數據信息安全管理系統的設計分析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數據信息安全管理系統的設計分析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:推進國產信創產業發展戰略和構建云安全存儲應用體系建設,是當前我國新基建下信息化產業發展戰略的重要內容,本文針對當前信創產業發展中有關軟件適配應用、建立信創環境下的軟件應用生態環境中的關鍵適配技術,結合用戶基于云端重要、敏感數據信息的安全動態加密分級存儲應用提出了解決思路。在保證系統性能的前提下,重點對軟件開發過程中的信創適配、用戶數據信息加密數據元定義、加密配置實現、分級加解密技術實現等過程進行了論述,為當前全國大力推進的國產信創替代和云端存儲環境下實現數據信息安全存儲應用提供了較好的參考價值。
關鍵詞:信創產業;加密技術;信息安全;云存儲
1引言
信息技術應用創新產業(以下簡稱“信創”)發展戰略,是基于我國信息化產業發展中自主可控和信息安全需求,在區塊鏈、云計算、物聯網等信息技術不斷發展帶來技術變革和安全形勢面臨更大威脅挑戰應對需求等形勢下提出的信息化發展方向指導意見,當前從國家層面建立了以推進芯片自主為基礎的信創產業發展戰略,但同時也面臨著基礎軟硬件信息平臺支撐動力和能力不足、應用場景不健全、應用生態環境未完全建立、用戶使用體驗感不佳、配套安全應用支撐體系不健全等因素。本文選擇互聯網管理業務工作中根據網絡信息數據安全存儲應用需求特點,在基于信創應用環境下滿足軟硬件國產化替代運行需求的同時,重點實現通過對稱及非對稱加解密技術在數據存儲應用中對結構化數據的加密數據元定義、加密源配置選擇、加/解密技術在數據存取過程中的實現等內容。同時在數據加密配置信息和數據元信息的存儲分離原則下,結合系統用戶身份認證識別需求,加入了訪問用戶唯一網絡地址、用戶終端設備的加密識別認證過程。在當前以基于云端應用為主流的網絡環境下,目前還沒有比較有效的安全防護手段來確保云端系統的數據信息安全,特別是針對具有較高級別的數據安全存儲應用需求下,本分通過用戶加密存儲訪問和用戶的身份識別認證,提供了一個良好的安全應用范例[1]。本系統的建設目標是建立互聯網新聞數據信息管理系統,主要完成當前國產化信創適配應用需求和數據信息異地加密安全存儲的前提下,提供用戶訪問控制和授權應用、搭建數據庫服務器和文件系統服務器,滿足數據文件的協同規范管理應用,業務上建立網絡評論員信息、網絡媒體信息、網絡輿情數據信息和各類輿情風險發現、分析研判處置知識的應用過程數據信息資源庫。
2平臺技術支持
2.1J2EE語言開發工具
作為一種當前主流面向對象的、基礎性的高級計算機編程語言,Java語言的思想和開發技術應用已根據不同應用行業需求、不同技術應用環境條件衍生出各類編程技術應用語言環境,如桌面應用程序、Web應用程序、分布式系統和嵌入式系統應用開發等[2],以滿足便捷、簡單、豐富多元的開發應用需求,但也帶來了技術架構耦合性高、降低語言跨平臺性能等特點,典型的如:JSP+Servlet+JavaBean,但Java編程技術和思想在當前乃至今后很長時間作為基礎性支撐語言的地位是穩固的。從程序面向對象結構設計角度來說,Java作為靜態面向對象編程語言的代表,不僅吸收了C++語言的優點,極好地實現了面向對象理論,同時也摒棄了C++里難以理解的多繼承、指針等概念,允許程序員以靈活的思維方式進行復雜的編程,使其具有功能強大和簡單易用兩個典型特征。從滿足當前信創應用需求角度,Java具有良好的跨平臺和語言可移植性能,是當前滿足基于國內主流芯片(如:飛騰)和國產信創操作系統(如麒麟、統信UOS)的適配需求、建立信創應用生態環境很好的技術開發語言之一。從安全應用需求來說,Java作為一種專門應對網絡安全而設計的專業性程序語言,它在網絡通信、程序的安全執行應用方面也提供了相對其他語言更好的機制[3],因此,在當前基于云端存儲應用的系統環境中,提供了較好的語言安全基礎,當然,從程序到系統的安全同樣離不開開發過程中語言的正確使用,如:屬性、對象的正確建立和引用訪問、內存分配、緩存處理、繼承和擴展機制、JVM的邊界計算控制等[4]。
2.2數據庫系統和文件系統
數據信息的存儲是實現高效安全訪問的重要因素,文件存儲和結構化數據庫數據存儲是數據信息的主要存儲形式。在本系統設計中,采用數據庫系統和文件系統協同應用方式進行數據信息存儲,數據庫系統主要存儲結構化系統數據,文件系統主要實現對文件、文檔和程序應用等信息的存儲,一方面兩個系統各自具備獨立的運行環境、安全訪問機制。另一方面兩個系統以無縫對接協同應用的方式提供用戶統一、完整的數據信息存儲服務,數據庫主要采用MySQL實現結構化數據存儲,MySQL是當前主流的關系型數據庫管理系統之一,所使用的SQL語言是訪問數據庫的最常用標準化語言,具有很好的系統靈活性能,在支持更大的關系型商業主流數據庫存儲以及遷移至不同國產數據庫都有很好的語言兼容性能。文件系統采用NAS(NetworkAttachedStorage)存儲方式實現系統訪問控制、文件加密、文件文檔自動分類歸檔等,是目前主流的文件級存儲應用系統,在云存儲和局域網絡應用環境中具備簡單易用的特點外,對基于Linux的信創應用環境同時具備很好的兼容性能。
2.3國產化芯片和操作系統支持
芯片國產化和建立與之相適應的國產操作系統的體系建設,是建立國產化應用軟件生態環境的基礎,當前芯片的發展應用盡管取得了一定進展但還不夠成熟,對上層軟件操作系統的支撐作用還存在技術實現能力較弱、應用范圍相對較窄、使用成熟度還不高等現狀。基于操作系統來說,目前國產操作系統普遍以Linux為構架基礎的二次開發操作系統,在系統安裝、界面展示、用戶交互、中文支持、安全防護、系統上層應用接口等方面尚未發展成熟且未建立相對統一規范的用戶使用標準,為軟件國產化適配過程如軟件的集成開發環境建立、軟件開發、安裝、應用等形成了較大的難度,例如某軟件在統信UOS操作系統適配完成的程序無法直接面對客戶在中標麒麟操作系統中使用。同時相對于程序員及時開發而言,在不同的國產操作系統適配過程中需要重復學習不同操作系統的使用規范、獲得不同操作系統的技術支持都存在較大的難度。在本系統設計實現中,基于用戶終端設備和運行環境考慮,主要獲得飛騰芯片和麒麟、統信操作系統下集成開發應用環境的建立和代碼移植、開發、調試過程的技術支持。
3關鍵技術實現
3.1國產化適配技術實現
基于國產芯片和國產操作系統的特點,充分利用國產操作系統同源異構特性,優先實現同一邏輯代碼或模塊代碼運行在不同CPU架構硬件上,避免了針對不同軟硬件環境進行區別處理,為后續系統的功能升級、漏洞修復、統一管理等方面提供了極大的便利。其次,建立基于Linux環境下的統一開發、調試模式,以提供適用于所有國產操作系統下可運行的通用軟件代碼版本。最后完成代碼從Linux到不同國產化信創環境的編譯和運行過程。該過程只需根據不同信創操作系統的軟件部署、應用和更新模式完成對代碼的編譯、打包等工作即可。通過以上方式,一方面軟件以最短時間完成對幾乎所有國產操作系統的代碼運行適配過程,另一方面,軟件開發人員只需要根據不同的目標適配操作系統的要求對軟件源碼做最后的編譯和打包處理即可適配至目標環境上,而無需了解所有適配目標系統的體系結構、內核api、集成開發環境支持等過程。地址字符串構建代碼從Window下代碼到基于Linux的通用適配如圖1所示。通用適配代碼jar包導出后更新到國產信創統信UOS操作系統的操作示例如圖2所示。
3.2數據信息動態加解密存取實現
數據信息加密存儲模塊是整個系統的安全應用核心部分。基于三層C/S系統架構,系統從訪問用戶身份認證、業務邏輯層接口調用、數據加密配置管理、數據加密存儲等過程實現了數字簽名認證和數據加密存儲過程。目標是在加密配置信息和原始元數據信息存儲分離的原則下,在不安全的網絡環境中提供了一種數據信息安全的存儲和訪問機制,盡管用戶原始系統遭到非法訪問和竊取,也很難在原始數據信息庫中提取到有價值和意義的數據信息,同時依據數據元安全級別定義需求,提供了可供用戶自由選擇的對稱和非對稱數據加密模式。在本系統中,設計實現了加密配置數據庫、用戶加密數據信息存儲數據庫和文件系統數據庫,其中加密配置庫用于存儲用戶表單的加密數據元信息、加密方式、密鑰信息等,該部分數據信息存取和對數據信息執行加密、解密過程在系統安全業務邏輯處理模塊中實現。用戶加密數據庫存儲用戶執行加密后的主要核心業務數據,該庫存取執行通過系統業務邏輯模塊訪問;文件系統數據庫通過與用戶業務數據庫進行安全可信網絡虛擬連接,并對訪問內容如文件名等信息進行加密處理傳輸。用戶獲得系統身份識別認證后,通過數字簽名方式提交用戶業務數據操作請求,當用戶提交數據更新請求(新增)時,系統通過簽名認證方式訪問加密配置庫,獲取需要加密的數據元字段信息、對稱或非對稱加密方式、密鑰信息等配置內容,并執行數據加密處理,加密完成后提交存儲至用戶加密數據庫。當用戶提交數據檢索(查詢)請求時,系統先查詢用戶業務數據庫信息,并通過數據檢索返回結果、日期訪問加密配置庫,根據對應加密配置信息執行數據解密過程,解密結果數據返回用戶。文件系統作為數據信息子系統,數據庫信息與文件系統建立可靠的虛擬連接訪問模式,數據庫保留了文件系統相關文件的基本信息,用戶通過訪問業務數據庫來訪問文件系統。數據動態加密存儲實現流程如圖3所示。在本系統實現中,重點關注的是系統的資源消耗和性能影響,安全存儲和認證機制必然會以消耗系統資源為代價,特別是對大數據量執行的非對稱加密和解密過程,是系統資源消耗的主要因素,經系統測試發現,系統資源消耗和響應時間主要與采用加密和解密方式、執行操作類型、操作數據量幾個因素有關,主要影響性能關系如表1所示。從表可以看出,在不高于100個元數據內進行更新、檢索時,采用對稱和非對稱加密方式對系統性能影響較小,超過1000個至10000個元數據信息時,采用對稱加密算法的效率比非對稱高,通過非對稱加密算法中加密數據更新比解密數據檢索效率高,隨著數據量操作越大,系統性能下降和資源消耗越高,因此在本系統設計中,主要考慮大量數據導出時的系統性能和資源消耗問題,解決此問題,可以通過優化數據存儲方式、提升系統中間邏輯處理層計算能力以及優化改進加密機制[5]等方式提升性能。另外系統在執行加密配置庫檢索相對于直接操作業務數據庫也增加了一定的時間代價,但不是系統性能影響的主要因素。
3.3用戶加密配置管理服務器、數據庫服務器和文件服務器的同步應用技術
一方面加密配置管理服務器、用戶數據庫服務器和文件服務器作為各自獨立的網絡存儲服務系統,具備獨立運行條件、獨立用戶準入控制規則和安全保護機制。另一方面三個服務器相互配合、協同運行,文件系統作為業務數據信息系統管理的附加文件管理系統,文件文檔信息如:文件類型、標題、大小、文件檔案加密路徑等在業務數據庫系統中存儲,用戶通過訪問數據庫中記錄的文件信息調用文件服務器相關文檔文件,加密配置管理系統存儲用戶業務數據庫系統中關于文件名稱、路徑等信息的加密內容。三個系統關聯執行操作主要通過軟件系統邏輯應用層進行統一管理,共同形成整個系統完整數據信息應用安全訪問機制,每個服務器服務都是系統不可或缺的一部分,盡管某一系統服務被攻擊、數據被竊取,但離開其他系統服務和邏輯控制軟件的操作規則,攻擊者仍然無法獲取到有價值的內容。同時針對文件系統,提供了文件及目錄的自動管理功能,用戶執行文件訪問時,系統根據字典信息對文件服務系統自動執行目錄建立、文件分類、編排、加密、歸檔、目錄銷毀等工作。
4平臺功能
本系統主要基于國產信創應用和云端數據存儲應用的環境下,針對用戶重要、敏感數據和文件信息提供了用戶可以配置的數據加密存儲應用訪問系統,具體過程針對用戶數據元的安全標記、定義、加解密方式選擇、密鑰信息存儲配置、文件系統目錄及文件的編排、加密歸檔以及訪問用戶的身份識別認證等提出了定義和解決實現方法,以此實現數據信息的安全存儲訪問。系統預實現的主要功能有訪問用戶及訪問網絡設備權限配置和訪問識別認證、用戶加密配置管理、用戶信息字典定義、用戶訪問終端控制管理、網絡評論員信息管理、網絡媒體信息管理、文稿信息管理、網絡輿情信息管理和風險傳播識別等功能。下面就數據信息安全存儲管理應用具體實現模塊進行展示:
4.1平臺安全登錄
用戶單擊“網信信息管理系統”軟件,即進入登錄頁面,輸入賬號、密碼和驗證碼信息即可登錄,登錄成功的前提是用戶個人信息、用戶訪問IP地址、用戶設備MAC地址等校驗成功。
4.2系統主要模塊
該系統主要基于國產信創環境提供了對互聯網新聞數據信息進行安全存儲應用的機制和范例,系統在完成前期國產信創環境下適配開發和基于安全應用的平臺架構的基礎上,實現如何配置系統安全訪問權限、如何配置用戶加密管理和數據、文件存儲應用管理等過程,以及實現用戶重要、敏感數據信息的安全業務邏輯處理實現。用戶安全定義模塊:主要包含用戶管理、用戶數據管理、用戶訪問終端控制管理、用戶權限管理等功能,該模塊在一般軟件信息系統的基本用戶定義、系統功能權限和數據權限的基礎上,進一步定義了系統訪問的用戶網絡信息(用戶網絡識別的IP地址)、用戶訪問的硬件設備信息以及用戶所具備的其他必要認證信息等,該過程在前期用戶認證完成后,每次用戶訪問由系統自動進行識別,獲得安全可靠合法的系統訪問用戶。用戶加密配置管理模塊:該模塊包含用戶加密配置管理、用戶密鑰信息管理、系統數據字典管理等功能,主要完成系統數據加密方式定義、用戶密鑰信息管理、系統數據表單及加密元數據信息定義、加密日志信息記錄等過程,定義完成后,用戶在具體業務數據、文檔信息存儲訪問過程中由業務邏輯處理模塊自動完成實現。用戶數據文件應用模塊:該模塊主要包含用戶基本文件和數據信息訪問配置、用戶文檔數據信息應用管理和其他業務邏輯過程的應用實現,主要包含網絡評論員管理、網絡重點賬號、屬地媒體信息、用戶文稿信息及輿情信息管理等功能,系統自動解析獲取文稿信息管理
5結束語
目前,國家大力推進國產信創產業發展,特別是黨政機關、重點企事業單位的信創應用建立,從而實現自主、安全和可控的可替代方案。建立和完善軟硬件生態應用環境是從技術實現到應用的關鍵路徑,也是當前信創產業發展特別是軟件技術適配過程面臨的重要關口。同時針對用戶重要、敏感數據信息在互聯網下的安全存儲應用也是目前網絡安全工作面臨的重要挑戰內容,在此背景下,本文系統的研究和開發顯得尤為重要,不僅基于系統業務用戶,在當前全國推進的信創替代應用和用戶在云端存儲環境下實現數據安全存儲應用具有很好的通用性。在后續工作中,仍然有需要處理的問題,如系統三層接口訪問的標準化定義和大數據、多用戶對邏輯加密應用模塊的高并發處理問題、以及在非對稱加密算法應用中大數據解密輸出的問題等,仍需要系統后續工作中進一步分析、研究和完善。
參考文獻:
[1]胡江月.云數據中心環境下云端安全威脅分析及防范機制研究[J].中國科技人才,2020.
[2]明日科技.Java從入門到精通(第3版)[M].清華大學出版社,2019.
[3]孫杰.利用Java編程實現網絡安全通信[J].信息系統工程,2016.
[4]廉潔,趙群榮,烏蘭.Java網絡安全研究[J].內蒙古民族大學學報(自然科學版),2008.
[5]李勇.提高RSA加密算法效率的方法研究[J].濰坊學院學報,2008.
[6](美)施瓦茲,侯普秀,宋美娜.Linux應用程序開發[M].清華大學出版社,2006.
[7]零聲教育.2021年Linux服務器開發的知識技術合集(基礎入門到高級進階)
作者:和占全 李曉明 馮汝結 靳清平 單位:大理州網絡應急指揮和違法不良信息舉報中心 大理大學
