淺談等級保護2.0時代下電子公文系統(tǒng)中的密碼學應用

趙利軍

摘要：在等級保護2.0時代下，很多單位都會遇到可能無法預測的內(nèi)部和外部威脅，其數(shù)據(jù)傳輸、處理和存儲均存在高風險。由于電子公文系統(tǒng)存在對用戶重要信息的傳輸，因此存在用戶訪問處理安全隱患、用戶輸入驗證安全隱患、文件系統(tǒng)管理安全隱患、代碼編寫安全隱患。本文依照基本密碼學原理，從原理上分析了公文系統(tǒng)的結(jié)構(gòu)設計，指出了公文系統(tǒng)存在的隱患，設計了一套密碼學系統(tǒng)。

關(guān)鍵詞：電子公文系統(tǒng);信息安全;密碼學

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）13-0041-03

Abstract：In the era of hierarchical protection 2.0， many units will encounter unpredictable internal and external threats， and their data transmission， processing and storage have high risks. Due to the transmission of important information to users in electronic document system， there are security risks in user access processing， user input verification， file system management and code writing. According to the basic cryptography principle， this paper analyzes the structure design of the official document system， points out the hidden dangers of the official document system， and designs a set of cryptography system.

Key words：electronic document system; information security; cryptography

1 引言

隨著信息技術(shù)不斷提高，電子政務業(yè)務應用越來越廣泛。其中，電子公文業(yè)務的處理、交換成為應用的主要內(nèi)容，而安全性問題是電子公文處理中的難點和重點之一。在網(wǎng)絡安全等級保護2.0時代下，如何有效防止數(shù)據(jù)泄露現(xiàn)象的發(fā)生以及可能的網(wǎng)絡攻擊，是電子公文應用系統(tǒng)必須面對的問題，各種網(wǎng)絡問題層出不暇，系統(tǒng)中用戶信息、關(guān)鍵數(shù)據(jù)的等傳輸、處理和存儲安全面臨的威脅也越來越多，正是由于這些問題的存在，而一些關(guān)鍵系統(tǒng)中的用戶信息顯得十分重要。因此，企業(yè)日益關(guān)注網(wǎng)絡安全，使其成為信息系統(tǒng)安全專業(yè)開發(fā)人員必須掌握的概念。

由于互聯(lián)網(wǎng)威脅的無處不在，即使非常重視信息安全的企業(yè)也可能成為被網(wǎng)絡攻擊的對象，遵守相關(guān)的安全標準也許不足以阻止和檢測網(wǎng)絡攻擊行為。運用密碼學原理采用威脅建模形式，讓企業(yè)對最可能影響應用系統(tǒng)的各種網(wǎng)絡安全威脅進行系統(tǒng)性識別和評價，有了這些識別出來的信息，就可以按照一定的邏輯關(guān)系，采取適當?shù)牟呗詠硖幚泶嬖诘耐{，并從具有最高風險的威脅開始。在明確了風險是基于對組織機構(gòu)構(gòu)成的威脅、威脅關(guān)注的是有價值的資產(chǎn)這個基本原則之后，我們就可以對電子公文應用系統(tǒng)進行安全性分析和安全性設計，從而有效的應對威脅。

2 電子公文系統(tǒng)隱患

電子公文系統(tǒng)由于是基于B/S架構(gòu)，所以必然的存在用戶敏感數(shù)據(jù)在網(wǎng)絡中進行傳輸，保證數(shù)據(jù)信息不被竊取，數(shù)據(jù)能安全穩(wěn)定的持久化存儲，這對客戶端系統(tǒng)和后臺服務器系統(tǒng)都是很大的挑戰(zhàn)，具體來說，系統(tǒng)隱患主要分為如下幾類：

2.1 電子公文系統(tǒng)設計安全隱患

電子公文是通過計算機進行處理、傳輸和存儲等處理的信息化產(chǎn)物，具有存儲容積小、檢索速度快、遠程快速傳送等優(yōu)點。隨著計算機信息技術(shù)的應用普及，絕大多數(shù)公文直接從計算機上產(chǎn)生和輸出，電子公文也將越來越普遍。但相比紙質(zhì)公文而言，電子公文也存在自身的局限性，如信息與載體必須關(guān)聯(lián)，否則不能直接閱讀，必須依賴于計算機相關(guān)軟件及硬件才能加以識別;電子公文易被篡改、復制，篡改之后幾乎不留痕跡，在完整性、真實性、可靠性方面認可難度大。另外，用戶訪問后臺處理數(shù)據(jù)的安全隱患、用戶輸入驗證安全隱患、文件系統(tǒng)管理安全隱患、代碼編寫等安全隱患依然存在。因此，目前乃至今后很長一段時間內(nèi)，以電子公文完全取代紙質(zhì)公文是不可行的，紙質(zhì)公文將和電子公文同時存在。

2.2 電子公文系統(tǒng)配置安全隱患

配置安全隱患包括服務器的配置安全隱患、數(shù)據(jù)庫管理系統(tǒng)的配置管理安全隱患、應用系統(tǒng)配置管理安全隱患。做好基礎(chǔ)安全管理：基礎(chǔ)安全列出常用安全防護功能，管理員可選擇開啟或者關(guān)閉該功能。一般情況下開啟的安全防護項包括兩種模式：保護模式和監(jiān)視模式;保護模式阻斷惡意行為運行，監(jiān)視模式忽略該行為，無論哪種模式，都會記錄在安全事件中，安全管理員可以事后進行安全事件的再次處理。做好白名單管理：白名單是主機安全加固系統(tǒng)的核心功能之一，通過白名單功能，保障系統(tǒng)無法運行惡意程序。系統(tǒng)初始化完成后，新的應用程序、軟件升級也需要通過白名單功能管理，以保障系統(tǒng)運行的可執(zhí)行文件的安全性。白名單包括了三類，應用白名單、程序升級白名單和證書白名單。進程保護：進程保護功能防止進程被殺死，管理員可以通過選擇開啟保護系統(tǒng)關(guān)鍵進程功能防止csrss.exe、lsass.exe、services.exe、smss.exe、svchost.exe、winlogon.exe進程被殺死。管理員還可以通過添加保護進程來保護其他需要保護的進程。強制訪問控制，根據(jù)BLP模型，強訪問控制首先對主體（用戶）和客體（文件）進行安全級別定義，然后對不同的安全級別的主客體制定讀寫的基本訪問控制策略，從而保證了敏感數(shù)據(jù)不泄露。做好安全事件管理：安全事件對系統(tǒng)安全事件進行處理和查詢，包括事件處理和事件查看。事件處理記錄了安全事件發(fā)生時間、用戶、內(nèi)容和處理方式。處理方式包括：信任和忽略，信任的程序?qū)⒘腥氚酌麊?。事件查看功能可以查看某一時間段發(fā)生的安全事件，包括：發(fā)生時間、處理時間、內(nèi)容和處理方式。審計管理：審計管理記錄了安全事件、管理員對操作系統(tǒng)的操作、安全管理員和審計管理員對服務器安全加固系統(tǒng)的操作，功能包括：安全審計、系統(tǒng)審計、自身審計、系統(tǒng)設置。

2.3 電子公文系統(tǒng)平臺安全隱患

平臺安全隱患包括服務器相關(guān)Web應用本身漏洞、數(shù)據(jù)庫系統(tǒng)漏洞、中間件的漏洞。Web應用本身漏洞會導致頁面被攻擊，攻擊者利用瀏覽器或攻擊工具，在瀏覽器地址欄中或者表單等區(qū)域中，向Web應用服務器發(fā)送特殊請求，根據(jù)反饋結(jié)果，從而探測出Web應用本身存在的漏洞，進而提權(quán)，可查看、修改未經(jīng)授權(quán)的信息。對數(shù)據(jù)庫安全隱患，要了解兩個涉及的兩個安全層面：第一層是指數(shù)據(jù)庫系統(tǒng)運行安全，惡意攻擊者通過網(wǎng)絡等途徑入侵數(shù)據(jù)庫服務器系統(tǒng)使其無法正常啟動;第二層是指數(shù)據(jù)庫系統(tǒng)信息安全，惡意攻擊者入侵數(shù)據(jù)庫，進行脫庫，并獲取想要的數(shù)據(jù)資料。第三方中間件，我們需要確保不會被惡意人員認為植入相關(guān)惡意腳本，從而導致中間件不安全。

3 電子公文系統(tǒng)威脅建模

威脅建模是通過識別目標和漏洞來優(yōu)化系統(tǒng)安全，然后定義防范或減輕系統(tǒng)威脅的對策的過程。它是分析應用程序安全性的一種方法。這是一種結(jié)構(gòu)化的方法，能夠識別，量化和解決與應用程序相關(guān)的安全風險，并應對威脅。

威脅建模主要涉及的問題是：重點保護哪些有價值的資產(chǎn)，攻擊者可能實施的破壞行為，攻擊者利用哪些漏洞對系統(tǒng)構(gòu)成威脅。

威脅主要涉及三個層面，即網(wǎng)絡層、主機層和應用層，網(wǎng)絡層包括中間人攻擊、拒絕服務攻擊等;主機層包括惡意程序、緩沖區(qū)溢出等;應用層包括跨站腳本（XSS）攻擊、SQL注入攻擊等。

原則上，系統(tǒng)安全設計過程就要考慮創(chuàng)建威脅模型，然后在實際中，往往是對已運行的系統(tǒng)創(chuàng)建威脅模型，成為系統(tǒng)運行維護的部分工作，具有豐富經(jīng)驗的開發(fā)設計人員能夠識別安全威脅。

3.1 具體建模步驟

3.1.1 架構(gòu)描述

隨著計算機技術(shù)的不斷發(fā)展，信息系統(tǒng)從集中向分布式計算模式進行演變，分布式計算模式分為三種類型，客戶機到服務器模式（C/S）模式、瀏覽器到服務器（B/S）模式和資源共享模式。電子公文系統(tǒng)的一般由系統(tǒng)管理、部門管理和公文管理三大功能模塊組成。電子簽章系統(tǒng)是電子公文系統(tǒng)必不可缺少的組成部分，采用B/S模式，部署在相對獨立的服務器上，主要功能包括電子簽章管理功能包括電子簽章的制作、授權(quán)、使用、撤銷、管理、維護等一系列操作。電子公文系統(tǒng)模式采用B/S集中式管理，電子公文全部集中存儲在一個公文交換中心，用戶可以通過網(wǎng)頁瀏覽器和閱讀器來瀏覽和查閱公文。發(fā)文一方，通過一個生成工具將辦公過程中形成不同格式的電子公文轉(zhuǎn)換為特有格式，如ceb格式，再通過加密方式進行網(wǎng)絡加密后傳至公文交換中心，并存儲在交換中心的公文數(shù)據(jù)庫中。經(jīng)過簽章后發(fā)送，公文進行了標記，從發(fā)文單位傳遞到收文單位數(shù)據(jù)庫的電子公文文檔存儲路徑并未發(fā)生變化。只有授權(quán)用戶通過http方式在客戶端，通過服務器獲得瀏覽和打印權(quán)限，電子公文文檔并未在客戶端存儲，增強了電子公文的安全屬性。

3.1.2 威脅分類

按照安全威脅分類，預定義分類如下：偽裝（Spoofing）、篡改（Tampering）、拒絕承認（Repudiation）、泄漏（Information Disclosure）、拒絕服務（Denial of Services）、權(quán)限提升（Elevation of Privileges）。評價威脅通過一些模型來進行評價，如微軟的DREAD模型，通過威脅的嚴重性角度進行評價，包括破壞潛力、再現(xiàn)性、可利用性、受影響的用戶、可發(fā)現(xiàn)性。

4 電子公文系統(tǒng)安全分析與設計

通過分析電子公文系統(tǒng)可能存在的威脅，然后，開始針對這些威脅，運用相關(guān)密碼學知識，采取對電子公文系統(tǒng)進行威脅建模的措施，實施安全性分析和安全性設計。其中整體系統(tǒng)的結(jié)構(gòu)分為：公文應用系統(tǒng)、Web服務器、數(shù)據(jù)庫服務器和網(wǎng)絡。

4.1 安全性分析

電子公文系統(tǒng)采用B/S結(jié)構(gòu)，所以電子公文系統(tǒng)的網(wǎng)絡結(jié)構(gòu)基本上由以下元素組成：數(shù)據(jù)庫服務器、電子公文WEB發(fā)布服務器、交換機、路由器、訪問客戶機等。對此我們進行安全性分析。主要是需要：保證服務器和數(shù)據(jù)庫安全，合理分配用戶角色和角色權(quán)限，防止竊聽和抵御病毒和黑客等對信息的泄露、更改和破壞，安全的電子公文系統(tǒng)架構(gòu)，實現(xiàn)安全的輸入輸出處理機制、實現(xiàn)安全的Web請求處理機制、實現(xiàn)安全的文件系統(tǒng)源代碼、實現(xiàn)安全的數(shù)據(jù)庫系統(tǒng)源代碼、實現(xiàn)安全的日志處理源代碼、實現(xiàn)安全的安全特性源代碼。

4.2 電子公文系統(tǒng)安全設計

通過對電子公文系統(tǒng)的安全性進行分析，結(jié)合存在的安全威脅可能，確定各個環(huán)節(jié)存在的威脅程度和應采取的相應的安全技術(shù)措施[1]。

4.2.1 數(shù)據(jù)安全

在電子公文系統(tǒng)中，數(shù)據(jù)庫存儲著系統(tǒng)中的身份鑒別、管理數(shù)據(jù)和重要業(yè)務數(shù)據(jù)等。因此，數(shù)據(jù)庫成為攻擊的最重要的目標，進而需要采用符合國家相關(guān)要求的密碼技術(shù)，對存儲在數(shù)據(jù)庫中的重要數(shù)據(jù)進行加密存儲，即使數(shù)據(jù)泄漏，攻擊者也很難破解或破解的代價很大，另外也可以采用備份與恢復措施，對數(shù)據(jù)進行進一步保護，確保業(yè)務的連續(xù)性。

4.2.2 數(shù)據(jù)庫服務器

電子公文系統(tǒng)的數(shù)據(jù)存儲在數(shù)據(jù)庫中，數(shù)據(jù)庫安裝在服務器上，數(shù)據(jù)庫服務器的地位就很重要，安全保護級別就非常高。因此，對數(shù)據(jù)庫服務器操作系統(tǒng)，必須安裝防病毒軟件、強身份鑒別技術(shù)措施和安全訪問控制技術(shù)措施，確保數(shù)據(jù)真實。

4.2.3 Web應用服務器

Web應用服務器，主要功能是提供客戶端用戶通過瀏覽器訪問電子公文系統(tǒng)服務器。正常情況下，首先客戶端用戶必須訪問Web應用服務器才能直接訪問電子公文系統(tǒng)的相關(guān)信息。因此，Web服務器成為攻擊者首選攻擊目標之一，為防止非法授權(quán)訪問和破壞，應強身份鑒別技術(shù)措施和安全訪問控制技術(shù)措施，安裝防病毒軟件、主機入侵檢測系統(tǒng)等措施，確保可用。

4.2.4 客戶端

客戶端屬于為用戶訪問電子公文系統(tǒng)的Web服務器的計算機，用戶涉及外部和內(nèi)部，通過網(wǎng)絡訪問電子公文應用，也需要采用身份鑒別技術(shù)來驗證客戶身份，防止非法訪問，并對用戶口令進行復雜度設置，開啟安全審計，設置超時鎖定等強措施。另外，也必須安裝殺毒軟件。

4.2.5 客戶端到交換機

電子公文系統(tǒng)數(shù)據(jù)傳輸是威脅最大的環(huán)節(jié)，攻擊者可能利用中間人攻擊等手段竊聽數(shù)據(jù)傳輸過程中的所有通信內(nèi)容，從而必須采取數(shù)據(jù)保密性、數(shù)據(jù)完整性的基本措施，對傳輸?shù)臄?shù)據(jù)進行加密。同時在可用性方面，在交換機增加防拒絕服務攻擊設備或下一代具有防DDOS攻擊模塊的防火墻。

對于電子公文系統(tǒng)的安全性分析與設計必須考慮所有的安全屬性和每個環(huán)節(jié)存在的可能的安全威脅，對每個環(huán)節(jié)采取安全措施，從而建立公文系統(tǒng)的安全模型。由于每個電子公文系統(tǒng)所屬的網(wǎng)絡架構(gòu)、安全保護等級、安全威脅程度和種類不可能都一樣。所以，需要考慮各個環(huán)節(jié)所采取的安全措施，以達到電子公文系統(tǒng)相適應的安全要求。

4.2.6 數(shù)據(jù)傳輸過程加密

在數(shù)據(jù)傳輸過程中，傳輸?shù)木€路可能被竊聽，進而進行非法篡改，為了防止這種現(xiàn)象發(fā)生，傳輸過程中引入密鑰和報文鑒別（MAC），從而確保數(shù)據(jù)包的真實性和合法性。

數(shù)據(jù)傳輸以密鑰為基礎(chǔ)，設置有前置計算機24小時開機，按照密鑰分發(fā)機制自動向接受的主機申請傳輸密鑰，按照非對稱密碼原理將其中一個密鑰傳至前置機，另外一個存放在接受的主機上，這就構(gòu)成了一對密鑰，以后數(shù)據(jù)的傳輸均通過這一對密鑰加密。因為傳輸密鑰的申請是隨時可以重復的，也就是說傳輸密鑰是動態(tài)的，而且每一前置機與主機之間的密鑰對應是不同的，所以確保了數(shù)據(jù)在傳輸中的安全性和保密性[2]。

4.2.7 密鑰及其管理

系統(tǒng)加密體系的核心是系統(tǒng)主密鑰與公文系統(tǒng)密鑰，密鑰的保密程度如何，直接關(guān)系到系統(tǒng)的安全性，所以對它們?nèi)绾喂芾盹@得非常重要。

系統(tǒng)主密鑰和公文系統(tǒng)密鑰是由二到三個公文系統(tǒng)高級管理者確定并輸入的，系統(tǒng)主密鑰用DES加密算法處理，將兩者密文均存儲在數(shù)據(jù)庫中，這樣，既可以避免密鑰丟失，又防止除輸入密鑰的管理者之外的任何掌握密鑰。同時，由于密鑰并非一個人掌握所以也能相互牽制密鑰的輸入者。而密鑰的輸入者，必須保證自己所輸?shù)拿荑€不向任何人泄漏[3]。

4.2.8 管理員權(quán)限的劃分

電子公文系統(tǒng)應取消超級管理員，設計和開發(fā)階段就設置系統(tǒng)管理員、安全管理員和審計管理員，各管理員履行各自的職責，確保業(yè)務流程和系統(tǒng)的安全性。

系統(tǒng)管理員負責系統(tǒng)管理方面工作，如建立電子公文用戶;安全管理員負責系統(tǒng)安全方面的配置和授權(quán)，如根據(jù)系統(tǒng)管理員建立的用戶給相應的權(quán)限，同時可以監(jiān)控到審計管理員的操作行為;審計管理員負責對系統(tǒng)管理員和安全管理員他們操作行為進行審計，審計其是否違反規(guī)定進行操作。三個管理員之間可以形成相互監(jiān)督和相互制約的關(guān)系[4]。

5結(jié)論

電子公文系統(tǒng)是一個安全可靠性要求很高的地方，對用戶數(shù)據(jù)的傳輸和保存的可靠性要求是要擺在首位的，在文章中，根據(jù)網(wǎng)絡、主機和應用程序種類來組織威脅。這可以使不同角色的不同小組成員更方便地使用該報告。每一類中，按優(yōu)先順序排列威脅，最先的是評價具有最大危險的威脅，緊跟的是危險較小的威脅。

本文提出的密碼學方案，依照密碼學基本原理，對系統(tǒng)中的安全隱患進行了深入的分析，然后方案進行了有效的實施，經(jīng)過證明，該方案可以有效地應對一般情況下的網(wǎng)絡威脅，對常見的系統(tǒng)攻擊有很好的防范作用，能切實提高公文系統(tǒng)的安全性，減少用戶信息泄露的可能性，保護好用戶信息在服務站的存儲。雖然可以降低攻擊帶來的危險，但是卻不能減少或者消除實際的威脅。不管采取何種安全措施以及采用何種對策，威脅仍舊存在。安全界的現(xiàn)實就是，承認威脅的存在并控制危險。威脅建?？梢钥刂瓢踩L險并在團隊中間溝通這些安全風險，并做出有效響應。威脅建模在過程的整個周期（從初始化到部署，還包括維護過程）進行。

參考文獻：

[1] 高仲凱，賈榮.電子公文系統(tǒng)的網(wǎng)絡信息安全問題探討[J].中國信息界，2011（1）：43-44.

[2] 張鶴高，熊文燦，李祥.Web服務身份驗證與數(shù)據(jù)加密傳輸協(xié)議的設計與實現(xiàn)[J].電腦與信息技術(shù)，2005，13（5）：52-56.

[3] 黃志榮，范磊，陳恭亮.密鑰管理技術(shù)研究[J].計算機應用與軟件，2005，22（11）：112-114.

[4] 陳耀泉.提高辦公管理系統(tǒng)中權(quán)限設置和查詢效率的數(shù)據(jù)處理方法：CN102722568A[P].2012-10-10.

【通聯(lián)編輯：唐一東】