論內外網(wǎng)數(shù)據(jù)安全傳輸?shù)目尚行?/h1>

2014-12-29 00:00:00臧家琪

企業(yè)文化·下旬刊訂閱 2014年4期 收藏

摘 要：隨著計算機網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡安全問題也日益凸顯，將保存著企業(yè)核心技術資料的服務連接到Internet互聯(lián)網(wǎng)中，機密被盜取的風險也越來越高。加之高新技術企業(yè)對核心技術資料的保密意識越來越強，越來越多的企業(yè)選擇將技術研發(fā)部門的網(wǎng)絡與Internet互聯(lián)網(wǎng)物理隔絕的形式，單獨組建局域網(wǎng)，以增加數(shù)據(jù)資料的安全性。但是，這樣會極大的影響到技術研發(fā)部門局域網(wǎng)（內網(wǎng)）與公司局域網(wǎng)（外網(wǎng)）間的數(shù)據(jù)傳輸，從而造成溝通不暢，影響工作效率。怎么能讓內外網(wǎng)之間在保證安全的前提下，進行數(shù)據(jù)傳輸是解決問題的關鍵。本文通過模擬工作中遇到的場景，從安全和性能上來分析內外網(wǎng)文件安全傳輸?shù)目尚行浴?/p>

關鍵詞：安全傳輸；數(shù)據(jù)互訪；數(shù)據(jù)加密

一、引言

目前，大多數(shù)企業(yè)無法徹底解決內網(wǎng)與外網(wǎng)之間數(shù)據(jù)的安全傳輸問題，只能將內網(wǎng)與外網(wǎng)隔絕，或者是放開一些限制進行有限的數(shù)據(jù)傳輸。但是，這種方法安全性與即時性成反比，不能滿足企業(yè)的實際需求。以下，本文將從幾個企業(yè)日常工作中經(jīng)常遇到的問題來分析解決辦法。

二、數(shù)據(jù)安全傳輸?shù)闹饕夹g

（一）數(shù)據(jù)加密技術

1、數(shù)據(jù)加密技術的含義

所謂數(shù)據(jù)加密技術就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。這種技術的目的是對傳輸中的數(shù)據(jù)流加密，常用的方式有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿，是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術對所發(fā)送文件進行加密，把明文（也即原文）加密成密文（加密后的文件，這些文件內容是一些看不懂的代碼），然后進入TCP/IP數(shù)據(jù)包封裝穿過互聯(lián)網(wǎng)，當這些信息一旦到達目的地，將由收件人運用相應的密鑰進行解密，使密文恢復成為可讀數(shù)據(jù)明文。

2、常用的數(shù)據(jù)加密技術

目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密，非對稱加密技術就是加密和解密所用的密鑰不一樣，它有一對密鑰，分別稱為“公鑰”和“私鑰”，這兩個密鑰必須配對使用，也就是說用公鑰加密的文件必須用相應人的私鑰才能解密，反之亦然。

（二）訪問控制

1、身份驗證

身份驗證是一致性驗證的一種，驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據(jù)、驗證系統(tǒng)和安全要求。身份驗證技術是在計算機中最早應用的安全技術，現(xiàn)在也仍在廣泛應用，它是互聯(lián)網(wǎng)信息安全的第一道屏障。

2、存取控制

存取控制規(guī)定何種主體對何種客體具有何種操作權力。存取控制是網(wǎng)絡安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標識、權限控制、類型控制和風險分析。存取控制也是最早采用的安全技術之一，它一般與身份驗證技術一起使用，賦予不同身份的用戶以不同的操作權限，以實現(xiàn)不同安全級別的信息分級管理。

三、新技術應用分析

（一）問題描述

允許已授權的外網(wǎng)（內網(wǎng)）用戶可以獲取指定的內網(wǎng)（外網(wǎng)）文件，其他未授權的外網(wǎng)（內網(wǎng)）用戶不能夠獲得該文件，且在文件傳輸過程中確保內網(wǎng)環(huán)境安全。

內網(wǎng)對網(wǎng)絡安全級別要求較高，且其中文件需要保密，內網(wǎng)的文件只有具有相應權限的外網(wǎng)特定用戶才能讀取，內網(wǎng)的文件傳到外網(wǎng)后，非授權用戶不可獲得；另外，內網(wǎng)無法訪問Internet，抗病毒能力較差，外網(wǎng)染毒文件傳入后，會影響系統(tǒng)安全。

（二）現(xiàn)行技術方案缺陷

目前現(xiàn)行最簡單的技術是內外網(wǎng)使用同一個服務器，為服務器配置一個內網(wǎng)IP和外網(wǎng)IP，但是這樣就相當于降低了內網(wǎng)的安全等級；再則就是內外網(wǎng)分別使用兩個服務器，兩臺服務器數(shù)據(jù)同步存儲，內網(wǎng)服務器存儲了外網(wǎng)的文件，外網(wǎng)服務器也存儲了內網(wǎng)服務器的文件，這樣就產(chǎn)生了文件安全問題；另外就是所有文件均加密傳輸，這將大大降低效率。

（三）新方案可行性分析

為使內、外網(wǎng)獨立，需各配置一個服務器（分別為SI，SO），若要文件安全的傳給指定用戶，且防止傳輸中局域網(wǎng)截取數(shù)據(jù)包攻擊，需要對文件進行加密，考慮到快捷性和方便性，加密和傳送密鑰的過程均選取對稱加密方式，因此需要一個服務器作為認證中心CA，CA可以獲取每個用戶的認證密碼。另配置一臺文件服務器SF，作為SI和SO間傳輸文件的橋梁。本文僅討論內網(wǎng)文件傳輸?shù)酵饩W(wǎng)的情況，外網(wǎng)情況與此類似。

在實際的使用過種中，涉及文件傳輸?shù)挠袃深?，一類是內網(wǎng)用戶主動發(fā)送文件，例如即時通；一類是外網(wǎng)用戶請求文件，例如一些圖文檔系統(tǒng)和物料管理系統(tǒng)?，F(xiàn)就兩類情況分別說明：

1、內網(wǎng)用戶主動發(fā)送文件

（1）應用場景：內網(wǎng)用戶UI向外網(wǎng)用戶UO發(fā)送文件F

（2）流程：

① UI把文件F以及UO的ID發(fā)給SI；

② SI判斷UO非本局域網(wǎng)用戶，隨機生成密鑰K，用K加密文件F，得到密文K（F），用自己的密鑰K_SI加密K，得到密文K_SI（K），把K_SI（K）發(fā)給CA；

③ CA解密K_SI（K）得到F，用UO的密鑰K_UO加密K得到K_UO（K），發(fā)給SI；

④ SI通過SF，SO把文件F的密文K（F）及K_UO（K）發(fā)送給UO；

⑤ UO用自己的密鑰K_UO解密K_UO（K）得到密鑰K，用K解密K（F）得到文件F的明文。

2、外網(wǎng)用戶請求獲取文件

（1）應用場景：外網(wǎng)用戶UO得到存放于內網(wǎng)服務器SI上的文件F。

（2）流程：

① UO向SO請求文件F；

② SO判斷文件F不在本機上，把UO及文件名FN通過SF傳給SI；

③ SI判斷UO是否授權用戶，若已授權，隨機生成密鑰K，用K加密文件F，得到密文K（F），用自己的密鑰K_SI加密K，得到密文K_SI（K），把K_SI（K）發(fā)給CA；

④ CA解密K_SI（K）得到F，用UO的密鑰K_UO加密K得到K_UO（K），發(fā)給SI；

⑤ SI通過SF，SO把文件F的密文K（F）及K_UO（K）發(fā)送給UO；

⑥ UO用自己的密鑰K_UO解密K_UO（K）得到密鑰K，用K解密K（F）得到文件F的明文。

3、可行性分析

（1）安全性分析

A、對獲取文件授權的認證：外網(wǎng)服務器SO把文件名FN和用戶名UO傳給內網(wǎng)服務器SI，SI通過訪問數(shù)據(jù)庫、FN的授權、F創(chuàng)建者的權限、UO的權限等判斷用戶名UO是否有取得文件F的權限。

B、對用戶的認證：SI把用UO密碼加密的K傳給UO，由能否解密得到正確K來認證用戶。從而保證只有被授權的用戶才能得到正確的文件。

C、密鑰的安全性：密鑰K在傳輸過程中始終都是以密文傳輸?shù)?，這個以保證SI和UO外的其它用戶是得不到密鑰K的。

D、文件的安全性：文件在整個傳輸過程中都是加密的，且在外網(wǎng)服務器和文件服務器上的存留時間都很短，因此可以確保文件的安全。

E、內網(wǎng)的安全：因為認證中心CA、文件服務器SF的IP地址是固定的，MAC地址也是固定的，故完全可以在內網(wǎng)服務器上通過配置路由器、防火墻來控制對內網(wǎng)的訪問；在文件服務器SF上安裝殺毒防木馬軟件可以使進入內網(wǎng)的文件未被感染。

（2）性能分析

A、使用對稱加密算法分發(fā)密鑰、加密文件，相對于用非對稱加密算法來說有很好的效率；僅對跨網(wǎng)傳輸?shù)奈募M行加密相對于對所有傳輸?shù)奈募M行加密可以節(jié)省大量時間。

B、文件僅在本局域網(wǎng)的服務器上存儲相對于各服務器同步存儲所有文件可以節(jié)省大量的硬盤空間；使用用戶登錄即時通的登錄密碼作為密鑰的加密密碼，減少了另外存儲密碼的空間，也不需用戶再去記憶多個密碼。

注意事項：

1、存儲用戶密鑰的數(shù)據(jù)庫應該與存儲其它信息的數(shù)據(jù)庫分開，并且僅限于CA訪問，以確保用戶密鑰的安全。

2、用戶應該即時更改登錄密碼，并注意保管密碼，確保其安全。

3、各服務器應配置嚴格的防火墻，及時更新殺毒軟件，及時為操作系統(tǒng)打漏洞。

四、結束語

因為涉及到內網(wǎng)與外網(wǎng)兩個網(wǎng)段的數(shù)據(jù)安全傳輸，其復雜程度較高。在安全傳輸過程中涉及到許多安全技術問題，制定安全技術規(guī)則和實施安全技術手段不僅可以推動安全技術的發(fā)展，同時也促進安全的文件傳輸體系的形成。當然，任何一個安全技術都不會提供永遠和絕對的安全，因為網(wǎng)絡在變化.應用在變化，入侵和破壞的手段也在變化，只有技術的不斷進步才是真正的安全保障。

參考文獻：

[1]《防火墻原理與技術》閻慧 王偉 寧宇鵬

[2]《網(wǎng)絡安全技術與應用》 趙安軍

[3]《信息網(wǎng)絡安全及防范技術探究》 滕萍

作者簡介：臧家琪（1985-），男，漢族，河南鄭州人，現(xiàn)為中鐵工程裝備集團有限公司信息中心副主任。

企業(yè)文化·下旬刊2014年4期

企業(yè)文化·下旬刊的其它文章

對北京大學體育消費特征的調查與分析

人民調解工作的溝通技巧

大學生創(chuàng)業(yè)失敗率高的原因剖析

大學生創(chuàng)業(yè)成功率的提升對策研究

網(wǎng)絡時代下檔案管理工作人員的素質要求分析

試論開展社區(qū)文化建設的必要性