C機(jī)構(gòu)應(yīng)用數(shù)據(jù)集散地平臺(tái)的科研信息資料安全管理

徐　鑫

C機(jī)構(gòu)應(yīng)用數(shù)據(jù)集散地平臺(tái)的科研信息資料安全管理

徐鑫

（黑龍江省科學(xué)院石油化學(xué)研究院，哈爾濱 150040）

隨著科研行業(yè)信息化程度不斷加深，信息泄露事件頻頻發(fā)生，嚴(yán)重影響了科研機(jī)構(gòu)的聲譽(yù)和形象。數(shù)據(jù)集散地平臺(tái)是C機(jī)構(gòu)總部基于Browser/Server架構(gòu)開(kāi)發(fā)的數(shù)據(jù)共享平臺(tái)，本研究主要介紹了個(gè)人網(wǎng)盤(pán)、組文件、組用戶(hù)維護(hù)、工單流程及其應(yīng)用。C機(jī)構(gòu)的集散地平臺(tái)能夠方便、快捷地實(shí)現(xiàn)科研信息的共享和安全管理，滿(mǎn)足日常科研人員集中存儲(chǔ)、分級(jí)使用、安全控制的需要，確?？蒲行畔踩?，值得在科研機(jī)構(gòu)推廣。

信息安全；個(gè)人網(wǎng)盤(pán)；辦公沙盒

1　數(shù)據(jù)集散地平臺(tái)及安全性分析

數(shù)據(jù)集散地平臺(tái)是C機(jī)構(gòu)總部基于Browser/Server架構(gòu)開(kāi)發(fā)的數(shù)據(jù)共享平臺(tái)，目的是為了規(guī)范機(jī)構(gòu)內(nèi)數(shù)據(jù)安全管理流程，提升物理桌面、辦公沙盒、生產(chǎn)云等環(huán)境的數(shù)據(jù)安全管理，確保生產(chǎn)、辦公、開(kāi)發(fā)測(cè)試等區(qū)域的數(shù)據(jù)安全。該平臺(tái)包含個(gè)人網(wǎng)盤(pán)、組文件、組用戶(hù)維護(hù)、我的工單、待辦任務(wù)、歷史任務(wù)、工具列表和回收站等八大功能模塊。用戶(hù)使用總部統(tǒng)一認(rèn)證的賬號(hào)和密碼訪問(wèn)該系統(tǒng)，訪問(wèn)方式包括“物理終端”和“辦公沙盒”兩種，數(shù)據(jù)使用環(huán)境為“辦公沙盒”時(shí)需要先登錄沙盒地址，數(shù)據(jù)使用環(huán)境為“物理終端”時(shí)或登錄辦公沙盒后，可直接登錄集散地地址。

科研人員可以使用個(gè)人網(wǎng)盤(pán)功能，創(chuàng)建個(gè)人資料空間，把個(gè)人保存且需經(jīng)常使用的涉密資料全部上傳至數(shù)據(jù)安全管理平臺(tái)個(gè)人空間中，同時(shí)可以把個(gè)人網(wǎng)盤(pán)中的文件資料分享給其他用戶(hù)或用戶(hù)組。下轄機(jī)構(gòu)、科研組和課題團(tuán)隊(duì)可以使用組用戶(hù)維護(hù)和組文件功能，維護(hù)用戶(hù)組、創(chuàng)建組文件空間、上傳共享資料到組文件空間，供組成員上傳、下載、瀏覽共享資料。用戶(hù)可以通過(guò)數(shù)據(jù)共享工單，實(shí)現(xiàn)科研人員之間安全傳遞敏感信息文件，及文件使用結(jié)束后的銷(xiāo)毀處理。

2　主要功能和科研應(yīng)用場(chǎng)景介紹

2.1個(gè)人網(wǎng)盤(pán)及其應(yīng)用

2.1.1主要功能及操作方法

個(gè)人網(wǎng)盤(pán)包括新建文件夾、移動(dòng)、刪除、上傳、下載、模糊搜索、重命名、在線瀏覽和分享等功能。分享分為分享給用戶(hù)和分享給組。新建的文件夾和上傳的文件包括以下文件屬性：文件名、大小、創(chuàng)建時(shí)間、所屬終端、所屬目錄、所屬機(jī)構(gòu)、操作等。

圖1　系統(tǒng)功能系統(tǒng)圖例Fig.1 System function system diagram

圖2　個(gè)人網(wǎng)盤(pán)管理功能圖Fig.2 Personal SkyDrive management function chart

2.1.2科研應(yīng)用

科研人員可充分利用數(shù)據(jù)集散地個(gè)人網(wǎng)盤(pán)向用戶(hù)提供的文件存儲(chǔ)、在線瀏覽、下載、分享等文件管理功能，實(shí)現(xiàn)涉密資料的集中存儲(chǔ)和安全分享。一是把個(gè)人存儲(chǔ)在本地并且需要經(jīng)常使用的涉密資料全部上傳至個(gè)人網(wǎng)盤(pán)中，并銷(xiāo)毀本地存儲(chǔ)的涉密資料。二是對(duì)搜集和產(chǎn)生的科研資料，及時(shí)進(jìn)行安全分類(lèi)和分級(jí)，對(duì)分類(lèi)為中、高安全等級(jí)的信息，需要上傳到個(gè)人網(wǎng)盤(pán)，及時(shí)銷(xiāo)毀本地存儲(chǔ)資料。三是科研人員可以利用個(gè)人網(wǎng)盤(pán)數(shù)據(jù)的分享功能，把個(gè)人搜集和整理的科研資料分享給其他人員、科研組、任務(wù)組、科研對(duì)象等，實(shí)現(xiàn)數(shù)據(jù)在線傳遞、安全共享。

2.2組用戶(hù)維護(hù)、組文件及其應(yīng)用

2.2.1主要功能及操作方法

2.2.1.1組用戶(hù)維護(hù)

組用戶(hù)維護(hù)，創(chuàng)建并維護(hù)一個(gè)用戶(hù)組。包括新建組、添加用戶(hù)、移除用戶(hù)、解散組、重命名組名和模糊搜索等功能，與組文件配合使用。組用戶(hù)創(chuàng)建者，有權(quán)使用上述功能維護(hù)組用戶(hù)，組內(nèi)其他成員無(wú)權(quán)進(jìn)行組用戶(hù)維護(hù)操作。

2.2.1.2組文件

進(jìn)入組文件，系統(tǒng)顯示用戶(hù)能所屬的組，這些組是通過(guò)“組用戶(hù)維護(hù)”功能創(chuàng)建的。每個(gè)組下，都有獨(dú)立的數(shù)據(jù)空間，通過(guò)上傳、下載和在線瀏覽等操作實(shí)現(xiàn)文件資料在組用戶(hù)內(nèi)共享使用。組文件包括創(chuàng)建文件夾、上傳文件、下載文件、刪除文件、移動(dòng)文件、重命名文件、在線瀏覽等功能，操作與個(gè)人網(wǎng)盤(pán)模塊操作相似。

組用戶(hù)創(chuàng)建者有權(quán)使用組文件內(nèi)全部功能，包括刪除、移動(dòng)文件，組成員共享組內(nèi)文件，可創(chuàng)建文件夾和上傳文件，但是不能夠刪除和移動(dòng)文件。對(duì)于通過(guò)物理終端上傳的文件，只能下載到物理終端中，無(wú)法在辦公沙盒內(nèi)下載；對(duì)于通過(guò)辦公沙盒上傳的文件，只能下載到辦公沙盒中，無(wú)法下載到物理終端中。對(duì)于敏感信息文件，通過(guò)沙盒方式進(jìn)行上傳，這樣組內(nèi)用戶(hù)，只能在沙盒內(nèi)共享，無(wú)法流出到本地硬盤(pán)，可以確保敏感科研資料的安全。

圖3、圖4　組用戶(hù)維護(hù)和組文件管理功能圖Fig.3&Fig.4:Group user maintenance and group file management capabilities

2.2.2科研應(yīng)用

組用戶(hù)和組文件為科研資料集中管理提供了安全平臺(tái)，授權(quán)科研人員均可共享訪問(wèn)和使用組文件中存儲(chǔ)的科研資料，無(wú)須散落保存在各個(gè)科研人員本地環(huán)境中，減少電子資料暴露范圍，因此在很多科研工作場(chǎng)景均可應(yīng)用。

2.2.2.1科研項(xiàng)目應(yīng)用場(chǎng)景

在科研項(xiàng)目生命周期過(guò)程中，科研項(xiàng)目資料需要在機(jī)構(gòu)領(lǐng)導(dǎo)、科研項(xiàng)目組成員、科研項(xiàng)目質(zhì)量控制人員、各科研實(shí)施機(jī)構(gòu)科研組長(zhǎng)之間動(dòng)態(tài)傳遞和共享，可以根據(jù)科研項(xiàng)目的不同階段，添加和移除不同用戶(hù)角色，實(shí)現(xiàn)相關(guān)人員的動(dòng)態(tài)進(jìn)入和退出。

實(shí)現(xiàn)方法：指定人員負(fù)責(zé)集中上傳、刪除科研項(xiàng)目各階段搜集、調(diào)閱和產(chǎn)生的科研項(xiàng)目資料，負(fù)責(zé)在科研項(xiàng)目準(zhǔn)備階段，添加科研項(xiàng)目組成員以及分管領(lǐng)導(dǎo)，在科研實(shí)施階段，添加各科研實(shí)施機(jī)構(gòu)科研組負(fù)責(zé)人員，在科研報(bào)告匯總階段，添加參與科研報(bào)告匯總?cè)藛T，及時(shí)根據(jù)科研項(xiàng)目所處階段從組用戶(hù)中移除非相關(guān)人員。

安全控制措施：在上傳科研項(xiàng)目信息過(guò)程中，應(yīng)區(qū)分信息的敏感度。通過(guò)辦公沙盒上傳的文件資料，組中用戶(hù)只能在沙盒內(nèi)共享使用。通過(guò)組用戶(hù)動(dòng)態(tài)管理，根據(jù)科研項(xiàng)目階段和職責(zé)履行需要，動(dòng)態(tài)添加人員及時(shí)把完成任務(wù)和非任務(wù)相關(guān)人員移除出組用戶(hù)。

2.2.2.2科研信息庫(kù)應(yīng)用場(chǎng)景

各科研機(jī)構(gòu)信息庫(kù)管理人員可以使用數(shù)據(jù)集散地平臺(tái)創(chuàng)建組用戶(hù)，建立信息庫(kù)組文件空間，按照科研項(xiàng)目，在組文件空間創(chuàng)建相應(yīng)目錄，把日常收集的相關(guān)資料上傳到對(duì)應(yīng)目錄中。對(duì)于涉密信息，需要通過(guò)辦公沙盒方式上傳，非涉密信息通過(guò)物理終端方式上傳。信息庫(kù)組文件的授權(quán)訪問(wèn)用戶(hù)，根據(jù)需要授權(quán)給異地實(shí)施機(jī)構(gòu)項(xiàng)目組或總部相關(guān)人員。

2.2.2.3基礎(chǔ)研究應(yīng)用場(chǎng)景

作為信息共享平臺(tái)的補(bǔ)充，科研機(jī)構(gòu)在數(shù)據(jù)集散地中，應(yīng)建立科研基礎(chǔ)研究任務(wù)發(fā)布、政策指導(dǎo)、成果集中展示平臺(tái)。

實(shí)現(xiàn)方法：根據(jù)各下轄機(jī)構(gòu)的研究方向，分別在數(shù)據(jù)集散地平臺(tái)建立組用戶(hù)；總部指定專(zhuān)業(yè)信息管理員，負(fù)責(zé)組用戶(hù)維護(hù)和組文件管理、建立管理目錄，負(fù)責(zé)上傳基礎(chǔ)研究政策、制度，基礎(chǔ)研究規(guī)劃、任務(wù)，發(fā)布經(jīng)審定后的研究成果；下轄機(jī)構(gòu)根據(jù)分工形成的研究成果，經(jīng)科研部審定和同意后，發(fā)布到對(duì)應(yīng)專(zhuān)業(yè)化研究成果目錄中。

安全控制措施：發(fā)布到基礎(chǔ)研究組文件空間的研究成果要按照信息安全管理要求，進(jìn)行脫敏處理；僅授權(quán)科研人員查閱的中、高安全等級(jí)信息文檔，要通過(guò)辦公沙盒方式上傳到共享平臺(tái)。

2.2.2.4科研資料共享應(yīng)用場(chǎng)景

為便于科研人員查閱，又要確保信息安全訪問(wèn)，需要一個(gè)安全平臺(tái)。

實(shí)現(xiàn)方法：一是科研部資料共享?？蒲胁吭跀?shù)據(jù)集散地建立科研資料共享組用戶(hù)；科研部指定一名安全管理人員，負(fù)責(zé)組用戶(hù)創(chuàng)建和組文件管理；科研部各部門(mén)指定一名管理人員，負(fù)責(zé)將相關(guān)文檔上傳到相應(yīng)目錄，對(duì)上傳的文件更新、重命名；通過(guò)建立組用戶(hù)的方式，確定各科研機(jī)構(gòu)信息管理人員，由其負(fù)責(zé)下載和接收科研部共享資料，并負(fù)責(zé)在本機(jī)構(gòu)共享資料庫(kù)中發(fā)布。二是科研機(jī)構(gòu)資料共享。各科研機(jī)構(gòu)在數(shù)據(jù)集散地建立科研資料共享組用戶(hù)；科研機(jī)構(gòu)指定一名安全管理人員，負(fù)責(zé)組用戶(hù)創(chuàng)建和組文件管理，負(fù)責(zé)組成員動(dòng)態(tài)添加和移除；各部門(mén)指定一名信息管理人員，負(fù)責(zé)收集本部門(mén)共享科研資料以及下載、接收科研部共享科研資料，整理后發(fā)布到機(jī)構(gòu)資料共享庫(kù)相應(yīng)目錄中，對(duì)上傳的文件更新、重命名。

安全控制措施：發(fā)布到共享空間的科研資料要按照信息安全管理要求，進(jìn)行脫敏處理；僅授權(quán)科研人員查閱的中、高安全等級(jí)信息文檔，要通過(guò)辦公沙盒方式上傳到共享平臺(tái)。

2.3工單流程及其應(yīng)用

2.3.1主要功能及操作方法

工單流程通過(guò)我的工單和待辦任務(wù)菜單完成。主要包括創(chuàng)建工單、啟動(dòng)工單、中止工單、刪除工單、數(shù)據(jù)提交、數(shù)據(jù)復(fù)核等功能。工單類(lèi)型包括數(shù)據(jù)提取、數(shù)據(jù)共享、生產(chǎn)卸數(shù)三種類(lèi)型，科研人員傳遞資料，一般使用數(shù)據(jù)共享工單，能夠完成敏感信息文件傳遞、使用、銷(xiāo)毀過(guò)程的安全控制，并在系統(tǒng)中保留文件生命周期軌跡。數(shù)據(jù)共享工單流程如圖5。

圖5　數(shù)據(jù)共享工單流程圖Fig.5 Data sharing ticket flowchart

2.3.2科研應(yīng)用

一是滿(mǎn)足科研機(jī)構(gòu)間的信息交流需求。可以使用數(shù)據(jù)共享工單，通過(guò)辦公沙盒提交科研材料，那么科研對(duì)象也只能在辦公沙盒中瀏覽科研提交材料，無(wú)法復(fù)制、拷貝到科研對(duì)象本地環(huán)境中，能夠達(dá)到打印文本交流相同的效果，而且通過(guò)系統(tǒng)在線方式，不受時(shí)間、地點(diǎn)、交通限制，方便交流，提高了效率。

二是滿(mǎn)足總部科研部門(mén)及下轄機(jī)構(gòu)科研技術(shù)支持需求。數(shù)據(jù)提交人員可以通過(guò)數(shù)據(jù)集散地平臺(tái)，創(chuàng)建數(shù)據(jù)共享工單進(jìn)行數(shù)據(jù)傳遞，以保留數(shù)據(jù)交接、處理、銷(xiāo)毀等軌跡。

三是滿(mǎn)足科研涉密信息安全傳遞需求。數(shù)據(jù)提交人可以創(chuàng)建數(shù)據(jù)共享工單，提交共享數(shù)據(jù)文件。對(duì)于只需數(shù)據(jù)使用人瀏覽的文檔資料，通過(guò)辦公沙盒方式進(jìn)行文件提交，控制電子信息非授權(quán)擴(kuò)散。

3　結(jié)語(yǔ)

現(xiàn)行的科研數(shù)據(jù)安全管理除采取簽訂安全保密協(xié)議、加強(qiáng)科研人員安全防范意識(shí)、利用銷(xiāo)毀工具銷(xiāo)毀文件等措施外，缺乏既便于科研數(shù)據(jù)應(yīng)用又安全管控有效的工具。C機(jī)構(gòu)的集散地平臺(tái)有效地解決了數(shù)據(jù)安全控制的缺陷。該系統(tǒng)能夠方便、快捷地實(shí)現(xiàn)科研信息的共享和安全管理，能夠滿(mǎn)足日?？蒲腥藛T集中存儲(chǔ)、分級(jí)使用、安全控制的需要，還可以實(shí)現(xiàn)跨地域共享其他科研機(jī)構(gòu)信息，為科研機(jī)構(gòu)間協(xié)同研究提供數(shù)據(jù)共享便利；對(duì)加強(qiáng)科研數(shù)據(jù)信息安全管理工作，防止機(jī)密文件、敏感信息等重要電子資料泄密，確?？蒲行畔踩哂猩钸h(yuǎn)的重要意義，值得在科研機(jī)構(gòu)推廣。

［1］ 張勁松.基于層次指標(biāo)的統(tǒng)計(jì)信息化評(píng)價(jià)模型研究［J］.中國(guó)管理信息化，2008，（11）：14.

［2］ SAM TRANUM.Iran's enrichment pause likely unconnected to stuxnet［J］. Uranium Intelligence Weekly，2010，4（48）：78-79.

［3］ 嚴(yán)霄鳳.“震網(wǎng)”引發(fā)網(wǎng)絡(luò)安全新思考［J］.信息安全與技術(shù)，2011，（02）：17-19.

［4］劉晉輝.計(jì)算機(jī)病毒技術(shù)分析［J］.兵工自動(dòng)化，2012，（01）：93-96.

Research and information security management of C structure application data distribution center platform

XUXin
（Institute ofPetrochemistry，HeilongjiangAcademyofSciences，Harbin 150040，China）

With the degree of information technology industry research continuously deepening，information leakage events occur frequently，which makes serious impact on the reputation and image of scientific research institutions.Data distribution center platform is a C-based agency headquarters Browser/Server architecture development platform data sharing.This study describes the personal network disk，group documents，group user maintenance，work order process and its application.Distribution center platform C organizations can quickly and easily be shared and information security management research，to meet the daily researchers centralized storage，grading，you need security controls to ensure that information security research，worth in the promotion of scientific research institutions.

Information security；Personal SkyDrive；Boxoffice

TP3；F49

A

1674-8646（2015）04-0071-03