動(dòng)態(tài)安全的虛擬組織體系結(jié)構(gòu)

1、動(dòng)態(tài)安全的虛擬組織體系結(jié)構(gòu)周海軍，林翔（北京安高科技有限公司，北京100094）摘要：虛擬組織作為網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代組織創(chuàng)新的新模式，在虛擬組織共享組織信息 的框架下保障組織信息的動(dòng)態(tài)安全成為組織者不得不考慮的問(wèn)題。從計(jì)算機(jī)及網(wǎng) 絡(luò)科學(xué)的角度，論文探討了一種動(dòng)態(tài)安全的虛擬組織體系結(jié)構(gòu)。在該體系結(jié)構(gòu)呈 現(xiàn)的虛擬組織平臺(tái)系統(tǒng)上能夠動(dòng)態(tài)地構(gòu)建多個(gè)具有保護(hù)組織信息訪問(wèn)安全、存儲(chǔ) 安全和流轉(zhuǎn)安全的虛擬組織系統(tǒng)，從技術(shù)層面有效保護(hù)虛擬組織電子信息資產(chǎn)的 安全。關(guān)鍵詞：虛擬組織；組織信息；信息安全；動(dòng)態(tài)管理1引言網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代，虛擬組織以其合作、共贏的思想，在技術(shù)、資源、成本等方面具有得天 獨(dú)厚的優(yōu)勢(shì)和生命力，越來(lái)

2、越成為大中小企業(yè)以及個(gè)人群體實(shí)現(xiàn)產(chǎn)品研發(fā)、市場(chǎng)拓展、網(wǎng)上 辦公的新選擇。信息是虛擬組織的關(guān)鍵資源，虛擬組織的非實(shí)體性、網(wǎng)絡(luò)的開(kāi)放性以及組織 成員的動(dòng)態(tài)分布性，對(duì)組織信息的安全管理，包括對(duì)組織信息的訪問(wèn)管理、存儲(chǔ)管和流轉(zhuǎn)管 理顯得特別的重要。20世紀(jì)90年代以來(lái)，虛擬組織作為21世紀(jì)企業(yè)戰(zhàn)略得到了全球的廣泛的研究和運(yùn)用。2006年第12期當(dāng)代經(jīng)濟(jì)發(fā)表的文章面向虛擬組織的知識(shí)管理與創(chuàng)新研究，探討了 虛擬組織與知識(shí)管理之間的內(nèi)在聯(lián)系，研究面向虛擬組織的企業(yè)間的知識(shí)創(chuàng)新體系的關(guān)鍵內(nèi) 容和構(gòu)建過(guò)程，旨在豐富虛擬組織和知識(shí)管理與創(chuàng)新的理論和方法，不足的是文章沒(méi)有提出 一種切實(shí)可行的實(shí)現(xiàn)方法?，F(xiàn)有的虛擬組織

3、解決方案通常是基于internet虛擬專網(wǎng)（VPN）將虛擬組織中的異地成 員信息系統(tǒng)連接起來(lái)，達(dá)到組織中成員之間信息交換和共享的目的。VPN在互聯(lián)網(wǎng)上的集 成加密、認(rèn)證和簽名功能，為虛擬組織的建設(shè)奠定了一個(gè)安全可信的秘密通道。而建設(shè)VPN 需要硬件的投入和網(wǎng)絡(luò)的部署，不能滿足大量中小企業(yè)和個(gè)人動(dòng)態(tài)組建和臨時(shí)組建虛擬組織 的需求，并且無(wú)法保障組織信息的訪問(wèn)安全和存儲(chǔ)安全。中國(guó)專利公開(kāi)號(hào)CN1599322提出了一種實(shí)現(xiàn)企業(yè)共用虛擬自動(dòng)化辦公網(wǎng)的裝置和方法，電信運(yùn)營(yíng)商為企業(yè)提供共用虛擬辦公自動(dòng)化平臺(tái)，企業(yè)用戶在企業(yè)共用虛擬自動(dòng)化辦公網(wǎng)服務(wù)器上建立其員工的資料數(shù)據(jù)，企業(yè)員工通過(guò)企業(yè)虛擬自動(dòng)化辦公網(wǎng)接入

4、終端，經(jīng)電信 運(yùn)營(yíng)商共用接入網(wǎng)絡(luò)連接到企業(yè)共用辦公網(wǎng)服務(wù)器，通過(guò)自動(dòng)化辦公客戶端軟件登陸到企業(yè) 共用虛擬辦公自動(dòng)化平臺(tái)進(jìn)行辦公，包括員工之間的信息交流和文件傳遞等。通過(guò)該專利的 方法，解決了虛擬組織的靈活創(chuàng)建問(wèn)題和信息資源共享問(wèn)題，但未涉及如何保護(hù)企業(yè)的電子 信息、防止重要信息泄漏的安全管理問(wèn)題。針對(duì)目前虛擬組織存在的上述不足，論文提出了一種可實(shí)現(xiàn)的虛擬組織體系結(jié)構(gòu)：基于 組織信息安全、組織動(dòng)態(tài)配置管理的虛擬專有組織(Virtual Proprietary Organization, VPO)。2 VPO介紹vpo體系結(jié)構(gòu)呈現(xiàn)為一種虛擬專有組織平臺(tái)系統(tǒng)，采用該平臺(tái)系統(tǒng)，能夠?yàn)榇笾行∑?業(yè)以及個(gè)

5、人用戶通過(guò)intranet、extranet、internet多種網(wǎng)絡(luò)形式靈活地組建專屬于自己的虛擬 組織，并且由組織者通過(guò)部署終端安全策略的方式自行管理組織成員終端中組織專屬信息的 訪問(wèn)安全、存儲(chǔ)安全和流轉(zhuǎn)安全，我們定義這種具有安全管理功能的虛擬組織為虛擬專有組 織(Virtual Proprietary Organization)0虛擬專有組織平臺(tái)系統(tǒng)在保障虛擬專有組織正常運(yùn)轉(zhuǎn) 的同時(shí)，有效地解決虛擬專有組織系統(tǒng)中組織專屬信息的歸屬權(quán)問(wèn)題：虛擬專有組織中工作 形成的電子文檔信息，我們定義為組織專屬信息(Organization Proprietary Information，OPI)， 組

6、織專屬信息不完全屬于成員，成員能夠在工作中正常使用組織專屬信息，但在未授權(quán)的情 況下組織專屬信息是無(wú)法移出虛擬專有組織，虛擬專有組織擁有組織專屬信息的所有權(quán)。如 圖1所示，VPO體系結(jié)構(gòu)由系統(tǒng)服務(wù)器、系統(tǒng)管理臺(tái)以及多個(gè)組織管理臺(tái)和成員終端動(dòng)態(tài) 組合而成。成員終端成員終端!圖1 VPO的體系結(jié)構(gòu)系統(tǒng)服務(wù)器：在VPO體系結(jié)構(gòu)中，系統(tǒng)服務(wù)器是體系結(jié)構(gòu)的核心部分。系統(tǒng)管理臺(tái)、 組織管理臺(tái)通過(guò)intranet、extranet、internet多種網(wǎng)絡(luò)形式以B/S結(jié)構(gòu)連接系統(tǒng)服務(wù)器，成員 終端通過(guò)intranet、extranet、internet多種網(wǎng)絡(luò)形式以C/S結(jié)構(gòu)連接系統(tǒng)服務(wù)器。系統(tǒng)服務(wù)器 為系

7、統(tǒng)管理臺(tái)、組織管理臺(tái)和成員終端提供了證書(shū)授權(quán)認(rèn)證服務(wù)、成員終端軟件下載升級(jí)服 務(wù)、虛擬專有組織管理服務(wù)、成員終端文檔流轉(zhuǎn)服務(wù)、成員終端安全策略服務(wù)，成員終端信 息審計(jì)服務(wù)。系統(tǒng)管理臺(tái)：系統(tǒng)管理臺(tái)和系統(tǒng)服務(wù)器組成VPO體系結(jié)構(gòu)的總控中心。系統(tǒng)管理臺(tái)主 要實(shí)現(xiàn)虛擬專有組織平臺(tái)系統(tǒng)的日常維護(hù)和虛擬專有組織的審批、注冊(cè)和注銷管理。組織管理臺(tái)：組織管理臺(tái)和系統(tǒng)服務(wù)器組成所屬虛擬專用組織的控制中心。主要實(shí)現(xiàn)所 屬虛擬專用組織成員的管理、所屬成員終端安全策略的配置和部署和所屬成員終端信息的審 計(jì)。同一個(gè)組織管理臺(tái)能夠申請(qǐng)管理多個(gè)虛擬專有組織，所管理虛擬專有組織可以在同一系 統(tǒng)服務(wù)器上，也可以在不同系統(tǒng)服務(wù)器

8、上。組織管理臺(tái)通過(guò)登陸時(shí)的不同角色管理各個(gè)虛擬 專有組織，之間互不影響。成員終端：基于Windows操作系統(tǒng)的計(jì)算機(jī)系統(tǒng)從虛擬專有組織平臺(tái)系統(tǒng)上下載安裝 成員終端軟件后申請(qǐng)成為成員終端，成員終端登陸所屬虛擬專有組織自動(dòng)下載并實(shí)時(shí)執(zhí)行組 織管理臺(tái)所部署的終端安全策略，控制成員終端上組織專屬信息的訪問(wèn)、存儲(chǔ)和流轉(zhuǎn)，并形 成操作審計(jì)信息反饋給系統(tǒng)服務(wù)器。同一個(gè)成員終端能夠申請(qǐng)加盟多個(gè)虛擬專有組織，所加 盟虛擬專有組織可以在同一系統(tǒng)服務(wù)器上，也可以在不同系統(tǒng)服務(wù)器上，成員終端通過(guò)登陸 時(shí)的不同角色成為所屬虛擬專有組織成員，成員終端上各虛擬專有組織之間的工作完全獨(dú) 立、互不影響。3 VPO的安全管理3.

9、1證書(shū)授權(quán)與用戶認(rèn)證安全系統(tǒng)服務(wù)器為所屬系統(tǒng)管理臺(tái)創(chuàng)建的每一個(gè)虛擬專有組織分配組織管理臺(tái)及該組織管理臺(tái)專屬的授權(quán)證書(shū)和用戶身份，具體過(guò)程如圖2所示，過(guò)程描述如下：A、組織者向虛擬專有組織平臺(tái)系統(tǒng)提出組建虛擬專有組織的申請(qǐng)；B、系統(tǒng)管理臺(tái)在虛擬專有組織平臺(tái)系統(tǒng)中新增虛擬專有組織；C、虛擬專有組織平臺(tái)系統(tǒng)為虛擬專有組織生成專屬的組織管理臺(tái)授權(quán)證書(shū)文件或ukey 設(shè)備；D、組織者安裝組織管理臺(tái)授權(quán)證書(shū)文件或插上ukey設(shè)備，成為虛擬專有組織平臺(tái)系 統(tǒng)認(rèn)證的組織管理臺(tái)；E、執(zhí)行組織管理臺(tái)，選擇組織，輸入用戶名和密碼在線驗(yàn)證后進(jìn)入虛擬專有組織管理 狀態(tài)。廣V.組織者111r登陸虛擬專有組 織平臺(tái)系統(tǒng)運(yùn)營(yíng)

10、網(wǎng)1F注冊(cè)用戶1F網(wǎng)上進(jìn)行 虛擬專有組織申 請(qǐng)下載組織證書(shū)文 件1r安裝組織證書(shū)文 件1F打開(kāi)組織管理臺(tái)1T選擇組織， 輸入用戶名和密 碼組織證書(shū)文件,系統(tǒng)管理臺(tái)I1T打開(kāi)系統(tǒng)管理臺(tái)1F對(duì)虛擬組織申請(qǐng) 進(jìn)行審核1!在系統(tǒng)中 新增組織信息1F形成組織證書(shū)文 件*進(jìn)入組織的 管理狀態(tài)1F組織名、用戶 名、密碼驗(yàn)證身份確認(rèn)*圖2虛擬專有組織申請(qǐng)流程系統(tǒng)服務(wù)器為所屬組織管理臺(tái)創(chuàng)建的每一個(gè)成員終端配置成員信息及該成員終端專屬授權(quán)證書(shū)和用戶身份，具體過(guò)程如圖3所示，過(guò)程描述如下：A、成員終端向組織管理臺(tái)發(fā)出加盟組織的申請(qǐng)；B、組織管理臺(tái)在虛擬專有組織中新增成員；C、虛擬專有組織平臺(tái)系統(tǒng)為成員終端生成專屬的

11、成員終端授權(quán)證書(shū)文件或ukey設(shè)備；D、成員終端安裝成員終端授權(quán)證書(shū)文件或插上ukey設(shè)備，成為虛擬專有組織認(rèn)證的 成員終端；E、執(zhí)行成員終端登陸，選擇組織，輸入用戶名和密碼在線驗(yàn)證后，成員終端從非工作狀態(tài)進(jìn)入虛擬專有組織工作狀態(tài)。導(dǎo)入組織成員 證書(shū)文件1安裝組織成員 證書(shū)文件1r打開(kāi)用戶注冊(cè)1選擇組織， 輸入用戶名和密碼進(jìn)入組織的 工作狀態(tài)11組織名、用戶 名、密碼驗(yàn)證IF身份確認(rèn)圖3成員終端加盟虛擬專有組織流程3.2成員終端的存儲(chǔ)和訪問(wèn)安全成員終端為每一個(gè)虛擬專有組織配置組織專屬信息存儲(chǔ)區(qū)，組織專屬信息以加密的方式 存儲(chǔ)在組織專屬信息存儲(chǔ)區(qū)中，組織專屬信息存儲(chǔ)區(qū)外的信息允許移入組織專屬信息

12、存儲(chǔ) 區(qū)，組織專屬信息存儲(chǔ)區(qū)的信息禁止移出組織專屬信息存儲(chǔ)區(qū)，非工作狀態(tài)下禁止訪問(wèn)組織 專屬信息存儲(chǔ)區(qū)，工作狀態(tài)下只能訪問(wèn)角色所屬的組織專屬信息存儲(chǔ)區(qū)而禁止訪問(wèn)其他角色的組織專屬信息存儲(chǔ)區(qū)。每一個(gè)虛擬專有組織的加密密鑰具有唯一性，虛擬專有組織之間的 組織專屬信息不具有直接交換使用性，保障了組織專屬信息的存儲(chǔ)安全。普通信息存儲(chǔ)區(qū)組織A專屬信息存儲(chǔ)區(qū)組織B專屬信息存儲(chǔ)區(qū)組織A安全策略組織B安全策略組織AT作誑程組織B工作進(jìn)程組織A成員工作環(huán)境組織B成員工作環(huán)境成員終端軟件成員終端圖4成員終端的信息存儲(chǔ)和流轉(zhuǎn)成員終端成員終端軟件在工作狀態(tài)，成員終端的進(jìn)程分為工作進(jìn)程和非工作進(jìn)程，僅允許工作進(jìn)程訪問(wèn)組

13、織專 屬信息，工作進(jìn)程所創(chuàng)建的信息屬于組織專屬信息只能存儲(chǔ)到組織專屬信息存儲(chǔ)區(qū)中，工作 進(jìn)程在訪問(wèn)組織專屬信息時(shí)，系統(tǒng)自動(dòng)進(jìn)行信息加解密處理，并且控制成員終端內(nèi)或成員終 端之間的進(jìn)程信息通訊，包括：允許工作進(jìn)程與工作進(jìn)程間的信息通訊，允許非工作進(jìn)程與 非工作進(jìn)程間的信息通訊，允許非工作進(jìn)程到工作進(jìn)程間的信息通訊，阻止工作進(jìn)程到非工 作進(jìn)程間的信息通訊，保障了組織專屬信息的應(yīng)用安全。組織管理臺(tái)對(duì)所屬成員終端的組織專屬信息存儲(chǔ)區(qū)具有控制功能，包括失效成員終端對(duì) 組織專屬信息存儲(chǔ)區(qū)的訪問(wèn)、遠(yuǎn)程復(fù)制成員終端組織專屬信息存儲(chǔ)區(qū)、清除成員終端組織專 屬信息存儲(chǔ)區(qū)，保障了成員離職后的組織專屬信息的安全。在組

14、織管理臺(tái)授權(quán)的情況下，允許所屬成員終端以加密方式、加殼方式、明文方式導(dǎo)出 組織專屬信息存儲(chǔ)區(qū)中的文檔。加密方式：將組織專屬信息以加密的方式移出組織專屬信息 存儲(chǔ)區(qū)，通過(guò)導(dǎo)入的方式存入同組織的成員終端的組織專屬信息存儲(chǔ)區(qū)中；加殼方式：將組 織專屬信息移出組織專屬信息存儲(chǔ)區(qū)后在信息上綁定密碼，在訪問(wèn)加殼信息時(shí)驗(yàn)證密碼；明 文方式：將組織專屬信息解密后移出組織專屬信息存儲(chǔ)區(qū)成為普通文檔。在組織管理臺(tái)授權(quán) 的情況下，允許所屬成員終端脫網(wǎng)工作，成員終端脫網(wǎng)工作時(shí)仍然受安全策略的控制，脫網(wǎng) 的審計(jì)信息在上網(wǎng)時(shí)自動(dòng)發(fā)送系統(tǒng)服務(wù)器。充分保障了虛擬專有組織在組織控制臺(tái)控制下的 工作靈活性。3.3組織專屬信息的流

15、轉(zhuǎn)安全組織管理臺(tái)能夠?qū)⑻摂M專有組織的成員配置為多個(gè)安全域，每個(gè)成員可以是其中幾個(gè)安 全域的成員，如圖5所示。安全域標(biāo)記:該安全域內(nèi)終端之間的數(shù) 據(jù)傳輸僅限于設(shè)計(jì)部A分別與B、C之間建立安令域 進(jìn)行數(shù)據(jù)的傳輸。但B與C之間 無(wú)法直接仲輸數(shù)據(jù)。該終端不在任何安全域內(nèi)，無(wú) 法通過(guò)安全傳輸平臺(tái)進(jìn)行數(shù)據(jù) 傳輸P圖5組織專屬信息的流轉(zhuǎn)控制在工作狀態(tài)，僅允許同一安全域的成員終端之間流轉(zhuǎn)組織專屬信息，流轉(zhuǎn)時(shí)系統(tǒng)自動(dòng)進(jìn) 行信息加解密、壓縮解壓縮處理，并且，文檔流轉(zhuǎn)接收方成員終端只能將接收到的組織專屬 信息存入相應(yīng)的組織專屬信息存儲(chǔ)區(qū)，保障了組織專屬信息的流轉(zhuǎn)安全。4結(jié)語(yǔ)論文以動(dòng)態(tài)安全為出發(fā)點(diǎn)，提出了一種強(qiáng)操作性

16、的虛擬組織體系結(jié)構(gòu)，具體闡述了該虛 擬組織體系結(jié)構(gòu)下的虛擬專有組織vpo平臺(tái)系統(tǒng)的證書(shū)授權(quán)與用戶認(rèn)證安全、成員終端的 存儲(chǔ)和訪問(wèn)安全以及組織專屬信息的流轉(zhuǎn)安全。在充分保障虛擬組織成員對(duì)組織信息的協(xié)作 和共享的基礎(chǔ)上，有效保護(hù)了虛擬組織的組織專屬信息OPI的安全。動(dòng)態(tài)安全的虛擬組織體系結(jié)構(gòu)對(duì)實(shí)踐具有很好的指導(dǎo)性，當(dāng)然，論文只是初步提出虛擬 專有組織VPO體系結(jié)構(gòu)的構(gòu)建方法和參考模型，隨著研究的不斷深入和逐步的實(shí)踐，虛擬 專有組織VPO體系結(jié)構(gòu)及虛擬專有組織VPO平臺(tái)系統(tǒng)將會(huì)更加完善和成熟，從而滿足虛擬 組織在當(dāng)今網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代的迫切需求，推動(dòng)虛擬組織的廣泛運(yùn)用。參考文獻(xiàn)：1朱雪忠等.虛擬研發(fā)組織知

17、識(shí)產(chǎn)權(quán)管理框架分析J.科學(xué)與法律,2006,4程濤等.一種基于虛擬Agent市場(chǎng)的虛擬制造組織體系結(jié)構(gòu)J.組合機(jī)床與 自動(dòng)化加工技術(shù),2006,3朱穎俊.面向虛擬組織管理與創(chuàng)新研究J.當(dāng)代經(jīng)濟(jì),2006,12侯萬(wàn)春.一種實(shí)現(xiàn)企業(yè)公用虛擬自動(dòng)化辦公網(wǎng)的裝置和方法M.中國(guó)知識(shí)產(chǎn) 權(quán)網(wǎng)Hamideh Afsarmanesh,Luis M. Camarinha-Matos.A FRAMEWORK FOR MANAGEMENT OF VIRTUAL ORGANIZATION BREEDING ENVIRONMENTSJ. Springer Boston, 2006,3Jill Gemmill,John-

18、Paul Robinson,Tom Scavo,Purushotham Bangalore. Cross-domain authorization for federated virtual organizations using the myVocs collaboration environment. Concurrency and Computation, 2008,4An Architecture Based on Dynamic Security forVirtual OrganizationZhou Hai Jun,Lin Xiang（Beijing Amgo Technology Co.,Ltd,Beijing 100094）Abstract : As the network economy era , Virtual organization is organizational innovation new model , Under the framework of share virtual organization information , Protect organizations dynamic information security has become the organizers had to consider problem . Fro