基于密碼技術的公文傳輸安全系統(tǒng)的設計研究

范凱燕，張若

（鄭州工商學院，河南 鄭州 450000)

隨著互聯(lián)網(wǎng)技術、信息技術的不斷發(fā)展，公文處理已經(jīng)開始脫離紙質(zhì)化，辦公自動化工具也在大范圍推廣，公文系統(tǒng)應運而生。由于黨政機關工作的特殊性，其政務網(wǎng)絡是與互聯(lián)網(wǎng)等公共網(wǎng)絡相互隔離的。隨著電子政務的不斷發(fā)展，電子公文系統(tǒng)的業(yè)務量也開始大量增加，其安全問題也開始凸顯。我國法律中，對密碼技術的應用進行了戰(zhàn)略部署要求。作為網(wǎng)絡與信息安全的核心技術，密碼技術在數(shù)字簽名、身份認證、文件加密等方面，具有至關重要的作用。現(xiàn)階段，黨政機關在公文系統(tǒng)的密碼應用中面臨很多問題，公文系統(tǒng)的安全性有待提升。鑒于此，本文對基于密碼技術的公文傳輸安全系統(tǒng)的設計展開研究，具有重要的現(xiàn)實意義。

1 基于密碼技術的公文傳輸安全系統(tǒng)現(xiàn)狀分析

從現(xiàn)階段實際情況來看，應用密碼技術的單位中有很大部分對密碼技術存在誤解，認為應用密碼技術即可萬無一失，關于密碼算法、密碼技術的正確使用方式卻知之甚少，對“安全”的理解過于表面。通過研究發(fā)現(xiàn)，密碼技術的公文傳輸安全問題主要包括安全意識問題、管理和制度問題、密碼技術問題等多個方面[1]。

2 關鍵數(shù)據(jù)交互過程中的安全風險分析

2.1 數(shù)據(jù)交互的關鍵環(huán)節(jié)

各企業(yè)應用電子公文的典型數(shù)據(jù)交互環(huán)節(jié)，主要有存儲、傳輸、管理等，如圖1所示。而在上述不同環(huán)節(jié)，均會面臨不同的數(shù)據(jù)安全風險。

圖1 電子公文系統(tǒng)典型數(shù)據(jù)交互環(huán)節(jié)

2.2 數(shù)據(jù)傳輸中面臨的安全風險

數(shù)據(jù)傳輸是數(shù)據(jù)在終端與終端、終端與服務器之間傳輸，面臨的主要風險包括：其一，在終端到應用端的傳輸中，數(shù)據(jù)被非法查看，或未經(jīng)同意被非法篡改；其二，在終端到終端的傳輸中，數(shù)據(jù)被非法查看，或未經(jīng)同意被非法篡改；其三，數(shù)據(jù)被泄露，在未得到授權的終端或服務器上流轉(zhuǎn)[2]。

2.3 數(shù)據(jù)存儲中面臨的安全風險

在數(shù)據(jù)全生命周期中，存儲也是非常重要的一個環(huán)節(jié)，更是應用系統(tǒng)在數(shù)據(jù)處理后的環(huán)節(jié)。通常情況下，電子公文系統(tǒng)的數(shù)據(jù)存儲形式有兩種，一種是服務器向單獨的存儲設備上存儲，另一種是應用系統(tǒng)本地所在服務器的存儲設備上。數(shù)據(jù)存儲中面臨的安全風險主要為：其一，未經(jīng)授權的用戶登錄應用服務器內(nèi)，非法獲取其中明文儲存的數(shù)據(jù)；其二，存儲設備未設立認證機制，用戶非法借助其他應用系統(tǒng)的服務器，與存儲設備連接，從而訪問存儲設備中的數(shù)據(jù)；其三，在設備的例行維護、故障維修以及運輸過程中，被非法入侵，數(shù)據(jù)被讀取；其四，在對存儲設備進行銷毀、報廢處理時，操作不徹底，導致數(shù)據(jù)被恢復[3]。

2.4 數(shù)據(jù)管理中面臨的安全風險

數(shù)據(jù)管理指的是管理人員登錄系統(tǒng)，對數(shù)據(jù)進行各項管理操作。在此過程中，因管理人員需要對系統(tǒng)執(zhí)行配置操作，故相對而言，管理人員的權限要大于其他普通用戶，有機會入侵系統(tǒng)后臺，甚至有可能直接通過配置界面登錄設備，帶來數(shù)據(jù)泄露等風險。數(shù)據(jù)管理中的安全風險主要包括：其一，系統(tǒng)管理人員利用自身權限信息登錄應用系統(tǒng)，獲取未經(jīng)授權的數(shù)據(jù)；其二，管理人員直接登錄服務器操作系統(tǒng)及數(shù)據(jù)庫，對數(shù)據(jù)進行各項非法操作，例如導出、拷貝等。

3 不同場景需求下的加密保護方案

3.1 數(shù)據(jù)傳輸過程的加密保護

基于密碼技術的公文傳輸安全系統(tǒng)，若傳輸網(wǎng)絡環(huán)境未在傳輸層、網(wǎng)絡層采取有效保護措施，應用系統(tǒng)遠程數(shù)據(jù)傳輸環(huán)境的安全性便比較低，數(shù)據(jù)傳輸過程中的安全隱患會比較多。所以，為了從應用層解決數(shù)據(jù)傳輸中面臨的安全風險，可以在傳輸全程對數(shù)據(jù)進行加密保護。數(shù)據(jù)傳輸中加密保護的有效機制，即端到端加密方案[3]。端到端加密方案指的是借助信源加密技術，在終端借助密碼技術，對需要傳輸?shù)臄?shù)據(jù)或文件實施加密保護，在加密保護操作完成后，再對密文進行傳輸，這種情況下整個數(shù)據(jù)的傳輸過程中，數(shù)據(jù)或文件均處在加密狀態(tài)，只有配有密碼服務的主機，才擁有對其進行編輯處理的權限。在整個傳輸過程中，數(shù)據(jù)的加密與解密，均在終端側(cè)進行。加密過程中，客戶端將待傳輸文件與接收用戶證書列表，調(diào)用本地密碼服務，生成數(shù)字信封頭與密文數(shù)據(jù)，為進一步提高保密等級，可對密文數(shù)據(jù)進行簽名。解密過程中，需要先在服務端下載密文文件，再通過本地密碼服務來對密文簽名進行驗證，驗證通過后，數(shù)字信封便會解開，再利用密鑰，就可以對加密文件或數(shù)據(jù)進行解密，得到明文數(shù)據(jù)[4]。

3.2 數(shù)據(jù)存儲過程中的加密保護

在應用系統(tǒng)存儲部件及其連接的存儲設備的安全性都比較低，且安全風險不可控的情況下，存儲數(shù)據(jù)時應避免使用明文儲存形式，特別是存儲重要文件的公文系統(tǒng)，應對存儲部件及系統(tǒng)連接的存儲設備進行加密保護。針對數(shù)據(jù)存儲過程中的加密保護，通常是對存儲部件或設備實施集中加密管理，集中加密方案要在存儲設備的一側(cè)采用基于加密技術的存儲加密系統(tǒng)，從而對數(shù)據(jù)存儲塊進行加解密。根據(jù)存儲架構的不同，需采取不同的信息加密保護方案，以提高數(shù)據(jù)存儲加密保護的針對性。具體而言，針對直接存儲架構(DAS) ，對數(shù)據(jù)存儲采用的加密方案，是讓各個服務器中的系統(tǒng)，擁有相互隔離的存儲空間，且所有交互信息均需要經(jīng)過DAS 存儲加密機才能流轉(zhuǎn)。同時，通過本地局域網(wǎng)調(diào)用密碼機，提供解密服務，只有擁有權限的主機，才能夠訪問數(shù)據(jù)。針對存儲區(qū)域網(wǎng)絡(SAN) 架構，對數(shù)據(jù)存儲采用的加密方案，是多臺應用服務器與1臺或幾臺SAN網(wǎng)絡存儲密碼機相連接，由密碼機提供加密服務，符合安全策略的主機才擁有訪問磁盤數(shù)據(jù)的權限。所有交互信息均要通過SAN存儲加密機，且數(shù)據(jù)加密與解密的全過程，對主機和陣列而言都是透明的，這樣便可以確保磁盤陣列中的所有數(shù)據(jù)均為密文[5]。

3.3 數(shù)據(jù)管理過程的加密保護

數(shù)據(jù)管理過程中的加密保護，也是基于加密技術的公文系統(tǒng)安全保護的重要一環(huán)。由于數(shù)據(jù)管理需要一定權限，是針對應用系統(tǒng)管理人員而言的。所以，首先，要求應用系統(tǒng)的開發(fā)與運維人員，必須要擁有針對服務器操作系統(tǒng)的較高權限，才能允許其進行數(shù)據(jù)管理操作。所以，可以使應用系統(tǒng)數(shù)據(jù)的接入方式變得更加復雜、多樣化，避免過于簡單化的權限分級和加密處理方式。舉例而言，部分應用系統(tǒng)，管理人員可通過用戶名和密碼直接登錄訪問，這種情況下即便存儲設備進行了加密處理，也依然會被非法竊取。其次，在公文流轉(zhuǎn)的過程中，需要信息管理工作人員，對電子公文執(zhí)行一系列管理操作，包括蓋章、登記、轉(zhuǎn)版等，這一崗位的工作人員在日常工作中便可直接接觸電子公文，若為了針對這一崗位管理人員而采用端對端加密機制，則會影響工作人員的正常業(yè)務處理?；诖?，關于數(shù)據(jù)管理過程的加密方案，至今為止尚未形成完善的、有效的加密方案。

4 針對公文系統(tǒng)管理風險數(shù)據(jù)安全加密方案

4.1 設計思路

存儲加密和信源加密，分別解決了存儲安全風險和傳輸安全風險，但也存在各自的局限性。具體而言，存儲加密為存儲設備的數(shù)據(jù)提供了有效保護，可避免存儲設備丟失、被盜竊等安全問題，但這種加密方案下，用戶終端進行數(shù)據(jù)交互要依托1個或多個服務端進行，這就導致數(shù)據(jù)從終端到應用服務端的傳輸過程中，存在泄露風險。所以，存儲加密方案無法有效解決系統(tǒng)管理工作人員的非法訪問。而信源加密方案，雖然可以對文件的傳輸過程實行加密保護，但是關于文件管理和密鑰管理的程序太過復雜，不方便工作人員對文件進行業(yè)務處理。所以上述兩種方案都存在各自的局限性。

在本文研究中，假設網(wǎng)絡存儲環(huán)境和傳輸環(huán)境是相對安全的，那么面臨的主要安全風險，就是管理人員非法訪問電子文件數(shù)據(jù)的問題。所以，只要數(shù)據(jù)進入應用區(qū)時被加密即可，而針對數(shù)據(jù)傳輸過程中的加密保護，只需要網(wǎng)絡加密設備即可。本文提出一種系統(tǒng)設計思路，專門用于防止管理人員非法訪問電子文件，管理人員可以對文件行維護操作、業(yè)務操作，但不能獲得具體內(nèi)容。

4.2 系統(tǒng)組成與實現(xiàn)機理

電子公文系統(tǒng)的組成主要包括文件處理客戶端、信息保護服務端等。前者與系統(tǒng)流感器配套部署，主要功能包括文件傳輸功能、文件標識功能、密鑰授權以及動態(tài)碼獲取功能等。后者的主要功能為密鑰授權、數(shù)據(jù)加密，為應用區(qū)邊界安全等級較高的專用設備，為整個應用區(qū)內(nèi)的系統(tǒng)提供電子文件加密、密鑰授權等功能。

本研究中應用系統(tǒng)的實現(xiàn)機理為：利用密碼技術、訪問控制技術，對單個公文實施加密保護，只有獲得授權的用戶，才可以獲得密鑰，未被授權的用戶則無法獲得密鑰，也就無從獲得加密文件。從本質(zhì)上看，本系統(tǒng)是借助具有更高安全性和自動化程度的第三方信息保護系統(tǒng)，來替代系統(tǒng)自身的數(shù)據(jù)保護機制，以此來避免開發(fā)人員繞過安全系統(tǒng)非法獲取系統(tǒng)文件或數(shù)據(jù)?；谶@種設計思路，即便傳輸中為明文狀態(tài)，但只要進入該系統(tǒng)，便會變成加密狀態(tài)，這種情況下能夠有效避免管理人員或其他未經(jīng)授權用戶，非法獲取系統(tǒng)中的電子公文。同時，本系統(tǒng)采用“一文一密”的動態(tài)加密法，即對每個文件的密鑰進行授權，且密鑰和文件分開存儲，這種就可以有效防止管理人員獲取密鑰的風險。與此同時，保護系統(tǒng)還會保留電子公文的基本信息，包括時間、用戶、文件名稱等，這些基本信息均為明文狀態(tài)，不妨礙管理人員對文件進行業(yè)務管理操作。

4.3 安全機制

在電子公文系統(tǒng)中，電子公文傳輸系統(tǒng)的應用最為廣泛，發(fā)揮著“主干道”的作用。相比于郵件系統(tǒng)、OA系統(tǒng)，電子公文傳輸系統(tǒng)最大的不同之處在于，其突出的是單位與單位之間正式形式的文件或信息的傳達，“單位對單位”即接收方和發(fā)送方均為單位管理人員，而非用戶。而“正式形式”即處理對象為正式發(fā)文的文件，換言之文件要符合公文格式要求和處理條例。本系統(tǒng)中電子公文傳輸系統(tǒng)的信息保護方案的機制。電子公文傳輸系統(tǒng)的基本業(yè)務流程，即登記、發(fā)文、收文三個階段。

4.4 自身安全性保證

一般情況下，加密系統(tǒng)在客戶端和服務端之間部署，為信息、數(shù)據(jù)交互提供密鑰授權、數(shù)據(jù)加密等功能，加密系統(tǒng)自身安全性對電子公文系統(tǒng)的安全等級，具有直接影響。在本系統(tǒng)設計中，采用自動化程度高、安全性高的設備，加大了管理人員違規(guī)操作的難度，在很大程度上避免了竊密行為的出現(xiàn)，降低了信息泄露風險。文件信息保護系統(tǒng)自身安全性設計內(nèi)容主要包括，首先，選擇安全可靠的專用設備。基于軟件安全、硬件安全、物理安全等方面的考量，選擇專用設備。同時，非必要的管理接口、通信接口，禁止提供可供調(diào)試、跟蹤的外部接口；自主開發(fā)安全軟件和安全協(xié)議；設備重要部位應帶有防窺探、防拆卸等防護措施，如防撬鎖、封閉外殼等。其次，安排專門管理人員。為本系統(tǒng)安排專門管理人員，由管理人員負責對系統(tǒng)進行各項管理操作。同時，設置管理員身份鑒別流程，管理人員在登錄系統(tǒng)時，需要通過指紋認證、人臉識別等強身份鑒別措施，對其身份、權限進行驗證。而且，管理人員對系統(tǒng)執(zhí)行的所有操作，均需要得到授權，不具有訪問系統(tǒng)內(nèi)部存儲信息內(nèi)容的權限。最后，完善安全管理制度，科學擬定管理制度、標準規(guī)范、應急響應和應急處理方案等，特別是存儲關鍵信息、敏感信息的設備，更應制定嚴謹、完善的管理制度，例如存儲設備出現(xiàn)故障時要直接更換，不能維修等制度，以進一步提高安全等級。

5 結(jié)束語

本文針對公文系統(tǒng)管理風險數(shù)據(jù)安全加密方案，屬于“防內(nèi)不防外”的方案，能夠有效避免管理人員利用自身權限，非法獲得數(shù)據(jù)或文件，同時將應用系統(tǒng)的失泄風險集中在安全性更好的電子文件信息保護系統(tǒng)當中，極大地降低了信息泄露的風險，提供了一種電子公文信息保護的新思路。在黨政機關實際工作過程中，電子公文系統(tǒng)數(shù)據(jù)的保護至關重要，未來可以以本文研究成果作為基礎，在結(jié)構化數(shù)據(jù)保護等問題上深入挖掘，基于更多類型的文件應用系統(tǒng)鉆研適配工作，從而設計出符合我國黨政機關實際需求，且安全性、可靠性均比較高的公文系統(tǒng)。