教育行業安全解決方案

一、方案背景

隨著校園信息化建設的不斷完善，網絡安全的重要性也日益突現，傳統的用戶名/口令方式已經無法確保用戶身份在網絡中的真實可靠。日益猖獗的網絡釣魚、木馬等攻擊手段無時無刻不在威脅著用戶賬號的安全，盜用、篡改、冒用等行為頻繁發生。

二、需求分析

    隨著校園辦公無紙化的推進，越來越多的校園網擁有了自己內部的辦公自動化（OA）系統，如何保證辦公自動化系統中對流轉文件的審批確認，如何在提高辦公效率的同時最大程度適應教職員工原有的工作習慣，都成為擺在校園信息化建設前進道路上急需解決的難題。

    基于數字證書的身份認證目前已成為新一代安全認證的標準，被國內各行業廣泛采用。數字證書認證技術能夠為用戶網絡訪問、應用系統訪問提供可信的身份識別。

    簽章是紙質公文生效的重要標志，沒有蓋章的公文缺乏權威性。電子簽章可保障電子公文的真實有效性，即收文方可確認收到的電子公文是否是真實的發文機關所發。電子簽章具有唯一性、不可復制性和強防偽能力。已簽章電子文件用電子簽章封裝加密，保障電子文件的機密性和數據完整性。

三、方案簡介

    為了滿足上述需求，我們首先在校園內建設一套能保證網絡安全和應用安全的PKI/CA信息安全基礎設施，為用戶以及信息系統服務器頒發數字證書，數字證書用于校園網業務系統用戶進行系統登錄時的身份強認證和部分系統中的數字簽名。

    然后建設電子簽章平臺系統，實現對電子簽章的制作、綁定、管理、注銷等一系列功能，將電子簽章與應用系統相結合，利用電子印章結合數字簽名技術，實現包括對審批人、審批內容、審批時間的數字簽名，防止非法篡改；實現無紙化辦公中對電子文檔流轉的審批確認。

    具體的應用系統流程如下：

    （1）蓋章：即簽章系統通過PKI等技術手段將數字簽名等安全數據以簽章的形式嵌入到應用系統的業務數據中；

    （2）簽名：即簽名系統通過PKI等技術手段將數字簽名等安全數據以“手寫簽名”的形式嵌入到應用系統的業務數據中；

    （3）驗證：簽章或簽名隨著業務數據在應用系統中流轉，到了需要的環節，系統同樣調用PKI技術對簽章或簽名里的數據和業務數據進行運算對比，以確定業務數據的來源和真偽。

      上述過程是電子簽章的典型應用過程。在具體結合的結合方式上，存在兩種方式：對于大部分內部應用，如OA和公文交換系統，由于傳輸的業務數據就是公文，所以電子簽章系統可以通過完整的蓋章客戶端軟件與業務系統結合，將蓋章和驗證的過程直接在公文的編輯環境中完成，比如Word,而對于業務系統來講這些都是透明的，其流程不會僅僅因公文蓋有簽章而改變。這種結合方式下業務系統的二次開發工作比較少。