簡(jiǎn)述OA系統的安全方案

 政府OA系統存在的信息安全問(wèn)題分析

    在傳統的辦公模式中，辦公信息主要通過(guò)紙介質(zhì)進(jìn)行傳遞的。而OA系統則將辦公信息轉化為電子信息，通過(guò)計算機網(wǎng)絡(luò )高效地實(shí)現信息的共享、處理和流轉，極大地提高了政府的工作效率。但正是由于信息的載體和處理方式發(fā)生了根本變化，導致傳統辦公模式和OA系統中對信息安全的要求及解決方法完全不同，OA系統在信息安全方面提出了新的挑戰，OA系統的信息安全也越來(lái)越受到人們的關(guān)注?？偟膩?lái)說(shuō)，OA系統面臨的信息安全問(wèn)題可歸結為以下幾個(gè)方面：

 系統用戶(hù)身份的確認問(wèn)題

    如何確認用戶(hù)是否為OA系統的合法用戶(hù)？這對于防止非法用戶(hù)進(jìn)入OA系統是至關(guān)重要的。目前，OA系統廣泛采用的方法是用“用戶(hù)名/口令”的方式來(lái)驗證用戶(hù)的合法性，“用戶(hù)名/口令”的方式雖然可以完成驗證用戶(hù)的功能，但其安全性是較低的，一是因為口令本身的安全強度不高，可能被他人所猜出，二是因為用戶(hù)名及口令在網(wǎng)絡(luò )中是明文傳輸，在傳輸過(guò)程中可能被監聽(tīng)而泄露。另外，有些OA系統在“用戶(hù)名/口令”的基礎上又加上用戶(hù)機器設備的信息（如MAC地址）進(jìn)行用戶(hù)驗證，看起來(lái)似乎增加了“用戶(hù)名/口令”方式的安全性，但用戶(hù)機器設備的信息可以在傳輸前替換偽造，完全可以欺騙驗證服務(wù)器，其安全性仍然存在著(zhù)隱患，所以，還需要一種更安全的方式來(lái)進(jìn)行用戶(hù)身份的確認。

  系統用戶(hù)權限的控制問(wèn)題

      當系統用戶(hù)的身份確認后，用戶(hù)即是系統的合法用戶(hù)，但OA系統的業(yè)務(wù)處理流程的特殊性，要求對不同級別的合法用戶(hù)在信息的訪(fǎng)問(wèn)和操作方面應該進(jìn)行嚴格的權限控制，防止非授權用戶(hù)越權訪(fǎng)問(wèn)或操作信息。目前，OA系統已經(jīng)將用戶(hù)權限控制作為系統的重要功能，已得到很好地實(shí)現。

 信息在傳輸過(guò)程中的保密性和完整性問(wèn)題

      由于網(wǎng)絡(luò )的互聯(lián)性和開(kāi)放性，信息在網(wǎng)絡(luò )中的傳輸不可避免地存在被監聽(tīng)的可能，要實(shí)現信息傳輸的保密性只有對信息進(jìn)行加密，以密文方式傳輸，即使被監聽(tīng)，監聽(tīng)者也無(wú)法明白密文所表示的信息。同樣，信息也可能在傳輸過(guò)程中被截獲篡改后再轉發(fā)出去，造成信息的完整性受損，這種情況也是不可避免的，但依靠完整性校驗算法，信息接收者可以判斷受到信息是否已被改動(dòng)，如被改動(dòng)則認為該信息無(wú)效，以此保證信息的完整性。目前，OA系統對這個(gè)問(wèn)題關(guān)注不夠，沒(méi)有能予以有效解決。

 信息的不可否認性問(wèn)題

     在傳統的辦公模式中，通過(guò)紙介質(zhì)上的印章或簽名來(lái)解決信息的不可否認性問(wèn)題。但OA系統中，傳統的印章或簽名已不能使用，當前只有依靠數字簽名技術(shù)來(lái)解決信息的不可否認性問(wèn)題，世界上許多國家已紛紛頒布數字簽名法案，確立數字簽名的法律地位。目前，OA系統中沒(méi)有實(shí)現數字簽名，許多重要的信息還需要依靠紙介質(zhì)保存，并沒(méi)有實(shí)現真正的無(wú)紙化辦公。

      針對OA系統存在的以上信息安全問(wèn)題，我們提出以下解決方案。

 政府OA系統信息安全解決方案

      方案的設計原則是：完全遵從安全標準，原系統盡量少改動(dòng)，方案實(shí)施簡(jiǎn)單快捷。

 具體方案如下：

•      取消用戶(hù)名和口令，在OA系統中采用SSL協(xié)議來(lái)解決系統用戶(hù)身份的確認問(wèn)題以及信息在傳輸過(guò)程中的保密性和完整性問(wèn)題。
•      利用OA系統現有的用戶(hù)權限控制功能來(lái)解決系統用戶(hù)權限的控制問(wèn)題。
•      在OA系統實(shí)現數字簽名功能來(lái)解決信息的不可否認性問(wèn)題。
•     由于現有的OA系統已經(jīng)很好地實(shí)現了對用戶(hù)權限的控制，所以對這部分不做改動(dòng)，繼續使用OA系統現有用戶(hù)權限控制功能
•       數字簽名的實(shí)現需要用戶(hù)數字證書(shū)，同時(shí)，對現有的OA系統改動(dòng)也相對較大，OA系統中任何需要簽名的環(huán)節都需要創(chuàng )建相應的數字簽名，并且所有的數字簽名信息都需要存入數據庫
•       SSL協(xié)議作為安全標準獲得了廣泛應用，幾乎所有的WEB服務(wù)器和瀏覽器都支持SSL協(xié)議，包括IIS和IE。SSL協(xié)議完美地解決解決系統用戶(hù)身份的確 認問(wèn)題以及信息在傳輸過(guò)程中的保密性和完整性問(wèn)題，而且IIS和IE都支持SSL協(xié)議，實(shí)現起來(lái)相當簡(jiǎn)單，只需要為IIS簽發(fā)并安裝一份WEB服務(wù)器數字 證書(shū)，為每一位系統用戶(hù)簽發(fā)一份用戶(hù)數字證書(shū)即可。以用戶(hù)數字證書(shū)取代用戶(hù)名和口令來(lái)驗證用戶(hù)的合法身份，由于數字證書(shū)幾乎不可能被偽造，這種身份確認方 式擁有極高的安全性，OA系統只需要作點(diǎn)相應的小改動(dòng)，以前是通過(guò)用戶(hù)名/口令來(lái)識別用戶(hù)，現在需要從用戶(hù)數字證書(shū)中取得相應信息來(lái)識別用戶(hù)。

重慶網(wǎng)絡(luò )公司