推进国产信创产业发展战略和构建云安全存储应用体系建设,是当前我国新基建下信息化产业发展战略的重要内容,本文针对当前信创产业发展中有关软件适配应用、建立信创环境下的软件应用生态环境中的关键适配技术,结合用户基于云端重要、敏感数据信息的安全动态加密分级存储应用提出了解决思路。在保证系统性能的前提下,重点对软件开发过程中的信创适配、用户数据信息加密数据元定义、加密配置实现、分级加解密技术实现等过程进行了论述,为当前全国大力推进的国产信创替代和云端存储环境下实现数据信息安全存储应用提供了较好的参考价值。
一、引言
信息技术应用创新产业(以下简称“信创”)发展战略,是基于我国信息化产业发展中自主可控和信息安全需求,在区块链、云计算、物联网等信息技术不断发展带来技术变革和安全形势面临更大威胁挑战应对需求等形势下提出的信息化发展方向指导意见,当前从国家层面建立了以推进芯片自主为基础的信创产业发展战略,但同时也面临着基础软硬件信息平台支撑动力和能力不足、应用场景不健全、应用生态环境未完全建立、用户使用体验感不佳、配套安全应用支撑体系不健全等因素。
本文选择互联网管理业务工作中根据网络信息数据安全存储应用需求特点,在基于信创应用环境下满足软硬件国产化替代运行需求的同时,重点实现通过对称及非对称加解密技术在数据存储应用中对结构化数据的加密数据元定义、加密源配置选择、加/解密技术在数据存取过程中的实现等内容。同时在数据加密配置信息和数据元信息的存储分离原则下,结合系统用户身份认证识别需求,加入了访问用户唯一网络地址、用户终端设备的加密识别认证过程。在当前以基于云端应用为主流的网络环境下,目前还没有比较有效的安全防护手段来确保云端系统的数据信息安全,特别是针对具有较高级别的数据安全存储应用需求下,本分通过用户加密存储访问和用户的身份识别认证,提供了一个良好的安全应用范例[1]。本系统的建设目标是建立互联网新闻数据信息管理系统,主要完成当前国产化信创适配应用需求和数据信息异地加密安全存储的前提下,提供用户访问控制和授权应用、搭建数据库服务器和文件系统服务器,满足数据文件的协同规范管理应用,业务上建立网络评论员信息、网络媒体信息、网络舆情数据信息和各类舆情风险发现、分析研判处置知识的应用过程数据信息资源库。
二、平台技术支持
2.1 J2EE语言开发工具
作为一种当前主流面向对象的、基础性的高级计算机编程语言,Java语言的思想和开发技术应用已根据不同应用行业需求、不同技术应用环境条件衍生出各类编程技术应用语言环境,如桌面应用程序、Web应用程序、分布式系统和嵌入式系统应用开发等[2],以满足便捷、简单、丰富多元的开发应用需求,但也带来了技术架构耦合性高、降低语言跨平台性能等特点,典型的如:JSP+Servlet+JavaBean,但Java编程技术和思想在当前乃至今后很长时间作为基础性支撑语言的地位是稳固的。从程序面向对象结构设计角度来说,Java作为静态面向对象编程语言的代表,不仅吸收了C++语言的优点,极好地实现了面向对象理论,同时也摒弃了C++里难以理解的多继承、指针等概念,允许程序员以灵活的思维方式进行复杂的编程,使其具有功能强大和简单易用两个典型特征。从满足当前信创应用需求角度,Java具有良好的跨平台和语言可移植性能,是当前满足基于国内主流芯片(如:飞腾)和国产信创操作系统(如麒麟、统信UOS)的适配需求、建立信创应用生态环境很好的技术开发语言之一。从安全应用需求来说,Java作为一种专门应对网络安全而设计的专业性程序语言,它在网络通信、程序的安全执行应用方面也提供了相对其他语言更好的机制[3,3],因此,在当前基于云端存储应用的系统环境中,提供了较好的语言安全基础,当然,从程序到系统的安全同样离不开开发过程中语言的正确使用,如:属性、对象的正确建立和引用访问、内存分配、缓存处理、继承和扩展机制、JVM的边界计算控制等[4]。
2.2 数据库系统和文件系统
数据信息的存储是实现高效安全访问的重要因素,文件存储和结构化数据库数据存储是数据信息的主要存储形式。在本系统设计中,采用数据库系统和文件系统协同应用方式进行数据信息存储,数据库系统主要存储结构化系统数据,文件系统主要实现对文件、文档和程序应用等信息的存储,一方面两个系统各自具备独立的运行环境、安全访问机制。另一方面两个系统以无缝对接协同应用的方式提供用户统一、完整的数据信息存储服务,数据库主要采用MySQL实现结构化数据存储,MySQL是当前主流的关系型数据库管理系统之一,所使用的SQL语言是访问数据库的最常用标准化语言,具有很好的系统灵活性能,在支持更大的关系型商业主流数据库存储以及迁移至不同国产数据库都有很好的语言兼容性能。文件系统采用NAS(Network Attached Storage)存储方式实现系统访问控制、文件加密、文件文档自动分类归档等,是目前主流的文件级存储应用系统,在云存储和局域网络应用环境中具备简单易用的特点外,对基于Linux的信创应用环境同时具备很好的兼容性能。
2.3 国产化芯片和操作系统支持
芯片国产化和建立与之相适应的国产操作系统的体系建设,是建立国产化应用软件生态环境的基础,当前芯片的发展应用尽管取得了一定进展但还不够成熟,对上层软件操作系统的支撑作用还存在技术实现能力较弱、应用范围相对较窄、使用成熟度还不高等现状。基于操作系统来说,目前国产操作系统普遍以Linux为构架基础的二次开发操作系统,在系统安装、界面展示、用户交互、中文支持、安全防护、系统上层应用接口等方面尚未发展成熟且未建立相对统一规范的用户使用标准,为软件国产化适配过程如软件的集成开发环境建立、软件开发、安装、应用等形成了较大的难度,例如某软件在统信UOS操作系统适配完成的程序无法直接面对客户在中标麒麟操作系统中使用。同时相对于程序员及时开发而言,在不同的国产操作系统适配过程中需要重复学习不同操作系统的使用规范、获得不同操作系统的技术支持都存在较大的难度。在本系统设计实现中,基于用户终端设备和运行环境考虑,主要获得飞腾芯片和麒麟、统信操作系统下集成开发应用环境的建立和代码移植、开发、调试过程的技术支持。
三、关键技术实现
3.1 国产化适配技术实现
基于国产芯片和国产操作系统的特点,充分利用国产操作系统同源异构特性,优先实现同一逻辑代码或模块代码运行在不同CPU架构硬件上,避免了针对不同软硬件环境进行区别处理,为后续系统的功能升级、漏洞修复、统一管理等方面提供了极大的便利。其次,建立基于Linux环境下的统一开发、调试模式,以提供适用于所有国产操作系统下可运行的通用软件代码版本。最后完成代码从Linux到不同国产化信创环境的编译和运行过程。该过程只需根据不同信创操作系统的软件部署、应用和更新模式完成对代码的编译、打包等工作即可。通过以上方式,一方面软件以最短时间完成对几乎所有国产操作系统的代码运行适配过程,另一方面,软件开发人员只需要根据不同的目标适配操作系统的要求对软件源码做最后的编译和打包处理即可适配至目标环境上,而无需了解所有适配目标系统的体系结构、内核api、集成开发环境支持等过程。地址字符串构建代码从Window下代码到基于Linux的通用适配如图1所示。通用适配代码jar包导出后更新到国产信创统信UOS操作系统的操作示例如图2所示。
3.2 数据信息动态加解密存取实现
数据信息加密存储模块是整个系统的安全应用核心部分。基于三层C/S系统架构,系统从访问用户身份认证、业务逻辑层接口调用、数据加密配置管理、数据加密存储等过程实现了数字签名认证和数据加密存储过程。目标是在加密配置信息和原始元数据信息存储分离的原则下,在不安全的网络环境中提供了一种数据信息安全的存储和访问机制,尽管用户原始系统遭到非法访问和窃取,也很难在原始数据信息库中提取到有价值和意义的数据信息,同时依据数据元安全级别定义需求,提供了可供用户自由选择的对称和非对称数据加密模式。
在本系统中,设计实现了加密配置数据库、用户加密数据信息存储数据库和文件系统数据库,其中加密配置库用于存储用户表单的加密数据元信息、加密方式、密钥信息等,该部分数据信息存取和对数据信息执行加密、解密过程在系统安全业务逻辑处理模块中实现。用户加密数据库存储用户执行加密后的主要核心业务数据,该库存取执行通过系统业务逻辑模块访问;文件系统数据库通过与用户业务数据库进行安全可信网络虚拟连接,并对访问内容如文件名等信息进行加密处理传输。用户获得系统身份识别认证后,通过数字签名方式提交用户业务数据操作请求,当用户提交数据更新请求(新增)时,系统通过签名认证方式访问加密配置库,获取需要加密的数据元字段信息、对称或非对称加密方式、密钥信息等配置内容,并执行数据加密处理,加密完成后提交存储至用户加密数据库。当用户提交数据检索(查询)请求时,系统先查询用户业务数据库信息,并通过数据检索返回结果、日期访问加密配置库,根据对应加密配置信息执行数据解密过程,解密结果数据返回用户。文件系统作为数据信息子系统,数据库信息与文件系统建立可靠的虚拟连接访问模式,数据库保留了文件系统相关文件的基本信息,用户通过访问业务数据库来访问文件系统。数据动态加密存储实现流程如图3所示。
………………
基于信创的新闻数据信息安全管理系统的设计与实现 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/i1kEN2pzgr5 提取码: 15jw