【摘要】根据军工企业信息化工作的实际情况,结合军工企业办公应用和安全应用需求,帮助企业进行业务梳理、系统架构和安全特性设计,实现了适合军工企业办公特色,在涉密网络环境应用的安全增强协同办公系统。通过部署实施和使用,系统较好地满足了企业安全化和专业化的办公管理需求,提高了企业办公效率和企业核心竞争力。
【关键词】办公自动化;平台;安全;权限控制
【中图分类号】TP39【文献标识码】A DOI: 10.3969/j.issn.1000-386x.2013.01.001
1引言
根据军工集团公司“十二五”信息化建设的总体要求,军工各企业单位信息化快速推进,迫切需要通过信息化手段来加强企业精益化管理,实现企业战略一致、组织扁平、流程结合、信息集中和资源共享。
办公自动化系统是各企业需要首要实现的信息化系统之一。在产品选择上,一些企业通过购买市场成熟的办公自动化系统软件产品,有些企业则邀请外包软件企业进行系统开发;在功能建设上,有的企业建设了公文管理的基本功能,有些企业则包括了合同、人员考评等辅助功能。办公自动化系统的建设在很多方面没有遵循统一的设计标准,企业都按照自身的管理思路来进行系统建设,缺乏一套通用性较强,遵循国家相关安全保密规定要求,适合军工办公业务特色的办公自动化系统。
2系统建设目标
根据分析军工企业的办公业务特点,进行业务抽象,建设一套具有统一协同工作、统一流程整合、统一安全管理、统一集成管理等特性,满足企业日常办公的需要,适合在涉密环境中使用,确保处理涉密信息安全可控,具有军工特色的企业级协同办公系统。
通过部署实施协同办公系统,迅速有效提高军工企业的办公工作效率,使企业各单位用户通过相应权限分配,很好地实现对日常办公事务的管理,实现企业各单位、各部门在涉密网络环境中高时效地协同工作,提升公司管理,促进企业发展,提高企业整体信息化水平。
3系统总体设计
3.1系统设计原则
3.1.1 安全性原则
安全保密是军工企业进行信息化建设的关键问题之一,根据军工企业办公特点,协同办公系统涉及到企业的重要信息,因此安全性需要放在首位进行考虑。系统要有完善、周密的安全体系和信息安全支撑平台紧密配合,从多方面采用多层次的安全保障措施。
3.1.2 标准性原则
选择成熟的技术平台进行开发,符合行业标准,使系统的通信环境、软件环境相互间依赖减至最小,使其各自发挥自身优势。
3.1.3 实用性原则
实用性是指系统建设资金及人力花费开销最小、为企业产生最大效益的原则。从企业实际工作需要出发,合理规划建设周期,选择既先进又可靠,而且性能价格比最佳的系统配置。
3.1.4 扩展性原则
可扩展性是很重要的技术要求,求系统必须有良好的可扩展性和二次开发能力,能够根据要求不断更新完善。
3.2系统技术平台
系统基于标准SOA (Service-oriented architecture,面向服务架构)架构设计,采用成熟的、面向构件技术的EOS平台,将数据库、中间件、工作流、Portal等技术和产品进行集成以实现基于基础开发平台的系统。总体技术平台架构图如图1所示。
资源层是整个系统建设的硬件系统,包括网络设备、主机设备及操作系统等基础设施,为系统部署奠定坚实基础。
服务层包括Web应用服务器(支持JBOSS、Weblogic、WebSphere),数据库服务器(支持Oracle、Microsoft SQLServer2005),邮件服务器,域服务器及活动目录服务器。为上层数据交互提供基础平台,可以实现不同业务逻辑部署到不同的服务器上,从而实现组件级负载均衡,满足企业大用户量应用环境。
逻辑层是各种业务模块功能业务逻辑具体实现。通过应用服务总线与基础服务层相连接,全部采用构件化结构。
业务层包括了门户信息发布系统、统一认证系统、综合事务系统、电子流程流转系统、安全管理系统、统一标准接口系统等。
表现层包括工作台与门户,用户自己也可以根据需要将各个业务系统(包括第三方系统)的业务整合到自己的工作台。不同身份不同角色的用户进入系统会看到不同的界面。与他功能无关的功能操作自动屏蔽,充分的体现了以人为核心的设计思想,简化了使用难度。
3.3系统模块设计
安全增强协同办公系统具有统一协同工作、统一流程整合、统一安全管理、统一集成管理等特性,是具有军工企业特色的安全增强协同办公自动化管理平台。
3.3.1统一协同工作平台
协同办公平台也是一个内部门户与信息发布系统,通过门户可以整合各类的应用资源,进行信息发布和信息管理,形成统一的门户结构,具有统一用户入口、分类导航、分级授权的资源集合功能。
3.3.2统一流程整合平台
实现企业内各种办公业务工作与审批管理工作的电子化流转,范围基本覆盖了纸质办公时期的所有工作流程类别,各种工作流程均采用电子起草、传阅、审批、会签、签发、套红、归档等电子化流转方式,并采用尊重工作人员传统办公习惯的人性化设计,真正顺利实现无纸化办公。
3.3.3统一安全管理平台
提供有效的、严格的分级管理模式,把管理员分为系统管理员、安全保密管理员和日志审计管理员三个管理员,三员权限划分明确,相互制约,相互监管,防止权限过渡集中导致的安全事件。
具备严格的等级访问及授权机制,具有严格的多层权限的控制管理及授权机制,对各类信息和文件进行严格的密级流向控制,只有经过授权的合法用户才能使用访问及修改响应得权限数据。
3.3.4统一系统集成平台
在满足标准功能的基础上,系统提供标准化扩展应用和个性化扩展应用,以满足不同规模、不同阶段、不同层次组织信息化建设的长期可持续化发展的需要。
4系统的安全特性
安全增强协同办公系统除实现了传统协同办公系统的标准功能外,为适合军工企业协同办公系统在涉密环境下的使用特点,系统严格遵循了国家安全保密有关规定和标准进行设计开发,确保协同办公系统中所处理涉密信息的安全性和可控性。系统安全特性示意图如图2所示。
4.1安全管理
安全增强协同办公系统提供了有效的、严格的人员分级管理模式,把协同办公系统的管理员分细为系统管理员、安全保密管理员和日志审计管理员三类管理员,具体的权限分配涉及几方面。
系统管理员:负责系统的日常维护工作,如系统使用人员的信息录入,系统功能模块的完善和更新,信息的统一发布等。
安全保密管理员:负责制定系统统一安全策略和对系统使用人员进行统一授权管理。安全保密管理员对系统中所有用户的进行分类定级,按用户的不同级别进行功能模块访问和信息内容浏览的授权,只有通过授权的用户才能访问不同级别的功能模块和信息内容。
安全审计员:负责进行操作日志审计,对系统管理员和安全保密管理员的行为进行监督,及时发现安全违规操作行为。
4.2权限控制
安全增强协同办公系统提供多层权限的控制管理,可分为系统、功能模块、角色、公文表单、字段级、处理步骤的权限划分和控制,做到主体到单个用户,客体到信息类别的细粒度访问控制,防止涉密信息的知悉范围扩大化。
系统的管理可以进行用户管理、组织管理、扩展管理和其他授权管理等。
功能模块的管理可以对该功能模块内的功能和内容进行管理和授权。
公文表单的管理只能在授权的公文模板范围内新建、读取、删除和归档公文等权限。
字段级的管理只能在授权的公文模板的某篇公文的某个步骤时对公文内容中的区域(字段)进行读写的权限。
文件办理步骤的权限设置,在文件的实际办理中,提供了“所见即所得”的权限分配,即通过绑定相应流程的相应步骤,能否查看、修改、是否保留修改痕迹等,文件处理表单的更改。
4.3访问控制
安全增强协同办公系统具备严格的等级访问及授权机制,对于特定的关键及敏感数据,只有经过授权的合法用户才能使用访问及修改,保证数据的安全访问。
系统根据不同的用户角色及权限,提供不同的访问界面及菜单来控制用户对系统功能的访问,对不同用户的权限能设置到具体内容,控制用户对信息的访问权限,如读、写、删除、执行等。
系统实现严格的密级流向控制,根据不同的数据资源为数据库设置密级字段。只有用户的数据操作权限高于或等于相应的密级,才能进行正常的操作,否则不显示资源内容。
系统将普通用户与管理员用户分开进行管理,禁止任何管理员查看系统中其它用户的任何文件,禁止有任何特权用户能访问到系统中的所有文件信息。
在应用系统信息流转过程中,保证系统的输出无多余信息,并只发送给合法的用户,避免无关人员的介入。
4.4系统审核日志
审核日志是系统整体安全性的一个体现,通过审核功能,及时的了解系统被使用的情况、发现管理的漏洞、记录非法活动和提供有效证据等功能。
安全增强协同办公系统中,系统审核日志的功能主要是通过系统日志来实现的,通过安全日志的方式跟踪用户的操作。比如记录用户进入系统的时间、用户的IP及使用的功能模块,还可以细化到档案系统或者公文流转中每个人的操作活动,比如增、删、修、存和查等操作,并且可以针对这些操作进行查询、筛选和打印,从而为管理者提供管理的依据。
5安全增强协同办公系统的应用
该安全增强协同办公系统在军工某核燃料企业涉密网络环境中成功部署实施,并且通过国家保密局测评,系统功能框架如表1所示。
5.1信息门户系统
企业信息门户系统实现了多级门户架构,整合了企业内网中的报销系统、邮件系统、用友财务系统等,并能在首页上方便进行数据展现。
系统在该企业涉密内网建立信息发布平台,建立了一个有效的信息发布和交流的场所,例如通知公告、重点工作进展、图片新闻等,使员工能够及时了解各类信息。
5.2公文管理系统
公文管理涵盖了从公文拟制、文件办理、管理、文件立卷归档等在内的一系列衔接有序的工作的自动化、规范化管理及流程处理。公文管理系统实现了该企业日常的行政公文的流转,通过实现工作流程的自动化,规范各项工作,提高办公业务的执行力度、纵向管控能力提供技术和数据上的支持。系统支持公文表单、字段、处理过程的权限控制和实现密级流向控制;
5.3示范性审批类工作流程
系统中可自定义的电子表单(格式、模板)与图形化工作流(角色、流程、权限)的组合,来满足组织内各级部门多样化的事务审批管理要求。将企业跨地域、跨部门、跨应用流程及人员相关、业务相关的审批类流程进行连接、嵌套、整合,以具体工作事务为中心组织各项功能,并延续请示、汇报等多种传统沟通形式,对各种工作任务统一调度安排。
5.4综合事务管理
综合事务管理可以有效进行人事管理、日程、计划等辅助办公事项的管理,辅助提高公司各类资源应用效率。
5.5系统及安全管理
提供了系统管理的综合管理模块,该模块主要包括系统维护、组织机构管理、人员管理、角色权限管理功能,系统管理的操作都是通过系统管理员、安全保密员、日志审计员三个管理员进行 。
组织管理:包括机构和人员管理、工作组管理、职务管理等模块。
权限管理:提供了多层权限的功能管理,可分为系统、功能模块、角色、公文表单、字段级的权限划分和控制等。
其它管理:日志管理、套红管理、CA同步管理、业务字典管理、菜单管理等模块
部分安全管理配置界面图如图3所示。
5.6接口集成
在部署协同办公系统的同时,企业实现了与CA身份认证系统的人员与机构同步、与电子签章系统的接口集成,与报销系统、邮件系统的消息同步,通过持续丰富的标准化插件,既能快速满足用户个性化的需要,也能达到降低信息化上的投资的功效。通过个性化整合扩展,为用户轻松迈开组织内部信息化初步整合提供便利。
5.7应用效果
为该企业开发设计并部署实施的安全增强协同办公系统,以及通过了相关权威部门的安全保密测评,系统运行半年多来,过在该企业中部署实施和使用该系统,帮助企业进行业务流程梳理和再造,较好地满足了企业专业化和精细化的办公管理需求,提高了企业办公效率,节省了办公成本,达到了预期目的,得到了良好的应用效果。
6结束语
本文介绍了军工企业安全增强协同办公系统的设计与应用,系统基于标准SOA架构设计,严格遵循了国家安全保密有关规定和标准进行设计开发,采用协同工作管理机制建立企业运作管理平台,建设了适合在涉密环境中使用的企业级的安全增强同办公系统,该系统能够提高企业信息资源整合和管理,满足企业专业化和精细化的管理需求,确保协同办公系统中处理涉密信息安全和可控性,取得了良好的应用效果。
参考文献
[1] BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》.
[2] BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》.
[3] 张文茹.基于B/S结构的办公平台的设计与实现[D].大连海事大学,2010年.
[4] 王梓.办公自动化系统设计与实现[D].电子科技大学,2011年.
[5] 赵嘉乾.中小型企事业单位办公自动化系统设计与实现[D].电子科技大学,2012年.
[6] 路川,胡欣杰,纪锋利.基于角色访问控制的协同办公系统设计与实现 [J].计算机技术与发展, 2010,20(3):230-233.
[7] 丁彦英.浅析协同办公系统的实施与运行[J].现代企业教育,2010(2):84-94.
[8] 国网信息通信有限公司.协同办公系统[J].办公自动化:综合版,2010(9):9-12.
[9] 刘德祥.数码代密模块的软件设计与实现[J].信息网络安全,2012,(05):15-16.
[10] 田广,唐宁,张岩.基于SOA体系的企业系统协同平台的研究和应用[J].计算机工程与设计,2010,31(21):58-61.
[11] 郝文江,武捷.三网融合中的安全风险及防范技术研究[J].信息网络安全,2012,(01):5-9.
[12] 郎为民,杨德鹏,李虎生.基于SIR模型的智能电网WCSN数据伪造攻击研究[J].信息网络安全,2012,(01):14-16.
作者简介:
朱泉(1977-),男,东华理工大学,硕士,核工业计算机应用研究所集成部,工程师;主要研究方向和关注领域:计算机信息安全。
曾红霞(1980-),女,北京工业大学,硕士,核工业计算机应用研究所项目二部,工程师;主要研究方向和关注领域:计算机软件及应用。