電子公文傳輸系統的安全體系設計

姜　嵐

中圖分類號：TN8文獻標識碼：A文章編號：1671－7597（2009）0220026－01

一、系統安全體系設計的目標和原則

對電子公文版式文件和電子印章系統來說，安全無疑是至關重要的。一方面由于網絡環境的廣泛性和復雜性等特點，文件在網絡傳輸過程中可能會被截取或者篡改，另一方面內部越權訪問更是需要嚴加防范的。

對電子公文傳輸來說，還存在不能讓下級單位從文件中盜用上級單位公章的問題。這就要求：

1．確保電子公文不泄密、不被篡改、不被偽造、不可抵賴。

2．確保電子印章不被盜用、不被偽造。

3．對合法使用者的訪問限制：與一般的信息系統不同，公文傳輸系統對安全體系有著獨特的要求。一般的信息安全體系側重于信道安全，注重身份識別和加密強度，對合法使用者并不加限制。但由于電子公文中的公章是不允許被接收方所掌握的，因此即使是對合法接收方也要嚴加限定。

4．最小授權原則：只給每個人所需要的最小授權，并確保不能越權操作。

5．安全審計原則：以不可篡改、不可抵賴的方式記錄關鍵操作，從而保證至少事后可做安全審計。

二、產品層安全技術

1．全程訪問控制技術。全程訪問控制技術使電子公文從生成起就永久處于受控狀態，防止被任何人用任何方法（包括授權使用者進行合法操作時）截獲/破解得到不受控的明文，從而有效保護電子公文中電子印章等敏感數據的受控使用。為了實現全程受控，公文傳輸系統中所有需要處理公文的程序采用實時解碼方式，每次只解碼極少的數據，而且不以任何方式保存不受控明文，解碼后的數據立即使用并立即被覆蓋，確保不會在任何地方出現比較完整的不受控明文。另外，明文本身也采用了專為全程受控目的而設計的特殊控制措施進行處理，更有效地保證了全程受控的實現。

2．綁定技術。將指定文件與特定硬件綁定，使得只有在特定硬件、特定私鑰存在的前提下才能打開該文件，通過硬件實現文件的訪問授權。

3．直接打印驅動技術。鑒于操作系統提供的打印驅動程序很容易就能被截獲，為了保證更高安全度，書生公文傳輸系統針對每款打印機自行編寫驅動程序，直接控制打印機硬件，使打印數據不被截獲。可按照工作要求，隨時確定那幾款打印機型號可打印紅頭紅章的公文，打印機型號的確定和修改可以通過配置文件來完成。

三、電子印章安全性

1．電子印章。電子印章用使用單位的書生卡進行訪問控制，制章單位可以設定與印章文件存儲介質進行綁定（拷貝無效），設置使用口令，連續錯誤輸入電子印章使用口令三次，則電子印章被鎖定。電子印章中記錄了與之對應的實物印章的圖像信息，一方面可以打印出來在紙面上形成相當于傳統蓋章的效果，對還原出來的紙質公文可用常規比對方法鑒別真偽，另一方面也能作為判別電子印章真偽的依據之一。

2．電子印章存放安全。將電子印章存放在移動存儲介質（如U盤、軟盤）上，將其實物化，并與存儲介質綁定，使之可以鎖在保險柜中由專人保管，按照與實物印章相同的管理制度進行管理。

3．電子印章使用安全。電子印章應由指定人員在專用計算機上使用，采取安全措施如下：（1）電子印章設置口令，在使用電子印章時必須輸入正確的口令才能使用；（2）電子印章采用使用單位的書生卡進行實用控制，只有在合法使用單位的書生卡上才能使用；（3）電子印章與指定使用人員綁定，只有以指定人員身份登陸公文傳輸系統才能使用。

4．電子公文中電子印章的安全。采用全程訪問受控技術，使電子公文經電子蓋章生成后，即永久處于訪問受控狀態，即使合法使用者也無法獲取明文，從而有效保護電子公文中的電子印章不被任何人截獲。

5．電子印章中印章圖像的信息安全。雖然對電子印章的鑒別主要通過數字簽名等技術進行，但當電子公文被打印出來還原成紙質公文后，數字簽名等信息不復存在，而印章圖像信息被打印出來后相當于傳統蓋章的效果，使還原出來的紙質公文可用常規比對方法鑒別印章真偽，因此也需要對電子印章中的印章圖像信息進行保護。對該信息的保護措施主要有以下幾個方面：

（1）在屏幕瀏覽時，只顯示虛化的印章圖像，使屏幕截屏后獲得的印章圖像嚴重失真，無法用于偽造。（2）在打印時，雖然要向打印機發送完整的印章圖像信息，但采用直接往打印機硬件發送數據的方式，而不通過操作系統的打印驅動程序，從而防止打印驅動程序被重定向后泄露印章圖像信息。（3）在電子公文歸檔成為黑頭黑章的歸檔文件時，將電子印章中的印章圖像信息做永久性虛化處理，這樣即使脫離完全受控訪問的歸檔文件也不會泄露完整印章圖像信息。

6．用章記錄。用章記錄是事后審計的重要信息。每次用印后都會自動生成用章記錄，而且用章記錄并不是保存在本地，而是自動發送到服務器保存，即使是合法使用者也無權修改服務器上的用章記錄，便于將來審計。

四、電子公文安全性

1．電子公文使用安全。電子公文采用全程受控訪問技術，具有防篡改性和不可分割性，使電子公文的已有內容不會被篡改，公文里的密級標識、電子印章等數據不會從電子公文中被拆離出來。電子公文還支持數字信封加密機制，支持綁定硬件的加密措施。

2．電子公文份數控制。發文方可設置允許收文方打印的份數，相當于傳統方式下發給收文方的文件份數。打印份數加密存儲在收文方的服務器中，任何人（包括收文方的系統管理員）都無法修改，每打印一份就減一，減到零后就不能再打印出紅頭紅章的原件了。

3．電子公文打印控制。電子公文在打印時不通過操作系統的打印驅動程序，而是自行開發驅動程序，直接控制打印機硬件，最大程度防止打印數據被截獲。

五、傳輸平臺安全

1．數據保護。電子公文運行在黑龍江省電子政務網平臺上，利用該平臺進行在電子公文的存儲、處理、傳遞和使用的全過程符合國家有關保密規定。同時，在各項操作中，采用電子公文傳輸系統獨有的嚴格的安全控制措施，利用全程受控訪問技術使電子公文始終處于系統安全訪問控制之下。系統安全控制設計按系統管理員、安全管理員、安全審計員幾種身份角色。

2．系統安全保密監控。利用安全訪問控制技術對電子公文、電子印章做數字簽名，實現不可篡改和不可抵賴的功能；運行時每一步操作都有記錄，關鍵操作都以不可篡改、不可抵賴的方式記錄在案，從而保證至少事后可做安全審計。

3．分級授權體系與權限分離機制。系統管理職責分為三種類型：系統管理員、安全審計員、安全管理員，實行閉環相互控制機制。實際工作中系統管理員和安全管理員給同一個用戶。

（1）系統管理員：負責一組角色，包括數據、數據字典、程序運行平臺的設置和維護等。所有操作都記入系統管理日志。（2）安全審計員：負責對系統管理日志和安全管理日志信息進行管理與審計。（3）安全管理員：負責系統中與安全相關的管理和配置工作（如：密碼長度、有效期、登錄鎖定的次數等等）；對系統功能日志和安全審計日志進行管理與審計。