軍工企業安全增強協同辦公系統的設計與應用

2014-08-15 09:48:23朱泉曾紅霞

網絡空間安全 2014年6期

朱泉++曾紅霞

【摘要】根據軍工企業信息化工作的實際情況，結合軍工企業辦公應用和安全應用需求，幫助企業進行業務梳理、系統架構和安全特性設計，實現了適合軍工企業辦公特色，在涉密網絡環境應用的安全增強協同辦公系統。通過部署實施和使用，系統較好地滿足了企業安全化和專業化的辦公管理需求，提高了企業辦公效率和企業核心競爭力。

【關鍵詞】辦公自動化；平臺；安全；權限控制

【中圖分類號】TP39【文獻標識碼】A DOI： 10.3969/j.issn.1000-386x.2013.01.001

1引言

根據軍工集團公司“十二五”信息化建設的總體要求，軍工各企業單位信息化快速推進，迫切需要通過信息化手段來加強企業精益化管理，實現企業戰略一致、組織扁平、流程結合、信息集中和資源共享。

辦公自動化系統是各企業需要首要實現的信息化系統之一。在產品選擇上，一些企業通過購買市場成熟的辦公自動化系統軟件產品，有些企業則邀請外包軟件企業進行系統開發；在功能建設上，有的企業建設了公文管理的基本功能，有些企業則包括了合同、人員考評等輔助功能。辦公自動化系統的建設在很多方面沒有遵循統一的設計標準，企業都按照自身的管理思路來進行系統建設，缺乏一套通用性較強，遵循國家相關安全保密規定要求，適合軍工辦公業務特色的辦公自動化系統。

2系統建設目標

根據分析軍工企業的辦公業務特點，進行業務抽象，建設一套具有統一協同工作、統一流程整合、統一安全管理、統一集成管理等特性，滿足企業日常辦公的需要，適合在涉密環境中使用，確保處理涉密信息安全可控，具有軍工特色的企業級協同辦公系統。

通過部署實施協同辦公系統，迅速有效提高軍工企業的辦公工作效率，使企業各單位用戶通過相應權限分配，很好地實現對日常辦公事務的管理，實現企業各單位、各部門在涉密網絡環境中高時效地協同工作，提升公司管理，促進企業發展，提高企業整體信息化水平。

3系統總體設計

3.1系統設計原則

3.1.1 安全性原則

安全保密是軍工企業進行信息化建設的關鍵問題之一，根據軍工企業辦公特點，協同辦公系統涉及到企業的重要信息，因此安全性需要放在首位進行考慮。系統要有完善、周密的安全體系和信息安全支撐平臺緊密配合，從多方面采用多層次的安全保障措施。

3.1.2 標準性原則

選擇成熟的技術平臺進行開發，符合行業標準，使系統的通信環境、軟件環境相互間依賴減至最小，使其各自發揮自身優勢。

3.1.3 實用性原則

實用性是指系統建設資金及人力花費開銷最小、為企業產生最大效益的原則。從企業實際工作需要出發，合理規劃建設周期，選擇既先進又可靠，而且性能價格比最佳的系統配置。

3.1.4 擴展性原則

可擴展性是很重要的技術要求，求系統必須有良好的可擴展性和二次開發能力，能夠根據要求不斷更新完善。

3.2系統技術平臺

系統基于標準SOA （Service-oriented architecture，面向服務架構）架構設計，采用成熟的、面向構件技術的EOS平臺，將數據庫、中間件、工作流、Portal等技術和產品進行集成以實現基于基礎開發平臺的系統。總體技術平臺架構圖如圖1所示。

資源層是整個系統建設的硬件系統，包括網絡設備、主機設備及操作系統等基礎設施，為系統部署奠定堅實基礎。

服務層包括Web應用服務器（支持JBOSS、Weblogic、WebSphere），數據庫服務器（支持Oracle、Microsoft SQLServer2005），郵件服務器，域服務器及活動目錄服務器。為上層數據交互提供基礎平臺，可以實現不同業務邏輯部署到不同的服務器上，從而實現組件級負載均衡，滿足企業大用戶量應用環境。

邏輯層是各種業務模塊功能業務邏輯具體實現。通過應用服務總線與基礎服務層相連接，全部采用構件化結構。

業務層包括了門戶信息發布系統、統一認證系統、綜合事務系統、電子流程流轉系統、安全管理系統、統一標準接口系統等。

表現層包括工作臺與門戶，用戶自己也可以根據需要將各個業務系統（包括第三方系統）的業務整合到自己的工作臺。不同身份不同角色的用戶進入系統會看到不同的界面。與他功能無關的功能操作自動屏蔽，充分的體現了以人為核心的設計思想，簡化了使用難度。

3.3系統模塊設計

安全增強協同辦公系統具有統一協同工作、統一流程整合、統一安全管理、統一集成管理等特性，是具有軍工企業特色的安全增強協同辦公自動化管理平臺。

3.3.1統一協同工作平臺

協同辦公平臺也是一個內部門戶與信息發布系統，通過門戶可以整合各類的應用資源，進行信息發布和信息管理，形成統一的門戶結構，具有統一用戶入口、分類導航、分級授權的資源集合功能。

3.3.2統一流程整合平臺

實現企業內各種辦公業務工作與審批管理工作的電子化流轉，范圍基本覆蓋了紙質辦公時期的所有工作流程類別，各種工作流程均采用電子起草、傳閱、審批、會簽、簽發、套紅、歸檔等電子化流轉方式，并采用尊重工作人員傳統辦公習慣的人性化設計，真正順利實現無紙化辦公。

3.3.3統一安全管理平臺

提供有效的、嚴格的分級管理模式，把管理員分為系統管理員、安全保密管理員和日志審計管理員三個管理員，三員權限劃分明確，相互制約，相互監管，防止權限過渡集中導致的安全事件。

具備嚴格的等級訪問及授權機制，具有嚴格的多層權限的控制管理及授權機制，對各類信息和文件進行嚴格的密級流向控制，只有經過授權的合法用戶才能使用訪問及修改響應得權限數據。endprint

3.3.4統一系統集成平臺

在滿足標準功能的基礎上，系統提供標準化擴展應用和個性化擴展應用，以滿足不同規模、不同階段、不同層次組織信息化建設的長期可持續化發展的需要。

4系統的安全特性

安全增強協同辦公系統除實現了傳統協同辦公系統的標準功能外，為適合軍工企業協同辦公系統在涉密環境下的使用特點，系統嚴格遵循了國家安全保密有關規定和標準進行設計開發，確保協同辦公系統中所處理涉密信息的安全性和可控性。系統安全特性示意圖如圖2所示。

4.1安全管理

安全增強協同辦公系統提供了有效的、嚴格的人員分級管理模式，把協同辦公系統的管理員分細為系統管理員、安全保密管理員和日志審計管理員三類管理員，具體的權限分配涉及幾方面。

系統管理員：負責系統的日常維護工作，如系統使用人員的信息錄入，系統功能模塊的完善和更新，信息的統一發布等。

安全保密管理員：負責制定系統統一安全策略和對系統使用人員進行統一授權管理。安全保密管理員對系統中所有用戶的進行分類定級，按用戶的不同級別進行功能模塊訪問和信息內容瀏覽的授權，只有通過授權的用戶才能訪問不同級別的功能模塊和信息內容。

安全審計員：負責進行操作日志審計，對系統管理員和安全保密管理員的行為進行監督，及時發現安全違規操作行為。

4.2權限控制

安全增強協同辦公系統提供多層權限的控制管理，可分為系統、功能模塊、角色、公文表單、字段級、處理步驟的權限劃分和控制，做到主體到單個用戶，客體到信息類別的細粒度訪問控制，防止涉密信息的知悉范圍擴大化。

系統的管理可以進行用戶管理、組織管理、擴展管理和其他授權管理等。

功能模塊的管理可以對該功能模塊內的功能和內容進行管理和授權。

公文表單的管理只能在授權的公文模板范圍內新建、讀取、刪除和歸檔公文等權限。

字段級的管理只能在授權的公文模板的某篇公文的某個步驟時對公文內容中的區域（字段）進行讀寫的權限。

文件辦理步驟的權限設置，在文件的實際辦理中，提供了“所見即所得”的權限分配，即通過綁定相應流程的相應步驟，能否查看、修改、是否保留修改痕跡等，文件處理表單的更改。

4.3訪問控制

安全增強協同辦公系統具備嚴格的等級訪問及授權機制，對于特定的關鍵及敏感數據，只有經過授權的合法用戶才能使用訪問及修改，保證數據的安全訪問。

系統根據不同的用戶角色及權限，提供不同的訪問界面及菜單來控制用戶對系統功能的訪問，對不同用戶的權限能設置到具體內容，控制用戶對信息的訪問權限，如讀、寫、刪除、執行等。

系統實現嚴格的密級流向控制，根據不同的數據資源為數據庫設置密級字段。只有用戶的數據操作權限高于或等于相應的密級，才能進行正常的操作，否則不顯示資源內容。

系統將普通用戶與管理員用戶分開進行管理，禁止任何管理員查看系統中其它用戶的任何文件，禁止有任何特權用戶能訪問到系統中的所有文件信息。

在應用系統信息流轉過程中，保證系統的輸出無多余信息，并只發送給合法的用戶，避免無關人員的介入。

4.4系統審核日志

審核日志是系統整體安全性的一個體現，通過審核功能，及時的了解系統被使用的情況、發現管理的漏洞、記錄非法活動和提供有效證據等功能。

安全增強協同辦公系統中，系統審核日志的功能主要是通過系統日志來實現的，通過安全日志的方式跟蹤用戶的操作。比如記錄用戶進入系統的時間、用戶的IP及使用的功能模塊，還可以細化到檔案系統或者公文流轉中每個人的操作活動，比如增、刪、修、存和查等操作，并且可以針對這些操作進行查詢、篩選和打印，從而為管理者提供管理的依據。

5安全增強協同辦公系統的應用

該安全增強協同辦公系統在軍工某核燃料企業涉密網絡環境中成功部署實施，并且通過國家保密局測評，系統功能框架如表1所示。

5.1信息門戶系統

企業信息門戶系統實現了多級門戶架構，整合了企業內網中的報銷系統、郵件系統、用友財務系統等，并能在首頁上方便進行數據展現。

系統在該企業涉密內網建立信息發布平臺，建立了一個有效的信息發布和交流的場所，例如通知公告、重點工作進展、圖片新聞等，使員工能夠及時了解各類信息。

5.2公文管理系統

公文管理涵蓋了從公文擬制、文件辦理、管理、文件立卷歸檔等在內的一系列銜接有序的工作的自動化、規范化管理及流程處理。公文管理系統實現了該企業日常的行政公文的流轉，通過實現工作流程的自動化，規范各項工作，提高辦公業務的執行力度、縱向管控能力提供技術和數據上的支持。系統支持公文表單、字段、處理過程的權限控制和實現密級流向控制；

5.3示范性審批類工作流程

系統中可自定義的電子表單（格式、模板）與圖形化工作流（角色、流程、權限）的組合，來滿足組織內各級部門多樣化的事務審批管理要求。將企業跨地域、跨部門、跨應用流程及人員相關、業務相關的審批類流程進行連接、嵌套、整合，以具體工作事務為中心組織各項功能，并延續請示、匯報等多種傳統溝通形式，對各種工作任務統一調度安排。

5.4綜合事務管理

綜合事務管理可以有效進行人事管理、日程、計劃等輔助辦公事項的管理，輔助提高公司各類資源應用效率。

5.5系統及安全管理

提供了系統管理的綜合管理模塊，該模塊主要包括系統維護、組織機構管理、人員管理、角色權限管理功能，系統管理的操作都是通過系統管理員、安全保密員、日志審計員三個管理員進行。

組織管理：包括機構和人員管理、工作組管理、職務管理等模塊。endprint

權限管理：提供了多層權限的功能管理，可分為系統、功能模塊、角色、公文表單、字段級的權限劃分和控制等。

其它管理：日志管理、套紅管理、CA同步管理、業務字典管理、菜單管理等模塊

部分安全管理配置界面圖如圖3所示。

5.6接口集成

在部署協同辦公系統的同時，企業實現了與CA身份認證系統的人員與機構同步、與電子簽章系統的接口集成，與報銷系統、郵件系統的消息同步，通過持續豐富的標準化插件，既能快速滿足用戶個性化的需要，也能達到降低信息化上的投資的功效。通過個性化整合擴展，為用戶輕松邁開組織內部信息化初步整合提供便利。

5.7應用效果

為該企業開發設計并部署實施的安全增強協同辦公系統，以及通過了相關權威部門的安全保密測評，系統運行半年多來，過在該企業中部署實施和使用該系統，幫助企業進行業務流程梳理和再造，較好地滿足了企業專業化和精細化的辦公管理需求，提高了企業辦公效率，節省了辦公成本，達到了預期目的，得到了良好的應用效果。

6結束語

本文介紹了軍工企業安全增強協同辦公系統的設計與應用，系統基于標準SOA架構設計，嚴格遵循了國家安全保密有關規定和標準進行設計開發，采用協同工作管理機制建立企業運作管理平臺，建設了適合在涉密環境中使用的企業級的安全增強同辦公系統，該系統能夠提高企業信息資源整合和管理，滿足企業專業化和精細化的管理需求，確保協同辦公系統中處理涉密信息安全和可控性，取得了良好的應用效果。

參考文獻

[1] BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》.

[2] BMB17-2006《涉及國家秘密的信息系統分級保護技術要求》.

[3] 張文茹.基于B/S結構的辦公平臺的設計與實現[D].大連海事大學，2010年.

[4] 王梓.辦公自動化系統設計與實現[D].電子科技大學，2011年.

[5] 趙嘉乾.中小型企事業單位辦公自動化系統設計與實現[D].電子科技大學，2012年.

[6] 路川，胡欣杰，紀鋒利.基于角色訪問控制的協同辦公系統設計與實現 [J].計算機技術與發展， 2010，20（3）：230-233.

[7] 丁彥英.淺析協同辦公系統的實施與運行[J].現代企業教育，2010（2）：84-94.

[8] 國網信息通信有限公司.協同辦公系統[J].辦公自動化：綜合版，2010（9）：9-12.

[9] 劉德祥.數碼代密模塊的軟件設計與實現[J].信息網絡安全，2012，（05）：15-16.

[10] 田廣，唐寧，張巖.基于SOA體系的企業系統協同平臺的研究和應用[J].計算機工程與設計，2010，31（21）：58-61.

[11] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，2012，（01）：5-9.

[12] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網WCSN數據偽造攻擊研究[J].信息網絡安全，2012，（01）：14-16.

作者簡介：

朱泉（1977-），男，東華理工大學，碩士，核工業計算機應用研究所集成部，工程師；主要研究方向和關注領域：計算機信息安全。

曾紅霞（1980-），女，北京工業大學，碩士，核工業計算機應用研究所項目二部，工程師；主要研究方向和關注領域：計算機軟件及應用。endprint

權限管理：提供了多層權限的功能管理，可分為系統、功能模塊、角色、公文表單、字段級的權限劃分和控制等。

其它管理：日志管理、套紅管理、CA同步管理、業務字典管理、菜單管理等模塊

部分安全管理配置界面圖如圖3所示。

5.6接口集成

5.7應用效果

6結束語

參考文獻

[1] BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》.

[2] BMB17-2006《涉及國家秘密的信息系統分級保護技術要求》.

[3] 張文茹.基于B/S結構的辦公平臺的設計與實現[D].大連海事大學，2010年.

[4] 王梓.辦公自動化系統設計與實現[D].電子科技大學，2011年.

[5] 趙嘉乾.中小型企事業單位辦公自動化系統設計與實現[D].電子科技大學，2012年.

[6] 路川，胡欣杰，紀鋒利.基于角色訪問控制的協同辦公系統設計與實現 [J].計算機技術與發展， 2010，20（3）：230-233.

[7] 丁彥英.淺析協同辦公系統的實施與運行[J].現代企業教育，2010（2）：84-94.

[8] 國網信息通信有限公司.協同辦公系統[J].辦公自動化：綜合版，2010（9）：9-12.

[9] 劉德祥.數碼代密模塊的軟件設計與實現[J].信息網絡安全，2012，（05）：15-16.

[10] 田廣，唐寧，張巖.基于SOA體系的企業系統協同平臺的研究和應用[J].計算機工程與設計，2010，31（21）：58-61.

[11] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，2012，（01）：5-9.

[12] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網WCSN數據偽造攻擊研究[J].信息網絡安全，2012，（01）：14-16.

作者簡介：

朱泉（1977-），男，東華理工大學，碩士，核工業計算機應用研究所集成部，工程師；主要研究方向和關注領域：計算機信息安全。

曾紅霞（1980-），女，北京工業大學，碩士，核工業計算機應用研究所項目二部，工程師；主要研究方向和關注領域：計算機軟件及應用。endprint

權限管理：提供了多層權限的功能管理，可分為系統、功能模塊、角色、公文表單、字段級的權限劃分和控制等。

其它管理：日志管理、套紅管理、CA同步管理、業務字典管理、菜單管理等模塊

部分安全管理配置界面圖如圖3所示。

5.6接口集成

5.7應用效果

6結束語

參考文獻

[1] BMB20-2007《涉及國家秘密的信息系統分級保護管理規范》.

[2] BMB17-2006《涉及國家秘密的信息系統分級保護技術要求》.

[3] 張文茹.基于B/S結構的辦公平臺的設計與實現[D].大連海事大學，2010年.

[4] 王梓.辦公自動化系統設計與實現[D].電子科技大學，2011年.

[5] 趙嘉乾.中小型企事業單位辦公自動化系統設計與實現[D].電子科技大學，2012年.

[6] 路川，胡欣杰，紀鋒利.基于角色訪問控制的協同辦公系統設計與實現 [J].計算機技術與發展， 2010，20（3）：230-233.

[7] 丁彥英.淺析協同辦公系統的實施與運行[J].現代企業教育，2010（2）：84-94.

[8] 國網信息通信有限公司.協同辦公系統[J].辦公自動化：綜合版，2010（9）：9-12.

[9] 劉德祥.數碼代密模塊的軟件設計與實現[J].信息網絡安全，2012，（05）：15-16.

[10] 田廣，唐寧，張巖.基于SOA體系的企業系統協同平臺的研究和應用[J].計算機工程與設計，2010，31（21）：58-61.

[11] 郝文江，武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全，2012，（01）：5-9.

[12] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網WCSN數據偽造攻擊研究[J].信息網絡安全，2012，（01）：14-16.

作者簡介：

朱泉（1977-），男，東華理工大學，碩士，核工業計算機應用研究所集成部，工程師；主要研究方向和關注領域：計算機信息安全。

曾紅霞（1980-），女，北京工業大學，碩士，核工業計算機應用研究所項目二部，工程師；主要研究方向和關注領域：計算機軟件及應用。endprint

軍工企業安全增強協同辦公系統的 設計與應用

軍工企業安全增強協同辦公系統的設計與應用