蔡瑩

摘 要：互聯(lián)網(wǎng)時(shí)代，信息的安全已經(jīng)成為眾企業(yè)必須考慮的問題。信息時(shí)代帶來的最大優(yōu)惠就是資源的共享，成然資源共享給我們的生活帶來很多便利，然而資源在互聯(lián)網(wǎng)上的共享也給企業(yè)的信息安全帶來了困擾。因此，眾多企業(yè)將自己企業(yè)內(nèi)部的信息與外部進(jìn)行隔離，將企業(yè)重要的數(shù)據(jù)置于內(nèi)網(wǎng)，由具有權(quán)限的內(nèi)部用戶進(jìn)行查看與應(yīng)用管理。將公共信息置于外網(wǎng)，供外部人員查看。這種劃分內(nèi)網(wǎng)與外網(wǎng)的方式，既符合國家的要求，也能夠保障信息的安全。然而，對(duì)于企業(yè)內(nèi)部的數(shù)據(jù)來說，如何在內(nèi)部的不同部門之間進(jìn)行有效的數(shù)據(jù)隔離，同時(shí)又能在需要時(shí)進(jìn)行合理的數(shù)據(jù)交換，卻成了更重要的課題。如果內(nèi)部的隔離不夠嚴(yán)謹(jǐn)，則會(huì)使數(shù)據(jù)泄露給不具權(quán)限資格的其他部門的用戶，造成企業(yè)風(fēng)險(xiǎn)，而與此相反，如果數(shù)據(jù)在內(nèi)部交換時(shí)實(shí)時(shí)性不好，或者文件傳輸類型受限，或出現(xiàn)速度過慢等情況，也會(huì)使得企業(yè)內(nèi)部的工作效率降低，因此研究企業(yè)內(nèi)網(wǎng)中數(shù)據(jù)隔離與交換持術(shù)有著十分重要的意義。文章研究了企業(yè)內(nèi)網(wǎng)中的數(shù)據(jù)隔離與交換技術(shù)的重要性，分析了新型數(shù)據(jù)安全交換模型。

關(guān)鍵詞：內(nèi)網(wǎng) 數(shù)據(jù)隔離技術(shù) 數(shù)據(jù)交換技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）02（b）-0023-02

1 新型數(shù)據(jù)安全交換模型設(shè)計(jì)

1.1 新型數(shù)據(jù)安全交換模型結(jié)構(gòu)

當(dāng)前，新型數(shù)據(jù)安全交換模型設(shè)計(jì)結(jié)構(gòu)如圖1所示，其中實(shí)現(xiàn)系統(tǒng)安全控制的核心是網(wǎng)閘，由網(wǎng)閘在網(wǎng)絡(luò)層實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)與外網(wǎng)的隔離作用。內(nèi)網(wǎng)數(shù)據(jù)與外網(wǎng)數(shù)據(jù)通過網(wǎng)閘進(jìn)行交換，從而實(shí)現(xiàn)隔離與交換的功能。多個(gè)內(nèi)網(wǎng)系統(tǒng)通過內(nèi)網(wǎng)數(shù)據(jù)交換平臺(tái)與網(wǎng)閘通信，內(nèi)網(wǎng)數(shù)據(jù)交換平臺(tái)屬于應(yīng)用層控制，通過應(yīng)用層代理來控制數(shù)據(jù)交換，進(jìn)行安全審計(jì)。同樣，多個(gè)外網(wǎng)系統(tǒng)通過外網(wǎng)數(shù)據(jù)交換平臺(tái)與網(wǎng)閘通信，外網(wǎng)數(shù)據(jù)交換平臺(tái)也是應(yīng)用層控制，通過應(yīng)用層代理來控制數(shù)據(jù)交換，進(jìn)行安全審計(jì)。通過這樣的結(jié)構(gòu)設(shè)計(jì)，可以使內(nèi)外網(wǎng)之間快速通信，并且實(shí)現(xiàn)可靠數(shù)據(jù)交換。

1.2 數(shù)據(jù)隔離機(jī)制

數(shù)據(jù)隔離機(jī)制是通過網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層3個(gè)層面進(jìn)行安全控制，從而實(shí)現(xiàn)有效隔離。

1.2.1 網(wǎng)絡(luò)層的隔離機(jī)制

網(wǎng)絡(luò)層的隔離工作主要是由網(wǎng)閘實(shí)現(xiàn)的，通過網(wǎng)閘可以設(shè)定內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)通過專有單一協(xié)議進(jìn)行直接跨網(wǎng)通信，而對(duì)其他非授權(quán)通信一律阻斷，以防范從外網(wǎng)對(duì)內(nèi)網(wǎng)的各類非法網(wǎng)絡(luò)進(jìn)行入侵和攻擊，包括漏洞攻擊、DDoS攻擊和帶寬攻擊等。

1.2.2 應(yīng)用層的隔離機(jī)制

應(yīng)用層隔離機(jī)制較多，具體包括以下幾點(diǎn)。

（1）協(xié)議與格式屏蔽。

內(nèi)外網(wǎng)之間的任何數(shù)據(jù)交換都通過兩個(gè)交換平臺(tái)進(jìn)行，兩個(gè)交換平臺(tái)使用內(nèi)部約定的格式及與網(wǎng)閘適配的單一私有協(xié)議，無論在應(yīng)用還是在網(wǎng)絡(luò)上都保證了安全。

（2）單項(xiàng)訪問控制。

交換平臺(tái)內(nèi)部的路由配置功能能夠有效地控制請(qǐng)求的轉(zhuǎn)發(fā)，因此可以配置單向路由，即某些系統(tǒng)只允許內(nèi)網(wǎng)訪問外網(wǎng)，不允許外網(wǎng)主動(dòng)發(fā)起對(duì)內(nèi)網(wǎng)數(shù)據(jù)的請(qǐng)求。

（3）合法性審查。

當(dāng)內(nèi)外網(wǎng)應(yīng)用系統(tǒng)進(jìn)行單向或雙向數(shù)據(jù)交換時(shí)，內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)在本方安全域內(nèi)，根據(jù)發(fā)送方應(yīng)用系統(tǒng)的身份和所發(fā)送數(shù)據(jù)的類別及密級(jí)，按照預(yù)先定義的數(shù)據(jù)交換安全策略，對(duì)數(shù)據(jù)交換的主體、內(nèi)容和方向進(jìn)行合法性檢查，只允許經(jīng)授權(quán)的內(nèi)外網(wǎng)應(yīng)用系統(tǒng)之間進(jìn)行必要的數(shù)據(jù)交換，且相互驗(yàn)證對(duì)方通信報(bào)文的合法性。

（4）安全管理。

通過內(nèi)外網(wǎng)交互系統(tǒng)的注冊(cè)、端口管理（通信層、中間件層、應(yīng)用層、人工處理層）和系統(tǒng)監(jiān)控（對(duì)象、流水、自定義消息）等安全監(jiān)控管理功能，靈活實(shí)現(xiàn)安全控制策略。

（5）雙向認(rèn)證機(jī)制。

即當(dāng)數(shù)據(jù)在內(nèi)外網(wǎng)之間進(jìn)行數(shù)據(jù)交換時(shí)，需要在內(nèi)網(wǎng)、外網(wǎng)兩方面做雙重身份認(rèn)證。

1.2.3 數(shù)據(jù)層的隔離機(jī)制

主要設(shè)計(jì)思路是只允許合法通信報(bào)文在內(nèi)網(wǎng)與外網(wǎng)之間通過，以達(dá)到有效隔離目的。

1.3 數(shù)據(jù)交換機(jī)制

數(shù)據(jù)通信的核心仍然是數(shù)據(jù)的交換。因此，在數(shù)據(jù)有效隔離機(jī)制的基礎(chǔ)上，仍要做到高效的數(shù)據(jù)交換，才能使得企業(yè)內(nèi)網(wǎng)數(shù)據(jù)之間、內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)之間進(jìn)行有效交換。

該模型設(shè)計(jì)的數(shù)據(jù)交換是基于消息總線的交換機(jī)制，即可以通過消息總線實(shí)現(xiàn)批量報(bào)文交換及數(shù)據(jù)、圖像、視頻、數(shù)據(jù)庫等各類文件的交換。

由交換主控模塊控制整個(gè)交換過程，主控模塊負(fù)責(zé)報(bào)文的收與發(fā)操作，每一次收與發(fā)操作，都由主控模塊為其分配一個(gè)唯一序號(hào)。主控模塊對(duì)于需要進(jìn)行格式轉(zhuǎn)換的報(bào)文可以通過格式管理模塊以及路由模塊進(jìn)行格式化處理。每一次交換操作都會(huì)由主控模塊進(jìn)行記錄，形成交換日志文件。

實(shí)現(xiàn)數(shù)據(jù)交換還需要任務(wù)管理、消息監(jiān)控、端口管理、平臺(tái)函數(shù)、用戶API調(diào)用接口等一些核心功能的支持。

2 結(jié)語

隨著信息技術(shù)的進(jìn)一步發(fā)展，信息安全的重要性已經(jīng)毋庸置疑，未來，還需不斷研究，設(shè)計(jì)使企業(yè)內(nèi)部數(shù)據(jù)安全可靠性更高且交換效率更高的平臺(tái)系統(tǒng)。

參考文獻(xiàn)

[1] 韓玉波.安全的數(shù)據(jù)隔離與交換系統(tǒng)[J].計(jì)算機(jī)世界，2006（9）.

[2] Li Hongtao，Xing Jinsheng，MAJianfeng.A High-Assurance Trust Model for Digital Community Control System Based on Internet of Things[J].Wuhan University Journal of Natural Sciences，2016（1）.

[3] Wei Guoheng，Zhang Huanguo，Wang Ya.A New Relay Attack on Distance Bounding Protocols and Its Solution with Time-Stamped Authentication for RFID[J].Wuhan University Journal of Natural Sciences，2016（1）：37-46.

[4] He Yuchen，WangRui，Shi Wenchang.Implementation of a TPM-Based Security Enhanced Browser Password Manager[J].Wuhan University Journal of Natural Sciences，2016（1）.

[5] Zhang Kang，Gao Ge，Chen Yi，et al.A High Robust Audio Watermarking Scheme Based on Orthogonal Decomposition[J].Wuhan University Journal of Natural Sciences，2016（2）：139-144.

[6] 陳興蜀，胡亮，陳廣瑞，等.虛擬網(wǎng)絡(luò)環(huán)境下安全服務(wù)接入方法[J].華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2016（3）：49-54.