淺談等級保護2.0時代下電子公文系統中的密碼學應用

趙利軍

摘要：在等級保護2.0時代下，很多單位都會遇到可能無法預測的內部和外部威脅，其數據傳輸、處理和存儲均存在高風險。由于電子公文系統存在對用戶重要信息的傳輸，因此存在用戶訪問處理安全隱患、用戶輸入驗證安全隱患、文件系統管理安全隱患、代碼編寫安全隱患。本文依照基本密碼學原理，從原理上分析了公文系統的結構設計，指出了公文系統存在的隱患，設計了一套密碼學系統。

關鍵詞：電子公文系統;信息安全;密碼學

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）13-0041-03

Abstract：In the era of hierarchical protection 2.0， many units will encounter unpredictable internal and external threats， and their data transmission， processing and storage have high risks. Due to the transmission of important information to users in electronic document system， there are security risks in user access processing， user input verification， file system management and code writing. According to the basic cryptography principle， this paper analyzes the structure design of the official document system， points out the hidden dangers of the official document system， and designs a set of cryptography system.

Key words：electronic document system; information security; cryptography

1 引言

隨著信息技術不斷提高，電子政務業務應用越來越廣泛。其中，電子公文業務的處理、交換成為應用的主要內容，而安全性問題是電子公文處理中的難點和重點之一。在網絡安全等級保護2.0時代下，如何有效防止數據泄露現象的發生以及可能的網絡攻擊，是電子公文應用系統必須面對的問題，各種網絡問題層出不暇，系統中用戶信息、關鍵數據的等傳輸、處理和存儲安全面臨的威脅也越來越多，正是由于這些問題的存在，而一些關鍵系統中的用戶信息顯得十分重要。因此，企業日益關注網絡安全，使其成為信息系統安全專業開發人員必須掌握的概念。

由于互聯網威脅的無處不在，即使非常重視信息安全的企業也可能成為被網絡攻擊的對象，遵守相關的安全標準也許不足以阻止和檢測網絡攻擊行為。運用密碼學原理采用威脅建模形式，讓企業對最可能影響應用系統的各種網絡安全威脅進行系統性識別和評價，有了這些識別出來的信息，就可以按照一定的邏輯關系，采取適當的策略來處理存在的威脅，并從具有最高風險的威脅開始。在明確了風險是基于對組織機構構成的威脅、威脅關注的是有價值的資產這個基本原則之后，我們就可以對電子公文應用系統進行安全性分析和安全性設計，從而有效的應對威脅。

2 電子公文系統隱患

電子公文系統由于是基于B/S架構，所以必然的存在用戶敏感數據在網絡中進行傳輸，保證數據信息不被竊取，數據能安全穩定的持久化存儲，這對客戶端系統和后臺服務器系統都是很大的挑戰，具體來說，系統隱患主要分為如下幾類：

2.1 電子公文系統設計安全隱患

電子公文是通過計算機進行處理、傳輸和存儲等處理的信息化產物，具有存儲容積小、檢索速度快、遠程快速傳送等優點。隨著計算機信息技術的應用普及，絕大多數公文直接從計算機上產生和輸出，電子公文也將越來越普遍。但相比紙質公文而言，電子公文也存在自身的局限性，如信息與載體必須關聯，否則不能直接閱讀，必須依賴于計算機相關軟件及硬件才能加以識別;電子公文易被篡改、復制，篡改之后幾乎不留痕跡，在完整性、真實性、可靠性方面認可難度大。另外，用戶訪問后臺處理數據的安全隱患、用戶輸入驗證安全隱患、文件系統管理安全隱患、代碼編寫等安全隱患依然存在。因此，目前乃至今后很長一段時間內，以電子公文完全取代紙質公文是不可行的，紙質公文將和電子公文同時存在。

2.2 電子公文系統配置安全隱患

配置安全隱患包括服務器的配置安全隱患、數據庫管理系統的配置管理安全隱患、應用系統配置管理安全隱患。做好基礎安全管理：基礎安全列出常用安全防護功能，管理員可選擇開啟或者關閉該功能。一般情況下開啟的安全防護項包括兩種模式：保護模式和監視模式;保護模式阻斷惡意行為運行，監視模式忽略該行為，無論哪種模式，都會記錄在安全事件中，安全管理員可以事后進行安全事件的再次處理。做好白名單管理：白名單是主機安全加固系統的核心功能之一，通過白名單功能，保障系統無法運行惡意程序。系統初始化完成后，新的應用程序、軟件升級也需要通過白名單功能管理，以保障系統運行的可執行文件的安全性。白名單包括了三類，應用白名單、程序升級白名單和證書白名單。進程保護：進程保護功能防止進程被殺死，管理員可以通過選擇開啟保護系統關鍵進程功能防止csrss.exe、lsass.exe、services.exe、smss.exe、svchost.exe、winlogon.exe進程被殺死。管理員還可以通過添加保護進程來保護其他需要保護的進程。強制訪問控制，根據BLP模型，強訪問控制首先對主體（用戶）和客體（文件）進行安全級別定義，然后對不同的安全級別的主客體制定讀寫的基本訪問控制策略，從而保證了敏感數據不泄露。做好安全事件管理：安全事件對系統安全事件進行處理和查詢，包括事件處理和事件查看。事件處理記錄了安全事件發生時間、用戶、內容和處理方式。處理方式包括：信任和忽略，信任的程序將列入白名單。事件查看功能可以查看某一時間段發生的安全事件，包括：發生時間、處理時間、內容和處理方式。審計管理：審計管理記錄了安全事件、管理員對操作系統的操作、安全管理員和審計管理員對服務器安全加固系統的操作，功能包括：安全審計、系統審計、自身審計、系統設置。

2.3 電子公文系統平臺安全隱患

平臺安全隱患包括服務器相關Web應用本身漏洞、數據庫系統漏洞、中間件的漏洞。Web應用本身漏洞會導致頁面被攻擊，攻擊者利用瀏覽器或攻擊工具，在瀏覽器地址欄中或者表單等區域中，向Web應用服務器發送特殊請求，根據反饋結果，從而探測出Web應用本身存在的漏洞，進而提權，可查看、修改未經授權的信息。對數據庫安全隱患，要了解兩個涉及的兩個安全層面：第一層是指數據庫系統運行安全，惡意攻擊者通過網絡等途徑入侵數據庫服務器系統使其無法正常啟動;第二層是指數據庫系統信息安全，惡意攻擊者入侵數據庫，進行脫庫，并獲取想要的數據資料。第三方中間件，我們需要確保不會被惡意人員認為植入相關惡意腳本，從而導致中間件不安全。

3 電子公文系統威脅建模

威脅建模是通過識別目標和漏洞來優化系統安全，然后定義防范或減輕系統威脅的對策的過程。它是分析應用程序安全性的一種方法。這是一種結構化的方法，能夠識別，量化和解決與應用程序相關的安全風險，并應對威脅。

威脅建模主要涉及的問題是：重點保護哪些有價值的資產，攻擊者可能實施的破壞行為，攻擊者利用哪些漏洞對系統構成威脅。

威脅主要涉及三個層面，即網絡層、主機層和應用層，網絡層包括中間人攻擊、拒絕服務攻擊等;主機層包括惡意程序、緩沖區溢出等;應用層包括跨站腳本（XSS）攻擊、SQL注入攻擊等。

原則上，系統安全設計過程就要考慮創建威脅模型，然后在實際中，往往是對已運行的系統創建威脅模型，成為系統運行維護的部分工作，具有豐富經驗的開發設計人員能夠識別安全威脅。

3.1 具體建模步驟

3.1.1 架構描述

隨著計算機技術的不斷發展，信息系統從集中向分布式計算模式進行演變，分布式計算模式分為三種類型，客戶機到服務器模式（C/S）模式、瀏覽器到服務器（B/S）模式和資源共享模式。電子公文系統的一般由系統管理、部門管理和公文管理三大功能模塊組成。電子簽章系統是電子公文系統必不可缺少的組成部分，采用B/S模式，部署在相對獨立的服務器上，主要功能包括電子簽章管理功能包括電子簽章的制作、授權、使用、撤銷、管理、維護等一系列操作。電子公文系統模式采用B/S集中式管理，電子公文全部集中存儲在一個公文交換中心，用戶可以通過網頁瀏覽器和閱讀器來瀏覽和查閱公文。發文一方，通過一個生成工具將辦公過程中形成不同格式的電子公文轉換為特有格式，如ceb格式，再通過加密方式進行網絡加密后傳至公文交換中心，并存儲在交換中心的公文數據庫中。經過簽章后發送，公文進行了標記，從發文單位傳遞到收文單位數據庫的電子公文文檔存儲路徑并未發生變化。只有授權用戶通過http方式在客戶端，通過服務器獲得瀏覽和打印權限，電子公文文檔并未在客戶端存儲，增強了電子公文的安全屬性。

3.1.2 威脅分類

按照安全威脅分類，預定義分類如下：偽裝（Spoofing）、篡改（Tampering）、拒絕承認（Repudiation）、泄漏（Information Disclosure）、拒絕服務（Denial of Services）、權限提升（Elevation of Privileges）。評價威脅通過一些模型來進行評價，如微軟的DREAD模型，通過威脅的嚴重性角度進行評價，包括破壞潛力、再現性、可利用性、受影響的用戶、可發現性。

4 電子公文系統安全分析與設計

通過分析電子公文系統可能存在的威脅，然后，開始針對這些威脅，運用相關密碼學知識，采取對電子公文系統進行威脅建模的措施，實施安全性分析和安全性設計。其中整體系統的結構分為：公文應用系統、Web服務器、數據庫服務器和網絡。

4.1 安全性分析

電子公文系統采用B/S結構，所以電子公文系統的網絡結構基本上由以下元素組成：數據庫服務器、電子公文WEB發布服務器、交換機、路由器、訪問客戶機等。對此我們進行安全性分析。主要是需要：保證服務器和數據庫安全，合理分配用戶角色和角色權限，防止竊聽和抵御病毒和黑客等對信息的泄露、更改和破壞，安全的電子公文系統架構，實現安全的輸入輸出處理機制、實現安全的Web請求處理機制、實現安全的文件系統源代碼、實現安全的數據庫系統源代碼、實現安全的日志處理源代碼、實現安全的安全特性源代碼。

4.2 電子公文系統安全設計

通過對電子公文系統的安全性進行分析，結合存在的安全威脅可能，確定各個環節存在的威脅程度和應采取的相應的安全技術措施[1]。

4.2.1 數據安全

在電子公文系統中，數據庫存儲著系統中的身份鑒別、管理數據和重要業務數據等。因此，數據庫成為攻擊的最重要的目標，進而需要采用符合國家相關要求的密碼技術，對存儲在數據庫中的重要數據進行加密存儲，即使數據泄漏，攻擊者也很難破解或破解的代價很大，另外也可以采用備份與恢復措施，對數據進行進一步保護，確保業務的連續性。

4.2.2 數據庫服務器

電子公文系統的數據存儲在數據庫中，數據庫安裝在服務器上，數據庫服務器的地位就很重要，安全保護級別就非常高。因此，對數據庫服務器操作系統，必須安裝防病毒軟件、強身份鑒別技術措施和安全訪問控制技術措施，確保數據真實。

4.2.3 Web應用服務器

Web應用服務器，主要功能是提供客戶端用戶通過瀏覽器訪問電子公文系統服務器。正常情況下，首先客戶端用戶必須訪問Web應用服務器才能直接訪問電子公文系統的相關信息。因此，Web服務器成為攻擊者首選攻擊目標之一，為防止非法授權訪問和破壞，應強身份鑒別技術措施和安全訪問控制技術措施，安裝防病毒軟件、主機入侵檢測系統等措施，確保可用。

4.2.4 客戶端

客戶端屬于為用戶訪問電子公文系統的Web服務器的計算機，用戶涉及外部和內部，通過網絡訪問電子公文應用，也需要采用身份鑒別技術來驗證客戶身份，防止非法訪問，并對用戶口令進行復雜度設置，開啟安全審計，設置超時鎖定等強措施。另外，也必須安裝殺毒軟件。

4.2.5 客戶端到交換機

電子公文系統數據傳輸是威脅最大的環節，攻擊者可能利用中間人攻擊等手段竊聽數據傳輸過程中的所有通信內容，從而必須采取數據保密性、數據完整性的基本措施，對傳輸的數據進行加密。同時在可用性方面，在交換機增加防拒絕服務攻擊設備或下一代具有防DDOS攻擊模塊的防火墻。

對于電子公文系統的安全性分析與設計必須考慮所有的安全屬性和每個環節存在的可能的安全威脅，對每個環節采取安全措施，從而建立公文系統的安全模型。由于每個電子公文系統所屬的網絡架構、安全保護等級、安全威脅程度和種類不可能都一樣。所以，需要考慮各個環節所采取的安全措施，以達到電子公文系統相適應的安全要求。

4.2.6 數據傳輸過程加密

在數據傳輸過程中，傳輸的線路可能被竊聽，進而進行非法篡改，為了防止這種現象發生，傳輸過程中引入密鑰和報文鑒別（MAC），從而確保數據包的真實性和合法性。

數據傳輸以密鑰為基礎，設置有前置計算機24小時開機，按照密鑰分發機制自動向接受的主機申請傳輸密鑰，按照非對稱密碼原理將其中一個密鑰傳至前置機，另外一個存放在接受的主機上，這就構成了一對密鑰，以后數據的傳輸均通過這一對密鑰加密。因為傳輸密鑰的申請是隨時可以重復的，也就是說傳輸密鑰是動態的，而且每一前置機與主機之間的密鑰對應是不同的，所以確保了數據在傳輸中的安全性和保密性[2]。

4.2.7 密鑰及其管理

系統加密體系的核心是系統主密鑰與公文系統密鑰，密鑰的保密程度如何，直接關系到系統的安全性，所以對它們如何管理顯得非常重要。

系統主密鑰和公文系統密鑰是由二到三個公文系統高級管理者確定并輸入的，系統主密鑰用DES加密算法處理，將兩者密文均存儲在數據庫中，這樣，既可以避免密鑰丟失，又防止除輸入密鑰的管理者之外的任何掌握密鑰。同時，由于密鑰并非一個人掌握所以也能相互牽制密鑰的輸入者。而密鑰的輸入者，必須保證自己所輸的密鑰不向任何人泄漏[3]。

4.2.8 管理員權限的劃分

電子公文系統應取消超級管理員，設計和開發階段就設置系統管理員、安全管理員和審計管理員，各管理員履行各自的職責，確保業務流程和系統的安全性。

系統管理員負責系統管理方面工作，如建立電子公文用戶;安全管理員負責系統安全方面的配置和授權，如根據系統管理員建立的用戶給相應的權限，同時可以監控到審計管理員的操作行為;審計管理員負責對系統管理員和安全管理員他們操作行為進行審計，審計其是否違反規定進行操作。三個管理員之間可以形成相互監督和相互制約的關系[4]。

5結論

電子公文系統是一個安全可靠性要求很高的地方，對用戶數據的傳輸和保存的可靠性要求是要擺在首位的，在文章中，根據網絡、主機和應用程序種類來組織威脅。這可以使不同角色的不同小組成員更方便地使用該報告。每一類中，按優先順序排列威脅，最先的是評價具有最大危險的威脅，緊跟的是危險較小的威脅。

本文提出的密碼學方案，依照密碼學基本原理，對系統中的安全隱患進行了深入的分析，然后方案進行了有效的實施，經過證明，該方案可以有效地應對一般情況下的網絡威脅，對常見的系統攻擊有很好的防范作用，能切實提高公文系統的安全性，減少用戶信息泄露的可能性，保護好用戶信息在服務站的存儲。雖然可以降低攻擊帶來的危險，但是卻不能減少或者消除實際的威脅。不管采取何種安全措施以及采用何種對策，威脅仍舊存在。安全界的現實就是，承認威脅的存在并控制危險。威脅建模可以控制安全風險并在團隊中間溝通這些安全風險，并做出有效響應。威脅建模在過程的整個周期（從初始化到部署，還包括維護過程）進行。

參考文獻：

[1] 高仲凱，賈榮.電子公文系統的網絡信息安全問題探討[J].中國信息界，2011（1）：43-44.

[2] 張鶴高，熊文燦，李祥.Web服務身份驗證與數據加密傳輸協議的設計與實現[J].電腦與信息技術，2005，13（5）：52-56.

[3] 黃志榮，范磊，陳恭亮.密鑰管理技術研究[J].計算機應用與軟件，2005，22（11）：112-114.

[4] 陳耀泉.提高辦公管理系統中權限設置和查詢效率的數據處理方法：CN102722568A[P].2012-10-10.

【通聯編輯：唐一東】