一种针对上传附件的安全性检测系统和方法技术方案

本发明专利技术涉及一种针对上传附件的安全性检测系统和方法，系统包括：文件上传前置模块、文件类型自主判断模块、图片安全扫描模块、办公文件安全扫描模块、视频安全扫描模块、音频安全扫描模块、后台管理系统、图片资源存储系统、影像存储系统、音频存储系统和证件识别系统。与现有技术相比，本发明专利技术采用对大容量附件上传例如高清图片影像件、视频影像件、办公文件等拆分分片处理技术、高效查杀非法文件及转存技术、影像件识别处理技术对银行软件的上传附件进行安全性检测，具有数据处理效率高等优点。具有数据处理效率高等优点。具有数据处理效率高等优点。

【技术实现步骤摘要】
一种针对上传附件的安全性检测系统和方法


[0001]本专利技术涉及银行软件的上传附件的安全性检测领域，尤其是涉及一种针对上传附件的安全性检测系统和方法。

技术介绍

[0002]目前，现有的图片，文件等附件安全性检测，包括类型识别，安全校验，上传存储，证件识别、人脸识别等功能难以充分满足业务需要。主要存在以下不足：
[0003]1图片，文件等的上传、识别服务部分分散在各个重要服务系统内部，由于无法弹性扩展导致上传效率不高，降低了原有功能的运行效率。此外，在原有服务系统实现图片，文件的上传功能还增加了原服务的维护开发工作量，和服务强耦合，破环了服务系统的专一性。
[0004]2原有图片上传服务功能比较单一，架构复杂老套，组件版本较低，存在升级改造难度大，功能的扩展迭代复杂度高，安全漏洞隐患多等问题。
[0005]3无法统一管控外部输入影像件，难以满足客户调阅长远历史影像信息的诉求。

技术实现思路

[0006]本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供的一种处理效率高的针对上传附件的安全性检测系统和方法。
[0007]本专利技术的目的可以通过以下技术方案来实现：
[0008]一种针对上传附件的安全性检测系统，系统采用springboot微服务架构和docker容器部署结合的方式进行构建，系统分为互相独立的三个区域，包括对外区、应用区和内网区，应用区与对外区连接，应用区内包括包括：文件上传前置模块、文件类型自主判断模块、图片安全扫描模块、办公文件安全扫描模块、视频安全扫描模块、音频安全扫描模块和后台管理系统，内网区包括图片资源存储系统、办公文件存储系统、影像存储系统、音频存储系统和证件识别系统，存储系统采用分布式存储，其中，
[0009]文件上传前置模块与文件类型自主判断模块连接，文件上传前置模块接收对外区的原始数据，对原始数据进行解密验签和上传权限校验，并向文件类型自主判断模块输出校验成功的原始数据，所述解密验签采用国密或商密中的一种或多种方法；
[0010]文件类型自主判断模块用于接收校验成功的原始数据，并对接收校验成功的原始数据进行类型判断，类型判断的结果包括图片数据、办公文件数据、视频数据和音频数据；
[0011]图片安全扫描模块、办公文件安全扫描模块、视频安全扫描模块和音频安全扫描模块都与文件类型自主判断模块连接，安全扫描模块用于根据类型判断的结果接收对应的图片数据、办公文件数据、视频数据和音频数据，对接收的数据进行魔数特征值匹配、长宽分析和可压缩分析结合的安全性校验，并将校验成功的数据输入数据类型对应的图片资源存储系统、办公文件存储系统、影像存储系统和音频存储系统中；
[0012]后台管理系统用于对上传权限和安全性校验进行配置；
[0013]证件识别系统与存储系统连接，用于对存储系统中的数据进行各类证件识别。
[0014]进一步地，后台管理系统还用于统计文件上传前置模块输出的校验成功的原始数据的流水数据，并基于流水数据和搜索引擎提供流水查询服务。
[0015]进一步地，对外区内设有WAF模块，用于规避DDOS攻击行为。
[0016]本专利技术的另一方面，提供一种针对上传附件的安全性检测方法，基于上述的一种针对上传附件的安全性检测系统，方法包括以下步骤：
[0017]S1、接收对外区发送的数据报文，并将数据报文作为原始数据传输至文件上传前置模块；
[0018]S2、在文件上传前置模块中解密验签和上传权限校验，将校验成功的原始数据输入文件类型自主判断模块；
[0019]S3、文件类型自主判断模块对校验成功的原始数据进行类型判断，类型判断的结果包括图片数据、办公文件数据、视频数据和音频数据；
[0020]S4、文件类型自主判断模块将图片数据、办公文件数据、视频数据和音频数据根据类型发送给安全扫描模块；
[0021]S5、图片安全扫描模块接收图片数据，办公文件安全扫描模块接收办公文件数据，视频安全扫描模块接收视频数据，音频安全扫描模块接收音频数据，安全扫描模块对接收的数据进行安全性校验，安全性校验具体为：
[0022]对接收的数据的魔数值特征进行匹配分析，若魔数值特征匹配失败，则返回提示信息，若魔数值特征匹配成功，则对接收的数据的长宽比进行分析，若分析的结果不满足条件，则返回提示信息，若满足条件，则验证接收的数据能否被压缩，若否，则返回提示信息，若是，则生成该数据的UID，将该数据的传输记录保存在Redis服务器中；
[0023]S6、图片安全扫描模块将校验成功的数据根据数据类型发送到图片资源存储系统、办公文件存储系统、影像存储系统和音频存储系统中，并反馈存储的结果，其中，图片资源存储系统接收校验成功的图片数据，影像存储系统接收校验成功的视频数据，办公文件存储系统接收校验成功的办公文件数据，音频存储系统接收校验成功的音频数据。
[0024]进一步地，S1中，原始数据经过解密验签，解密成功后，文件上传前置模块提取原始数据的渠道号和业务编号中的一种或多种，基于提取到的数据，通过后台管理系统配置的上传权限判断该原始数据的渠道是否具有上传验证权限，若有，则校验成功，执行S2，反之生成停止上传信号。
[0025]进一步地，S5中，安全性校验时，基于病毒特征码对文件和文件内容进行文件病毒查杀，若存在病毒，则启动一个清除病毒的线程清除文件所感染的病毒。
[0026]进一步地，魔数值特征匹配分析具体为：
[0027]判断接收的数据是否小于第一阈值，且魔数校验与接收的数据的文件后缀一致，则魔数值特征匹配，反之魔数值特征不匹配。
[0028]进一步地，对于图片数据，第一阈值为10mb。
[0029]进一步地，对于图片数据，长宽分析具体为：
[0030]验证图片数据的长和宽是否大于0，若是，则满足条件，反之不满足条件。
[0031]进一步地，数据的传输记录包括数据的UID、创建时间和数据的类型。
[0032]与现有技术相比，本专利技术具有以下有益效果：
[0033](1)本专利技术改善现有业务流程接口，将各类型文件，包括图片数据、办公文件数据、视频数据和音频数据四种类型的上传接口聚合化，使其应用架构轻量化，加快影像件处理效率。
[0034](2)本专利技术集成对接集成图片分布式存储、影像件识别处理(OCR识别)等技术，实现图片一站式处理，可以支持更多影像件处理类型，加强业务支撑，通过使用docker容器部署，实现可跨平台和主机使用，方便持续集成其他平台，便于改造升级和功能的扩展迭代。
[0035](3)本专利技术使用springboot微服务架构+docker容器部署，专注于单一功能，使得服务器处理请求的效率得以提升，解决其他业务系统需要再重新部署一套单独的处理附件的接口，造成功能的冗余及服务器压力问题，也使得后期的组件升级及性能优化更加方便与集中，提升工作效率，各业务系统只需考虑自身的业务优化即可；这种方式部署拆分开来的功本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种针对上传附件的安全性检测系统，其特征在于，系统采用springboot微服务架构和docker容器部署结合的方式进行构建，系统分为互相独立的三个区域，包括对外区、应用区和内网区，应用区与对外区连接，应用区内包括包括：文件上传前置模块、文件类型自主判断模块、图片安全扫描模块、办公文件安全扫描模块、视频安全扫描模块、音频安全扫描模块和后台管理系统，内网区包括图片资源存储系统、办公文件存储系统、影像存储系统、音频存储系统和证件识别系统，存储系统采用分布式存储，其中，文件上传前置模块与文件类型自主判断模块连接，文件上传前置模块接收对外区的原始数据，对原始数据进行解密验签和上传权限校验，并向文件类型自主判断模块输出校验成功的原始数据，所述解密验签采用国密或商密中的一种或多种方法；文件类型自主判断模块用于接收校验成功的原始数据，并对接收校验成功的原始数据进行类型判断，类型判断的结果包括图片数据、办公文件数据、视频数据和音频数据；图片安全扫描模块、办公文件安全扫描模块、视频安全扫描模块和音频安全扫描模块都与文件类型自主判断模块连接，安全扫描模块用于根据类型判断的结果接收对应的图片数据、办公文件数据、视频数据和音频数据，对接收的数据进行魔数特征值匹配、长宽分析和可压缩分析结合的安全性校验，并将校验成功的数据输入数据类型对应的图片资源存储系统、办公文件存储系统、影像存储系统和音频存储系统中；后台管理系统用于对上传权限和安全性校验进行配置；证件识别系统与存储系统连接，用于对存储系统中的数据进行各类证件识别。2.根据权利要求1所述的一种针对上传附件的安全性检测系统，其特征在于，后台管理系统还用于统计文件上传前置模块输出的校验成功的原始数据的流水数据，并基于流水数据和搜索引擎提供流水查询服务。3.根据权利要求1所述的一种针对上传附件的安全性检测系统，其特征在于，对外区内设有WAF模块，用于规避DDOS攻击行为。4.一种针对上传附件的安全性检测方法，基于权利要求1～3中任意一项所述的一种针对上传附件的安全性检测系统，其特征在于，方法包括以下步骤：S1、接收对外区发送的数据报文，并将数据报文作为原始数据传输至文件上传前置模块；S2、在文件上传前置模块中解密验签和上传权限校验，将校验成功的原始数据输入文件类型自主判断模块；S3、文件类型自主判断模块对校验成功的原始数据进行类型判断，类型判断的结果包括图片数据、办公文件数据、视频数据和...

【专利技术属性】
技术研发人员：铁锦程，李虎，曾毅峰，魏明丽，俞秋琳，叶剑亮，
申请(专利权)人：上海浦东发展银行股份有限公司，
类型：发明
国别省市：