眾多企事業(yè)單位都相繼建立了網(wǎng)絡(luò)系統(tǒng)，通過(guò)信息共享與協(xié)同工作，提高了辦公效率，但是，在提高工作效率的同時(shí)，也面對(duì)著諸多的信息安全問題。對(duì)關(guān)鍵文件的加密，是確保信息安全的一個(gè)重要的手段。

網(wǎng)上辦公系統(tǒng)關(guān)鍵文件的加密，其主要含義是：如何通過(guò)一系列的數(shù)據(jù)加密技術(shù)及相應(yīng)的認(rèn)證技術(shù)，完成網(wǎng)上辦公系統(tǒng)中公文的加密、流轉(zhuǎn)、認(rèn)證等工作。通過(guò)對(duì)網(wǎng)上辦公系統(tǒng)的關(guān)鍵環(huán)節(jié)使用數(shù)據(jù)加密技術(shù)與數(shù)據(jù)認(rèn)證技術(shù)，以及通過(guò)構(gòu)建科學(xué)合理的網(wǎng)上辦公流程(主要指的是如何設(shè)計(jì)公文的審批流程，公文流轉(zhuǎn)的流程，公文認(rèn)證的流轉(zhuǎn)流程)來(lái)實(shí)現(xiàn)相對(duì)嚴(yán)密的網(wǎng)絡(luò)安全工作體系。

1　目前網(wǎng)上辦公系統(tǒng)存在的網(wǎng)絡(luò)安全隱患

隨著網(wǎng)上辦公系統(tǒng)在各個(gè)企事業(yè)單位的普及使用，網(wǎng)上辦公系統(tǒng)的安全隱患也開始顯現(xiàn)。具體表現(xiàn)在以下幾個(gè)方面：

(1)登錄系統(tǒng)的密碼泄露。

當(dāng)密碼是采用明文存放在數(shù)據(jù)庫(kù)中時(shí)，一旦存放密碼的數(shù)據(jù)庫(kù)被惡意下載，密碼就會(huì)被非法用戶所獲得，非法用戶就可以以合法用戶的身份登錄到前臺(tái)進(jìn)行操作，獲取想要的數(shù)據(jù)。因此傳統(tǒng)的明文密碼不適合作為網(wǎng)上辦公系統(tǒng)的登錄密碼。這就需要用到數(shù)據(jù)的加密技術(shù)，將明文密碼轉(zhuǎn)變成極難破解的加密密碼，而采用哪一種加密手段才更適合登錄系統(tǒng)本身，是需要考慮的問題。

(2)數(shù)據(jù)庫(kù)中的公文信息被非法修改。

修改的目的是多方面的。有些是破壞性修改，其目的是攪亂系統(tǒng)的正常運(yùn)行。這種破壞往往表現(xiàn)在刪除數(shù)據(jù)庫(kù)信息，復(fù)制不相關(guān)的信息到數(shù)據(jù)庫(kù)中等。這些破壞看上去很嚴(yán)重，但解決起來(lái)相對(duì)簡(jiǎn)單，只要及時(shí)做好數(shù)據(jù)庫(kù)的備份，備份文件的地址及時(shí)地更改就可以避免。還有一種是目的性很強(qiáng)的惡意修改，如修改公文的內(nèi)容以實(shí)現(xiàn)自己的各種利益，把領(lǐng)導(dǎo)已經(jīng)通過(guò)的公文通過(guò)篡改幾個(gè)關(guān)鍵信息，從而得到對(duì)自己有利的信息。為了防范這類破壞行為，需要建立一種加密機(jī)制，讓非法用戶不知道數(shù)據(jù)庫(kù)中公文的實(shí)際意義。其次，對(duì)于在前臺(tái)修改公文的非法用戶，還要建立一種認(rèn)證機(jī)制，即便非法用戶修改了已經(jīng)審批擬定好的公文，在認(rèn)證的時(shí)候也會(huì)發(fā)現(xiàn)這是不合法的公文。

(3)發(fā)文的法律效力缺失。

辦公系統(tǒng)，尤其是行政、黨政發(fā)文，雖然是在網(wǎng)上發(fā)文，但發(fā)文人同樣想讓所發(fā)公文在單位內(nèi)部具有和紙質(zhì)公文同等的法律效力，這就需要有一種公認(rèn)的證明性標(biāo)志，就如同傳統(tǒng)公章一樣，加蓋到公文上，公文即具有了法定效力，單位部門內(nèi)部就須按照公文的指示進(jìn)行辦公。而傳統(tǒng)網(wǎng)上辦公系統(tǒng)，公文容易被人篡改，因此通常只有輔助作用，僅起到通知和提醒的作用，而沒有什么法律效力。電子公章的誕生解決了這一問題。通過(guò)制定一系列行之有效的算法，讓發(fā)文人員也可以對(duì)電子公文進(jìn)行簽核加蓋電子公章，加蓋了電子公章的公文也就具備了傳統(tǒng)公文一樣的法律效力。

2　網(wǎng)上辦公系統(tǒng)的數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)是通信安全的基礎(chǔ)之一。數(shù)據(jù)加密過(guò)程是由各種加密算法來(lái)具體實(shí)施的，它以很小的代價(jià)提供很大的安全保護(hù)。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的惟一方法。據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法兩類。

在常規(guī)密碼算法中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。比較著名的常規(guī)密碼算法有：Lucifer算法、Madryga算法、DES算法及其各種變形、FEAL算法、IDEA算法、REDOC算法、LOKI算法、Khufu和Khafre算法、Skipjack算法、MMB算法、RC4和RC5算法等。在眾多的常規(guī)密碼中以DES密碼影響最大。

常規(guī)密碼具有很強(qiáng)的保密強(qiáng)度，具有加密速度快，加密效果好、能經(jīng)受住時(shí)間的檢驗(yàn)和攻擊的優(yōu)點(diǎn)，但其密鑰必須通過(guò)安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。

在公鑰密碼中采用不對(duì)稱的密鑰方式，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。比較著名的公鑰密碼算法有：背包算法、RSA算法、Pohlig-Hellman算法、Rabin算法、EIGamal算法、McEliece算法、橢圓曲線算法、LUC算法等。最有影響的公鑰密碼算法是RSA，它能抵抗迄今為止已知的所有密碼攻擊。

公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理也較為簡(jiǎn)單，尤其可方便地實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡(luò)安全加密方法。

在實(shí)際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來(lái)加密信息，而采用RSA來(lái)傳遞會(huì)話密鑰。

如果按照每次加密所處理的比特來(lái)分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個(gè)比特，而后者則先將信息序列分組，每次處理—個(gè)組。

在對(duì)文件進(jìn)行加密的同時(shí)，還應(yīng)采用以下一些安全措施：嚴(yán)格的權(quán)限控制，未授權(quán)人員無(wú)法做相應(yīng)操作；支持SSL，對(duì)在網(wǎng)絡(luò)上傳輸?shù)男畔⒓用埽乐剐畔⒈唤孬@泄密；設(shè)置日志功能，記錄用戶的各種重要操作，記錄系統(tǒng)的異常信息。

3　網(wǎng)上辦公系統(tǒng)關(guān)鍵文件的加密與網(wǎng)上注冊(cè)

3．1　文件的加密與網(wǎng)上注冊(cè)的意義

文件加密是出于系統(tǒng)整體安全性的考慮。一個(gè)系統(tǒng)光從功能上具備安全性是不夠的，如果系統(tǒng)本身文件結(jié)構(gòu)不具備安全性，源代碼泄露，即使功能再完備、再安全，也會(huì)很快被非法用戶從最底層攻破。當(dāng)系統(tǒng)是采用Asp語(yǔ)言編寫B(tài)/S模式的軟件時(shí)，很多文件在IIS服務(wù)器下是很難加密的。為此，我們可以利用幾個(gè)關(guān)鍵技術(shù)，把文件編譯成DLL文件再進(jìn)行加密保護(hù)。DLL文件是二進(jìn)制文件，被看懂的可能性不大；其次，在DLL文件編譯前每個(gè)關(guān)鍵函數(shù)在調(diào)用上必須(采用下一節(jié)介紹的方法)查找注冊(cè)表項(xiàng)，才能返回正確的函數(shù)值，因此，這就和網(wǎng)上注冊(cè)功能更加緊密地結(jié)合起來(lái)，更好地保護(hù)了關(guān)鍵技術(shù)文件。

網(wǎng)上注冊(cè)是目前比較流行的注冊(cè)方法，采用網(wǎng)上注冊(cè)的目的是更好地保護(hù)知識(shí)產(chǎn)權(quán)；杜絕非法用戶模擬網(wǎng)上辦公系統(tǒng)的運(yùn)行環(huán)境，產(chǎn)生一些偽公文在單位內(nèi)使用。

3．2　文件的加密與網(wǎng)上注冊(cè)的方法

文件的加密與網(wǎng)上注冊(cè)的設(shè)計(jì)思路是：對(duì)網(wǎng)絡(luò)用戶使用的網(wǎng)卡物理地址進(jìn)行軟件加密后，利用遠(yuǎn)程注冊(cè)眼務(wù)器進(jìn)行合法性驗(yàn)證，實(shí)現(xiàn)加密注冊(cè)任務(wù)。過(guò)程主要涉及以下幾個(gè)步驟：

(1)讀取用戶主機(jī)MAC地址，若有多個(gè)網(wǎng)卡，以讀到的最后一個(gè)網(wǎng)卡地址為準(zhǔn)。檢查注冊(cè)表中是否有相應(yīng)加密的網(wǎng)卡地址，若沒有(說(shuō)明此軟件還沒有注冊(cè)過(guò))則進(jìn)行(2)。若有，比較讀出的本機(jī)網(wǎng)卡地址與注冊(cè)表中的網(wǎng)卡地址是否一致。若一致則說(shuō)明軟件已經(jīng)在本地注冊(cè)過(guò)，進(jìn)行(6)。若不一致，說(shuō)明軟件被非法拷貝，進(jìn)行(2)。

(2)對(duì)讀出的本機(jī)MAC地址采用RSA加密算法進(jìn)行加密(這樣做是為了避免非法用戶找出注冊(cè)表的相關(guān)鍵值進(jìn)行修改，或避免網(wǎng)卡地址在網(wǎng)絡(luò)傳輸過(guò)程中被截獲并被非法修改)，生成加密的網(wǎng)卡地址文件。

(3)建立遠(yuǎn)程的注冊(cè)服務(wù)器，進(jìn)行TCP協(xié)議下的監(jiān)聽，得到網(wǎng)卡地址的主機(jī)通過(guò)internet/intranet與監(jiān)聽服務(wù)器建立連接，將已加密的網(wǎng)卡地址文件作為注冊(cè)文件發(fā)送到注冊(cè)服務(wù)器。

(4)注冊(cè)服務(wù)器利用相應(yīng)的算法對(duì)收到的注冊(cè)文件進(jìn)行解密獲取網(wǎng)卡地址，根據(jù)地址判斷請(qǐng)求注冊(cè)用戶的合法性。若合法，則生成相應(yīng)的注冊(cè)碼，并把注冊(cè)碼傳回用戶主機(jī)，否則返回錯(cuò)誤信息。

(5)用戶主機(jī)收到注冊(cè)服務(wù)器的返回信息后，經(jīng)判斷收到合法的注冊(cè)碼時(shí)，對(duì)軟件進(jìn)行注冊(cè)，并把加密的網(wǎng)卡地址寫入注冊(cè)表，同時(shí)更新注冊(cè)地址加密文件；否則，終止注冊(cè)。

(6)完成加密注冊(cè)任務(wù)。

由于先進(jìn)的網(wǎng)絡(luò)技術(shù)的運(yùn)用，網(wǎng)絡(luò)運(yùn)行環(huán)境得到了不斷改善。隨著INTERNET技術(shù)和國(guó)際互聯(lián)網(wǎng)絡(luò)的發(fā)展，以及網(wǎng)上辦公系統(tǒng)的安全性與可靠性的逐步完善，目前的辦公自動(dòng)化已逐步由傳統(tǒng)的局域網(wǎng)內(nèi)互聯(lián)互通上升到了支持移動(dòng)力公、遠(yuǎn)程辦公管理等更廣闊的領(lǐng)域。

admin

收藏 海報(bào)分享