蔡 誼 劉東生

（西三環(huán)中路19號 北京 100841）

1 引言

隨著信息技術(shù)的不斷發(fā)展，軍隊信息化建設(shè)也在穩(wěn)步向前推進。當(dāng)前，已有越來越多的機關(guān)及下屬各單位，部署了OA（辦公自動化）系統(tǒng)。OA系統(tǒng)有力地矯正了行政管理中，可能會出現(xiàn)的隨意和混亂現(xiàn)象，實現(xiàn)了辦公的流程化與標(biāo)準(zhǔn)化，有效提高了相關(guān)人員的辦事效率。

OA系統(tǒng)的主要功能包括：通知通告的公示、電子郵件的收發(fā)、公文的流轉(zhuǎn)以及其它一些在線服務(wù)等?，F(xiàn)有OA系統(tǒng)過多地強調(diào)了功能的多樣性與復(fù)雜性，對自身的安全性有所忽視，主要表現(xiàn)在：OA系統(tǒng)一般基于Web服務(wù)，對用戶身份認(rèn)證的安全強度不高；對合法用戶沒有進行嚴(yán)格的訪問控制，可以進行越權(quán)訪問[1]；安全機制集中于系統(tǒng)的應(yīng)用層，與底層操作系統(tǒng)結(jié)合不緊，存在被旁路的危險，因此不能從根本上保證應(yīng)用系統(tǒng)的安全[2～4]。

針對上述問題，本文以O(shè)A系統(tǒng)的典型應(yīng)用—公文流轉(zhuǎn)為例，對其中存在的脆弱性問題進行了分析和研究。在此基礎(chǔ)上，給出了OA應(yīng)用安全增強系統(tǒng)的設(shè)計方案，并通過實際的安全應(yīng)用部署，證明了方案的可行性以及系統(tǒng)實現(xiàn)的可靠性。

2 OA典型應(yīng)用及其脆弱性分析

2.1 OA系統(tǒng)典型應(yīng)用流程

公文流轉(zhuǎn)是OA系統(tǒng)最為主要和典型的應(yīng)用，公文流轉(zhuǎn)的整體過程由OA系統(tǒng)的管理員，根據(jù)相應(yīng)的規(guī)章制度進行配置。公文流轉(zhuǎn)過程配置完成后，—般不會再輕易做出改動，相關(guān)人員會遵循固定流程，完成公文的逐級上報與審批。

現(xiàn)有的OA系統(tǒng)大多是基于B／S構(gòu)架，用戶在客戶端通過瀏覽器登錄OA服務(wù)器，然后根據(jù)OA系統(tǒng)管理員所制定的公文流轉(zhuǎn)過程，進行公文的接收與發(fā)送，實現(xiàn)辦公應(yīng)用的規(guī)范化操作。下面，以某單位的公文接收過程為例，分析公文的流轉(zhuǎn)過程，其流程如圖1所示。

圖1 典型公文流轉(zhuǎn)過程

2.2 OA系統(tǒng)典型應(yīng)用脆弱性分析

上述公文流轉(zhuǎn)的過程，由各單位根據(jù)公文的知悉范圍和相關(guān)的保密規(guī)定所制定，是一個相對固定的流程。如果違反相應(yīng)的規(guī)章制度，對流轉(zhuǎn)過程進行篡改，就會導(dǎo)致公文的安全性面臨威脅。對公文流轉(zhuǎn)過程進行篡改，可以利用OA系統(tǒng)管理員的權(quán)限來達到目的，也可以通過對相關(guān)數(shù)據(jù)包的修改來實現(xiàn)。下面，分別對這兩種方式的具體實現(xiàn)加以說明。

在OA系統(tǒng)中，OA管理員的身份認(rèn)證大多是基于用戶名和口令式的，安全強度不高。一旦攻擊者竊取或破譯了OA管理員的密碼，就可以修改公文流轉(zhuǎn)的過程，使得公文流向發(fā)生變化，破壞OA系統(tǒng)的安全性。另外，OA管理員自身也可能會存在違規(guī)操作，未經(jīng)批準(zhǔn)，擅自修改固定流程。利用OA管理員身份，針對上述公文流轉(zhuǎn)過程進行篡改后的流程如圖2所示。

圖2 基于系統(tǒng)管理員身份的流程篡改

從圖2中可見，以O(shè)A管理員身份登錄OA系統(tǒng)后，在流程的第五步和第六步之間添加了一個新的“收文辦理”環(huán)節(jié)。按照新的工作流程，工作人員A能夠直接將收文發(fā)送給工作人員C辦理。但在實際工作中，這一違規(guī)流程將擴大公文的知悉范圍，造成對公文的越權(quán)訪問，應(yīng)當(dāng)是被禁止的。

對公文流轉(zhuǎn)過程進行篡改，另外一種間接的方法，是對相關(guān)數(shù)據(jù)包進行截獲分析，并對數(shù)據(jù)包進行修改，以達到攻擊目的。為達到相同的攻擊效果，攻擊者會攔截第五步提交的數(shù)據(jù)包，并對其中的內(nèi)容進行修改，修改后流程如圖3所示。

圖3 基于數(shù)據(jù)包分析的流程篡改

在實際攻擊中，假設(shè)攻擊者已經(jīng)獲知工作人員C的用戶名和密碼，并在網(wǎng)絡(luò)上截獲了工作人員A提交公文所對應(yīng)的數(shù)據(jù)包，對其中的路徑內(nèi)容做如下修改：

Javascript：eWorksDoc.Form.selectedUserlDs.value＝

工作人員C賬號；

eWorksDoc.Form.selectedFlowlD.value＝目標(biāo)流向ID；

eWorksDoc.Form.sendMode.value＝1；

eWorksDoAction（‘complete’）。

修改完成后，公文流轉(zhuǎn)的過程也會發(fā)生相應(yīng)的變化，使得本應(yīng)該只流向工作人員B的公文，同時流向了工作人員C。

綜上所述，現(xiàn)有OA系統(tǒng)的脆弱性主要表現(xiàn)在兩個方面：首先，OA管理員和一般用戶的身份認(rèn)證強度不夠，使得用戶身份存在被冒充的可能性：其次，現(xiàn)有的安全機制位于應(yīng)用層，存在被旁路的危險。這些因素都會直接或間接導(dǎo)致公文流轉(zhuǎn)的應(yīng)用流程被惡意篡改。

3 OA應(yīng)用安全增強系統(tǒng)設(shè)計

3.1 總體拓?fù)浣Y(jié)構(gòu)

針對現(xiàn)有OA系統(tǒng)在典型應(yīng)用中存在的脆弱性，本文設(shè)計了OA應(yīng)用安全增強系統(tǒng)。該系統(tǒng)是在OA服務(wù)器的前端，以橋接模式透明接入前置機，實現(xiàn)對OA服務(wù)器請求數(shù)據(jù)包的分析與過濾，防止非法訪問，確保相關(guān)信息流的安全。前置機所使用的強制訪問控制策略由安全管理員在安全管理中心上進行配置，并以在線的方式下發(fā)到前置機上。OA應(yīng)用安全增強系統(tǒng)總體拓?fù)浣Y(jié)構(gòu)如圖4所示。

圖4 OA應(yīng)用安全增強系統(tǒng)拓?fù)浣Y(jié)構(gòu)

OA應(yīng)用安全增強系統(tǒng)在運行中，首先需要由安全管理中心給合法用戶配發(fā)相應(yīng)的 身 份 鑰 匙，即 USBKEY：接著在安全管理中心，由安全管理員對OA服務(wù)器中的資源進行歸類，并對其中的主客體信息進行標(biāo)記，設(shè)定相應(yīng)的范疇、敏感度及可信度[5～7]，然后將這些信息作為安全策略，下發(fā)到前置機：前置機上的安全內(nèi)核模塊，會對辦公終端訪問OA服務(wù)器的請求數(shù)據(jù)包進行截獲與分析，提取相關(guān)的主客體信息，同時根據(jù)安全管理中心下發(fā)的安全策略，實現(xiàn)操作系統(tǒng)內(nèi)核級的強制訪問控制。

OA應(yīng)用安全增強系統(tǒng)利用硬件USB KEY，通過專用的身份認(rèn)證協(xié)議和鑒別機制，實現(xiàn)對登錄到OA系統(tǒng)的用戶身份雙因子認(rèn)證，提高了認(rèn)證的安全強度；利用前置機的操作系統(tǒng)內(nèi)核增強模塊，對終端請求的數(shù)據(jù)包進行截獲、分析和判斷，能保證安全機制不會被旁路。

3.2 系統(tǒng)主要模塊劃分

圖5 OA應(yīng)用安全增強系統(tǒng)模塊組成

OA應(yīng)用安全增強系統(tǒng)由兩大功能組件構(gòu)成：安全管理中心和前置機安全內(nèi)核增強模塊。安全管理中心由動態(tài)網(wǎng)頁、后臺數(shù)據(jù)庫與安全代理構(gòu)成；前置機的安全內(nèi)核增強模塊可以分為數(shù)據(jù)包分析模塊、安全代理模塊、訪問控制模塊以及審計模塊。上述模塊的作用及其相互之間的關(guān)系，如圖5所示。

安全管理中心用于對合法用戶進行身份注冊，配發(fā)相應(yīng)的USBKEY；根據(jù)主客體信息的范疇、敏感度與可信度，下發(fā)相應(yīng)的安全策略給前置機安全內(nèi)核增強模塊；同時，安全管理中心還會根據(jù)制定好的審計規(guī)則，接收由前置機安全內(nèi)核上傳的相關(guān)審計信息，以便于安全管理員進行查看和分析。

前置機安全內(nèi)核增強模塊用于透明接管終端用戶的訪問請求，對OA系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)流進行分析和控制，過濾掉非法請求，確保OA系統(tǒng)的安全性。安全內(nèi)核增強模塊的構(gòu)成及其相互間關(guān)系是：

1）安全代理模塊：接收由安全管理中心下發(fā)的安全策略，將安全策略傳遞給訪問控制模塊；接收由審計模塊產(chǎn)生的審計信息，將審計信息上報給安全管理中心。

2）數(shù)據(jù)包分析模塊：根據(jù)OA系統(tǒng)的應(yīng)用協(xié)議對終端發(fā)出的請求數(shù)據(jù)包進行分析，從用戶登錄數(shù)據(jù)包中提取主體信息，從URL串中提取客體資源信息，并將這些主客體信息傳遞給訪問控制模塊。

3）訪問控制模塊：接收由數(shù)據(jù)包分析模塊傳遞的主客體信息，根據(jù)安全管理中心下發(fā)的安全策略，對主體的訪問權(quán)限進行控制，防止非法用戶的非授權(quán)訪問以及合法用戶的越權(quán)訪問。

4）審計模塊：用于記錄所有用戶對OA服務(wù)器的操作信息，以及錯誤信息，便于安全管理員進行統(tǒng)計和分析，利于事后審查與追蹤。

3.3 安全內(nèi)核增強模塊功能實現(xiàn)

OA應(yīng)用安全增強系統(tǒng)核心模塊的功能主要包括：安全策略的下載以及操作系統(tǒng)內(nèi)核級的強制訪問控制[8～9]。

1）安全策略下載

前置機的安全代理模塊讀取本地網(wǎng)絡(luò)配置文件，獲取安全管理中心的IP地址和端口，向安全管理中心進行注冊。在注冊成功后，請求并接收安全管理中心下發(fā)的安全策略。策略下載流程如圖6所示。

圖6 策略下載流程

前置機安全代理將接收到的安全策略存入緩沖區(qū)，在接收完成后，安全代理會在本地計算安全策略的hash值，并將其與安全管理中心下發(fā)的hash值相比較，驗證安全策略的完整性。如果策略下載完整，則安全策略保存到本地磁盤，否則給出相應(yīng)的提示并退出。

2）強制訪問控制

前置機的安全內(nèi)核在實現(xiàn)強制訪問控制時，首先需要在操作系統(tǒng)內(nèi)核中加載鉤子函數(shù)[10]，對數(shù)據(jù)包進行分析和過濾，提取所需的主客體相關(guān)信息。然后根據(jù)下載的安全策略，決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包。強制訪問控制的具體流程如圖7所示。

安全內(nèi)核中的鉤子函數(shù)對截獲的數(shù)據(jù)包進行分析，判斷當(dāng)前用戶的操作行為是否與公文流轉(zhuǎn)相關(guān)，如果不相關(guān)則讓數(shù)據(jù)通過。如果相關(guān)，則記錄下當(dāng)前登錄用戶的SSID，并將SSID寫入對應(yīng)主體鏈表節(jié)點內(nèi)。

分析用戶發(fā)起的是公文流轉(zhuǎn)，還是公文瀏覽。如果是公文的流轉(zhuǎn)，則查找目的用戶，比較源用戶和目的用戶是否在同一范疇內(nèi)，如果在同一范疇，則允許數(shù)據(jù)包通過，如果出現(xiàn)越級現(xiàn)象，則進行審計并丟棄數(shù)據(jù)包。

圖7 強制訪問控制流程

如果用戶進行的是公文瀏覽操作，則記錄當(dāng)前公文的標(biāo)識。接著，以安全管理中心下發(fā)的安全策略為依據(jù)，比較用戶及公文的可信度、敏感度與范疇，如果滿足安全策略，則允許數(shù)據(jù)包通過，否則進行審計并丟棄數(shù)據(jù)包。

4 結(jié)語

本文通過對現(xiàn)有OA系統(tǒng)的脆弱性進行分析，有針對性的增強了用戶身份認(rèn)證機制，使得用戶的身份不易被竊取和冒充。同時，在前置機的操作系統(tǒng)內(nèi)核層實現(xiàn)強制訪問控制，確保用戶無法進行違規(guī)操作。

在實際應(yīng)用部署中，OA應(yīng)用安全增強系統(tǒng)無需對應(yīng)用服務(wù)器進行修改，由安全管理中心進行安全策略配置，所有訪問服務(wù)器的數(shù)據(jù)都要經(jīng)過前置機，實施內(nèi)核級的強制訪問控制。測試表明，該系統(tǒng)在不影響OA服務(wù)器正常工作的前提下，能夠較好實現(xiàn)對上層應(yīng)用的安全透明支撐與保障。

[1]沈昌祥.基于積極防御的安全保障框架[J].中國信息導(dǎo)報，2003（10）：50－51.

[2]D.Baker.Building Upon Sand[J].Proceedings of the New Security Paradigms Workshop，1996：25－27.

[3]Peter A.Loscocco，Stephen D.Smalley，Patrick A.Muckelbauer，et al.The Inevitability Of Failure：The Flawed Assumption of Security in Modern Computing Environment[C]／／Proceedings of the 21st National Information Systems Security Conference，1998：303－314.

[4]沈昌祥.關(guān)于加強信息安全保障體系的思考[J].信息安全與通信保密，2002（24）：11－14.

[5]D.E.Bell，L.J.LaPadula.Secure Computer System：Mathematical Foundation[EB／OL].http：／／citeseer.ist.psu.edu／548063.html，2002，6.

[6]M.Abrams，L.Lapadula，K.Eggers，et al.A Generalized Framework for Access Control：an Informal Description[C]／／Proceedings of the 13hNational Computer Security Conference，1990：134－143.

[7]蔡誼，沈昌祥，鄭志蓉.多級安全策略的二維標(biāo)識模型[J].計算機學(xué)報，2004（5）：619－624.

[8]S.Jajodia，P.Samarati，V.Subrahmanian，et al.A Unified Framework for Enforcing Multiple Access Control Policies[C]／／Proceedings of SIGMOD，1997：474－485.

[9]Ray Spencer，Stephen Smalley，Peter Loscacco，et al.The Flask Security Architecture：System Support for Diverse Security Policies[C]／／Proceedings of the 8th USENIX Security Symposium，1999：242－247.

[10]Chirs Wright，Crispin Cowan，et al.Linux Security Module Framework[J].Proceedings of the 2002Ottawa Linux Symposium，2002：303－314.