招商银行文件数据交换方案

1办公网数据交换方案1.0.1安全桌面支持导出文件1.0.1.1UI和UI约束描述管理员可以到控制台组策略安全桌面配置页面中，勾选“允许导出文件到安全桌面“选项。如图3.2.2.1.1。图3.2.2.1.1关联该策略的用户，登陆VSP，进入安全桌面后，可以在桌面看到导出文件的程序图标，如图3.2.2.1.2图3.2.2.1.2双击该图标，可以弹出一个程序，该程序功能就是把安全桌面的加密文件，导出到默认桌面的指定路径。如图3.2.2.1.3图3.2.2.1.3导出文件程序界面用户需要将导出的文件拖拉到导出程序窗口，在源文件列表中会显示该文件的完整路径。在列表中选中一个文件，再点击“移除文件”按钮进行移除。点击“清空所有”可以清除所有文件，即清空导出源文件列表。点击“保存到”按钮，弹出路径选择框，如图3.2.2.1.4所示。再点击“确认”按钮，则列表中所有需要导出的文件，都被导出到指定的默认桌面目录下，文件名不变。如果用户所拖拉的文件包含了不在安全桌面加密的文件（即这些文件是默认桌面的文件，没有被重定向），则会提示用户“你所选择的XX文件为非加密文件，无需导出“。图3.2.2.1.41.0.1.2导出文件用例用例编号4使用频度高参与角色终端用户优先级高用例描述安全桌面导出文件产品主场景1.登陆VSP，进入安全桌面2.点击导出文件程序快捷方式3拖拉文件到导出文件程序窗口4选择导出目录5点击确认导出扩展场景3a非安全桌面文件，弹出提示无需导出2保密网数据交换方案2.1支持不同用户共享文件2.1.1特性概述给用户共享机密文件提供一种机制，允许共享的同时还要保证在共享过程中机密文件不泄漏。用户要将机密文件共享给其它用户，首先需要从安全桌面内对文件进行导出，经过安全桌面的处理后，导出到默认桌面的文件也是加密的，用户在默认桌面是不能打开这些文件的，但用户可将此类文件当普通文件一样共享给其他用户，其他用户得到文件后，再通过安全桌面的导入工具将文件导入到安全桌面中，在安全桌面内可以正常使用该文件。2.1.2文件导出2.1.2.1UI与UI约束描述使用安全桌面内的导航条来启动导出工具，如图3.4-1所示。图3.4-1保密网安全桌面导航条点击标注D的按钮打开E面板，选择“导出文件”启动导出程序窗口，如图3.4-2所示。图3.4-2导出工具有两种方式进行添加导出文件，一是通过拖拉文件到窗口的方式，可多选文件添加；二是通过点击“添加文件”按钮进行添加，一次选择一个文件。一次性最多支持导出50个文件。文件导出后，将以“.sdf”（如sample.doc.sdf）为扩展名保存在默认桌面，.sdf文件及包含有.sdf文件的文件夹图标显示如图3.4-3所示。图3.4-3.sdf文件图标导出文件中，如果存在重名，则导出程序导出文件后自动对重名文件进行更名，更名规则为：将文件完整路径中的“：”去掉并且将“\”修改为“_”，然后作为导出的文件名，如导出的文件完整路径为C:\Dir\1.doc，则导出的文件名为C_Dir_1.doc。点击“清空”按钮清除导出列表所有文件信息，点击“移除”按钮移除导出列表中已经勾选的文件信息。点击“浏览”按钮可选择导出文件要存放的目录，点击“导出”按钮开始导出，进度条显示每个文件的导出进度，点击“关闭”退出导出程序，若程序正在导出，则“关闭”按钮显示的是“取消”，点击“取消”可取消当前的导出操作，取消后“取消”按钮变回“退出”按钮。每次完成导出一个文件，则将该文件信息从导出列表中移除。在导出窗口的最下方，会有提示导出文件失效的时间，该时间在登陆时由服务端下发。当鼠标移动到这行文字说明时，会显示更详细的说明，如图3.4-4所示。图3.4-4文件失效提醒2.1.2.2用例场景2.1.2.2.1文件导出用例编号1使用频度低参与角色移动终端优先级高用例描述将安全桌面内的机密文件进行导出产品主场景1、用户启动并进入保密网安全桌面2、用户通过SSL-VSP下载机密文件A.doc3、用户通过导航条启动导出工具4、用户拖拉选择A.doc文件加入导出列表5、用户点击“浏览”选择导出目录为桌面6、用户点击导出，在默认桌面生成A.sdf的导出加密文件扩展场景11、导出程序在导出过程中异常退出2、用户再次启动导出程序，再选择之前的文件进行导出；3、用户可以正常导出和使用文件。2.1.3文件导入2.1.3.1UI与UI约束描述使用安全桌面内的导航条来启动导入工具，如图3.4-5所示。点击标注D的按钮打开E面板，选择“导入文件”启动导入程序，除了使用导航条启动导入工具，还可以通过默认桌面的系统托盘来启动，如图所示3.4-6。图3.4-5保密网安全桌面导航条图3.4-6系统托盘导入文件导入工具的操作界面与导出工具类似，如图3.4-7所示，操作方法也是类似，这里就不需要再赘述了。当导入的文件已经过期时，需要弹出提示告知用户，提示方式如图3.4-8所示。图3.4-7文件导入工具图3.4-8禁止导入的提示当导入的文件不是从安全桌面导出的文件时，给出错误提示，如图3.4-9所示。图3.4-9导入非导出文件的错误提示2.1.3.2用例场景2.1.3.2.1导入合法的导出文件用例编号1使用频度低参与角色移动终端优先级高用例描述将导出文件导入安全桌面产品主场景1、用户A获取得用户B共享的机密文件File.sdf2、用户A启动并进入保密网安全桌面3、用户通过导航条启动导入工具4、用户通过点击“添加文件”按钮选择File.sdf文件5、用户点击“浏览”按钮选择导入目录为桌面6、用户点击“导入”按钮7、在桌面上生成File.doc的文件8、用户A在安全桌面内打开并编辑File.doc文件扩展场景11、用户通过默认桌面系统托盘启动导入工具2、用户通过拖拉的方式选择添加File.sdf3、用户选择D盘作为导入目录4、用户点击“导入”按钮，导入成功，安全桌面内D盘生成File.doc5、用户切换到安全桌面6、用户在D盘找到File.doc文件7、用户打开并编辑File.doc文件扩展场景21、导入程序在导入过程中异常退出2、用户再次启动导入程序可以重新进行导入2.1.3.2.2导入过期的导出文件用例编号2使用频度低参与角色移动终端优先级高用例描述尝试将过期的导出文件导入保密网安全桌面产品主场1、用户A获取得用户B共享的机密文件File.sdf，但文件已经过期2、用户A启动并进入安全桌面3、用户通过导航条启动导入工具景4、用户通过点击“添加文件”按钮选择File.sdf文件5、用户点击“浏览”按钮选择导入目录为桌面6、用户点击“导入”按钮，导入工具提示错误，如图3.4-8所示2.1.3.2.3尝试导入非导出的文件用例编号3使用频度低参与角色移动终端优先级高用例描述尝试将非导出的文件导入保密网安全桌面产品主场景1、用户将默认桌面一个普通的A.doc文件修改为A.sdf2、用户A启动并进入保密网安全桌面3、用户切换回默认桌面，使用系统托盘启动导入工具4、用户通过点击“添加文件”按钮选择A.sdf文件5、用户点击“浏览”按钮选择导入目录为桌面6、用户点击“导入”按钮，导入工具提示错误，如图3.4-9所示2.1.4文件共享密钥定期更新2.1.4.1UI与UI约束描述保密网安全桌面文件共享密钥为2048位RSA非对称密钥，属于全局配置，由总行的VSP在首次启动时自动创建，并同步到其他分行VSP。该密钥将进行定期更新，更新周期在VSP控制台可配。管理员可以在VSP组策略管理的“文件共享密钥管理”页面勾选“启用密钥自动更新”，并设置相应的更新周期和时间点，如图3.4-9所示。密钥自动更新默认未勾选，密钥更新周期和时间点不可选。图3.4-9文件共享密钥管理密钥更新周期可以选每周、每月、每三个月，或者直接输入具体的天数，如图3.4-10所示。密钥更新时间点可以选择从0:00—23:00的整点，如图3.4-11所示。图3.4-10密钥更新周期图3.4-11密钥更新时间点2.1.4.2用例场景2.1.4.2.1管理员设置文件共享密钥更新周期用例编号1使用频度低参与角色移动终端优先级高用例描述设置文件共享密钥更新周期产品主场景1.管理员打开“文件共享密钥管理”页面；2.管理员启用密钥定期更新，并设置更新周期；3.管理员点击“确定”，VSP后台保存设置成功；4.“文件共享密钥管理”页面提示设置成功；5.VSP后台启动共享密钥维护线程定期检测密钥是否过期。扩展场景1.管理员打开“文件共享密钥管理”页面；2.管理员启用密钥定期更新，并设置更新周期；3.管理员点击“确定”，VSP后台保存设置失败；4.“文件共享密钥管理”页面提示设置失败。2.1.4.2.2VSP定期更新文件共享密钥用例编号2使用频度高参与角色移动终端优先级高用例描述VSP定期更改文件共享密钥产品主场景1.VSP后台启动共享密钥维护线程；2.共享密钥维护线程检测到共享密钥已经到期；3.共享密钥维护线程创建新的2048位RSA公私钥作为新共享密钥；4.共享密钥维护线程将新的共享密钥加密保存于全局配置数据库中；5.集群同步模块检测到全局配置数据库已更改，将其同步到其他分行VSP。扩展场景1.VSP后台启动共享密钥维护线程；2.共享密钥维护线程检测到共享密钥已经到期；3.共享密钥维护线程无法成功创建新的2048位RSA公私钥；4.VSP打印错误日志，并向管理员发送告警邮件；5.VSP继续使用老的共享密钥。3敏感数据交换系统设计由于某些特殊的工作需求，需要从保密网中取出敏感数据，必须在保密网和办公网之间搭建一个敏感数据交换通道，同时对敏感数据的交换进行控制和审计。因此，敏感数据交换系统设计如图-5所示：图-5敏感数据交换系统流程图如图所示，保密网敏感数据交换系统由文件交换系统、工单系统组成。文件交换系统是一套Web应用系统，提供文件交换的申请、备份和下载服务。工单系统是招行现有的审批系统，提供了工单申请和查询等接口，与文件交换系统实现对接。数据交换系统具体实现流程如下：1.用户在保密网安全桌面内访问文件交换系统，打开文件交换申请页面，填写需要交换的文件路径。2.文件交换申请页面获取用户ID，并根据用户所填路径下的文件生成文件的MD5值，将用户ID、文件MD5和文件一同上传到文件交换系统后台服务器中。3.文件交换系统后台服务器将用户ID、文件MD5以及文件保存，并向工单系统提交文件交换申请，申请中附带该文件的查看链接。4.工单系统处理申请，并返回申请单号给文件交换系统。5.文件交换系统后台服务器将该申请单号与用户上传的文件建立唯一对应关系，然后将申请单号返回给用户。6.审批人进入工单系统进行审批，根据申请单中的文件查看链接打开文件交换系统的审批页面，该页面自动检测是否在保密网安全桌面打开，是则显示文件信息，否则提示需要进入安全桌面才能打开。7.用户在办公网中访问文件交换系统，打开文件下载页面，并提交申请单号和用户ID。8.文件交换系统根据输入的申请单号，向工单系统查询该申请是否审批通过，是则返回文件下载链接，否则提示用户申请未通过审批。上述敏感数据交换系统具备了较高的安全性和敏感数据交换可控可审计等特点。首先，敏感数据在安全桌面系统内经由SSL安全隧道上传，保证了数据传输过程中的安全性。其次，在保密网安全桌面外下载敏感数据时，经过了严格的审批，同时在文件交换系统中保存数据的备份，做到了可控可审计。再次，对敏感数据的审批，如果需要查看敏感数据，也必须在保密网安全桌面内进行，更全面地保证了敏感数据的安全性。