C机构应用数据集散地平台的科研信息资料安全管理
2015-08-29徐鑫
徐 鑫
C机构应用数据集散地平台的科研信息资料安全管理
徐鑫
(黑龙江省科学院石油化学研究院,哈尔滨 150040)
随着科研行业信息化程度不断加深,信息泄露事件频频发生,严重影响了科研机构的声誉和形象。数据集散地平台是C机构总部基于Browser/Server架构开发的数据共享平台,本研究主要介绍了个人网盘、组文件、组用户维护、工单流程及其应用。C机构的集散地平台能够方便、快捷地实现科研信息的共享和安全管理,满足日常科研人员集中存储、分级使用、安全控制的需要,确保科研信息安全,值得在科研机构推广。
信息安全;个人网盘;办公沙盒
1 数据集散地平台及安全性分析
数据集散地平台是C机构总部基于Browser/Server架构开发的数据共享平台,目的是为了规范机构内数据安全管理流程,提升物理桌面、办公沙盒、生产云等环境的数据安全管理,确保生产、办公、开发测试等区域的数据安全。该平台包含个人网盘、组文件、组用户维护、我的工单、待办任务、历史任务、工具列表和回收站等八大功能模块。用户使用总部统一认证的账号和密码访问该系统,访问方式包括“物理终端”和“办公沙盒”两种,数据使用环境为“办公沙盒”时需要先登录沙盒地址,数据使用环境为“物理终端”时或登录办公沙盒后,可直接登录集散地地址。
科研人员可以使用个人网盘功能,创建个人资料空间,把个人保存且需经常使用的涉密资料全部上传至数据安全管理平台个人空间中,同时可以把个人网盘中的文件资料分享给其他用户或用户组。下辖机构、科研组和课题团队可以使用组用户维护和组文件功能,维护用户组、创建组文件空间、上传共享资料到组文件空间,供组成员上传、下载、浏览共享资料。用户可以通过数据共享工单,实现科研人员之间安全传递敏感信息文件,及文件使用结束后的销毁处理。
2 主要功能和科研应用场景介绍
2.1个人网盘及其应用
2.1.1主要功能及操作方法
个人网盘包括新建文件夹、移动、删除、上传、下载、模糊搜索、重命名、在线浏览和分享等功能。分享分为分享给用户和分享给组。新建的文件夹和上传的文件包括以下文件属性:文件名、大小、创建时间、所属终端、所属目录、所属机构、操作等。
图1 系统功能系统图例Fig.1 System function system diagram
图2 个人网盘管理功能图Fig.2 Personal SkyDrive management function chart
2.1.2科研应用
科研人员可充分利用数据集散地个人网盘向用户提供的文件存储、在线浏览、下载、分享等文件管理功能,实现涉密资料的集中存储和安全分享。一是把个人存储在本地并且需要经常使用的涉密资料全部上传至个人网盘中,并销毁本地存储的涉密资料。二是对搜集和产生的科研资料,及时进行安全分类和分级,对分类为中、高安全等级的信息,需要上传到个人网盘,及时销毁本地存储资料。三是科研人员可以利用个人网盘数据的分享功能,把个人搜集和整理的科研资料分享给其他人员、科研组、任务组、科研对象等,实现数据在线传递、安全共享。
2.2组用户维护、组文件及其应用
2.2.1主要功能及操作方法
2.2.1.1组用户维护
组用户维护,创建并维护一个用户组。包括新建组、添加用户、移除用户、解散组、重命名组名和模糊搜索等功能,与组文件配合使用。组用户创建者,有权使用上述功能维护组用户,组内其他成员无权进行组用户维护操作。
2.2.1.2组文件
进入组文件,系统显示用户能所属的组,这些组是通过“组用户维护”功能创建的。每个组下,都有独立的数据空间,通过上传、下载和在线浏览等操作实现文件资料在组用户内共享使用。组文件包括创建文件夹、上传文件、下载文件、删除文件、移动文件、重命名文件、在线浏览等功能,操作与个人网盘模块操作相似。
组用户创建者有权使用组文件内全部功能,包括删除、移动文件,组成员共享组内文件,可创建文件夹和上传文件,但是不能够删除和移动文件。对于通过物理终端上传的文件,只能下载到物理终端中,无法在办公沙盒内下载;对于通过办公沙盒上传的文件,只能下载到办公沙盒中,无法下载到物理终端中。对于敏感信息文件,通过沙盒方式进行上传,这样组内用户,只能在沙盒内共享,无法流出到本地硬盘,可以确保敏感科研资料的安全。
图3、图4 组用户维护和组文件管理功能图Fig.3&Fig.4:Group user maintenance and group file management capabilities
2.2.2科研应用
组用户和组文件为科研资料集中管理提供了安全平台,授权科研人员均可共享访问和使用组文件中存储的科研资料,无须散落保存在各个科研人员本地环境中,减少电子资料暴露范围,因此在很多科研工作场景均可应用。
2.2.2.1科研项目应用场景
在科研项目生命周期过程中,科研项目资料需要在机构领导、科研项目组成员、科研项目质量控制人员、各科研实施机构科研组长之间动态传递和共享,可以根据科研项目的不同阶段,添加和移除不同用户角色,实现相关人员的动态进入和退出。
实现方法:指定人员负责集中上传、删除科研项目各阶段搜集、调阅和产生的科研项目资料,负责在科研项目准备阶段,添加科研项目组成员以及分管领导,在科研实施阶段,添加各科研实施机构科研组负责人员,在科研报告汇总阶段,添加参与科研报告汇总人员,及时根据科研项目所处阶段从组用户中移除非相关人员。
安全控制措施:在上传科研项目信息过程中,应区分信息的敏感度。通过办公沙盒上传的文件资料,组中用户只能在沙盒内共享使用。通过组用户动态管理,根据科研项目阶段和职责履行需要,动态添加人员及时把完成任务和非任务相关人员移除出组用户。
2.2.2.2科研信息库应用场景
各科研机构信息库管理人员可以使用数据集散地平台创建组用户,建立信息库组文件空间,按照科研项目,在组文件空间创建相应目录,把日常收集的相关资料上传到对应目录中。对于涉密信息,需要通过办公沙盒方式上传,非涉密信息通过物理终端方式上传。信息库组文件的授权访问用户,根据需要授权给异地实施机构项目组或总部相关人员。
2.2.2.3基础研究应用场景
作为信息共享平台的补充,科研机构在数据集散地中,应建立科研基础研究任务发布、政策指导、成果集中展示平台。
实现方法:根据各下辖机构的研究方向,分别在数据集散地平台建立组用户;总部指定专业信息管理员,负责组用户维护和组文件管理、建立管理目录,负责上传基础研究政策、制度,基础研究规划、任务,发布经审定后的研究成果;下辖机构根据分工形成的研究成果,经科研部审定和同意后,发布到对应专业化研究成果目录中。
安全控制措施:发布到基础研究组文件空间的研究成果要按照信息安全管理要求,进行脱敏处理;仅授权科研人员查阅的中、高安全等级信息文档,要通过办公沙盒方式上传到共享平台。
2.2.2.4科研资料共享应用场景
为便于科研人员查阅,又要确保信息安全访问,需要一个安全平台。
实现方法:一是科研部资料共享。科研部在数据集散地建立科研资料共享组用户;科研部指定一名安全管理人员,负责组用户创建和组文件管理;科研部各部门指定一名管理人员,负责将相关文档上传到相应目录,对上传的文件更新、重命名;通过建立组用户的方式,确定各科研机构信息管理人员,由其负责下载和接收科研部共享资料,并负责在本机构共享资料库中发布。二是科研机构资料共享。各科研机构在数据集散地建立科研资料共享组用户;科研机构指定一名安全管理人员,负责组用户创建和组文件管理,负责组成员动态添加和移除;各部门指定一名信息管理人员,负责收集本部门共享科研资料以及下载、接收科研部共享科研资料,整理后发布到机构资料共享库相应目录中,对上传的文件更新、重命名。
安全控制措施:发布到共享空间的科研资料要按照信息安全管理要求,进行脱敏处理;仅授权科研人员查阅的中、高安全等级信息文档,要通过办公沙盒方式上传到共享平台。
2.3工单流程及其应用
2.3.1主要功能及操作方法
工单流程通过我的工单和待办任务菜单完成。主要包括创建工单、启动工单、中止工单、删除工单、数据提交、数据复核等功能。工单类型包括数据提取、数据共享、生产卸数三种类型,科研人员传递资料,一般使用数据共享工单,能够完成敏感信息文件传递、使用、销毁过程的安全控制,并在系统中保留文件生命周期轨迹。数据共享工单流程如图5。
图5 数据共享工单流程图Fig.5 Data sharing ticket flowchart
2.3.2科研应用
一是满足科研机构间的信息交流需求。可以使用数据共享工单,通过办公沙盒提交科研材料,那么科研对象也只能在办公沙盒中浏览科研提交材料,无法复制、拷贝到科研对象本地环境中,能够达到打印文本交流相同的效果,而且通过系统在线方式,不受时间、地点、交通限制,方便交流,提高了效率。
二是满足总部科研部门及下辖机构科研技术支持需求。数据提交人员可以通过数据集散地平台,创建数据共享工单进行数据传递,以保留数据交接、处理、销毁等轨迹。
三是满足科研涉密信息安全传递需求。数据提交人可以创建数据共享工单,提交共享数据文件。对于只需数据使用人浏览的文档资料,通过办公沙盒方式进行文件提交,控制电子信息非授权扩散。
3 结语
现行的科研数据安全管理除采取签订安全保密协议、加强科研人员安全防范意识、利用销毁工具销毁文件等措施外,缺乏既便于科研数据应用又安全管控有效的工具。C机构的集散地平台有效地解决了数据安全控制的缺陷。该系统能够方便、快捷地实现科研信息的共享和安全管理,能够满足日常科研人员集中存储、分级使用、安全控制的需要,还可以实现跨地域共享其他科研机构信息,为科研机构间协同研究提供数据共享便利;对加强科研数据信息安全管理工作,防止机密文件、敏感信息等重要电子资料泄密,确保科研信息安全具有深远的重要意义,值得在科研机构推广。
[1] 张劲松.基于层次指标的统计信息化评价模型研究[J].中国管理信息化,2008,(11):14.
[2] SAM TRANUM.Iran's enrichment pause likely unconnected to stuxnet[J]. Uranium Intelligence Weekly,2010,4(48):78-79.
[3] 严霄凤.“震网”引发网络安全新思考[J].信息安全与技术,2011,(02):17-19.
[4]刘晋辉.计算机病毒技术分析[J].兵工自动化,2012,(01):93-96.
Research and information security management of C structure application data distribution center platform
XUXin
(Institute ofPetrochemistry,HeilongjiangAcademyofSciences,Harbin 150040,China)
With the degree of information technology industry research continuously deepening,information leakage events occur frequently,which makes serious impact on the reputation and image of scientific research institutions.Data distribution center platform is a C-based agency headquarters Browser/Server architecture development platform data sharing.This study describes the personal network disk,group documents,group user maintenance,work order process and its application.Distribution center platform C organizations can quickly and easily be shared and information security management research,to meet the daily researchers centralized storage,grading,you need security controls to ensure that information security research,worth in the promotion of scientific research institutions.
Information security;Personal SkyDrive;Boxoffice
TP3;F49
A
1674-8646(2015)04-0071-03