李建东

蒙自市电子政务管理中心 云南 661199

0 前言

20世纪90年代电子政务开始产生。有些专家认为，所谓电子政务，就是应用现代信息和通信技术，将管理和服务通过网络技术进行集成，在互联网上实现组织结构和工作流程的优化重组，超越时间和空间及部门之间的分隔限制，向社会提供优质和全方位的、规范而透明的、符合国际水准的管理和服务。作为电子政务的一个重要系统之一的OA系统(Office Automation System)也应随着电子政务的产生应运而生,并在近年来获得了较快的发展。我们所使用的 OA系统主要包括收发文管理、信息管理、个人事务、办公管理、档案管理、车辆管理、会议管理等功能。这一系统可从收发文、呈批件、档案管理、会议通知等都采用电子起草、审批、签发、传阅、归档等电子化流转方式，从而实现无纸化办公，极大地减少了办公室人员的工作负担，有效缩短了公文传阅的时间，提高了行政办公效率，大大节省了办公费用。由于OA系统将办公信息转化为电子信息，通过计算机网络流传，所以 OA系统可能存在许多网络安全性隐患,如：未授权访问、破坏数据完整性、DOS类攻击、网络攻击等等。因此OA系统的安全性设计非常重要。

2010年6月，我作为某市电子政务管理中心的一名工程师，组织软件公司和网络公司开发我市的OA系统，在本系统的开发中，我负责完成整个系统的设计和项目管理的工作。在OA系统的安全性设计方面，提出了系统架构的选择、采用严格的认证机制、数据完整性保证、通讯安全性四个方面的设计方案，并给予实现。以下以我市OA系统开发为实例，谈一谈我对OA系统安全性设计的思路。

1 系统架构的选择

目前流行的层次架构风格主要有三层C/S架构和B/S架构。三层C/S架构将应用功能分成表示层、功能层和数据层三个部分，表示层(客户端软件)完成用户与应用间的对话功能，三层C/S架构被称为“瘦客户机”。而B/S架构将应用功能分成了浏览器、Web服务器、数据库服务器，浏览器完成用户与应用间的对话功能，实现了“零客户机”。三层C/S架构的主要优点有：(1)具有强大的数据操纵和事务处理能力。(2)数据安全性较高。(3)数据查询响应速度快。(4)数据的动态交互性强。B/S架构的主要优点有：(1)客户端无需安装软件。(2)升级和维护简单。(3)传播范围广和容易传播。基于各单位办公用户对响应速度、事务处理、安全性等的要求，我们在各单位局域网内采用三层C/S架构。基于外出移动办公用户方便使用的要求，我们对外出用户使用B/S架构。整个OA系统采用三层C/S架构和B/S架构混合架构。架构如图1所示。

图1 OA系统整体架构

2 采用严格的认证机制

从系统的安全性出发,将系统的用户分为两级：第一级为系统管理员；第二级为一般用户(OA系统的使用者)。系统管理员可分为全市的系统管理员和单位的系统管理员，单位的系统管理员由全市的系统管理员创建，系统的所有一般用户都由系统管理员负责创建和管理。全市的系统管理员和单位的系统管理员的用户名和口令由自己定义，而自己定义后的口令均采用 Hash加密算法对口令进行加密处理，处理后再导入数据库，因为数据库中储存的是密文，所以就算入侵者进入数据库中获得的也是密文。一般用户的用户名为了便于记忆和区分，定义为单位拼音缩写加姓名，而初始口令是随机生成的，系统管理员通过激活手机短讯发送给每个一般用户。随机生成的初始口令或以后用户更改后的口令在自动导入数据库之前也要经过算法转换，算法可随意设置。用户口令必须达到一定的长度，系统会建议每二周修改一次口令。

用户在登录系统时必须经过三级验证，第一级是要求输入用户名，输入后和数据库中保存的所有用户名逐一比较，若完全相同则进入下一步，否则提示用户重新输入，系统提供二次输入机会，两次都错则退出系统。用户名输入正确后，用户下一步该输入口令，口令输入正确则可进入下一步，否则提示用户重输，系统提供三次重输的机会，如果三次均错则冻结账户，必须系统管理员才可以解开。用户输入的口令在和数据库中保存的合法用户口令比较之前也要经过算法转换，算法可随意设置。使用验证码可以增加黑客破解密码的难度，也能防止DOS一类的攻击。在OA系统的验证码设计中采用了动态生成图像验证码技术，验证码由系统随机产生的数字、符号、汉字等通过图像验证码程序稍做改动,如加入扭曲、变形字符、动态背景等等后组成，以干扰非法用户识别。当用户名和口令验证通过后，就进入第三步，输入验证码。验证码输入正确则可进入下一步，否则提示用户重输，系统提供三次重输的机会，如果三次均错则冻结账户。

3 数据安全性保证

对于OA系统的数据安全问题，我们通过两个方面的措施来保证，一是记录用户操作的日志；二是定时备份数据库。

我们对定制用户的每一个定制操作及取消定制操作都进行了日志记录，以便于查找定制用户是否正常使用系统和检查用户的定制范围是否在授权范围内。系统管理员可以对用户信息进行维护，对用户权限进行管理，以及对系统基础数据维护。我们对管理员的每一个操作也进行了日志记录。日志记录不但可以用于查询管理员和定制用户的操作历史记录，还有助于分析系统其它的功能问题，防止用户的误操作。日志文件的阅读权仅授予系统管理员，以加强对OA系统的控制管理。

我们在 OA系统中设计了一个备份控件，用它来调用UNIX服务器下的定时任务，通过定时任务可以自动对系统的数据进行备份；并且可以根据需要选择自动备份的具体时间如一小时一次、一天一次，一周一次等和备份的内容。对系统自动产生的备份文件，我们在OA系统中设计了一个导出控件，可以把备份文件导出到移动硬盘上，防止服务器出问题时数据的丢失。

4 数据完整性保证

为了让接收方能够鉴别发送方所宣称的身份；防止发送方否认所发文件的内容；防止接收方篡改收到文件的内容，可以采用数字签名技术。常用的数字签名算法是RSA。如果把RSA算法引入OA系统中，所有需要数据签名的环节都需要创建相应的数字签名，并且所有的数字签名信息都需要存入数据库，以备以后验证之用。这样无疑增加了OA系统的负载，使性能有很大的下降。经过研究我们决定选用第三方软件——金格电子签章系统，这一系统既可盖章又可以作为数据签名使用，该系统采用了PKI机制，使用存有由CA中心授予独一无二的数字证书的usbkey，usbkey里面可以导入本单位的章，当发送方将本单位的文件盖上章保存并发送后，如果文件在传输过程中被篡改，或者接收方篡改了文件，签章上将出现灰色的二条粗线，表示签章无效。由于经过了CA中心颁证，发送方的身份也可以鉴别。这样既达到了单位盖章的目的，又达到了数据完整性，同时也不会增加 OA系统的负载。

5 通讯安全性

OA系统的业务数据在网上传输安全性要求很高，而业务数据通过的物理路径环节较多，数据在传输过程中极有可能被盗用、暴露、假冒和篡改，因此必须保证通讯的安全性。通过安全性、性能、价格三方面的权衡，我们从外出移动公办用户和各单位办公用户两块进行设计。对于外出移动公办用户不可能通过专网登录 OA系统，只能通过internet进行登录，而由于 internet线路的开放性，数据传输的安全性最差。对于这一块我们采用了SSL VPN。SSL VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。在服务器和internet之间，我们放置了一台H3C secpath V1000-A-AC千兆VPN网关，系统管理员可把由VPN网关生成的VPN账号根据需要分配给需要移动办公的用户，这样保证了移动用户登录OA系统的安全性。而对于各单位办公用户我们通过20兆OA系统专线接入各单位的internet防火墙或路由器，通过在防火墙或路由器里写明细路由的方式让各单位局域网内既可以上internet网，同时又可以通过OA系统专线登录OA系统，从而使安全性和速度两方面都得到了保证。

由于该系统安全性设计的较为完善，该系统的安全性得到了保障。目前，该系统已经顺利运行了两年多，均未出现安全性问题，达到了预期的目标，得到了市领导的一致好评！

[1]黄居源.地级市电子政务网站运行情况分析[D].山东:山东大学硕士学位论文.2008.

[2]杨春晖,孙伟,等.系统架构设计师教程[M].北京:清华大学出版社.2009.

[3]丰继林,刘庆杰等.计算机网络工程与实践[M].北京:清华大学出版社.2005.

[4]高传善,钱松荣,毛迪林.数据通信与计算机网络[M].北京:高等教育出版社.2002.

[5]冯昊,黄治虎,伍技祥.交换机/路由器的配置与管理[M].北京:清华大学出版社.2005.