文｜張立成，楊敬巍，褚堯

業(yè)務(wù)支撐系統(tǒng)數(shù)據(jù)安全保障機制研究

文｜張立成，楊敬巍，褚堯

在電信領(lǐng)域的IT系統(tǒng)中，尤其是業(yè)務(wù)支撐領(lǐng)域的系統(tǒng)中，客戶資料、用戶密碼、用戶敏感數(shù)據(jù)、系統(tǒng)數(shù)據(jù)庫用戶密碼等等是系統(tǒng)核心機密數(shù)據(jù)，此部分數(shù)據(jù)的安全性、隱秘性必須從根本上得到有效保障，如果保障手段不足、不到位，極大可能會出現(xiàn)客戶資料泄露、非授權(quán)業(yè)務(wù)辦理、系統(tǒng)大量數(shù)據(jù)外泄、被非法更新等一系列問題，直接導(dǎo)致大量用戶的權(quán)益受損、公司經(jīng)營數(shù)據(jù)泄露、系統(tǒng)數(shù)據(jù)遭受破壞等嚴重后果出現(xiàn)。國家主席習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會上的講話上指出“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進?！?，可見安全的重要性之大、重要層次之高，努力提高業(yè)務(wù)支撐系統(tǒng)中數(shù)據(jù)的安全保障能力是我們工作的重點之一。

保障數(shù)據(jù)安全性、隱秘性的有效手段是使用加密技術(shù)。但即使使用了加密技術(shù)，一些數(shù)據(jù)泄露問題仍然沒有得到根除，尤其是來自于企業(yè)內(nèi)部或合作伙伴的原因?qū)е碌男孤秵栴}并不罕見。

據(jù)了解，全國大部分業(yè)務(wù)支撐領(lǐng)域的系統(tǒng)中使用的加密算法主要是由集成商負責(zé)提供、并集成到應(yīng)用系統(tǒng)中。有些管理者能夠意識到加密算法的安全性，能夠回收算法密鑰的管理權(quán)限、并予以定期更新，由具體負責(zé)人或?qū)ｉT機構(gòu)予以保管；有的可能還沒有意識到其重要性，還留在集成商手中保留。但不論密鑰是保管在公司方手中還是集成商手中，都存在如下問題：

由于多方合作關(guān)系，不能有效避免各方人員接觸到生產(chǎn)系統(tǒng)、看到加密數(shù)據(jù)；對企業(yè)內(nèi)部人員、尤其是系統(tǒng)管理人員來說，看到、訪問到加密數(shù)據(jù)更是輕而易舉。對有心人來說，這就是一個快捷的突破途徑。

每個IT系統(tǒng)勢必要使用到解密（如系統(tǒng)數(shù)據(jù)庫登錄模塊）及密文校驗（如工號、用戶密碼校驗）的方法、函數(shù)或接口（在某些情況下，加密數(shù)據(jù)以安全堡壘的形式保存、以接口的方式對外提供），一般的解密、校驗程序仍然是由集成商提供，要讓集成商提供的解密、校驗程序能夠正常完成業(yè)務(wù)操作，必然需提供其能夠?qū)崿F(xiàn)解密的方式，比如：以用加密模塊編譯出來的鏈接庫文件形式提供其連接、編譯程序使用，這樣就相當(dāng)于變相提供了解密算法、密鑰信息，集成商開發(fā)人員完全可以通過此鏈接庫實現(xiàn)解密。

原有集成商開發(fā)的程序包括函數(shù)名稱、定義、調(diào)用方式等信息均已被其掌握并在系統(tǒng)應(yīng)用程序中應(yīng)用，僅僅改變密鑰信息，函數(shù)信息不變化，熟悉的人員可輕易實現(xiàn)函數(shù)調(diào)用完成解密操作。

提供的鏈接庫文件包含不穩(wěn)定因素，對程序開發(fā)、編譯、運行機制熟練掌握者可從鏈接庫中尋找到加密密鑰的痕跡。

隨著云計算、大數(shù)據(jù)的興起，相關(guān)技術(shù)被逐步引入了業(yè)務(wù)支撐系統(tǒng)中，更適于云化部署的JAVA技術(shù)在被廣泛使用，逐步替代了過去的C、C++進行系統(tǒng)程序開發(fā)。而JAVA技術(shù)對加密技術(shù)的保障能力極弱——只要有機會接觸到運行時程序，可輕易被反編譯、輕易找到解密方法，再如何更換密鑰、加干擾碼也不能屏蔽。

有途徑、有方法，非法解密就可以輕易實現(xiàn)，所以，僅僅管理起密鑰還是遠遠不夠的。

通過上述分析我們可以看出，要想從根本上保障加密數(shù)據(jù)的安全性、杜絕內(nèi)外部任何非法解密數(shù)據(jù)問題的產(chǎn)生，一是要通過管理手段加強對數(shù)據(jù)訪問的管控、切斷非法解密的快捷途徑——盡管管理手段可能會由于各種因素導(dǎo)致不能徹底杜絕問題的產(chǎn)生，但畢竟通過黑客手段竊取加密數(shù)據(jù)、之后再找到解密方法并進行破解還是十分不易的；二是要尋找到一種安全有效數(shù)據(jù)加密算法使用及管理機制，讓解密方法受到系統(tǒng)程序自動控制及保障、切斷人為解密的所有途徑，這是最根本、有效的保障手段。

筆者從以下幾方面進行了深入研究、設(shè)計、開發(fā)，并實際應(yīng)用了到黑龍江移動的業(yè)務(wù)支撐系統(tǒng)中，取得了不錯的效果，主要思路為：

一、加密算法強化

從實際生產(chǎn)過程中看，單一的、靜態(tài)的加解密算法是存在安全隱患的，一是盡管算法上已經(jīng)達到了強加密要求，但長時間使用后就可能被熟知的人惡意破解；二是對于重復(fù)度極高的數(shù)據(jù)，加密結(jié)果實質(zhì)上是不安全的，比如：如果用戶密碼是111111，加密結(jié)果是ABCDEFGHIJK，如果采用的是一種靜態(tài)加密算法，那么所有密碼為111111的用戶數(shù)據(jù)加密結(jié)果就都是ABCDEFGHIJK，這種情況下，不用解密即可猜測知道這些用戶的密碼。

筆者在研究過程中，在原有的des加密算法基礎(chǔ)之上，對稱加密算法的實現(xiàn)過程通過下述多重加密方案進行了強化：

（一）密鑰安全性保障能力提升：在加密算法中，對密鑰的引用處增加一層加密算法，其目的主要是進行干擾、防止真實密鑰被直觀獲取，為密鑰分離管理做準備；

（二）算法關(guān)鍵過程加入“引用密鑰”：在算法的加、解密關(guān)鍵環(huán)節(jié)處，增加程序（過程）的引用授權(quán)機制，授權(quán)以密鑰形式管理，同樣是在加密算法保護之下，其目的是杜絕關(guān)鍵解密環(huán)節(jié)被直接引用、調(diào)度；

（三）實現(xiàn)動態(tài)、二次加密：使用動態(tài)加密算法對原始數(shù)據(jù)進行一次加密，實現(xiàn)數(shù)據(jù)加密結(jié)果的動態(tài)變換；后使用靜態(tài)加密算法，結(jié)合上述機制進行二次加密，最終實現(xiàn)動態(tài)、多層、多次加解密。

二、按需封裝：

根據(jù)不同的業(yè)務(wù)需要，選擇不同類別的加密算法有助于提升安全性，比如：不需解密、僅用于認證的數(shù)據(jù)關(guān)鍵用于與輸入信息進行吻合性校驗、認證，故不需要明文信息，此時采用rsa等非對稱加密算法進行加密就十分適合，一是安全度足夠，二是不需、也不提供解密，確保了明文內(nèi)容不被任何人獲取。

加解密算法只是安全工作的基礎(chǔ)之一，選擇何種算法并不十分重要，國際主流加密算法（標(biāo)準）種類繁多（如des、3des、aes等等），安全性是可以滿足電信行業(yè)使用需要的，我們要考慮的不是從種類繁多的主流加密算法中找到一個加密最強的算法，真正決定安全質(zhì)量的是這些加密算法的使用以及保護手段是否完善——如果算法被很多的人所掌握、可隨時使用，那么就等于是沒有加密。在過去，這些算法掌握在集成商手中，系統(tǒng)中的數(shù)據(jù)對集成商來說是沒有秘密的，企業(yè)因集成商人員竊密、獲取高權(quán)限而蒙受損失的情況并不罕見。

為達到安全的目的，筆者的做法是將算法拿回到企業(yè)自己手中、私有化：在完成上述加密算法強化后，重點對算法的使用方法進行了調(diào)整、封裝。

首先是根據(jù)已有業(yè)務(wù)的需要對加解密算法模塊和應(yīng)用進行分類，明確各類加密數(shù)據(jù)的使用方法，如：不需解密、僅用于認證（用戶密碼等），需解密、不展示類（如提供給操作系統(tǒng)進行認證的主機口令、數(shù)據(jù)庫口令），需解密、需展示（如客戶姓名信息數(shù)據(jù)）。后根據(jù)不同分類分別封裝不同的應(yīng)用程序庫供業(yè)務(wù)程序調(diào)度使用，主要包含以下方法：

（一）不需解密、僅用于認證：將加密算法、解密算法（如果使用非對稱加密算法則不需要解密算法）、一致性校驗邏輯封裝在一起，對外提供加密功能、校驗功能，不提供解密功能；

（二）需解密、不展示類：將加密算法、解密算法、認證過程邏輯封裝在一起，對外提供加密功能、數(shù)據(jù)庫或主機的連接通信功能，不提供解密功能；

（三）需解密、需展示：將加密算法、解密算法封裝在一起，同時增加功能調(diào)度認證邏輯（即調(diào)度解密算法時，程序自動識別調(diào)度來源，如果來源在授權(quán)范圍內(nèi)，則允許調(diào)度，否則拒絕），對外提供加、解密功能。

（四）所有封裝程序在編譯時隱藏描述符、不規(guī)則變量命名等各種防反編譯、防調(diào)試手段，增強程序的安全性；

（五）如果是JAVA程序，設(shè)計防泄露體系結(jié)構(gòu)（由于涉及專利權(quán)事宜，在此不予詳細說明）。

通過上述“私有化”、“封裝”的手段，可有效解決算法被濫用、不可控等問題，可大幅提升企業(yè)數(shù)據(jù)的安全性。

三、使用管理強化：

如果管理不善，技術(shù)手段再如何強大也起不到應(yīng)有作用。常見、安全有效的保護方法是將加密數(shù)據(jù)、加密算法、功能包放在有限的、不同的人的手中，人與人之間、人與數(shù)據(jù)之間、人與加密算法的使用之間形成制約關(guān)系——能看到數(shù)據(jù)的人不能掌握解密功能和算法，掌握解密功能和算法的人不能看到數(shù)據(jù)，必須多人合作方可解密等等。相關(guān)流程、方法在安全防控工作中是成熟的，在此不予贅述。

數(shù)據(jù)安全問題是各行各業(yè)都面臨的難題，嚴格講是不能實現(xiàn)徹底根除風(fēng)險的，但通過加密算法強化、算法使用方法的安全保障、管理手段的加強等手段的聯(lián)動，可相信數(shù)據(jù)安全可以得到大幅提升，數(shù)據(jù)泄露的風(fēng)險將可降到最低。

作者單位：中國移動通信集團黑龍江有限公司