數(shù)據(jù)安全安全流轉(zhuǎn)管控

1、PAGE7PAGE7數(shù)據(jù)安全流轉(zhuǎn)管控辛夢(mèng)琨 張文秀 關(guān)磊 中國(guó)郵政集團(tuán)公司山東省信息技術(shù)局摘要： 郵政數(shù)據(jù)紛繁復(fù)雜，應(yīng)用范圍日趨擴(kuò)大，業(yè)務(wù)與數(shù)據(jù)的結(jié)合越來越緊密，數(shù)據(jù)在郵政內(nèi)部流轉(zhuǎn)的安全性和可控性也越來越值得重視。本文以山東郵政數(shù)據(jù)安全交接系統(tǒng)的建設(shè)和應(yīng)用為主線，闡述了根據(jù)郵政企業(yè)的業(yè)務(wù)特點(diǎn)和網(wǎng)絡(luò)、設(shè)備條件,整合數(shù)據(jù)交接流程，利用技術(shù)手段為企業(yè)搭建起安全、方便的數(shù)據(jù)交接平臺(tái)的建設(shè)思路及解決方案，為企業(yè)提供了一個(gè)用于數(shù)據(jù)交接的安全通道。關(guān)鍵字：數(shù)據(jù)交接、數(shù)據(jù)安全、SWFUpload、AES加密一、引言近年來，信息安全一直是一個(gè)熱門話題，特別是隨著信息化應(yīng)用的逐漸深入，信息化管理已經(jīng)從事后的單純信

2、息數(shù)據(jù)管理向事中的業(yè)務(wù)流程實(shí)時(shí)管控、甚至事前的預(yù)算控制過渡，信息系統(tǒng)也已經(jīng)成為郵政企業(yè)運(yùn)營(yíng)、管理不可或缺的重要組成部分。但也因?yàn)槠髽I(yè)信息系統(tǒng)的應(yīng)用越來越深入，各類業(yè)務(wù)數(shù)據(jù)的挖掘和應(yīng)用價(jià)值越來越高，其安全性也變得日益重要。目前，在郵政信息安全方面我們已經(jīng)采用了很多的安全措施，比如內(nèi)外網(wǎng)物理隔離、機(jī)房的各項(xiàng)管理制度、網(wǎng)絡(luò)防火墻、入侵檢測(cè)、服務(wù)器補(bǔ)丁管理、服務(wù)器密碼更新及保管策略等等，這些安全措施極大的增強(qiáng)了企業(yè)整體信息環(huán)境的安全性，對(duì)企業(yè)信息化的安全起到了至關(guān)重要的作用。與此同時(shí)，郵政數(shù)據(jù)適用范圍逐步擴(kuò)大，業(yè)務(wù)對(duì)數(shù)據(jù)的需求日趨多樣化，各類數(shù)據(jù)提取和分析項(xiàng)目接踵而至。而在數(shù)據(jù)使用的末端，數(shù)據(jù)由省公司

3、或地市分公司技術(shù)人員提取、分析后，形成數(shù)據(jù)結(jié)果文件，但數(shù)據(jù)結(jié)果文件尚未有一個(gè)安全可靠的途徑進(jìn)行傳遞或下發(fā)，更沒有相關(guān)的日志對(duì)數(shù)據(jù)的流轉(zhuǎn)痕跡進(jìn)行記錄。為了進(jìn)一步增強(qiáng)數(shù)據(jù)流轉(zhuǎn)、下發(fā)等環(huán)節(jié)的安全性，需要建設(shè)一個(gè)數(shù)據(jù)安全交接系統(tǒng)以便于滿足數(shù)據(jù)流轉(zhuǎn)交接的需要。二、主要技術(shù) 為方便用戶訪問使用，系統(tǒng)采用B/S模式?？紤]到上傳的數(shù)據(jù)文件可能有多個(gè)且較大，同時(shí)需要一定的安全措施，故系統(tǒng)采用了SWFUpload文件上傳插件和AES加密的措施。SWFUpload文件上傳插件傳統(tǒng)的HTML上傳框只提供一個(gè)按鈕和一個(gè)文本框讓用戶選擇單個(gè)文件，然后通過表單提交。整個(gè)文件必須等到它上傳完畢后才能確認(rèn)并檢查文件大小，文件擴(kuò)

4、展名，而且上傳的過程中，回傳反饋很少。這就造成了一些使用上的不便利。而SWFUpload 使用Flash 影片（flash movie）來選擇和上傳文件，在瀏覽器中提供一個(gè)優(yōu)于傳統(tǒng)上傳標(biāo)簽 的功能和良好的用戶體驗(yàn)。影片里有一個(gè)可定制的按鈕來激活文件選擇對(duì)話框，文件選擇對(duì)話框允許用戶選擇單一的文件或者多個(gè)文件。 選擇的的文件類型也是可以被限制的，開發(fā)人員可以限定用戶只能選擇指定的適當(dāng)?shù)奈募?，例?.jgp;*.gif。一旦選擇并點(diǎn)擊確定，每個(gè)文件都會(huì)被驗(yàn)證，并放入隊(duì)列。當(dāng)Flash上傳文件的時(shí)候，由開發(fā)人員預(yù)定義的Javascript事件會(huì)被觸發(fā)以便來更新頁(yè)面中的UI顯示，并且還能實(shí)時(shí)提供上傳狀

5、態(tài)和錯(cuò)誤信息。SWFUpload的主要特性包括：文件瀏覽對(duì)話框中可以選擇多個(gè)文件AJAX風(fēng)格的上傳，不用重刷新上傳過程中的各種事件可以在客戶端調(diào)節(jié)圖片大小它使用的類命名空間兼容各種js庫(kù)支持 Flash 9 and Flash 10 SWFUpload 的設(shè)計(jì)理念與其他基于flash的上傳工具不同。SWFUpload 給開發(fā)者盡可能多的UI控制能力，開發(fā)者可以使用 XHTML、CSS、JavaScript 來使它更符合自己網(wǎng)站的樣式風(fēng)格。 它提供一組簡(jiǎn)單的js事件更新上傳狀態(tài)，開發(fā)者可以根據(jù)這些事件來在網(wǎng)頁(yè)中顯示文件上傳進(jìn)度。SWFUpload 文件的上傳是獨(dú)立于頁(yè)面和表單的，每個(gè)文件單獨(dú)的上

6、傳到處理頁(yè)面，這就使服務(wù)器可以簡(jiǎn)單輕松地處理文件，flash提供的上傳服務(wù)使得整個(gè)頁(yè)面不必提交或者刷新，頁(yè)面中的Form表單數(shù)據(jù)會(huì)和FLASH控制的文件上傳單獨(dú)處理。AES加密加密技術(shù)是利用數(shù)學(xué)或物理手段，對(duì)電子信息在傳輸過程中或存儲(chǔ)設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)，以防止泄漏的技術(shù)。在信息安全技術(shù)中，加密技術(shù)占有重要的地位，在保密通信、數(shù)據(jù)安全、軟件加密等均使用了加密技術(shù)。常用的加密算法有DES系列(包括DES和3DES)，RC系列(常用的有RC4和RC6)和AES等對(duì)稱加密算法(加密密鑰和解密密鑰相同或相似)以及RSA等非對(duì)稱加密算法。除此此外，還有用于獲取信息摘要的MD5等。對(duì)于文檔加密，其選擇的依

7、據(jù)一般根據(jù)系統(tǒng)的安全性要求進(jìn)行確定，在滿足安全性要求的前提下，盡可能選用速度快的加密算法，在條件容許的情況下，可以采用硬件的方式對(duì)數(shù)據(jù)進(jìn)行加密(如直接利用安全芯片提供的加密算法進(jìn)行加密等)。雖然加密算法是文件安全的核心，但加密算法以何種方式進(jìn)行實(shí)現(xiàn)，是決定恩見安全的關(guān)鍵。在文檔安全系統(tǒng)中，常用的實(shí)現(xiàn)方式有靜態(tài)加密方式和動(dòng)態(tài)加密方式，靜態(tài)加密是指在加密期間，待加密的數(shù)據(jù)處于未使用狀態(tài)(靜態(tài))，這些數(shù)據(jù)一旦加密，在使用前，需首先通過靜態(tài)解密得到明文，然后才能使用。目前市場(chǎng)上許多加密軟件產(chǎn)品就屬于這種加密方式。與靜態(tài)加密不同，動(dòng)態(tài)加密(也稱實(shí)時(shí)加密，透明加密等，其英文名為encrypt on-the

8、fly)，是指數(shù)據(jù)在使用過程中(動(dòng)態(tài))自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密或解密操作，無(wú)需用戶的干預(yù)。由于動(dòng)態(tài)加密要實(shí)時(shí)加密數(shù)據(jù)，必須動(dòng)態(tài)跟蹤需要加密的數(shù)據(jù)流，而且其實(shí)現(xiàn)的層次一般位于系統(tǒng)內(nèi)核中，因此，從實(shí)現(xiàn)的技術(shù)角度看，實(shí)現(xiàn)動(dòng)態(tài)加密要比靜態(tài)加密難的多，需要解決的技術(shù)難點(diǎn)也遠(yuǎn)遠(yuǎn)超過靜態(tài)加密。考慮到系統(tǒng)的實(shí)現(xiàn)成本，本系統(tǒng)采用了靜態(tài)加密方式。加密的最終目的，是使合法用戶在訪問系統(tǒng)時(shí)，這些加密文件是“透明的”，即好像沒有加密一樣，但對(duì)于沒有訪問權(quán)限的用戶，即使通過其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無(wú)法使用。三、系統(tǒng)設(shè)計(jì)思路及主要功能數(shù)據(jù)安全交接系統(tǒng)主要應(yīng)用于郵政數(shù)據(jù)提取后，數(shù)據(jù)在內(nèi)網(wǎng)的存放和交接傳

9、遞過程，并對(duì)用戶在系統(tǒng)中的操作進(jìn)行記錄形成日志并保存。出于安全考慮，系統(tǒng)在郵政金融網(wǎng)、綜合網(wǎng)分別部署。系統(tǒng)模塊主要包括登錄檢測(cè)、文件上傳、文件下載、日志查看、系統(tǒng)管理等，各模塊的詳細(xì)介紹如下。登錄安全檢測(cè)數(shù)據(jù)安全交接系統(tǒng)旨在保障數(shù)據(jù)文件在傳遞過程中的安全性，故在系統(tǒng)登錄時(shí)做了多項(xiàng)安全檢測(cè)，包括身份認(rèn)證和設(shè)備檢測(cè)。系統(tǒng)登錄時(shí)需要操作員輸入操作員號(hào)、身份證號(hào)、登錄口令、短信驗(yàn)證碼，并驗(yàn)證用戶綁定的手機(jī)號(hào)，保證登錄系統(tǒng)的用戶的真實(shí)性；檢測(cè)登錄設(shè)備的IP地址，綁定操作員，保證登錄設(shè)備的合法性。登錄檢測(cè)流程見下圖：為保障數(shù)據(jù)文件的安全，在驗(yàn)證用戶身份的同時(shí)，系統(tǒng)還對(duì)訪問的設(shè)備和端口進(jìn)行了限制。首先，設(shè)置

10、允許訪問的IP地址列表，限制訪問設(shè)備的地址范圍。第二，設(shè)置禁止訪問的IP地址列表，拒絕某些有安全隱患的地址,也不允許用戶綁定禁止訪問地址表中的IP地址。例如不允許使用VPN的方式進(jìn)行數(shù)據(jù)的傳遞，針對(duì)這種情況，將VPN映射地址納入其中，拒絕用戶使用該方式進(jìn)行登錄。第三，針對(duì)用戶VPN連入內(nèi)網(wǎng)，又通過遠(yuǎn)程桌面的方式連接系統(tǒng)的情況，系統(tǒng)設(shè)置了禁止端口檢測(cè)，即檢測(cè)訪問系統(tǒng)的設(shè)備是否開啟了某些危險(xiǎn)的端口，如果其某些端口開放，則不允許訪問。數(shù)據(jù)文件發(fā)送需要進(jìn)行數(shù)據(jù)傳遞的用戶通過該模塊將數(shù)據(jù)上傳至服務(wù)器，并設(shè)置加密口令、數(shù)據(jù)有效期、數(shù)據(jù)的專業(yè)屬性、數(shù)據(jù)接收人、數(shù)據(jù)允許下載次數(shù)等信息。上傳數(shù)據(jù)文件成功后，系統(tǒng)

11、會(huì)對(duì)加密口令加密，再作為秘鑰對(duì)文件進(jìn)行AES加密。系統(tǒng)為每個(gè)數(shù)據(jù)接收人生成不同的下載口令，與加密口令一同發(fā)送給接收人。文件上傳文件上傳處，使用了前面提到的SWFUpload插件，該插件很好的解決了多個(gè)大文件上傳的問題。經(jīng)過測(cè)試，在局域網(wǎng)、單一用戶的情況下，同時(shí)上傳5個(gè)200M的文件，能夠在2分鐘之內(nèi)完成。在文件格式的限制上，因系統(tǒng)主要用于解決數(shù)據(jù)文件的安全傳遞問題，所以設(shè)置為僅允許上傳.txt、.csv、.rar文件，文件大小限定在500M以下。數(shù)據(jù)文件在上傳時(shí)，已經(jīng)設(shè)置了有效期，對(duì)于失效的數(shù)據(jù)，在3天之后將在服務(wù)器中進(jìn)行文件的清理。數(shù)據(jù)文件在上傳后，經(jīng)過加密存放于服務(wù)器中，故如果通過非法的方

12、式將文件獲取到，其內(nèi)容無(wú)法正常打開使用。文件加密上傳文件成功后，將用戶設(shè)置的加密口令與系統(tǒng)預(yù)設(shè)的秘鑰連接進(jìn)行MD5計(jì)算，截取其中前十位做為秘鑰，對(duì)文件進(jìn)行AES加密。發(fā)布詳細(xì)信息查看數(shù)據(jù)文件發(fā)布人可以查看本項(xiàng)目的詳細(xì)信息，包括數(shù)據(jù)的詳細(xì)信息，數(shù)據(jù)文件下載的詳細(xì)信息（下載人、下載時(shí)間、是否下載成功等）。數(shù)據(jù)文件下載指定的數(shù)據(jù)接收人可以看到自己接收的數(shù)據(jù)項(xiàng)目，逐一下載其包含的數(shù)據(jù)文件。數(shù)據(jù)進(jìn)行下載時(shí)，需要進(jìn)行文件有效性驗(yàn)證、接收人身份及權(quán)限驗(yàn)證。對(duì)于已經(jīng)超過數(shù)據(jù)有效期的文件，不允許再進(jìn)行下載；對(duì)于已經(jīng)下載過，且超過最大下載次數(shù)的文件，不再允許下載；對(duì)于數(shù)據(jù)接收人的專業(yè)屬性發(fā)生了改變，且與數(shù)據(jù)專業(yè)屬

13、性不一致的，不允許下載；數(shù)據(jù)下載時(shí)，需要用戶輸入下載口令、解密口令，其中同一數(shù)據(jù)項(xiàng)目的不同的接收人的下載口令是不同的。日志信息查看用戶在系統(tǒng)中的操作，系統(tǒng)進(jìn)行了詳細(xì)的記錄。自登錄開始，系統(tǒng)詳細(xì)記錄了用戶的操作員id、操作時(shí)間、操作項(xiàng)目、操作摘要、操作是否成功完成、操作失敗的原因等，以備查看。在日志信息中，可以看到某操作員的操作過程，也可以清晰的看到某個(gè)文件的流轉(zhuǎn)痕跡，有效的解決了系統(tǒng)建設(shè)之初的數(shù)據(jù)流轉(zhuǎn)監(jiān)控的問題。四、系統(tǒng)應(yīng)用情況及展望出于安全考慮，系統(tǒng)在郵政金融網(wǎng)和郵政綜合網(wǎng)分別部署，已于2015年6月進(jìn)行了試運(yùn)行，省公司各專業(yè)、市公司各專業(yè)局及區(qū)縣局在系統(tǒng)中都建立了用戶。配合山東郵政金融計(jì)算機(jī)數(shù)據(jù)使用安全管理辦法（試行）、山東郵政信息網(wǎng)系統(tǒng)數(shù)據(jù)使用安全管理辦法（試行），數(shù)據(jù)提取、分析的結(jié)果文件已經(jīng)開始由系統(tǒng)進(jìn)行交接流轉(zhuǎn)。系統(tǒng)的應(yīng)用規(guī)范了數(shù)據(jù)的交接流程，使每個(gè)數(shù)據(jù)文件的流轉(zhuǎn)痕跡有據(jù)可查，每條數(shù)據(jù)的責(zé)任人清晰明確。山東郵政數(shù)據(jù)安全交接系統(tǒng)的設(shè)計(jì)開發(fā)是我們?cè)跀?shù)據(jù)安全方面邁出的堅(jiān)實(shí)的一步，但系統(tǒng)在文件加密和最終文件生命周期的管控上還有待改進(jìn)。下一步我們將研發(fā)更為全面的設(shè)計(jì)模型，動(dòng)態(tài)加密文件，控制數(shù)據(jù)文件的整個(gè)生命周期，消除數(shù)據(jù)在使用過程中和在客戶端存放時(shí)數(shù)據(jù)泄露的風(fēng)險(xiǎn)，為郵政數(shù)據(jù)的應(yīng)用提供一個(gè)更為安全可靠的環(huán)境