2010年,天津市委組織部立項(xiàng)研發(fā)“干部選拔任用工作記實(shí)監(jiān)督系統(tǒng)”,依托大組工網(wǎng),對(duì)干部選拔任用工作實(shí)時(shí)記實(shí)、實(shí)時(shí)監(jiān)督,及時(shí)獲取和掌握干部選拔任用各個(gè)環(huán)節(jié)的信息,并借助系統(tǒng)的自檢和報(bào)警功能,及時(shí)察覺干部選拔任用中的違規(guī)行為,予以查處,從而建立一個(gè)“事前預(yù)警防范、事中規(guī)范糾偏、事后追究問責(zé)”的預(yù)警體系。本系統(tǒng)應(yīng)用于國家黨政機(jī)關(guān)的組織人事部門中,系統(tǒng)數(shù)據(jù)屬于涉密信息,系統(tǒng)安全性要求高。因此,項(xiàng)目在實(shí)施過程中,采用了一系列的信息安全技術(shù)和措施,從而保證了系統(tǒng)的安全性和保密性。
1 系統(tǒng)信息安全問題點(diǎn)的預(yù)測、分析和歸類
1.1 網(wǎng)絡(luò)安全方面問題
國家黨政機(jī)關(guān)的辦公環(huán)境中,工作人員通常使用電子政務(wù)網(wǎng)。該網(wǎng)絡(luò)的規(guī)劃與建設(shè)是按照電子政務(wù)內(nèi)網(wǎng)和外網(wǎng)這種雙網(wǎng)模式來進(jìn)行的,雙網(wǎng)通過特定的技術(shù)手段進(jìn)行隔離。內(nèi)網(wǎng)作為開通政府系統(tǒng)的一些日常業(yè)務(wù)的內(nèi)部信息和公文傳輸平臺(tái),外網(wǎng)主要向公眾發(fā)布一些公共服務(wù)信息和政府互動(dòng)平臺(tái),采用路由匯聚加防火墻過濾的方式接入。雙網(wǎng)模式雖然帶來了便利與高效,但是也存在網(wǎng)絡(luò)安全隱患。黑客的網(wǎng)絡(luò)攻擊和移動(dòng)存儲(chǔ)介質(zhì)的交叉使用,都會(huì)對(duì)保密信息和敏感數(shù)據(jù)產(chǎn)生一定的威脅。
1.2 系統(tǒng)用戶的登錄授權(quán)問題
本系統(tǒng)所涉及的業(yè)務(wù)內(nèi)容是組織人事部門的專項(xiàng)工作,只有被授權(quán)的專職工作人員才能被允許接觸系統(tǒng)中的保密信息。如果非系統(tǒng)用戶通過技術(shù)手段破解和獲取系統(tǒng)的登錄賬號(hào)和口令,從而獲得系統(tǒng)訪問權(quán)限,就可能會(huì)造成數(shù)據(jù)信息的泄露和損壞。
1.3 數(shù)據(jù)本身的保密性問題
如果網(wǎng)絡(luò)黑客或者網(wǎng)絡(luò)管理者通過技術(shù)手段直接竊取了數(shù)據(jù)文件,那么數(shù)據(jù)庫中存儲(chǔ)的信息內(nèi)容將很容易被查詢和讀取出來,從而可能造成泄密的后果。
2 針對(duì)性的數(shù)據(jù)安全技術(shù)和措施
2.1 網(wǎng)絡(luò)運(yùn)行環(huán)境采用大組工網(wǎng)
大組工網(wǎng)是密級(jí)更高的組織工作專網(wǎng),依托于國家電子政務(wù)網(wǎng)絡(luò),以中組部為中心節(jié)點(diǎn),將省、市、縣黨委組織部,以及中央和國家機(jī)關(guān)部委、部分國有企業(yè)和高校的組織人事部門貫穿連接起來。該網(wǎng)絡(luò)實(shí)現(xiàn)了與外網(wǎng)的絕對(duì)物理隔離,從而隔絕了外部的網(wǎng)絡(luò)攻擊。此外,接入大組工網(wǎng)的終端設(shè)備必須是涉密設(shè)備。通過將代理程序與控制器安裝部署在涉密終端上,對(duì)受控終端上的USB移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行授權(quán)認(rèn)證管理與審計(jì),封堵可能的信息外泄渠道;對(duì)涉密終端USB移動(dòng)存儲(chǔ)設(shè)備的信息傳輸實(shí)現(xiàn)物理層的單向控制,有效防止涉密信息通過“擺渡木馬”等間諜軟件反向流入U(xiǎn)SB移動(dòng)存儲(chǔ)設(shè)備。
2.2 使用硬件加密鎖來提升保護(hù)強(qiáng)度
通過讀取和比對(duì)硬件加密鎖中的信息來對(duì)客戶端進(jìn)行身份驗(yàn)證,增加系統(tǒng)登錄安全性。系統(tǒng)使用的USB Key帶有內(nèi)置的智能卡芯片,支持Key內(nèi)部硬件的DES/3DES、RSA加解密運(yùn)算,以及RSA密鑰對(duì)的生成,防止密鑰信息在內(nèi)存中泄露;USBKey本身具有密鑰存儲(chǔ)功能,并且硬件結(jié)構(gòu)復(fù)雜,這就決定了用戶只能通過廠商提供的編程接口訪問數(shù)據(jù),從而保證了存儲(chǔ)在USBKey中的數(shù)字證書無法被復(fù)制。由于硬件加密鎖具有不可復(fù)制性,從而保證了系統(tǒng)安全性。訪問系統(tǒng)時(shí),程序通過調(diào)用接口模塊對(duì)加密鎖進(jìn)行操作,加密鎖響應(yīng)該操作并通過接口模塊將相應(yīng)數(shù)據(jù)返回給程序,程序可以對(duì)返回值進(jìn)行判定并采取相應(yīng)的動(dòng)作。如果返回?zé)o效的響應(yīng),表明沒有正確的鎖,系統(tǒng)將無法訪問或登錄。
2.3 在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密
本系統(tǒng)采用B/S結(jié)構(gòu),需要在Web頁面上傳輸重要和敏感的數(shù)據(jù),采用了HTTP和SSL相結(jié)合的方式,服務(wù)端采用支持SSL的Web服務(wù)器,客戶端采用支持SSL的瀏覽器,以實(shí)現(xiàn)安全通信。SSL采用公開密鑰技術(shù),其目標(biāo)是保證兩個(gè)應(yīng)用間通信的保密性和可靠性,從而建立一條客戶機(jī)和服務(wù)器之間的加密安全通道。SSL安全加密機(jī)制主要的實(shí)現(xiàn)載體是數(shù)字證書。當(dāng)SSL安全加密機(jī)制被采用后,客戶機(jī)首先要建立與服務(wù)器的通信連接,服務(wù)器會(huì)向客戶機(jī)發(fā)送數(shù)字證書和公開密鑰,與客戶機(jī)交換密碼,RSA密碼算法是一般常用的算法,當(dāng)身份驗(yàn)證確認(rèn)以后,客戶端的會(huì)話密鑰將會(huì)被這個(gè)公開密鑰進(jìn)行加密,然后傳送到服務(wù)器,當(dāng)這個(gè)會(huì)話密鑰被服務(wù)器接收到后,再進(jìn)行解密,這時(shí)用戶就和服務(wù)器建立了一條加密通信通道。利用此數(shù)據(jù)加密技術(shù),可確保數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過程中不會(huì)被截取及竊聽。
2.4 數(shù)據(jù)信息的加密存儲(chǔ)
將數(shù)據(jù)庫表中的敏感字段信息進(jìn)行加密,防止黑客直接竊取到數(shù)據(jù)文件或突破訪問控制進(jìn)入數(shù)據(jù)庫而獲得到有效信息。本系統(tǒng)采用的方式為軟件中加密,即數(shù)據(jù)先由應(yīng)用程序?qū)ζ溥M(jìn)行加密,再存入數(shù)據(jù)庫中。客戶端提交上來表單數(shù)據(jù),服務(wù)器端程序獲得了數(shù)據(jù)的明文信息,其中包括一些需要保密的敏感信息。首先程序通過特定的加密算法和函數(shù)將這些信息轉(zhuǎn)換為密文,原有信息已變成不可識(shí)別的信息或亂碼,然后再將加密后的數(shù)據(jù)保存到數(shù)據(jù)庫中,這時(shí)即便別人直接進(jìn)入數(shù)據(jù)庫表中查看內(nèi)容,也無法獲得那些敏感字段的真實(shí)信息了。用戶想要從數(shù)據(jù)庫中獲得真實(shí)的數(shù)據(jù)信息,則需要一個(gè)解密的過程。從數(shù)據(jù)庫中查詢出的加密信息返回到程序中,程序通過一套與加密方法相對(duì)應(yīng)的解密方法將這些數(shù)據(jù)信息轉(zhuǎn)換為原來的明文信息,然后傳輸?shù)接脩艨蛻舳孙@示模塊。加密算法采用DES對(duì)稱密鑰算法,加密和解密時(shí)使用同一個(gè)密鑰,數(shù)據(jù)加密速度較快,安全性較高。
3 結(jié)束語
通過上述一系列技術(shù)措施,系統(tǒng)在涉密信息數(shù)據(jù)安全方面得到了有力的保障,大大降低了信息泄露和損壞的風(fēng)險(xiǎn),提高了用戶的信任度和滿意度。此外,這些實(shí)踐和應(yīng)用也為公司其他涉密信息系統(tǒng)項(xiàng)目的研發(fā)和信息安全技術(shù)方案的制定提供了重要的參考依據(jù),奠定了堅(jiān)實(shí)的基礎(chǔ)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.sdyuan.com/
本文標(biāo)題:數(shù)據(jù)安全技術(shù)在涉密信息系統(tǒng)中的實(shí)踐與應(yīng)用
相關(guān)文章
