2010年,天津市委組織部立項研發“干部選拔任用工作記實監督系統”,依托大組工網,對干部選拔任用工作實時記實、實時監督,及時獲取和掌握干部選拔任用各個環節的信息,并借助系統的自檢和報警功能,及時察覺干部選拔任用中的違規行為,予以查處,從而建立一個“事前預警防范、事中規范糾偏、事后追究問責”的預警體系。本系統應用于國家黨政機關的組織人事部門中,系統數據屬于涉密信息,系統安全性要求高。因此,項目在實施過程中,采用了一系列的信息安全技術和措施,從而保證了系統的安全性和保密性。
1 系統信息安全問題點的預測、分析和歸類
1.1 網絡安全方面問題
國家黨政機關的辦公環境中,工作人員通常使用電子政務網。該網絡的規劃與建設是按照電子政務內網和外網這種雙網模式來進行的,雙網通過特定的技術手段進行隔離。內網作為開通政府系統的一些日常業務的內部信息和公文傳輸平臺,外網主要向公眾發布一些公共服務信息和政府互動平臺,采用路由匯聚加防火墻過濾的方式接入。雙網模式雖然帶來了便利與高效,但是也存在網絡安全隱患。黑客的網絡攻擊和移動存儲介質的交叉使用,都會對保密信息和敏感數據產生一定的威脅。
1.2 系統用戶的登錄授權問題
本系統所涉及的業務內容是組織人事部門的專項工作,只有被授權的專職工作人員才能被允許接觸系統中的保密信息。如果非系統用戶通過技術手段破解和獲取系統的登錄賬號和口令,從而獲得系統訪問權限,就可能會造成數據信息的泄露和損壞。
1.3 數據本身的保密性問題
如果網絡黑客或者網絡管理者通過技術手段直接竊取了數據文件,那么數據庫中存儲的信息內容將很容易被查詢和讀取出來,從而可能造成泄密的后果。
2 針對性的數據安全技術和措施
2.1 網絡運行環境采用大組工網
大組工網是密級更高的組織工作專網,依托于國家電子政務網絡,以中組部為中心節點,將省、市、縣黨委組織部,以及中央和國家機關部委、部分國有企業和高校的組織人事部門貫穿連接起來。該網絡實現了與外網的絕對物理隔離,從而隔絕了外部的網絡攻擊。此外,接入大組工網的終端設備必須是涉密設備。通過將代理程序與控制器安裝部署在涉密終端上,對受控終端上的USB移動存儲介質進行授權認證管理與審計,封堵可能的信息外泄渠道;對涉密終端USB移動存儲設備的信息傳輸實現物理層的單向控制,有效防止涉密信息通過“擺渡木馬”等間諜軟件反向流入USB移動存儲設備。
2.2 使用硬件加密鎖來提升保護強度
通過讀取和比對硬件加密鎖中的信息來對客戶端進行身份驗證,增加系統登錄安全性。系統使用的USB Key帶有內置的智能卡芯片,支持Key內部硬件的DES/3DES、RSA加解密運算,以及RSA密鑰對的生成,防止密鑰信息在內存中泄露;USBKey本身具有密鑰存儲功能,并且硬件結構復雜,這就決定了用戶只能通過廠商提供的編程接口訪問數據,從而保證了存儲在USBKey中的數字證書無法被復制。由于硬件加密鎖具有不可復制性,從而保證了系統安全性。訪問系統時,程序通過調用接口模塊對加密鎖進行操作,加密鎖響應該操作并通過接口模塊將相應數據返回給程序,程序可以對返回值進行判定并采取相應的動作。如果返回無效的響應,表明沒有正確的鎖,系統將無法訪問或登錄。
2.3 在傳輸層對網絡連接進行加密
本系統采用B/S結構,需要在Web頁面上傳輸重要和敏感的數據,采用了HTTP和SSL相結合的方式,服務端采用支持SSL的Web服務器,客戶端采用支持SSL的瀏覽器,以實現安全通信。SSL采用公開密鑰技術,其目標是保證兩個應用間通信的保密性和可靠性,從而建立一條客戶機和服務器之間的加密安全通道。SSL安全加密機制主要的實現載體是數字證書。當SSL安全加密機制被采用后,客戶機首先要建立與服務器的通信連接,服務器會向客戶機發送數字證書和公開密鑰,與客戶機交換密碼,RSA密碼算法是一般常用的算法,當身份驗證確認以后,客戶端的會話密鑰將會被這個公開密鑰進行加密,然后傳送到服務器,當這個會話密鑰被服務器接收到后,再進行解密,這時用戶就和服務器建立了一條加密通信通道。利用此數據加密技術,可確保數據在網絡上的傳輸過程中不會被截取及竊聽。
2.4 數據信息的加密存儲
將數據庫表中的敏感字段信息進行加密,防止黑客直接竊取到數據文件或突破訪問控制進入數據庫而獲得到有效信息。本系統采用的方式為軟件中加密,即數據先由應用程序對其進行加密,再存入數據庫中。客戶端提交上來表單數據,服務器端程序獲得了數據的明文信息,其中包括一些需要保密的敏感信息。首先程序通過特定的加密算法和函數將這些信息轉換為密文,原有信息已變成不可識別的信息或亂碼,然后再將加密后的數據保存到數據庫中,這時即便別人直接進入數據庫表中查看內容,也無法獲得那些敏感字段的真實信息了。用戶想要從數據庫中獲得真實的數據信息,則需要一個解密的過程。從數據庫中查詢出的加密信息返回到程序中,程序通過一套與加密方法相對應的解密方法將這些數據信息轉換為原來的明文信息,然后傳輸到用戶客戶端顯示模塊。加密算法采用DES對稱密鑰算法,加密和解密時使用同一個密鑰,數據加密速度較快,安全性較高。
3 結束語
通過上述一系列技術措施,系統在涉密信息數據安全方面得到了有力的保障,大大降低了信息泄露和損壞的風險,提高了用戶的信任度和滿意度。此外,這些實踐和應用也為公司其他涉密信息系統項目的研發和信息安全技術方案的制定提供了重要的參考依據,奠定了堅實的基礎。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.vmgcyvh.cn/
本文標題:數據安全技術在涉密信息系統中的實踐與應用
相關文章
