欢迎来到黑龙江省数字证书认证有限公司官方网站

解决方案

OA系统安全方案

作者:admin 发布时间:2017-12-03
一、政府OA系统存在的信息安全问题分析
    在传统的办公模式中,办公信息主要通过纸介质进行传递的。而OA系统则将办公信息转化为电子信息,通过计算机网络高效地实现信息的共享、处理和流转,极大地提高了政府的工作效率。但正是由于信息的载体和处理方式发生了根本变化,导致传统办公模式和OA系统中对信息安全的要求及解决方法完全不同,OA系统在信息安全方面提出了新的挑战,OA系统的信息安全也越来越受到人们的关注。总的来说,OA系统面临的信息安全问题可归结为以下几个方面:
    系统用户身份的确认问题。
    如何确认用户是否为OA系统的合法用户?这对于防止非法用户进入OA系统是至关重要的。目前,OA系统广泛采用的方法是用“用户名/口令”的方式来验证用户的合法性,“用户名/口令”的方式虽然可以完成验证用户的功能,但其安全性是较低的,一是因为口令本身的安全强度不高,可能被他人所猜出,二是因为用户名及口令在网络中是明文传输,在传输过程中可能被监听而泄露。另外,有些OA系统在“用户名/口令”的基础上又加上用户机器设备的信息(如MAC地址)进行用户验证,看起来似乎增加了“用户名/口令”方式的安全性,但用户机器设备的信息可以在传输前替换伪造,完全可以欺骗验证服务器,其安全性仍然存在着隐患,所以,还需要一种更安全的方式来进行用户身份的确认。
    信息在传输过程中的保密性和完整性问题。
    由于网络的互联性和开放性,信息在网络中的传输不可避免地存在被监听的可能,要实现信息传输的保密性只有对信息进行加密,以密文方式传输,即使被监听,监听者也无法明白密文所表示的信息。同样,信息也可能在传输过程中被截获篡改后再转发出去,造成信息的完整性受损,这种情况也是不可避免的,但依靠完整性校验算法,信息接收者可以判断受到信息是否已被改动,如被改动则认为该信息无效,以此保证信息的完整性。
    目前,OA系统对这个问题关注不够,没有能予以有效解决。
    系统用户权限的控制问题。
    当系统用户的身份确认后,用户即是系统的合法用户,但OA系统的业务处理流程的特殊性,要求对不同级别的合法用户在信息的访问和操作方面应该进行严格的权限控制,防止非授权用户越权访问或操作信息。目前,OA系统已经将用户权限控制作为系统的重要功能,已得到很好地实现。
    信息的不可否认性问题。
    在传统的办公模式中,通过纸介质上的印章或签名来解决信息的不可否认性问题。但OA系统中,传统的印章或签名已不能使用,当前只有依靠数字签名技术来解决信息的不可否认性问题,世界上许多国家已纷纷颁布数字签名法案,确立数字签名的法律地位。目前,OA系统中没有实现数字签名,许多重要的信息还需要依靠纸介质保存,并没有实现真正的无纸化办公。
    针对OA系统存在的以上信息安全问题,我们提出以下解决方案。
二、政府OA系统信息安全解决方案
    方案的设计原则是:完全遵从安全标准,原系统尽量少改动,方案实施简单快捷。
具体方案如下:
    取消用户名和口令,在OA系统中采用SSL协议来解决系统用户身份的确认问题以及信息在传输过程中的保密性和完整性问题。
    SSL协议作为安全标准获得了广泛应用,几乎所有的WEB服务器和浏览器都支持SSL协议,包括IIS和IE。SSL协议完美地解决解决系统用户身份的确认问题以及信息在传输过程中的保密性和完整性问题,而且IIS和IE都支持SSL协议,实现起来相当简单,只需要为IIS签发并安装一份WEB服务器数字证书,为每一位系统用户签发一份用户数字证书即可。以用户数字证书取代用户名和口令来验证用户的合法身份,由于数字证书几乎不可能被伪造,这种身份确认方式拥有极高的安全性,OA系统只需要作点相应的小改动,以前是通过用户名/口令来识别用户,现在需要从用户数字证书中取得相应信息来识别用户。
    利用OA系统现有的用户权限控制功能来解决系统用户权限的控制问题。
    由于现有的OA系统已经很好地实现了对用户权限的控制,所以对这部分不做改动,继续使用OA系统现有用户权限控制功能
    在OA系统实现数字签名功能来解决信息的不可否认性问题。
    数字签名的实现需要用户数字证书,同时,对现有的OA系统改动也相对较大,OA系统中任何需要签名的环节都需要创建相应的数字签名,并且所有的数字签名信息都需要存入数据库保存,以备将来验证之用。重庆CA中心将向OA系统开发商提供实现数字签名创建和验证的程序组件,该组件能够直接在OA系统中使用,简单而方便地实现数字签名功能。