姜　岚

中图分类号：TN8文献标识码：A文章编号：1671－7597（2009）0220026－01

一、系统安全体系设计的目标和原则

对电子公文版式文件和电子印章系统来说，安全无疑是至关重要的。一方面由于网络环境的广泛性和复杂性等特点，文件在网络传输过程中可能会被截取或者篡改，另一方面内部越权访问更是需要严加防范的。

对电子公文传输来说，还存在不能让下级单位从文件中盗用上级单位公章的问题。这就要求：

1．确保电子公文不泄密、不被篡改、不被伪造、不可抵赖。

2．确保电子印章不被盗用、不被伪造。

3．对合法使用者的访问限制：与一般的信息系统不同，公文传输系统对安全体系有着独特的要求。一般的信息安全体系侧重于信道安全，注重身份识别和加密强度，对合法使用者并不加限制。但由于电子公文中的公章是不允许被接收方所掌握的，因此即使是对合法接收方也要严加限定。

4．最小授权原则：只给每个人所需要的最小授权，并确保不能越权操作。

5．安全审计原则：以不可篡改、不可抵赖的方式记录关键操作，从而保证至少事后可做安全审计。

二、产品层安全技术

1．全程访问控制技术。全程访问控制技术使电子公文从生成起就永久处于受控状态，防止被任何人用任何方法（包括授权使用者进行合法操作时）截获/破解得到不受控的明文，从而有效保护电子公文中电子印章等敏感数据的受控使用。为了实现全程受控，公文传输系统中所有需要处理公文的程序采用实时解码方式，每次只解码极少的数据，而且不以任何方式保存不受控明文，解码后的数据立即使用并立即被覆盖，确保不会在任何地方出现比较完整的不受控明文。另外，明文本身也采用了专为全程受控目的而设计的特殊控制措施进行处理，更有效地保证了全程受控的实现。

2．绑定技术。将指定文件与特定硬件绑定，使得只有在特定硬件、特定私钥存在的前提下才能打开该文件，通过硬件实现文件的访问授权。

3．直接打印驱动技术。鉴于操作系统提供的打印驱动程序很容易就能被截获，为了保证更高安全度，书生公文传输系统针对每款打印机自行编写驱动程序，直接控制打印机硬件，使打印数据不被截获。可按照工作要求，随时确定那几款打印机型号可打印红头红章的公文，打印机型号的确定和修改可以通过配置文件来完成。

三、电子印章安全性

1．电子印章。电子印章用使用单位的书生卡进行访问控制，制章单位可以设定与印章文件存储介质进行绑定（拷贝无效），设置使用口令，连续错误输入电子印章使用口令三次，则电子印章被锁定。电子印章中记录了与之对应的实物印章的图像信息，一方面可以打印出来在纸面上形成相当于传统盖章的效果，对还原出来的纸质公文可用常规比对方法鉴别真伪，另一方面也能作为判别电子印章真伪的依据之一。

2．电子印章存放安全。将电子印章存放在移动存储介质（如U盘、软盘）上，将其实物化，并与存储介质绑定，使之可以锁在保险柜中由专人保管，按照与实物印章相同的管理制度进行管理。

3．电子印章使用安全。电子印章应由指定人员在专用计算机上使用，采取安全措施如下：（1）电子印章设置口令，在使用电子印章时必须输入正确的口令才能使用；（2）电子印章采用使用单位的书生卡进行实用控制，只有在合法使用单位的书生卡上才能使用；（3）电子印章与指定使用人员绑定，只有以指定人员身份登陆公文传输系统才能使用。

4．电子公文中电子印章的安全。采用全程访问受控技术，使电子公文经电子盖章生成后，即永久处于访问受控状态，即使合法使用者也无法获取明文，从而有效保护电子公文中的电子印章不被任何人截获。

5．电子印章中印章图像的信息安全。虽然对电子印章的鉴别主要通过数字签名等技术进行，但当电子公文被打印出来还原成纸质公文后，数字签名等信息不复存在，而印章图像信息被打印出来后相当于传统盖章的效果，使还原出来的纸质公文可用常规比对方法鉴别印章真伪，因此也需要对电子印章中的印章图像信息进行保护。对该信息的保护措施主要有以下几个方面：

（1）在屏幕浏览时，只显示虚化的印章图像，使屏幕截屏后获得的印章图像严重失真，无法用于伪造。（2）在打印时，虽然要向打印机发送完整的印章图像信息，但采用直接往打印机硬件发送数据的方式，而不通过操作系统的打印驱动程序，从而防止打印驱动程序被重定向后泄露印章图像信息。（3）在电子公文归档成为黑头黑章的归档文件时，将电子印章中的印章图像信息做永久性虚化处理，这样即使脱离完全受控访问的归档文件也不会泄露完整印章图像信息。

6．用章记录。用章记录是事后审计的重要信息。每次用印后都会自动生成用章记录，而且用章记录并不是保存在本地，而是自动发送到服务器保存，即使是合法使用者也无权修改服务器上的用章记录，便于将来审计。

四、电子公文安全性

1．电子公文使用安全。电子公文采用全程受控访问技术，具有防篡改性和不可分割性，使电子公文的已有内容不会被篡改，公文里的密级标识、电子印章等数据不会从电子公文中被拆离出来。电子公文还支持数字信封加密机制，支持绑定硬件的加密措施。

2．电子公文份数控制。发文方可设置允许收文方打印的份数，相当于传统方式下发给收文方的文件份数。打印份数加密存储在收文方的服务器中，任何人（包括收文方的系统管理员）都无法修改，每打印一份就减一，减到零后就不能再打印出红头红章的原件了。

3．电子公文打印控制。电子公文在打印时不通过操作系统的打印驱动程序，而是自行开发驱动程序，直接控制打印机硬件，最大程度防止打印数据被截获。

五、传输平台安全

1．数据保护。电子公文运行在黑龙江省电子政务网平台上，利用该平台进行在电子公文的存储、处理、传递和使用的全过程符合国家有关保密规定。同时，在各项操作中，采用电子公文传输系统独有的严格的安全控制措施，利用全程受控访问技术使电子公文始终处于系统安全访问控制之下。系统安全控制设计按系统管理员、安全管理员、安全审计员几种身份角色。

2．系统安全保密监控。利用安全访问控制技术对电子公文、电子印章做数字签名，实现不可篡改和不可抵赖的功能；运行时每一步操作都有记录，关键操作都以不可篡改、不可抵赖的方式记录在案，从而保证至少事后可做安全审计。

3．分级授权体系与权限分离机制。系统管理职责分为三种类型：系统管理员、安全审计员、安全管理员，实行闭环相互控制机制。实际工作中系统管理员和安全管理员给同一个用户。

（1）系统管理员：负责一组角色，包括数据、数据字典、程序运行平台的设置和维护等。所有操作都记入系统管理日志。（2）安全审计员：负责对系统管理日志和安全管理日志信息进行管理与审计。（3）安全管理员：负责系统中与安全相关的管理和配置工作（如：密码长度、有效期、登录锁定的次数等等）；对系统功能日志和安全审计日志进行管理与审计。