數(shù)據(jù)安全流轉(zhuǎn)管控

1、數(shù)據(jù)安全流轉(zhuǎn)管控辛夢琨 張文秀 關(guān)磊 中國郵政集團公司山東省信息技術(shù)局摘要： 郵政數(shù)據(jù)紛繁復(fù)雜，應(yīng)用范圍日趨擴大，業(yè)務(wù)與數(shù)據(jù)的結(jié)合越來越緊密，數(shù)據(jù)在郵政內(nèi)部流轉(zhuǎn)的安全性和可控性也越來越值得重視。本文以山東郵政數(shù)據(jù)安全交接系統(tǒng)的建設(shè)和應(yīng)用為主線，闡述了根據(jù)郵政企業(yè)的業(yè)務(wù)特點和網(wǎng)絡(luò)、設(shè)備條件,整合數(shù)據(jù)交接流程，利用技術(shù)手段為企業(yè)搭建起安全、方便的數(shù)據(jù)交接平臺的建設(shè)思路及解決方案，為企業(yè)提供了一個用于數(shù)據(jù)交接的安全通道。關(guān)鍵字：數(shù)據(jù)交接、數(shù)據(jù)安全、SWFUpload、AES加密一、引言近年來，信息安全一直是一個熱門話題，特別是隨著信息化應(yīng)用的逐漸深入，信息化管理已經(jīng)從事后的單純信息數(shù)據(jù)管理向事中的業(yè)

2、務(wù)流程實時管控、甚至事前的預(yù)算控制過渡，信息系統(tǒng)也已經(jīng)成為郵政企業(yè)運營、管理不可或缺的重要組成部分。但也因為企業(yè)信息系統(tǒng)的應(yīng)用越來越深入，各類業(yè)務(wù)數(shù)據(jù)的挖掘和應(yīng)用價值越來越高，其安全性也變得日益重要。目前，在郵政信息安全方面我們已經(jīng)采用了很多的安全措施，比如內(nèi)外網(wǎng)物理隔離、機房的各項管理制度、網(wǎng)絡(luò)防火墻、入侵檢測、服務(wù)器補丁管理、服務(wù)器密碼更新及保管策略等等，這些安全措施極大的增強了企業(yè)整體信息環(huán)境的安全性，對企業(yè)信息化的安全起到了至關(guān)重要的作用。與此同時，郵政數(shù)據(jù)適用范圍逐步擴大，業(yè)務(wù)對數(shù)據(jù)的需求日趨多樣化，各類數(shù)據(jù)提取和分析項目接踵而至。而在數(shù)據(jù)使用的末端，數(shù)據(jù)由省公司或地市分公司技術(shù)人員

3、提取、分析后，形成數(shù)據(jù)結(jié)果文件，但數(shù)據(jù)結(jié)果文件尚未有一個安全可靠的途徑進行傳遞或下發(fā)，更沒有相關(guān)的日志對數(shù)據(jù)的流轉(zhuǎn)痕跡進行記錄。為了進一步增強數(shù)據(jù)流轉(zhuǎn)、下發(fā)等環(huán)節(jié)的安全性，需要建設(shè)一個數(shù)據(jù)安全交接系統(tǒng)以便于滿足數(shù)據(jù)流轉(zhuǎn)交接的需要。二、主要技術(shù) 為方便用戶訪問使用，系統(tǒng)采用B/S模式?？紤]到上傳的數(shù)據(jù)文件可能有多個且較大，同時需要一定的安全措施，故系統(tǒng)采用了SWFUpload文件上傳插件和AES加密的措施。1、 SWFUpload文件上傳插件傳統(tǒng)的HTML上傳框只提供一個按鈕和一個文本框讓用戶選擇單個文件，然后通過表單提交。整個文件必須等到它上傳完畢后才能確認(rèn)并檢查文件大小，文件擴展名，而且上傳

4、的過程中，回傳反饋很少。這就造成了一些使用上的不便利。而SWFUpload 使用Flash 影片（flash movie）來選擇和上傳文件，在瀏覽器中提供一個優(yōu)于傳統(tǒng)上傳標(biāo)簽 的功能和良好的用戶體驗。影片里有一個可定制的按鈕來激活文件選擇對話框，文件選擇對話框允許用戶選擇單一的文件或者多個文件。 選擇的的文件類型也是可以被限制的，開發(fā)人員可以限定用戶只能選擇指定的適當(dāng)?shù)奈募?，例?.jgp;*.gif。一旦選擇并點擊確定，每個文件都會被驗證，并放入隊列。當(dāng)Flash上傳文件的時候，由開發(fā)人員預(yù)定義的Javascript事件會被觸發(fā)以便來更新頁面中的UI顯示，并且還能實時提供上傳狀態(tài)和錯誤信息。

5、SWFUpload的主要特性包括：l 文件瀏覽對話框中可以選擇多個文件l AJAX風(fēng)格的上傳，不用重刷新l 上傳過程中的各種事件l 可以在客戶端調(diào)節(jié)圖片大小l 它使用的類命名空間兼容各種js庫l 支持 Flash 9 and Flash 10 SWFUpload 的設(shè)計理念與其他基于flash的上傳工具不同。SWFUpload 給開發(fā)者盡可能多的UI控制能力，開發(fā)者可以使用 XHTML、CSS、JavaScript 來使它更符合自己網(wǎng)站的樣式風(fēng)格。 它提供一組簡單的js事件更新上傳狀態(tài)，開發(fā)者可以根據(jù)這些事件來在網(wǎng)頁中顯示文件上傳進度。SWFUpload 文件的上傳是獨立于頁面和表單的，每個文

6、件單獨的上傳到處理頁面，這就使服務(wù)器可以簡單輕松地處理文件，flash提供的上傳服務(wù)使得整個頁面不必提交或者刷新，頁面中的Form表單數(shù)據(jù)會和FLASH控制的文件上傳單獨處理。2、 AES加密加密技術(shù)是利用數(shù)學(xué)或物理手段，對電子信息在傳輸過程中或存儲設(shè)備內(nèi)的數(shù)據(jù)進行保護，以防止泄漏的技術(shù)。在信息安全技術(shù)中，加密技術(shù)占有重要的地位，在保密通信、數(shù)據(jù)安全、軟件加密等均使用了加密技術(shù)。常用的加密算法有DES系列(包括DES和3DES)，RC系列(常用的有RC4和RC6)和AES等對稱加密算法(加密密鑰和解密密鑰相同或相似)以及RSA等非對稱加密算法。除此此外，還有用于獲取信息摘要的MD5等。對于文檔

7、加密，其選擇的依據(jù)一般根據(jù)系統(tǒng)的安全性要求進行確定，在滿足安全性要求的前提下，盡可能選用速度快的加密算法，在條件容許的情況下，可以采用硬件的方式對數(shù)據(jù)進行加密(如直接利用安全芯片提供的加密算法進行加密等)。雖然加密算法是文件安全的核心，但加密算法以何種方式進行實現(xiàn)，是決定恩見安全的關(guān)鍵。在文檔安全系統(tǒng)中，常用的實現(xiàn)方式有靜態(tài)加密方式和動態(tài)加密方式，靜態(tài)加密是指在加密期間，待加密的數(shù)據(jù)處于未使用狀態(tài)(靜態(tài))，這些數(shù)據(jù)一旦加密，在使用前，需首先通過靜態(tài)解密得到明文，然后才能使用。目前市場上許多加密軟件產(chǎn)品就屬于這種加密方式。與靜態(tài)加密不同，動態(tài)加密(也稱實時加密，透明加密等，其英文名為encryp

8、t on-thefly)，是指數(shù)據(jù)在使用過程中(動態(tài))自動對數(shù)據(jù)進行加密或解密操作，無需用戶的干預(yù)。由于動態(tài)加密要實時加密數(shù)據(jù)，必須動態(tài)跟蹤需要加密的數(shù)據(jù)流，而且其實現(xiàn)的層次一般位于系統(tǒng)內(nèi)核中，因此，從實現(xiàn)的技術(shù)角度看，實現(xiàn)動態(tài)加密要比靜態(tài)加密難的多，需要解決的技術(shù)難點也遠遠超過靜態(tài)加密。考慮到系統(tǒng)的實現(xiàn)成本，本系統(tǒng)采用了靜態(tài)加密方式。加密的最終目的，是使合法用戶在訪問系統(tǒng)時，這些加密文件是“透明的”，即好像沒有加密一樣，但對于沒有訪問權(quán)限的用戶，即使通過其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無法使用。三、系統(tǒng)設(shè)計思路及主要功能數(shù)據(jù)安全交接系統(tǒng)主要應(yīng)用于郵政數(shù)據(jù)提取后，數(shù)據(jù)在內(nèi)

9、網(wǎng)的存放和交接傳遞過程，并對用戶在系統(tǒng)中的操作進行記錄形成日志并保存。出于安全考慮，系統(tǒng)在郵政金融網(wǎng)、綜合網(wǎng)分別部署。系統(tǒng)模塊主要包括登錄檢測、文件上傳、文件下載、日志查看、系統(tǒng)管理等，各模塊的詳細介紹如下。1、 登錄安全檢測數(shù)據(jù)安全交接系統(tǒng)旨在保障數(shù)據(jù)文件在傳遞過程中的安全性，故在系統(tǒng)登錄時做了多項安全檢測，包括身份認(rèn)證和設(shè)備檢測。系統(tǒng)登錄時需要操作員輸入操作員號、身份證號、登錄口令、短信驗證碼，并驗證用戶綁定的手機號，保證登錄系統(tǒng)的用戶的真實性；檢測登錄設(shè)備的IP地址，綁定操作員，保證登錄設(shè)備的合法性。登錄檢測流程見下圖：為保障數(shù)據(jù)文件的安全，在驗證用戶身份的同時，系統(tǒng)還對訪問的設(shè)備和端口

10、進行了限制。首先，設(shè)置允許訪問的IP地址列表，限制訪問設(shè)備的地址范圍。第二，設(shè)置禁止訪問的IP地址列表，拒絕某些有安全隱患的地址,也不允許用戶綁定禁止訪問地址表中的IP地址。例如不允許使用VPN的方式進行數(shù)據(jù)的傳遞，針對這種情況，將VPN映射地址納入其中，拒絕用戶使用該方式進行登錄。第三，針對用戶VPN連入內(nèi)網(wǎng)，又通過遠程桌面的方式連接系統(tǒng)的情況，系統(tǒng)設(shè)置了禁止端口檢測，即檢測訪問系統(tǒng)的設(shè)備是否開啟了某些危險的端口，如果其某些端口開放，則不允許訪問。2、 數(shù)據(jù)文件發(fā)送需要進行數(shù)據(jù)傳遞的用戶通過該模塊將數(shù)據(jù)上傳至服務(wù)器，并設(shè)置加密口令、數(shù)據(jù)有效期、數(shù)據(jù)的專業(yè)屬性、數(shù)據(jù)接收人、數(shù)據(jù)允許下載次數(shù)等信

11、息。上傳數(shù)據(jù)文件成功后，系統(tǒng)會對加密口令加密，再作為秘鑰對文件進行AES加密。系統(tǒng)為每個數(shù)據(jù)接收人生成不同的下載口令，與加密口令一同發(fā)送給接收人。1） 文件上傳文件上傳處，使用了前面提到的SWFUpload插件，該插件很好的解決了多個大文件上傳的問題。經(jīng)過測試，在局域網(wǎng)、單一用戶的情況下，同時上傳5個200M的文件，能夠在2分鐘之內(nèi)完成。在文件格式的限制上，因系統(tǒng)主要用于解決數(shù)據(jù)文件的安全傳遞問題，所以設(shè)置為僅允許上傳.txt、.csv、.rar文件，文件大小限定在500M以下。數(shù)據(jù)文件在上傳時，已經(jīng)設(shè)置了有效期，對于失效的數(shù)據(jù)，在3天之后將在服務(wù)器中進行文件的清理。數(shù)據(jù)文件在上傳后，經(jīng)過加密

12、存放于服務(wù)器中，故如果通過非法的方式將文件獲取到，其內(nèi)容無法正常打開使用。2） 文件加密上傳文件成功后，將用戶設(shè)置的加密口令與系統(tǒng)預(yù)設(shè)的秘鑰連接進行MD5計算，截取其中前十位做為秘鑰，對文件進行AES加密。3） 發(fā)布詳細信息查看數(shù)據(jù)文件發(fā)布人可以查看本項目的詳細信息，包括數(shù)據(jù)的詳細信息，數(shù)據(jù)文件下載的詳細信息（下載人、下載時間、是否下載成功等）。3、 數(shù)據(jù)文件下載指定的數(shù)據(jù)接收人可以看到自己接收的數(shù)據(jù)項目，逐一下載其包含的數(shù)據(jù)文件。數(shù)據(jù)進行下載時，需要進行文件有效性驗證、接收人身份及權(quán)限驗證。對于已經(jīng)超過數(shù)據(jù)有效期的文件，不允許再進行下載；對于已經(jīng)下載過，且超過最大下載次數(shù)的文件，不再允許下載

13、；對于數(shù)據(jù)接收人的專業(yè)屬性發(fā)生了改變，且與數(shù)據(jù)專業(yè)屬性不一致的，不允許下載；數(shù)據(jù)下載時，需要用戶輸入下載口令、解密口令，其中同一數(shù)據(jù)項目的不同的接收人的下載口令是不同的。4、 日志信息查看用戶在系統(tǒng)中的操作，系統(tǒng)進行了詳細的記錄。自登錄開始，系統(tǒng)詳細記錄了用戶的操作員id、操作時間、操作項目、操作摘要、操作是否成功完成、操作失敗的原因等，以備查看。在日志信息中，可以看到某操作員的操作過程，也可以清晰的看到某個文件的流轉(zhuǎn)痕跡，有效的解決了系統(tǒng)建設(shè)之初的數(shù)據(jù)流轉(zhuǎn)監(jiān)控的問題。四、系統(tǒng)應(yīng)用情況及展望出于安全考慮，系統(tǒng)在郵政金融網(wǎng)和郵政綜合網(wǎng)分別部署，已于2015年6月進行了試運行，省公司各專業(yè)、市公司各專業(yè)局及區(qū)縣局在系統(tǒng)中都建立了用戶。配合山東郵政金融計算機數(shù)據(jù)使用安全管理辦法（試行）、山東郵政信息網(wǎng)系統(tǒng)數(shù)據(jù)使用安全管理辦法（試行），數(shù)據(jù)提取、分析的結(jié)果文件已經(jīng)開始由系統(tǒng)進行交接流轉(zhuǎn)。系統(tǒng)的應(yīng)用規(guī)范了數(shù)據(jù)的交接流程，使每個數(shù)據(jù)文件的流轉(zhuǎn)痕跡有據(jù)可查，每條數(shù)據(jù)的責(zé)任人清晰明確。山東郵政數(shù)據(jù)安全交接系統(tǒng)的設(shè)計開發(fā)是我們在數(shù)據(jù)安全方面邁出的堅實的一步，但系統(tǒng)在文件加密和最終文件生命周期的管控上還有待改進。下一步我們將研發(fā)更為全面的設(shè)計模型，動態(tài)加密文件，控制數(shù)據(jù)文件的整個生命周期，消除數(shù)據(jù)在使用過程中和在客戶端存放時數(shù)據(jù)泄露的風(fēng)險，為郵政數(shù)據(jù)的應(yīng)用提供一個更為安全可靠的環(huán)