姜　嵐

中圖分類號：TN8文獻標(biāo)識碼：A文章編號：1671－7597（2009）0220026－01

一、系統(tǒng)安全體系設(shè)計的目標(biāo)和原則

對電子公文版式文件和電子印章系統(tǒng)來說，安全無疑是至關(guān)重要的。一方面由于網(wǎng)絡(luò)環(huán)境的廣泛性和復(fù)雜性等特點，文件在網(wǎng)絡(luò)傳輸過程中可能會被截取或者篡改，另一方面內(nèi)部越權(quán)訪問更是需要嚴(yán)加防范的。

對電子公文傳輸來說，還存在不能讓下級單位從文件中盜用上級單位公章的問題。這就要求：

1．確保電子公文不泄密、不被篡改、不被偽造、不可抵賴。

2．確保電子印章不被盜用、不被偽造。

3．對合法使用者的訪問限制：與一般的信息系統(tǒng)不同，公文傳輸系統(tǒng)對安全體系有著獨特的要求。一般的信息安全體系側(cè)重于信道安全，注重身份識別和加密強度，對合法使用者并不加限制。但由于電子公文中的公章是不允許被接收方所掌握的，因此即使是對合法接收方也要嚴(yán)加限定。

4．最小授權(quán)原則：只給每個人所需要的最小授權(quán)，并確保不能越權(quán)操作。

5．安全審計原則：以不可篡改、不可抵賴的方式記錄關(guān)鍵操作，從而保證至少事后可做安全審計。

二、產(chǎn)品層安全技術(shù)

1．全程訪問控制技術(shù)。全程訪問控制技術(shù)使電子公文從生成起就永久處于受控狀態(tài)，防止被任何人用任何方法（包括授權(quán)使用者進行合法操作時）截獲/破解得到不受控的明文，從而有效保護電子公文中電子印章等敏感數(shù)據(jù)的受控使用。為了實現(xiàn)全程受控，公文傳輸系統(tǒng)中所有需要處理公文的程序采用實時解碼方式，每次只解碼極少的數(shù)據(jù)，而且不以任何方式保存不受控明文，解碼后的數(shù)據(jù)立即使用并立即被覆蓋，確保不會在任何地方出現(xiàn)比較完整的不受控明文。另外，明文本身也采用了專為全程受控目的而設(shè)計的特殊控制措施進行處理，更有效地保證了全程受控的實現(xiàn)。

2．綁定技術(shù)。將指定文件與特定硬件綁定，使得只有在特定硬件、特定私鑰存在的前提下才能打開該文件，通過硬件實現(xiàn)文件的訪問授權(quán)。

3．直接打印驅(qū)動技術(shù)。鑒于操作系統(tǒng)提供的打印驅(qū)動程序很容易就能被截獲，為了保證更高安全度，書生公文傳輸系統(tǒng)針對每款打印機自行編寫驅(qū)動程序，直接控制打印機硬件，使打印數(shù)據(jù)不被截獲?？砂凑展ぷ饕螅S時確定那幾款打印機型號可打印紅頭紅章的公文，打印機型號的確定和修改可以通過配置文件來完成。

三、電子印章安全性

1．電子印章。電子印章用使用單位的書生卡進行訪問控制，制章單位可以設(shè)定與印章文件存儲介質(zhì)進行綁定（拷貝無效），設(shè)置使用口令，連續(xù)錯誤輸入電子印章使用口令三次，則電子印章被鎖定。電子印章中記錄了與之對應(yīng)的實物印章的圖像信息，一方面可以打印出來在紙面上形成相當(dāng)于傳統(tǒng)蓋章的效果，對還原出來的紙質(zhì)公文可用常規(guī)比對方法鑒別真?zhèn)?，另一方面也能作為判別電子印章真?zhèn)蔚囊罁?jù)之一。

2．電子印章存放安全。將電子印章存放在移動存儲介質(zhì)（如U盤、軟盤）上，將其實物化，并與存儲介質(zhì)綁定，使之可以鎖在保險柜中由專人保管，按照與實物印章相同的管理制度進行管理。

3．電子印章使用安全。電子印章應(yīng)由指定人員在專用計算機上使用，采取安全措施如下：（1）電子印章設(shè)置口令，在使用電子印章時必須輸入正確的口令才能使用；（2）電子印章采用使用單位的書生卡進行實用控制，只有在合法使用單位的書生卡上才能使用；（3）電子印章與指定使用人員綁定，只有以指定人員身份登陸公文傳輸系統(tǒng)才能使用。

4．電子公文中電子印章的安全。采用全程訪問受控技術(shù)，使電子公文經(jīng)電子蓋章生成后，即永久處于訪問受控狀態(tài)，即使合法使用者也無法獲取明文，從而有效保護電子公文中的電子印章不被任何人截獲。

5．電子印章中印章圖像的信息安全。雖然對電子印章的鑒別主要通過數(shù)字簽名等技術(shù)進行，但當(dāng)電子公文被打印出來還原成紙質(zhì)公文后，數(shù)字簽名等信息不復(fù)存在，而印章圖像信息被打印出來后相當(dāng)于傳統(tǒng)蓋章的效果，使還原出來的紙質(zhì)公文可用常規(guī)比對方法鑒別印章真?zhèn)?，因此也需要對電子印章中的印章圖像信息進行保護。對該信息的保護措施主要有以下幾個方面：

（1）在屏幕瀏覽時，只顯示虛化的印章圖像，使屏幕截屏后獲得的印章圖像嚴(yán)重失真，無法用于偽造。（2）在打印時，雖然要向打印機發(fā)送完整的印章圖像信息，但采用直接往打印機硬件發(fā)送數(shù)據(jù)的方式，而不通過操作系統(tǒng)的打印驅(qū)動程序，從而防止打印驅(qū)動程序被重定向后泄露印章圖像信息。（3）在電子公文歸檔成為黑頭黑章的歸檔文件時，將電子印章中的印章圖像信息做永久性虛化處理，這樣即使脫離完全受控訪問的歸檔文件也不會泄露完整印章圖像信息。

6．用章記錄。用章記錄是事后審計的重要信息。每次用印后都會自動生成用章記錄，而且用章記錄并不是保存在本地，而是自動發(fā)送到服務(wù)器保存，即使是合法使用者也無權(quán)修改服務(wù)器上的用章記錄，便于將來審計。

四、電子公文安全性

1．電子公文使用安全。電子公文采用全程受控訪問技術(shù)，具有防篡改性和不可分割性，使電子公文的已有內(nèi)容不會被篡改，公文里的密級標(biāo)識、電子印章等數(shù)據(jù)不會從電子公文中被拆離出來。電子公文還支持?jǐn)?shù)字信封加密機制，支持綁定硬件的加密措施。

2．電子公文份數(shù)控制。發(fā)文方可設(shè)置允許收文方打印的份數(shù)，相當(dāng)于傳統(tǒng)方式下發(fā)給收文方的文件份數(shù)。打印份數(shù)加密存儲在收文方的服務(wù)器中，任何人（包括收文方的系統(tǒng)管理員）都無法修改，每打印一份就減一，減到零后就不能再打印出紅頭紅章的原件了。

3．電子公文打印控制。電子公文在打印時不通過操作系統(tǒng)的打印驅(qū)動程序，而是自行開發(fā)驅(qū)動程序，直接控制打印機硬件，最大程度防止打印數(shù)據(jù)被截獲。

五、傳輸平臺安全

1．?dāng)?shù)據(jù)保護。電子公文運行在黑龍江省電子政務(wù)網(wǎng)平臺上，利用該平臺進行在電子公文的存儲、處理、傳遞和使用的全過程符合國家有關(guān)保密規(guī)定。同時，在各項操作中，采用電子公文傳輸系統(tǒng)獨有的嚴(yán)格的安全控制措施，利用全程受控訪問技術(shù)使電子公文始終處于系統(tǒng)安全訪問控制之下。系統(tǒng)安全控制設(shè)計按系統(tǒng)管理員、安全管理員、安全審計員幾種身份角色。

2．系統(tǒng)安全保密監(jiān)控。利用安全訪問控制技術(shù)對電子公文、電子印章做數(shù)字簽名，實現(xiàn)不可篡改和不可抵賴的功能；運行時每一步操作都有記錄，關(guān)鍵操作都以不可篡改、不可抵賴的方式記錄在案，從而保證至少事后可做安全審計。

3．分級授權(quán)體系與權(quán)限分離機制。系統(tǒng)管理職責(zé)分為三種類型：系統(tǒng)管理員、安全審計員、安全管理員，實行閉環(huán)相互控制機制。實際工作中系統(tǒng)管理員和安全管理員給同一個用戶。

（1）系統(tǒng)管理員：負責(zé)一組角色，包括數(shù)據(jù)、數(shù)據(jù)字典、程序運行平臺的設(shè)置和維護等。所有操作都記入系統(tǒng)管理日志。（2）安全審計員：負責(zé)對系統(tǒng)管理日志和安全管理日志信息進行管理與審計。（3）安全管理員：負責(zé)系統(tǒng)中與安全相關(guān)的管理和配置工作（如：密碼長度、有效期、登錄鎖定的次數(shù)等等）；對系統(tǒng)功能日志和安全審計日志進行管理與審計。