跨部門數(shù)據(jù)共享的安全存儲機制研究

李凌　彭佩

摘 要

隨著經(jīng)濟的發(fā)展，電子技術的日益完善，越來越多的人使用網(wǎng)絡通訊手段與外界進行溝通，而各級政府部門和國有企業(yè)也是相繼建立了電子政務系統(tǒng)、網(wǎng)絡辦公系統(tǒng)，順應了信息時代的發(fā)展潮流，為了更好的為社會服務，建立跨部門數(shù)據(jù)共享平臺勢在必行。本文主要從跨部門數(shù)據(jù)共享的安全需求分析出發(fā)，從跨部門數(shù)據(jù)共享的重要性出發(fā)，提出了跨部門數(shù)據(jù)安全存儲注意的事項以及安全存儲控制系統(tǒng)設計。

【關鍵詞】跨部門數(shù)據(jù)共享 安全存儲機制 研究

數(shù)據(jù)資源共享是信息化工作的重點，它的發(fā)展為政府部門和國有企業(yè)帶來了高效的辦事效率，為大眾帶來了便捷的生活，政府和國企數(shù)據(jù)資源跨部門共享的實質(zhì)是實現(xiàn)政府和國企信息資源戰(zhàn)略開發(fā)、高效使用與合理配置，具有重要的作用。

1 我國政府跨部門數(shù)據(jù)共享的重要性

1.1 有利于社會公共利益

政府和國企信息化的建設是當前社會發(fā)展的必然趨勢，更是滿足社會對政府和國企的要求，政府和國企在下達決策之前，必須要掌握準確、全面的信息資源，因此，實行跨部門政府和國企數(shù)據(jù)資源共享，能夠改變政府獲取信息、數(shù)據(jù)的不及時、不準確的局面，使決策更加精細。傳統(tǒng)模式中，各部門是獨立的，對公共服務也是獨立進行，導致群眾與政府部門欠缺溝通，有很多事情需要跑多個部門才能完成，這樣既浪費群眾時間，更加大了政府和國企人員的工作難度。但是數(shù)據(jù)共享可以改變這個現(xiàn)象，各個部門都可以看到最新、最有效的數(shù)據(jù)，提高公共服務能力。

1.2 提高政府和國企的工作效率

由于政府和國企組織是由縱向?qū)蛹壷坪蜋M向職能制組成的二維模式，因此，各個部門的職能有著交叉、重疊的部分，在處理業(yè)務的時候會需要相似的數(shù)據(jù)和信息， 而跨部門數(shù)據(jù)共享可以大大提高各部門的工作效率，避免不必要的流程。

2 跨部門數(shù)據(jù)共享的安全存儲機制需注意的事項

（1）各部門數(shù)據(jù)管理要進行分級分類，是明確定義數(shù)據(jù)安全屬性和共享范圍的前提。由于數(shù)據(jù)庫中的數(shù)據(jù)繁多，容易在提取數(shù)據(jù)時造成混亂，因此必須要把數(shù)據(jù)進行分類、整理，這樣在數(shù)據(jù)提取才能更加方便。

（2）各個部門在向數(shù)據(jù)中心發(fā)布共享數(shù)據(jù)之前應對所發(fā)數(shù)據(jù)進行審核，是否具有安全屬性和共享范圍。數(shù)據(jù)中心是存儲數(shù)據(jù)的集結(jié)地，因此各部門在共享數(shù)據(jù)之前應確保它的安全性、準確性、有效性，是否屬于共享范圍。

（3）應支持對數(shù)據(jù)中心之間數(shù)據(jù)同步的安全控制。對于數(shù)據(jù)同步的安全控制要加強，避免數(shù)據(jù)庫的紊亂，遭到破壞，保證數(shù)據(jù)的及時性、有效性。

（4）需要支持不同安全等級的密碼處理能力，數(shù)據(jù)中心的數(shù)據(jù)會進行加密處理，因此必須要具備不同的安全等級的密碼處理能力，例如，既可采取訪問控制、數(shù)據(jù)加密傳輸、完整性保護和存儲加密等綜合措施，也可僅采取訪問控制和完整性保護措施。

（5）對于訪問數(shù)據(jù)中心的身份要進行核實，具有合法身份或獲得授權的人才能訪問，保障數(shù)據(jù)中心的訪問安全。數(shù)據(jù)中心的數(shù)據(jù)可以說是機密的，不能隨便瀏覽、提取，因此，對于任何一個訪問的人都要進行嚴格的排查，避免不法分子破壞數(shù)據(jù)的行為，保障數(shù)據(jù)中心的訪問安全，消滅隱患問題。

3 安全存儲控制系統(tǒng)設計

3.1 系統(tǒng)組成

安全存儲控制系統(tǒng)主要由6大模塊組成，即網(wǎng)絡捕包、ISCSI協(xié)議棧分析處理、密鑰管理、安全審計、策略管理、網(wǎng)絡發(fā)包等模塊，而協(xié)議分析與處理模塊又可分為身份認證、授權訪問控制、數(shù)據(jù)加解密 3 個子模塊。安全存儲控制系統(tǒng)采用嵌入式平臺設計，操作系統(tǒng)采用國產(chǎn)Linux操作系統(tǒng)內(nèi)核裁剪，設計標準密碼服務接口。每個安全存儲客戶端由密鑰管理中心分發(fā)身份卡，通過身份卡注入密鑰和認證身份后，才能接入存儲網(wǎng)絡，實現(xiàn)安全存儲訪問[2]。

3.2 模塊設計

3.2.1 網(wǎng)絡捕包模塊

在存儲網(wǎng)絡中，網(wǎng)絡捕包模塊串聯(lián)其中， 并利用BPF捕貨機制，對于所有經(jīng)過系統(tǒng)的訪問存儲系統(tǒng)的數(shù)據(jù)包進行截獲，并運用定義優(yōu)化原則，采用樹形匹配算法快速匹配數(shù)據(jù)包，提高網(wǎng)絡捕包模塊的作用，讓訪問存儲系統(tǒng)更加安全。

3.2.2 協(xié)議分析與處理模塊

在網(wǎng)絡捕包模塊經(jīng)過大量攔截截獲合法的數(shù)據(jù)包后，在有協(xié)議分析模塊進行協(xié)議分析，所謂協(xié)議分析就是對數(shù)據(jù)包中的身份信息進行認證，身份認證成功后，在根據(jù)iSCSI協(xié)議的認證授權策略進行訪問，把非法的數(shù)據(jù)包丟棄，在通過密碼、密子模塊對數(shù)據(jù)進行加解密。

3.2.3 網(wǎng)絡發(fā)包模塊

存儲訪問經(jīng)過安全處理后，由網(wǎng)絡發(fā)包模塊將數(shù)據(jù)繼續(xù)發(fā)送到存儲系統(tǒng)進行數(shù)據(jù)存取。

3.2.4 密鑰管理中心

所謂密鑰管理中心是指負責為CA系統(tǒng)提供密鑰的生成、保存、備份、更新、恢復、查詢等密鑰服務，在系統(tǒng)初期建立時，對每臺設備配置身份卡，要想進行存儲訪問，首先要將身份卡插入存儲客戶端，在身份驗證成功和密鑰注入正確的情況下才能進行訪問。

3.2.5 安全審計模塊

系統(tǒng)能對經(jīng)過設備的數(shù)據(jù)提取出訪問時間、訪問者身份、源地址、目的地址、存儲資源等屬性，并將這些屬性數(shù)據(jù)轉(zhuǎn)發(fā)到專門的審計服務器，用于安全審計。

總之，跨部門數(shù)據(jù)共享的構建任重道遠，它的安全存儲機制更是值得相關人員去思考、去研究，本文僅僅通過跨部門數(shù)據(jù)共享的安全存儲機制需注意的事項，提出了安全存儲機制的設計理念，對于跨部門數(shù)據(jù)共享的安全存儲機制的研究要更深入、更徹底，需要不斷創(chuàng)新、不斷完善。

參考文獻

[1]楊世運.電子政務的發(fā)展與對策[J].中國科技論壇，2010（4）：17-22.

[2]宋軍.中國電子政務建設存在的問題與解決對策[J].理論探索，2011（3）：66-67.

[3]李曉東，楊揚，郭文彩.基于企業(yè)服務總線的數(shù)據(jù)共享交換平臺[J].計算機工程，2010，32（21）：217-219，223.

[4]李麗琳，劉柱文.基于iSCSI協(xié)議的IP網(wǎng)絡安全存儲結(jié)構設計探討[J].網(wǎng)絡安全技術與應用，2011（2）：7-9.

[5]王會波.安全存儲與云存儲安全[J].信息安全與通信保密，2010（12）：24-25.

作者簡介

李凌，男，浙江省浦江人。2011年畢業(yè)于長安大學，計算機科學與技術專業(yè)。2007年就職于國網(wǎng)浙江浦江縣供電公司，助理工程師。

作者單位

1.國網(wǎng)浙江浦江縣供電公司 浙江省浦江縣 322200

2.金華市財政局 浙江省金華市 321017endprint