蔡瑩

摘 要：互聯(lián)網(wǎng)時代，信息的安全已經(jīng)成為眾企業(yè)必須考慮的問題。信息時代帶來的最大優(yōu)惠就是資源的共享，成然資源共享給我們的生活帶來很多便利，然而資源在互聯(lián)網(wǎng)上的共享也給企業(yè)的信息安全帶來了困擾。因此，眾多企業(yè)將自己企業(yè)內(nèi)部的信息與外部進(jìn)行隔離，將企業(yè)重要的數(shù)據(jù)置于內(nèi)網(wǎng)，由具有權(quán)限的內(nèi)部用戶進(jìn)行查看與應(yīng)用管理。將公共信息置于外網(wǎng)，供外部人員查看。這種劃分內(nèi)網(wǎng)與外網(wǎng)的方式，既符合國家的要求，也能夠保障信息的安全。然而，對于企業(yè)內(nèi)部的數(shù)據(jù)來說，如何在內(nèi)部的不同部門之間進(jìn)行有效的數(shù)據(jù)隔離，同時又能在需要時進(jìn)行合理的數(shù)據(jù)交換，卻成了更重要的課題。如果內(nèi)部的隔離不夠嚴(yán)謹(jǐn)，則會使數(shù)據(jù)泄露給不具權(quán)限資格的其他部門的用戶，造成企業(yè)風(fēng)險，而與此相反，如果數(shù)據(jù)在內(nèi)部交換時實時性不好，或者文件傳輸類型受限，或出現(xiàn)速度過慢等情況，也會使得企業(yè)內(nèi)部的工作效率降低，因此研究企業(yè)內(nèi)網(wǎng)中數(shù)據(jù)隔離與交換持術(shù)有著十分重要的意義。文章研究了企業(yè)內(nèi)網(wǎng)中的數(shù)據(jù)隔離與交換技術(shù)的重要性，分析了新型數(shù)據(jù)安全交換模型。

關(guān)鍵詞：內(nèi)網(wǎng) 數(shù)據(jù)隔離技術(shù) 數(shù)據(jù)交換技術(shù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2017）02（b）-0023-02

1 新型數(shù)據(jù)安全交換模型設(shè)計

1.1 新型數(shù)據(jù)安全交換模型結(jié)構(gòu)

當(dāng)前，新型數(shù)據(jù)安全交換模型設(shè)計結(jié)構(gòu)如圖1所示，其中實現(xiàn)系統(tǒng)安全控制的核心是網(wǎng)閘，由網(wǎng)閘在網(wǎng)絡(luò)層實現(xiàn)對內(nèi)網(wǎng)與外網(wǎng)的隔離作用。內(nèi)網(wǎng)數(shù)據(jù)與外網(wǎng)數(shù)據(jù)通過網(wǎng)閘進(jìn)行交換，從而實現(xiàn)隔離與交換的功能。多個內(nèi)網(wǎng)系統(tǒng)通過內(nèi)網(wǎng)數(shù)據(jù)交換平臺與網(wǎng)閘通信，內(nèi)網(wǎng)數(shù)據(jù)交換平臺屬于應(yīng)用層控制，通過應(yīng)用層代理來控制數(shù)據(jù)交換，進(jìn)行安全審計。同樣，多個外網(wǎng)系統(tǒng)通過外網(wǎng)數(shù)據(jù)交換平臺與網(wǎng)閘通信，外網(wǎng)數(shù)據(jù)交換平臺也是應(yīng)用層控制，通過應(yīng)用層代理來控制數(shù)據(jù)交換，進(jìn)行安全審計。通過這樣的結(jié)構(gòu)設(shè)計，可以使內(nèi)外網(wǎng)之間快速通信，并且實現(xiàn)可靠數(shù)據(jù)交換。

1.2 數(shù)據(jù)隔離機制

數(shù)據(jù)隔離機制是通過網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層3個層面進(jìn)行安全控制，從而實現(xiàn)有效隔離。

1.2.1 網(wǎng)絡(luò)層的隔離機制

網(wǎng)絡(luò)層的隔離工作主要是由網(wǎng)閘實現(xiàn)的，通過網(wǎng)閘可以設(shè)定內(nèi)外網(wǎng)數(shù)據(jù)交換平臺通過專有單一協(xié)議進(jìn)行直接跨網(wǎng)通信，而對其他非授權(quán)通信一律阻斷，以防范從外網(wǎng)對內(nèi)網(wǎng)的各類非法網(wǎng)絡(luò)進(jìn)行入侵和攻擊，包括漏洞攻擊、DDoS攻擊和帶寬攻擊等。

1.2.2 應(yīng)用層的隔離機制

應(yīng)用層隔離機制較多，具體包括以下幾點。

（1）協(xié)議與格式屏蔽。

內(nèi)外網(wǎng)之間的任何數(shù)據(jù)交換都通過兩個交換平臺進(jìn)行，兩個交換平臺使用內(nèi)部約定的格式及與網(wǎng)閘適配的單一私有協(xié)議，無論在應(yīng)用還是在網(wǎng)絡(luò)上都保證了安全。

（2）單項訪問控制。

交換平臺內(nèi)部的路由配置功能能夠有效地控制請求的轉(zhuǎn)發(fā)，因此可以配置單向路由，即某些系統(tǒng)只允許內(nèi)網(wǎng)訪問外網(wǎng)，不允許外網(wǎng)主動發(fā)起對內(nèi)網(wǎng)數(shù)據(jù)的請求。

（3）合法性審查。

當(dāng)內(nèi)外網(wǎng)應(yīng)用系統(tǒng)進(jìn)行單向或雙向數(shù)據(jù)交換時，內(nèi)外網(wǎng)數(shù)據(jù)交換平臺在本方安全域內(nèi)，根據(jù)發(fā)送方應(yīng)用系統(tǒng)的身份和所發(fā)送數(shù)據(jù)的類別及密級，按照預(yù)先定義的數(shù)據(jù)交換安全策略，對數(shù)據(jù)交換的主體、內(nèi)容和方向進(jìn)行合法性檢查，只允許經(jīng)授權(quán)的內(nèi)外網(wǎng)應(yīng)用系統(tǒng)之間進(jìn)行必要的數(shù)據(jù)交換，且相互驗證對方通信報文的合法性。

（4）安全管理。

通過內(nèi)外網(wǎng)交互系統(tǒng)的注冊、端口管理（通信層、中間件層、應(yīng)用層、人工處理層）和系統(tǒng)監(jiān)控（對象、流水、自定義消息）等安全監(jiān)控管理功能，靈活實現(xiàn)安全控制策略。

（5）雙向認(rèn)證機制。

即當(dāng)數(shù)據(jù)在內(nèi)外網(wǎng)之間進(jìn)行數(shù)據(jù)交換時，需要在內(nèi)網(wǎng)、外網(wǎng)兩方面做雙重身份認(rèn)證。

1.2.3 數(shù)據(jù)層的隔離機制

主要設(shè)計思路是只允許合法通信報文在內(nèi)網(wǎng)與外網(wǎng)之間通過，以達(dá)到有效隔離目的。

1.3 數(shù)據(jù)交換機制

數(shù)據(jù)通信的核心仍然是數(shù)據(jù)的交換。因此，在數(shù)據(jù)有效隔離機制的基礎(chǔ)上，仍要做到高效的數(shù)據(jù)交換，才能使得企業(yè)內(nèi)網(wǎng)數(shù)據(jù)之間、內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)之間進(jìn)行有效交換。

該模型設(shè)計的數(shù)據(jù)交換是基于消息總線的交換機制，即可以通過消息總線實現(xiàn)批量報文交換及數(shù)據(jù)、圖像、視頻、數(shù)據(jù)庫等各類文件的交換。

由交換主控模塊控制整個交換過程，主控模塊負(fù)責(zé)報文的收與發(fā)操作，每一次收與發(fā)操作，都由主控模塊為其分配一個唯一序號。主控模塊對于需要進(jìn)行格式轉(zhuǎn)換的報文可以通過格式管理模塊以及路由模塊進(jìn)行格式化處理。每一次交換操作都會由主控模塊進(jìn)行記錄，形成交換日志文件。

實現(xiàn)數(shù)據(jù)交換還需要任務(wù)管理、消息監(jiān)控、端口管理、平臺函數(shù)、用戶API調(diào)用接口等一些核心功能的支持。

2 結(jié)語

隨著信息技術(shù)的進(jìn)一步發(fā)展，信息安全的重要性已經(jīng)毋庸置疑，未來，還需不斷研究，設(shè)計使企業(yè)內(nèi)部數(shù)據(jù)安全可靠性更高且交換效率更高的平臺系統(tǒng)。

參考文獻(xiàn)

[1] 韓玉波.安全的數(shù)據(jù)隔離與交換系統(tǒng)[J].計算機世界，2006（9）.

[2] Li Hongtao，Xing Jinsheng，MAJianfeng.A High-Assurance Trust Model for Digital Community Control System Based on Internet of Things[J].Wuhan University Journal of Natural Sciences，2016（1）.

[3] Wei Guoheng，Zhang Huanguo，Wang Ya.A New Relay Attack on Distance Bounding Protocols and Its Solution with Time-Stamped Authentication for RFID[J].Wuhan University Journal of Natural Sciences，2016（1）：37-46.

[4] He Yuchen，WangRui，Shi Wenchang.Implementation of a TPM-Based Security Enhanced Browser Password Manager[J].Wuhan University Journal of Natural Sciences，2016（1）.

[5] Zhang Kang，Gao Ge，Chen Yi，et al.A High Robust Audio Watermarking Scheme Based on Orthogonal Decomposition[J].Wuhan University Journal of Natural Sciences，2016（2）：139-144.

[6] 陳興蜀，胡亮，陳廣瑞，等.虛擬網(wǎng)絡(luò)環(huán)境下安全服務(wù)接入方法[J].華中科技大學(xué)學(xué)報：自然科學(xué)版，2016（3）：49-54.