数据安全流转管控.doc

数据安全流转管控辛梦琨 张文秀 关磊 中国邮政集团公司山东省信息技术局摘要： 邮政数据纷繁复杂，应用范围日趋扩大，业务与数据的结合越来越紧密，数据在邮政内部流转的安全性和可控性也越来越值得重视。本文以山东邮政数据安全交接系统的建设和应用为主线，阐述了根据邮政企业的业务特点和网络、设备条件,整合数据交接流程，利用技术手段为企业搭建起安全、方便的数据交接平台的建设思路及解决方案，为企业提供了一个用于数据交接的安全通道。关键字：数据交接、数据安全、SWFUpload、AES加密一、引言近年来，信息安全一直是一个热门话题，特别是随着信息化应用的逐渐深入，信息化管理已经从事后的单纯信息数据管理向事中的业务流程实时管控、甚至事前的预算控制过渡，信息系统也已经成为邮政企业运营、管理不可或缺的重要组成部分。但也因为企业信息系统的应用越来越深入，各类业务数据的挖掘和应用价值越来越高，其安全性也变得日益重要。目前，在邮政信息安全方面我们已经采用了很多的安全措施，比如内外网物理隔离、机房的各项管理制度、网络防火墙、入侵检测、服务器补丁管理、服务器密码更新及保管策略等等，这些安全措施极大的增强了企业整体信息环境的安全性，对企业信息化的安全起到了至关重要的作用。与此同时，邮政数据适用范围逐步扩大，业务对数据的需求日趋多样化，各类数据提取和分析项目接踵而至。而在数据使用的末端，数据由省公司或地市分公司技术人员提取、分析后，形成数据结果文件，但数据结果文件尚未有一个安全可靠的途径进行传递或下发，更没有相关的日志对数据的流转痕迹进行记录。为了进一步增强数据流转、下发等环节的安全性，需要建设一个数据安全交接系统以便于满足数据流转交接的需要。二、主要技术 为方便用户访问使用，系统采用B/S模式。考虑到上传的数据文件可能有多个且较大，同时需要一定的安全措施，故系统采用了SWFUpload文件上传插件和AES加密的措施。1、 SWFUpload文件上传插件传统的HTML上传框只提供一个按钮和一个文本框让用户选择单个文件，然后通过表单提交。整个文件必须等到它上传完毕后才能确认并检查文件大小，文件扩展名，而且上传的过程中，回传反馈很少。这就造成了一些使用上的不便利。而SWFUpload 使用Flash 影片（flash movie）来选择和上传文件，在浏览器中提供一个优于传统上传标签 的功能和良好的用户体验。影片里有一个可定制的按钮来激活文件选择对话框，文件选择对话框允许用户选择单一的文件或者多个文件。 选择的的文件类型也是可以被限制的，开发人员可以限定用户只能选择指定的适当的文件，例如*.jgp;*.gif。一旦选择并点击确定，每个文件都会被验证，并放入队列。当Flash上传文件的时候，由开发人员预定义的Javascript事件会被触发以便来更新页面中的UI显示，并且还能实时提供上传状态和错误信息。SWFUpload的主要特性包括：l 文件浏览对话框中可以选择多个文件l AJAX风格的上传，不用重刷新l 上传过程中的各种事件l 可以在客户端调节图片大小l 它使用的类命名空间兼容各种js库l 支持 Flash 9 and Flash 10 SWFUpload 的设计理念与其他基于flash的上传工具不同。SWFUpload 给开发者尽可能多的UI控制能力，开发者可以使用 XHTML、CSS、JavaScript 来使它更符合自己网站的样式风格。 它提供一组简单的js事件更新上传状态，开发者可以根据这些事件来在网页中显示文件上传进度。SWFUpload 文件的上传是独立于页面和表单的，每个文件单独的上传到处理页面，这就使服务器可以简单轻松地处理文件，flash提供的上传服务使得整个页面不必提交或者刷新，页面中的Form表单数据会和FLASH控制的文件上传单独处理。2、 AES加密加密技术是利用数学或物理手段，对电子信息在传输过程中或存储设备内的数据进行保护，以防止泄漏的技术。在信息安全技术中，加密技术占有重要的地位，在保密通信、数据安全、软件加密等均使用了加密技术。常用的加密算法有DES系列(包括DES和3DES)，RC系列(常用的有RC4和RC6)和AES等对称加密算法(加密密钥和解密密钥相同或相似)以及RSA等非对称加密算法。除此此外，还有用于获取信息摘要的MD5等。对于文档加密，其选择的依据一般根据系统的安全性要求进行确定，在满足安全性要求的前提下，尽可能选用速度快的加密算法，在条件容许的情况下，可以采用硬件的方式对数据进行加密(如直接利用安全芯片提供的加密算法进行加密等)。虽然加密算法是文件安全的核心，但加密算法以何种方式进行实现，是决定恩见安全的关键。在文档安全系统中，常用的实现方式有静态加密方式和动态加密方式，静态加密是指在加密期间，待加密的数据处于未使用状态(静态)，这些数据一旦加密，在使用前，需首先通过静态解密得到明文，然后才能使用。目前市场上许多加密软件产品就属于这种加密方式。与静态加密不同，动态加密(也称实时加密，透明加密等，其英文名为encrypt on-thefly)，是指数据在使用过程中(动态)自动对数据进行加密或解密操作，无需用户的干预。由于动态加密要实时加密数据，必须动态跟踪需要加密的数据流，而且其实现的层次一般位于系统内核中，因此，从实现的技术角度看，实现动态加密要比静态加密难的多，需要解决的技术难点也远远超过静态加密。考虑到系统的实现成本，本系统采用了静态加密方式。加密的最终目的，是使合法用户在访问系统时，这些加密文件是“透明的”，即好像没有加密一样，但对于没有访问权限的用户，即使通过其它非常规手段得到了这些文件，由于文件是加密的，因此也无法使用。三、系统设计思路及主要功能数据安全交接系统主要应用于邮政数据提取后，数据在内网的存放和交接传递过程，并对用户在系统中的操作进行记录形成日志并保存。出于安全考虑，系统在邮政金融网、综合网分别部署。系统模块主要包括登录检测、文件上传、文件下载、日志查看、系统管理等，各模块的详细介绍如下。1、 登录安全检测数据安全交接系统旨在保障数据文件在传递过程中的安全性，故在系统登录时做了多项安全检测，包括身份认证和设备检测。系统登录时需要操作员输入操作员号、身份证号、登录口令、短信验证码，并验证用户绑定的手机号，保证登录系统的用户的真实性；检测登录设备的IP地址，绑定操作员，保证登录设备的合法性。登录检测流程见下图：为保障数据文件的安全，在验证用户身份的同时，系统还对访问的设备和端口进行了限制。首先，设置允许访问的IP地址列表，限制访问设备的地址范围。第二，设置禁止访问的IP地址列表，拒绝某些有安全隐患的地址,也不允许用户绑定禁止访问地址表中的IP地址。例如不允许使用VPN的方式进行数据的传递，针对这种情况，将VPN映射地址纳入其中，拒绝用户使用该方式进行登录。第三，针对用户VPN连入内网，又通过远程桌面的方式连接系统的情况，系统设置了禁止端口检测，即检测访问系统的设备是否开启了某些危险的端口，如果其某些端口开放，则不允许访问。2、 数据文件发送需要进行数据传递的用户通过该模块将数据上传至服务器，并设置加密口令、数据有效期、数据的专业属性、数据接收人、数据允许下载次数等信息。上传数据文件成功后，系统会对加密口令加密，再作为秘钥对文件进行AES加密。系统为每个数据接收人生成不同的下载口令，与加密口令一同发送给接收人。1） 文件上传文件上传处，使用了前面提到的SWFUpload插件，该插件很好的解决了多个大文件上传的问题。经过测试，在局域网、单一用户的情况下，同时上传5个200M的文件，能够在2分钟之内完成。在文件格式的限制上，因系统主要用于解决数据文件的安全传递问题，所以设置为仅允许上传.txt、.csv、.rar文件，文件大小限定在500M以下。数据文件在上传时，已经设置了有效期，对于失效的数据，在3天之后将在服务器中进行文件的清理。数据文件在上传后，经过加密存放于服务器中，故如果通过非法的方式将文件获取到，其内容无法正常打开使用。2） 文件加密上传文件成功后，将用户设置的加密口令与系统预设的秘钥连接进行MD5计算，截取其中前十位做为秘钥，对文件进行AES加密。3） 发布详细信息查看数据文件发布人可以查看本项目的详细信息，包括数据的详细信息，数据文件下载的详细信息（下载人、下载时间、是否下载成功等）。3、 数据文件下载指定的数据接收人可以看到自己接收的数据项目，逐一下载其包含的数据文件。数据进行下载时，需要进行文件有效性验证、接收人身份及权限验证。对于已经超过数据有效期的文件，不允许再进行下载；对于已经下载过，且超过最大下载次数的文件，不再允许下载；对于数据接收人的专业属性发生了改变，且与数据专业属性不一致的，不允许下载；数据下载时，需要用户输入下载口令、解密口令，其中同一数据项目的不同的接收人的下载口令是不同的。4、 日志信息查看用户在系统中的操作，系统进行了详细的记录。自登录开始，系统详细记录了用户的操作员id、操作时间、操作项目、操作摘要、操作是否成功完成、操作失败的原因等，以备查看。在日志信息中，可以看到某操作员的操作过程，也可以清晰的看到某个文件的流转痕迹，有效的解决了系统建设之初的数据流转监控的问题。四、系统应用情况及展望出于安全考虑，系统在邮政金融网和邮政综合网分别部署，已于2015年6月进行了试运行，省公司各专业、市公司各专业局及区县局在系统中都建立了用户。配合山东邮政金融计算机数据使用安全管理办法（试行）、山东邮政信息网系统数据使用安全管理办法（试行），数据提取、分析的结果文件已经开始由系统进行交接流转。系统的应用规范了数据的交接流程，使每个数据文件的流转痕迹有据可查，每条数据的责任人清晰明确。山东邮政数据安全交接系统的设计开发是我们在数据安全方面迈出的坚实的一步，但系统在文件加密和最终文件生命周期的管控上还有待改进。下一步我们将研发更为全面的设计模型，动态加密文件，控制数据文件的整个生命周期，消除数据在使用过程中和在客户端存放时数据泄露的风险，为邮政数据的应用提供一个更为安全可靠的环境