王菊紅 趙家喜 董勇 聶立莎 葉菁 宋浩杰

?

基于微應(yīng)用的小程序保密意識測評平臺

王菊紅 趙家喜 董勇 聶立莎 葉菁 宋浩杰

國網(wǎng)黃山供電公司，安徽 合肥 230061

信息安全保密意識是一種包含意識、知識、技能和倫理在內(nèi)的綜合素質(zhì)，傳統(tǒng)的考試、問卷等評價手段不僅無法科學(xué)全面地收集測評對象在信息安全領(lǐng)域中的表征信息，而且很難做出量值或價值的判斷，無法全面鑒定信息安全保密意識。建設(shè)了一套基于微應(yīng)用的小程序?qū)ΡＣ芤庾R進行測評的軟件。根據(jù)測評結(jié)果，有重點地進行保密宣傳，能夠更好地提升企業(yè)內(nèi)部的保密意識，了解到自身的保密權(quán)利與義務(wù)，從而實現(xiàn)企業(yè)全員保密教育。同時構(gòu)建了一套保密制度測評體系，為保密意識評估的可操作性和評估結(jié)論的合理性提出一種解決思路。

微應(yīng)用；小程序；保密；測評

引言

2017年1月，微信小程序的橫空出世打破了用戶下載App實現(xiàn)獨立功能的局面。小程序作為“逆App思維”的一個“新物種”，實現(xiàn)了應(yīng)用“觸手可及”的夢想，用戶掃一掃或者搜一下就可以打開應(yīng)用，用完即走，無須安裝卸載，操作非常便捷[1]。雖然誕生之初，小程序并未立刻掀起巨大波瀾，不過在去年8月打出商業(yè)化應(yīng)用的目標之后，對人們生活、工作的滲透愈加明顯，分布于游戲、電商、工具、社交等各個場景，慢慢構(gòu)建出以微信為地基的小程序生態(tài)。小程序是一種“即用即走”的輕型應(yīng)用，不需要下載和關(guān)注，有著輕型、操作方便、成本低、功能大等特點。

1 系統(tǒng)功能模塊設(shè)計概述

信息安全保密意識是一種包含意識、知識、技能和倫理在內(nèi)的綜合素質(zhì)。本文基于微應(yīng)用的小程序保密意識測評平臺，開發(fā)設(shè)計了一套集在線測試、統(tǒng)計分析和結(jié)果展示為一體的微應(yīng)用小程序保密意識測評系統(tǒng)，以實現(xiàn)全民安全保密意識信息化和自動化測評，具體功能設(shè)計模塊如圖1所示。

圖1 系統(tǒng)功能模塊設(shè)計

2 基于微應(yīng)用的小程序保密意識測評平臺的設(shè)計

基于微應(yīng)用的小程序保密意識測評，通過心理測試（如互動問答、敏感詞匯）、潛意識行為測試（如模擬場景進行選擇）等方式來評估保密意識，判斷測試人對保密意識所達到的級別，形成測試結(jié)果。根據(jù)測試結(jié)果可以了解測試人保密的薄弱點，同時提醒要加強這方面的學(xué)習(xí)，以便提升工作中的保密意識。

2.1 用戶管理與權(quán)限設(shè)置

用戶管理與權(quán)限設(shè)置見表1。

表1 系統(tǒng)用戶角色與權(quán)限劃分

2.2 系統(tǒng)工作流程

在被試者首次使用信息安全保密意識測評系統(tǒng)時，需要進入微信平臺并授權(quán)關(guān)注,系統(tǒng)工作流如圖2所示。信息安全保密意識測評系統(tǒng)將顯示評估指南,幫助參與者了解評估過程和預(yù)防措施，然后通過心理測試（如互動問答、敏感詞匯）、潛意識行為測試（如模擬場景進行選擇）等方式來評估保密意識，判斷測試人對保密意識所達到的級別。與對應(yīng)的試紙為測試，當(dāng)遞交試紙，系統(tǒng)自動地證實時是否有任何未回答的項目。如果沒有答復(fù)項目，系統(tǒng)將提示并退回未回答的項目的位置，然后再遞交它，直到答復(fù)完成。所有應(yīng)答者能遞交成功，避免某些被錯過的項目導(dǎo)致不精確的測量結(jié)果的現(xiàn)象。在系統(tǒng)自動評估容量之后，根據(jù)預(yù)先設(shè)定的審計過程將被處理。如果管理員需要回顧結(jié)果和事先出版它，測試器能看評估報告在管理員以后回顧了并且發(fā)布了它。如果沒有對管理員回顧的需要，測驗對象能直接地觀看評估報告，并且測試結(jié)果可能了解測試器的機密的弱點。同時提醒要加強這方面的學(xué)習(xí)，以便提升工作中的保密意識。

圖2 小程序保密意識測評流程圖

3 系統(tǒng)部署方案

3.1 小程序抽象框架

小程序抽象框架見圖3。

圖3 小程序抽象框架圖

3.2 視圖層

視圖層包含WXML、WXSS和頁面視圖組件。WXML是一種類似XML格式的語言，支持數(shù)據(jù)綁定、條件渲染、列表渲染、自定義模板、事件回調(diào)和外部引用；WXSS是一種類似CSS格式的語言，用于描述WXML的組件樣式，決定WXML中的組件如何顯示；組件是框架提供的一系列基礎(chǔ)模塊，是視圖層的基本組成單元，包含表單組件、導(dǎo)航、地圖、媒體組件等常用元素，如圖4所示。

3.3 邏輯接口

邏輯接口包含小程序注冊、頁面注冊和功能API。程序注冊代碼位于app.js，頁面框架注冊位于app.json，如圖5所示為官方示例小程序的app.js和app.json。功能API包含網(wǎng)絡(luò)請求功能、文件處理功能、數(shù)據(jù)存儲功能、微信的開放接口功能等，詳見微信官方說明，如圖6所示。

圖4 小程序視圖組件

圖5 小程序注冊代碼示例

圖6 小程序功能API示例

3.4 原生實現(xiàn)層

承載小程序依賴的具體操作，由微信App支撐實現(xiàn)，包括tbs內(nèi)核、JSAPI框架、初始化小程序配置、功能接口實現(xiàn)等，實現(xiàn)代碼主要位于com.tencent.mm. plugin.appbrand包，關(guān)聯(lián)功能有微信平臺原有的數(shù)據(jù)存儲能力、二維碼能力、網(wǎng)絡(luò)請求能力、支付能力等。

3.5 小程序調(diào)用框架

小程序調(diào)用框架簡圖見圖7。

圖7 小程序調(diào)用框架簡圖

3.5.1 小程序調(diào)用框架

圖7主要說明小程序功能邏輯框架流程，由頂層的小程序?qū)崿F(xiàn)代碼（類似js），到微信底層支撐實現(xiàn)模塊的調(diào)用流程，通過微信JSAPI框架支撐頁面到本地實現(xiàn)的橋接調(diào)用。小程序緩存數(shù)據(jù)存放在Storage中，對應(yīng)文件為DB數(shù)據(jù)庫；小程序文件操作通過Hash機制進行映射，并存儲在外部存儲空間。

3.5.2 小程序調(diào)用框架組件

承載小程序展示的組件有.plugin.appbrand. ui.AppBrandUI、.plugin.appbrand.ui.AppBrandUI1、.plugin.appbrand.ui.AppBrandUI2、.plugin.appbrand.ui.AppBrandUI3、.plugin.appbrand.ui.AppBrandUI4共五個組件，五個組件實現(xiàn)邏輯相同，AppBrandUI1- AppBrandUI4繼承自AppBrandUI，圖8為每個承載小程序的Android組件定義。

3.6 小程序初始化流程

小程序初始化流程可分為開發(fā)者后臺控制關(guān)鍵配置和安全配置更新流程，如圖9所示。

圖8 承載每個小程序展示的組件定義

圖9 小程序的進程緩存示意圖

3.6.1 開發(fā)者后臺控制關(guān)鍵配置

小程序后臺控制的配置信息主要包括小程序名稱、圖標、最大WebView深度、最大請求數(shù)、請求合法域名列表、下載合法域名列表和上傳合法域名列表、socket合法域名列表以及App包的基本信息等。

3.6.2 安全的配置更新流程

啟動小程序檢查是否需從服務(wù)端更新最新配置，如果需更新則下載最新配置到本地App。在初始化階段完成小程序的關(guān)鍵屬性更新和配置，此部分屬性配置完全由后端配置控制，在更新傳輸和本地存儲被惡意篡改的可能性極低[2]。

3.7 測評平臺的應(yīng)用

平臺界面如圖10所示?；谖?yīng)用的小程序保密意識測評，通過心理測試（如互動問答、敏感詞匯）、潛意識行為測試（如模擬場景進行選擇）等方式來評估保密的意識，判斷測試人對保密意識所達到的級別，形成測試結(jié)果，根據(jù)測試結(jié)果可以了解測試人保密的薄弱點，同時提醒要加強這方面的學(xué)習(xí)，以便提升工作中的保密意識。

圖10 基于微應(yīng)用的小程序保密意識測評平臺

4 結(jié)語

近年來以“棱鏡門”為代表的一系列信息安全事件為全球信息安全敲響了警鐘，信息安全面臨著前所未有的嚴峻形勢，不僅是信息社會的基石，而且對企業(yè)的發(fā)展產(chǎn)生眾多隱患。筆者在所在的研究團隊研制的安全保密意識培養(yǎng)模式和評價指標體系的基礎(chǔ)上，以當(dāng)下熱門的小程序來開發(fā)一個適合群體和個體的安全保密意識測評系統(tǒng)，以實現(xiàn)安全保密意識的科學(xué)化、信息化測量。

[1]梁曉燕，王如龍，王軍麗，等. 信息安全保密中信息泄密途徑及其防護[J]. 微計算機應(yīng)用，2014，25（4）：406-410.

[2]董李鵬. 本科學(xué)員信息安全保密素養(yǎng)測評研究[D].西安：西北大學(xué)，2017.

Micro Application-Based Small Program Privacy Awareness Evaluation Platform

Wang Juhong Zhao Jiaxi Dong Yong Nie Lisha Ye Jing Song Haojie

State Grid Huangshan Power Supply Company, Anhui hefei 230061

Information security and confidentiality awareness is a comprehensive quality including consciousness, knowledge, skills and ethics. Traditional examinations, questionnaires and other evaluation methods are not only unable to scientifically and comprehensively collect the characterization information of the evaluation object in the field of information security, but also cannot make quantity or value judgment and fully identify the information security and confidentiality awareness. The paper builds a software based on micro-applications to evaluate the confidentiality consciousness. According to the evaluation results, the confidentiality promotion is focused on, which can better enhance the internal confidentiality awareness of the enterprise and understand its own confidentiality rights and obligations so as to achieve confidential education for all employees. At the same time, the paper constructs a set of confidentiality system evaluation system, which provides a solution to the operability of the confidentiality assessment and the rationality of the assessment conclusions.

micro-application; small program; confidentiality; evaluation

TP311.5

A