張藝敏，李庚

（天津大學管理與經(jīng)濟學部，天津300072）

1 引言

信息技術(shù)的高速發(fā)展，已使信息化成為當今社會發(fā)展的主要趨勢。信息技術(shù)在造福于人類的同時，也存在著安全隱患。隨著信息化在各領(lǐng)域的不斷深入，信息安全與保密問題已經(jīng)成為了國家重點關(guān)注的戰(zhàn)略問題，同時保密工作也正經(jīng)歷著從傳統(tǒng)模式向信息化和網(wǎng)絡化的現(xiàn)代化保密管理模式轉(zhuǎn)型[1]。

信息時代下新興技術(shù)層出不窮，其中國家對于區(qū)塊鏈技術(shù)高度重視。2019年10月，總書記在中央政治局第十八次集體學習時就強調(diào)“把區(qū)塊鏈作為核心技術(shù)自主創(chuàng)新重要突破口，加快推動區(qū)塊鏈技術(shù)和產(chǎn)業(yè)創(chuàng)新發(fā)展”。同時，通過對區(qū)塊鏈技術(shù)的研究發(fā)現(xiàn)，區(qū)塊鏈的去中心化、可追溯性、不可篡改[2]等特性，都契合保密監(jiān)督檢查工作中臺賬管理的需要。本文的主要內(nèi)容就是分析區(qū)塊鏈技術(shù)與保密監(jiān)督檢查工作中的臺賬管理相結(jié)合會對保密工作的改善產(chǎn)生怎樣的影響，并設計區(qū)塊鏈在保密監(jiān)督檢查工作當中的應用方案。

2 保密監(jiān)督檢查工作中存在的問題

保密監(jiān)督檢查工作是保密工作中十分重要的一個環(huán)節(jié)，它負責檢查保密工作中各項內(nèi)容是否合規(guī)，并對不合規(guī)行為進行追責查處，因此可以說保密監(jiān)督檢查工作對保密工作各個方面的完成質(zhì)量都有一定的影響。

做好保密監(jiān)督檢查工作的一個重要手段就是保密臺賬管理。保密臺賬是指對各項保密工作進行監(jiān)督記錄，形成的一系列記錄文件，類似電腦系統(tǒng)中記錄日常運行情況的日志文件。保密監(jiān)督檢查工作實現(xiàn)的途徑之一就是通過訪問保密臺賬來對保密工作的開展情況進行檢查，若存在泄密等違規(guī)情況，再對其進行追責查處。因此，保密臺賬的質(zhì)量直接關(guān)乎保密監(jiān)督檢查工作的效果，改進保密臺賬管理可以有效提升保密監(jiān)督檢查工作的質(zhì)量，進而提升保密工作的整體質(zhì)量。

目前，保密監(jiān)督檢查工作以及其中的保密臺賬管理工作存在三點亟需改進的不足之處。

2.1 保密臺賬易被篡改

當前，保密臺賬主要通過人為操作進行管理，由于在機制設計和人員管控方面存在不足，導致保密臺賬存在易被篡改的風險。首先，從機制設計的角度而言，目前涉密介質(zhì)都是以載體的形式集中存放在保密檔案室當中的，電子化程度較低。因此，在對涉密介質(zhì)進行訪問時無法實時形成相關(guān)的訪問記錄，只能通過手動登記的方式來形成臺賬記錄。由于沒有自動化且強制性的保密臺賬生成機制，訪問人員很可能對保密臺賬產(chǎn)生漏記錄、誤記錄的行為，從而導致保密臺賬的真實性、準確性大打折扣，進而也就弱化了后續(xù)保密監(jiān)督檢查工作的作用。

其次，從人員管理的角度而言，目前部分保密干部在訪問涉密信息、涉密介質(zhì)時可能會由于保密意識薄弱而出現(xiàn)對保密臺賬記錄有誤的情況。此外，部分違法犯罪分子還可能會蓄意對保密臺賬進行偽造或篡改。這些人為因素在當前機制下，都是破壞保密臺賬真實性、準確性的極大的潛在威脅。

2.2 保密臺賬的完整性較差

保密臺賬的完整性直接關(guān)系到保密工作的可追溯性。只有保密臺賬的完整性得到保障，保密臺賬信息之間才能建立連貫的邏輯關(guān)系，從而可以準確且高效地追溯并定位保密工作的每一個環(huán)節(jié)，即在進行保密監(jiān)督檢查工作時可以按圖索驥。

但目前的保密臺賬的完整性并不理想，主要的原因有三點。第一，目前保密臺賬的電子程度較低。紙質(zhì)版的保密臺賬文件難以長時間保存，存放時間久了會出現(xiàn)破損、字跡模糊等情況，這樣就會影響臺賬中保密工作記錄之間的邏輯關(guān)系的完整性。第二，日常保密管理工作中，部分工作人員對于記錄臺賬的重視程度不夠，相關(guān)工作“表面化”[3]，導致臺賬信息記錄不完整。第三，目前保密臺賬信息的存放方式分散，導致在對保密工作進行審核時，搜集相關(guān)的臺賬信息就要消耗很大一部分時間和精力，這樣一來就極大地影響了追溯工作的效率。

2.3 違規(guī)操作追責困難

過失泄密是最常見的一種泄密原因，即在工作過程中操作不當，在不經(jīng)意間造成了泄密。而這樣的過失操作也很少會留下記錄，即便留下了記錄也通常難以定位，所以在這種情況下對泄密行為進行準確追責是十分困難的。

綜上幾種情況都是制約當前保密監(jiān)督檢查工作開展的不利因素，而其中最根本的因素就是傳統(tǒng)的模式與手段已經(jīng)難以有效地規(guī)范和約束人的行為。因此，需要引入新興技術(shù)手段來改善、加強傳統(tǒng)的保密監(jiān)督檢查工作模式。

3 區(qū)塊鏈與保密監(jiān)督檢查工作的有效結(jié)合

區(qū)塊鏈本質(zhì)上是一個數(shù)據(jù)庫，它最主要的特點就是去中心化。即區(qū)塊鏈系統(tǒng)中的數(shù)據(jù)是由多方共同維護的，任何一方都無法完全掌控數(shù)據(jù)，只能按照嚴格的規(guī)則以及共識來進行更新[4]。此外，區(qū)塊鏈技術(shù)還具備很多其他特性，例如完整性、可追溯性、不可篡改性等[2，5]。而這些特性也大都與保密監(jiān)督檢查工作的需求所契合，因此可以作為提高保密工作質(zhì)量的技術(shù)手段。

3.1 通過區(qū)塊鏈技術(shù)防止保密臺賬被篡改

區(qū)塊鏈的不可篡改性主要通過兩個方面來保證。

第一，去中心化。如圖1所示，在區(qū)塊鏈網(wǎng)絡中，有大量的節(jié)點，任何一個節(jié)點都無法掌控數(shù)據(jù)，數(shù)據(jù)的更新只能通過嚴格的共識機制來執(zhí)行。

第二，區(qū)塊之間通過密碼學技術(shù)構(gòu)成了緊密的聯(lián)系，如圖2所示。在區(qū)塊鏈系統(tǒng)當中，區(qū)塊之間的連接使用到了數(shù)字摘要技術(shù)，即哈希函數(shù)（Hash）。哈希函數(shù)可以將任意長的一段字符壓縮為固定長度，并且該操作具備防碰撞的特性，即對于一段字符A來說，很難人為構(gòu)造另一段字符B，使得B壓縮后與A壓縮后是相同的。Hash函數(shù)還具備均勻分布的特性，即對于Hash函數(shù)來說無法通過輸入來預計輸出，例如對于兩個看起來十分接近的但存在不同的字符串來說，它們經(jīng)過Hash函數(shù)壓縮后的值也是大不相同的。區(qū)塊之間的連接就是通過新產(chǎn)生的區(qū)塊包含其上一個區(qū)塊的哈希值而實現(xiàn)的，當有人意圖篡改中間某一個區(qū)塊中的數(shù)據(jù)時，那必然會引起從當前開始的每一個區(qū)塊的Hash值都發(fā)生變化。因此，如果人為改變某一區(qū)塊中的記錄，就要重新計算其后每一個區(qū)塊的Hash值，所以篡改成本極高。在一定程度上可以認為，只要數(shù)據(jù)上鏈，就再也不能被篡改了。

3.2 通過區(qū)塊鏈技術(shù)提高保密臺賬的完整性

同時如前文所述，區(qū)塊鏈系統(tǒng)是去中心化的，當區(qū)塊鏈系統(tǒng)中的某個或是某幾個節(jié)點的發(fā)生了異?；驌p壞，是不會影響到數(shù)據(jù)的完整性的，因為其他正常的節(jié)點中仍然具有完好無損的數(shù)據(jù)拷貝。而如果要破壞區(qū)塊鏈中的數(shù)據(jù)，就必須同時破壞其所有的節(jié)點，但這種情況發(fā)生的概率是極低的，而且使用數(shù)據(jù)庫信息化記錄保密臺賬的方式，比傳統(tǒng)方式在記錄留存方面更有優(yōu)勢[6]。因此區(qū)塊鏈系統(tǒng)具有很高的魯棒性，可以有效地保障所存儲信息的完整性與安全性。

圖1 區(qū)塊鏈網(wǎng)絡

圖2 區(qū)塊鏈通過Hash算法相連

3.3 通過區(qū)塊鏈技術(shù)降低保密追責工作的難度

區(qū)塊鏈系統(tǒng)是基于眾多密碼學技術(shù)實現(xiàn)的，其中數(shù)字簽名技術(shù)有利于降低保密追責工作的難度。通過數(shù)字簽名技術(shù)可以高效、準確地定位任意一次保密工作的責任主體。再結(jié)合區(qū)塊鏈的不可篡改性，就可以做到保密臺賬一經(jīng)生成便不可篡改，同時對于違規(guī)操作，也可以準確、高效地定位責任人。這樣的臺賬生成機制對保密工作人員而言是具有十分強的規(guī)范作用的，可以有效防止違規(guī)行為的發(fā)生。

4 基于區(qū)塊鏈的保密監(jiān)督檢查系統(tǒng)

本部分基于前文區(qū)塊鏈系統(tǒng)的優(yōu)勢和保密監(jiān)督檢查工作的需要高度契合的結(jié)論，提出了一種基于區(qū)塊鏈的保密監(jiān)督檢查系統(tǒng)實現(xiàn)方案，如圖3所示。

4.1 區(qū)塊鏈選型

區(qū)塊鏈可以分為公有鏈、聯(lián)盟鏈和私有鏈三種主要架構(gòu)類型[7]，其開放性依次降低，構(gòu)建保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)應當選擇私有鏈架構(gòu)。由于保密工作本身的特殊性、敏感性，以及保密工作要嚴格限制知悉范圍的屬性，所以即便上鏈的保密臺賬都是經(jīng)過脫密處理的，也還是應當將其訪問范圍限定在保密工作相關(guān)且必要的范圍以內(nèi)，而不是對訪問者無條件、無限制地開放，因此在這樣的背景下選擇私有鏈架構(gòu)最為合適。

4.2 核心技術(shù)

4.2.1 共識機制

圖3 基于區(qū)塊鏈的保密監(jiān)督檢查系統(tǒng)設計方案

區(qū)塊鏈系統(tǒng)中有很多節(jié)點，同時所有節(jié)點都存儲了同樣的數(shù)據(jù)，即數(shù)據(jù)是一致的。在數(shù)據(jù)發(fā)生變更時，為了不破壞數(shù)據(jù)的一致性，就需要一種機制來保證數(shù)據(jù)變更后所有的節(jié)點可以重新達成一致，這就是共識機制的作用。區(qū)塊鏈系統(tǒng)中最常見的共識機制就是工作量證明（POW）和權(quán)益證明（POS），但這兩個共識機制不適合應用在政務區(qū)塊鏈系統(tǒng)當中。POW的缺點是效率低且浪費資源[8]，POS則需要依賴代幣機制，同時也會在一定程度上浪費資源。

保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)作為一個政務系統(tǒng)，是非盈利的，不能接受高額的資源浪費成本。因此，在共識算法方面，選擇對POS進行改進。原始的POS在生成新區(qū)塊時，會根據(jù)每個節(jié)點的代幣數(shù)量不同來配置不同的計算難度，代幣數(shù)越多，計算難度越小，從而越容易生成區(qū)塊。但這樣的方式仍然是多節(jié)點共同計算來爭奪區(qū)塊生成權(quán)，而最終只有一個區(qū)塊可以成功，也就意味著其他節(jié)點的計算消耗都白費了。改進的POS會規(guī)定每次只有一個節(jié)點負責計算并生成區(qū)塊，對于每次如何選出這個節(jié)點，主要有兩方面的因素：一是隨機數(shù)生成算法，該算法會選出每次負責生成區(qū)塊的節(jié)點；二是該節(jié)點距上次生成區(qū)塊所隔的時長，如果該節(jié)點越久沒有參與生成區(qū)塊，隨機數(shù)生成算法就有越高的概率選中該節(jié)點。因此從長久來看，每個節(jié)點參與生成區(qū)塊的次數(shù)是大致相同的，同時又不會因為爭奪計算權(quán)而產(chǎn)生資源浪費的現(xiàn)象。如果節(jié)點計算作弊，那么下一次隨機數(shù)算法選中該節(jié)點的幾率就會降到最低，并且本次的計算結(jié)果也不會被承認。從這個角度出發(fā)，可以有效地抑制節(jié)點作弊。

4.2.2 節(jié)點權(quán)限分配

區(qū)塊鏈系統(tǒng)中的節(jié)點分為兩個部分：一部分在保密系統(tǒng)內(nèi)部，即隨著保密檔案室建設的節(jié)點，該部分節(jié)點會有較高的權(quán)限，可以參與計算生成新的區(qū)塊；另一部分節(jié)點在保密系統(tǒng)外部，即建設在對保密系統(tǒng)具有法定監(jiān)督作用的系統(tǒng)、機構(gòu)的內(nèi)部，這一部分節(jié)點只擁有拷貝其他節(jié)點數(shù)據(jù)以及審核新區(qū)塊是否合法的權(quán)限，不擁有生成新區(qū)塊的權(quán)限。

這樣做的考慮是為了充分發(fā)揮區(qū)塊鏈的優(yōu)勢，防止因保密系統(tǒng)壟斷節(jié)點而導致的“監(jiān)守自盜”情況。而且節(jié)點中存儲的保密臺賬信息是經(jīng)過脫密處理的，因此在保密系統(tǒng)外部建設節(jié)點也不會存在泄密的風險。

4.2.3 加密機制

由于保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)中的信息都是經(jīng)過脫密處理的，即不涉密，因此本系統(tǒng)中加密機制的作用都在于身份認證，而不在于加密信息本身。

圖4 公鑰加密與數(shù)字簽名

身份認證用到了公鑰加密機制，前文提到的數(shù)字簽名技術(shù)其實就是基于公鑰加密機制來實現(xiàn)的。公鑰加密機制的關(guān)鍵在于密鑰對，一個密鑰對里包含一個公鑰和一個私鑰，公鑰是在網(wǎng)絡中公開的，私鑰只有其擁有者可見。數(shù)字簽名是由個體A通過自己的私鑰產(chǎn)生的一條信息，該信息被廣播到網(wǎng)絡當中，任何人都可以通過A的公鑰來驗證該條信息是否是A發(fā)出的。因為A的私鑰只有A自己知道，同時在目前的理論前提與技術(shù)條件之下，第三方幾乎不可能在不得到私鑰的前提下對簽名信息進行偽造，所以可以認為在網(wǎng)絡中有且只有A可以發(fā)出這樣的信息，即可以通過數(shù)字簽名確認操作者的身份是A。

在保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)當中，每個主體都有一個密鑰對來標識身份。當主體進行保密工作時，系統(tǒng)會自動通過其私鑰生成相應的保密臺賬信息。因此對于任意一條保密臺賬信息，都可以利用公鑰來驗證是誰產(chǎn)生的該保密臺賬信息，即找到該工作對應的直接責任人。

4.2.4 數(shù)據(jù)結(jié)構(gòu)

保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)中，每個區(qū)塊的數(shù)據(jù)結(jié)構(gòu)分為兩部分，區(qū)塊頭（Blockheader）和區(qū)塊體（Blockbody）。

圖5 數(shù)據(jù)結(jié)構(gòu)

區(qū)塊頭包含信息：時間戳（Time）、本區(qū)塊的字節(jié)數(shù)（Bits）、通過計算出的隨機值（Nonce），區(qū)塊體中所有臺賬的Merkle-hash值（hashMerkleBlock）以及上一個區(qū)塊的Hash值（hashPreBlock）。每個區(qū)塊通過記錄上一個區(qū)塊的Hash值，就可以做到相互連接。

區(qū)塊體中記錄的信息：區(qū)塊中包含的臺賬信息條數(shù)（Log Counter）、區(qū)塊的大?。˙Locksize）以及所有記錄在本區(qū)塊中的臺賬信息（Log）。所有的臺賬信息通過一層層的Hash計算最終產(chǎn)生了一個根Hash值，即Merkle-hash值，該值可以反映區(qū)塊體中信息的變化。因此，當需要校驗區(qū)塊內(nèi)的信息是否被篡改時，不需要一條條去核對臺賬記錄，只需要檢查Merkle-hash值是否發(fā)生改變即可。

4.3 關(guān)鍵實體

4.3.1 節(jié)點

在保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)當中，每個保密檔案室配備一個區(qū)塊鏈節(jié)點，節(jié)點和保密檔案是距離很近，在記錄臺賬的時候可以更高效地進行寫入操作，同時在系統(tǒng)內(nèi)部搭建VPN，可以更快速地在節(jié)點之間同步共識。而訪問者則可以通過一個瀏覽器，訪問到他有權(quán)限訪問的所有臺賬信息，不用再受到地域的限制。

4.3.2 智能合約

智能合約是在以太坊（區(qū)塊鏈2.0）中首次提出的概念[9]，它本質(zhì)上也是存儲在區(qū)塊鏈中的信息，只不過這信息是一段用戶自定義的程序，系統(tǒng)可以調(diào)用并執(zhí)行該程序。智能合約之所以“智能”，是因為它可以程式化地執(zhí)行某些操作，而且可以進行條件判斷，同時在最新的區(qū)塊鏈系統(tǒng)當中它是圖靈完備的。智能合約是由多方共同部署的，一旦部署成功，內(nèi)容就無法再修改[10]，因此智能合約也具有不可篡改性。

智能合約在保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)中的作用主要體現(xiàn)在兩個方面：第一是訪問者在訪問區(qū)塊鏈中的臺賬信息時，智能合約可以識別訪問者的權(quán)限，并提供給訪問者可以訪問的內(nèi)容；第二，智能合約可以對任何操作自動記錄生成保密臺賬信息，并將相應信息上鏈，從而構(gòu)成了自動化且強制性的保密臺賬生成機制。由于智能合約是存儲在區(qū)塊鏈當中的，因此它也具有高魯棒性，不會因為某個節(jié)點的崩潰而導致合約失效。

4.3.3 CA認證中心

CA認證中心是保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)中提供電子認證服務的模塊，CA機構(gòu)會為人員頒發(fā)數(shù)字證書，其中就包含了密鑰對。因此，CA認證中心的作用就數(shù)字證書的發(fā)放、歸檔、撤銷等，即管理系統(tǒng)內(nèi)人員的身份。而系統(tǒng)內(nèi)的人員也只有在得到數(shù)字證書的前提下才可以從事和保密工作相關(guān)的操作。

4.3.4 映射關(guān)系數(shù)據(jù)庫

常規(guī)的保密臺賬中，通常會記錄操作人、操作時間、操作內(nèi)容等信息。其中，操作內(nèi)容部分可能會涉及到某些具體的涉密文件名稱等信息，而某些涉密文件名稱可能也是涉密的，因此不適合直接將原始的保密臺賬信息存儲在保密監(jiān)督檢查區(qū)塊鏈系統(tǒng)當中，所以對于這一部分的內(nèi)容應該進行脫密處理。

映射關(guān)系數(shù)據(jù)庫的作用就是將涉密文件、載體統(tǒng)一編號，讓每一份涉密文件或者涉密載體都對應唯一的編號。本著涉密不上網(wǎng)的保密工作原則，這部分映射關(guān)系信息都存儲在一個離線數(shù)據(jù)庫當中，由專門的管理人員進行維護。而在記錄保密臺賬信息時，涉密載體、涉密文件的相關(guān)信息統(tǒng)一由對應的編號代替，這樣就做到了上鏈的保密臺賬信息不涉密，從而消除了泄密的風險。

5 結(jié)束語

本文旨在分析將區(qū)塊鏈技術(shù)與保密監(jiān)督檢查工作相結(jié)合，會對保密工作的改進產(chǎn)生怎樣的影響。目前保密監(jiān)督檢查工作及保密臺賬管理存在三點不足：保密臺賬防篡改能力弱、保密臺賬的完整性較差以及保密追責困難。同時，本文經(jīng)過對區(qū)塊鏈技術(shù)的研究，指出區(qū)塊鏈可以對以上三點不足之處進行改進：區(qū)塊鏈的去中心化和數(shù)字摘要技術(shù)，可以防止保密臺賬被篡改以及保障保密臺賬的完整性，數(shù)字簽名技術(shù)可以提高追責工作的效率。本文基于以上結(jié)論提出了一種基于區(qū)塊鏈的保密監(jiān)督檢查系統(tǒng)實現(xiàn)方案。

引入?yún)^(qū)塊鏈系統(tǒng)必然會顛覆現(xiàn)有保密系統(tǒng)的運作模式，同時這其中的遷移成本也將是巨大的。但從長遠角度來看，科技飛速發(fā)展，保密工作面臨的威脅也日益增多，舊的模式已經(jīng)難以應對新時代的挑戰(zhàn)。因此，需要新的模式來為保密工作注入活力，從根本上提升保密工作的質(zhì)量和效率。區(qū)塊鏈技術(shù)作為當下發(fā)展最火熱的新興技術(shù)，不僅國家高度重視，而且其特性與保密工作的需要高度契合。相信通過將區(qū)塊鏈應用于保密工作，一定可以有效地提升我國保密工作的質(zhì)量。