周宇+劉軍+孫月新

【摘 要】

為了解決目前數(shù)據(jù)安全管控存在的問題，結(jié)合某電信運(yùn)營(yíng)商的實(shí)際情況，提出基于云計(jì)算技術(shù)的數(shù)據(jù)安全管控平臺(tái)實(shí)現(xiàn)方案，并介紹了平臺(tái)實(shí)施的復(fù)雜性及解決方案。用戶首先訪問數(shù)據(jù)安全管控平臺(tái)，再單點(diǎn)登錄到OA、經(jīng)營(yíng)分析等業(yè)務(wù)系統(tǒng)，通過閉環(huán)審批、數(shù)字加密和PDF水印等技術(shù)，提供跟蹤、追溯、查詢、審計(jì)的手段，能有效切斷敏感數(shù)據(jù)通過IT系統(tǒng)外泄的渠道。

【關(guān)鍵詞】

數(shù)據(jù)安全管控 云計(jì)算 應(yīng)用虛擬化 權(quán)限管理 共享存儲(chǔ)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-1010（2014）-01-0065-05

1 引言

云計(jì)算起源于互聯(lián)網(wǎng)，2007年由Google首先提出，此后得到迅速發(fā)展。它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算、存儲(chǔ)和信息服務(wù)等。在云計(jì)算中，IT業(yè)務(wù)通常運(yùn)行在遠(yuǎn)程的分布式系統(tǒng)上，通過開放的技術(shù)和標(biāo)準(zhǔn)把硬件和軟件虛擬為動(dòng)態(tài)可擴(kuò)展、可配制的資源，并以對(duì)外服務(wù)的形式提供給用戶。用戶通過互聯(lián)網(wǎng)訪問這些服務(wù)，獲取所需的資源。云計(jì)算具有如下主要特點(diǎn)：

◆超大規(guī)模：后臺(tái)由大規(guī)模的計(jì)算機(jī)集群系統(tǒng)組成，能賦予用戶前所未有的計(jì)算能力；

◆虛擬化：后臺(tái)計(jì)算機(jī)集群采用虛擬技術(shù)，用戶隨時(shí)隨地使用任何聯(lián)網(wǎng)終端都可以享受到服務(wù)，而無(wú)需知道其來(lái)自哪一個(gè)實(shí)體；

◆高可靠性：采用數(shù)據(jù)冗余，計(jì)算節(jié)點(diǎn)同構(gòu)等手段保證服務(wù)的高可靠性；

◆高可擴(kuò)展性：計(jì)算能力與服務(wù)可以隨用戶的需要而隨意增減；

◆按需服務(wù)：云是一個(gè)龐大的資源池，可以像水、電一樣按需購(gòu)買；

◆價(jià)格低廉：企業(yè)、客戶獲得信息服務(wù)的成本大大減少。

隨著電信市場(chǎng)競(jìng)爭(zhēng)的日益激烈，客戶資料、生產(chǎn)分析數(shù)據(jù)、公司內(nèi)部文件等各類信息已成為全業(yè)務(wù)運(yùn)營(yíng)商的核心資產(chǎn)。近年來(lái)各運(yùn)營(yíng)商敏感數(shù)據(jù)泄露事件頻頻發(fā)生，不僅對(duì)運(yùn)營(yíng)商自身的核心機(jī)密、同行業(yè)競(jìng)爭(zhēng)力和市場(chǎng)聲譽(yù)造成了嚴(yán)重影響，同時(shí)也對(duì)運(yùn)營(yíng)商客戶的隱私和個(gè)人信息安全構(gòu)成不同程度的危害。通過分析各類信息安全事件的原因，發(fā)現(xiàn)網(wǎng)絡(luò)與信息系統(tǒng)已成為信息安全事件和泄密事件的主要途徑，國(guó)家對(duì)網(wǎng)絡(luò)與信息安全工作高度重視，曾多次發(fā)文提出嚴(yán)格要求，相關(guān)部委也加大了檢查頻度與處罰力度。因此運(yùn)營(yíng)商急需加強(qiáng)對(duì)IT信息安全的建設(shè)，以防護(hù)敏感數(shù)據(jù)的泄露。

為了解決目前數(shù)據(jù)安全管控存在的問題，本文結(jié)合某電信運(yùn)營(yíng)商的實(shí)際案例，提出基于云計(jì)算技術(shù)的數(shù)據(jù)安全管控實(shí)現(xiàn)方案。

2 現(xiàn)狀分析

由于前期安全建設(shè)相對(duì)滯后于系統(tǒng)建設(shè)，某電信運(yùn)營(yíng)商在數(shù)據(jù)安全管控方面尚未形成較完備的IT安全保障體系，無(wú)法有效防范企業(yè)重要數(shù)據(jù)信息泄露，急需進(jìn)行IT信息安全方面的建設(shè)。對(duì)照集團(tuán)安全標(biāo)準(zhǔn)，某電信運(yùn)營(yíng)商在數(shù)據(jù)安全管控方面存在以下問題：

（1）缺乏統(tǒng)一有效的專有加密手段：由于各類應(yīng)用系統(tǒng)的存儲(chǔ)和傳輸都是明文方式，因此在傳輸過程中很容易發(fā)生信息泄露或被截獲，即使部分應(yīng)用采用加密技術(shù)，如后臺(tái)數(shù)據(jù)運(yùn)用MD5（消息摘要算法第五版），但是無(wú)法形成統(tǒng)一的標(biāo)準(zhǔn)，為信息的開放和融合帶來(lái)障礙；

（2）無(wú)法控制敏感數(shù)據(jù)不泄露：企業(yè)經(jīng)營(yíng)分析的敏感數(shù)據(jù)可能從客服系統(tǒng)、Web發(fā)布、OLAP（聯(lián)機(jī)分析處理）、即席查詢、開發(fā)測(cè)試、運(yùn)維等多個(gè)環(huán)節(jié)泄露，OA系統(tǒng)的保密公文也可能泄露，目前缺乏控制手段；

（3）缺乏跟蹤追溯查詢的手段：在沒有特殊技術(shù)手段的情況下，很難通過日志審計(jì)發(fā)現(xiàn)異?；蜻`規(guī)行為，發(fā)生數(shù)據(jù)泄露后，無(wú)法對(duì)泄露環(huán)節(jié)和責(zé)任人進(jìn)行定位。

3 平臺(tái)業(yè)務(wù)功能

3.1 設(shè)計(jì)目標(biāo)

基于云計(jì)算技術(shù)建設(shè)數(shù)據(jù)安全管控平臺(tái)，通過閉環(huán)審批、數(shù)字加密和PDF水印等技術(shù)，有效防范核心數(shù)據(jù)的泄露，保證核心數(shù)據(jù)只能看、不能下，能互傳，需要下、領(lǐng)導(dǎo)批、加水印。

3.2 應(yīng)用虛擬化

基于應(yīng)用云技術(shù)將用戶需要使用的應(yīng)用軟件或工具（包括B/S和C/S架構(gòu)的應(yīng)用）集中部署在應(yīng)用服務(wù)器上，通過網(wǎng)關(guān)節(jié)點(diǎn)向不同用戶或用戶群發(fā)布其所需的應(yīng)用，用戶在客戶端通過數(shù)據(jù)安全管控平臺(tái)提供的遠(yuǎn)程IE瀏覽器訪問其所需要的應(yīng)用，且不影響用戶的正常使用。此外，系統(tǒng)還支持節(jié)點(diǎn)服務(wù)器按業(yè)務(wù)負(fù)載實(shí)現(xiàn)應(yīng)用的動(dòng)態(tài)伸縮、按需分配，從而降低能耗，達(dá)到節(jié)能減排的效果。用戶登錄訪問過程如圖1所示：

圖1 用戶訪問登錄過程

3.3 用戶集中管理

系統(tǒng)基于“主從賬號(hào)”機(jī)制實(shí)現(xiàn)用戶的集中管理和單點(diǎn)登錄功能。主賬號(hào)是用戶登錄數(shù)據(jù)安全管控平臺(tái)的賬號(hào)。系統(tǒng)的各項(xiàng)安全策略設(shè)置、用戶的操作審計(jì)記錄等均基于該賬號(hào)實(shí)現(xiàn)，該賬戶需進(jìn)行身份的實(shí)名認(rèn)證；從賬號(hào)是用戶登錄各業(yè)務(wù)系統(tǒng)的原始賬號(hào)，每個(gè)從賬號(hào)需根據(jù)各用戶的實(shí)名身份與主賬號(hào)進(jìn)行自動(dòng)關(guān)聯(lián)。

系統(tǒng)提供用戶主賬號(hào)的生命周期管理功能，并支持對(duì)用戶的屬性（臨時(shí)用戶、周期性用戶、永久用戶）進(jìn)行靈活設(shè)置。

3.4 權(quán)限管理

（1）角色管理

系統(tǒng)基于對(duì)角色的授權(quán)管理實(shí)現(xiàn)用戶權(quán)限管理，并提供角色分配規(guī)則和操作檢查規(guī)則。管理員可根據(jù)需要定義各種角色，并設(shè)置適當(dāng)?shù)脑L問權(quán)限和命令執(zhí)行權(quán)限，用戶再根據(jù)其職責(zé)和崗位被指派為不同的角色。整個(gè)訪問控制過程被分成兩個(gè)部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)用戶與訪問權(quán)限的邏輯分離。

（2）授權(quán)管理

授權(quán)管理分為四個(gè)級(jí)別：應(yīng)用級(jí)授權(quán)、實(shí)體級(jí)授權(quán)、實(shí)體內(nèi)授權(quán)和敏感數(shù)據(jù)授權(quán)。管理員通過配置管理程序，對(duì)用戶的權(quán)限進(jìn)行設(shè)置。不同權(quán)限的用戶登錄系統(tǒng)后，被授權(quán)使用的應(yīng)用程序、訪問的系統(tǒng)、允許運(yùn)行的操作命令以及SQL語(yǔ)句都各不相同。

1）應(yīng)用級(jí)授權(quán)管理：提供對(duì)用戶可使用的應(yīng)用資源，如UltraEdit、SecureCRT、PL/SQL等各種應(yīng)用程序進(jìn)行授權(quán)管理，可實(shí)現(xiàn)對(duì)某組用戶可使用的應(yīng)用程序進(jìn)行限制。嚴(yán)格控制后臺(tái)訪問使用的工具，杜絕未經(jīng)許可的、不安全的應(yīng)用程序。endprint

2）實(shí)體級(jí)授權(quán)管理：提供對(duì)用戶可訪問的系統(tǒng)資源，如主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等進(jìn)行授權(quán)管理，將某一主賬號(hào)可使用的各種從賬號(hào)可訪問的資源（包含主機(jī)IP地址、從賬號(hào)名、從賬號(hào)密碼）寫入到相應(yīng)的策略文件中，進(jìn)而實(shí)現(xiàn)對(duì)用戶可訪問的系統(tǒng)資源進(jìn)行控制。

3）實(shí)體內(nèi)授權(quán)管理：提供用戶對(duì)資源可采用的主機(jī)命令（Unix/Linux命令）以及數(shù)據(jù)庫(kù)SQL語(yǔ)句進(jìn)行管理。

4）數(shù)據(jù)下載授權(quán)管理：在不影響用戶正常訪問系統(tǒng)的情況下，通過敏感數(shù)據(jù)管理模塊，系統(tǒng)可實(shí)現(xiàn)數(shù)據(jù)上傳、下載的授權(quán)管理。用戶上傳和下載的文件全部進(jìn)行存檔、備份；下載的文件需通過PDF水印技術(shù)實(shí)現(xiàn)泄露數(shù)據(jù)的可追溯、可定位、可審計(jì)。

3.5 私有文件夾

系統(tǒng)針對(duì)每個(gè)用戶的主賬號(hào)提供相應(yīng)的私有文件夾功能。私有文件夾具備以下特點(diǎn)：

（1）每個(gè)主賬號(hào)只能訪問自己的私有文件夾，禁止互相訪問；

（2）主賬號(hào)在數(shù)據(jù)安全管控平臺(tái)的操作數(shù)據(jù)將保存在私有文件夾中；

（3）當(dāng)主賬號(hào)需要對(duì)某文件進(jìn)行下載時(shí)，該文件將被同步至專有的文檔服務(wù)器中，用戶需要在文檔服務(wù)器中進(jìn)行下載；

（4）數(shù)據(jù)安全管控平臺(tái)需針對(duì)所有文件的上傳、下載進(jìn)行審計(jì)；

（5）數(shù)據(jù)安全管控平臺(tái)需提供針對(duì)所有文件上傳、下載審計(jì)的模糊搜索和報(bào)表功能；

（6）下載時(shí)需采用加密機(jī)制保證數(shù)據(jù)的安全。

3.6 文件傳遞和流轉(zhuǎn)

數(shù)據(jù)安全管控平臺(tái)支持在私有文件夾中進(jìn)行文件的相互傳遞和流轉(zhuǎn)功能。在私有文件夾中，不需要審批即可進(jìn)行文件的相互傳遞和流轉(zhuǎn)，但被傳遞和流轉(zhuǎn)的文件內(nèi)容將被審計(jì)記錄。當(dāng)用戶需要將自己私有文件夾中的某個(gè)文件傳遞或流轉(zhuǎn)給其它用戶時(shí)，只需點(diǎn)擊文件傳遞或流轉(zhuǎn)申請(qǐng)即可進(jìn)行文件的傳遞或流轉(zhuǎn)。

當(dāng)系統(tǒng)接收到文件傳遞或流轉(zhuǎn)申請(qǐng)的請(qǐng)求后，管理服務(wù)器將需傳遞或流轉(zhuǎn)的文件以及相關(guān)的審計(jì)信息直接傳遞至文檔服務(wù)器的其他用戶的權(quán)限目錄下，同時(shí)將該文件以及該文件的審計(jì)信息備份到文檔操作備份服務(wù)器上。

3.7 PDF水印

為保證用戶下載的文件安全，管理員可對(duì)某些賬號(hào)或某些文件設(shè)置導(dǎo)出文件添加PDF水印功能，相關(guān)處理流程如下：

（1）管理員可定義數(shù)據(jù)安全策略，包括納入控制的主賬號(hào)列表、只允許通過PDF形式導(dǎo)出文件的列表。PDF的設(shè)置權(quán)限需包括是否允許導(dǎo)出（包括打?。?、是否需添加水?。ㄋ?nèi)容為下載用戶的姓名、工號(hào)等實(shí)名信息）、是否允許被復(fù)制等；

（2）用戶選擇需導(dǎo)出的文件，申請(qǐng)下載，系統(tǒng)將提示用戶將文檔導(dǎo)出為PDF格式；

（3）用戶啟動(dòng)PDF導(dǎo)出工具，選擇文檔進(jìn)行導(dǎo)出，導(dǎo)出后的文件將顯示為PDF格式，且已進(jìn)行安全設(shè)置；

（4）用戶下載申請(qǐng)通過后，成功下載帶水印的PDF文檔。

3.8 虛擬工作區(qū)

在私有文件夾中，系統(tǒng)支持用戶使用遠(yuǎn)程發(fā)布的Word、Excel、PPT、計(jì)算器等常用辦公軟件對(duì)文件進(jìn)行編輯、修改等操作。所有數(shù)據(jù)均保存在數(shù)據(jù)安全管控平臺(tái)的私有文件夾中，不允許保存在本機(jī)硬盤。如需保存在本機(jī)硬盤，必須進(jìn)行下載審批并添加相應(yīng)的水印。

3.9 公共文件共享存儲(chǔ)區(qū)

系統(tǒng)支持建立公共文件共享存儲(chǔ)區(qū)，所有用戶從OA系統(tǒng)下載的文件均保存在后臺(tái)的公共文件共享存儲(chǔ)區(qū)內(nèi)（且相同文件只能保存一份），并在用戶私有文件夾中保留該文件的映射。如用戶需要對(duì)其下載的文件進(jìn)行編輯時(shí)，系統(tǒng)將該文件復(fù)制一份并保存在用戶的私有文件夾中；如用戶僅僅是對(duì)下載的文件進(jìn)行查看操作，系統(tǒng)將該文件復(fù)制一份并暫存在用戶的私有文件夾中，當(dāng)用戶查看結(jié)束后，系統(tǒng)應(yīng)從用戶的私有文件夾中刪除該文件，并繼續(xù)在該用戶的私有文件夾中保留該文件的映射；如用戶需要?jiǎng)h除其存儲(chǔ)在公共文件共享存儲(chǔ)區(qū)內(nèi)的文件時(shí)，系統(tǒng)僅僅刪除該用戶私有文件內(nèi)的文件映射。

同時(shí)，系統(tǒng)還具備定期清理公共文件共享存儲(chǔ)區(qū)歷史文件的功能。歷史文件的判定準(zhǔn)則為：在公共文件共享存儲(chǔ)區(qū)內(nèi)保存了一定時(shí)間（該時(shí)間要求可設(shè)定），同時(shí)在所有用戶的私有文件中不存在該文件的映射，即可判定為歷史文件。

3.10 審批與審計(jì)

數(shù)據(jù)安全管控平臺(tái)可對(duì)文件的上傳、下載等操作行為進(jìn)行審批和審計(jì)。如某用戶因業(yè)務(wù)需要需下載某些敏感數(shù)據(jù)，系統(tǒng)將根據(jù)相關(guān)的安全策略對(duì)數(shù)據(jù)的下載進(jìn)行審批、審計(jì)，同時(shí)通過短信、郵件等方式通知相關(guān)負(fù)責(zé)人某員工正在下載某核心資料，最終形成閉環(huán)審批。同時(shí)也可將某用戶設(shè)置為無(wú)需審批權(quán)限，即該用戶可直接下載、上傳敏感資料，無(wú)需領(lǐng)導(dǎo)的審批，但其下載、上傳的文件和操作過程必須存檔備份，以便事后查詢。電子審批流程如圖2所示。

數(shù)據(jù)安全管控平臺(tái)的文件審計(jì)信息是事后分析的依據(jù)。審計(jì)數(shù)據(jù)對(duì)數(shù)據(jù)安全管控平臺(tái)的用戶登錄、文件操作過程等信息進(jìn)行記錄。此外，系統(tǒng)還提供相應(yīng)的報(bào)表統(tǒng)計(jì)分析功能。

3.11 與業(yè)務(wù)系統(tǒng)的接口

OA、經(jīng)營(yíng)分析等業(yè)務(wù)系統(tǒng)將相關(guān)賬號(hào)信息（包括賬號(hào)ID、賬號(hào)密碼、關(guān)聯(lián)角色列表等）通過數(shù)據(jù)同步接口傳遞給數(shù)據(jù)安全管控平臺(tái)。同時(shí)，數(shù)據(jù)安全管控平臺(tái)通過身份實(shí)名信息將主賬號(hào)與各業(yè)務(wù)系統(tǒng)原有賬號(hào)信息進(jìn)行關(guān)聯(lián)，用戶通過主賬號(hào)登錄數(shù)據(jù)安全管控平臺(tái)的登錄門戶，然后由數(shù)據(jù)安全管控平臺(tái)遠(yuǎn)程單點(diǎn)登錄OA、經(jīng)營(yíng)分析等業(yè)務(wù)系統(tǒng)。

4 平臺(tái)實(shí)施方案

數(shù)據(jù)安全管控平臺(tái)對(duì)OA、經(jīng)營(yíng)分析等業(yè)務(wù)系統(tǒng)的改造較大，并且會(huì)改變用戶的使用習(xí)慣，因此建議分步實(shí)施，保證系統(tǒng)的平滑過渡。

（1）需求梳理：對(duì)OA、經(jīng)營(yíng)分析等業(yè)務(wù)系統(tǒng)的使用現(xiàn)狀進(jìn)行調(diào)研，需要加強(qiáng)與業(yè)務(wù)系統(tǒng)廠商的協(xié)調(diào)溝通，雙方協(xié)商接口方案。

（2）平臺(tái)集成：將業(yè)務(wù)系統(tǒng)的組織結(jié)構(gòu)、賬號(hào)屬性、角色名稱在數(shù)據(jù)安全管控平臺(tái)上進(jìn)行統(tǒng)一，并收集同步業(yè)務(wù)系統(tǒng)的所有賬號(hào)。

（3）試點(diǎn)測(cè)試：選擇OA系統(tǒng)的某一本地網(wǎng)進(jìn)行小范圍的試點(diǎn)，將這些用戶先集成到數(shù)據(jù)安全管控平臺(tái)中進(jìn)行管理，用戶只能登錄數(shù)據(jù)安全管控平臺(tái)再訪問OA系統(tǒng)。

（4）應(yīng)用封堵：把數(shù)據(jù)安全管控平臺(tái)的使用范圍推廣到全公司的OA、經(jīng)營(yíng)分析等業(yè)務(wù)系統(tǒng)，把業(yè)務(wù)系統(tǒng)的直接訪問入口封死，所有用戶只能通過數(shù)據(jù)安全管控平臺(tái)訪問。這一階段需要解決用戶并發(fā)量大對(duì)平臺(tái)的影響，并需繼續(xù)引導(dǎo)用戶習(xí)慣新的訪問方式。

5 結(jié)束語(yǔ)

基于云計(jì)算技術(shù)的數(shù)據(jù)安全管控平臺(tái)上線后，大大加強(qiáng)了某電信運(yùn)營(yíng)商IT安全的防護(hù)能力，并形成較為完備的IT安全保障體系，有效防范企業(yè)重要數(shù)據(jù)信息泄露，保證了企業(yè)的正常運(yùn)行和安全生產(chǎn)。此外，X86服務(wù)器虛擬化技術(shù)的運(yùn)用也在一定程度上達(dá)到節(jié)能減排的效果。

參考文獻(xiàn)：

[1] 楊旭. 基于云計(jì)算的數(shù)據(jù)安全性研究[J]. 移動(dòng)通信， 2013（9）： 69-72.

[2] 劉富春，高雪平. 云計(jì)算——電信業(yè)發(fā)展的一把雙刃劍[J]. 移動(dòng)通信， 2009（21）： 58-61.

[3] 馮登國(guó)，張敏，張妍，等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào)， 2011（1）.

[4] 郭辰. 如何化解云計(jì)算的潛在風(fēng)險(xiǎn)[J]. 信息安全與技術(shù)， 2012（3）.

[5] 李瑋. 云計(jì)算安全問題研究與探討[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化， 2012（4）.

作者簡(jiǎn)介

周宇：工程師，學(xué)士，現(xiàn)任職于華信郵電咨詢?cè)O(shè)計(jì)研究院有限公司，主要從事數(shù)據(jù)通信咨詢及設(shè)計(jì)工作。

劉軍：高級(jí)工程師，學(xué)士，現(xiàn)任職于華信郵電咨詢?cè)O(shè)計(jì)研究院有限公司，主要從事數(shù)據(jù)通信咨詢與設(shè)計(jì)工作。

孫月新：高級(jí)工程師，碩士，現(xiàn)任職于華信郵電咨詢?cè)O(shè)計(jì)研究院有限公司，主要從事數(shù)據(jù)通信咨詢與設(shè)計(jì)工作。endprint