教育行业安全解决方案

一、方案背景

随着校园信息化建设的不断完善，网络安全的重要性也日益突现，传统的用户名/口令方式已经无法确保用户身份在网络中的真实可靠。日益猖獗的网络钓鱼、木马等攻击手段无时无刻不在威胁着用户账号的安全，盗用、篡改、冒用等行为频繁发生。

二、需求分析

    随着校园办公无纸化的推进，越来越多的校园网拥有了自己内部的办公自动化（OA）系统，如何保证办公自动化系统中对流转文件的审批确认，如何在提高办公效率的同时最大程度适应教职员工原有的工作习惯，都成为摆在校园信息化建设前进道路上急需解决的难题。

    基于数字证书的身份认证目前已成为新一代安全认证的标准，被国内各行业广泛采用。数字证书认证技术能够为用户网络访问、应用系统访问提供可信的身份识别。

    签章是纸质公文生效的重要标志，没有盖章的公文缺乏权威性。电子签章可保障电子公文的真实有效性，即收文方可确认收到的电子公文是否是真实的发文机关所发。电子签章具有唯一性、不可复制性和强防伪能力。已签章电子文件用电子签章封装加密，保障电子文件的机密性和数据完整性。

三、方案简介

    为了满足上述需求，我们首先在校园内建设一套能保证网络安全和应用安全的PKI/CA信息安全基础设施，为用户以及信息系统服务器颁发数字证书，数字证书用于校园网业务系统用户进行系统登录时的身份强认证和部分系统中的数字签名。

    然后建设电子签章平台系统，实现对电子签章的制作、绑定、管理、注销等一系列功能，将电子签章与应用系统相结合，利用电子印章结合数字签名技术，实现包括对审批人、审批内容、审批时间的数字签名，防止非法篡改；实现无纸化办公中对电子文档流转的审批确认。

    具体的应用系统流程如下：

    （1）盖章：即签章系统通过PKI等技术手段将数字签名等安全数据以签章的形式嵌入到应用系统的业务数据中；

    （2）签名：即签名系统通过PKI等技术手段将数字签名等安全数据以“手写签名”的形式嵌入到应用系统的业务数据中；

    （3）验证：签章或签名随着业务数据在应用系统中流转，到了需要的环节，系统同样调用PKI技术对签章或签名里的数据和业务数据进行运算对比，以确定业务数据的来源和真伪。

      上述过程是电子签章的典型应用过程。在具体结合的结合方式上，存在两种方式：对于大部分内部应用，如OA和公文交换系统，由于传输的业务数据就是公文，所以电子签章系统可以通过完整的盖章客户端软件与业务系统结合，将盖章和验证的过程直接在公文的编辑环境中完成，比如Word,而对于业务系统来讲这些都是透明的，其流程不会仅仅因公文盖有签章而改变。这种结合方式下业务系统的二次开发工作比较少。