龐銳

摘要：信息時代，出于保護內部數(shù)據(jù)安全的需要，往往需要設立內部網絡，這樣，我們就會面臨在內外網之間進行文件傳輸，該文對幾種常見的內外網文件傳輸方式的原理和安全性進行分析，同時探討了各種傳輸方式下可以采取的安全策略。

關鍵詞：數(shù)據(jù)安全；內外網；文件傳輸；安全策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）29-0064-02

Abstract：In the information age，as the need to protect internal data security，we often have to create internal network，so we would face the problem of file transfer between the internal and external network.This paper analyses the principle and security of these common file transfer modes，and the different security strategies have to be pursued.

Key words：data security；file transfer；internal and external network；security strategies

1 前言

信息時代，企業(yè)之間為了提升競爭力而加強核心資料保護或是政府機關事業(yè)單位基于內部數(shù)據(jù)安全性的考慮，通常都會設置內部局域網，簡稱內網。而外網，即外部Inernet網絡，又提供了豐富的信息資源和更廣闊的網絡互聯(lián)性。因此，我們常常會面臨內外網之間數(shù)據(jù)的交互、文件資料的傳輸問題。同時，內部局域網的核心資料和敏感信息對網絡安全性提出了更高的要求，因此，如何兼顧使用的便捷性和數(shù)據(jù)安全性成為廣大使用者面臨的難題。

2 常見內外網文件傳輸方式

2.1 U盤/移動硬盤

U盤和移動硬盤是常見的移動存儲工具，通過USB接口與不同內外網電腦連接，就可實現(xiàn)即插即用，方便快捷地進行文件傳輸。但是，使用U盤/移動硬盤進行文件傳輸?shù)陌踩院艿停嗷ミB接的U盤/移動硬盤和計算機之間都可能傳播計算機病毒。在網絡發(fā)展歷程中，通過感染U盤/移動硬盤傳播計算機病毒一直是計算機病毒傳播的重要方式。將惡意程序放入U盤或者移動硬盤，在不同的PC交換數(shù)據(jù)的過程中，就可以達到病毒傳播的目的。同時，在Windows Vista和Windows Server 2008操作系統(tǒng)以前，Windows操作系統(tǒng)針對移動存儲介質默認運行AutoPlay/AutoRun自動播放功能。使得被病毒感染的移動存儲介質一旦插上計算機就會自動運行該病毒，傳播性和感染力極強，以至于這類針對移動存儲介質的病毒飛速發(fā)展，時至今日，很多流行病毒通過U盤/移動硬盤等移動存儲介質傳播的概率依然很大。

在使用U盤/移動硬盤情況下可以采取的安全策略：（1）在系統(tǒng)中禁用移動存儲介質的自動播放或自動啟動功能，禁止程序在U盤中創(chuàng)建或修改autorun.inf文件。（2）U盤/移動硬盤等移動存儲介質在插入計算機后，先進行病毒查殺，再運行移動存儲設備。（3）如果只是往移動存儲設備中拷貝文件或刪除文件，最好設置移動存儲設備為只讀模式再使用。（4）使用資源管理器，而不是使用“我的電腦”來訪問移動存儲設備。

2.2 光盤

光盤是以光信息作為存儲的載體并用來存儲數(shù)據(jù)的一種物品，分為CD-ROM、DVD-ROM等不可擦寫光盤和CD-RW、DVD-RAM等可擦寫光盤。光盤的使用需要光驅設備，便利性不如U盤/移動硬盤。但是對比U盤和移動硬盤，光盤有幾大優(yōu)勢：（1）穩(wěn)定性好。光盤使用光存儲，不受電磁干擾，防水，耐沖擊，光盤只要不受到物理損傷，一般情況下資料不會丟失。理論保存年限可以達到100年，適合長久保存。（2）防病毒性。光盤內容無法直接修改，有效避免了U盤病毒傳播。光盤需要專門的軟件才能進行寫入，無法后臺進行，而U盤/硬盤插入即可進行數(shù)據(jù)寫入，病毒很方便進行復制，而且鑒于大部分光盤不可重復擦寫，自動播放項不可改動，所以通常病毒不會選擇光盤作為載體。（3）價格低廉，單次使用后銷毀成本低。（4）防止泄密。光盤的只讀特性可以有效防止數(shù)據(jù)泄密。

使用光盤可采取的安全策略：（1）做好權限管理，便于內部資料的保護。只要管理好刻錄權限可有效防止數(shù)據(jù)泄密，而且即使出現(xiàn)問題也容易追查。（2）在文件刻錄到光盤前對文件進行病毒查殺，杜絕病毒傳播。（3）設置光盤為只讀特性。

2.3 雙網絡系統(tǒng)

雙網絡系統(tǒng)就是在一臺計算機上分別安裝內網網卡和外網網卡，設置好內外網卡的IP地址、子網掩碼和DNS，但是只在一張網卡上設置網關，如果內網地址段是10.x.x.x，網關是10.y.y.y，互聯(lián)網網關是192.z.z.z。路由設置如下：

@route add -p 0.0.0.0 mask 0.0.0.0 192.z.z.z

@route add -p 10.0.0.0 mask 255.0.0.0 10.y.y.y

這樣做能夠同時訪問內外網，可以方便地實現(xiàn)內外網文件傳輸，但是一旦病毒通過外網入侵計算機，那么內網數(shù)據(jù)安全也很難保證。

雙網絡的安全策略：（1）系統(tǒng)設置強壯的密碼；（2）使用專業(yè)防火墻軟件，保護內部數(shù)據(jù)安全；（3）只放行FTP的21和20端口，封閉其他端口。

2.4 安全隔離網閘系統(tǒng)

安全隔離網閘在兩個獨立主機系統(tǒng)之間，通過帶有多種控制功能的固態(tài)開關和讀寫介質連接讀寫操作從而實現(xiàn)信息交換，但同時兩個系統(tǒng)間又不存在通信的傳輸協(xié)議、信息傳輸命令、物理連接以及邏輯連接從而實現(xiàn)硬件鏈路層上的物理隔離。網閘將外部主機的TCP/IP協(xié)議全部剝離，以“擺渡”的方式，將數(shù)據(jù)通過存儲介質導入到內網主機系統(tǒng)，實現(xiàn)信息的交換。同時安全隔離網閘通常內嵌病毒查殺功能，以實現(xiàn)對交換數(shù)據(jù)的病毒查殺。安全隔離網閘系統(tǒng)的優(yōu)越性在于：（1）實現(xiàn)物理隔離，提高內部網絡安全性；（2）提供自動的病毒查殺功能以及安全審計功能；（3）防止木馬攻擊。大部分的木馬攻擊都是基于TCP協(xié)議在客戶端和服務器端建立連接的，而安全隔離網閘使用自定義的私有協(xié)議而不是TCP通用協(xié)議。這就切斷了TCP連接，使木馬攻擊無法正常建立通訊連接，從而可以防止木馬攻擊。

安全隔離網閘系統(tǒng)的建設比較復雜，需要依賴專業(yè)的硬件供應商。安全隔離網閘做到了物理隔離下的文件傳輸，防攻擊性能優(yōu)越，但是協(xié)議的代理對病毒防護仍然依賴當前技術。

3 結束語

不同的內外網文件傳輸方式的安全性和便利性不同，實現(xiàn)方式不同，造價也不同。這就需要我們根據(jù)使用需要進行權衡，選擇適當?shù)姆绞?。當然，我們應該看到，隨著信息安全技術的日益發(fā)展，我們對數(shù)據(jù)資料的保護能力也逐漸提升。

參考文獻：

[1] 蒲天銀.安全隔離網閘技術發(fā)展探討[J].計算機時代，2006（6）.

[2] 張智銳.廣播電臺內外網隔離安全傳輸技術研究[J].廣播與電視技術，2013（8）.

[3] 紀兆琳.內外網雙網隔離方案淺析[J].內燃機車，2011（9）.

[4] 羅蘊軍.淺析電視臺制播系統(tǒng)的內外網安全隔離[J].數(shù)字通信世界，2011（3）.

【通聯(lián)編輯：代影】