C機構應用數據集散地平臺的科研信息資料安全管理

徐　鑫

C機構應用數據集散地平臺的科研信息資料安全管理

徐鑫

（黑龍江省科學院石油化學研究院，哈爾濱 150040）

隨著科研行業信息化程度不斷加深，信息泄露事件頻頻發生，嚴重影響了科研機構的聲譽和形象。數據集散地平臺是C機構總部基于Browser/Server架構開發的數據共享平臺，本研究主要介紹了個人網盤、組文件、組用戶維護、工單流程及其應用。C機構的集散地平臺能夠方便、快捷地實現科研信息的共享和安全管理，滿足日?？蒲腥藛T集中存儲、分級使用、安全控制的需要，確保科研信息安全，值得在科研機構推廣。

信息安全；個人網盤；辦公沙盒

1　數據集散地平臺及安全性分析

數據集散地平臺是C機構總部基于Browser/Server架構開發的數據共享平臺，目的是為了規范機構內數據安全管理流程，提升物理桌面、辦公沙盒、生產云等環境的數據安全管理，確保生產、辦公、開發測試等區域的數據安全。該平臺包含個人網盤、組文件、組用戶維護、我的工單、待辦任務、歷史任務、工具列表和回收站等八大功能模塊。用戶使用總部統一認證的賬號和密碼訪問該系統，訪問方式包括“物理終端”和“辦公沙盒”兩種，數據使用環境為“辦公沙盒”時需要先登錄沙盒地址，數據使用環境為“物理終端”時或登錄辦公沙盒后，可直接登錄集散地地址。

科研人員可以使用個人網盤功能，創建個人資料空間，把個人保存且需經常使用的涉密資料全部上傳至數據安全管理平臺個人空間中，同時可以把個人網盤中的文件資料分享給其他用戶或用戶組。下轄機構、科研組和課題團隊可以使用組用戶維護和組文件功能，維護用戶組、創建組文件空間、上傳共享資料到組文件空間，供組成員上傳、下載、瀏覽共享資料。用戶可以通過數據共享工單，實現科研人員之間安全傳遞敏感信息文件，及文件使用結束后的銷毀處理。

2　主要功能和科研應用場景介紹

2.1個人網盤及其應用

2.1.1主要功能及操作方法

個人網盤包括新建文件夾、移動、刪除、上傳、下載、模糊搜索、重命名、在線瀏覽和分享等功能。分享分為分享給用戶和分享給組。新建的文件夾和上傳的文件包括以下文件屬性：文件名、大小、創建時間、所屬終端、所屬目錄、所屬機構、操作等。

圖1　系統功能系統圖例Fig.1 System function system diagram

圖2　個人網盤管理功能圖Fig.2 Personal SkyDrive management function chart

2.1.2科研應用

科研人員可充分利用數據集散地個人網盤向用戶提供的文件存儲、在線瀏覽、下載、分享等文件管理功能，實現涉密資料的集中存儲和安全分享。一是把個人存儲在本地并且需要經常使用的涉密資料全部上傳至個人網盤中，并銷毀本地存儲的涉密資料。二是對搜集和產生的科研資料，及時進行安全分類和分級，對分類為中、高安全等級的信息，需要上傳到個人網盤，及時銷毀本地存儲資料。三是科研人員可以利用個人網盤數據的分享功能，把個人搜集和整理的科研資料分享給其他人員、科研組、任務組、科研對象等，實現數據在線傳遞、安全共享。

2.2組用戶維護、組文件及其應用

2.2.1主要功能及操作方法

2.2.1.1組用戶維護

組用戶維護，創建并維護一個用戶組。包括新建組、添加用戶、移除用戶、解散組、重命名組名和模糊搜索等功能，與組文件配合使用。組用戶創建者，有權使用上述功能維護組用戶，組內其他成員無權進行組用戶維護操作。

2.2.1.2組文件

進入組文件，系統顯示用戶能所屬的組，這些組是通過“組用戶維護”功能創建的。每個組下，都有獨立的數據空間，通過上傳、下載和在線瀏覽等操作實現文件資料在組用戶內共享使用。組文件包括創建文件夾、上傳文件、下載文件、刪除文件、移動文件、重命名文件、在線瀏覽等功能，操作與個人網盤模塊操作相似。

組用戶創建者有權使用組文件內全部功能，包括刪除、移動文件，組成員共享組內文件，可創建文件夾和上傳文件，但是不能夠刪除和移動文件。對于通過物理終端上傳的文件，只能下載到物理終端中，無法在辦公沙盒內下載；對于通過辦公沙盒上傳的文件，只能下載到辦公沙盒中，無法下載到物理終端中。對于敏感信息文件，通過沙盒方式進行上傳，這樣組內用戶，只能在沙盒內共享，無法流出到本地硬盤，可以確保敏感科研資料的安全。

圖3、圖4　組用戶維護和組文件管理功能圖Fig.3&Fig.4:Group user maintenance and group file management capabilities

2.2.2科研應用

組用戶和組文件為科研資料集中管理提供了安全平臺，授權科研人員均可共享訪問和使用組文件中存儲的科研資料，無須散落保存在各個科研人員本地環境中，減少電子資料暴露范圍，因此在很多科研工作場景均可應用。

2.2.2.1科研項目應用場景

在科研項目生命周期過程中，科研項目資料需要在機構領導、科研項目組成員、科研項目質量控制人員、各科研實施機構科研組長之間動態傳遞和共享，可以根據科研項目的不同階段，添加和移除不同用戶角色，實現相關人員的動態進入和退出。

實現方法：指定人員負責集中上傳、刪除科研項目各階段搜集、調閱和產生的科研項目資料，負責在科研項目準備階段，添加科研項目組成員以及分管領導，在科研實施階段，添加各科研實施機構科研組負責人員，在科研報告匯總階段，添加參與科研報告匯總人員，及時根據科研項目所處階段從組用戶中移除非相關人員。

安全控制措施：在上傳科研項目信息過程中，應區分信息的敏感度。通過辦公沙盒上傳的文件資料，組中用戶只能在沙盒內共享使用。通過組用戶動態管理，根據科研項目階段和職責履行需要，動態添加人員及時把完成任務和非任務相關人員移除出組用戶。

2.2.2.2科研信息庫應用場景

各科研機構信息庫管理人員可以使用數據集散地平臺創建組用戶，建立信息庫組文件空間，按照科研項目，在組文件空間創建相應目錄，把日常收集的相關資料上傳到對應目錄中。對于涉密信息，需要通過辦公沙盒方式上傳，非涉密信息通過物理終端方式上傳。信息庫組文件的授權訪問用戶，根據需要授權給異地實施機構項目組或總部相關人員。

2.2.2.3基礎研究應用場景

作為信息共享平臺的補充，科研機構在數據集散地中，應建立科研基礎研究任務發布、政策指導、成果集中展示平臺。

實現方法：根據各下轄機構的研究方向，分別在數據集散地平臺建立組用戶；總部指定專業信息管理員，負責組用戶維護和組文件管理、建立管理目錄，負責上傳基礎研究政策、制度，基礎研究規劃、任務，發布經審定后的研究成果；下轄機構根據分工形成的研究成果，經科研部審定和同意后，發布到對應專業化研究成果目錄中。

安全控制措施：發布到基礎研究組文件空間的研究成果要按照信息安全管理要求，進行脫敏處理；僅授權科研人員查閱的中、高安全等級信息文檔，要通過辦公沙盒方式上傳到共享平臺。

2.2.2.4科研資料共享應用場景

為便于科研人員查閱，又要確保信息安全訪問，需要一個安全平臺。

實現方法：一是科研部資料共享?？蒲胁吭跀祿⒌亟⒖蒲匈Y料共享組用戶；科研部指定一名安全管理人員，負責組用戶創建和組文件管理；科研部各部門指定一名管理人員，負責將相關文檔上傳到相應目錄，對上傳的文件更新、重命名；通過建立組用戶的方式，確定各科研機構信息管理人員，由其負責下載和接收科研部共享資料，并負責在本機構共享資料庫中發布。二是科研機構資料共享。各科研機構在數據集散地建立科研資料共享組用戶；科研機構指定一名安全管理人員，負責組用戶創建和組文件管理，負責組成員動態添加和移除；各部門指定一名信息管理人員，負責收集本部門共享科研資料以及下載、接收科研部共享科研資料，整理后發布到機構資料共享庫相應目錄中，對上傳的文件更新、重命名。

安全控制措施：發布到共享空間的科研資料要按照信息安全管理要求，進行脫敏處理；僅授權科研人員查閱的中、高安全等級信息文檔，要通過辦公沙盒方式上傳到共享平臺。

2.3工單流程及其應用

2.3.1主要功能及操作方法

工單流程通過我的工單和待辦任務菜單完成。主要包括創建工單、啟動工單、中止工單、刪除工單、數據提交、數據復核等功能。工單類型包括數據提取、數據共享、生產卸數三種類型，科研人員傳遞資料，一般使用數據共享工單，能夠完成敏感信息文件傳遞、使用、銷毀過程的安全控制，并在系統中保留文件生命周期軌跡。數據共享工單流程如圖5。

圖5　數據共享工單流程圖Fig.5 Data sharing ticket flowchart

2.3.2科研應用

一是滿足科研機構間的信息交流需求。可以使用數據共享工單，通過辦公沙盒提交科研材料，那么科研對象也只能在辦公沙盒中瀏覽科研提交材料，無法復制、拷貝到科研對象本地環境中，能夠達到打印文本交流相同的效果，而且通過系統在線方式，不受時間、地點、交通限制，方便交流，提高了效率。

二是滿足總部科研部門及下轄機構科研技術支持需求。數據提交人員可以通過數據集散地平臺，創建數據共享工單進行數據傳遞，以保留數據交接、處理、銷毀等軌跡。

三是滿足科研涉密信息安全傳遞需求。數據提交人可以創建數據共享工單，提交共享數據文件。對于只需數據使用人瀏覽的文檔資料，通過辦公沙盒方式進行文件提交，控制電子信息非授權擴散。

3　結語

現行的科研數據安全管理除采取簽訂安全保密協議、加強科研人員安全防范意識、利用銷毀工具銷毀文件等措施外，缺乏既便于科研數據應用又安全管控有效的工具。C機構的集散地平臺有效地解決了數據安全控制的缺陷。該系統能夠方便、快捷地實現科研信息的共享和安全管理，能夠滿足日常科研人員集中存儲、分級使用、安全控制的需要，還可以實現跨地域共享其他科研機構信息，為科研機構間協同研究提供數據共享便利；對加強科研數據信息安全管理工作，防止機密文件、敏感信息等重要電子資料泄密，確?？蒲行畔踩哂猩钸h的重要意義，值得在科研機構推廣。

［1］ 張勁松.基于層次指標的統計信息化評價模型研究［J］.中國管理信息化，2008，（11）：14.

［2］ SAM TRANUM.Iran's enrichment pause likely unconnected to stuxnet［J］. Uranium Intelligence Weekly，2010，4（48）：78-79.

［3］ 嚴霄鳳.“震網”引發網絡安全新思考［J］.信息安全與技術，2011，（02）：17-19.

［4］劉晉輝.計算機病毒技術分析［J］.兵工自動化，2012，（01）：93-96.

Research and information security management of C structure application data distribution center platform

XUXin
（Institute ofPetrochemistry，HeilongjiangAcademyofSciences，Harbin 150040，China）

With the degree of information technology industry research continuously deepening，information leakage events occur frequently，which makes serious impact on the reputation and image of scientific research institutions.Data distribution center platform is a C-based agency headquarters Browser/Server architecture development platform data sharing.This study describes the personal network disk，group documents，group user maintenance，work order process and its application.Distribution center platform C organizations can quickly and easily be shared and information security management research，to meet the daily researchers centralized storage，grading，you need security controls to ensure that information security research，worth in the promotion of scientific research institutions.

Information security；Personal SkyDrive；Boxoffice

TP3；F49

A

1674-8646（2015）04-0071-03