OA系统安全解决方案.docx

OA系统安全解决方案.docx

《OA系统安全解决方案.docx》由会员分享，可在线阅读，更多相关《OA系统安全解决方案.docx（29页珍藏版）》请在冰点文库上搜索。

OA系统安全解决方案

目录

1需求概述 1

2天威诚信安全解决方案 3

2.1总体框架 3

2.2CA认证系统设计 4

2.2.1认证体系设计 4

2.2.2系统模块构成 5

2.2.3系统功能设计 8

2.2.4系统网络架构 10

2.2.5软硬件配置需求建议 11

2.2.6系统工作流程设计 12

2.3OA系统安全集成方案 13

2.3.1系统安全原理 13

2.3.2系统安全架构 16

2.3.3证书应用API 18

2.3.4OA系统工作流程 18

2.4证书存储介质设计 21

3其它应用安全规划 21

3.1网上申报与审批的安全应用集成 21

3.2电子公文流转安全应用集成 22

3.3其它基于WEB的应用系统 23

4项目实施规划 23

5 总结 25

附录：

天威诚信公司简介 25

1需求概述

OA系统通常是基于B/S架构，用户使用浏览器，通过Internet访问OA系统服务器，登录系统，进行网上办公活动。

由于互联网的广泛性和开放性，给OA系统带来了很多安全隐患，给系统的建设提出了很多安全需求，主要体现在如下几个方面：

（1）身份认证

目前，OA系统是采用“用户名＋密码”的方式来验证访问用户的身份。

采用“用户名

＋密码”的方式登录应用系统时，用户输入的用户名和密码都是通过明文的方式，传输给系统服务器，系统服务器根据用户提交的用户名和密码，查询数据库，来判断用户的身份是否真实。

我们知道，通过广泛、开放的互联网传输用户名和密码时，很容易被非法用户窃取，现在已经有很多黑客软件，例如各种版本的网络嗅探器，通过网络监听就很容易截取用户名和密码。

另外，用户的用户名和密码的强度有限，很容易被别人猜出。

这样，非法用户很容易假冒合法者的身份，登录OA系统，系统无法通过有效的手段验证登录者是否真实的用户本人，无法对登录者进行身份认证。

因此，需要采用安全的手段，解决OA系统身份认证需求。

（2）访问控制

OA系统是公司的重要网上办公系统，对于系统的不同用户，具有不同的访问操作权限，比如：

普通员工可以进行通常的网上办公，财务人员可以进行公司财务数据汇报和审核，公司领导可以各种申报的审批。

因此，OA系统在身份认证的基础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。

从上面分析我们知道，采用

“用户名＋密码”的方式无法满足对用户进行身份认证的需求，因此也很难实现根据不同的用户身份，给予相应的访问授权，很难满足系统访问控制的需求。

因为，非法用户可以假冒某个合法用户的身份，登录OA系统，取得相应的访问权限，进行越权操作。

因此，需要采用有效的手段，解决OA系统访问控制的需求。

（3）信息机密性

通过OA系统传输很多敏感资料，如通过OA系统，工作人员进行文件共享，财务人员进行财务数据上报，员工进行工作汇报，进行通知发布，等等。

这些信息都需要进行保

密，一旦被非法用户或者竞争对手获得，将给企业带来巨大的影响，乃至经济损失。

而通过开放的互联网，非法用户很容易监听网络传输的数据，或者入侵到企业的OA系统，或者监听企业员工发送的电子邮件，窃取有关资料。

因此，需要采用有效的方式保证OA系统传输数据的机密性。

（4）信息抗抵赖

信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。

在OA系统中传输的很多信息，都需要实现信息抗抵赖。

比如财务部进行财务汇报时，如果采用纸质的方式，可以在财务报表上签字盖章。

但是通过电子数据共享和传输，不可能像纸质文件那样进行手写签字和盖章。

而如果没有有效的手段保证电子数据共享和传输的抗抵赖，财务部可以否认自己共享和传输过的电子数据。

一旦出现问题，将没有任何有效的证据，对肇事者进行追究。

另外，对应通过OA系统进行网上申报与审批时，如果没有抗抵赖性，申报者将可以否认自己的申报数据和行为，审批者也可以否认自己的审批意见和行为，甚至出现假冒他人进行申报或审批的行为。

这样，将导致整个OA系统不能正常工作，将给企业造成巨大的损失。

（5）移动办公

目前，移动办公是一个非常现代的办公方式，员工可以在家里、或者在网吧，连接公司的OA系统，进行网上办公。

OA系统需要实现移动办公的需求，如果采用“用户名＋密码”的方式，用户固然可以在外地或者网吧，采用用户名和密码的方式登录OA系统，进行移动办公。

但是，这种方式却给OA系统带来了用户名和密码更容易被窃取的安全隐患，同时也很容易泄漏公司的敏感数据和资料。

为此，天威诚信公司根据OA系统的安全需求，采用PKI（PublicKeyInfrastructure，公钥基础设施）技术来解决OA系统的安全问题，提出基于数字证书的应用安全解决方案。

2天威诚信安全解决方案

2.1总体框架

PKI技术使用成熟的公开密钥机制，综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务，通过建设CA（CertificateAuthority，证书认证中心）认证中心为用户签发数字证书，用户在业务系统中使用证书，完成用户的身份认证、访问控制以及信息传输的机密性、完整性和抗抵赖性。

PKI技术已经被广泛应用于电子商务和电子政务，被证明是基于互联网的电子商务和电子政务安全的最佳解决方案。

天威诚信根据客户的安全需求，基于自身在PKI/CA领域的技术优势，采用自主开发的PKI产品——iTrusCA系统，为客户提供了完善的安全解决方案，解决方案总体框架如下图所示：

图1解决方案总体框架图如图所示，解决方案总体框架包含如下几个基本思想：

一、采用天威诚信iTrusCA系统，为客户建设一个小型的CA认证系统，为客户OA系统用户颁发数字证书，提供安全认证服务。

二、客户OA系统利用SSL（SecureSocketLayer，安全套接字协议）技术集成数字证书的应用。

用户登录OA系统时，必须提交CA认证系统颁发的用户证书，系统通过用户证书来实现身份认证和访问控制，同时通过加密技术和数字签名技术，实现信息传输的机密性和抗抵赖性。

三、用户证书保存在USB令牌中，USB令牌是一种安全的证书存储介质，可以保证保存在USB令牌上的证书私钥不能够被导出。

另外，使用USB令牌，员工可以在外地或网吧，访问公司的OA系统，提交保存在USB令牌上的用户证书，实现移动办公的需求。

以下，将分别对方案总体框架描述中CA认证系统和OA系统安全集成方案进行设计。

2.2CA认证系统设计

CA认证系统负责为客户提供安全认证服务，本方案采用天威诚信iTrusCA产品进行设计和建设。

天威诚信iTrusCA系统是参照国际领先的CA系统的设计思想，继承了国际领先CA系统的成熟性、先进性、安全可靠及可扩展性，自主开发的、享有完全自主知识产权的数字证书服务系统。

系统具有完善的功能，能够完成从企业自主建立小型CA到政府、行业建立大型服务型CA等全面的需求。

2.2.1认证体系设计

认证体系是指证书认证的逻辑层次结构，也叫证书认证体系。

证书的信任关系是一个树状结构，由自签名的根CA为起始，由它签发二级子CA，二级子CA又签发它的下级CA，以此递推，最后某一级子CA签发最终用户的证书。

认证体系理论上可以无限延伸，但从技术实现与系统管理上，认证层次并非越多越好。

层次越多，技术实现越复杂，管理的难度也增大。

证书认证的速度也会变慢。

一般的，国际上最大型的认证体系层次都不超过4层，并且浏览器等软件也不支持超过4层的认证体系。

本方案设计的客户的CA认证系统采用如下图所示的认证体系：

图2客户CA认证体系图

如图所示，认证体系采用3层结构：

n第一层是自签名的客户根CA，是处于离线状态的，具有客户的权威性和品牌特性。

n第二层是由客户根CA签发的客户子CA，处于在线状态，它是签发系统用户证书的签名CA。

n第三层为用户证书，由客户子CA签发，从用户证书的证书信任链中可以看出整个客户的CA认证体系结构，用户证书在客户的应用范围内受到信任。

2.2.2系统模块构成

天威诚信iTrusCA系统采用模块化结构设计，采用iTrusCA系统建设的客户CA认证系统的系统模块构成如下图所示：

图3系统模块构成图

如上图所示，整个CA认证系统由RA管理员、CA管理员、最终用户、RA注册中心、CA认证中心等几个部分构成：

（1）最终用户

最终用户是CA认证系统的最终服务对象。

通过CA认证系统，最终用户申请获得数字证书，并进行各种各样的证书管理工作。

这些最终用户证书管理功能包括：

证书申请、证书下载、证书查询、证书更新，等等。

同时，除了证书管理，最终用户还是证书使用者，相关的应用使用最终用户客户端密码模块存放的证书和私钥，来完成签名或加密等处理。

最终用户不直接和CA认证中心打交道，所有处理通过RA注册中心进行审批并转发。

在证书申请时，最终用户使用客户端密码模块产生密钥对，将私钥保存，将公钥和申请信息一起提交。

当证书申请被批准后，最终用户将证书下载到客户端密码模块中。

（2）RA管理员

RA管理员负责管理RA系统以及处理RA端的用户请求，包括批准证书，废止证书，拒绝请求，通知用户下载，管理员维护等处理。

RA管理员通过双向SSL访问RA管理员站点进行管理。

第一个RA管理员在RA创建时自动产生，后续管理员通过第一个RA管理员批准产

生。

（3）CA管理员

CA管理员负责对CA认证系统，RA帐户及RA管理员进行管理。

第一和第二个CA管理员的证书在系统初始化时产生，其他的CA管理员由两个CA管理员共同批准。

除了批准其他CA管理员证书请求功能以外，还可以对各RA帐户进行管理，包括RA帐户批准、创建、修改；以及对RA管理员证书的批准、吊销等管理。

整个系统的策略配置，以及操作审计日志也由CA管理员管理。

（4）RA注册中心

RA注册中心是证书服务中心。

它一方面面向最终用户，提供相关证书服务的访问界面；另一方面面向RA管理员，提供RA管理的功能。

所以这些功能都是通过与CA处理中心通信，从CA中心获得这些服务。

RA注册中心对最终用户提供的证书服务功能包括：

证书申请、证书查找、证书下载、证书吊销、证书更新等等。

而RA管理员可以完成证书批准、吊销、RA策略设置等功能。

RA与最终用户之间使用服务端鉴别的SSL协议通信，RA与CA之间使用专门的安全通信协议。

RA注册中心由RA用户服务中心、RA管理服务中心、RA处理中心、RA数据库构成：

lRA用户服务中心面向最终用户为最终用户提供证书生命周期服务的界面。

通过RA用户服务中心，用户可以进行各种类型证书的申请、查找、下载、吊销、更新等证书管理功能。

RA用户服务中心全部基于Web技术，业务界面可定制。

lRA管理服务中心提供给RA管理员管理界面，管理中心只接受持有有效管理员证书并且在CA数据库中拥有合法帐号的RA管理员。

通过HTTPS协议访问管理中心，RA管理员批准、拒绝用户证书请求，管理用户帐号，及管理员帐号。

通过RA管理中心，RA管理员还可审计管理员操作，统计RA发证情况。

lRA处理中心与CA处理中心的核心模块对应，RA处理中心是RA端业务处理的核心，它负责对证书申请的批准、吊销、拒绝，负责处理来自RA用户服务中心和RA管理服务中心的业务请求，同时也负责管理RA数据库。

RA处理中心具备业务可扩展性，通过RA处理模块提供的业务接口，可以在RA端发布证书到LDAP，也可在证书批发流程中加入为企业定制的业务计算。

lRA数据库保存用户注册信息、颁发证书信息、以及RA管理日志等RA相关数据。

（5）CA认证中心

CA认证中心是整个CA认证系统的核心，其中包括了证书服务的主要功能。

整个CA认证系统分为前台、后台两部分，前台主要用于与外界的交互及进行信息转换。

后台完成核心的操作。

CA前台包括：

证书目录服务器（LDAP）、证书吊销表服务器（CRL）、证书状态查询服务器（OCSP）、时戳服务等等。

后台包括：

证书管理服务器，系统管理服务器，证书数据

库，签名服务器和密码设备等。

CA认证中心由LDAP服务模块、CRL服务模块、CA管理服务中心、CA处理中心、CA数据库、密码模块等构成：

lLDAP服务模块RA策略中将证书发布到LDAP目录中，CA认证系统向外提供LDAP

查询服务，用户可以使用LDAP协议查询所有CA颁发的证书。

lCRL服务模块CA认证系统向用户提供证书吊销服务，CA处理中心根据各RA的策略定时发布证书吊销列表。

lCA管理服务中心CA对RA、CA管理员提供管理服务。

包括申请、管理CA管理员证

书，配置CA策略；申请配置RA帐号，申请、管理RA管理员证书，等等。

lCA处理中心CA处理中心核心模块是整个CA端的核心部分，也是整个CA的枢纽部分，它提供核心的业务计算。

他负责证书的签发、吊销、更新，负责处理来自前台的业务请求，同时也负责管理CA数据库。

CA端大部分系统功能都是由CA处理中心核心模块在后台提供的服务实现的。

lCA数据库保存用户注册信息、颁发证书信息、RA帐户信息以及CA管理日志等CA

相关数据。

l密码模块支持软件、硬件方式提供CA密钥管理，证书、CRL签发等密码功能。

2.2.3系统功能设计

天威诚信iTrusCA系统具有完善的功能，采用iTrusCA系统设计的客户CA认证系统也具有完善的功能，包括：

（1）证书签发

通过CA认证系统，能够申请、产生和分发数字证书，具有证书签发功能。

用户访问CA认证系统，提交证书申请请求，申请数字证书；RA管理员访问管理员站点，审查和批准用户的证书申请请求；CA认证中心根据RA管理员的批准，签发用户证书，并将数字证书发布到目录服务器中。

用户CA认证系统，获取签发的证书。

系统使用XML描述X509证书格式和内容，可灵活配置签发证书的证书类别、语言种类、证书格式和证书内容：

l支持标准的X509证书版本，支持X509v1/v3；

l多语种，支持用户DN采用各语种模式（目前实现中英文）；

l支持自定义证书扩展项；

l能够签发各种用途的证书，包括用户证书和VPN证书。

（2）证书生命周期管理

通过CA认证系统，可以实现证书的生命周期管理，包括：

l证书申请最终用户使用浏览器，访问CA认证系统，可以进行证书申请，在线提交证书申请请求；

l证书批准管理员登录管理员站点，完成证书批准功能，可以查看和审批最终用户的证书申请请求；

l证书查询最终用户可以通过CA认证系统，查询自己或别人的数字证书；

l证书下载通过CA认证系统，可以下载签发的数字证书；

l证书吊销最终用户在使用证书期间，有可能会出现一些问题，如：

证书丢失、忘记密码等，最终用户就需要将原证书吊销。

用户吊销证书时，可以直接访问CA认证系统，在线的向CA提交证书吊销请求，CA认证系统根据用户的选择，自动吊销用户的证书，并将吊销的证书添加到证书吊销列表（CRL）中，按照证书吊销列表的发布周期进行发布；

l证书更新在用户证书到期前，用户需要更新证书，用户访问CA认证系统，查询用户的证书状态，对即将过期的用户证书进行更新。

（3）CRL服务功能

CA认证系统支持证书黑名单列表（CRL）功能，能够配置指定RA的CRL下载地点及CRL发布时间。

CA认证系统定时产生CRL列表，并将产生的CRL发布至Web层CRL服务模块，可以通过手工下载该CRL。

（4）目录服务功能

CA认证系统支持目录服务，支持LDAPV3规范，CA认证系统在签发用户证书时或者对证书进行吊销处理时，会及时更新目录内容。

证书目录服务的功能提供给用户进行证书查询的功能，用户可以通过电子邮件（Email）、用户名称（CommonName）、单位名称

（Organization）和部门名称（OU）等字段查找CA认证系统签发的用户证书。

（5）CA管理功能

CA认证系统具有完善的CA管理功能，包括：

l管理员管理

nRA管理员管理，包括初始化RA管理员申请、增加RA管理员、删除RA管理员；

nCA管理员管理，包括初始化CA管理员申请、后续CA管理员证书申请、吊销

CA管理员证书。

l账号管理

n个人账号管理，包括注册信息，证书信息等管理；

nRA账号管理，包括RA账号申请、批准、吊销、额外管理员证书申请等。

l策略管理

n证书策略配置管理，高度灵活和可扩展的配置CA所签发证书的有效期、证书主题、证书扩展、证书版本、密钥长度、证书类型等方面；

nRA策略配置管理，包括语言、联系方法、证书类型、是否发布到LDAP等；

nCA策略配置管理，包括证书DN重用性检查、CA别名设置等。

（6）日志与审计功能

系统具有完善的日志与审计功能，可以查看和统计各种日志，并进行审计，包括：

l统计各CA、RA账号证书颁发情况；

l记录所有RA与CA的操作日志；

l对所有操作人员的操作行为进行审计。

（7）CA密钥管理

系统支持CA密钥管理功能，包括：

lCA密钥产生和存储（软件与硬件）；

lCA密钥归档与备份。

2.2.4系统网络架构

iTrusCA系统的所有模块可以安装在同一台服务器上，也可以采用多台服务器分别安装各模块。

根据客户的实际需求，采用单服务器安装整个CA认证系统，系统网络架构如下图所示：

图4系统网络架构图

如图所示，将iTrusCA系统的CA认证中心和RA注册中心各模块安装在CA服务器上，为了保证系统的安全，CA服务器必须位于安全的区域，即采用防火墙与外界进行隔离。

最终用户使用浏览器，访问CA服务器，进行证书申请和管理。

管理员（包括CA管理员和RA管理员）使用浏览器，访问CA服务器，进行证书管理和CA管理。

2.2.5软硬件配置需求建议

整个CA认证系统采用单服务器模式配置，系统软硬件配置需求如下：

系统软硬件需求

模块

数量

平台

配置

备注

CA系统硬件

CA服务器

1

PC服务器

硬件：

P41.5GHz,512MRAM,HD50G

软件：

Windows2000Server，IIS5.0

iPlanetDirectoryServer4.1Oracle

其中硬件配置为建议配置，可以根据客户的实际硬件配置而定

CA系统软件环境需求

数据库软件

1

Oracle

应用/Web服务器

1

IIS5.0以上

LDAP目录服务软件

1

iPlanetDirectoryServer4.1

CA系统信息、网络以及逻辑安全

防火墙

1

可选

入侵检测系统

1

可选

防病毒系统

1

可选

2.2.6系统工作流程设计

（1）证书发放流程

本方案设计的客户CA认证系统的证书发放采用用户自行申请的方式，其工作流程如下图所示：

图5证书发放流程图

（a）最终用户使用浏览器，访问客户CA服务器，进入证书申请页面，填写证书申请信息，向客户CA认证系统提交证书申请请求。

在本地USB令牌上产生证书的公私钥对，并将公钥和用户信息一起作为证书申请请求，提交给CA服务器；

（b）CA管理员使用浏览器，访问CA服务器管理页面，查看用户提交的证书申请请求，验证申请信息，批准用户的证书申请请求；

（c）CA服务器根据管理的批准，签发用户证书，将用户证书发布到数据库中。

同时，给用户发送一封电子邮件，指导用户下载签发的数字证书；

（d）最终用户按照邮件的提示，访问CA服务器，下载签发的证书，证书下载时自动保存到用户的USB令牌中，证书申请结束。

（2）证书吊销流程

在用户证书的私钥受到威胁、或者用户私钥丢失时，需要吊销用户的证书，根据客户的应用情况，本方案设计证书吊销由CA管理员进行，其工作流程如下：

（a）CA管理员在发现用户违反使用规定，或者用户自己向CA管理员发送邮件，请求吊销自己的证书时，CA管理员访问CA服务器管理员模块，进行用户证书吊销用户；

（b）CA管理员通过证书管理功能页面，查询到需要吊销的用户证书；

（c）CA管理员选择吊销操作，选择吊销用户证书的原因，向CA服务器发送证书吊销请求；

（d）CA服务器根据CA管理员的证书吊销请求，自动的吊销用户的证书，并将吊销的用户证书发布到证书吊销列表中，同时对数据库中保存的用户证书的最新状态进行更新；

（e）CA服务器给管理员返回证书吊销成功信息，同时给用户发送电子邮件，告诉用户证书已经被吊销，不能再使用自己的证书。

（3）证书更新流程

最终用户在其证书即将过期之前，需要访问CA服务器，更新自己的证书，其流程为：

（a）最终用户在证书即将过期前（一般为一个月），访问客户CA服务器，登录用户服务页面，点击“证书更新”选项；

（b）系统自动识别用户是否具有客户CA认证系统颁发的数字证书，并且判断是否过期，如果即将过期，便提示进行更新；

（c）用户选择需要更新的证书，点击提交，向CA服务器提交证书更新请求。

在提交证书更新请求时，在USB令牌中，重新产生更新证书的公私钥对，将公钥和即将过期的证书一起，作为证书更新请求，提交给CA服务器；

（d）CA服务器自动批准证书更新请求，自动更新用户的证书，将更新的用户证书发布到目录服务器，同时将更新证书返回到用户端，自动保存到USB令牌中。

2.3OA系统安全集成方案

2.3.1系统安全原理

（1）身份认证和访问控制实现原理

由于客户的OA系统是B/S结构，利用Web服务器对SSL（SecureSocketLayer，安全套接字协议）技术的支持，可以实现系统的身份认证和访问控制安全需求。

目前，SSL技术已被大部份的WebServer及Browser广泛支持和使用。

采用SSL技术，在用户使用浏览器访问Web服务器时，会在客户端和服务器之间建立安全的SSL通道。

在SSL会话产生时：

首先，服务器会传送它的服务器证书，客户端会自动的分析服务器证书，来验证服务器的身份