范凯燕，张若

（郑州工商学院，河南 郑州 450000)

随着互联网技术、信息技术的不断发展，公文处理已经开始脱离纸质化，办公自动化工具也在大范围推广，公文系统应运而生。由于党政机关工作的特殊性，其政务网络是与互联网等公共网络相互隔离的。随着电子政务的不断发展，电子公文系统的业务量也开始大量增加，其安全问题也开始凸显。我国法律中，对密码技术的应用进行了战略部署要求。作为网络与信息安全的核心技术，密码技术在数字签名、身份认证、文件加密等方面，具有至关重要的作用。现阶段，党政机关在公文系统的密码应用中面临很多问题，公文系统的安全性有待提升。鉴于此，本文对基于密码技术的公文传输安全系统的设计展开研究，具有重要的现实意义。

1 基于密码技术的公文传输安全系统现状分析

从现阶段实际情况来看，应用密码技术的单位中有很大部分对密码技术存在误解，认为应用密码技术即可万无一失，关于密码算法、密码技术的正确使用方式却知之甚少，对“安全”的理解过于表面。通过研究发现，密码技术的公文传输安全问题主要包括安全意识问题、管理和制度问题、密码技术问题等多个方面[1]。

2 关键数据交互过程中的安全风险分析

2.1 数据交互的关键环节

各企业应用电子公文的典型数据交互环节，主要有存储、传输、管理等，如图1所示。而在上述不同环节，均会面临不同的数据安全风险。

图1 电子公文系统典型数据交互环节

2.2 数据传输中面临的安全风险

数据传输是数据在终端与终端、终端与服务器之间传输，面临的主要风险包括：其一，在终端到应用端的传输中，数据被非法查看，或未经同意被非法篡改；其二，在终端到终端的传输中，数据被非法查看，或未经同意被非法篡改；其三，数据被泄露，在未得到授权的终端或服务器上流转[2]。

2.3 数据存储中面临的安全风险

在数据全生命周期中，存储也是非常重要的一个环节，更是应用系统在数据处理后的环节。通常情况下，电子公文系统的数据存储形式有两种，一种是服务器向单独的存储设备上存储，另一种是应用系统本地所在服务器的存储设备上。数据存储中面临的安全风险主要为：其一，未经授权的用户登录应用服务器内，非法获取其中明文储存的数据；其二，存储设备未设立认证机制，用户非法借助其他应用系统的服务器，与存储设备连接，从而访问存储设备中的数据；其三，在设备的例行维护、故障维修以及运输过程中，被非法入侵，数据被读取；其四，在对存储设备进行销毁、报废处理时，操作不彻底，导致数据被恢复[3]。

2.4 数据管理中面临的安全风险

数据管理指的是管理人员登录系统，对数据进行各项管理操作。在此过程中，因管理人员需要对系统执行配置操作，故相对而言，管理人员的权限要大于其他普通用户，有机会入侵系统后台，甚至有可能直接通过配置界面登录设备，带来数据泄露等风险。数据管理中的安全风险主要包括：其一，系统管理人员利用自身权限信息登录应用系统，获取未经授权的数据；其二，管理人员直接登录服务器操作系统及数据库，对数据进行各项非法操作，例如导出、拷贝等。

3 不同场景需求下的加密保护方案

3.1 数据传输过程的加密保护

基于密码技术的公文传输安全系统，若传输网络环境未在传输层、网络层采取有效保护措施，应用系统远程数据传输环境的安全性便比较低，数据传输过程中的安全隐患会比较多。所以，为了从应用层解决数据传输中面临的安全风险，可以在传输全程对数据进行加密保护。数据传输中加密保护的有效机制，即端到端加密方案[3]。端到端加密方案指的是借助信源加密技术，在终端借助密码技术，对需要传输的数据或文件实施加密保护，在加密保护操作完成后，再对密文进行传输，这种情况下整个数据的传输过程中，数据或文件均处在加密状态，只有配有密码服务的主机，才拥有对其进行编辑处理的权限。在整个传输过程中，数据的加密与解密，均在终端侧进行。加密过程中，客户端将待传输文件与接收用户证书列表，调用本地密码服务，生成数字信封头与密文数据，为进一步提高保密等级，可对密文数据进行签名。解密过程中，需要先在服务端下载密文文件，再通过本地密码服务来对密文签名进行验证，验证通过后，数字信封便会解开，再利用密钥，就可以对加密文件或数据进行解密，得到明文数据[4]。

3.2 数据存储过程中的加密保护

在应用系统存储部件及其连接的存储设备的安全性都比较低，且安全风险不可控的情况下，存储数据时应避免使用明文储存形式，特别是存储重要文件的公文系统，应对存储部件及系统连接的存储设备进行加密保护。针对数据存储过程中的加密保护，通常是对存储部件或设备实施集中加密管理，集中加密方案要在存储设备的一侧采用基于加密技术的存储加密系统，从而对数据存储块进行加解密。根据存储架构的不同，需采取不同的信息加密保护方案，以提高数据存储加密保护的针对性。具体而言，针对直接存储架构(DAS) ，对数据存储采用的加密方案，是让各个服务器中的系统，拥有相互隔离的存储空间，且所有交互信息均需要经过DAS 存储加密机才能流转。同时，通过本地局域网调用密码机，提供解密服务，只有拥有权限的主机，才能够访问数据。针对存储区域网络(SAN) 架构，对数据存储采用的加密方案，是多台应用服务器与1台或几台SAN网络存储密码机相连接，由密码机提供加密服务，符合安全策略的主机才拥有访问磁盘数据的权限。所有交互信息均要通过SAN存储加密机，且数据加密与解密的全过程，对主机和阵列而言都是透明的，这样便可以确保磁盘阵列中的所有数据均为密文[5]。

3.3 数据管理过程的加密保护

数据管理过程中的加密保护，也是基于加密技术的公文系统安全保护的重要一环。由于数据管理需要一定权限，是针对应用系统管理人员而言的。所以，首先，要求应用系统的开发与运维人员，必须要拥有针对服务器操作系统的较高权限，才能允许其进行数据管理操作。所以，可以使应用系统数据的接入方式变得更加复杂、多样化，避免过于简单化的权限分级和加密处理方式。举例而言，部分应用系统，管理人员可通过用户名和密码直接登录访问，这种情况下即便存储设备进行了加密处理，也依然会被非法窃取。其次，在公文流转的过程中，需要信息管理工作人员，对电子公文执行一系列管理操作，包括盖章、登记、转版等，这一岗位的工作人员在日常工作中便可直接接触电子公文，若为了针对这一岗位管理人员而采用端对端加密机制，则会影响工作人员的正常业务处理。基于此，关于数据管理过程的加密方案，至今为止尚未形成完善的、有效的加密方案。

4 针对公文系统管理风险数据安全加密方案

4.1 设计思路

存储加密和信源加密，分别解决了存储安全风险和传输安全风险，但也存在各自的局限性。具体而言，存储加密为存储设备的数据提供了有效保护，可避免存储设备丢失、被盗窃等安全问题，但这种加密方案下，用户终端进行数据交互要依托1个或多个服务端进行，这就导致数据从终端到应用服务端的传输过程中，存在泄露风险。所以，存储加密方案无法有效解决系统管理工作人员的非法访问。而信源加密方案，虽然可以对文件的传输过程实行加密保护，但是关于文件管理和密钥管理的程序太过复杂，不方便工作人员对文件进行业务处理。所以上述两种方案都存在各自的局限性。

在本文研究中，假设网络存储环境和传输环境是相对安全的，那么面临的主要安全风险，就是管理人员非法访问电子文件数据的问题。所以，只要数据进入应用区时被加密即可，而针对数据传输过程中的加密保护，只需要网络加密设备即可。本文提出一种系统设计思路，专门用于防止管理人员非法访问电子文件，管理人员可以对文件行维护操作、业务操作，但不能获得具体内容。

4.2 系统组成与实现机理

电子公文系统的组成主要包括文件处理客户端、信息保护服务端等。前者与系统流感器配套部署，主要功能包括文件传输功能、文件标识功能、密钥授权以及动态码获取功能等。后者的主要功能为密钥授权、数据加密，为应用区边界安全等级较高的专用设备，为整个应用区内的系统提供电子文件加密、密钥授权等功能。

本研究中应用系统的实现机理为：利用密码技术、访问控制技术，对单个公文实施加密保护，只有获得授权的用户，才可以获得密钥，未被授权的用户则无法获得密钥，也就无从获得加密文件。从本质上看，本系统是借助具有更高安全性和自动化程度的第三方信息保护系统，来替代系统自身的数据保护机制，以此来避免开发人员绕过安全系统非法获取系统文件或数据。基于这种设计思路，即便传输中为明文状态，但只要进入该系统，便会变成加密状态，这种情况下能够有效避免管理人员或其他未经授权用户，非法获取系统中的电子公文。同时，本系统采用“一文一密”的动态加密法，即对每个文件的密钥进行授权，且密钥和文件分开存储，这种就可以有效防止管理人员获取密钥的风险。与此同时，保护系统还会保留电子公文的基本信息，包括时间、用户、文件名称等，这些基本信息均为明文状态，不妨碍管理人员对文件进行业务管理操作。

4.3 安全机制

在电子公文系统中，电子公文传输系统的应用最为广泛，发挥着“主干道”的作用。相比于邮件系统、OA系统，电子公文传输系统最大的不同之处在于，其突出的是单位与单位之间正式形式的文件或信息的传达，“单位对单位”即接收方和发送方均为单位管理人员，而非用户。而“正式形式”即处理对象为正式发文的文件，换言之文件要符合公文格式要求和处理条例。本系统中电子公文传输系统的信息保护方案的机制。电子公文传输系统的基本业务流程，即登记、发文、收文三个阶段。

4.4 自身安全性保证

一般情况下，加密系统在客户端和服务端之间部署，为信息、数据交互提供密钥授权、数据加密等功能，加密系统自身安全性对电子公文系统的安全等级，具有直接影响。在本系统设计中，采用自动化程度高、安全性高的设备，加大了管理人员违规操作的难度，在很大程度上避免了窃密行为的出现，降低了信息泄露风险。文件信息保护系统自身安全性设计内容主要包括，首先，选择安全可靠的专用设备。基于软件安全、硬件安全、物理安全等方面的考量，选择专用设备。同时，非必要的管理接口、通信接口，禁止提供可供调试、跟踪的外部接口；自主开发安全软件和安全协议；设备重要部位应带有防窥探、防拆卸等防护措施，如防撬锁、封闭外壳等。其次，安排专门管理人员。为本系统安排专门管理人员，由管理人员负责对系统进行各项管理操作。同时，设置管理员身份鉴别流程，管理人员在登录系统时，需要通过指纹认证、人脸识别等强身份鉴别措施，对其身份、权限进行验证。而且，管理人员对系统执行的所有操作，均需要得到授权，不具有访问系统内部存储信息内容的权限。最后，完善安全管理制度，科学拟定管理制度、标准规范、应急响应和应急处理方案等，特别是存储关键信息、敏感信息的设备，更应制定严谨、完善的管理制度，例如存储设备出现故障时要直接更换，不能维修等制度，以进一步提高安全等级。

5 结束语

本文针对公文系统管理风险数据安全加密方案，属于“防内不防外”的方案，能够有效避免管理人员利用自身权限，非法获得数据或文件，同时将应用系统的失泄风险集中在安全性更好的电子文件信息保护系统当中，极大地降低了信息泄露的风险，提供了一种电子公文信息保护的新思路。在党政机关实际工作过程中，电子公文系统数据的保护至关重要，未来可以以本文研究成果作为基础，在结构化数据保护等问题上深入挖掘，基于更多类型的文件应用系统钻研适配工作，从而设计出符合我国党政机关实际需求，且安全性、可靠性均比较高的公文系统。