（计算机应用技术专业论文）公文流转过程中的诚信与安全保障.pdf

大连理工大学硕士学位论文 摘要 公文流转系统是电子政务建设中的核心和基础系统，它的开发与应用已经成为各级 政府机关政务信息化的主要内容。由于政务办公的特殊性，公文流转过程中的诚信与安 全问题一直受到广泛的关注。本文从以下两方面对此问题进行讨论： 一是数据的安全问题。公钥基础设计( p k i ) 的出现是人们对信息安全需求日益严 格的结果，其应用范围非常广泛，并且成为电子政务主动寻求的保护信息的安全技术。 二是访问控制和业务流程控制的问题。在公文流转系统中，政府组织是政府中信息 决策、任务执行、管理和监督活动载体，政府业务的复杂性和不确定性使对公文的操作 的控制遇到困难。 本文分析对比了目前国内公文流转系统的普遍采用的体系结构和开发方式，分析了 政府办公业务的实际业务流程及其特点，以公文流转过程中的诚信与安全保障为中心， 深入讨论了角色网络理论和公钥基础设施在公文流转系统的应用。在此基础上，采用成 熟的应用服务器，以l v a 技术为主要实现语言，结合客户端控件的使用，设计了一个 适用于国内实际情况的典型的公文流转的安全保障系统。这个系统采用结合分层结构和 基于组件的软件设计方式，强调系统安全功能扩展的平滑性、系统用户在管理方面的易 用性和减少信息存储的冗余，并在强认证、信息完整性与不可否认性、系统内部的审核 与监控等方面有深刻体现。 本文以国家自然科学基金项目( 7 0 2 7 1 0 4 5 ) ：”电子政务系统模型体系及政务流程 再造研究”为研究背景，从杭州市政府政务办公实际的公文流转业务需求出发，针对公 文流转中的安全功能和运转适用性问题，将p k i 技术中的各种安全服务与角色网络在系 统内部进行合理部署，为公文流转提供一套保证诚信与安全的解决方案。以此设计方案 为基础实现的公文流转系统及其组件在“杭州市办公业务资源系统”和“辽宁省委安 全政务系统”中得到应用，收到很好的实际效果。 关键词：电子政务；公文流转：p k i c a ；角色网络 公文流转过程中的诚信与安全保障 s e c u r i t ya n d c r e d ri nd o c u m e n t st r a n s m i s s i o ns y s t e m a b s t r a c t d o c u m e n t st r a n s m i s s i o ns y s t e m ( d t s ) i sc o t a n db a s i cs y s t e mi ne - g o v s y s t e m s i t s d e v e l o p m e n t a n d a p p l i c a t i o n h a s b e e n t h e m a i n s u b j e c t i n g o v e r n m e n t s i n f o r m a t i o n b u i l d i n g b e c a u s eo f t h es p e c i a lc h a r a c t e r i s t i c s ，t h ec r e d i ta n d s e c u r i t yp m w , c t i o n i nt h e p r o c e s so f d t s h a sb e e nf o c u s e do n g r e a t l y t h i sa a j c l e w i l id i s c u s si tf r o mt h e f o l l o w i n gt w o s i d e s ： t h ef i r s to n ei ss e c u r i t y p k it e c b o n o l o g yo c c u r e sb e c a u s eo f s e c u r i t yn e e d sw h i c hi su s e d w i d e l y ，a n d b e c a m eam a i n t e c h n o l o g y u s e di ne g o v t h es e c o n di sa c c e s sc o n t r o la n d p r o c e s s i o nc o n t r 0 1 i nd t s g o v e r n m e n to r g a n i z a t i o n i s t h ec a t l t i e ro f d e c i s i o n - r a a k i n g , e x e c u t l o n , m a n a g e m e n ta n d m o n i t o r i n g 1 1 犯c o m p l e x i t y a n d u n c e r t a i n t yi nt h eg o v e r n m e n tb u s i n e s sm a k e so p e r a t i o n sd i f f i c u l t t h i sa r t i c l ec o m p a r e sw i t ht h ed i f f e r e n tn o r m a l s y s t e ms l r u e t u r e sa n dd e v e l o pw a y s ， a n a l y s e sg o v e r n m e n t b u s i n e s sp r o c e s sa n di t sc h a r a c t e r i s t i c s ，d i s c u s s e sd e e p l ya b o u tt h e u s a g e s o f r n a n d p k i n d t s w i t h t h e c r e d i t a n d s e c u r i t y 勰c e n t e r w i m t h i s u n d e r s t a n d i n g , t h i s d e s i g n u s e sm a t u r e a p p l i c a t i o ns e r v e r ，j a v aa sm a i nl a n g u a g e , t o g e r b e r w i t ht h eo c xi nc l i e n t s i d e s ，a n dd e s i g n sa n ds e c u r i t ys y s t e ms u i t a b l ei nt h ef a c t si nd o m e s t i cd t s n d ss y s t e mu s e s w a y so f l a y e r e d a n dm o d u l e b a s e d , f o c u s e so nt h es m o o t h e x p a n s i b i l i t y ，e a s yu s a g e a n d s t o r a g e n o n - r e d u n d a n c y i t a l s od i s c u s s e s d e e p l y a b o u tt h ec e r t i f i c a f i o n , i n f o r a m t i o n i n t e g r a l i t y a n d u n d e n i a b l e ，i n n e ra u d i t i n ga n dm o n i t o r i n g , r i g h ti n l l e i 证n ga n dt r a n s f e r 1 1 1 eb a e k g o u n do f t h ea r t i c l ei st h e p r o j e c t o f t h en a t i o n a ln a t u r a ls c i e n c ef o u n d a t i o n o f c h i r 】a ，( g r a n tn o 7 0 2 7 1 0 4 5 ) ：”s y s t e mo f t h em o d e l s i ne g o va n dr e s e a r c ho nt h e r e e n g i n e e r i n g o f g o v e r n m e n to f f i c e a f f a i r s ：p r o c e e df r o m r e a lb u s i n e s s o f h a n g z h o u e g o v d t st op r o v i d eas e tas o l u t i o n c o m b i n i n g s e r v i c e sf r o mp k a n dr n t o g e t h e ri nt h ei n n e ro f s y s t e m t o e n s u r e t h e e m i t a n d s e c u r i t y f o r d t s s y s t e m s r e a l i z e d b a s e d o n i b i s d e s i g n a n d i t s m o d u l e sh a v eb e e nu s e di n t h e 叠a n g z h o ue - g o vs y s t e m ”a n d l i a o n i n gs e c u r i t ye - g o v s y s t e m a n dg o t e f f e c t i v er e s u l t s k e yw o r d s ：e - g o v ；d o c u m e n l sf l o ws y s t e m ；p k i c a ；r n - 一 独创性说明 作者郑重声明：本博士学位论文是我个人在导师指导下进行的研究 工作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得 大连理工大学或其他单位的学位或证书所使用过的材料。与我一同工作 的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了溺 意。 大连理工大学硕士学位论文 1 引言 1 1 公文流转系统的介绍及其重要性 电子政务办公自动化系统的建设是我国实现“信息化带动工业化”的重要表现之 一，而公文流转系统是其核心内容，其建设是转变政府职能、推动经济、促进信息产业 发展的需要，系统建设从整合政务信息资源的需求出发，重在提高政务效率，政务公 开，充分利用计算机和现代通讯手段面向机关服务，建立政府内部信息交流的快速通 道，共享信息资源，强化部门业务管理，加强各业务部门之间的交流，实现政务信息的 快速上传下达，促进协同办公，提高办公效率，为各级领导及业务人员提供辅助办公和 决策服务。 公文流转系统相对于传统的纸质办公具有很多有点，如：节省纸张，加快公文流转 速度等等。公文流转系统是真正意义上的现代办公自动化系统，以往对于办公自动化的 应用只是独立、分离的运用类似o f f i c e 的办公软件，而公文流转系统则是网络技术、 通讯技术、数据库技术等综合的应用，使得一个公文从签收到发文均可以实现无纸化流 转。 公文流转系统有其自身特点，与金融等领域的信息系统相比有所不同。虽然公文流 转系统也是以数据库为核心，但是它更需要在用户之间的协作，流程的控制这些方面提 供辅助手段。一个公文流转的过程就是一个决策的过程，这个决策涉及到不同职务级别 人员之间的协作。针对政府机关的公文流转，各级政府办公厅还有明确的规章制度规范 具体的流程。因此，公文流转系统中要完成一项工作的无纸化，必须明确这项工作的全 部步骤。由于各级政府的办公流程有不同的特点，企业间的办公也千差万别，并且办公 流程随着时代在改变，因此公文流转系统不是只有一个流转模式，公文流转系统在设计 上与应用领域是紧密结合的。 1 2 问题的提出及项目背景介绍 1 2 1 问题的提出 公文流转系统在政府办公领域的广泛应用和政府上网工程的开展在给政府办公带来 极大方便的同时，也带来了诚信与安全方面的问题。政府站点代表了政府的形象，而公 文流转系统承载的则是政府的职能和业务。公文流转系统的安全和保密问题直接关系到 城市和国家的利益，信息安全问题也是电子政务建设中面临的一个不可回避的紧迫重要 公文流转过程中的诚信与安全保障 的问题。正如摘要中所说的，公文流转系统中诚信与安全应该从两方面进行考虑：访问 控制和业务流程控制以及数据的安全问题。 公文流转系统在政府机关或企事业单位的日常办公业务中占有重要的地位。传统的 流转模式主要以纸介质为主，给公文的传递、审批、归档、查询等带来了很大的不便。 基于w e b 的公文流转系统能根据用户提出的公文流程，在系统环境上自动实现收文、发 文、办理、统计查询等公文处理活动，能对整个工作流程实时跟踪和对修改审核信息进 行记录，并能按照有关规定，自动地报告公文在处理过程中的状态；能完成单位外来公 文的登记、批阅、办理、归档、查询等收文处理工作；能完成单位内部和对外公文的起 草、审批、签发、发布、存档、查询等发文处理工作。它是一种特殊的管理系统，特殊 性表现在以下几个方面： 1 、公文流转系统处理的是公文，涉及的往往是一些非结构化的数据，它们没有严 格的长度规定，结构松散，类型多变，所以在数据处理方式上与其他系统有很大不同。 在办公流程中，对不同的文档和不同的事务都有不同的处理流程，即使是相同的文档和 相同的事务针对不同的办公人员可能都有不同的处理流程。 2 、公文流转系统中大部分事务必须要有人的参与。如：很多事务要领导批示、确 认、决策。所以办公自动化只是有限意义的自动化，不象有些系统可以完全确定执行逻 辑。公文流转系统不能脱离人的干预。 3 、公文流转系统是一个综合性的管理系统，一项工作往往涉及多个部门，需要多 个办公人员协作才能完成。所以，协同工作在公文流转系统中表现的尤为突出。 4 、公文流转系统中公文的可操作级别不同。公文流转中必定要流经许多的办公人 员或者办公部门。在这个过程中，每个经手的人员或者部门的权限应该是有所不同。同 一篇公文中，针对某一个内容，可能部门a 可以浏览，而对部门b 却是不可见的。所以 在流转过程中针对不同层次、级别的办公人员而言，公文的可操作程度不同，即使同一 篇公文对同一层次的不同人员或者部门之间的可操作程度也可能不同。 5 、公文流转系统的操作对象是与广大百姓，与国家息息相关的政府公文。对作出 的可以影响国家与社会安全和稳定的决策必须要能够具有责任追查的功能。 由上可见，方面，由于公文流转涉及到敏感的个人信息和国家机密，导致不论在 哪一个阶段，安全问题都应受到格外的重视，对信息数据的传输、交换及其处理对安全 的要求就也就格外高；另外一方面，鉴于公文流转系统中业务的随意性与复杂性，要求 公文流转系统里信息的安全就不能依靠简单而独立的安全技术( 即使是个先进而复杂 2 大连理工大学硕士学位论文 的加密技术或者一个认证方法严密的基于口令的登陆方式) ，而是要有一个能够很好的与 政府业务相结合的业务流程设计和个可以更加周到全面地考虑到数据在各方面( 权 限、传输) 的安全的措施，而这也就需要系统提供一种可以在最大程度上实现真实政务 的再现的解决手段。 最初，使用简单的用户身份与密码校验的方式来保证使用系统的安全陛。这种方式 简单易用、有一定的安全性，因而得到普遍的发展。但是随着网络的普及和计算机技术 的提高，使用密码验证用户身份的方法的弊端越来越明显，其弊端包括：容易遗忘、易 被窃取、不好管理等。特别是在政府电子办公中，不仅涉及到数据的网络传输，还涉及 到各类密级的文件、决策与指示的处理过程，而对这类信息的破坏，不仅会对信息发出 者造成影响，对信息的篡改更有可能对整个社会的稳定、广大群众的安全造成影响，因 此不仅要确保用户身份的正确性，还要保证数据传输过程中数据本身的安全，对处理时 间的确定，还能够对数据处理过程进行严格的审计、增强事后追查、不可抵赖等功能。 p k i 技术的出现在很大的程度上满足了政务系统在这方面的需要。 在政务再现的问题上，2 0 0 1 年，中国电子政务示范工程总体专家组专家、大连理 工大学信息与决策技术研究所所长王延章教授根据自己多年的研究与实践，提出的角色 网络理论。在这个理论的引导下，实现了符合政府业务特点的政务办公系统，在公文流 转的过程里可以最大程度的符合业务的复杂性、变化性。 综上所述，我们分析电子政务的特点，电子政务系统在保证业务需求的前提下，应 该提供的基本安全服务应该有： 1 、身份认证服务：为进行电子政务业务的实体( 包括终端用户，发出请求的其它 服务等等) 定义唯一的电子身份标识，并通过该标识进行身份认证，保证身份的真实 性： 2 、权限控制服务：合法用户进入系统后，采用一定的访问控制机制以分配合适的 访问权限，对用户的访问行为进行控制。即根据实际情况把资源信息划分成不同的类型 与级别，并把使用资源信息的用户划分成不同的类型与级别，实现相应的人员对应相应 的信息进行访问的控制策略； 3 、信息保密服务：对于传输中需要保密的信息，采用密码技术进行加密解密处 理，防止信息的非授权泄漏； 4 、数据完整性服务：保证收发双方数据的一致性，防止信息被非法修改； 5 、不可否认服务：为第三方验证信息源的真实性和信息的完整性提供证据，它有 助于责任机制的建立，为解决电子政务中的争议提供法律证据。 3 。 公文流转过程中的诚信与安全保障 这些安全服务的实现，首先，应该在政府部门内部建立一整套行之有效的措旌并落 实各项安全保障制度，如所有信息的定密制度( 为信息的公开提供可行性依据) 、网络 区域的有限划分制度( 划分不同的网络区域，针对不同的安全级别制定不同的安全策 略，采用不同的网络安全设备) 、完善的内部监控与审核制度、公钥( 私钥) 的管理体 系、灾难响应及应急处理制度等等。重要的是，需要国家组织各级有关部门和技术力 量，对一些公共技术加以研究制定。如建立全国范围的电子政务信用认证体系，建立统 一的公钥管理。各级管理部门则应根据当地的实际情况，充分利用社会资源，建立本地 区的各类应急响应服务中心、支援网络和数据灾难备份的基础设施。针对政府部门技术 力量较薄弱的问题，尤其需要通过社会的整体力量，提高处理问题的效率，达到群防群 制的目的。如果以上各项能够得到妥善的解决，我们就可以建立起一套完善的立体电子 政务安全保障体系。 现在我们面对的问题就是在一个成熟的公文流转系统里在保证上述两个问题的同 时，怎样将这两个问题的解决方式融会贯通。如果两个系统不能有机结合，虽然可以保 障各自的功能，却不能真正实现系统的需求。 因此，以成熟的角色网络理论和p k i 技术为前提，我们在以杭州政务系统的实现为 背景下，重点讨论了怎样将个人的权限与安全认证、个人的操作与实际职责、安全的服 务与信息的审计结合在一起，从而实现公文流转过程中对诫信与安全的需求。 1 2 2 项目背景介绍 根据中办发 2 0 0 2 1 7 号文件的精神，杭州市政府结合自己电子政务多年来建设的实 际情况，同时根据门户网站建设特别是网上行政审批系统建设的需要，大力开展杭州市 政府政务网络平台和办公业务资源系统的建设。于2 0 0 3 年向全国各个软件公司进行政 务网络平台和办公业务资源系统的招标活动。经过几个月的努力，大连倚天软件有限公 司获得设计实现“杭州市政府政务网络平台”的机会。 公文流转系统是杭州网络平台中多个应用系统中的一个，属于内部办公业务开发平 台，是整个平台系统集成的核心。系统的建设目标是基于政务外网建设一个以市委、市 人大、市政府三大办公厅为核心，涵盖各区、县( 市) 委、政府和市级机关1 8 0 多家单 位的采用b s 结构的统一办公系统。它包括收文，办文，拟文，发文的公文一体化流 程，要求实现领导签批痕迹保留和电子印章等功能。 公文流转系统采用j 2 e e 技术，以i b m 的w e b s p h e r e 为w e b 应用服务器，数据库采 用o r a l c e 关系数据库，在系统结构上使用现在主流的b s 结构和c s 结构相结合的方 4 - 大连理工大学硕士学位论文 式。为了便于管理以及对数据的保护，核心业务数据采用集中统一管理的方式。使用浙 江省( 杭州市) c a 中心的p k i 认证系统。 1 3 国内外同类研究综述 l 3 1 公文流转系统国内外的发展现状 公文流转系统的发展是在不断进步中的，不论是从系统结构的才用还是开发手段来 看，都能体现现代技术的发展和对需求的扩展和延伸。 从系统结构上看，在早期的0 a 系统中，b s 模式是被广泛应用的系统模式，b s 模 式系统主要的应用平台有w i n d o w s s e r v e r f a m i l y 、h o t u s n o t e s 、l i n u x 等，其采用的主 要技术手段有n o t e s 编程、a s p 、j a v a 、w i n d o w s n e t 等，同时也使用c o m + 、a c t i v e x 控件等技术。c s 模式系统以服务器作为数据处理和存储平台，在终端设计有专门的应 用程序进行数据的采集和初次处理，再将数据传递到服务器端，用户必须使用客户端应 用程序才能对数据进行操作。c s 模式是早期电子政务开发中主要应用的模式。公文流 转系统的开发手段也多种多样，l o t u s n o t e s 、a s p 、v i s u a l s t u d i o 等主要的技术手段都 能开发出公文流转系统，它们具有不同的特点，在不同领域发挥着自身的优势。 i 3 2 公文流转过程中诚信与安全保障的现状 为了实现系统安全，必须从身份认证、访问控制、数据保密性、可用行、完整性和 不可否认性等多方面进行安全的增强。身份认证和访问控制是实现信息安全的一种重要 手段。对访问控制技术的研究也一直是国内外信息安全界的一个热点。从2 0 世纪7 0 年 代开始，先后提出了各种访问控制模型。1 9 9 2 年p e r r a i o l o 和k u h n 提出了基于角色的访 问控制模型这些访问模型的共同点在于它们都是从系统的角度出发保护资源 1 】。访问控 制的原理可以简单地描述为如果主体对客体又访问请求，而且该主体拥有对该客体的访 问权限，那么提供访问操作，否则拒绝该访问请求。2 0 0 1 年，通过对政府办公业务流 程的分析与总结，2 0 0 1 年中国电子政务示范工程总体专家组专家、大连理工大学信息 与决策技术研究所所长王延章教授提出的基于角色网络的访问控制理论，这个理论不但 在访问控制的角色权限上针对政府职能部门和岗位进行实现，更在此基础上兼顾了业务 流程的控制，从而保证权限严格控制与信息安全流转的结合 2 】。 在信息安全方面，9 0 年代以来得到了进一步的深化。作为信息安全的关键技术的 密码学，今年空前活跃。1 9 7 6 年，美国学者提出的公开密钥密码体制克服了网络信息 5 公文流转过程中的诚信与安全保障 系统密钥管理的困难，同时解决了数字签名问题，并可用于身份认证，它是当前研究的 热点。电子商务的安全性是人们关注的焦点，它带动了论证理论，密钥管理等的研究。 1 9 7 7 年，美国颁布使用的国家数据加密标准d e s 由于密码分析和攻击手段的进步，已 经不能满足安全需求。基于密码理论的综合研究成果和可信计算机系统的研究成果，构 建公开密钥基础设施，密钥管理基础设施成为当前另外一个热点。密钥基础设施在发展 初期就收到各国政府的广泛关注，在政府的大力推动下，各类政府部门根据自身的特点 和需要，在不同的程度上参与并采用了密钥基础设施 3 】【4 】。在电子政务系统中使用这 一先进主流技术已经是一个必然的发展趋势。 1 4 本文的研究思路及研究工作 信息系统安全的内容涵盖了技术、管理和政策等多方面的理论知识。管理类与政策 类的措旎与其他领域中的安全问题的解决措施大同小异，不外乎是针对硬件的安全管 理，指定一系列与计算机犯罪相关的法令、法规。本文主要讨论与安全技术相关的问 题，即利用现有理论与技术设计公文流转系统。目的是通过阐述p k i 系统、角色网络理 论和公文流转系统的理论知识，提出如何将角色网络理论和当今流行的安全认证系统应 用到公文流转系统中来，从而保障政务办公的安全，确保政府办公的诚信问题。按照四 部分进行： 首先对公文流转系统进行简单的介绍，提出保障公文流转过程中的安全与诚信问题 并对此问题进行分析，对比当今国内外在公文流转系统和系统的安全方面的发展现状； 其次是对公文流转系统技术背景的介绍，包括对角色网络和公钥p k i 技术的阐述， 并指明这两项技术在公文流转系统中的重要性和必要性； 之后是本文的重点，即保障公文流转系统的诫信和安全的系统设计。在这一章中， 从p k i 的网络结构到应用系统对其各类服务的使用，从角色网络在公文流转中的具体过 程、对角色和操作的维护管理，到最后，在角色网络中为了实现安全保障，充分利用 p k i 技术而进行的管理设置和对其服务使用的具体设计过程。 最后，通过对杭州市政府内部办公的实例，阐述了公钥p k i 、角色网络理论和公文 流转系统是怎样有机结合起来，共同完成保障内部办公业务安全的具体实现。 为了使本文所设计的系统能够满足公文流转过程中对诚信与安全的需求，我们在设 计整个系统中采用了一下的设计思路，并根据这样的思路展开了工作。 1 、多层结构：本文所设计的系统将实现一个真正的面向对象的多层结构。每一层 的功能都建立在下一层的基础之上，并为上一层提供一定的服务功能。层与层 - 6 大连理工大学硕士学位论文 的通信通过各层提供的统一接口，尽量减少层之间的数据交换量。这样可以容 易地替换某一个层的内容而不影响其它层的运行，可以达到平滑升级系统的安 全能力。 2 、基于组件：理想的组件应该满足以下几个基本条件： 容易理解，松耦合，高内聚，精确定义的接口； 独立于周围的软件实体，同其它软件单元低耦台： 抽象化。 利用组件技术对系统进行分析和构建，每个组件都要有独立的资源并对其进行 完全的管理，每一个需要与其它组件相连接的接口都被独立于组件的机制进行 处理，进行组件接口规划时要充分考虑数据是否正常传输、是否完整、是否安 全，并且考虑信息的传递和业务流转。 3 、基于元数据进行管理：将元数据分为展现元数据、用户角色管理元数据、业务 逻辑元数据、数据交换元数据和数据存储元数据等五类元数据。利用元数据进 行管理在最大的程度上增强系统的可操作性、可移植性、可扩展性、可维护性 和数据一致性 1 5 。 4 、透明的处理机制：利用对象的封装机制、元数据的管理功能等技术，将应做的 功能自动转到相应的处理模块中，使功能与功能之间、用户对于系统进行的处 理相对透明。如进行公文处理时，某类公文需要进行完整性检验，而另外一类 公文不需要完整性检验。对于用户来说，不需要知道是否需要进行检验、何时 进行检验、如何检验。在元数据管理中对这类信息进行设定，在操作处理模块 中对元数据进行判断并据此作出正确的反应即可。 7 公文流转过程中的诚信与安全保障 2 公文流转过程中对诚信与安全的需求分析 2 1 公文流转过程中存在的安全风险 如何保证公文秘密不被泄漏或者盗用、数据库的保密性、网络传输系统的安全运 行，以及如何判定操作人的身份及用户的可信度等等，都是电子政务中不可忽视的关 键。相应的公文流转过程中的安全问题涉及到系统的每一个环节。本文所要解决的公文 流转系统面临的安全威胁主要有 5 1 1 6 7 1 ： 1 、信息的截获和窃取：如果没有采用加密措施或者加密强度不够，攻击者可能通 过各种方式截获传输的机密信息。 2 、信息的篡改：当攻击者熟悉了信息格式后，通过各种技术方式和手段对信息进 行中途修改，从而破坏了信息的完整性。攻击者可能是系统外部人员，也可能 是系统内部人员，信息的篡改可能是对信息流的次序进行更改，也可能是在内 部对存储的数据进行篡改。 3 、假冒：某个实体( 个人或作为客户端的系统) 假装另外一个不同的实体。 4 、抵赖：系统的合法用户或实体否认自己曾经做过某事。 为了使公文流转系统能有效抵御上述威胁，在系统中必须能够提供以下功能： l 、强身份识别的功能：以解决用户名口令验证方式的易被破解的问题； 2 、角色权限的控制功能：用户利用强身份验证后与系统中的角色必须有严格对应 的过程，角色对应的职能必须能切实地反映现实岗位的责任； 3 ，数字签名( 签发) 问题：在电子政务中，要真正实行无纸化办公，很重要的一点 是实现电子公文的流转，而在这之中，数字签名( 签发) 问题又是重中之重。原 因在于这是使公文有效的必要条件。一旦在这个环节上出了问题，可能就会出现 很多假文件、错文件严重的将直接影响政府部门的正常运作。但是从目前的 实际情况来看，一则无纸化办公是和传统办公掺杂进行的，从传统的办公一下子 进入到无纸化数字办公还存在很多问题，因此目前多数系统还是两者兼顾；二 则，数字签名系统在实际操作中存在还是近期才开始探讨的问题，而且系统本身 也都不是很完善因而所有的行为都还没有一个完善成熟的先例借鉴，一切都是 探索进行。 4 、信任体系问题：电子政务要做到比较完善的安全保障体系，第三方认证是必不 可少的。只有通过一定级别的第三方认证，才能说建立了套完善的信任体 系。 8 大连理工大学硕十学位论文 5 、内部监控、审核问题：电子政务于电子商务不同点在很大程度上是体现在对公 网的利用上。尤其是内部办公系统。暂且抛开公网的庞大黑客群体不谈，我们 此文中只论及内部人员是否对网络进行恶意的操作和是否具有一定程度的网络 安全意识。我们不单单要靠硬件的保护，如网络的隔离，而是对信息的越权处 理、故意破坏的行为更要加强管理于防范。系统的设计应该考虑到对单位、部 门本身的安全等级系数和防护能力。实时地对内部人员的各项信息操作进行监 控和记录，屏蔽内部人员对数据的非法处理是公文流转系统应该具备的必要功 能。 2 _ 2 公文流转过程中系统对安全的需求 通过对公文流转过程中可能存在的安全风险的分析以及结合政务办公系统的特点， 我们总结了公文流转系统中对诚信与安全的需求： 1 、统一的存取访问控制：公文流转系统是政府业务办公的网络化、数字化的体 现，访问控制是保障信息秘密性的重要保障。公文流转系统必须能够根据用户身份认证 的有关信息对资源的访问进行集中的权限控制。 2 、透明的安全措施：将采用的安全措施无缝地结合到公文流转系统中。从身份认 证、数据签名验证到防止抵赖的措施，应该不影响用户的普通的业务操作。 3 、可扩充性：用户对安全的需求不时一成不变的，p k i 系统提供的安全接口也有 可能变更。这就要求公文流转系统要能在不影响用户使用的情况下平滑地增加安全功 能，或者进行升级。 4 、开放型：采用成熟的p k i 系统意味着要与c a 机构进行合作，在公文流转系统 引入p k i 服务体系。现在主流的p k i c a 安全提供商在国内已经达到3 0 多家。对于公 文流转系统的用户来说，使用那一家的产品完全有自己的实际情况。因此公文流转系统 必须能够与不同的安全系统进行快速简易的合作。同时，也要可以将安全的服务提供给 不同的应用系统。 9 公文流转过程中的诚倍与安全保障 3 系统的理论与技术背景 本系统使用角色网络理论和公钥基础设施作为设计和实现的背景。角色网络理论与 通常的基于角色的权限认证体系不同的是它根据政务流程的业务特点，将原本分层的角 色管理进行网络化，在进行权限控制的同时实现业务的流程的再现。本文设计的安全保 障系统目的之一就是要依据静态的安全技术做到动态地对系统信息进行安全的保障。做 到在协同处理信息过程中能对每一个环节都能做到信息可信、可查的程度。 公钥基础设施的接口调用是很简单的，但是怎样将它的安全措施有效、合理地结合 到应用系统中，做到c a 的供应商对于应用系统透明，采取的安全措旖对于终端用户透 明，c a 提供的安全技术能够在最大的程度上被多个应用系统使用而同时代码的改动量 最少，却是本系统重点考虑的问题。 首先介绍一下角色网络和公钥基础设施。 3 1 角色网络的背景介绍 2 0 0 1 年，中国电子政务示范工程总体专家组专家、大连理工大学信息与决策技术 研究所所长王延章教授根据自己多年的研究与实践，提出角色网络理论。电子政务活动 中的任何目标的具体执行过程都是在组织内部通过目标确定、任务划分、角色分配、角 色互连以及活动执行完成的。因此，可以将组织、目标、角色、操作、对象之间看成一 种层次映射互连关系来刻画现实中的政务活动。即一个组织有确定的总体目标，围绕着 这个目标有多个团队，每个团队由各自的任务集，每个任务有确定的事务对象以及对他 们的操作。事务的对象通过与其绑定的一组操作体现和实现。这些操作又往往可以一些 特定的算子表示，运算的过程和结果对应于事务对象的处理过程和输出结果。这就形成 了角色网络( r n ) 的总体结构 2 8 。 3 1 1 实践来源 要想很好地理解角色网络的实际来源以及它在公文流转中所起的重要作用，首先要 理解政府机关的行政职能，它是所有政务办公系统的基础，是用户提出需求，我们解决 需求、设计系统的依据。 根据国家行政机关公文处理办法( 国办1 9 9 3 年修订) 和中国共产党机关公 文处理条例( 中办发 1 9 9 6 1 4 号) ：各级行政( 党) 机关的办公厅( 室) 应当设立文 秘部门或者配备专职人员负责公文处理工作，公文由文秘部门统一收发、分办、传递、 用印、立卷、归档和销毁。文秘部门是机关公文运转的核心。 1 0 大连理工大学硕士学位论文 公文流转业务是一个相当复杂的过程，其主要由收文办理、发文办理两大部分组 成，中间由经过签收登记、拟办处理、主任批办、领导批办、办公室分送、主办部门处 理、协办部门处理、传阅部门传阅、办公室归档、归档公文的查阅等多个阶段 9 。 3 1 2 理论来源 从复杂系统系统的角度，电子政务可抽象为：由大量的作用者组成的系统。其中： l 、这个系统是开放的，受外界影响； 2 、在特定条件下，作用者相互作用； 3 、相互作用开始，将有微小变化，但是系统能够自行进行调整； 4 、不同的微小变化，可能导致重大差异的结局。 这些作用者从宏观上看可以是一个政府机构、一个企业；从微观上看可以是一个公 务员、一个企业职员、一个公民。但无论怎样，社会中的人都在社会这个大舞台中扮演 着确定的角色，同时，作为有行为能力的载体，这些角色在社会范围内被预先定义了权 利和义务，在一起承担着认识世界和改造世界的活动。在进行活动的同时，这些角色之 间发生着各种各样的联系( 如协作、冲突、继承、排斥等) 。由于各个角色都可以支配 自己的行为、有自己的目标，他们的活动有着模糊性、不确定性、随机性和经验性。 3 1 3 角色网络模型的介绍 实际的政务系统是千变万化的。按照一般信息系统的建设思路，应在对实际政务系 统进行详细系统分析基础上，再进行政务系统的设计与开发。但由于政务系统应用的复 杂性和个性化要求，以及信息技术的快速发展和用户对信息技术认同与掌握的差异，使 得几乎不可能在系统建设之前拿出一个非常完善和持久可用的设计方案。 因此，电子政务建设是一项复杂的系统工程。在电子政务建设过程中，政务是主 导，是应用的关键，而电子只是技术支撑，电子政务建设和相应的软件开发必须从管理 科学出发，应用系统科学方法对政务系统进行科学分析和抽象，建立相应的系统模型来 完成。也就是说，要做活这些模型的生成与管理，建立灵活方便的应用开发平台，以不 变的组织理论机理和相对稳定的平台技术支撑环境来适应政务应用万变的需求。 任何一个政务系统，都是一个特定的组织系统，其内部人员组成都可以抽象成一个 层次化组织结构，如一个委办局可描述为下图所示结构： 公文流转过程中的诚倍与安全保障 箧i i 乏叠i 童i t 基1 f 毒i t 蓦1 f 区亍_ 云1 f 蛆娘结构圈 图3 1 组织结构图 f i 舀3 1o r g a n i z a t i o ns t r u c t u r e 通过对系统中各层组成人员的分析，可以归纳出以下政务系统内部模型体系 2 ： 1 、 政务系统的角色对象模型 2 、 政务系统的角色网络模型 3 、 行政事务对象模型 4 、 行政事务对象流模型 5 、 行政事务处理操作模型 此处，以网络理论、系统科学、管理科学为基础，从组织逻辑、关系网角度提出了 针对政府组织的角色网络模型( 见下面的图：角色网络模型) 。角色网络模型成功的实 现了与工作流模型不同的业务流程管理和控制，而且更具简便性和灵活性( 见下图：角 色网络的互连模型) ，同时能实现更大维度的互联。 e 镕l 图3 2 角色网络模型 f i g 3 2r n m o d e l 1 2 镕 群 = 黧 孵 孙瑞群娜 大连理工大学硕士学位论文 3 2 公钥基础设施p k i p k i 技术是公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ) 的缩写，产生于2 0 世纪 8 0 年代，发展壮大于2 0 世纪9 0 年代。它不仅仅是一种单纯的技术，还是一种包括了 硬件、软件、政策和人的系统，是一种遵循标准的利用公钥加密技术并且结合非对称加 密技术建立起来的为网上通信的开展提供一整套安全的基础设拖平台。 p k i 技术由多个部分组成，其中核心部分是具有权威性、可信任性及公正性的第三 方机构- - - c a ( c e r t i f i c a t ea u t h o r i t y ) 。c a 使用公钥技术的用户建立安全的通信信任机 制的基础是：网上进行的任何需要安全服务的通信都是建立在公钥的基础上的，而与此 公钥成对的私钥只能掌握在与之通信的另一方。这个信任的基础是通过公钥证书的使用 来实现的。公钥证书就是一个用户的身份与他所持有的公钥之间的相互绑定。在这种绑 定结合之前，应由一个可信任的权威机构c a 来审查证实用户的身份。然后由可信任的 c a 发放与用户身份相对应的公钥证书，并对身份与公钥相结合的证书进行数字签名， 以证明证书的有效性【1 i 】 1 2 】。 3 2 1p k i 系统的内容 p k i 包括多个部分：认证机构c a ( c e r t i f i c a t ea u t h o r i t y ) 、证书库、证书撤销 ( c r l ) 、密钥备份和恢复、自动更新密钥、密钥历史档案、交叉认证、支持不可否认 性、时间戳、安全客户端软件。 3 2 2p k i 提供的服务 当p k i 系统被完整和正确地实现之后，它就能够为不同用户实体提供各种多种的安 全服务。按照使用范围和使用度来说，可以分为核心服务和附加服务。核心任务就是常 见的认证安全服务、数据完整性服务、保密性服务。附加服务包括不可否认服务、安全 时间戳、公正。 1 、认证安全服务 印身份识别与鉴别，向一个实体确认另外一个实体确实就是它自己。 p k i 的认证安全服务在i t u tx 5 0 9 标准“识别框架”中定义为强鉴别( 如实体 认证、条件认证等认证方法被称为简单鉴别) 。 p k i 认证方式有其特殊的长处。如实体认证要求用户记住一定位数的私钥，这就决 定私钥不能太长，条件认证要求的物质( 如指纹或视网膜) 又不可能作为签名密钥对中 的私钥。但是，登陆到远程环境就可以使用p k i 服务，因为它不需要事先建立共享密 钥，又不必在网上传递口令或指纹等敏感的认证信息。 一1 3 公文流转过程中的诚信与安全保障 采用p k i 认证的过程描述如下：甲方具有公钥和私钥，乙方要确认是否甲方符合身 份，怎可以从p k i 机构或甲方本人获得甲方得公钥；甲方利用自己得私钥将信息签名传 给乙方，乙方利用甲方的公钥对此签名信息进行验证，从而完成一次身份认证。 乙方既可以是人这个实体，也可以是服务这个实体。验证过程用下图表示 1 3 ： p 姐认证 图3 3p k i 认证服务过程 f i g 3 3p i ga u t h e n t i f i c a t i o ns e r v i c e 2 、数据完整性服务 向一个实体确保数据没有被有意或无意的修改。如果不能保证信息的真实性，将会 引起伪造、假冒、篡改和否认等争执。 3 、保密性服务 向一个实体确保除了接受者，无人能解读数据的关键部分。与完整性需求一样，机 密性服务通信的实体双方需要协商合适的密码算法和密钥。p k i 机密服务可以完成这一 要求，而且对于参与通信的实体是完全透明的。其它不是基于p k i 技术的保密服务，则 要求实体在某级别上交换密钥。 4 、不可否认服务 不可否认服务不能是基于对称密钥技术机制。并且不可否认服务不是一个独立的 p k l 支持的服务，它必须由时间戳的支持，它需要安全时间戳服务来证明某个特别时间 发生在某个特定时间或某个数据在特定日期已经存在等。 5 、安全时间戳 安全时间戳的介绍在上面已有，这里再进行一下说明，即安全时间戳服务使用核心 p k i 服务中的认证和完整性。一份文档上的时间戳涉及到对时间和文档的杂凑值的数字 签名，权威的签名提供了数据的真实性和完整性。 6 、公正服务 1 4 大连理工大学硕士学位论文 与社会上公众人的服务有所不同，p k i 中的公正服务是“数字”上的公正，它是由 c a 机构的公证人证明数据是有效和正确的。p k if f t x 是- - 个被其它p k i 实体所信任的 实体，可以正确公正地提供公正服务，这与社会现行对公正人的要求是一致的。 3 2 3p k i 技术与其它安全方式的比较 p k i 密码安全服务平台采用硬件加密设备，密钥全部在加密设备内运算，不明文出 现在加密设备之外。管理采用加密协议保护，利用证书进行身份认证，保证平台的安 全。同时有安全日志供审计发现问题。主机安全服务平台采用安全操作系统保证系统的 安全。现在有各种各样的安全防范措施，如s s l 、v p n 等。这些技术在网络安全保障方