龐銳

摘要：信息時(shí)代，出于保護(hù)內(nèi)部數(shù)據(jù)安全的需要，往往需要設(shè)立內(nèi)部網(wǎng)絡(luò)，這樣，我們就會(huì)面臨在內(nèi)外網(wǎng)之間進(jìn)行文件傳輸，該文對(duì)幾種常見(jiàn)的內(nèi)外網(wǎng)文件傳輸方式的原理和安全性進(jìn)行分析，同時(shí)探討了各種傳輸方式下可以采取的安全策略。

關(guān)鍵詞：數(shù)據(jù)安全；內(nèi)外網(wǎng)；文件傳輸；安全策略

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）29-0064-02

Abstract：In the information age，as the need to protect internal data security，we often have to create internal network，so we would face the problem of file transfer between the internal and external network.This paper analyses the principle and security of these common file transfer modes，and the different security strategies have to be pursued.

Key words：data security；file transfer；internal and external network；security strategies

1 前言

信息時(shí)代，企業(yè)之間為了提升競(jìng)爭(zhēng)力而加強(qiáng)核心資料保護(hù)或是政府機(jī)關(guān)事業(yè)單位基于內(nèi)部數(shù)據(jù)安全性的考慮，通常都會(huì)設(shè)置內(nèi)部局域網(wǎng)，簡(jiǎn)稱(chēng)內(nèi)網(wǎng)。而外網(wǎng)，即外部Inernet網(wǎng)絡(luò)，又提供了豐富的信息資源和更廣闊的網(wǎng)絡(luò)互聯(lián)性。因此，我們常常會(huì)面臨內(nèi)外網(wǎng)之間數(shù)據(jù)的交互、文件資料的傳輸問(wèn)題。同時(shí)，內(nèi)部局域網(wǎng)的核心資料和敏感信息對(duì)網(wǎng)絡(luò)安全性提出了更高的要求，因此，如何兼顧使用的便捷性和數(shù)據(jù)安全性成為廣大使用者面臨的難題。

2 常見(jiàn)內(nèi)外網(wǎng)文件傳輸方式

2.1 U盤(pán)/移動(dòng)硬盤(pán)

U盤(pán)和移動(dòng)硬盤(pán)是常見(jiàn)的移動(dòng)存儲(chǔ)工具，通過(guò)USB接口與不同內(nèi)外網(wǎng)電腦連接，就可實(shí)現(xiàn)即插即用，方便快捷地進(jìn)行文件傳輸。但是，使用U盤(pán)/移動(dòng)硬盤(pán)進(jìn)行文件傳輸?shù)陌踩院艿?，相互連接的U盤(pán)/移動(dòng)硬盤(pán)和計(jì)算機(jī)之間都可能傳播計(jì)算機(jī)病毒。在網(wǎng)絡(luò)發(fā)展歷程中，通過(guò)感染U盤(pán)/移動(dòng)硬盤(pán)傳播計(jì)算機(jī)病毒一直是計(jì)算機(jī)病毒傳播的重要方式。將惡意程序放入U(xiǎn)盤(pán)或者移動(dòng)硬盤(pán)，在不同的PC交換數(shù)據(jù)的過(guò)程中，就可以達(dá)到病毒傳播的目的。同時(shí)，在Windows Vista和Windows Server 2008操作系統(tǒng)以前，Windows操作系統(tǒng)針對(duì)移動(dòng)存儲(chǔ)介質(zhì)默認(rèn)運(yùn)行AutoPlay/AutoRun自動(dòng)播放功能。使得被病毒感染的移動(dòng)存儲(chǔ)介質(zhì)一旦插上計(jì)算機(jī)就會(huì)自動(dòng)運(yùn)行該病毒，傳播性和感染力極強(qiáng)，以至于這類(lèi)針對(duì)移動(dòng)存儲(chǔ)介質(zhì)的病毒飛速發(fā)展，時(shí)至今日，很多流行病毒通過(guò)U盤(pán)/移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)傳播的概率依然很大。

在使用U盤(pán)/移動(dòng)硬盤(pán)情況下可以采取的安全策略：（1）在系統(tǒng)中禁用移動(dòng)存儲(chǔ)介質(zhì)的自動(dòng)播放或自動(dòng)啟動(dòng)功能，禁止程序在U盤(pán)中創(chuàng)建或修改autorun.inf文件。（2）U盤(pán)/移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)在插入計(jì)算機(jī)后，先進(jìn)行病毒查殺，再運(yùn)行移動(dòng)存儲(chǔ)設(shè)備。（3）如果只是往移動(dòng)存儲(chǔ)設(shè)備中拷貝文件或刪除文件，最好設(shè)置移動(dòng)存儲(chǔ)設(shè)備為只讀模式再使用。（4）使用資源管理器，而不是使用“我的電腦”來(lái)訪問(wèn)移動(dòng)存儲(chǔ)設(shè)備。

2.2 光盤(pán)

光盤(pán)是以光信息作為存儲(chǔ)的載體并用來(lái)存儲(chǔ)數(shù)據(jù)的一種物品，分為CD-ROM、DVD-ROM等不可擦寫(xiě)光盤(pán)和CD-RW、DVD-RAM等可擦寫(xiě)光盤(pán)。光盤(pán)的使用需要光驅(qū)設(shè)備，便利性不如U盤(pán)/移動(dòng)硬盤(pán)。但是對(duì)比U盤(pán)和移動(dòng)硬盤(pán)，光盤(pán)有幾大優(yōu)勢(shì)：（1）穩(wěn)定性好。光盤(pán)使用光存儲(chǔ)，不受電磁干擾，防水，耐沖擊，光盤(pán)只要不受到物理?yè)p傷，一般情況下資料不會(huì)丟失。理論保存年限可以達(dá)到100年，適合長(zhǎng)久保存。（2）防病毒性。光盤(pán)內(nèi)容無(wú)法直接修改，有效避免了U盤(pán)病毒傳播。光盤(pán)需要專(zhuān)門(mén)的軟件才能進(jìn)行寫(xiě)入，無(wú)法后臺(tái)進(jìn)行，而U盤(pán)/硬盤(pán)插入即可進(jìn)行數(shù)據(jù)寫(xiě)入，病毒很方便進(jìn)行復(fù)制，而且鑒于大部分光盤(pán)不可重復(fù)擦寫(xiě)，自動(dòng)播放項(xiàng)不可改動(dòng)，所以通常病毒不會(huì)選擇光盤(pán)作為載體。（3）價(jià)格低廉，單次使用后銷(xiāo)毀成本低。（4）防止泄密。光盤(pán)的只讀特性可以有效防止數(shù)據(jù)泄密。

使用光盤(pán)可采取的安全策略：（1）做好權(quán)限管理，便于內(nèi)部資料的保護(hù)。只要管理好刻錄權(quán)限可有效防止數(shù)據(jù)泄密，而且即使出現(xiàn)問(wèn)題也容易追查。（2）在文件刻錄到光盤(pán)前對(duì)文件進(jìn)行病毒查殺，杜絕病毒傳播。（3）設(shè)置光盤(pán)為只讀特性。

2.3 雙網(wǎng)絡(luò)系統(tǒng)

雙網(wǎng)絡(luò)系統(tǒng)就是在一臺(tái)計(jì)算機(jī)上分別安裝內(nèi)網(wǎng)網(wǎng)卡和外網(wǎng)網(wǎng)卡，設(shè)置好內(nèi)外網(wǎng)卡的IP地址、子網(wǎng)掩碼和DNS，但是只在一張網(wǎng)卡上設(shè)置網(wǎng)關(guān)，如果內(nèi)網(wǎng)地址段是10.x.x.x，網(wǎng)關(guān)是10.y.y.y，互聯(lián)網(wǎng)網(wǎng)關(guān)是192.z.z.z。路由設(shè)置如下：

@route add -p 0.0.0.0 mask 0.0.0.0 192.z.z.z

@route add -p 10.0.0.0 mask 255.0.0.0 10.y.y.y

這樣做能夠同時(shí)訪問(wèn)內(nèi)外網(wǎng)，可以方便地實(shí)現(xiàn)內(nèi)外網(wǎng)文件傳輸，但是一旦病毒通過(guò)外網(wǎng)入侵計(jì)算機(jī)，那么內(nèi)網(wǎng)數(shù)據(jù)安全也很難保證。

雙網(wǎng)絡(luò)的安全策略：（1）系統(tǒng)設(shè)置強(qiáng)壯的密碼；（2）使用專(zhuān)業(yè)防火墻軟件，保護(hù)內(nèi)部數(shù)據(jù)安全；（3）只放行FTP的21和20端口，封閉其他端口。

2.4 安全隔離網(wǎng)閘系統(tǒng)

安全隔離網(wǎng)閘在兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，通過(guò)帶有多種控制功能的固態(tài)開(kāi)關(guān)和讀寫(xiě)介質(zhì)連接讀寫(xiě)操作從而實(shí)現(xiàn)信息交換，但同時(shí)兩個(gè)系統(tǒng)間又不存在通信的傳輸協(xié)議、信息傳輸命令、物理連接以及邏輯連接從而實(shí)現(xiàn)硬件鏈路層上的物理隔離。網(wǎng)閘將外部主機(jī)的TCP/IP協(xié)議全部剝離，以“擺渡”的方式，將數(shù)據(jù)通過(guò)存儲(chǔ)介質(zhì)導(dǎo)入到內(nèi)網(wǎng)主機(jī)系統(tǒng)，實(shí)現(xiàn)信息的交換。同時(shí)安全隔離網(wǎng)閘通常內(nèi)嵌病毒查殺功能，以實(shí)現(xiàn)對(duì)交換數(shù)據(jù)的病毒查殺。安全隔離網(wǎng)閘系統(tǒng)的優(yōu)越性在于：（1）實(shí)現(xiàn)物理隔離，提高內(nèi)部網(wǎng)絡(luò)安全性；（2）提供自動(dòng)的病毒查殺功能以及安全審計(jì)功能；（3）防止木馬攻擊。大部分的木馬攻擊都是基于TCP協(xié)議在客戶(hù)端和服務(wù)器端建立連接的，而安全隔離網(wǎng)閘使用自定義的私有協(xié)議而不是TCP通用協(xié)議。這就切斷了TCP連接，使木馬攻擊無(wú)法正常建立通訊連接，從而可以防止木馬攻擊。

安全隔離網(wǎng)閘系統(tǒng)的建設(shè)比較復(fù)雜，需要依賴(lài)專(zhuān)業(yè)的硬件供應(yīng)商。安全隔離網(wǎng)閘做到了物理隔離下的文件傳輸，防攻擊性能優(yōu)越，但是協(xié)議的代理對(duì)病毒防護(hù)仍然依賴(lài)當(dāng)前技術(shù)。

3 結(jié)束語(yǔ)

不同的內(nèi)外網(wǎng)文件傳輸方式的安全性和便利性不同，實(shí)現(xiàn)方式不同，造價(jià)也不同。這就需要我們根據(jù)使用需要進(jìn)行權(quán)衡，選擇適當(dāng)?shù)姆绞?。?dāng)然，我們應(yīng)該看到，隨著信息安全技術(shù)的日益發(fā)展，我們對(duì)數(shù)據(jù)資料的保護(hù)能力也逐漸提升。

參考文獻(xiàn)：

[1] 蒲天銀.安全隔離網(wǎng)閘技術(shù)發(fā)展探討[J].計(jì)算機(jī)時(shí)代，2006（6）.

[2] 張智銳.廣播電臺(tái)內(nèi)外網(wǎng)隔離安全傳輸技術(shù)研究[J].廣播與電視技術(shù)，2013（8）.

[3] 紀(jì)兆琳.內(nèi)外網(wǎng)雙網(wǎng)隔離方案淺析[J].內(nèi)燃機(jī)車(chē)，2011（9）.

[4] 羅蘊(yùn)軍.淺析電視臺(tái)制播系統(tǒng)的內(nèi)外網(wǎng)安全隔離[J].數(shù)字通信世界，2011（3）.

【通聯(lián)編輯：代影】