浅谈等级保护2.0时代下电子公文系统中的密码学应用

赵利军

摘要：在等级保护2.0时代下，很多单位都会遇到可能无法预测的内部和外部威胁，其数据传输、处理和存储均存在高风险。由于电子公文系统存在對用户重要信息的传输，因此存在用户访问处理安全隐患、用户输入验证安全隐患、文件系统管理安全隐患、代码编写安全隐患。本文依照基本密码学原理，从原理上分析了公文系统的结构设计，指出了公文系统存在的隐患，设计了一套密码学系统。

关键词：电子公文系统;信息安全;密码学

中图分类号：TP311      文献标识码：A

文章编号：1009-3044（2021）13-0041-03

Abstract：In the era of hierarchical protection 2.0， many units will encounter unpredictable internal and external threats， and their data transmission， processing and storage have high risks. Due to the transmission of important information to users in electronic document system， there are security risks in user access processing， user input verification， file system management and code writing. According to the basic cryptography principle， this paper analyzes the structure design of the official document system， points out the hidden dangers of the official document system， and designs a set of cryptography system.

Key words：electronic document system; information security; cryptography

1 引言

随着信息技术不断提高，电子政务业务应用越来越广泛。其中，电子公文业务的处理、交换成为应用的主要内容，而安全性问题是电子公文处理中的难点和重点之一。在网络安全等级保护2.0时代下，如何有效防止数据泄露现象的发生以及可能的网络攻击，是电子公文应用系统必须面对的问题，各种网络问题层出不暇，系统中用户信息、关键数据的等传输、处理和存储安全面临的威胁也越来越多，正是由于这些问题的存在，而一些关键系统中的用户信息显得十分重要。因此，企业日益关注网络安全，使其成为信息系统安全专业开发人员必须掌握的概念。

由于互联网威胁的无处不在，即使非常重视信息安全的企业也可能成为被网络攻击的对象，遵守相关的安全标准也许不足以阻止和检测网络攻击行为。运用密码学原理采用威胁建模形式，让企业对最可能影响应用系统的各种网络安全威胁进行系统性识别和评价，有了这些识别出来的信息，就可以按照一定的逻辑关系，采取适当的策略来处理存在的威胁，并从具有最高风险的威胁开始。在明确了风险是基于对组织机构构成的威胁、威胁关注的是有价值的资产这个基本原则之后，我们就可以对电子公文应用系统进行安全性分析和安全性设计，从而有效的应对威胁。

2 电子公文系统隐患

电子公文系统由于是基于B/S架构，所以必然的存在用户敏感数据在网络中进行传输，保证数据信息不被窃取，数据能安全稳定的持久化存储，这对客户端系统和后台服务器系统都是很大的挑战，具体来说，系统隐患主要分为如下几类：

2.1 电子公文系统设计安全隐患

电子公文是通过计算机进行处理、传输和存储等处理的信息化产物，具有存储容积小、检索速度快、远程快速传送等优点。随着计算机信息技术的应用普及，绝大多数公文直接从计算机上产生和输出，电子公文也将越来越普遍。但相比纸质公文而言，电子公文也存在自身的局限性，如信息与载体必须关联，否则不能直接阅读，必须依赖于计算机相关软件及硬件才能加以识别;电子公文易被篡改、复制，篡改之后几乎不留痕迹，在完整性、真实性、可靠性方面认可难度大。另外，用户访问后台处理数据的安全隐患、用户输入验证安全隐患、文件系统管理安全隐患、代码编写等安全隐患依然存在。因此，目前乃至今后很长一段时间内，以电子公文完全取代纸质公文是不可行的，纸质公文将和电子公文同时存在。

2.2 电子公文系统配置安全隐患

配置安全隐患包括服务器的配置安全隐患、数据库管理系统的配置管理安全隐患、应用系统配置管理安全隐患。做好基础安全管理：基础安全列出常用安全防护功能，管理员可选择开启或者关闭该功能。一般情况下开启的安全防护项包括两种模式：保护模式和监视模式;保护模式阻断恶意行为运行，监视模式忽略该行为，无论哪种模式，都会记录在安全事件中，安全管理员可以事后进行安全事件的再次处理。做好白名单管理：白名单是主机安全加固系统的核心功能之一，通过白名单功能，保障系统无法运行恶意程序。系统初始化完成后，新的应用程序、软件升级也需要通过白名单功能管理，以保障系统运行的可执行文件的安全性。白名单包括了三类，应用白名单、程序升级白名单和证书白名单。进程保护：进程保护功能防止进程被杀死，管理员可以通过选择开启保护系统关键进程功能防止csrss.exe、lsass.exe、services.exe、smss.exe、svchost.exe、winlogon.exe进程被杀死。管理员还可以通过添加保护进程来保护其他需要保护的进程。强制访问控制，根据BLP模型，强访问控制首先对主体（用户）和客体（文件）进行安全级别定义，然后对不同的安全级别的主客体制定读写的基本访问控制策略，从而保证了敏感数据不泄露。做好安全事件管理：安全事件对系统安全事件进行处理和查询，包括事件处理和事件查看。事件处理记录了安全事件发生时间、用户、内容和处理方式。处理方式包括：信任和忽略，信任的程序将列入白名单。事件查看功能可以查看某一时间段发生的安全事件，包括：发生时间、处理时间、内容和处理方式。审计管理：审计管理记录了安全事件、管理员对操作系统的操作、安全管理员和审计管理员对服务器安全加固系统的操作，功能包括：安全审计、系统审计、自身审计、系统设置。

2.3 电子公文系统平台安全隐患

平台安全隐患包括服务器相关Web应用本身漏洞、数据库系统漏洞、中间件的漏洞。Web應用本身漏洞会导致页面被攻击，攻击者利用浏览器或攻击工具，在浏览器地址栏中或者表单等区域中，向Web应用服务器发送特殊请求，根据反馈结果，从而探测出Web应用本身存在的漏洞，进而提权，可查看、修改未经授权的信息。对数据库安全隐患，要了解两个涉及的两个安全层面：第一层是指数据库系统运行安全，恶意攻击者通过网络等途径入侵数据库服务器系统使其无法正常启动;第二层是指数据库系统信息安全，恶意攻击者入侵数据库，进行脱库，并获取想要的数据资料。第三方中间件，我们需要确保不会被恶意人员认为植入相关恶意脚本，从而导致中间件不安全。

3 电子公文系统威胁建模

威胁建模是通过识别目标和漏洞来优化系统安全，然后定义防范或减轻系统威胁的对策的过程。它是分析应用程序安全性的一种方法。这是一种结构化的方法，能够识别，量化和解决与应用程序相关的安全风险，并应对威胁。

威胁建模主要涉及的问题是：重点保护哪些有价值的资产，攻击者可能实施的破坏行为，攻击者利用哪些漏洞对系统构成威胁。

威胁主要涉及三个层面，即网络层、主机层和应用层，网络层包括中间人攻击、拒绝服务攻击等;主机层包括恶意程序、缓冲区溢出等;应用层包括跨站脚本（XSS）攻击、SQL注入攻击等。

原则上，系统安全设计过程就要考虑创建威胁模型，然后在实际中，往往是对已运行的系统创建威胁模型，成为系统运行维护的部分工作，具有丰富经验的开发设计人员能够识别安全威胁。

3.1 具体建模步骤

3.1.1 架构描述

随着计算机技术的不断发展，信息系统从集中向分布式计算模式进行演变，分布式计算模式分为三种类型，客户机到服务器模式（C/S）模式、浏览器到服务器（B/S）模式和资源共享模式。电子公文系统的一般由系统管理、部门管理和公文管理三大功能模块组成。电子签章系统是电子公文系统必不可缺少的组成部分，采用B/S模式，部署在相对独立的服务器上，主要功能包括电子签章管理功能包括电子签章的制作、授权、使用、撤销、管理、维护等一系列操作。电子公文系统模式采用B/S集中式管理，电子公文全部集中存储在一个公文交换中心，用户可以通过网页浏览器和阅读器来浏览和查阅公文。发文一方，通过一个生成工具将办公过程中形成不同格式的电子公文转换为特有格式，如ceb格式，再通过加密方式进行网络加密后传至公文交换中心，并存储在交换中心的公文数据库中。经过签章后发送，公文进行了标记，从发文单位传递到收文单位数据库的电子公文文档存储路径并未发生变化。只有授权用户通过http方式在客户端，通过服务器获得浏览和打印权限，电子公文文档并未在客户端存储，增强了电子公文的安全属性。

3.1.2 威胁分类

按照安全威胁分类，预定义分类如下：伪装（Spoofing）、篡改（Tampering）、拒绝承认（Repudiation）、泄漏（Information Disclosure）、拒绝服务（Denial of Services）、权限提升（Elevation of Privileges）。评价威胁通过一些模型来进行评价，如微软的DREAD模型，通过威胁的严重性角度进行评价，包括破坏潜力、再现性、可利用性、受影响的用户、可发现性。

4 电子公文系统安全分析与设计

通过分析电子公文系统可能存在的威胁，然后，开始针对这些威胁，运用相关密码学知识，采取对电子公文系统进行威胁建模的措施，实施安全性分析和安全性设计。其中整体系统的结构分为：公文应用系统、Web服务器、数据库服务器和网络。

4.1 安全性分析

电子公文系统采用B/S结构，所以电子公文系统的网络结构基本上由以下元素组成：数据库服务器、电子公文WEB发布服务器、交换机、路由器、访问客户机等。对此我们进行安全性分析。主要是需要：保证服务器和数据库安全，合理分配用户角色和角色权限，防止窃听和抵御病毒和黑客等对信息的泄露、更改和破坏，安全的电子公文系统架构，实现安全的输入输出处理机制、实现安全的Web请求处理机制、实现安全的文件系统源代码、实现安全的数据库系统源代码、实现安全的日志处理源代码、实现安全的安全特性源代码。

4.2 电子公文系统安全设计

通过对电子公文系统的安全性进行分析，结合存在的安全威胁可能，确定各个环节存在的威胁程度和应采取的相应的安全技术措施[1]。

4.2.1 数据安全

在电子公文系统中，数据库存储着系统中的身份鉴别、管理数据和重要业务数据等。因此，数据库成为攻击的最重要的目标，进而需要采用符合国家相关要求的密码技术，对存储在数据库中的重要数据进行加密存储，即使数据泄漏，攻击者也很难破解或破解的代价很大，另外也可以采用备份与恢复措施，对数据进行进一步保护，确保业务的连续性。

4.2.2 数据库服务器

电子公文系统的数据存储在数据库中，数据库安装在服务器上，数据库服务器的地位就很重要，安全保护级别就非常高。因此，对数据库服务器操作系统，必须安装防病毒软件、强身份鉴别技术措施和安全访问控制技术措施，确保数据真实。

4.2.3 Web应用服务器

Web应用服务器，主要功能是提供客户端用户通过浏览器访问电子公文系统服务器。正常情况下，首先客户端用户必须访问Web应用服务器才能直接访问电子公文系统的相关信息。因此，Web服务器成为攻击者首选攻击目标之一，为防止非法授权访问和破坏，应强身份鉴别技术措施和安全访问控制技术措施，安装防病毒软件、主机入侵检测系统等措施，确保可用。

4.2.4 客户端

客户端属于为用户访问电子公文系统的Web服务器的计算机，用户涉及外部和内部，通过网络访问电子公文应用，也需要采用身份鉴别技术来验证客户身份，防止非法访问，并对用户口令进行复杂度设置，开启安全审计，设置超时锁定等强措施。另外，也必须安装杀毒软件。

4.2.5 客户端到交换机

电子公文系统数据传输是威胁最大的环节，攻击者可能利用中间人攻击等手段窃听数据传输过程中的所有通信内容，从而必须采取数据保密性、数据完整性的基本措施，对传输的数据进行加密。同时在可用性方面，在交换机增加防拒绝服务攻击设备或下一代具有防DDOS攻击模块的防火墙。

对于电子公文系统的安全性分析与设计必须考虑所有的安全属性和每个环节存在的可能的安全威胁，对每个环节采取安全措施，从而建立公文系统的安全模型。由于每个电子公文系统所属的网络架构、安全保护等级、安全威胁程度和种类不可能都一样。所以，需要考虑各个环节所采取的安全措施，以达到电子公文系统相适应的安全要求。

4.2.6 数据传输过程加密

在数据传输过程中，传输的线路可能被窃听，进而进行非法篡改，为了防止这种现象发生，传输过程中引入密钥和报文鉴别（MAC），从而确保数据包的真实性和合法性。

数据传输以密钥为基础，设置有前置计算机24小时开机，按照密钥分发机制自动向接受的主机申请传输密钥，按照非对称密码原理将其中一个密钥传至前置机，另外一个存放在接受的主机上，这就构成了一对密钥，以后数据的传输均通过这一对密钥加密。因为传输密钥的申请是随时可以重复的，也就是说传输密钥是动态的，而且每一前置机与主机之间的密钥对应是不同的，所以确保了数据在传输中的安全性和保密性[2]。

4.2.7 密钥及其管理

系統加密体系的核心是系统主密钥与公文系统密钥，密钥的保密程度如何，直接关系到系统的安全性，所以对它们如何管理显得非常重要。

系统主密钥和公文系统密钥是由二到三个公文系统高级管理者确定并输入的，系统主密钥用DES加密算法处理，将两者密文均存储在数据库中，这样，既可以避免密钥丢失，又防止除输入密钥的管理者之外的任何掌握密钥。同时，由于密钥并非一个人掌握所以也能相互牵制密钥的输入者。而密钥的输入者，必须保证自己所输的密钥不向任何人泄漏[3]。

4.2.8 管理员权限的划分

电子公文系统应取消超级管理员，设计和开发阶段就设置系统管理员、安全管理员和审计管理员，各管理员履行各自的职责，确保业务流程和系统的安全性。

系统管理员负责系统管理方面工作，如建立电子公文用户;安全管理员负责系统安全方面的配置和授权，如根据系统管理员建立的用户给相应的权限，同时可以监控到审计管理员的操作行为;审计管理员负责对系统管理员和安全管理员他们操作行为进行审计，审计其是否违反规定进行操作。三个管理员之间可以形成相互监督和相互制约的关系[4]。

5结论

电子公文系统是一个安全可靠性要求很高的地方，对用户数据的传输和保存的可靠性要求是要摆在首位的，在文章中，根据网络、主机和应用程序种类来组织威胁。这可以使不同角色的不同小组成员更方便地使用该报告。每一类中，按优先顺序排列威胁，最先的是评价具有最大危险的威胁，紧跟的是危险较小的威胁。

本文提出的密码学方案，依照密码学基本原理，对系统中的安全隐患进行了深入的分析，然后方案进行了有效的实施，经过证明，该方案可以有效地应对一般情况下的网络威胁，对常见的系统攻击有很好的防范作用，能切实提高公文系统的安全性，减少用户信息泄露的可能性，保护好用户信息在服务站的存储。虽然可以降低攻击带来的危险，但是却不能减少或者消除实际的威胁。不管采取何种安全措施以及采用何种对策，威胁仍旧存在。安全界的现实就是，承认威胁的存在并控制危险。威胁建模可以控制安全风险并在团队中间沟通这些安全风险，并做出有效响应。威胁建模在过程的整个周期（从初始化到部署，还包括维护过程）进行。

参考文献：

[1] 高仲凯，贾荣.电子公文系统的网络信息安全问题探讨[J].中国信息界，2011（1）：43-44.

[2] 张鹤高，熊文灿，李祥.Web服务身份验证与数据加密传输协议的设计与实现[J].电脑与信息技术，2005，13（5）：52-56.

[3] 黄志荣，范磊，陈恭亮.密钥管理技术研究[J].计算机应用与软件，2005，22（11）：112-114.

[4] 陈耀泉.提高办公管理系统中权限设置和查询效率的数据处理方法：CN102722568A[P].2012-10-10.

【通联编辑：唐一东】