淺談等級保護2.0時代下電子公文系統(tǒng)中的密碼學(xué)應(yīng)用

趙利軍

摘要：在等級保護2.0時代下，很多單位都會遇到可能無法預(yù)測的內(nèi)部和外部威脅，其數(shù)據(jù)傳輸、處理和存儲均存在高風(fēng)險。由于電子公文系統(tǒng)存在對用戶重要信息的傳輸，因此存在用戶訪問處理安全隱患、用戶輸入驗證安全隱患、文件系統(tǒng)管理安全隱患、代碼編寫安全隱患。本文依照基本密碼學(xué)原理，從原理上分析了公文系統(tǒng)的結(jié)構(gòu)設(shè)計，指出了公文系統(tǒng)存在的隱患，設(shè)計了一套密碼學(xué)系統(tǒng)。

關(guān)鍵詞：電子公文系統(tǒng);信息安全;密碼學(xué)

中圖分類號：TP311? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2021）13-0041-03

Abstract：In the era of hierarchical protection 2.0， many units will encounter unpredictable internal and external threats， and their data transmission， processing and storage have high risks. Due to the transmission of important information to users in electronic document system， there are security risks in user access processing， user input verification， file system management and code writing. According to the basic cryptography principle， this paper analyzes the structure design of the official document system， points out the hidden dangers of the official document system， and designs a set of cryptography system.

Key words：electronic document system; information security; cryptography

1 引言

隨著信息技術(shù)不斷提高，電子政務(wù)業(yè)務(wù)應(yīng)用越來越廣泛。其中，電子公文業(yè)務(wù)的處理、交換成為應(yīng)用的主要內(nèi)容，而安全性問題是電子公文處理中的難點和重點之一。在網(wǎng)絡(luò)安全等級保護2.0時代下，如何有效防止數(shù)據(jù)泄露現(xiàn)象的發(fā)生以及可能的網(wǎng)絡(luò)攻擊，是電子公文應(yīng)用系統(tǒng)必須面對的問題，各種網(wǎng)絡(luò)問題層出不暇，系統(tǒng)中用戶信息、關(guān)鍵數(shù)據(jù)的等傳輸、處理和存儲安全面臨的威脅也越來越多，正是由于這些問題的存在，而一些關(guān)鍵系統(tǒng)中的用戶信息顯得十分重要。因此，企業(yè)日益關(guān)注網(wǎng)絡(luò)安全，使其成為信息系統(tǒng)安全專業(yè)開發(fā)人員必須掌握的概念。

由于互聯(lián)網(wǎng)威脅的無處不在，即使非常重視信息安全的企業(yè)也可能成為被網(wǎng)絡(luò)攻擊的對象，遵守相關(guān)的安全標(biāo)準(zhǔn)也許不足以阻止和檢測網(wǎng)絡(luò)攻擊行為。運用密碼學(xué)原理采用威脅建模形式，讓企業(yè)對最可能影響應(yīng)用系統(tǒng)的各種網(wǎng)絡(luò)安全威脅進行系統(tǒng)性識別和評價，有了這些識別出來的信息，就可以按照一定的邏輯關(guān)系，采取適當(dāng)?shù)牟呗詠硖幚泶嬖诘耐{，并從具有最高風(fēng)險的威脅開始。在明確了風(fēng)險是基于對組織機構(gòu)構(gòu)成的威脅、威脅關(guān)注的是有價值的資產(chǎn)這個基本原則之后，我們就可以對電子公文應(yīng)用系統(tǒng)進行安全性分析和安全性設(shè)計，從而有效的應(yīng)對威脅。

2 電子公文系統(tǒng)隱患

電子公文系統(tǒng)由于是基于B/S架構(gòu)，所以必然的存在用戶敏感數(shù)據(jù)在網(wǎng)絡(luò)中進行傳輸，保證數(shù)據(jù)信息不被竊取，數(shù)據(jù)能安全穩(wěn)定的持久化存儲，這對客戶端系統(tǒng)和后臺服務(wù)器系統(tǒng)都是很大的挑戰(zhàn)，具體來說，系統(tǒng)隱患主要分為如下幾類：

2.1 電子公文系統(tǒng)設(shè)計安全隱患

電子公文是通過計算機進行處理、傳輸和存儲等處理的信息化產(chǎn)物，具有存儲容積小、檢索速度快、遠程快速傳送等優(yōu)點。隨著計算機信息技術(shù)的應(yīng)用普及，絕大多數(shù)公文直接從計算機上產(chǎn)生和輸出，電子公文也將越來越普遍。但相比紙質(zhì)公文而言，電子公文也存在自身的局限性，如信息與載體必須關(guān)聯(lián)，否則不能直接閱讀，必須依賴于計算機相關(guān)軟件及硬件才能加以識別;電子公文易被篡改、復(fù)制，篡改之后幾乎不留痕跡，在完整性、真實性、可靠性方面認(rèn)可難度大。另外，用戶訪問后臺處理數(shù)據(jù)的安全隱患、用戶輸入驗證安全隱患、文件系統(tǒng)管理安全隱患、代碼編寫等安全隱患依然存在。因此，目前乃至今后很長一段時間內(nèi)，以電子公文完全取代紙質(zhì)公文是不可行的，紙質(zhì)公文將和電子公文同時存在。

2.2 電子公文系統(tǒng)配置安全隱患

配置安全隱患包括服務(wù)器的配置安全隱患、數(shù)據(jù)庫管理系統(tǒng)的配置管理安全隱患、應(yīng)用系統(tǒng)配置管理安全隱患。做好基礎(chǔ)安全管理：基礎(chǔ)安全列出常用安全防護功能，管理員可選擇開啟或者關(guān)閉該功能。一般情況下開啟的安全防護項包括兩種模式：保護模式和監(jiān)視模式;保護模式阻斷惡意行為運行，監(jiān)視模式忽略該行為，無論哪種模式，都會記錄在安全事件中，安全管理員可以事后進行安全事件的再次處理。做好白名單管理：白名單是主機安全加固系統(tǒng)的核心功能之一，通過白名單功能，保障系統(tǒng)無法運行惡意程序。系統(tǒng)初始化完成后，新的應(yīng)用程序、軟件升級也需要通過白名單功能管理，以保障系統(tǒng)運行的可執(zhí)行文件的安全性。白名單包括了三類，應(yīng)用白名單、程序升級白名單和證書白名單。進程保護：進程保護功能防止進程被殺死，管理員可以通過選擇開啟保護系統(tǒng)關(guān)鍵進程功能防止csrss.exe、lsass.exe、services.exe、smss.exe、svchost.exe、winlogon.exe進程被殺死。管理員還可以通過添加保護進程來保護其他需要保護的進程。強制訪問控制，根據(jù)BLP模型，強訪問控制首先對主體（用戶）和客體（文件）進行安全級別定義，然后對不同的安全級別的主客體制定讀寫的基本訪問控制策略，從而保證了敏感數(shù)據(jù)不泄露。做好安全事件管理：安全事件對系統(tǒng)安全事件進行處理和查詢，包括事件處理和事件查看。事件處理記錄了安全事件發(fā)生時間、用戶、內(nèi)容和處理方式。處理方式包括：信任和忽略，信任的程序?qū)⒘腥氚酌麊巍Ｊ录榭垂δ芸梢圆榭茨骋粫r間段發(fā)生的安全事件，包括：發(fā)生時間、處理時間、內(nèi)容和處理方式。審計管理：審計管理記錄了安全事件、管理員對操作系統(tǒng)的操作、安全管理員和審計管理員對服務(wù)器安全加固系統(tǒng)的操作，功能包括：安全審計、系統(tǒng)審計、自身審計、系統(tǒng)設(shè)置。

2.3 電子公文系統(tǒng)平臺安全隱患

平臺安全隱患包括服務(wù)器相關(guān)Web應(yīng)用本身漏洞、數(shù)據(jù)庫系統(tǒng)漏洞、中間件的漏洞。Web應(yīng)用本身漏洞會導(dǎo)致頁面被攻擊，攻擊者利用瀏覽器或攻擊工具，在瀏覽器地址欄中或者表單等區(qū)域中，向Web應(yīng)用服務(wù)器發(fā)送特殊請求，根據(jù)反饋結(jié)果，從而探測出Web應(yīng)用本身存在的漏洞，進而提權(quán)，可查看、修改未經(jīng)授權(quán)的信息。對數(shù)據(jù)庫安全隱患，要了解兩個涉及的兩個安全層面：第一層是指數(shù)據(jù)庫系統(tǒng)運行安全，惡意攻擊者通過網(wǎng)絡(luò)等途徑入侵?jǐn)?shù)據(jù)庫服務(wù)器系統(tǒng)使其無法正常啟動;第二層是指數(shù)據(jù)庫系統(tǒng)信息安全，惡意攻擊者入侵?jǐn)?shù)據(jù)庫，進行脫庫，并獲取想要的數(shù)據(jù)資料。第三方中間件，我們需要確保不會被惡意人員認(rèn)為植入相關(guān)惡意腳本，從而導(dǎo)致中間件不安全。

3 電子公文系統(tǒng)威脅建模

威脅建模是通過識別目標(biāo)和漏洞來優(yōu)化系統(tǒng)安全，然后定義防范或減輕系統(tǒng)威脅的對策的過程。它是分析應(yīng)用程序安全性的一種方法。這是一種結(jié)構(gòu)化的方法，能夠識別，量化和解決與應(yīng)用程序相關(guān)的安全風(fēng)險，并應(yīng)對威脅。

威脅建模主要涉及的問題是：重點保護哪些有價值的資產(chǎn)，攻擊者可能實施的破壞行為，攻擊者利用哪些漏洞對系統(tǒng)構(gòu)成威脅。

威脅主要涉及三個層面，即網(wǎng)絡(luò)層、主機層和應(yīng)用層，網(wǎng)絡(luò)層包括中間人攻擊、拒絕服務(wù)攻擊等;主機層包括惡意程序、緩沖區(qū)溢出等;應(yīng)用層包括跨站腳本（XSS）攻擊、SQL注入攻擊等。

原則上，系統(tǒng)安全設(shè)計過程就要考慮創(chuàng)建威脅模型，然后在實際中，往往是對已運行的系統(tǒng)創(chuàng)建威脅模型，成為系統(tǒng)運行維護的部分工作，具有豐富經(jīng)驗的開發(fā)設(shè)計人員能夠識別安全威脅。

3.1 具體建模步驟

3.1.1 架構(gòu)描述

隨著計算機技術(shù)的不斷發(fā)展，信息系統(tǒng)從集中向分布式計算模式進行演變，分布式計算模式分為三種類型，客戶機到服務(wù)器模式（C/S）模式、瀏覽器到服務(wù)器（B/S）模式和資源共享模式。電子公文系統(tǒng)的一般由系統(tǒng)管理、部門管理和公文管理三大功能模塊組成。電子簽章系統(tǒng)是電子公文系統(tǒng)必不可缺少的組成部分，采用B/S模式，部署在相對獨立的服務(wù)器上，主要功能包括電子簽章管理功能包括電子簽章的制作、授權(quán)、使用、撤銷、管理、維護等一系列操作。電子公文系統(tǒng)模式采用B/S集中式管理，電子公文全部集中存儲在一個公文交換中心，用戶可以通過網(wǎng)頁瀏覽器和閱讀器來瀏覽和查閱公文。發(fā)文一方，通過一個生成工具將辦公過程中形成不同格式的電子公文轉(zhuǎn)換為特有格式，如ceb格式，再通過加密方式進行網(wǎng)絡(luò)加密后傳至公文交換中心，并存儲在交換中心的公文數(shù)據(jù)庫中。經(jīng)過簽章后發(fā)送，公文進行了標(biāo)記，從發(fā)文單位傳遞到收文單位數(shù)據(jù)庫的電子公文文檔存儲路徑并未發(fā)生變化。只有授權(quán)用戶通過http方式在客戶端，通過服務(wù)器獲得瀏覽和打印權(quán)限，電子公文文檔并未在客戶端存儲，增強了電子公文的安全屬性。

3.1.2 威脅分類

按照安全威脅分類，預(yù)定義分類如下：偽裝（Spoofing）、篡改（Tampering）、拒絕承認(rèn)（Repudiation）、泄漏（Information Disclosure）、拒絕服務(wù)（Denial of Services）、權(quán)限提升（Elevation of Privileges）。評價威脅通過一些模型來進行評價，如微軟的DREAD模型，通過威脅的嚴(yán)重性角度進行評價，包括破壞潛力、再現(xiàn)性、可利用性、受影響的用戶、可發(fā)現(xiàn)性。

4 電子公文系統(tǒng)安全分析與設(shè)計

通過分析電子公文系統(tǒng)可能存在的威脅，然后，開始針對這些威脅，運用相關(guān)密碼學(xué)知識，采取對電子公文系統(tǒng)進行威脅建模的措施，實施安全性分析和安全性設(shè)計。其中整體系統(tǒng)的結(jié)構(gòu)分為：公文應(yīng)用系統(tǒng)、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器和網(wǎng)絡(luò)。

4.1 安全性分析

電子公文系統(tǒng)采用B/S結(jié)構(gòu)，所以電子公文系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)基本上由以下元素組成：數(shù)據(jù)庫服務(wù)器、電子公文WEB發(fā)布服務(wù)器、交換機、路由器、訪問客戶機等。對此我們進行安全性分析。主要是需要：保證服務(wù)器和數(shù)據(jù)庫安全，合理分配用戶角色和角色權(quán)限，防止竊聽和抵御病毒和黑客等對信息的泄露、更改和破壞，安全的電子公文系統(tǒng)架構(gòu)，實現(xiàn)安全的輸入輸出處理機制、實現(xiàn)安全的Web請求處理機制、實現(xiàn)安全的文件系統(tǒng)源代碼、實現(xiàn)安全的數(shù)據(jù)庫系統(tǒng)源代碼、實現(xiàn)安全的日志處理源代碼、實現(xiàn)安全的安全特性源代碼。

4.2 電子公文系統(tǒng)安全設(shè)計

通過對電子公文系統(tǒng)的安全性進行分析，結(jié)合存在的安全威脅可能，確定各個環(huán)節(jié)存在的威脅程度和應(yīng)采取的相應(yīng)的安全技術(shù)措施[1]。

4.2.1 數(shù)據(jù)安全

在電子公文系統(tǒng)中，數(shù)據(jù)庫存儲著系統(tǒng)中的身份鑒別、管理數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等。因此，數(shù)據(jù)庫成為攻擊的最重要的目標(biāo)，進而需要采用符合國家相關(guān)要求的密碼技術(shù)，對存儲在數(shù)據(jù)庫中的重要數(shù)據(jù)進行加密存儲，即使數(shù)據(jù)泄漏，攻擊者也很難破解或破解的代價很大，另外也可以采用備份與恢復(fù)措施，對數(shù)據(jù)進行進一步保護，確保業(yè)務(wù)的連續(xù)性。

4.2.2 數(shù)據(jù)庫服務(wù)器

電子公文系統(tǒng)的數(shù)據(jù)存儲在數(shù)據(jù)庫中，數(shù)據(jù)庫安裝在服務(wù)器上，數(shù)據(jù)庫服務(wù)器的地位就很重要，安全保護級別就非常高。因此，對數(shù)據(jù)庫服務(wù)器操作系統(tǒng)，必須安裝防病毒軟件、強身份鑒別技術(shù)措施和安全訪問控制技術(shù)措施，確保數(shù)據(jù)真實。

4.2.3 Web應(yīng)用服務(wù)器

Web應(yīng)用服務(wù)器，主要功能是提供客戶端用戶通過瀏覽器訪問電子公文系統(tǒng)服務(wù)器。正常情況下，首先客戶端用戶必須訪問Web應(yīng)用服務(wù)器才能直接訪問電子公文系統(tǒng)的相關(guān)信息。因此，Web服務(wù)器成為攻擊者首選攻擊目標(biāo)之一，為防止非法授權(quán)訪問和破壞，應(yīng)強身份鑒別技術(shù)措施和安全訪問控制技術(shù)措施，安裝防病毒軟件、主機入侵檢測系統(tǒng)等措施，確保可用。

4.2.4 客戶端

客戶端屬于為用戶訪問電子公文系統(tǒng)的Web服務(wù)器的計算機，用戶涉及外部和內(nèi)部，通過網(wǎng)絡(luò)訪問電子公文應(yīng)用，也需要采用身份鑒別技術(shù)來驗證客戶身份，防止非法訪問，并對用戶口令進行復(fù)雜度設(shè)置，開啟安全審計，設(shè)置超時鎖定等強措施。另外，也必須安裝殺毒軟件。

4.2.5 客戶端到交換機

電子公文系統(tǒng)數(shù)據(jù)傳輸是威脅最大的環(huán)節(jié)，攻擊者可能利用中間人攻擊等手段竊聽數(shù)據(jù)傳輸過程中的所有通信內(nèi)容，從而必須采取數(shù)據(jù)保密性、數(shù)據(jù)完整性的基本措施，對傳輸?shù)臄?shù)據(jù)進行加密。同時在可用性方面，在交換機增加防拒絕服務(wù)攻擊設(shè)備或下一代具有防DDOS攻擊模塊的防火墻。

對于電子公文系統(tǒng)的安全性分析與設(shè)計必須考慮所有的安全屬性和每個環(huán)節(jié)存在的可能的安全威脅，對每個環(huán)節(jié)采取安全措施，從而建立公文系統(tǒng)的安全模型。由于每個電子公文系統(tǒng)所屬的網(wǎng)絡(luò)架構(gòu)、安全保護等級、安全威脅程度和種類不可能都一樣。所以，需要考慮各個環(huán)節(jié)所采取的安全措施，以達到電子公文系統(tǒng)相適應(yīng)的安全要求。

4.2.6 數(shù)據(jù)傳輸過程加密

在數(shù)據(jù)傳輸過程中，傳輸?shù)木€路可能被竊聽，進而進行非法篡改，為了防止這種現(xiàn)象發(fā)生，傳輸過程中引入密鑰和報文鑒別（MAC），從而確保數(shù)據(jù)包的真實性和合法性。

數(shù)據(jù)傳輸以密鑰為基礎(chǔ)，設(shè)置有前置計算機24小時開機，按照密鑰分發(fā)機制自動向接受的主機申請傳輸密鑰，按照非對稱密碼原理將其中一個密鑰傳至前置機，另外一個存放在接受的主機上，這就構(gòu)成了一對密鑰，以后數(shù)據(jù)的傳輸均通過這一對密鑰加密。因為傳輸密鑰的申請是隨時可以重復(fù)的，也就是說傳輸密鑰是動態(tài)的，而且每一前置機與主機之間的密鑰對應(yīng)是不同的，所以確保了數(shù)據(jù)在傳輸中的安全性和保密性[2]。

4.2.7 密鑰及其管理

系統(tǒng)加密體系的核心是系統(tǒng)主密鑰與公文系統(tǒng)密鑰，密鑰的保密程度如何，直接關(guān)系到系統(tǒng)的安全性，所以對它們?nèi)绾喂芾盹@得非常重要。

系統(tǒng)主密鑰和公文系統(tǒng)密鑰是由二到三個公文系統(tǒng)高級管理者確定并輸入的，系統(tǒng)主密鑰用DES加密算法處理，將兩者密文均存儲在數(shù)據(jù)庫中，這樣，既可以避免密鑰丟失，又防止除輸入密鑰的管理者之外的任何掌握密鑰。同時，由于密鑰并非一個人掌握所以也能相互牽制密鑰的輸入者。而密鑰的輸入者，必須保證自己所輸?shù)拿荑€不向任何人泄漏[3]。

4.2.8 管理員權(quán)限的劃分

電子公文系統(tǒng)應(yīng)取消超級管理員，設(shè)計和開發(fā)階段就設(shè)置系統(tǒng)管理員、安全管理員和審計管理員，各管理員履行各自的職責(zé)，確保業(yè)務(wù)流程和系統(tǒng)的安全性。

系統(tǒng)管理員負(fù)責(zé)系統(tǒng)管理方面工作，如建立電子公文用戶;安全管理員負(fù)責(zé)系統(tǒng)安全方面的配置和授權(quán)，如根據(jù)系統(tǒng)管理員建立的用戶給相應(yīng)的權(quán)限，同時可以監(jiān)控到審計管理員的操作行為;審計管理員負(fù)責(zé)對系統(tǒng)管理員和安全管理員他們操作行為進行審計，審計其是否違反規(guī)定進行操作。三個管理員之間可以形成相互監(jiān)督和相互制約的關(guān)系[4]。

5結(jié)論

電子公文系統(tǒng)是一個安全可靠性要求很高的地方，對用戶數(shù)據(jù)的傳輸和保存的可靠性要求是要擺在首位的，在文章中，根據(jù)網(wǎng)絡(luò)、主機和應(yīng)用程序種類來組織威脅。這可以使不同角色的不同小組成員更方便地使用該報告。每一類中，按優(yōu)先順序排列威脅，最先的是評價具有最大危險的威脅，緊跟的是危險較小的威脅。

本文提出的密碼學(xué)方案，依照密碼學(xué)基本原理，對系統(tǒng)中的安全隱患進行了深入的分析，然后方案進行了有效的實施，經(jīng)過證明，該方案可以有效地應(yīng)對一般情況下的網(wǎng)絡(luò)威脅，對常見的系統(tǒng)攻擊有很好的防范作用，能切實提高公文系統(tǒng)的安全性，減少用戶信息泄露的可能性，保護好用戶信息在服務(wù)站的存儲。雖然可以降低攻擊帶來的危險，但是卻不能減少或者消除實際的威脅。不管采取何種安全措施以及采用何種對策，威脅仍舊存在。安全界的現(xiàn)實就是，承認(rèn)威脅的存在并控制危險。威脅建模可以控制安全風(fēng)險并在團隊中間溝通這些安全風(fēng)險，并做出有效響應(yīng)。威脅建模在過程的整個周期（從初始化到部署，還包括維護過程）進行。

參考文獻：

[1] 高仲凱，賈榮.電子公文系統(tǒng)的網(wǎng)絡(luò)信息安全問題探討[J].中國信息界，2011（1）：43-44.

[2] 張鶴高，熊文燦，李祥.Web服務(wù)身份驗證與數(shù)據(jù)加密傳輸協(xié)議的設(shè)計與實現(xiàn)[J].電腦與信息技術(shù)，2005，13（5）：52-56.

[3] 黃志榮，范磊，陳恭亮.密鑰管理技術(shù)研究[J].計算機應(yīng)用與軟件，2005，22（11）：112-114.

[4] 陳耀泉.提高辦公管理系統(tǒng)中權(quán)限設(shè)置和查詢效率的數(shù)據(jù)處理方法：CN102722568A[P].2012-10-10.

【通聯(lián)編輯：唐一東】