基于微應用的小程序保密意識測評平臺

王菊紅 趙家喜 董勇 聶立莎 葉菁 宋浩杰

?

基于微應用的小程序保密意識測評平臺

王菊紅 趙家喜 董勇 聶立莎 葉菁 宋浩杰

國網黃山供電公司，安徽 合肥 230061

信息安全保密意識是一種包含意識、知識、技能和倫理在內的綜合素質，傳統的考試、問卷等評價手段不僅無法科學全面地收集測評對象在信息安全領域中的表征信息，而且很難做出量值或價值的判斷，無法全面鑒定信息安全保密意識。建設了一套基于微應用的小程序對保密意識進行測評的軟件。根據測評結果，有重點地進行保密宣傳，能夠更好地提升企業內部的保密意識，了解到自身的保密權利與義務，從而實現企業全員保密教育。同時構建了一套保密制度測評體系，為保密意識評估的可操作性和評估結論的合理性提出一種解決思路。

微應用；小程序；保密；測評

引言

2017年1月，微信小程序的橫空出世打破了用戶下載App實現獨立功能的局面。小程序作為“逆App思維”的一個“新物種”，實現了應用“觸手可及”的夢想，用戶掃一掃或者搜一下就可以打開應用，用完即走，無須安裝卸載，操作非常便捷[1]。雖然誕生之初，小程序并未立刻掀起巨大波瀾，不過在去年8月打出商業化應用的目標之后，對人們生活、工作的滲透愈加明顯，分布于游戲、電商、工具、社交等各個場景，慢慢構建出以微信為地基的小程序生態。小程序是一種“即用即走”的輕型應用，不需要下載和關注，有著輕型、操作方便、成本低、功能大等特點。

1 系統功能模塊設計概述

信息安全保密意識是一種包含意識、知識、技能和倫理在內的綜合素質。本文基于微應用的小程序保密意識測評平臺，開發設計了一套集在線測試、統計分析和結果展示為一體的微應用小程序保密意識測評系統，以實現全民安全保密意識信息化和自動化測評，具體功能設計模塊如圖1所示。

圖1 系統功能模塊設計

2 基于微應用的小程序保密意識測評平臺的設計

基于微應用的小程序保密意識測評，通過心理測試（如互動問答、敏感詞匯）、潛意識行為測試（如模擬場景進行選擇）等方式來評估保密意識，判斷測試人對保密意識所達到的級別，形成測試結果。根據測試結果可以了解測試人保密的薄弱點，同時提醒要加強這方面的學習，以便提升工作中的保密意識。

2.1 用戶管理與權限設置

用戶管理與權限設置見表1。

表1 系統用戶角色與權限劃分

2.2 系統工作流程

在被試者首次使用信息安全保密意識測評系統時，需要進入微信平臺并授權關注,系統工作流如圖2所示。信息安全保密意識測評系統將顯示評估指南,幫助參與者了解評估過程和預防措施，然后通過心理測試（如互動問答、敏感詞匯）、潛意識行為測試（如模擬場景進行選擇）等方式來評估保密意識，判斷測試人對保密意識所達到的級別。與對應的試紙為測試，當遞交試紙，系統自動地證實時是否有任何未回答的項目。如果沒有答復項目，系統將提示并退回未回答的項目的位置，然后再遞交它，直到答復完成。所有應答者能遞交成功，避免某些被錯過的項目導致不精確的測量結果的現象。在系統自動評估容量之后，根據預先設定的審計過程將被處理。如果管理員需要回顧結果和事先出版它，測試器能看評估報告在管理員以后回顧了并且發布了它。如果沒有對管理員回顧的需要，測驗對象能直接地觀看評估報告，并且測試結果可能了解測試器的機密的弱點。同時提醒要加強這方面的學習，以便提升工作中的保密意識。

圖2 小程序保密意識測評流程圖

3 系統部署方案

3.1 小程序抽象框架

小程序抽象框架見圖3。

圖3 小程序抽象框架圖

3.2 視圖層

視圖層包含WXML、WXSS和頁面視圖組件。WXML是一種類似XML格式的語言，支持數據綁定、條件渲染、列表渲染、自定義模板、事件回調和外部引用；WXSS是一種類似CSS格式的語言，用于描述WXML的組件樣式，決定WXML中的組件如何顯示；組件是框架提供的一系列基礎模塊，是視圖層的基本組成單元，包含表單組件、導航、地圖、媒體組件等常用元素，如圖4所示。

3.3 邏輯接口

邏輯接口包含小程序注冊、頁面注冊和功能API。程序注冊代碼位于app.js，頁面框架注冊位于app.json，如圖5所示為官方示例小程序的app.js和app.json。功能API包含網絡請求功能、文件處理功能、數據存儲功能、微信的開放接口功能等，詳見微信官方說明，如圖6所示。

圖4 小程序視圖組件

圖5 小程序注冊代碼示例

圖6 小程序功能API示例

3.4 原生實現層

承載小程序依賴的具體操作，由微信App支撐實現，包括tbs內核、JSAPI框架、初始化小程序配置、功能接口實現等，實現代碼主要位于com.tencent.mm. plugin.appbrand包，關聯功能有微信平臺原有的數據存儲能力、二維碼能力、網絡請求能力、支付能力等。

3.5 小程序調用框架

小程序調用框架簡圖見圖7。

圖7 小程序調用框架簡圖

3.5.1 小程序調用框架

圖7主要說明小程序功能邏輯框架流程，由頂層的小程序實現代碼（類似js），到微信底層支撐實現模塊的調用流程，通過微信JSAPI框架支撐頁面到本地實現的橋接調用。小程序緩存數據存放在Storage中，對應文件為DB數據庫；小程序文件操作通過Hash機制進行映射，并存儲在外部存儲空間。

3.5.2 小程序調用框架組件

承載小程序展示的組件有.plugin.appbrand. ui.AppBrandUI、.plugin.appbrand.ui.AppBrandUI1、.plugin.appbrand.ui.AppBrandUI2、.plugin.appbrand.ui.AppBrandUI3、.plugin.appbrand.ui.AppBrandUI4共五個組件，五個組件實現邏輯相同，AppBrandUI1- AppBrandUI4繼承自AppBrandUI，圖8為每個承載小程序的Android組件定義。

3.6 小程序初始化流程

小程序初始化流程可分為開發者后臺控制關鍵配置和安全配置更新流程，如圖9所示。

圖8 承載每個小程序展示的組件定義

圖9 小程序的進程緩存示意圖

3.6.1 開發者后臺控制關鍵配置

小程序后臺控制的配置信息主要包括小程序名稱、圖標、最大WebView深度、最大請求數、請求合法域名列表、下載合法域名列表和上傳合法域名列表、socket合法域名列表以及App包的基本信息等。

3.6.2 安全的配置更新流程

啟動小程序檢查是否需從服務端更新最新配置，如果需更新則下載最新配置到本地App。在初始化階段完成小程序的關鍵屬性更新和配置，此部分屬性配置完全由后端配置控制，在更新傳輸和本地存儲被惡意篡改的可能性極低[2]。

3.7 測評平臺的應用

平臺界面如圖10所示?；谖玫男〕绦虮Ｃ芤庾R測評，通過心理測試（如互動問答、敏感詞匯）、潛意識行為測試（如模擬場景進行選擇）等方式來評估保密的意識，判斷測試人對保密意識所達到的級別，形成測試結果，根據測試結果可以了解測試人保密的薄弱點，同時提醒要加強這方面的學習，以便提升工作中的保密意識。

圖10 基于微應用的小程序保密意識測評平臺

4 結語

近年來以“棱鏡門”為代表的一系列信息安全事件為全球信息安全敲響了警鐘，信息安全面臨著前所未有的嚴峻形勢，不僅是信息社會的基石，而且對企業的發展產生眾多隱患。筆者在所在的研究團隊研制的安全保密意識培養模式和評價指標體系的基礎上，以當下熱門的小程序來開發一個適合群體和個體的安全保密意識測評系統，以實現安全保密意識的科學化、信息化測量。

[1]梁曉燕，王如龍，王軍麗，等. 信息安全保密中信息泄密途徑及其防護[J]. 微計算機應用，2014，25（4）：406-410.

[2]董李鵬. 本科學員信息安全保密素養測評研究[D].西安：西北大學，2017.

Micro Application-Based Small Program Privacy Awareness Evaluation Platform

Wang Juhong Zhao Jiaxi Dong Yong Nie Lisha Ye Jing Song Haojie

State Grid Huangshan Power Supply Company, Anhui hefei 230061

Information security and confidentiality awareness is a comprehensive quality including consciousness, knowledge, skills and ethics. Traditional examinations, questionnaires and other evaluation methods are not only unable to scientifically and comprehensively collect the characterization information of the evaluation object in the field of information security, but also cannot make quantity or value judgment and fully identify the information security and confidentiality awareness. The paper builds a software based on micro-applications to evaluate the confidentiality consciousness. According to the evaluation results, the confidentiality promotion is focused on, which can better enhance the internal confidentiality awareness of the enterprise and understand its own confidentiality rights and obligations so as to achieve confidential education for all employees. At the same time, the paper constructs a set of confidentiality system evaluation system, which provides a solution to the operability of the confidentiality assessment and the rationality of the assessment conclusions.

micro-application; small program; confidentiality; evaluation

TP311.5

A