo)準(zhǔn)之上，具有強(qiáng)大的與其它應(yīng)用系統(tǒng)相結(jié)合使用的能力；同時(shí)應(yīng)支持通過(guò)二次開(kāi)發(fā)接口或其它方式，構(gòu)建多平臺(tái)聯(lián)合服務(wù)體系，形成廣泛使用、靈活集成、擴(kuò)展性好的綜合性系統(tǒng)。2.2.3訪問(wèn)操縱能力系統(tǒng)應(yīng)支持粗粒度、細(xì)粒度兩級(jí)訪問(wèn)操縱，具有依據(jù)組織單位、角色等信息，針對(duì)電子文件實(shí)施訪問(wèn)操縱的能力。粗粒度訪問(wèn)操縱用來(lái)與我所組織機(jī)構(gòu)、人員分工、職級(jí)別等治理相關(guān)信息對(duì)應(yīng)，完成使用者是否有權(quán)存取電子文件的訪問(wèn)操縱；細(xì)粒度訪問(wèn)操縱與電子文件歸檔時(shí)所定義的策略有關(guān)，與使用者所具有的角色信息相關(guān)聯(lián)，完成使用者能夠如何使用電子文件的訪問(wèn)操縱，如是否能夠進(jìn)行摘錄、打印等等。粗粒度訪問(wèn)操縱應(yīng)依靠于認(rèn)證中心所發(fā)放的數(shù)字證書(shū)完成強(qiáng)身份認(rèn)證；細(xì)粒度訪問(wèn)操縱除完成強(qiáng)身份認(rèn)證外，還要依靠認(rèn)證中心與系統(tǒng)中定義的各種證書(shū)完成加/解密、審記/追蹤操作，提供普密級(jí)以上的安全支持。2.3技術(shù)指標(biāo)需求定性描述在實(shí)際應(yīng)用環(huán)境下，通過(guò)完善配置的系統(tǒng)應(yīng)可實(shí)現(xiàn)如下技術(shù)指標(biāo)：安全治理所支持的文件格式：Word、PowerPoint、Excel、PDF所支持客戶端類(lèi)型:Windows2000+SP4、WindowsXP、Windows2003支持的治理模式：基于組的用戶治理或基于角色的用戶治理（單選）粗粒度操縱包括：禁止使用、共享使用細(xì)粒度操縱包括：禁止使用、只讀、打印、編輯、使用次數(shù)、打印次數(shù)限制、使用時(shí)刻限制、使用地點(diǎn)限制支持離線受限使用，保證離線文檔正確解密并受控使用。離線使用時(shí)，不要求授與打印權(quán)限，不要求具有編輯權(quán)限，但需要支持使用終端操縱和使用次數(shù)支持用戶數(shù)量N5，000人平均故障間隔時(shí)刻（MTBF）N10000小時(shí)平均故障修理時(shí)刻（MTTR）W30分鐘典型配置下服務(wù)支持能力：1） 支持最少1000名客戶并發(fā)在線使用；2） 峰值處理能力N100次要求/秒；3） 每日服務(wù)能力N10萬(wàn)人次；4） 每日最高服務(wù)要求處理能力N100萬(wàn)次；5） 每日最高審記行為記錄N50萬(wàn)條。網(wǎng)絡(luò)兼容性：支持10M、100M和1000M以太網(wǎng)，支持TCT/IP協(xié)議服務(wù)器端兼容性：支持Windows2000/2003，Linux2.4以上版本數(shù)據(jù)庫(kù)兼容性：支持Oracle9i、MicrosoftSQLServer2000/2005,MySQL4.1以上版本2.4其它需求2.4.1安全兼容性出于安全及密碼治理的考慮，關(guān)于系統(tǒng)內(nèi)部所使用的密碼設(shè)備（含密碼基礎(chǔ)設(shè)施和密碼構(gòu)件）的調(diào)用，都需要依照國(guó)家相應(yīng)標(biāo)準(zhǔn)進(jìn)行規(guī)范化、兼容化設(shè)計(jì)，以使所有密碼相關(guān)部件滿足不同層次密碼治理與使用的需求，并在需求發(fā)生變化時(shí)，使系統(tǒng)最小程度修改的基礎(chǔ)上就能夠進(jìn)行運(yùn)行使用。2.4.2可視化治理系統(tǒng)的所有子系統(tǒng)應(yīng)該采納統(tǒng)一的綜合可視化治理界面，實(shí)現(xiàn)對(duì)整個(gè)應(yīng)用系統(tǒng)的高實(shí)時(shí)性、高易用性的監(jiān)控和治理。2.4.3系統(tǒng)監(jiān)控出于可靠性考慮，關(guān)于系統(tǒng)內(nèi)部的所有硬件設(shè)備、網(wǎng)絡(luò)、以及應(yīng)用程序必須進(jìn)行實(shí)時(shí)監(jiān)控，盡早發(fā)覺(jué)和解決任何故障，以便系統(tǒng)最大程度上能夠正常運(yùn)行。3系統(tǒng)實(shí)現(xiàn)原則基于系統(tǒng)的需求和特點(diǎn)，我們認(rèn)為從技術(shù)研發(fā)和工程實(shí)施角度來(lái)講，事實(shí)上現(xiàn)應(yīng)該遵循以下原則。3.1緊貼用戶實(shí)際需求，提供切實(shí)可行的治理手段電子文件格式眾多，應(yīng)用環(huán)境復(fù)雜，用戶使用與操作適應(yīng)各異，而且用戶數(shù)量龐大，不可能強(qiáng)行要求用戶改變其適應(yīng)或遵守某種硬性規(guī)定來(lái)適應(yīng)系統(tǒng)，只能由系統(tǒng)來(lái)充分考慮用戶的實(shí)際需求，適應(yīng)用戶。3.2按照密碼統(tǒng)管思想統(tǒng)一設(shè)計(jì)，確?；ヂ?lián)互通按照密碼統(tǒng)管的思想，依靠已有的標(biāo)準(zhǔn)化密碼基礎(chǔ)設(shè)施，構(gòu)建統(tǒng)一的底層密碼支持平臺(tái)，堅(jiān)持對(duì)密碼設(shè)備與算法的嚴(yán)格要求，確保一致性，確保系統(tǒng)在不同應(yīng)用平臺(tái)下使用時(shí)的互聯(lián)互通。3.3采納成熟技術(shù)，充分利用資源借鑒國(guó)內(nèi)其它大型系統(tǒng)開(kāi)發(fā)的成功體會(huì)，盡量采納成熟技術(shù)，系統(tǒng)要緊設(shè)備和支撐軟件均使用主流產(chǎn)品，以提高系統(tǒng)可靠性，縮短研制周期。3.4關(guān)鍵技術(shù)自主開(kāi)發(fā)系統(tǒng)所涉及的關(guān)鍵技術(shù)，包括適合需求的權(quán)限描述語(yǔ)言設(shè)計(jì)技術(shù)、密碼治理與應(yīng)用技術(shù)等，需要堅(jiān)持自主開(kāi)發(fā)的原則，幸免在安全治理與操縱上不能深入底層，發(fā)生受制于人的情形。3.5適應(yīng)進(jìn)展特點(diǎn)，具備集成與擴(kuò)充能力系統(tǒng)設(shè)計(jì)中要充分考慮信息化系統(tǒng)進(jìn)展的需要，系統(tǒng)建設(shè)中要積存具備基礎(chǔ)功能、相對(duì)獨(dú)立的開(kāi)發(fā)平臺(tái)技術(shù)，將與其它系統(tǒng)結(jié)合應(yīng)用的支持做為擴(kuò)展性的重點(diǎn)。系統(tǒng)功能可靈活配置，對(duì)外互連接口豐富易用，可依具體應(yīng)用形式動(dòng)態(tài)調(diào)整或以專(zhuān)門(mén)小的代價(jià)集成，以適應(yīng)系統(tǒng)以后功能更新、升級(jí)換代、構(gòu)建多平臺(tái)聯(lián)合服務(wù)體系的需要。3.6松散耦合性設(shè)計(jì)由于待建系統(tǒng)的對(duì)硬件、軟件、網(wǎng)絡(luò)、儲(chǔ)備等各方面都有專(zhuān)門(mén)高的要求，因此在整體方案設(shè)計(jì)過(guò)程中，應(yīng)盡量降低各個(gè)層面之間的依靠性，使它們之間相對(duì)獨(dú)立。松散耦合性設(shè)計(jì)會(huì)增強(qiáng)整個(gè)系統(tǒng)的可擴(kuò)展性，利于系統(tǒng)各個(gè)層面的愛(ài)護(hù)和升級(jí)。例如操作系統(tǒng)的選擇不應(yīng)依靠于服務(wù)器的硬件結(jié)構(gòu)，如此以后對(duì)服務(wù)器的升級(jí)可不能阻礙到整個(gè)系統(tǒng)。又如軟件架構(gòu)的設(shè)計(jì)應(yīng)獨(dú)立于硬件和操作系統(tǒng)平臺(tái)，等等。3.7標(biāo)準(zhǔn)化、規(guī)范化技術(shù)規(guī)范標(biāo)準(zhǔn)化有利于提高設(shè)計(jì)開(kāi)發(fā)的效率，保持系統(tǒng)的可擴(kuò)展性。在系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)中應(yīng)采納目前IT領(lǐng)域的一些成熟標(biāo)準(zhǔn)，如：1） 以XML做為信息交換傳輸?shù)臉?biāo)準(zhǔn)格式2） 以MQ做為異步消息傳遞的標(biāo)準(zhǔn)機(jī)制3） 以SOAP/WebService做為網(wǎng)絡(luò)間服務(wù)調(diào)用的標(biāo)準(zhǔn)4） 以J2EE做為分布式系統(tǒng)運(yùn)行環(huán)境4總體技術(shù)方案4.1系統(tǒng)架構(gòu)4.1.1整體組成系統(tǒng)整體結(jié)構(gòu)組成的邏輯示意圖如圖4-1所示。虛線內(nèi)的部份是系統(tǒng)平臺(tái)自身所包括的部件，從整體上表示了內(nèi)部部件間的邏輯層次和關(guān)系；虛線外的部份是已有（或在建）應(yīng)用及系統(tǒng)所涉及的用戶，表示了系統(tǒng)平臺(tái)外部的應(yīng)用需求調(diào)用與系統(tǒng)平臺(tái)之間的邏輯關(guān)系。綜合管控中心是系統(tǒng)平臺(tái)的核心部件，負(fù)責(zé)響應(yīng)用戶治理服務(wù)器和授權(quán)服務(wù)器的要求，在密碼運(yùn)算和認(rèn)證協(xié)議的支持下，完成用戶初始化、用戶角色定義、系統(tǒng)策略及用戶自定義策略生成、電子文件歸檔儲(chǔ)備等功能。綜合管控中心是唯獨(dú)的，它向所有的用戶治理服務(wù)器和授權(quán)服務(wù)器提供服務(wù)，其間通過(guò)安全的信道進(jìn)行連接。綜合管控中心后臺(tái)需要數(shù)據(jù)庫(kù)與名目服務(wù)的支持，用來(lái)儲(chǔ)備數(shù)字內(nèi)容、安全策略、用戶組織結(jié)構(gòu)及角色定義等信息。綜合管控中心獲得認(rèn)證中心CA的簽名證書(shū)后才能為用戶所同意。審記/追蹤平臺(tái)是系統(tǒng)平臺(tái)的重要組成部份，其對(duì)所有的用戶認(rèn)證過(guò)程、滿足策略定義要求的使用行為和重要事件進(jìn)行必要的記錄并提供豐富的審記與追蹤手段，以便與行政治理等傳統(tǒng)治理方式協(xié)作，形成對(duì)違規(guī)行為追究處罰的威懾，進(jìn)一步提高系統(tǒng)的安全性。圖4-1系統(tǒng)整體組成用戶治理服務(wù)器針對(duì)具體應(yīng)用設(shè)置，同意綜合管控中心統(tǒng)一治理，一樣情形下一個(gè)具體應(yīng)用只設(shè)立一個(gè)用戶治理服務(wù)器。用戶治理服務(wù)器用來(lái)規(guī)劃所屬應(yīng)用人員的組織結(jié)構(gòu)，定義用戶角色，將用戶身份與用戶代理相綁定，從而支持內(nèi)部的身份認(rèn)證，為訪問(wèn)操縱的實(shí)施打下基礎(chǔ)，為審記/追蹤提供底層的不可否認(rèn)性支持。授權(quán)服務(wù)器針對(duì)具體應(yīng)用設(shè)置，同意綜合管控中心統(tǒng)一治理，一個(gè)具體應(yīng)用能夠設(shè)立多個(gè)授權(quán)服務(wù)器。授權(quán)服務(wù)器支持集群，能夠滿足大量用戶的并發(fā)要求需要。授權(quán)服務(wù)器的功能是完成客戶端安全代理所提出的提交數(shù)字內(nèi)容、獵取數(shù)字內(nèi)容、獵取數(shù)字內(nèi)容使用許可證等要求，具體實(shí)現(xiàn)粗/細(xì)粒度訪問(wèn)操縱策略設(shè)置與應(yīng)用。它同意客戶端應(yīng)用程序的調(diào)用，需要與用戶代理相結(jié)合完成一系列復(fù)雜的密碼變換，執(zhí)行多步的安全協(xié)議以安全、正確、可信的將策略應(yīng)用到數(shù)字內(nèi)容，或獵取所需要的數(shù)字內(nèi)容使用權(quán)。授權(quán)服務(wù)器是系統(tǒng)的關(guān)鍵部件。用戶代理是系統(tǒng)引入的用來(lái)標(biāo)識(shí)或綁定用戶真實(shí)身份的密碼對(duì)象，它能夠是USB-Key，也能夠是加密卡。只要能完成用戶私鑰的安全儲(chǔ)備、具有獨(dú)立加/解密運(yùn)算功能的實(shí)體都能夠做為用戶代理。用戶代理經(jīng)認(rèn)證中心CA的簽名后有效?？蛻舳税踩砻嫦蛩锌蛻舳藨?yīng)用程序提供服務(wù)，它負(fù)責(zé)與用戶代理交互，利用其加/解密運(yùn)算能力完成一系列復(fù)雜的密碼變換，同時(shí)與授權(quán)服務(wù)器通信完成用戶身份認(rèn)證、策略生成、策略應(yīng)用、加/解密數(shù)字內(nèi)容等實(shí)質(zhì)性工作。客戶端安全代理與客戶端應(yīng)用程序相配合，保證數(shù)字內(nèi)容的安全、可控使用，是系統(tǒng)的關(guān)鍵部件?？蛻舳藨?yīng)用程序具體完成電子文件的編輯、歸檔和使用工作，它能夠是通用常規(guī)應(yīng)用軟件，也能夠是配合系統(tǒng)使用的專(zhuān)用軟件。不管采納哪種形式，其必須保證以某種技術(shù)手段與客戶端安全代理相關(guān)聯(lián)并完成相互認(rèn)證，同時(shí)忠實(shí)的將用戶所定義的安全策略應(yīng)用到數(shù)字內(nèi)容，使數(shù)字內(nèi)容受到高強(qiáng)度的加密愛(ài)護(hù)；或按照策略定義的使用要求，保證用戶安全、可控的使用數(shù)字內(nèi)容。認(rèn)證中心(CA)、RA是標(biāo)準(zhǔn)化CA中心的有機(jī)組成部份，整個(gè)系統(tǒng)在密碼基礎(chǔ)設(shè)施使用上同意其治理，由其簽署證書(shū)才能進(jìn)行綜合管控中心的合理部署。同樣，客戶端的具體用戶，也要持有其簽名的用戶代理證書(shū)，才能為系統(tǒng)所識(shí)別和承認(rèn)，從而納入系統(tǒng)的統(tǒng)一治理與操縱體系。在密碼信任鏈上，認(rèn)證中心構(gòu)成了綜合管控中心與用戶兩端的可信根。用戶泛指系統(tǒng)功能的使用者。專(zhuān)門(mén)情形下，用戶能夠是具有某些治理功能的使用者，如對(duì)電子文件進(jìn)行歸檔治理的治理人員，然而其一樣要通過(guò)用戶代理與客戶端安全代理的結(jié)合使用獲得相應(yīng)的功能權(quán)限。4.1.2功能層次劃分電子文件綜合治理與操縱系統(tǒng)在功能層次結(jié)構(gòu)上分為做為基礎(chǔ)服務(wù)支撐的核心層、面向治理人員提供服務(wù)的治理層和面向一般用戶提供功能支持的應(yīng)用層三個(gè)層次，具體的系統(tǒng)功能組成如圖4-2所示。

核心層包括密碼支撐服務(wù)、策略制定服務(wù)、策略應(yīng)用服務(wù)、存取控降服務(wù)、審記支撐服務(wù)、集群支撐服務(wù)和認(rèn)證接口服務(wù)。密碼支撐服務(wù)是系統(tǒng)最差不多的核心服務(wù)，是保證系統(tǒng)安全的基礎(chǔ)。它利用用戶代理或其它軟/硬件形式的密碼服務(wù)構(gòu)件，完成密碼運(yùn)算，如加/解密、簽名及簽名驗(yàn)證等等，從而支持其它核心服務(wù)，如面向數(shù)字內(nèi)容的策略制定與應(yīng)用、審記和認(rèn)證等等。策略制定與策略應(yīng)用服務(wù)面向治理層與應(yīng)用層提供策略相關(guān)功能支持，分別支持系統(tǒng)級(jí)/用戶級(jí)策略制定，支持對(duì)電子文件應(yīng)用規(guī)定的策略以保證電子文件受到高強(qiáng)度的加密愛(ài)護(hù)并按所定義策略受控使用。存取控降服務(wù)與治理層的用戶治理服務(wù)相互協(xié)作，完成電子文件的粗粒度訪問(wèn)操縱。審記支撐服務(wù)在密碼支撐服務(wù)和認(rèn)證接口服務(wù)的支持下，有選擇的對(duì)用戶獵取/使用電子文件的過(guò)程行為，專(zhuān)門(mén)是一些非法或違規(guī)行為進(jìn)行記錄并保證其不可否認(rèn)性，從而為治理層的審記查詢(xún)服務(wù)提供支持。集群支撐服務(wù)在保證系統(tǒng)安全的前提下，支持授權(quán)服務(wù)器集群。認(rèn)證接口服務(wù)依靠密碼支撐服務(wù)，向治理層與應(yīng)用層提供認(rèn)證接口，保證上層所有操作行為都通過(guò)安全可靠的認(rèn)證手段加以驗(yàn)證，同時(shí)為審記/追蹤提供基礎(chǔ)支持?jǐn)?shù)據(jù)。4.1.2.2治理層治理層包括用戶治理服務(wù)、系統(tǒng)策略治理服務(wù)、審記查詢(xún)服務(wù)、遠(yuǎn)程備份服務(wù)。用戶治理服務(wù)定義用戶對(duì)應(yīng)的組織機(jī)構(gòu)形式和角色，完成用戶與用戶代理的綁定，在核心層策略應(yīng)用服務(wù)、存取控降服務(wù)、認(rèn)證接口服務(wù)的支持下完成細(xì)粒度/粗粒度的訪問(wèn)操縱和用戶認(rèn)證功能。系統(tǒng)策略治理服務(wù)在核心層策略制定服務(wù)的支持下，完成系統(tǒng)級(jí)的策略制定與治理。系統(tǒng)策略在全系統(tǒng)指定范疇內(nèi)有效，屬于需優(yōu)先滿足的高級(jí)策略。審記查詢(xún)服務(wù)在核心層審記支撐服務(wù)的支持下，以靈活、方便的可視化形式向系統(tǒng)治理者提供強(qiáng)大的審記/追蹤記錄查詢(xún)功能，該功能具備高級(jí)過(guò)濾能力，支持各種方式的組合查詢(xún)，滿足在海量審記/追蹤記錄中高效檢索所需信息的要求，同時(shí)可在策略承諾的條件下，提供必要的不可否認(rèn)證據(jù)信息輸出功能。遠(yuǎn)程備份服務(wù)是功能相對(duì)獨(dú)立的治理層應(yīng)用服務(wù)，支持在遠(yuǎn)程對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行安全異地備份和故障復(fù)原，支持一定的遠(yuǎn)程數(shù)據(jù)愛(ài)護(hù)與治理功能。4?1?2.3應(yīng)用層應(yīng)用層包括交互認(rèn)證服務(wù)、用戶策略服務(wù)和訪問(wèn)控降服務(wù)。交互認(rèn)證服務(wù)在核心層密碼支撐服務(wù)和認(rèn)證接口服務(wù)的支持下，完成應(yīng)用程序與客戶端安全代理間的交互認(rèn)證，使雙方建立互信基礎(chǔ)，共同完成對(duì)電子文件可信、受控的操作。用戶策略治理區(qū)別于系統(tǒng)策略治理，其定義的策略只在用戶所生成的電子文件上有效。訪問(wèn)控降服務(wù)是應(yīng)用層的關(guān)鍵部件。它與核心層的密碼支撐服務(wù)緊密配合，操縱應(yīng)用程序完成符合策略定義要求的電子文件使用。4.2子系統(tǒng)劃分本系統(tǒng)從軟件層次上講能夠劃分為下面幾個(gè)子系統(tǒng)：策略治理子系統(tǒng)。策略治理子系統(tǒng)是系統(tǒng)應(yīng)用的核心，它負(fù)責(zé)依照具體應(yīng)用需求制定符合應(yīng)用特點(diǎn)的各種策略，包括粗粒度/細(xì)粒度的文件訪問(wèn)操縱策略、審記追蹤策略、取證策略、系統(tǒng)治理策略等，所有系統(tǒng)行為必須在某一或某些特定的策略約束之下。在該子系統(tǒng)的支持下，整體系統(tǒng)能夠方便、靈活的滿足用戶不同層面、復(fù)雜多變的需求，同時(shí)具有專(zhuān)門(mén)好的擴(kuò)充性。用戶治理子系統(tǒng)。它負(fù)責(zé)完成應(yīng)用系統(tǒng)用戶的治理，如定義組織機(jī)構(gòu)、角色等，最重要的是它需要完成應(yīng)用系統(tǒng)用戶與用戶證書(shū)的綁定。同時(shí)，它還負(fù)責(zé)完成應(yīng)用系統(tǒng)用戶信息與本系統(tǒng)愛(ài)護(hù)的信息之間的同步。認(rèn)證授權(quán)子系統(tǒng)。它負(fù)責(zé)對(duì)客戶端的訪問(wèn)操縱要求進(jìn)行認(rèn)證，并在完成認(rèn)證后對(duì)其操作行為進(jìn)行授權(quán)。作為本系統(tǒng)的中樞，認(rèn)證授權(quán)子系統(tǒng)負(fù)責(zé)對(duì)認(rèn)證要求及授權(quán)申請(qǐng)進(jìn)行說(shuō)明、分解，將要求轉(zhuǎn)化為一組內(nèi)部邏輯協(xié)議并提交或返回給客戶端代理系統(tǒng)，由其完成具體的訪問(wèn)操縱操作，同時(shí)其還負(fù)責(zé)將要求信息進(jìn)行記錄，交由審記追蹤子系統(tǒng)綜合匯總，以形成完整的數(shù)據(jù)處理結(jié)果。作為本系統(tǒng)的調(diào)度中心，它還負(fù)責(zé)對(duì)所有的業(yè)務(wù)流程進(jìn)行監(jiān)控與治理。客戶端電子文件安全代理子系統(tǒng)。它負(fù)責(zé)將用戶權(quán)限與數(shù)字內(nèi)容相捆綁，并通過(guò)與應(yīng)用系統(tǒng)軟件的緊密配合，實(shí)現(xiàn)對(duì)電子文件的全方位、細(xì)粒度的有效治理與操縱。通過(guò)與認(rèn)證授權(quán)子系統(tǒng)、審記追蹤子系統(tǒng)的緊密配合，完成針對(duì)電子文件的事前愛(ài)護(hù)、事中預(yù)警、事后追蹤三個(gè)層面的全生命周期的安全治理。審記追蹤子系統(tǒng)。審記追蹤系統(tǒng)在認(rèn)證授權(quán)子系統(tǒng)的支持下，記錄策略定義的用戶

行為信息，并以靈活、方便的可視化形式向系統(tǒng)治理者提供強(qiáng)大的審記/追蹤記錄查詢(xún)功能，向?qū)彶檎咛峁┍匾牟豢煞裾J(rèn)性運(yùn)算機(jī)行為取證信息。實(shí)際上，除了上述的幾個(gè)子系統(tǒng)之外，在系統(tǒng)內(nèi)部還有其它的子系統(tǒng)，包括CA交互子系統(tǒng)、密碼基礎(chǔ)設(shè)施子系統(tǒng)等等，由于它們與其他子系統(tǒng)之間邏輯接口相對(duì)簡(jiǎn)單，而且沒(méi)有涉及本系統(tǒng)相關(guān)的復(fù)雜的密碼相關(guān)業(yè)務(wù)處理過(guò)程，只是提供最差不多、最通用的密碼調(diào)用支持，因此，在那個(gè)地點(diǎn)我們不對(duì)其進(jìn)行闡述。4.2.1策略治理子系統(tǒng)4.2.1.1要緊功能策略治理子系統(tǒng)做為電子文件綜合治理與操縱系統(tǒng)的核心，其要緊功能包括：1） 完成常規(guī)的系統(tǒng)策略信息愛(ài)護(hù)，包括創(chuàng)建、修改和刪除等，涉及的策略為根認(rèn)證服務(wù)器配置策略、授權(quán)服務(wù)器配置策略、用戶治理子系統(tǒng)配置策略。2） 完成電子文件使用相關(guān)策略信息愛(ài)護(hù)，包括創(chuàng)建、修改和刪除等，涉及的策略為對(duì)電子文件使用行為進(jìn)行細(xì)粒度訪問(wèn)操縱約束的電子文件使用策略，包括應(yīng)用于整個(gè)系統(tǒng)的全局性策略和用戶自定義策略。3） 完成日志策略信息愛(ài)護(hù)，包括創(chuàng)建、修改和刪除等，其定義了用戶治理子系統(tǒng)、認(rèn)證授權(quán)子系統(tǒng)、客戶端電子文件安全代理子系統(tǒng)、審記追蹤子系統(tǒng)和文件儲(chǔ)備子系統(tǒng)如何進(jìn)行日志信息記錄。4） 完成審記/追蹤策略信息愛(ài)護(hù)，包括創(chuàng)建、修改和刪除等，其定義了認(rèn)證授權(quán)子系統(tǒng)如何為審記追蹤子系統(tǒng)記錄相應(yīng)的審記/追蹤信息，如信息的粒度等。4?2?1.2模塊劃分策略治理子系統(tǒng)模塊劃分如圖4-3所示。其模塊與要緊功能一一對(duì)應(yīng)。許可證處理模塊為一個(gè)通用模塊，用來(lái)完成證書(shū)、許可證的解析和驗(yàn)證。第略管理孑系統(tǒng)電子交店里略日志案men日志電子交店里略日志案men日志圖4-2策略治理子系統(tǒng)模塊劃分4.2.1.3與其它子系統(tǒng)間關(guān)系策略治理子系統(tǒng)是系統(tǒng)應(yīng)用的核心，所有其它子系統(tǒng)都必須與其交互以獲得相應(yīng)的策略

信息，其子系統(tǒng)間關(guān)系如圖4-4所示。策略治理子系統(tǒng)將所生成的策略全部安全的儲(chǔ)存名目服務(wù)器。4.2.2用戶治理子系統(tǒng)4?2?2.1要緊功能用戶治理子系統(tǒng)是為電子文件綜合治理與操縱系統(tǒng)提供用戶治理相關(guān)支持服務(wù)的，其要緊功能包括：1） 完成常規(guī)用戶治理操作，包括差不多信息錄入等。2） 完成組織機(jī)構(gòu)的定義與愛(ài)護(hù)。3） 完成角色的定義與愛(ài)護(hù)。4） 完成用戶與用戶代理所關(guān)聯(lián)的用戶證書(shū)之間的綁定。5） 完成用戶信息與系統(tǒng)名目服務(wù)器之間的同步。4?2?2.2模塊劃分用戶治理子系統(tǒng)模塊劃分如圖4-5所示。其模塊與要緊功能一一對(duì)應(yīng)。策略查詢(xún)模塊負(fù)責(zé)與策略治理子系統(tǒng)交互以獲得用戶治理相關(guān)的配置策略。

用戶管理子系統(tǒng)常規(guī)用戶管理組織機(jī)構(gòu)管理日志用戶證書(shū)零{正策略查詢(xún)用戶管理子系統(tǒng)常規(guī)用戶管理組織機(jī)構(gòu)管理日志用戶證書(shū)零{正策略查詢(xún)圖4-4用戶治理子系統(tǒng)模塊劃分4?2?2.3與其它子系統(tǒng)間關(guān)系用戶治理子系統(tǒng)是與其它子系統(tǒng)之間交互并不緊密，這是系統(tǒng)面向具體應(yīng)用獨(dú)立性設(shè)計(jì)的結(jié)果，它只通過(guò)策略查詢(xún)模塊與策略治理子系統(tǒng)交互，以獲得日志記錄的相關(guān)策略。用戶治理子系統(tǒng)通用用戶信息同步模塊，將其所治理的用戶、組、角色信息與系統(tǒng)名目服務(wù)同步。用戶治理子系統(tǒng)能夠操作局部名目服務(wù)庫(kù)和歸屬于自己治理的數(shù)據(jù)庫(kù)。4.2.3認(rèn)證授權(quán)子系統(tǒng)4?2?3?1要緊功能認(rèn)證授權(quán)子系統(tǒng)的要緊功能是：1） 完成對(duì)系統(tǒng)用戶的內(nèi)部認(rèn)證。2） 完成系統(tǒng)用戶密鑰等隱秘信息的生成和加密保管，以使用戶在系統(tǒng)內(nèi)具有統(tǒng)一的密鑰，同時(shí)為意外情形（如丟失用戶代理）復(fù)原已加密信息提供基礎(chǔ)條件。3） 完成對(duì)系統(tǒng)用戶的授權(quán)，包括對(duì)電子文件使用的授權(quán)。4） 為審記/追蹤提供必要的記錄和不可否認(rèn)性證據(jù)。4?2?3?2模塊劃分認(rèn)證授權(quán)子系統(tǒng)的模塊劃分如圖4-6所示，其通過(guò)向名目服務(wù)進(jìn)行用戶信息查詢(xún)，最終決定是否為用戶頒發(fā)其所要求的使用授權(quán)。認(rèn)證授權(quán)子系統(tǒng)日志露杳詢(xún)用戶信息查御日志露杳詢(xún)用戶信息查御圖4-5認(rèn)證授權(quán)子系統(tǒng)的模塊劃分4?2?3?3與其它子系統(tǒng)間關(guān)系認(rèn)證授權(quán)子系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-7所示。它能夠查詢(xún)名目服務(wù)庫(kù)，然而不能修改。4.2.4客戶端電子文件安全代理子系統(tǒng)4.2.4.1要緊功能客戶端電子文件安全代理子系統(tǒng)的要緊功能是：1） 對(duì)用戶使用電子文件的行為進(jìn)行符合策略定義要求的細(xì)粒度的訪問(wèn)操縱，包括讀、寫(xiě)、打印、時(shí)刻與次數(shù)限制等等。2） 采納顯水印技術(shù)對(duì)用戶的非法行為進(jìn)行警告。3） 采納隱水印技術(shù)對(duì)非法行為進(jìn)行取證。

4?2?4.2模塊劃分客戶端電子文件安全代理子系統(tǒng)的模塊劃分如圖4-8所示?？蛻艟蛛娮诱杉踩蹲酉到y(tǒng)授權(quán)申請(qǐng)與莆寂字水印頊警策略查詢(xún)?cè)S可證處理授權(quán)申請(qǐng)與莆寂字水印頊警策略查詢(xún)?cè)S可證處理圖4-7客戶端電子文件安全代理子系統(tǒng)的模塊劃分4.2.4.3與其它子系統(tǒng)間關(guān)系客戶端電子文件安全代理子系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-9所示。它不參與數(shù)據(jù)庫(kù)與名目服務(wù)庫(kù)的任何操作。4.2.5審記追蹤子系統(tǒng)4.2.5.1要緊功能審記追蹤子系統(tǒng)的要緊功能是：1） 對(duì)用戶聯(lián)機(jī)使用電子文件行為進(jìn)行審記。2） 對(duì)用戶非法使用行為進(jìn)行追蹤以確定路徑。3） 對(duì)用戶行為進(jìn)行不可否認(rèn)性的數(shù)字取證。4） 與策略治理子系統(tǒng)和認(rèn)證授權(quán)子系統(tǒng)聯(lián)動(dòng)，及時(shí)禁止用戶的非法行為。

4?2?5?2模塊劃分審記追蹤子系統(tǒng)的模塊劃分如圖4-10所示。4.2.5?3與其它子系統(tǒng)間關(guān)系審記追蹤系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-11所示。審記追蹤系統(tǒng)能夠查閱系統(tǒng)數(shù)據(jù)庫(kù)相關(guān)表內(nèi)數(shù)據(jù)，然而不能修改，但在系統(tǒng)策略許可的條件下，它能夠聯(lián)動(dòng)的部份修改名目服務(wù)庫(kù)中指定的相關(guān)策略。4.2.6文件儲(chǔ)備子系統(tǒng)4.2.6.1要緊功能文件儲(chǔ)備子系統(tǒng)的要緊功能是：1） 對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行本地備份，包括數(shù)據(jù)庫(kù)和名目服務(wù)數(shù)據(jù)。2） 對(duì)數(shù)據(jù)進(jìn)行安全的遠(yuǎn)程備份3） 對(duì)集中治理的電子文件進(jìn)行符合權(quán)限限定策略的搜索

4?2?6?2模塊劃分文件儲(chǔ)備子系統(tǒng)的模塊劃分如圖4-12所示。4.2.6?3與其它子系統(tǒng)間關(guān)系文件儲(chǔ)備子系統(tǒng)與其它子系統(tǒng)之間的關(guān)系如圖4-13所示。文件儲(chǔ)備子系統(tǒng)能夠不受限制的復(fù)制系統(tǒng)數(shù)據(jù)庫(kù)與名目服務(wù)庫(kù)。4.3可擴(kuò)展應(yīng)用架構(gòu)整個(gè)系統(tǒng)具有良好的可擴(kuò)展性，不管系統(tǒng)面對(duì)的具體應(yīng)用形式如何，都能夠通過(guò)我們定義的擴(kuò)展應(yīng)用架構(gòu)進(jìn)行無(wú)改動(dòng)或?qū)ｉT(mén)少改動(dòng)后的擴(kuò)展使用。系統(tǒng)的可擴(kuò)展應(yīng)用架構(gòu)如圖4-14所示，圖中的系統(tǒng)服務(wù)器要緊是指認(rèn)證授權(quán)服務(wù)器。擴(kuò)展涉及的應(yīng)用對(duì)應(yīng)圖中所示的具體應(yīng)用系統(tǒng)，而系統(tǒng)服務(wù)器位于應(yīng)用服務(wù)器端代理之后。而不管是客戶端的應(yīng)用程序依舊具體應(yīng)用系統(tǒng)，都不承諾與系統(tǒng)服務(wù)器直截了當(dāng)交互。面向客戶端，應(yīng)用程序需要通過(guò)客戶端安全代理與系統(tǒng)服務(wù)器交互；面向服務(wù)器端，具體應(yīng)用系統(tǒng)需要通過(guò)應(yīng)用服務(wù)器端代理使用本系統(tǒng)提供的針對(duì)特定應(yīng)用系統(tǒng)的受限功能。一樣來(lái)說(shuō)，本系統(tǒng)生成的客戶端和應(yīng)用服務(wù)器端安全代理是一個(gè)（組）具有自愛(ài)護(hù)功能的程序（程序集）?？蛻舳舜砭哂型ㄓ眯裕詽M足復(fù)雜多樣的客戶端應(yīng)用程序的普遍需求；應(yīng)用服務(wù)器端代理具有專(zhuān)用性，滿足特定應(yīng)用在指定范疇內(nèi)的專(zhuān)項(xiàng)需求，如用戶同步、授權(quán)后權(quán)限處理等。通過(guò)應(yīng)用服務(wù)器端代理專(zhuān)用化，能夠針對(duì)不同應(yīng)用開(kāi)發(fā)不同的應(yīng)用服務(wù)器端以適應(yīng)應(yīng)用的變化和進(jìn)展，減少對(duì)系統(tǒng)服務(wù)器所提供基礎(chǔ)功能造成的阻礙；通過(guò)指定專(zhuān)用應(yīng)用服務(wù)器端的作用范疇，能夠起到防止錯(cuò)誤擴(kuò)散，增加安全性，降低審記與追蹤難度，提高操作效率的作用。本系統(tǒng)的可擴(kuò)展應(yīng)用架構(gòu)具有如下特點(diǎn)：①簡(jiǎn)單直觀，說(shuō)明本系統(tǒng)提供了其所必須提供的通用的面向電子文件安全治理與操縱的應(yīng)用支撐。②有利于保證本系統(tǒng)的安全性，專(zhuān)門(mén)是認(rèn)證/授權(quán)服務(wù)器的安全性。③與應(yīng)用耦合性小，功能的封裝性好?？蛻舳藨?yīng)用程序與服務(wù)器端具體應(yīng)用系統(tǒng)之間可能存在通過(guò)網(wǎng)絡(luò)通信構(gòu)成的交互調(diào)用的可能，但不在本系統(tǒng)安全治理與操縱范疇之內(nèi)?？蛻舳藨?yīng)用程序與客戶端代理、服務(wù)器端具體應(yīng)用系統(tǒng)和應(yīng)用服務(wù)器端代理、客戶端代理和系統(tǒng)服務(wù)器、應(yīng)用服務(wù)器端代理和系統(tǒng)服務(wù)器之間需要互相認(rèn)證，以保證調(diào)用合法性。這點(diǎn)由系統(tǒng)密碼相關(guān)的設(shè)計(jì)所保證，其全然是依靠與專(zhuān)用的公鑰密碼基礎(chǔ)設(shè)施與相應(yīng)的密碼構(gòu)件。4.4實(shí)驗(yàn)室部署在實(shí)驗(yàn)室環(huán)境下，系統(tǒng)只滿足差不多功能，立足于對(duì)所建應(yīng)用進(jìn)行測(cè)試，同時(shí)為測(cè)評(píng)認(rèn)證提供差不多環(huán)境，因此功能集合有所合并。圖4-15為在實(shí)驗(yàn)室環(huán)境下，系統(tǒng)整體部署的示意圖：

數(shù)據(jù)曲目錄服務(wù)認(rèn)證中心實(shí)械室模擬中心數(shù)據(jù)曲目錄服務(wù)認(rèn)證中心實(shí)械室模擬中心圖4-15實(shí)驗(yàn)室條件下系統(tǒng)部署模擬中心機(jī)房相對(duì)獨(dú)立，包括綜合管控中心、認(rèn)證授權(quán)服務(wù)器、后臺(tái)數(shù)據(jù)庫(kù)及名目服務(wù)三個(gè)組成部份。其中，考慮到實(shí)驗(yàn)室的建設(shè)情形及系統(tǒng)在實(shí)驗(yàn)室部署的目的，綜合管控中心集成性的包括了審記追蹤子系統(tǒng)、策略治理子系統(tǒng)、文件儲(chǔ)備子系統(tǒng)、用戶治理子系統(tǒng)、軍用CA交互子系統(tǒng)。數(shù)據(jù)庫(kù)與名目服務(wù)庫(kù)統(tǒng)一部署在模擬中心機(jī)房，同意認(rèn)證授權(quán)服務(wù)器和綜合管控中心的統(tǒng)一調(diào)用。即使在實(shí)驗(yàn)室環(huán)境下，認(rèn)證授權(quán)服務(wù)器必須獨(dú)立存在，因?yàn)槠淇赡苄枨笙鄳?yīng)的保密設(shè)備，如指定的密碼卡的支持。在實(shí)驗(yàn)室環(huán)境下，認(rèn)證授權(quán)服務(wù)器不具備集群能力。綜合管控中心的用戶治理服務(wù)器模擬治理應(yīng)用所涉及的用戶信息，從而為支持用戶認(rèn)證與訪問(wèn)操縱提供差不多支持。用戶在模擬應(yīng)用系統(tǒng)內(nèi)能夠通過(guò)直截了當(dāng)訪問(wèn)綜合管控中心的文件儲(chǔ)備服務(wù)來(lái)完成電子文件的提交或獵取。在實(shí)驗(yàn)室環(huán)境下不部署CA和RA，而是使用二級(jí)CA及相應(yīng)的RA，只完成測(cè)試用認(rèn)證授權(quán)服務(wù)器和測(cè)試用戶的證書(shū)公布。具體來(lái)說(shuō)是簽署認(rèn)證授權(quán)服務(wù)許可證和用戶代理證書(shū)，用來(lái)使認(rèn)證授權(quán)服務(wù)器能夠?yàn)橛脩羲J(rèn)可，同時(shí)認(rèn)證授權(quán)服務(wù)器也能夠?qū)τ脩魧?shí)施基于公鑰密碼體制的強(qiáng)身份認(rèn)證。測(cè)試CA只需要通過(guò)安全途徑將證書(shū)傳遞實(shí)驗(yàn)室即可，因此相對(duì)獨(dú)立。在客戶端要同時(shí)部署客戶端電子文件安全代理子系統(tǒng)。那個(gè)子系統(tǒng)屬于直截了當(dāng)面向用戶應(yīng)用的終端應(yīng)用系統(tǒng)，因此只在通用的Windows平臺(tái)下運(yùn)行，且不區(qū)分實(shí)驗(yàn)室環(huán)境依舊實(shí)際應(yīng)用環(huán)境。也確實(shí)是說(shuō)，從用戶體驗(yàn)來(lái)講，實(shí)驗(yàn)室環(huán)境和實(shí)際應(yīng)用環(huán)境是一樣的，如此有助于在實(shí)驗(yàn)室環(huán)境下就模擬出實(shí)際應(yīng)用的各種情形從而直截了當(dāng)滿足用戶的需求并統(tǒng)一

用戶體驗(yàn)。4.5實(shí)際應(yīng)用部署在實(shí)際應(yīng)用環(huán)境下，系統(tǒng)要滿足各種各樣的應(yīng)用系統(tǒng)需求，因此需要完成系統(tǒng)定義的所有功能，并同時(shí)考慮性能、兼容性、穩(wěn)固性問(wèn)題。圖4-16為在實(shí)際應(yīng)用環(huán)境下，系統(tǒng)整體部署的示意圖：系統(tǒng)中心機(jī)房A布式塹成庫(kù)用戶捧端用尸F(xiàn)系統(tǒng)中心機(jī)房A布式塹成庫(kù)用戶捧端用尸F(xiàn)圖4-16實(shí)際應(yīng)用條件下系統(tǒng)部署在實(shí)際應(yīng)用環(huán)境下，電子文件綜合治理與操縱系統(tǒng)中心機(jī)房相對(duì)獨(dú)立，包括綜合管控中心、授權(quán)服務(wù)器集群、審記/追蹤平臺(tái)、文件儲(chǔ)備治理平臺(tái)、后臺(tái)數(shù)據(jù)庫(kù)及名目服務(wù)等部份。數(shù)據(jù)庫(kù)與名目服務(wù)庫(kù)通過(guò)安全專(zhuān)線與遠(yuǎn)程備份中心相連，按照系統(tǒng)安全備份相關(guān)的要求進(jìn)行實(shí)時(shí)或定時(shí)備份，同時(shí)支持遠(yuǎn)程故障復(fù)原。與實(shí)驗(yàn)室環(huán)境不同的是，實(shí)際應(yīng)用中的綜合管控中心只包含策略治理子系統(tǒng)、CA交互子系統(tǒng)兩個(gè)子系統(tǒng)，而認(rèn)證授權(quán)子系統(tǒng)獨(dú)立為授權(quán)服務(wù)器集群，審記追蹤子系統(tǒng)獨(dú)立為審記/追蹤平臺(tái)，文件儲(chǔ)備治理子系統(tǒng)獨(dú)立為文件儲(chǔ)備治理平臺(tái)。此環(huán)境下，文件儲(chǔ)備治理平臺(tái)具有完備定義的功能集合，支持安全專(zhuān)線支持下的遠(yuǎn)程備份，支持?jǐn)?shù)據(jù)冗余備份和遷移；而審記/追蹤平臺(tái)則能夠由區(qū)別于系統(tǒng)治理員的專(zhuān)門(mén)的審記人員擔(dān)任，職責(zé)更為清晰，權(quán)力互相制約的特點(diǎn)更為明顯；最為關(guān)鍵的是，即使在使用密碼設(shè)備（如專(zhuān)用密碼卡）的情形下，認(rèn)證授權(quán)服務(wù)也能夠進(jìn)行集群，以應(yīng)對(duì)大量用戶并發(fā)要求的需要。系統(tǒng)下屬各應(yīng)用應(yīng)獨(dú)立架設(shè)支持冗余備份的用戶治理服務(wù)器。用戶治理服務(wù)器通過(guò)安全信道與綜合管控中心相通信，將應(yīng)用所涉及的用戶信息提交給系統(tǒng)，以支持用戶認(rèn)證與訪問(wèn)操縱。關(guān)于實(shí)時(shí)性要求專(zhuān)門(mén)高的應(yīng)用，能夠在應(yīng)用系統(tǒng)內(nèi)部架設(shè)分布式數(shù)據(jù)庫(kù)，用來(lái)儲(chǔ)備系統(tǒng)中心數(shù)據(jù)庫(kù)中與具體應(yīng)用相關(guān)的電子文件數(shù)據(jù)。用戶在應(yīng)用系統(tǒng)內(nèi)能夠通過(guò)直截了當(dāng)訪問(wèn)內(nèi)部的分布式數(shù)據(jù)庫(kù)來(lái)完成電子文件的提交或獵取，該數(shù)據(jù)庫(kù)定時(shí)與中心數(shù)據(jù)庫(kù)進(jìn)行同步。在實(shí)際應(yīng)用系統(tǒng)中，應(yīng)部署相應(yīng)的CA與RA，依照顧用系統(tǒng)的規(guī)模，能夠采納使用二級(jí)CA或三級(jí)CA的密碼基礎(chǔ)設(shè)施應(yīng)用模式。CA和RA與系統(tǒng)獨(dú)立存在，在密碼關(guān)系上對(duì)認(rèn)證授權(quán)服務(wù)器（含其集群）和各應(yīng)用系統(tǒng)所涉及的用戶（或用戶代理）進(jìn)行治理，具體來(lái)說(shuō)是簽署認(rèn)證授權(quán)服務(wù)器服務(wù)許可證和用戶代理證書(shū)，用來(lái)使認(rèn)證授權(quán)服務(wù)器能夠?yàn)橛脩羲J(rèn)可，同時(shí)認(rèn)證授權(quán)服務(wù)器也能夠?qū)τ脩魧?shí)施基于公鑰密碼體制的強(qiáng)身份認(rèn)證°CA需要通過(guò)安全途徑將證書(shū)傳遞給系統(tǒng)和用戶，例如通過(guò)機(jī)要交通或嚴(yán)格治理的組織機(jī)構(gòu)等等。專(zhuān)用的加密防火墻軟件部署在各應(yīng)用系統(tǒng)與電子文件綜合治理與操縱系統(tǒng)中心之間，用來(lái)保證信道的安全、可用，同時(shí)防止與外部直聯(lián)時(shí)可能顯現(xiàn)的無(wú)法定向的攻擊行為，幸免不可追查的冗余記錄信息對(duì)審記/追蹤造成阻礙。5耳非功能性需求系統(tǒng)除了需要滿足用戶提出的功能性需求，還必須考慮到非功能性需求。盡管每個(gè)非功能性需求并不能直截了當(dāng)給用戶帶來(lái)收益，然而假如不考慮到非功能性需求，則作為工程實(shí)施來(lái)說(shuō)系統(tǒng)可能全然無(wú)法使用。在本系統(tǒng)中，我們要緊針對(duì)下面給出的幾個(gè)非功能點(diǎn)進(jìn)行了考慮，并設(shè)計(jì)了相應(yīng)的解決方案。5.1性能系統(tǒng)在性能上的要求要緊表達(dá)在實(shí)際應(yīng)用環(huán)境下。要緊包括支持用戶數(shù)量、并發(fā)用戶數(shù)量、認(rèn)證與授權(quán)速度、數(shù)據(jù)本地/異地儲(chǔ)備量、受控文檔搜索速度等。在典型實(shí)際應(yīng)用配置條件下，性能相關(guān)的指標(biāo)要求如下：1） 支持海量（十萬(wàn)級(jí)以上）用戶的統(tǒng)一治理與身份認(rèn)證，身份認(rèn)證時(shí)刻小于10秒；2） 支持海量（百萬(wàn)級(jí)以上）數(shù)字內(nèi)容的權(quán)限驗(yàn)證、配置、治理與轉(zhuǎn)移，權(quán)限驗(yàn)證時(shí)刻小于20秒，權(quán)限轉(zhuǎn)移時(shí)刻小于10秒；3） 最少支持5,000用戶在線要求服務(wù)；4） 峰值處理能力大于1,000用戶服務(wù)要求/秒；5） 數(shù)字內(nèi)容加密及權(quán)限應(yīng)用速度大于260MB/#；6） 審記與權(quán)限策略治理違規(guī)聯(lián)動(dòng)時(shí)刻小于10秒，追蹤時(shí)刻小于60分鐘；7） 支持匿名用戶數(shù)量大于10,000名，并能完成違規(guī)自動(dòng)化處理；8） 本地取證時(shí)刻小于30分鐘，網(wǎng)絡(luò)取證時(shí)刻小于1分鐘；典型實(shí)際應(yīng)用配置標(biāo)準(zhǔn)如下：標(biāo)準(zhǔn)服務(wù)器端配置為:根認(rèn)證服務(wù)器（2個(gè)雙核2.1GHz處理器，16GB內(nèi)存，6個(gè)FC-AL磁盤(pán)驅(qū)動(dòng)器，2塊PCI加密卡）；三個(gè)授權(quán)服務(wù)器構(gòu)成負(fù)載均衡集群（2個(gè)雙核2.1GHz處理器，8GB內(nèi)存，2個(gè)FC-AL磁盤(pán)驅(qū)動(dòng)器，1塊PCI加密卡），三個(gè)數(shù)據(jù)庫(kù)服務(wù)器構(gòu)成負(fù)載均衡集群（2個(gè)雙核2.1GHz處理器，16GB內(nèi)存，6個(gè)FC-AL磁盤(pán)驅(qū)動(dòng)器，ORICALE9i）。操作系統(tǒng)為RedHatLinuxEnterprise4.0。標(biāo)準(zhǔn)客戶端配置為P42.0G處理器，512M內(nèi)存（DDR667），WindowsXP操作系統(tǒng)、軟件加密算法、基于USB-Kye（16位）的終端密碼認(rèn)證構(gòu)件。5.2可靠性任何一個(gè)系統(tǒng)的正常運(yùn)行都需要保證其可靠性，一個(gè)輕易就會(huì)崩潰的系統(tǒng)無(wú)法讓用戶正常使用，能夠會(huì)使得系統(tǒng)的愛(ài)護(hù)專(zhuān)門(mén)頻繁。系統(tǒng)可靠性對(duì)外要緊表達(dá)為下面的幾點(diǎn)：1） 系統(tǒng)平均無(wú)故障運(yùn)行時(shí)刻。那個(gè)指標(biāo)表示的是在兩次系統(tǒng)故障之間，平均意義下的正常運(yùn)行時(shí)刻，那個(gè)指標(biāo)越大越好；2） 系統(tǒng)平均復(fù)原時(shí)刻。那個(gè)指標(biāo)表示的是在系統(tǒng)崩潰了之后，操作人員將系統(tǒng)復(fù)原正常，重新開(kāi)始運(yùn)行所需要的時(shí)刻，那個(gè)指標(biāo)越短越好；3） 一旦系統(tǒng)崩潰，會(huì)造成何種缺失；為了盡量延長(zhǎng)系統(tǒng)平均無(wú)故障運(yùn)行時(shí)刻，在項(xiàng)目經(jīng)費(fèi)承諾的情形下，系統(tǒng)在方案設(shè)計(jì)上應(yīng)采取如下措施：1） 盡量保證無(wú)單點(diǎn)故障。這一點(diǎn)表達(dá)在硬件上，包括應(yīng)用服務(wù)器主機(jī)的冗余（集群方式）、磁盤(pán)陣列備份等，在某一個(gè)設(shè)備損壞的時(shí)候，其他的設(shè)備能夠啟動(dòng)熱備份，趕忙替代原有設(shè)備進(jìn)行后續(xù)的服務(wù)。表達(dá)在數(shù)據(jù)上，則表現(xiàn)在系統(tǒng)中的數(shù)據(jù)備份策略上，重要的數(shù)據(jù)文件都將被備份到容災(zāi)系統(tǒng)中。2） 采納公布的、成熟的平臺(tái)與硬件，例如Linux、Weblogic、Oracle，還有SAN、SCSI、光纖網(wǎng)、以太網(wǎng)等技術(shù)；3） 進(jìn)行詳細(xì)的系統(tǒng)架構(gòu)分析與技術(shù)風(fēng)險(xiǎn)分析，在前期解決所有的技術(shù)難題，保證實(shí)施的應(yīng)用系統(tǒng)能適應(yīng)多種錯(cuò)誤情形，同時(shí)建立完善的專(zhuān)門(mén)處理機(jī)制。為了盡量縮短系統(tǒng)復(fù)原時(shí)刻，系統(tǒng)在方案設(shè)計(jì)上應(yīng)采取如下措施：1） 提供對(duì)數(shù)據(jù)庫(kù)與數(shù)據(jù)文件的復(fù)原手段，在數(shù)據(jù)庫(kù)損壞或者數(shù)據(jù)文件損壞的時(shí)候能夠?qū)v史最近的數(shù)據(jù)庫(kù)通過(guò)數(shù)據(jù)庫(kù)復(fù)原工具重新導(dǎo)入，數(shù)據(jù)文件損壞的時(shí)候能夠通過(guò)磁帶或者容災(zāi)系統(tǒng)進(jìn)行復(fù)原；2） 通過(guò)統(tǒng)一的監(jiān)控平臺(tái)對(duì)各個(gè)子系統(tǒng)進(jìn)行監(jiān)控，在最短的時(shí)刻里面讓操作員明白錯(cuò)誤的發(fā)生；3） 通過(guò)系統(tǒng)日志記錄系統(tǒng)的運(yùn)行情形，在發(fā)生程序錯(cuò)誤的時(shí)候能夠迅速定位錯(cuò)誤進(jìn)行修正；此外，在系統(tǒng)崩潰的時(shí)候，在本系統(tǒng)可能會(huì)造成以下后果：1） 簡(jiǎn)單崩潰，不損壞服務(wù)器本機(jī)文件系統(tǒng)與相關(guān)數(shù)據(jù)庫(kù)。會(huì)造成當(dāng)前運(yùn)行要求的中途失敗，然而由于數(shù)據(jù)庫(kù)與文件系統(tǒng)都沒(méi)有損壞，因此在系統(tǒng)重新啟動(dòng)以后仍舊能夠重新運(yùn)行，故障復(fù)原時(shí)刻短；2） 系統(tǒng)崩潰，服務(wù)器本機(jī)文件系統(tǒng)或者數(shù)據(jù)庫(kù)被損壞，熱備數(shù)據(jù)庫(kù)沒(méi)有損壞，容災(zāi)系統(tǒng)有本機(jī)丟失的數(shù)據(jù)。系統(tǒng)能夠通過(guò)熱備的數(shù)據(jù)庫(kù)與容災(zāi)系統(tǒng)進(jìn)行復(fù)原；3） 系統(tǒng)崩潰，服務(wù)器本機(jī)文件系統(tǒng)或者數(shù)據(jù)庫(kù)被損壞，同時(shí)熱備數(shù)據(jù)庫(kù)或者容災(zāi)系統(tǒng)也沒(méi)有數(shù)據(jù)。需要使用備份的數(shù)據(jù)文件進(jìn)行復(fù)原，然而在最近一段時(shí)刻系統(tǒng)的變化將可能會(huì)被丟失，會(huì)造成數(shù)據(jù)缺失。只是這種情形見(jiàn)相當(dāng)少見(jiàn)，概率極低；系統(tǒng)相關(guān)的可靠性指標(biāo)如下：1）平均故障間隔時(shí)刻（MTBF）N10000小時(shí)2） 平均故障修理時(shí)刻（MTTR）W30分鐘3） 系統(tǒng)熱備份頻率N1次/小時(shí)5.3可愛(ài)護(hù)性可愛(ài)護(hù)性表現(xiàn)為系統(tǒng)治理人員、操作人員以及一般使用者在對(duì)系統(tǒng)進(jìn)行操作（包含治理性工作和常規(guī)使用）是否方便，以及在系統(tǒng)顯現(xiàn)故障的時(shí)候是否能夠快速、精確地定位到錯(cuò)誤處。在本方案中，采納了以下的措施加強(qiáng)系統(tǒng)的可愛(ài)護(hù)性：1） 各個(gè)子系統(tǒng)的用戶界面與操作方式具有統(tǒng)一的風(fēng)格。界面風(fēng)格的一致保證了治理者在各個(gè)子系統(tǒng)間切換時(shí)具有相對(duì)的熟悉程度，也保證了使用者在各個(gè)終端、各個(gè)配置策略下對(duì)系統(tǒng)的使用方法具有一致性2） 系統(tǒng)日志信息的完整性。那個(gè)地點(diǎn)所指的日志是系統(tǒng)操作及運(yùn)行的相關(guān)記錄信息。所有系統(tǒng)運(yùn)行過(guò)程中顯現(xiàn)的錯(cuò)誤與專(zhuān)門(mén)都被記錄在了日志文件中，同時(shí)對(duì)操作員有意義的錯(cuò)誤還將顯示在用戶界面上。同時(shí)，治理員能夠修改日志模塊的配置，以記錄更加詳細(xì)的日志信息5.4經(jīng)濟(jì)性通過(guò)網(wǎng)格的設(shè)計(jì)，系統(tǒng)中的服務(wù)器及儲(chǔ)備設(shè)備能夠采納漸進(jìn)方式，依照系統(tǒng)當(dāng)前的實(shí)際負(fù)載逐批添加，也能夠依照實(shí)際負(fù)載進(jìn)行動(dòng)態(tài)調(diào)度。通過(guò)面向服務(wù)架構(gòu)設(shè)計(jì)，系統(tǒng)各部分之間及系統(tǒng)與外部系統(tǒng)之間的接口采納規(guī)范的設(shè)計(jì)，并為