◆霍肖帥 王 露

（河南邁銳德實(shí)業(yè)有限公司 河南 450000）

企業(yè)最新信息系統(tǒng)安全技術(shù)的應(yīng)用研究

◆霍肖帥 王 露

（河南邁銳德實(shí)業(yè)有限公司 河南 450000）

本文根據(jù)最新的信息安全理論研究成果，結(jié)合目前的企業(yè)層面的信息技術(shù)應(yīng)用現(xiàn)狀，通過(guò)分析研究企業(yè)知識(shí)管理系統(tǒng)安全性存在的問(wèn)題，梳理歸納出企業(yè)的內(nèi)部信息安全機(jī)制，包括密碼安全、身份驗(yàn)證、數(shù)據(jù)隔離訪問(wèn)、權(quán)限體系和文件安全等。提出企業(yè)安全信息技術(shù)應(yīng)該具備基本安全體系，從而使得企業(yè)形成更為嚴(yán)密的安全保護(hù)體系。

信息安全；保護(hù)體系；數(shù)據(jù)隔離；訪問(wèn)權(quán)限

0 引言

根據(jù)信息技術(shù)安全管理相關(guān)理論，作為企業(yè)知識(shí)管理系統(tǒng)的領(lǐng)導(dǎo)者，安全系統(tǒng)提供了一個(gè)非常完整的安全控制機(jī)制，并在大量的企業(yè)中應(yīng)用。但隨著信息技術(shù)的發(fā)展，特別是黑客或破解技術(shù)的不斷突破，企業(yè)知識(shí)管理系統(tǒng)的安全面臨著更多的挑戰(zhàn)。因此，企業(yè)知識(shí)管理系統(tǒng)必須充分利用最新的信息安全技術(shù)，為企業(yè)知識(shí)資產(chǎn)提供更嚴(yán)格、更安全的保護(hù)。

本文將進(jìn)一步研究在企業(yè)知識(shí)管理系統(tǒng)中應(yīng)具有的安全體系，具體包括：研究企業(yè)知識(shí)管理系統(tǒng)的基本體系結(jié)構(gòu)，研究基于環(huán)境的企業(yè)知識(shí)管理系統(tǒng)的安全運(yùn)行；對(duì)企業(yè)知識(shí)管理系統(tǒng)目前有內(nèi)部信息安全機(jī)制進(jìn)行了研究，包括認(rèn)證、密碼安全、權(quán)限系統(tǒng)、數(shù)據(jù)隔離訪問(wèn)、告警監(jiān)控、審計(jì)、文檔安全訪問(wèn)。在企業(yè)知識(shí)管理系統(tǒng)的當(dāng)前信息安全系統(tǒng)的觀點(diǎn)和技術(shù)，提出了存在的安全隱患，并研究信息安全的新技術(shù)在企業(yè)知識(shí)管理系統(tǒng)中的應(yīng)用，包括加密技術(shù)、PKI技術(shù)、SAML技術(shù)和智能卡技術(shù)，這使得企業(yè)的知識(shí)管理系統(tǒng)的構(gòu)成更嚴(yán)格的安全保護(hù)系統(tǒng)。

1 管理系統(tǒng)引入PKI加密技術(shù)應(yīng)用

企業(yè)安全加密技術(shù)、PKI技術(shù)也使用了一些加密技術(shù)。但PKI是一個(gè)組合的軟件和硬件系統(tǒng)和安全策略，是一種安全的基礎(chǔ)設(shè)施，是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺(tái)。公鑰基礎(chǔ)設(shè)施（PKI）是由用戶(hù)的私人密鑰加密的保密提供用戶(hù)身份唯一性驗(yàn)證，并通過(guò)為每個(gè)合法用戶(hù)的公鑰提供合法證明公鑰數(shù)字證書(shū)。因此，企業(yè)的知識(shí)管理系統(tǒng)可以使用PKI技術(shù)實(shí)現(xiàn)更深的身份確認(rèn)和數(shù)字簽名的應(yīng)用程序，包括CA認(rèn)證中心：CA是PKI的核心，負(fù)責(zé)所有用戶(hù)的管理結(jié)構(gòu)的PKI證書(shū)，更多的信息，用戶(hù)的公鑰捆綁在一起，在網(wǎng)上驗(yàn)證用戶(hù)的身份，CA還負(fù)責(zé)用戶(hù)證書(shū)登記黑名單和黑名單發(fā)布，其次是CA的詳細(xì)描述?？梢圆樵?xún)自己或其他人的通過(guò)標(biāo)準(zhǔn)的LDAP協(xié)議證書(shū)和下載黑名單信息。高強(qiáng)度的加密算法的安全服務(wù)器（SSL）：Enterprise系統(tǒng)已經(jīng)支持SSL協(xié)議可以結(jié)合PKI進(jìn)一步提高網(wǎng)站和網(wǎng)頁(yè)瀏覽的身份識(shí)別，在用戶(hù)的瀏覽器和Web服務(wù)器通信的全球標(biāo)準(zhǔn)加密。網(wǎng)絡(luò)通信平臺(tái)的Web（Web客戶(hù)端和Web服務(wù)器端的安全兩部分分別安裝在客戶(hù)端和服務(wù)器端，通過(guò)SSL協(xié)議的高強(qiáng)度加密算法保證了客戶(hù)端和服務(wù)器端數(shù)據(jù)的機(jī)密性、完整性和身份認(rèn)證。結(jié)合PKI技術(shù)企業(yè)Teamcenter系統(tǒng)，可以在用戶(hù)身份認(rèn)證、數(shù)字簽名和原安全體系等方面提高的過(guò)程。

2 跨企業(yè)的身份驗(yàn)證的加密技術(shù)應(yīng)用

當(dāng)企業(yè)級(jí)知識(shí)管理系統(tǒng)的應(yīng)用范圍不斷擴(kuò)大，甚至延伸到虛擬企業(yè)，企業(yè)需要考慮跨企業(yè)的安全性，尤其是跨企業(yè)的身份驗(yàn)證問(wèn)題。驗(yàn)證的最簡(jiǎn)單的方法是使用密碼。安全斷言標(biāo)記語(yǔ)言（SAML）可以解決跨企業(yè)的安全認(rèn)證問(wèn)題。安全斷言標(biāo)記語(yǔ)言，SAML。它是一個(gè)基于XML的標(biāo)準(zhǔn)，用于在不同的安全域（域安全）之間交換身份驗(yàn)證和授權(quán)數(shù)據(jù)。定義了SAML標(biāo)準(zhǔn)身份提供商和服務(wù)提供商。SAML依靠一批發(fā)展和提高安全標(biāo)準(zhǔn)，包括SSL和X.509，保護(hù)SAML源站點(diǎn)和目標(biāo)站點(diǎn)之間的通信安全。源站點(diǎn)和目標(biāo)站點(diǎn)之間的所有通信都被加密了。通過(guò)SAML標(biāo)準(zhǔn)，你可以在特定的實(shí)現(xiàn)跨企業(yè)的認(rèn)證問(wèn)題，認(rèn)證聲明表明用戶(hù)是否已經(jīng)被驗(yàn)證，通常用于單點(diǎn)登錄。屬性聲明表示一個(gè)主題的屬性。授權(quán)指示資源的權(quán)限。目前已經(jīng)出現(xiàn)了支持SAML標(biāo)準(zhǔn)的商業(yè)安全服務(wù)軟件。如果邏輯安全Web服務(wù)交互的用戶(hù)應(yīng)用程序的安全模型，包括他們自己的特定的邏輯網(wǎng)絡(luò)的代碼，你可以使用邏輯SAML API Web自定義擴(kuò)展SAML。該API提供了邏輯的SAML的Web服務(wù)的主要組成部分的編程訪問(wèn)。用戶(hù)可以使用該應(yīng)用程序的業(yè)務(wù)邏輯擴(kuò)展類(lèi)作為憑據(jù)名稱(chēng)映射SAML和身份斷言名稱(chēng)映射SAML。一旦用戶(hù)有自己的自定義類(lèi)和Web邏輯管理控制臺(tái)允許用戶(hù)配置SAML證書(shū)映射（源）或網(wǎng)站的身份斷言程序（目標(biāo)網(wǎng)站），從而實(shí)現(xiàn)兩位點(diǎn)之間的認(rèn)證。

3 加密技術(shù)在企業(yè)知識(shí)管理系統(tǒng)中的應(yīng)用

3.1 企業(yè)知識(shí)管理系統(tǒng)安全技術(shù)現(xiàn)狀趨勢(shì)

知識(shí)管理系統(tǒng)的安全不能單純依賴(lài)于基本的環(huán)境安全和內(nèi)部信息安全系統(tǒng)，應(yīng)該采用加密和解密技術(shù)，使數(shù)據(jù)進(jìn)入操作系統(tǒng)和數(shù)據(jù)庫(kù)是加密的數(shù)據(jù)，即使數(shù)據(jù)被攻擊，獲取的數(shù)據(jù)也是無(wú)效的。在安全領(lǐng)域，加密技術(shù)是最遙遠(yuǎn)和最深入的技術(shù)之一。加密技術(shù)包括兩個(gè)元素：算法和密鑰。算法是將普通文本與一個(gè)字符串的組合，產(chǎn)生一個(gè)對(duì)密碼文本的步驟的理解，關(guān)鍵是用來(lái)對(duì)算法的數(shù)據(jù)進(jìn)行編碼和解碼。將密鑰加密技術(shù)分為兩種類(lèi)型，對(duì)稱(chēng)密鑰系統(tǒng)和非對(duì)稱(chēng)密鑰系統(tǒng)。用同一個(gè)密鑰加密和解密的對(duì)稱(chēng)加密文件，也就是說(shuō)，加密也可以作為解密密鑰使用。這種方法稱(chēng)為對(duì)稱(chēng)密碼加密算法，對(duì)稱(chēng)加密算法使用簡(jiǎn)單快捷，更短的密鑰和解密是困難的。對(duì)稱(chēng)加密對(duì)數(shù)據(jù)加密標(biāo)準(zhǔn)算法是一種典型的代表性，另一種對(duì)稱(chēng)密鑰加密系統(tǒng)是國(guó)際上的數(shù)據(jù)加密算法，比它對(duì)加密和功能的計(jì)算機(jī)的要求也不高。非對(duì)稱(chēng)加密和對(duì)稱(chēng)加密算法是不同的，非對(duì)稱(chēng)加密算法需要兩個(gè)密鑰：公鑰和私鑰。公鑰和私鑰是其中的一種，如果公鑰用于加密數(shù)據(jù)，只有用相應(yīng)的私鑰可以解密：如果私鑰用于加密數(shù)據(jù)，那么使用相應(yīng)的公鑰就可以解密。由于加密和解密的使用是兩個(gè)不同的密鑰，所以這種算法對(duì)于非對(duì)稱(chēng)加密算法。非對(duì)稱(chēng)加密通常是由RSA算法為代表。由于企業(yè)信息安全的迫切需要，該行業(yè)也有了大量的成熟的加密軟件。企業(yè)Team Center系統(tǒng)可以與安全的文件加密技術(shù)，形成整體的安全解決方案集成。企業(yè)Team center系統(tǒng)和安全的文件加密技術(shù)，基于原有的安全系統(tǒng)可以提高以下四個(gè)層次的安全機(jī)制。

3.2 PC端的文檔安全性控制機(jī)制應(yīng)用

控制所有設(shè)計(jì)師的個(gè)人電腦和文件安全技術(shù)，提供以下用戶(hù)的PC安全登錄認(rèn)證：集成登錄域，并自動(dòng)服務(wù)器認(rèn)證；支持LDAP集成，和LDAP協(xié)議綁定支持跨平臺(tái)、跨系統(tǒng)的集成。只要用戶(hù)具有相同的用戶(hù)名和密碼，LDAP，可以實(shí)現(xiàn)單點(diǎn)登錄的安全文件系統(tǒng)和其他應(yīng)用系統(tǒng)。使用身份驗(yàn)證服務(wù)器，不改變?cè)械陌踩呗院凸芾斫Y(jié)構(gòu)。非法用戶(hù)端試圖獲取訪問(wèn)服務(wù)器的自動(dòng)拒絕，向警方報(bào)告；支持文件和文件夾加密；個(gè)人文件和文件夾自動(dòng)加密；共享文件和文件夾自動(dòng)加密；文件刪除功能；文檔銷(xiāo)毀功能；支持功能，以確保電子郵件、郵件內(nèi)容和附件都自動(dòng)加密。為了增強(qiáng)郵件系統(tǒng)的安全性；可以自定義權(quán)限和加密；限制使用介質(zhì)數(shù)據(jù)訪問(wèn)、本地文件權(quán)限加密，未被服務(wù)器身份驗(yàn)證和授權(quán)機(jī)制的基礎(chǔ)上，而不是一個(gè)單獨(dú)的公開(kāi)文件。將硬件綁定文件保存到計(jì)算機(jī)用戶(hù)將在文檔控制服務(wù)器上記錄用戶(hù)的計(jì)算機(jī)的序列號(hào)。只能在計(jì)算機(jī)上讀取文件，不能在其他計(jì)算機(jī)上使用。每次用戶(hù)得到密碼文本時(shí)，系統(tǒng)會(huì)自動(dòng)從服務(wù)器下載文件保護(hù)密碼。要擺脫對(duì)本地PC離線文檔的控制：離線文檔必須由管理人員授權(quán)，管理員在管理界面有離線文檔設(shè)置選項(xiàng)，管理設(shè)置文件的脫機(jī)功能，所有在管理員管理的文件和用戶(hù)都會(huì)有離線和離線的時(shí)間。該功能是一個(gè)全球性的策略，管理員可以通過(guò)一套完成。沒(méi)有必要為每個(gè)用戶(hù)設(shè)置他們的脫機(jī)權(quán)限，也不需要為每個(gè)文檔設(shè)置他們的脫機(jī)時(shí)間。當(dāng)用戶(hù)已關(guān)閉該行時(shí)，打開(kāi)文檔開(kāi)始從該行開(kāi)始。用戶(hù)與脫機(jī)狀態(tài)下的文檔的操作相同。脫機(jī)文檔訪問(wèn)控制，包括用戶(hù)身份驗(yàn)證、有效時(shí)間認(rèn)證。

3.3 流程簽審階段加密機(jī)制應(yīng)用

Team center企業(yè)系統(tǒng)的安全管理機(jī)制，設(shè)計(jì)數(shù)據(jù)的集中控制，在Enterprise系統(tǒng)，本身具有很好的系統(tǒng)權(quán)限控制，實(shí)現(xiàn)在正確的時(shí)間正確的人獲得正確的數(shù)據(jù)。通過(guò)安全的文件加密軟件的設(shè)計(jì)文檔檢企業(yè)Teamcenter系統(tǒng)時(shí)，文檔加密保存進(jìn)入系統(tǒng)，刪除原始文件而。為獲得原始文件的功能在企業(yè)Team Center系統(tǒng)用戶(hù)取消，因?yàn)樵募?，最終用戶(hù)將被隱藏。對(duì)于Enterprise的簽審、修改、縮短的過(guò)程中，必要的節(jié)點(diǎn)，Enterprise的訪問(wèn)控制系統(tǒng)，原有的文件給用戶(hù)修改，當(dāng)用戶(hù)訪問(wèn)控制，系統(tǒng)自動(dòng)調(diào)用原始文件的程序。

[1]唐維燕．OA安全機(jī)制在企業(yè)信息安全中的應(yīng)用[J]．電子工業(yè)專(zhuān)用設(shè)備，2012．

[2]熊毅．雙通道云數(shù)據(jù)存儲(chǔ)安全方案研究[J]．計(jì)算機(jī)與數(shù)字工程，2012．

[3]楊麗．佛山禪城區(qū)聯(lián)合圖書(shū)館和東莞圖書(shū)館總分館制比較研究[J]．河北科技圖苑，2012．