基于移動互聯(lián)網(wǎng)科技論文共享平臺數(shù)據(jù)的安全策略研究

2015年6月 第35卷第6期 現(xiàn)代情報(bào) 00135 信息資源開發(fā)與利用 基于移動互聯(lián)網(wǎng)科技論文共享平臺 數(shù)據(jù)的安全策略研究 卞成杰 下成杰 (鹽城師范學(xué)院檔案館，江蘇鹽城224051) 摘要科技論文共享平臺的數(shù)據(jù)具有數(shù)據(jù)來源多樣、數(shù)據(jù)增量大和非法訪問潛在性增加等特點(diǎn)，為了解決平臺運(yùn)行中 數(shù)據(jù)訪問與數(shù)據(jù)操作存在的安全問題，通過從數(shù)據(jù)庫設(shè)計(jì)與代碼設(shè)計(jì)層面解決了數(shù)據(jù)訪問層面的安全問題；從信息加密、數(shù)據(jù) 庫服務(wù)器、系統(tǒng)的數(shù)據(jù)訪問限定在設(shè)定權(quán)限范圍內(nèi)，并通過參數(shù)操作數(shù)據(jù)， 避免了數(shù)據(jù)被非法操作。通過合理的安全策略控制，有效地保障移動互聯(lián)網(wǎng)科技論文共享平臺實(shí)際投入使用后的安全。 關(guān)鍵詞移動互聯(lián)網(wǎng)；共享平臺；角色權(quán)限；數(shù)據(jù)安全 0308212015060中圖分類號2 文獻(xiàn)標(biāo)識碼A 文章編號10080821(2015)06004306 2405 1，on es of O n to to of eb to of to is of it y of of 著智能手機(jī)、平板電腦的普及，移動互聯(lián)網(wǎng)得到迅 速發(fā)展，同時(shí)，移動互聯(lián)網(wǎng)信息安全問題也日顯突出。據(jù) 瑞星2013年安全報(bào)告，移動互聯(lián)網(wǎng)的信息安全工作還遠(yuǎn)未 及格，“重體驗(yàn)、輕安全”成為移動開發(fā)者們的通病。就 科技論文共享平臺而言，注冊用戶的不斷增加，涉及平臺 的數(shù)據(jù)操作與數(shù)據(jù)訪問會變得越來越頻繁，其數(shù)據(jù)操作也 會變得越來越復(fù)雜，對于平臺數(shù)據(jù)的數(shù)據(jù)安全控制就提上 了日程，在平臺開發(fā)中需要將數(shù)據(jù)的安全性考慮進(jìn)系統(tǒng)的 開發(fā)設(shè)計(jì)之中，只有將安全考慮進(jìn)系統(tǒng)的設(shè)計(jì)之中，才能 得到符合用戶需求的安全且穩(wěn)定的平臺，真正使系統(tǒng)為用 戶創(chuàng)造優(yōu)質(zhì)安全的使用價(jià)值。 1科技論文共享平臺的數(shù)據(jù)特點(diǎn) 如今，整個(gè)社會都在互聯(lián)網(wǎng)化，而且正快速地移動互 聯(lián)網(wǎng)化，傳播和交互信息對于每個(gè)人都開始變得平等 ， 科技論文共享平臺處于開放式的環(huán)境之中，伴隨著用戶數(shù) 的增加，數(shù)據(jù)量的增加，更多移動平臺客戶端的加入，其 收稿日期：20141208 基金項(xiàng)目：教育部科技發(fā)展中心網(wǎng)絡(luò)時(shí)代的科技論文快速共事專項(xiàng)研究(2013)資助課題“基于用服務(wù)平臺”(項(xiàng)目編號：2013119)研究成果之一。 作者簡介：卞咸杰(1965一)，男，研究館員，碩士，研究方向：信息資源管理，發(fā)表論文643 基于移動互聯(lián)網(wǎng)科技論文共享平臺數(shù)據(jù)的安全策略研究 015 5 數(shù)據(jù)的安全薄弱點(diǎn)就顯得尤為突出，以下從數(shù)據(jù)來源、數(shù) 據(jù)量、數(shù)據(jù)訪問潛在被攻擊的可能性3個(gè)方面來論述開發(fā) 于互聯(lián)網(wǎng)下的跨平臺科技論文共享平臺的數(shù)據(jù)特點(diǎn)： 11數(shù)據(jù)來源多樣 科技論文共享平臺為開放式平臺，其數(shù)據(jù)來源從傳統(tǒng) 的單一來源于期刊數(shù)據(jù)庫，發(fā)展為除來源于管理員的新增， 還有網(wǎng)絡(luò)用戶的新增，網(wǎng)絡(luò)用戶又包含了傳統(tǒng)的網(wǎng)絡(luò)用戶 與移動網(wǎng)絡(luò)用戶，這樣對于數(shù)據(jù)的來源就非常的多樣，在 網(wǎng)絡(luò)用戶數(shù)據(jù)進(jìn)入服務(wù)器之后，管理員擔(dān)任的審核工作就 變得常態(tài)化，要能夠明確數(shù)據(jù)的傳人格式、傳人用戶對應(yīng) 可以傳輸何種類型的數(shù)據(jù)，這就需要在源頭控制用戶具備 何權(quán)限操作數(shù)據(jù)庫。 12數(shù)據(jù)增量大 平臺上線后，隨著時(shí)間的推移，用戶數(shù)量的不斷增長， 上傳的數(shù)據(jù)會呈數(shù)量級的增長，在用戶的基本信息中包含 著部分用戶的個(gè)人隱私信息，這部分信息的泄漏會關(guān)系到 平臺的健康運(yùn)行，如果本平臺將用戶的信息泄漏出去，泄 露的數(shù)據(jù)可能被黑客利用，造成財(cái)物損失、隱私泄漏、收 到更有針對性的電話推銷和垃圾郵件_3 J，除此之外，平臺 上存儲了大量的最新的科技論文數(shù)據(jù)信息，不同用戶上傳 的論文數(shù)據(jù)如果被非法越權(quán)訪問，也會對個(gè)人對應(yīng)的論文 數(shù)據(jù)造成泄漏，從而極易引起部分科技成果被竊取使個(gè)人 的學(xué)術(shù)研究產(chǎn)生損失。 13非法訪問潛在性增加 網(wǎng)絡(luò)環(huán)境在改善的同時(shí)，伴隨著網(wǎng)絡(luò)技術(shù)的提高，黑 客的活動也變得常態(tài)化，論文共享平臺的開發(fā)已采用了跨 平臺的開發(fā)式開發(fā)技術(shù)，這就意味著數(shù)據(jù)訪問的來源不僅 僅是傳統(tǒng)的包含了移動客戶端，而移動客戶 端本身就包含了具有操作服務(wù)器數(shù)據(jù)的加上對于授權(quán)的權(quán) 限，這就增加了訪問來源的不確定性，如果存在非法用戶， 那攻擊論文共享平臺的幾率就會比傳統(tǒng)的平臺增加不少， 非法訪問數(shù)據(jù)庫的概率潛在性大大增加。 2數(shù)據(jù)訪問安全 科技論文共享平臺的數(shù)據(jù)訪問必須要控制在用戶授權(quán) 范圍內(nèi)進(jìn)行，這方面如果不能得到有效的控制，論文的質(zhì) 量及論文的操作就會受到影響，主要從平臺設(shè)計(jì)的角度考 慮，從數(shù)據(jù)庫層面與代碼層面控制正確的論文資源被事先 預(yù)定好的用戶進(jìn)行相應(yīng)權(quán)限的操作。 21平臺數(shù)據(jù)訪問潛在的威脅 科技論文共享平臺是一個(gè)開放的平臺，這種開放不僅 體現(xiàn)在跨平臺擴(kuò)展上，更體現(xiàn)在相關(guān)服務(wù)的開放上(不同 的客戶端可以調(diào)用這樣平臺 數(shù)據(jù)訪問的來源也呈現(xiàn)出多樣性。對科技論文共享平臺數(shù) -44 據(jù)訪問構(gòu)成不安全的因素很多，主要有3個(gè)方面：人為因 素(非授權(quán)用戶利用頁面分析工具提取出關(guān)鍵信息進(jìn)而輸 入其他猜測信息得到不屬于自己的信息)、自然因素和不可 預(yù)知因素。其中人為因素是對科技論文共享平臺數(shù)據(jù)安全 威脅最大的因素，其表現(xiàn)為信息資源被非合法的授權(quán)用戶 訪問，如有些云服務(wù)商的內(nèi)部雇員通過云管理平臺的特權(quán) 接口隱蔽地訪問云數(shù)據(jù)，造成云數(shù)據(jù)泄露或損毀這樣 造成的直接后果是普通用戶可以訪問其他用戶的個(gè)人信息 及上傳的論文資源，同時(shí)可以下載設(shè)定訪問權(quán)限的私人資 源，這樣會對平臺資源的合法利用造成威脅，導(dǎo)致非授權(quán) 訪問造成信息泄露_5 J。 22基于角色的數(shù)據(jù)訪問安全控制設(shè)計(jì) 基于角色的訪問控制是美國國家標(biāo)準(zhǔn)與技術(shù)研究所 (戴維和瑞克庫恩于1992首次提出_6 J。它的核心 思想是引入角色的概念，并建立了用戶和權(quán)限之間的間接 關(guān)系。通過授予用戶的角色，用戶角色獲得特權(quán)?？萍颊?文共享平臺的數(shù)據(jù)訪問安全控制包括頁面級和數(shù)據(jù)表級的 安全控制，對于頁面級的安全控制主要目的是讓每種角色 的用戶只能訪問對應(yīng)權(quán)限的頁面，并且不能通過數(shù)據(jù)地址 的形式而訪問到不屬于該用戶授權(quán)角色的頁面，進(jìn)而得到 不屬于自己權(quán)限的操作，為了能夠?qū)υ撀┒催M(jìn)行控制，本 系統(tǒng)采用基于角色的訪問控制，每種類型的用戶會設(shè)定一 個(gè)角色，每種角色會加上授權(quán)的模塊訪問權(quán)限，從而確保 用戶只能訪問屬于自己擁有角色的模塊，具體的設(shè)計(jì)圖如 圖1所示。 對于表數(shù)據(jù)級的安全控制主要目的是控制核心數(shù)據(jù)只 能給定達(dá)到一定級別的用戶訪問，或者只能讓數(shù)據(jù)給設(shè)定 的角色進(jìn)行訪問，同時(shí)可以根據(jù)登錄用戶的角色及用戶的 個(gè)性化設(shè)置產(chǎn)生不同的搜索結(jié)果，這樣只需要在科技論文 信息主表上新增訪問控制字段，在做論文檢索是加上對應(yīng) 的控制條件即可完成對核心數(shù)據(jù)的訪問權(quán)限控制，這樣， 就可以讓授權(quán)的用戶訪問數(shù)據(jù)，限制其他人的訪問 J。 23數(shù)據(jù)訪問安全的代碼流程控制 有了科技論文共享平臺的權(quán)限控制設(shè)計(jì)，需要在系統(tǒng) 開發(fā)代碼上對數(shù)據(jù)訪問權(quán)限進(jìn)行控制，在進(jìn)入管理首頁面 時(shí)需要加載菜單展示，同時(shí)需要在每個(gè)頁面上加上頁面訪 問權(quán)限控制，因?yàn)椴捎昧嘶诮巧臄?shù)據(jù)庫設(shè)計(jì)，該系統(tǒng) 可以采用一個(gè)基類來完成對頁面加載的權(quán)限控制，同時(shí)在 首頁面加載時(shí)統(tǒng)一根據(jù)用戶的角色所擁有的模塊訪問權(quán)限 進(jìn)行加載，具體的數(shù)據(jù)模塊加載流程控制如圖2所示。 對于每個(gè)頁面的加載原始都是繼承的了便于對頁面級的訪問進(jìn)行整體的權(quán)限控制，如： 用戶訪問模塊的權(quán)限、登錄日志、頁面訪問異常跳轉(zhuǎn)等， 這樣就可以對系統(tǒng)的異常訪問做統(tǒng)一的監(jiān)控與權(quán)限控制， 具體的做法是設(shè)計(jì)一個(gè)計(jì)如下： 2015年6月 第35卷第6期 現(xiàn)代情報(bào) 015 5 針對傳人外在所有的涉 及數(shù)據(jù)訪問與數(shù)據(jù)操作的地方采用存儲過程，這樣可以在 數(shù)據(jù)庫層配置訪問控制，如果發(fā)現(xiàn)傳人了非法的題，則可以通過配置來避免攻擊者利用漏洞來訪問數(shù)據(jù) 庫中的敏感信息。 33關(guān)鍵信息加密處理 針對部分關(guān)鍵數(shù)據(jù)在傳輸過程中被非法獲取，需要對 其進(jìn)行加密處理，在行消息的安全傳遞需 要滿足如下條件消息的發(fā)送方能夠確定消息只有預(yù)期的接 收方可以解密、消息的接收方可以確定消息是由誰發(fā)送的、 消息的接收方必須確認(rèn)消息的完整性3個(gè)基本條件，對于 加密通常分為兩種方式：對稱加密和非對稱加密，對于對 稱加密，雙方具有共享的密鑰，如果用戶數(shù)量多并不適宜， 對于非對稱加密則密鑰是由公開密鑰私有密鑰組成的密鑰 對，用私有密鑰進(jìn)行加密，利用公開密鑰可以進(jìn)行解密_9 J， 但是由于公開密鑰無法推算出私有密鑰，所以公開的密鑰 并不會損害私有密鑰的安全，公開密鑰無須保密，可以公 開傳播，而私有密鑰必須保密 1 。在科技論文共享平臺中 對于關(guān)鍵信息采用了方式的特點(diǎn)是即使 用戶非法獲取了信息，也無法得到原始值從而對原始值進(jìn) 行加工利用，另使用度與復(fù)雜度，復(fù)雜度過低也會使信息被解密。圖3為科 技論文共享平臺的加密處理情況： 4數(shù)據(jù)庫服務(wù)器安全 圖3平臺加密處理資源訪問流程 在科技論文共享平臺開發(fā)及測試完成之后，需要將系 統(tǒng)部署到實(shí)際的生產(chǎn)服務(wù)器上，這樣就設(shè)計(jì)到數(shù)據(jù)庫服務(wù) 器的安全，數(shù)據(jù)庫服務(wù)器安全包括3個(gè)層面的控制，首先 是用于用戶部署數(shù)據(jù)的008的安全控制；其次是 平臺所在服務(wù)器操作系統(tǒng)008的安全控制； 再次是平臺所在的網(wǎng)絡(luò)環(huán)境安全控制。 41數(shù)據(jù)庫層面安全控制 科技論文共享平臺數(shù)據(jù)庫隨著在線用戶的增加，數(shù)據(jù) 庫信息安全也會面臨越來越大的挑戰(zhàn)_1 ，表現(xiàn)在通過用戶 名和密碼來獲取數(shù)據(jù)的訪問及操作權(quán)限，用戶名和密碼的 泄漏主要有兩個(gè)大的途徑：其一是據(jù)庫管理員) 進(jìn)行惡意攻擊是最容易的；其二是數(shù)據(jù)庫本身密碼設(shè)置簡 單12。這就需要有一套數(shù)據(jù)庫系統(tǒng)人為的管理機(jī)制來控制 非法用戶進(jìn)行數(shù)據(jù)庫的訪問，并且對于密碼的復(fù)雜度需要 達(dá)到一定的強(qiáng)度。 不正確的用戶權(quán)限分配，實(shí)際的開發(fā)用戶可以登陸進(jìn) 系統(tǒng)通過執(zhí)行用存 儲過程留下數(shù)據(jù)庫執(zhí)行的后門程序，這就需要對于任何不 同角色的具有數(shù)據(jù)庫訪問與操作權(quán)限的相關(guān)人員的數(shù)據(jù)庫 代碼進(jìn)行檢查與論證，同時(shí)對數(shù)據(jù)庫服務(wù)器上存在的存儲過程進(jìn)行加密，從而使