数据信息安全管理系统的设计分析

摘要：推进国产信创产业发展战略和构建云安全存储应用体系建设，是当前我国新基建下信息化产业发展战略的重要内容，本文针对当前信创产业发展中有关软件适配应用、建立信创环境下的软件应用生态环境中的关键适配技术，结合用户基于云端重要、敏感数据信息的安全动态加密分级存储应用提出了解决思路。在保证系统性能的前提下，重点对软件开发过程中的信创适配、用户数据信息加密数据元定义、加密配置实现、分级加解密技术实现等过程进行了论述，为当前全国大力推进的国产信创替代和云端存储环境下实现数据信息安全存储应用提供了较好的参考价值。

关键词：信创产业；加密技术；信息安全；云存储

1引言

信息技术应用创新产业（以下简称“信创”）发展战略，是基于我国信息化产业发展中自主可控和信息安全需求，在区块链、云计算、物联网等信息技术不断发展带来技术变革和安全形势面临更大威胁挑战应对需求等形势下提出的信息化发展方向指导意见，当前从国家层面建立了以推进芯片自主为基础的信创产业发展战略，但同时也面临着基础软硬件信息平台支撑动力和能力不足、应用场景不健全、应用生态环境未完全建立、用户使用体验感不佳、配套安全应用支撑体系不健全等因素。本文选择互联网管理业务工作中根据网络信息数据安全存储应用需求特点，在基于信创应用环境下满足软硬件国产化替代运行需求的同时，重点实现通过对称及非对称加解密技术在数据存储应用中对结构化数据的加密数据元定义、加密源配置选择、加/解密技术在数据存取过程中的实现等内容。同时在数据加密配置信息和数据元信息的存储分离原则下，结合系统用户身份认证识别需求，加入了访问用户唯一网络地址、用户终端设备的加密识别认证过程。在当前以基于云端应用为主流的网络环境下，目前还没有比较有效的安全防护手段来确保云端系统的数据信息安全，特别是针对具有较高级别的数据安全存储应用需求下，本分通过用户加密存储访问和用户的身份识别认证，提供了一个良好的安全应用范例[1]。本系统的建设目标是建立互联网新闻数据信息管理系统，主要完成当前国产化信创适配应用需求和数据信息异地加密安全存储的前提下，提供用户访问控制和授权应用、搭建数据库服务器和文件系统服务器，满足数据文件的协同规范管理应用，业务上建立网络评论员信息、网络媒体信息、网络舆情数据信息和各类舆情风险发现、分析研判处置知识的应用过程数据信息资源库。

2平台技术支持

2.1J2EE语言开发工具

作为一种当前主流面向对象的、基础性的高级计算机编程语言，Java语言的思想和开发技术应用已根据不同应用行业需求、不同技术应用环境条件衍生出各类编程技术应用语言环境，如桌面应用程序、Web应用程序、分布式系统和嵌入式系统应用开发等[2]，以满足便捷、简单、丰富多元的开发应用需求，但也带来了技术架构耦合性高、降低语言跨平台性能等特点，典型的如：JSP+Servlet+JavaBean，但Java编程技术和思想在当前乃至今后很长时间作为基础性支撑语言的地位是稳固的。从程序面向对象结构设计角度来说，Java作为静态面向对象编程语言的代表，不仅吸收了C++语言的优点，极好地实现了面向对象理论，同时也摒弃了C++里难以理解的多继承、指针等概念，允许程序员以灵活的思维方式进行复杂的编程，使其具有功能强大和简单易用两个典型特征。从满足当前信创应用需求角度，Java具有良好的跨平台和语言可移植性能，是当前满足基于国内主流芯片（如：飞腾）和国产信创操作系统（如麒麟、统信UOS）的适配需求、建立信创应用生态环境很好的技术开发语言之一。从安全应用需求来说，Java作为一种专门应对网络安全而设计的专业性程序语言，它在网络通信、程序的安全执行应用方面也提供了相对其他语言更好的机制[3]，因此，在当前基于云端存储应用的系统环境中，提供了较好的语言安全基础，当然，从程序到系统的安全同样离不开开发过程中语言的正确使用，如：属性、对象的正确建立和引用访问、内存分配、缓存处理、继承和扩展机制、JVM的边界计算控制等[4]。

2.2数据库系统和文件系统

数据信息的存储是实现高效安全访问的重要因素，文件存储和结构化数据库数据存储是数据信息的主要存储形式。在本系统设计中，采用数据库系统和文件系统协同应用方式进行数据信息存储，数据库系统主要存储结构化系统数据，文件系统主要实现对文件、文档和程序应用等信息的存储，一方面两个系统各自具备独立的运行环境、安全访问机制。另一方面两个系统以无缝对接协同应用的方式提供用户统一、完整的数据信息存储服务，数据库主要采用MySQL实现结构化数据存储，MySQL是当前主流的关系型数据库管理系统之一，所使用的SQL语言是访问数据库的最常用标准化语言，具有很好的系统灵活性能，在支持更大的关系型商业主流数据库存储以及迁移至不同国产数据库都有很好的语言兼容性能。文件系统采用NAS（NetworkAttachedStorage）存储方式实现系统访问控制、文件加密、文件文档自动分类归档等，是目前主流的文件级存储应用系统，在云存储和局域网络应用环境中具备简单易用的特点外，对基于Linux的信创应用环境同时具备很好的兼容性能。

2.3国产化芯片和操作系统支持

芯片国产化和建立与之相适应的国产操作系统的体系建设，是建立国产化应用软件生态环境的基础，当前芯片的发展应用尽管取得了一定进展但还不够成熟，对上层软件操作系统的支撑作用还存在技术实现能力较弱、应用范围相对较窄、使用成熟度还不高等现状。基于操作系统来说，目前国产操作系统普遍以Linux为构架基础的二次开发操作系统，在系统安装、界面展示、用户交互、中文支持、安全防护、系统上层应用接口等方面尚未发展成熟且未建立相对统一规范的用户使用标准，为软件国产化适配过程如软件的集成开发环境建立、软件开发、安装、应用等形成了较大的难度，例如某软件在统信UOS操作系统适配完成的程序无法直接面对客户在中标麒麟操作系统中使用。同时相对于程序员及时开发而言，在不同的国产操作系统适配过程中需要重复学习不同操作系统的使用规范、获得不同操作系统的技术支持都存在较大的难度。在本系统设计实现中，基于用户终端设备和运行环境考虑，主要获得飞腾芯片和麒麟、统信操作系统下集成开发应用环境的建立和代码移植、开发、调试过程的技术支持。

3关键技术实现

3.1国产化适配技术实现

基于国产芯片和国产操作系统的特点，充分利用国产操作系统同源异构特性，优先实现同一逻辑代码或模块代码运行在不同CPU架构硬件上，避免了针对不同软硬件环境进行区别处理，为后续系统的功能升级、漏洞修复、统一管理等方面提供了极大的便利。其次，建立基于Linux环境下的统一开发、调试模式，以提供适用于所有国产操作系统下可运行的通用软件代码版本。最后完成代码从Linux到不同国产化信创环境的编译和运行过程。该过程只需根据不同信创操作系统的软件部署、应用和更新模式完成对代码的编译、打包等工作即可。通过以上方式，一方面软件以最短时间完成对几乎所有国产操作系统的代码运行适配过程，另一方面，软件开发人员只需要根据不同的目标适配操作系统的要求对软件源码做最后的编译和打包处理即可适配至目标环境上，而无需了解所有适配目标系统的体系结构、内核api、集成开发环境支持等过程。地址字符串构建代码从Window下代码到基于Linux的通用适配如图1所示。通用适配代码jar包导出后更新到国产信创统信UOS操作系统的操作示例如图2所示。

3.2数据信息动态加解密存取实现

数据信息加密存储模块是整个系统的安全应用核心部分。基于三层C/S系统架构，系统从访问用户身份认证、业务逻辑层接口调用、数据加密配置管理、数据加密存储等过程实现了数字签名认证和数据加密存储过程。目标是在加密配置信息和原始元数据信息存储分离的原则下，在不安全的网络环境中提供了一种数据信息安全的存储和访问机制，尽管用户原始系统遭到非法访问和窃取，也很难在原始数据信息库中提取到有价值和意义的数据信息，同时依据数据元安全级别定义需求，提供了可供用户自由选择的对称和非对称数据加密模式。在本系统中，设计实现了加密配置数据库、用户加密数据信息存储数据库和文件系统数据库，其中加密配置库用于存储用户表单的加密数据元信息、加密方式、密钥信息等，该部分数据信息存取和对数据信息执行加密、解密过程在系统安全业务逻辑处理模块中实现。用户加密数据库存储用户执行加密后的主要核心业务数据，该库存取执行通过系统业务逻辑模块访问；文件系统数据库通过与用户业务数据库进行安全可信网络虚拟连接，并对访问内容如文件名等信息进行加密处理传输。用户获得系统身份识别认证后，通过数字签名方式提交用户业务数据操作请求，当用户提交数据更新请求（新增）时，系统通过签名认证方式访问加密配置库，获取需要加密的数据元字段信息、对称或非对称加密方式、密钥信息等配置内容，并执行数据加密处理，加密完成后提交存储至用户加密数据库。当用户提交数据检索（查询）请求时，系统先查询用户业务数据库信息，并通过数据检索返回结果、日期访问加密配置库，根据对应加密配置信息执行数据解密过程，解密结果数据返回用户。文件系统作为数据信息子系统，数据库信息与文件系统建立可靠的虚拟连接访问模式，数据库保留了文件系统相关文件的基本信息，用户通过访问业务数据库来访问文件系统。数据动态加密存储实现流程如图3所示。在本系统实现中，重点关注的是系统的资源消耗和性能影响，安全存储和认证机制必然会以消耗系统资源为代价，特别是对大数据量执行的非对称加密和解密过程，是系统资源消耗的主要因素，经系统测试发现，系统资源消耗和响应时间主要与采用加密和解密方式、执行操作类型、操作数据量几个因素有关，主要影响性能关系如表1所示。从表可以看出，在不高于100个元数据内进行更新、检索时，采用对称和非对称加密方式对系统性能影响较小，超过1000个至10000个元数据信息时，采用对称加密算法的效率比非对称高，通过非对称加密算法中加密数据更新比解密数据检索效率高，随着数据量操作越大，系统性能下降和资源消耗越高，因此在本系统设计中，主要考虑大量数据导出时的系统性能和资源消耗问题，解决此问题，可以通过优化数据存储方式、提升系统中间逻辑处理层计算能力以及优化改进加密机制[5]等方式提升性能。另外系统在执行加密配置库检索相对于直接操作业务数据库也增加了一定的时间代价，但不是系统性能影响的主要因素。

3.3用户加密配置管理服务器、数据库服务器和文件服务器的同步应用技术

一方面加密配置管理服务器、用户数据库服务器和文件服务器作为各自独立的网络存储服务系统，具备独立运行条件、独立用户准入控制规则和安全保护机制。另一方面三个服务器相互配合、协同运行，文件系统作为业务数据信息系统管理的附加文件管理系统，文件文档信息如：文件类型、标题、大小、文件档案加密路径等在业务数据库系统中存储，用户通过访问数据库中记录的文件信息调用文件服务器相关文档文件，加密配置管理系统存储用户业务数据库系统中关于文件名称、路径等信息的加密内容。三个系统关联执行操作主要通过软件系统逻辑应用层进行统一管理，共同形成整个系统完整数据信息应用安全访问机制，每个服务器服务都是系统不可或缺的一部分，尽管某一系统服务被攻击、数据被窃取，但离开其他系统服务和逻辑控制软件的操作规则，攻击者仍然无法获取到有价值的内容。同时针对文件系统，提供了文件及目录的自动管理功能，用户执行文件访问时，系统根据字典信息对文件服务系统自动执行目录建立、文件分类、编排、加密、归档、目录销毁等工作。

4平台功能

本系统主要基于国产信创应用和云端数据存储应用的环境下，针对用户重要、敏感数据和文件信息提供了用户可以配置的数据加密存储应用访问系统，具体过程针对用户数据元的安全标记、定义、加解密方式选择、密钥信息存储配置、文件系统目录及文件的编排、加密归档以及访问用户的身份识别认证等提出了定义和解决实现方法，以此实现数据信息的安全存储访问。系统预实现的主要功能有访问用户及访问网络设备权限配置和访问识别认证、用户加密配置管理、用户信息字典定义、用户访问终端控制管理、网络评论员信息管理、网络媒体信息管理、文稿信息管理、网络舆情信息管理和风险传播识别等功能。下面就数据信息安全存储管理应用具体实现模块进行展示：

4.1平台安全登录

用户单击“网信信息管理系统”软件，即进入登录页面，输入账号、密码和验证码信息即可登录，登录成功的前提是用户个人信息、用户访问IP地址、用户设备MAC地址等校验成功。

4.2系统主要模块

该系统主要基于国产信创环境提供了对互联网新闻数据信息进行安全存储应用的机制和范例，系统在完成前期国产信创环境下适配开发和基于安全应用的平台架构的基础上，实现如何配置系统安全访问权限、如何配置用户加密管理和数据、文件存储应用管理等过程，以及实现用户重要、敏感数据信息的安全业务逻辑处理实现。用户安全定义模块：主要包含用户管理、用户数据管理、用户访问终端控制管理、用户权限管理等功能，该模块在一般软件信息系统的基本用户定义、系统功能权限和数据权限的基础上，进一步定义了系统访问的用户网络信息（用户网络识别的IP地址）、用户访问的硬件设备信息以及用户所具备的其他必要认证信息等，该过程在前期用户认证完成后，每次用户访问由系统自动进行识别，获得安全可靠合法的系统访问用户。用户加密配置管理模块：该模块包含用户加密配置管理、用户密钥信息管理、系统数据字典管理等功能，主要完成系统数据加密方式定义、用户密钥信息管理、系统数据表单及加密元数据信息定义、加密日志信息记录等过程，定义完成后，用户在具体业务数据、文档信息存储访问过程中由业务逻辑处理模块自动完成实现。用户数据文件应用模块：该模块主要包含用户基本文件和数据信息访问配置、用户文档数据信息应用管理和其他业务逻辑过程的应用实现，主要包含网络评论员管理、网络重点账号、属地媒体信息、用户文稿信息及舆情信息管理等功能，系统自动解析获取文稿信息管理

5结束语

目前，国家大力推进国产信创产业发展，特别是党政机关、重点企事业单位的信创应用建立，从而实现自主、安全和可控的可替代方案。建立和完善软硬件生态应用环境是从技术实现到应用的关键路径，也是当前信创产业发展特别是软件技术适配过程面临的重要关口。同时针对用户重要、敏感数据信息在互联网下的安全存储应用也是目前网络安全工作面临的重要挑战内容，在此背景下，本文系统的研究和开发显得尤为重要，不仅基于系统业务用户，在当前全国推进的信创替代应用和用户在云端存储环境下实现数据安全存储应用具有很好的通用性。在后续工作中，仍然有需要处理的问题，如系统三层接口访问的标准化定义和大数据、多用户对逻辑加密应用模块的高并发处理问题、以及在非对称加密算法应用中大数据解密输出的问题等，仍需要系统后续工作中进一步分析、研究和完善。

参考文献：

[1]胡江月.云数据中心环境下云端安全威胁分析及防范机制研究[J].中国科技人才，2020.

[2]明日科技.Java从入门到精通（第3版）[M].清华大学出版社，2019.

[3]孙杰.利用Java编程实现网络安全通信[J].信息系统工程，2016.

[4]廉洁，赵群荣，乌兰.Java网络安全研究[J].内蒙古民族大学学报（自然科学版），2008.

[5]李勇.提高RSA加密算法效率的方法研究[J].潍坊学院学报，2008.

[6]（美）施瓦兹，侯普秀，宋美娜.Linux应用程序开发[M].清华大学出版社，2006.

[7]零声教育.2021年Linux服务器开发的知识技术合集（基础入门到高级进阶）

作者：和占全 李晓明 冯汝结 靳清平 单位：大理州网络应急指挥和违法不良信息举报中心 大理大学