企業內網中的數據隔離與交換技術探索

蔡瑩

摘 要：互聯網時代，信息的安全已經成為眾企業必須考慮的問題。信息時代帶來的最大優惠就是資源的共享，成然資源共享給我們的生活帶來很多便利，然而資源在互聯網上的共享也給企業的信息安全帶來了困擾。因此，眾多企業將自己企業內部的信息與外部進行隔離，將企業重要的數據置于內網，由具有權限的內部用戶進行查看與應用管理。將公共信息置于外網，供外部人員查看。這種劃分內網與外網的方式，既符合國家的要求，也能夠保障信息的安全。然而，對于企業內部的數據來說，如何在內部的不同部門之間進行有效的數據隔離，同時又能在需要時進行合理的數據交換，卻成了更重要的課題。如果內部的隔離不夠嚴謹，則會使數據泄露給不具權限資格的其他部門的用戶，造成企業風險，而與此相反，如果數據在內部交換時實時性不好，或者文件傳輸類型受限，或出現速度過慢等情況，也會使得企業內部的工作效率降低，因此研究企業內網中數據隔離與交換持術有著十分重要的意義。文章研究了企業內網中的數據隔離與交換技術的重要性，分析了新型數據安全交換模型。

關鍵詞：內網 數據隔離技術 數據交換技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2017）02（b）-0023-02

1 新型數據安全交換模型設計

1.1 新型數據安全交換模型結構

當前，新型數據安全交換模型設計結構如圖1所示，其中實現系統安全控制的核心是網閘，由網閘在網絡層實現對內網與外網的隔離作用。內網數據與外網數據通過網閘進行交換，從而實現隔離與交換的功能。多個內網系統通過內網數據交換平臺與網閘通信，內網數據交換平臺屬于應用層控制，通過應用層代理來控制數據交換，進行安全審計。同樣，多個外網系統通過外網數據交換平臺與網閘通信，外網數據交換平臺也是應用層控制，通過應用層代理來控制數據交換，進行安全審計。通過這樣的結構設計，可以使內外網之間快速通信，并且實現可靠數據交換。

1.2 數據隔離機制

數據隔離機制是通過網絡層、應用層、數據層3個層面進行安全控制，從而實現有效隔離。

1.2.1 網絡層的隔離機制

網絡層的隔離工作主要是由網閘實現的，通過網閘可以設定內外網數據交換平臺通過專有單一協議進行直接跨網通信，而對其他非授權通信一律阻斷，以防范從外網對內網的各類非法網絡進行入侵和攻擊，包括漏洞攻擊、DDoS攻擊和帶寬攻擊等。

1.2.2 應用層的隔離機制

應用層隔離機制較多，具體包括以下幾點。

（1）協議與格式屏蔽。

內外網之間的任何數據交換都通過兩個交換平臺進行，兩個交換平臺使用內部約定的格式及與網閘適配的單一私有協議，無論在應用還是在網絡上都保證了安全。

（2）單項訪問控制。

交換平臺內部的路由配置功能能夠有效地控制請求的轉發，因此可以配置單向路由，即某些系統只允許內網訪問外網，不允許外網主動發起對內網數據的請求。

（3）合法性審查。

當內外網應用系統進行單向或雙向數據交換時，內外網數據交換平臺在本方安全域內，根據發送方應用系統的身份和所發送數據的類別及密級，按照預先定義的數據交換安全策略，對數據交換的主體、內容和方向進行合法性檢查，只允許經授權的內外網應用系統之間進行必要的數據交換，且相互驗證對方通信報文的合法性。

（4）安全管理。

通過內外網交互系統的注冊、端口管理（通信層、中間件層、應用層、人工處理層）和系統監控（對象、流水、自定義消息）等安全監控管理功能，靈活實現安全控制策略。

（5）雙向認證機制。

即當數據在內外網之間進行數據交換時，需要在內網、外網兩方面做雙重身份認證。

1.2.3 數據層的隔離機制

主要設計思路是只允許合法通信報文在內網與外網之間通過，以達到有效隔離目的。

1.3 數據交換機制

數據通信的核心仍然是數據的交換。因此，在數據有效隔離機制的基礎上，仍要做到高效的數據交換，才能使得企業內網數據之間、內網與外網數據之間進行有效交換。

該模型設計的數據交換是基于消息總線的交換機制，即可以通過消息總線實現批量報文交換及數據、圖像、視頻、數據庫等各類文件的交換。

由交換主控模塊控制整個交換過程，主控模塊負責報文的收與發操作，每一次收與發操作，都由主控模塊為其分配一個唯一序號。主控模塊對于需要進行格式轉換的報文可以通過格式管理模塊以及路由模塊進行格式化處理。每一次交換操作都會由主控模塊進行記錄，形成交換日志文件。

實現數據交換還需要任務管理、消息監控、端口管理、平臺函數、用戶API調用接口等一些核心功能的支持。

2 結語

隨著信息技術的進一步發展，信息安全的重要性已經毋庸置疑，未來，還需不斷研究，設計使企業內部數據安全可靠性更高且交換效率更高的平臺系統。

參考文獻

[1] 韓玉波.安全的數據隔離與交換系統[J].計算機世界，2006（9）.

[2] Li Hongtao，Xing Jinsheng，MAJianfeng.A High-Assurance Trust Model for Digital Community Control System Based on Internet of Things[J].Wuhan University Journal of Natural Sciences，2016（1）.

[3] Wei Guoheng，Zhang Huanguo，Wang Ya.A New Relay Attack on Distance Bounding Protocols and Its Solution with Time-Stamped Authentication for RFID[J].Wuhan University Journal of Natural Sciences，2016（1）：37-46.

[4] He Yuchen，WangRui，Shi Wenchang.Implementation of a TPM-Based Security Enhanced Browser Password Manager[J].Wuhan University Journal of Natural Sciences，2016（1）.

[5] Zhang Kang，Gao Ge，Chen Yi，et al.A High Robust Audio Watermarking Scheme Based on Orthogonal Decomposition[J].Wuhan University Journal of Natural Sciences，2016（2）：139-144.

[6] 陳興蜀，胡亮，陳廣瑞，等.虛擬網絡環境下安全服務接入方法[J].華中科技大學學報：自然科學版，2016（3）：49-54.