王菊红 赵家喜 董勇 聂立莎 叶菁 宋浩杰
基于微应用的小程序保密意识测评平台
王菊红 赵家喜 董勇 聂立莎 叶菁 宋浩杰
国网黄山供电公司,安徽 合肥 230061
信息安全保密意识是一种包含意识、知识、技能和伦理在内的综合素质,传统的考试、问卷等评价手段不仅无法科学全面地收集测评对象在信息安全领域中的表征信息,而且很难做出量值或价值的判断,无法全面鉴定信息安全保密意识。建设了一套基于微应用的小程序对保密意识进行测评的软件。根据测评结果,有重点地进行保密宣传,能够更好地提升企业内部的保密意识,了解到自身的保密权利与义务,从而实现企业全员保密教育。同时构建了一套保密制度测评体系,为保密意识评估的可操作性和评估结论的合理性提出一种解决思路。
微应用;小程序;保密;测评
2017年1月,微信小程序的横空出世打破了用户下载App实现独立功能的局面。小程序作为“逆App思维”的一个“新物种”,实现了应用“触手可及”的梦想,用户扫一扫或者搜一下就可以打开应用,用完即走,无须安装卸载,操作非常便捷[1]。虽然诞生之初,小程序并未立刻掀起巨大波澜,不过在去年8月打出商业化应用的目标之后,对人们生活、工作的渗透愈加明显,分布于游戏、电商、工具、社交等各个场景,慢慢构建出以微信为地基的小程序生态。小程序是一种“即用即走”的轻型应用,不需要下载和关注,有着轻型、操作方便、成本低、功能大等特点。
信息安全保密意识是一种包含意识、知识、技能和伦理在内的综合素质。本文基于微应用的小程序保密意识测评平台,开发设计了一套集在线测试、统计分析和结果展示为一体的微应用小程序保密意识测评系统,以实现全民安全保密意识信息化和自动化测评,具体功能设计模块如图1所示。
图1 系统功能模块设计
基于微应用的小程序保密意识测评,通过心理测试(如互动问答、敏感词汇)、潜意识行为测试(如模拟场景进行选择)等方式来评估保密意识,判断测试人对保密意识所达到的级别,形成测试结果。根据测试结果可以了解测试人保密的薄弱点,同时提醒要加强这方面的学习,以便提升工作中的保密意识。
用户管理与权限设置见表1。
表1 系统用户角色与权限划分
在被试者首次使用信息安全保密意识测评系统时,需要进入微信平台并授权关注,系统工作流如图2所示。信息安全保密意识测评系统将显示评估指南,帮助参与者了解评估过程和预防措施,然后通过心理测试(如互动问答、敏感词汇)、潜意识行为测试(如模拟场景进行选择)等方式来评估保密意识,判断测试人对保密意识所达到的级别。与对应的试纸为测试,当递交试纸,系统自动地证实时是否有任何未回答的项目。如果没有答复项目,系统将提示并退回未回答的项目的位置,然后再递交它,直到答复完成。所有应答者能递交成功,避免某些被错过的项目导致不精确的测量结果的现象。在系统自动评估容量之后,根据预先设定的审计过程将被处理。如果管理员需要回顾结果和事先出版它,测试器能看评估报告在管理员以后回顾了并且发布了它。如果没有对管理员回顾的需要,测验对象能直接地观看评估报告,并且测试结果可能了解测试器的机密的弱点。同时提醒要加强这方面的学习,以便提升工作中的保密意识。
图2 小程序保密意识测评流程图
小程序抽象框架见图3。
图3 小程序抽象框架图
视图层包含WXML、WXSS和页面视图组件。WXML是一种类似XML格式的语言,支持数据绑定、条件渲染、列表渲染、自定义模板、事件回调和外部引用;WXSS是一种类似CSS格式的语言,用于描述WXML的组件样式,决定WXML中的组件如何显示;组件是框架提供的一系列基础模块,是视图层的基本组成单元,包含表单组件、导航、地图、媒体组件等常用元素,如图4所示。
逻辑接口包含小程序注册、页面注册和功能API。程序注册代码位于app.js,页面框架注册位于app.json,如图5所示为官方示例小程序的app.js和app.json。功能API包含网络请求功能、文件处理功能、数据存储功能、微信的开放接口功能等,详见微信官方说明,如图6所示。
图4 小程序视图组件
图5 小程序注册代码示例
图6 小程序功能API示例
承载小程序依赖的具体操作,由微信App支撑实现,包括tbs内核、JSAPI框架、初始化小程序配置、功能接口实现等,实现代码主要位于com.tencent.mm. plugin.appbrand包,关联功能有微信平台原有的数据存储能力、二维码能力、网络请求能力、支付能力等。
小程序调用框架简图见图7。
图7 小程序调用框架简图
3.5.1 小程序调用框架
图7主要说明小程序功能逻辑框架流程,由顶层的小程序实现代码(类似js),到微信底层支撑实现模块的调用流程,通过微信JSAPI框架支撑页面到本地实现的桥接调用。小程序缓存数据存放在Storage中,对应文件为DB数据库;小程序文件操作通过Hash机制进行映射,并存储在外部存储空间。
3.5.2 小程序调用框架组件
承载小程序展示的组件有.plugin.appbrand. ui.AppBrandUI、.plugin.appbrand.ui.AppBrandUI1、.plugin.appbrand.ui.AppBrandUI2、.plugin.appbrand.ui.AppBrandUI3、.plugin.appbrand.ui.AppBrandUI4共五个组件,五个组件实现逻辑相同,AppBrandUI1- AppBrandUI4继承自AppBrandUI,图8为每个承载小程序的Android组件定义。
小程序初始化流程可分为开发者后台控制关键配置和安全配置更新流程,如图9所示。
图8 承载每个小程序展示的组件定义
图9 小程序的进程缓存示意图
3.6.1 开发者后台控制关键配置
小程序后台控制的配置信息主要包括小程序名称、图标、最大WebView深度、最大请求数、请求合法域名列表、下载合法域名列表和上传合法域名列表、socket合法域名列表以及App包的基本信息等。
3.6.2 安全的配置更新流程
启动小程序检查是否需从服务端更新最新配置,如果需更新则下载最新配置到本地App。在初始化阶段完成小程序的关键属性更新和配置,此部分属性配置完全由后端配置控制,在更新传输和本地存储被恶意篡改的可能性极低[2]。
平台界面如图10所示。基于微应用的小程序保密意识测评,通过心理测试(如互动问答、敏感词汇)、潜意识行为测试(如模拟场景进行选择)等方式来评估保密的意识,判断测试人对保密意识所达到的级别,形成测试结果,根据测试结果可以了解测试人保密的薄弱点,同时提醒要加强这方面的学习,以便提升工作中的保密意识。
图10 基于微应用的小程序保密意识测评平台
近年来以“棱镜门”为代表的一系列信息安全事件为全球信息安全敲响了警钟,信息安全面临着前所未有的严峻形势,不仅是信息社会的基石,而且对企业的发展产生众多隐患。笔者在所在的研究团队研制的安全保密意识培养模式和评价指标体系的基础上,以当下热门的小程序来开发一个适合群体和个体的安全保密意识测评系统,以实现安全保密意识的科学化、信息化测量。
[1]梁晓燕,王如龙,王军丽,等. 信息安全保密中信息泄密途径及其防护[J]. 微计算机应用,2014,25(4):406-410.
[2]董李鹏. 本科学员信息安全保密素养测评研究[D].西安:西北大学,2017.
Micro Application-Based Small Program Privacy Awareness Evaluation Platform
Wang Juhong Zhao Jiaxi Dong Yong Nie Lisha Ye Jing Song Haojie
State Grid Huangshan Power Supply Company, Anhui hefei 230061
Information security and confidentiality awareness is a comprehensive quality including consciousness, knowledge, skills and ethics. Traditional examinations, questionnaires and other evaluation methods are not only unable to scientifically and comprehensively collect the characterization information of the evaluation object in the field of information security, but also cannot make quantity or value judgment and fully identify the information security and confidentiality awareness. The paper builds a software based on micro-applications to evaluate the confidentiality consciousness. According to the evaluation results, the confidentiality promotion is focused on, which can better enhance the internal confidentiality awareness of the enterprise and understand its own confidentiality rights and obligations so as to achieve confidential education for all employees. At the same time, the paper constructs a set of confidentiality system evaluation system, which provides a solution to the operability of the confidentiality assessment and the rationality of the assessment conclusions.
micro-application; small program; confidentiality; evaluation
TP311.5
A