admin管理员组文章数量:1539391
2024年5月18日发(作者:)
学界I研究园地
办公管理信息系统安全模型分析与设计
郭广明
摘要:安全模型的目的就是明确地描述系统的安全需要,设计一个安全系统的关键是要对设计与实现控制有一个清晰、全面的理解与
描述。本文分析了基于Intranet的办公管理信息系统安全模型的建赢,从Notes甲台的安全措施和系统设计中数据库的规划和管理等角
度进行了探讨。
关键词:办公管理信息系统;安全模型;Notes
1概述
1.1办公管理系统简介
办公管理信息系统(Office Administration Information Sys—
tem,OAIS)是一门综合性技术,它以计算机技术、通讯技术、多
媒体技术等装配办公系统,以达到提高效率,提高管理水平,做
到信息灵通、管理高效、决策正确的目的。它是一种特殊的管理
信息系统,是以行为科学为指导,以管理科学、社会学、系统工
程学等为理论基础,综合运用计算机技术、通讯技术和多媒体
技术服务于人们的日常办公活动的一种管理系统。OAIS也可
以与其他管理系统接口,形成决策支持系统,为领导决策提供
依据。总之,办公管理信息系统是一个包含多种学科、多种技术
的综合系统,是现代管理社会的重要标志。
办公管理信息系统的层次可分为三个层次,即事务型办公
管理信息系统、管理型办公管理信息系统、决策型办公管理信
息系统。其中事务型又可分为单机系统和可以支持一个机构各
办公室之间的基本办公事务处理和机关行政事务处理活动,即
以计算机和通信技术为中心的网络系统两种。
1.2基于Intranet环境的办公管理信息系统
上世纪九十年代伴随着计算机技术、网络技术,特别是In—
temet/Intranet技术高速发达的今天,才使得办公管理系统在互
联网上的应用显现出 大的活力。目前的办公管理系统产品也
与Intemet技术紧密集成,其代表是L0tus Domino/Notes就是一
个开放的、安全的企、 I系统平台,专门为协同工作而设计,它提
供了对Intemet流行标准的全面支持。F面我们进一步分析基
于Intranet的办公管理信息系统。
现代企事业单位往往呈现出集冈化、多元化的发展趋势,
同…个单位往往跨越较大的地理范围。这些企业需要及时了解
不同地理位置上的分支机构的运行状况,同 个企业内不 部
门、不同地域的员工之间也需要及时共享、交流大量的企业内
部信息。信息系统的集成化、网络化、分布式发展已成为必然趋
势。所谓信息系统的集成化是指系统能跨越多个软硬件环境来
支持多种途径的信息收集、加工和使用;而网络化和分布式是
相对于传统的集中式的C/S模式而言,是指大系统范围内各了
系统因各种客观条件(如地理位置、工作性质)的限制而相对独
立,通过连网,各种信息既能自治管理,又能覆盖整个系统,并
在许可范围内支持共享。同时,Intranet的发展满足了信息系统
发展的要求。所谓Intranet模式是利用tntemet技术,建立企业
内部信息网,拓展了客户机/月艮务器模式的概念,成为Internet
模式。
基于计算机支持的协同工作技术及Intemet、Intranet技术,
使得办公管理信息系统从传统的局域网平台过渡到Intranet平
台是办公管理信息系统发展的客观要求,Intranet平台下的办公
管理信息系统以最少的资源得到最大范围的信息共享。后面我
们将讨论基于Intranet环境的办公管理信息系统协作模型的安
全性问题。
28
广东科技2010 3总第233期
2办公管理系统安全模型
2.1计算机安全性概述
计算机安全指“为任何自动信息系统提供保护,以达到维
护信息系统资源(包括各类硬件、软件、数据信息及通信等)的
完整性、可用性及保密性的目的”。换句话说,计算机安全是计
算机技术的一部分,它以保证信息安全、防止信息被攻击、窃取
和泄露为主要13的,计算机安全性主要是指以下几个方面:
(1)数据完整性。信息可以及时、准确、完整无缺地保存;在
计算机网络上进行传输时,信息也不会被篡改。
(2)数据保密性。信息只能被特定用户得到,除此之外的任
何人无法访问;在计算机网络上进行传输时,信息也只能被发
送方和接受方访问。
(3)数据可信性。访问及接收信息的用户可以确保信息是
由其原作者或发送者创建和发送出来的。
(4)数据防伪/可鉴性。信息发送者应可以确保信息的访问
者是真实的;在计算机网络卜进行传输时,信息的接收者也是
真实的。
(5)数据不可否认性。信息的作者必须无法否认该信息是
由其本人创建的;在计算机网络上进行传输时,信息发送者必
须无法否认该信息是由其本人发送的。
具体到…一个办公管理信息系统,也存在安全性问题。办公
管理信息系统的安全性必须保证办公信息的数据完整性、数据
保密性、数据可信性、数据防伪/可鉴性、数据不可否认性。这是
办公管理信息系统不可回避的一个重要问题。
2.2办公管理系统安全模型设计
设计一个安全系统的关键是要对设计与实现控制有一个
清晰、全面的理解与描述。安全模型的日的就是明确地描述系
统的安全需要。安全模型大致可以分为两类:自主型安全模型
和强制型安全模型。
在自主型安全模型中,用户对信息的存取控制是基于用户
的鉴别和存取访问规则的确定;每个用户都要赋予对系统中每
个存取对象的存取权限,或者容许读取,或者容许写入等等。在
自主型安全模型中,当一个用户要访问某个资源时,系统检查
该用户对资源的所有权,如果通过,则允许该访问在许可的范
围内进行;如果检查不通过则拒绝继续访问系统。
强制型安全模型通过无法回避的存取控制来防止各种攻
击。在强制安全控制下,系统给主体和客体分配了不同的安全
属性,这些属性在单位安全策略没有改变之前是不可能被轻易
改变的。系统通过对主体和客体的安全属性的匹配比较,决定
是否允许访问继续进行。基于角色的存取控制是强制型安全模
型中有代表性的一种。
在办公管理信息系统中,最主要的网络对象是办公处理过
程中的各种文档。这些文档根据公开程度可以分为公开文档和
不公开文档。
所谓公开文档就是发布在公共的信息发布场合的文档。公
开文档又可以分为两类,一种是限定只能在办公网内存取,比
研究园地I学界
如单位的一些内部通知、决议等。另一种是可以向整个Internet
公开的文档,比如政务公开,单位、部门介绍等。公开文档的安
全性是由办公网的安全性决定的,这里我们只讨论不公开文档
的安全性。
不公开文档根据它的存取级别又可以分成三个层次,一种
是在单位、部门级领导之间流动的文档称为A级文档;一种是
在中层领导和科处室级领导之间流动的文档,称为B级文档;
第三种是对所有的办公用户开放的文档,称为C级文档。
将办公系统中的不同办公人员赋予不同的角色,例如,单
位、部门领导,科处级,文书等。当用户要进行某种操作或打开
某个文档时,系统会考察用户所具有的角色是否符合本操作或
文档的权限要求,如果不符合则会拒绝这一请求。
本系统的安全性~方面是基于下文将要分析设计的基于
Notes本身提供的安全措施,如Notes对用户的认证、数据库存
取控制等:另一方面基于系统设计实现系统的安全。
Notes本身的一切安全措施以用户的认证为基础,Notes系
统通过一个用户的身份文件fID1及口令共同实现对用户身份的
确认,也就是说:在办公系统中提供了某个用户的ID文件及正
确口令的人即被确认为该用户,可以通过该用户的身份进行办
公活动。
为了对用户角色进行考察在系统中设计了系统管理数据
库(systemmanage.us0,该数据库是系统的安全核心。在这个数据
库中,由系统管理员给不同的用户指定不同的角色,并在今后
工作岗位变动时随时可以修改。系统中其他数据库,例如发文
审批表中设置会签人时,需要从系统管理数据库中读取出所有
的处级领导的姓名及邮件地址以供用户选择。
由此可见,系统管理数据库在办公管理信息系统中的重要
性,该数据库只有系统管理员是编辑者,其他办公用户fdefauit1
均为读者,而匿名用户fanonvmous对该数据库既不可写也不可
读,从而保证该数据库的绝对安全。
2.3基于Notes的办公管理信息系统的安全实现
Lotus Notes作为一种通用的群件平台,从服务器级、数据
库级到文档级,直至字段级整个结构的安全性,均具有完善的
安全措施。Notes群件系统既具有坚固的安全措施以确保其关
键数据,又有灵活的安全手段,因此可以对数据库的访问设置
不同的权限,以便用户进行管理和在应用程序开发中控制办公
管理信息系统的安全。
2.3.1 Notes和Domino提供的安全级别
oLtus Notes系统的安全性措施从上到下有九层,最上层限
制Domino服务器所在的网络,最下一层涉及文档内的域级别
的安全性,如图1所示。
(1)网络安全性
对于网络的安全
性主要考虑以下几
点:
①防止内部网络
的敏感信息传播到外
部网络。
②防止未授权的
用户对网络的访问。
.
③防止对网络数
据的截取和检测。
要实现以上几
点, 在Notes/Domin0
图1 Notes提供的安全措施
的客户机与服务器,
或服务器与服务器之
问通信时,可以使用网络端口加密,对网络传递的数据进行加
密,保证网络传输安全。
(2)服务器安全性
在Domino目录下的服务器文档是用于控制访问Domino
服务器权限的。在服务器文档“Securitv”区段可以设置以下项
目:
①选择是否与保存在通讯录中Notes公用密钥比较。
②是否允许匿名Notes链接。
③是否启用检验Notes标识符口令。
为了控制用户和服务器访问其他服务器,Domino使用
“Server"文档中指定的设置,以及校验和验证的规则。如果服务
器校验并验证了Notes用户或服务器,而且“Server"文档中的设
置允许访问,那么用户或服务器就可以访问这台服务器。拒绝
访问可以防止指定服务器或用户访问服务器上的所有应用程
序。
(3)用户认证
Domino系统具有严格的用户认证系统,所有的安全措施都
建立在可靠的用户认证的基础上。Notes的认证过程依赖于验
证字fCertiifcate卜一在用户和服务器之间表明信任关系的电
子证书。验证字保存在Notes标识符文件中。每当系统管理员在
Notes系统中注册一个新的用户或者服务器,系统会为用户和
服务器创建一个标识符文件,并把它放置到Domino目录中。当
一
个Lotus Notes用户尝试链接到Lotus Domino服务器时,客户
端和服务器将交换它们之间的验证字。通过检查验证字,客户
端将识别和鉴定服务器,而服务器也将识别和鉴定用户。
(4)数据库存取控制、
每个数据库包含一张存取控制列表,Notes用它来决定用
户和服务器对于该数据库所拥有的存取级别。赋予用户的存取
级别决定了用户可以在数据库上执行什么操作,而赋予服务器
的存取级别则决定服务器在数据库复制时所能交换的信息。
只有对数据库拥有“管理者”权限的用户,才能创建和修改
这个服务器上数据库的存取控制列表。
(5)设计元素的存取控制
①视图和文件夹的存取控制
控制用户对视图和文件夹的读权限及文件夹中文档的更
新权限,但视图或文件夹读取权限列表不是真正的安全特性,
因为用户可以创建私人视图或文件夹,来显示包含在限制的视
图中的文档。
⑦表单存取控制
为了限制对使用某个表单创建文档的存取权限,可以在表
单属性框的安全部分指定表单的“读”和“创建’,j叉限。表单安全
性可以细化数据库存取控制列表(ACL 1,使数据库安全设计具
有更大的灵活性。可以通过限制用户“阅读”的权限来限制阅读
使用某个表单创建的文档。而且可以限制用户用这个表单创建
文档,即使他们对数据库具有作者或更高的权限。
(6)文档级存取控制
在文档中包含特殊的域来控制对该文档的存取,这些域是
“读者”域、“作者”域和“签名”域。
为了限制对使用某个表单创建的特定文档的存取权限,可
以在表单中包含“读者”域,在该域中列出可以阅读使用表单创
建文档的用户。“作者”域和数据库ACL中的“作者”存取权限的
联合使用,可以使得用户仅有权修改或删除他自己创建的文
档。
为了加强安全性,可以在文档中附加电子签名。Notes将签
名域中的数据和发送者用户标识符中的私有密钥结合起来创
建独一无二的电子签名,并将电子签名与发送者标识符中的公
用密钥和验证字列表一起存储在文档中。当用户打开包含电子
签名域的文档时,Notes用比较文档作者的公共密钥和电子签
广东科技2010.3总第233期
学界I研究园地
名的方法校验签名。
(7)文档中的存取控制区段
存取控制区段除了用于表中折叠或展开某一个区域以外,
还用于控制区段中对象的编辑存取权限,使得只有包含在限制
存取区段控制列表中的用户才有权限编辑区段中的内容。文档
中可以有多个存取控制区段。
2.3.2安全性设计
在办公管理信息系统的实现中不仅需要综合运用Notes提
供的各种安全措施保障办公信息的安全,还要根据实际情况改
进和完善各项安全措施。Notes应用系统的开发是基于数据库
设计的,其安全性也离不开数据库的合理规划和设计。在本系
统的开发中,我们以完成系统目标和保证系统安全为前提,进
行数据库的全面规划。例如,由单位的发文管理库管理发文的
签发权限;发文归档数据库只南单位文书进行写操作等。为了
方便地实现对用户的安全性管理,我们建立了单位、部门级领
导群组,科处级领导群组,普通员工群组等,他们对各数据库及
库中的文档具有不同的权限。下面我们分别讨论系统中各模块
的安全性。
(1)收文管理安全性
收文管理的安全性通过数据库的安全性、表单的安全性、
存取控制区段、数字签名等安全性措施的综合运用和脚本设计
共同保证。
首先在收文管理数据库的存取控制列表巾,指定单位、部
门级领导群组为本数据库的编辑者,但不具有对文档的创建和
删除权。文书为此数据库的编辑者,可以建立和删除文档。特别
地,要指定default为不能存取者,以确保一般的办公用户对此
数据库不能存取。数据库的存取控制列表是对此数据库存取的
一
个很粗的限制,需要由其他的安全措施进… 步细化。
为了限制公文审阅流程中的各个人只能在相应的位置签
阅,需要利用存取控制区段,各个区段的编辑者根据设置的文
件评阅人计算得出。这样各个阅文人只能在自己的区段签批,
对其他区段没有编辑权限,从而保证某个区段上的批阅意见一
定是指定的某位领导的,而不可能是其他人的。
在应用存取控制区段的同时,还可以将区段中的域设置为
签名域,Notes将签名域中的数据和发送者用户标识符中的私
有密钥结合起来创建独一无二的电子签名,使读者可以确认作
者的身份,并确认区段信息在作者邮寄或保存过程中没有被他
人修改。
用存取控制区段和签名双保险可以确保公文信息的安全,
但办公人员往往对自己手写的签名更加信任。为了消除用户的
疑虑,便于系统的推广,可以考虑在表单中需要签名的地方,创
建用来粘贴签阅人的手写签名的域qm,类型为RTF。建立本地
的用户个人信息,将用户的手写签名通过扫描输出为BMP文
件,将文件名的完整信息f包括路径1记入用户个人信息,由用户
自己维护。如果计算机为若干用户公用时,可以个人分别设置
自己的路径信息,签名脚本粘贴的是当前用户的手写签名。当
用户输入焦点进入Ⅱm域时,系统自动调用如下的Lotusscripts,
即可将签阅人的手写签名粘贴到文档中。基于模块化思想,本
脚本以过程形式写在收文管理的脚本中,只需在各签名fqm)域
的Entering事件中调用即可。
Sub qm
Dim WS as notesuiworksDace
Dim uidoc as notesuidocument
Dim doc as notesdocument
Dim db as notesdocument
Dim view as notesview
Dim notes as notesdocument
30
广东科技2010.3总第233期
Set db=new notesdatabase(…’,names.nsO
Set view=db.view(”grxx”)
Set note=view.getdocumentbykeyf‘签名路径’
If note is nothing then
Messagebox“您没有设置签名文件的路径,请使用个人
信息管理”
End if
Call uidoc.import(”bmp”,note.1j(o))
End sub
(2)发文管理的安全性
发文管理的安全性主要考虑以F几点:
①尚未成文的发文应该限制其传播范围,即不能公开。
⑦单位、部门级发文的成文和发文工作权应在两办的文
书;职能部门的白发文则由本部门的文书负责。
③发文未由指定的签发人签发,不得进行发文处理工作。
(3)信息发布的安全性
信息发布的安全性必须注意到,一方面要保证某种信息只
有指定的办公用户有权发布,另一方面要保证发布信息的安全
性,在信息发布中需要授权不同的用户有发布不同信息的权
限, 时只有作者可以修改和删除自己发布的信息,例如教务
处发布的教务信息其他人不得删除、修改。除了这两点之外,系
统还应该能够自动记录信息发布者的身份信息,以便对信息发
布责任进行追究。
基于卜述考虑,在实现信息发布时的安全需要借助系统管
理数据库来实现,信息发布的权限由系统管理中的信息发布栏
口授权管理,系统管理是安全性设计的核心,它由系统管理员
配 ,其他用户均为读者。其中的信息发布栏目视图中有栏目
名称和授权人两列,按栏目名称排序,以方便检索。信息发布的
安全性具体实现由以下两方面完成。
①利用作者域实现仅能删除和修改自己发布的信息。
信息发布数据库f xxfb f)的存取控制列表中设置default
为作者。News表单中创建作者域author,author域中记录发布信
息作者的用户名。当用户要修改或删除已发布的信息时,Notes
自动检查当前用户是否包含在“作者”域中,若没有包含,则不
允许修改和删除信息。
⑦确认用户的信息发布权限
当用户点击新信息操作按扭时,弹出对话框请用户选择栏
目,以便检索系统管理库,核对当前用户是否有权发布该栏目
信息。
3小结
安全性对于办公管理信息系统的成功实施具有重要意义。
本文中,我们讨论办公管理信息系统的安全措施,建立了基于
Lotus Notes的办公管理信息系统的安全模型,并通过数据库的
合理设计、综合运用Notes的安全措施、脚本设计等手段实现了
系统安全的目标。当然系统的安全是需要在实践中检验的,在
系统中必然还有需要我们不断改进和完善之处。
参考文献:
『1]莲花软件f中国)有限公司著,L|otus Domino R5安全技术,机
械工业出版社,2000.6
f21北京义驰美迪技术开发有限公司编,Lotus Notes R5应用开
发指南,海洋出版社,2000.1
『31张淞芝等.办公室自动化系统原理及应用,1994
(作者单位:广东科学技术职业学院)
版权声明:本文标题:办公管理信息系统安全模型分析与设计 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1716016231a481825.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论