基于密碼技術的公文傳輸安全系統的設計研究

范凱燕，張若

（鄭州工商學院，河南 鄭州 450000)

隨著互聯網技術、信息技術的不斷發展，公文處理已經開始脫離紙質化，辦公自動化工具也在大范圍推廣，公文系統應運而生。由于黨政機關工作的特殊性，其政務網絡是與互聯網等公共網絡相互隔離的。隨著電子政務的不斷發展，電子公文系統的業務量也開始大量增加，其安全問題也開始凸顯。我國法律中，對密碼技術的應用進行了戰略部署要求。作為網絡與信息安全的核心技術，密碼技術在數字簽名、身份認證、文件加密等方面，具有至關重要的作用?，F階段，黨政機關在公文系統的密碼應用中面臨很多問題，公文系統的安全性有待提升。鑒于此，本文對基于密碼技術的公文傳輸安全系統的設計展開研究，具有重要的現實意義。

1 基于密碼技術的公文傳輸安全系統現狀分析

從現階段實際情況來看，應用密碼技術的單位中有很大部分對密碼技術存在誤解，認為應用密碼技術即可萬無一失，關于密碼算法、密碼技術的正確使用方式卻知之甚少，對“安全”的理解過于表面。通過研究發現，密碼技術的公文傳輸安全問題主要包括安全意識問題、管理和制度問題、密碼技術問題等多個方面[1]。

2 關鍵數據交互過程中的安全風險分析

2.1 數據交互的關鍵環節

各企業應用電子公文的典型數據交互環節，主要有存儲、傳輸、管理等，如圖1所示。而在上述不同環節，均會面臨不同的數據安全風險。

圖1 電子公文系統典型數據交互環節

2.2 數據傳輸中面臨的安全風險

數據傳輸是數據在終端與終端、終端與服務器之間傳輸，面臨的主要風險包括：其一，在終端到應用端的傳輸中，數據被非法查看，或未經同意被非法篡改；其二，在終端到終端的傳輸中，數據被非法查看，或未經同意被非法篡改；其三，數據被泄露，在未得到授權的終端或服務器上流轉[2]。

2.3 數據存儲中面臨的安全風險

在數據全生命周期中，存儲也是非常重要的一個環節，更是應用系統在數據處理后的環節。通常情況下，電子公文系統的數據存儲形式有兩種，一種是服務器向單獨的存儲設備上存儲，另一種是應用系統本地所在服務器的存儲設備上。數據存儲中面臨的安全風險主要為：其一，未經授權的用戶登錄應用服務器內，非法獲取其中明文儲存的數據；其二，存儲設備未設立認證機制，用戶非法借助其他應用系統的服務器，與存儲設備連接，從而訪問存儲設備中的數據；其三，在設備的例行維護、故障維修以及運輸過程中，被非法入侵，數據被讀??；其四，在對存儲設備進行銷毀、報廢處理時，操作不徹底，導致數據被恢復[3]。

2.4 數據管理中面臨的安全風險

數據管理指的是管理人員登錄系統，對數據進行各項管理操作。在此過程中，因管理人員需要對系統執行配置操作，故相對而言，管理人員的權限要大于其他普通用戶，有機會入侵系統后臺，甚至有可能直接通過配置界面登錄設備，帶來數據泄露等風險。數據管理中的安全風險主要包括：其一，系統管理人員利用自身權限信息登錄應用系統，獲取未經授權的數據；其二，管理人員直接登錄服務器操作系統及數據庫，對數據進行各項非法操作，例如導出、拷貝等。

3 不同場景需求下的加密保護方案

3.1 數據傳輸過程的加密保護

基于密碼技術的公文傳輸安全系統，若傳輸網絡環境未在傳輸層、網絡層采取有效保護措施，應用系統遠程數據傳輸環境的安全性便比較低，數據傳輸過程中的安全隱患會比較多。所以，為了從應用層解決數據傳輸中面臨的安全風險，可以在傳輸全程對數據進行加密保護。數據傳輸中加密保護的有效機制，即端到端加密方案[3]。端到端加密方案指的是借助信源加密技術，在終端借助密碼技術，對需要傳輸的數據或文件實施加密保護，在加密保護操作完成后，再對密文進行傳輸，這種情況下整個數據的傳輸過程中，數據或文件均處在加密狀態，只有配有密碼服務的主機，才擁有對其進行編輯處理的權限。在整個傳輸過程中，數據的加密與解密，均在終端側進行。加密過程中，客戶端將待傳輸文件與接收用戶證書列表，調用本地密碼服務，生成數字信封頭與密文數據，為進一步提高保密等級，可對密文數據進行簽名。解密過程中，需要先在服務端下載密文文件，再通過本地密碼服務來對密文簽名進行驗證，驗證通過后，數字信封便會解開，再利用密鑰，就可以對加密文件或數據進行解密，得到明文數據[4]。

3.2 數據存儲過程中的加密保護

在應用系統存儲部件及其連接的存儲設備的安全性都比較低，且安全風險不可控的情況下，存儲數據時應避免使用明文儲存形式，特別是存儲重要文件的公文系統，應對存儲部件及系統連接的存儲設備進行加密保護。針對數據存儲過程中的加密保護，通常是對存儲部件或設備實施集中加密管理，集中加密方案要在存儲設備的一側采用基于加密技術的存儲加密系統，從而對數據存儲塊進行加解密。根據存儲架構的不同，需采取不同的信息加密保護方案，以提高數據存儲加密保護的針對性。具體而言，針對直接存儲架構(DAS) ，對數據存儲采用的加密方案，是讓各個服務器中的系統，擁有相互隔離的存儲空間，且所有交互信息均需要經過DAS 存儲加密機才能流轉。同時，通過本地局域網調用密碼機，提供解密服務，只有擁有權限的主機，才能夠訪問數據。針對存儲區域網絡(SAN) 架構，對數據存儲采用的加密方案，是多臺應用服務器與1臺或幾臺SAN網絡存儲密碼機相連接，由密碼機提供加密服務，符合安全策略的主機才擁有訪問磁盤數據的權限。所有交互信息均要通過SAN存儲加密機，且數據加密與解密的全過程，對主機和陣列而言都是透明的，這樣便可以確保磁盤陣列中的所有數據均為密文[5]。

3.3 數據管理過程的加密保護

數據管理過程中的加密保護，也是基于加密技術的公文系統安全保護的重要一環。由于數據管理需要一定權限，是針對應用系統管理人員而言的。所以，首先，要求應用系統的開發與運維人員，必須要擁有針對服務器操作系統的較高權限，才能允許其進行數據管理操作。所以，可以使應用系統數據的接入方式變得更加復雜、多樣化，避免過于簡單化的權限分級和加密處理方式。舉例而言，部分應用系統，管理人員可通過用戶名和密碼直接登錄訪問，這種情況下即便存儲設備進行了加密處理，也依然會被非法竊取。其次，在公文流轉的過程中，需要信息管理工作人員，對電子公文執行一系列管理操作，包括蓋章、登記、轉版等，這一崗位的工作人員在日常工作中便可直接接觸電子公文，若為了針對這一崗位管理人員而采用端對端加密機制，則會影響工作人員的正常業務處理?；诖?，關于數據管理過程的加密方案，至今為止尚未形成完善的、有效的加密方案。

4 針對公文系統管理風險數據安全加密方案

4.1 設計思路

存儲加密和信源加密，分別解決了存儲安全風險和傳輸安全風險，但也存在各自的局限性。具體而言，存儲加密為存儲設備的數據提供了有效保護，可避免存儲設備丟失、被盜竊等安全問題，但這種加密方案下，用戶終端進行數據交互要依托1個或多個服務端進行，這就導致數據從終端到應用服務端的傳輸過程中，存在泄露風險。所以，存儲加密方案無法有效解決系統管理工作人員的非法訪問。而信源加密方案，雖然可以對文件的傳輸過程實行加密保護，但是關于文件管理和密鑰管理的程序太過復雜，不方便工作人員對文件進行業務處理。所以上述兩種方案都存在各自的局限性。

在本文研究中，假設網絡存儲環境和傳輸環境是相對安全的，那么面臨的主要安全風險，就是管理人員非法訪問電子文件數據的問題。所以，只要數據進入應用區時被加密即可，而針對數據傳輸過程中的加密保護，只需要網絡加密設備即可。本文提出一種系統設計思路，專門用于防止管理人員非法訪問電子文件，管理人員可以對文件行維護操作、業務操作，但不能獲得具體內容。

4.2 系統組成與實現機理

電子公文系統的組成主要包括文件處理客戶端、信息保護服務端等。前者與系統流感器配套部署，主要功能包括文件傳輸功能、文件標識功能、密鑰授權以及動態碼獲取功能等。后者的主要功能為密鑰授權、數據加密，為應用區邊界安全等級較高的專用設備，為整個應用區內的系統提供電子文件加密、密鑰授權等功能。

本研究中應用系統的實現機理為：利用密碼技術、訪問控制技術，對單個公文實施加密保護，只有獲得授權的用戶，才可以獲得密鑰，未被授權的用戶則無法獲得密鑰，也就無從獲得加密文件。從本質上看，本系統是借助具有更高安全性和自動化程度的第三方信息保護系統，來替代系統自身的數據保護機制，以此來避免開發人員繞過安全系統非法獲取系統文件或數據?；谶@種設計思路，即便傳輸中為明文狀態，但只要進入該系統，便會變成加密狀態，這種情況下能夠有效避免管理人員或其他未經授權用戶，非法獲取系統中的電子公文。同時，本系統采用“一文一密”的動態加密法，即對每個文件的密鑰進行授權，且密鑰和文件分開存儲，這種就可以有效防止管理人員獲取密鑰的風險。與此同時，保護系統還會保留電子公文的基本信息，包括時間、用戶、文件名稱等，這些基本信息均為明文狀態，不妨礙管理人員對文件進行業務管理操作。

4.3 安全機制

在電子公文系統中，電子公文傳輸系統的應用最為廣泛，發揮著“主干道”的作用。相比于郵件系統、OA系統，電子公文傳輸系統最大的不同之處在于，其突出的是單位與單位之間正式形式的文件或信息的傳達，“單位對單位”即接收方和發送方均為單位管理人員，而非用戶。而“正式形式”即處理對象為正式發文的文件，換言之文件要符合公文格式要求和處理條例。本系統中電子公文傳輸系統的信息保護方案的機制。電子公文傳輸系統的基本業務流程，即登記、發文、收文三個階段。

4.4 自身安全性保證

一般情況下，加密系統在客戶端和服務端之間部署，為信息、數據交互提供密鑰授權、數據加密等功能，加密系統自身安全性對電子公文系統的安全等級，具有直接影響。在本系統設計中，采用自動化程度高、安全性高的設備，加大了管理人員違規操作的難度，在很大程度上避免了竊密行為的出現，降低了信息泄露風險。文件信息保護系統自身安全性設計內容主要包括，首先，選擇安全可靠的專用設備?；谲浖踩?、硬件安全、物理安全等方面的考量，選擇專用設備。同時，非必要的管理接口、通信接口，禁止提供可供調試、跟蹤的外部接口；自主開發安全軟件和安全協議；設備重要部位應帶有防窺探、防拆卸等防護措施，如防撬鎖、封閉外殼等。其次，安排專門管理人員。為本系統安排專門管理人員，由管理人員負責對系統進行各項管理操作。同時，設置管理員身份鑒別流程，管理人員在登錄系統時，需要通過指紋認證、人臉識別等強身份鑒別措施，對其身份、權限進行驗證。而且，管理人員對系統執行的所有操作，均需要得到授權，不具有訪問系統內部存儲信息內容的權限。最后，完善安全管理制度，科學擬定管理制度、標準規范、應急響應和應急處理方案等，特別是存儲關鍵信息、敏感信息的設備，更應制定嚴謹、完善的管理制度，例如存儲設備出現故障時要直接更換，不能維修等制度，以進一步提高安全等級。

5 結束語

本文針對公文系統管理風險數據安全加密方案，屬于“防內不防外”的方案，能夠有效避免管理人員利用自身權限，非法獲得數據或文件，同時將應用系統的失泄風險集中在安全性更好的電子文件信息保護系統當中，極大地降低了信息泄露的風險，提供了一種電子公文信息保護的新思路。在黨政機關實際工作過程中，電子公文系統數據的保護至關重要，未來可以以本文研究成果作為基礎，在結構化數據保護等問題上深入挖掘，基于更多類型的文件應用系統鉆研適配工作，從而設計出符合我國黨政機關實際需求，且安全性、可靠性均比較高的公文系統。