基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享方案研究

劉謙

【摘 要】為了保護網(wǎng)絡(luò)信息安全，避免非法侵入或者竊取企業(yè)機密資料等情況的發(fā)生，必須要對網(wǎng)絡(luò)內(nèi)外部實行物理鏈路隔離，最大程度降低數(shù)據(jù)信息大量泄露的風(fēng)險。鑒于此，論文在網(wǎng)絡(luò)隔離技術(shù)的基礎(chǔ)上，設(shè)計了一種新的信息資源共享方案，并在SMS信息查詢系統(tǒng)中得到了實現(xiàn)，通過對應(yīng)用效果進行分析，證明了該方案具有一定可行性，且效率與安全性保障均可以滿足預(yù)期的要求。

【Abstract】In order to protect the security of network information， and avoid the occurrence of illegal intrusion or stealing confidential information of the enterprise， the physical link isolation must be carried out inside and outside the network to minimize the risk of massive leakage of data information. In view of this， the paper designs a new information resource sharing scheme based on network isolation technology， and implements it in SMS information query system. Through the analysis of the application effect， it is proved that the scheme has certain feasibility， and the efficiency and security guarantee can meet the expected requirements.

【關(guān)鍵詞】網(wǎng)絡(luò)隔離技術(shù)；信息資源；共享方案

【Keywords】 network isolation technology； information resources； sharing scheme

【中圖分類號】TP393.0 【文獻標(biāo)志碼】A 【文章編號】1673-1069（2017）12-0160-02

1 方案簡介

論文設(shè)計的方案是一種內(nèi)外網(wǎng)信息資源共享方案，其主要由三部分組成，分別是外網(wǎng)的數(shù)據(jù)采集與加密，網(wǎng)絡(luò)安全隔離區(qū)以及內(nèi)網(wǎng)中數(shù)據(jù)的應(yīng)用、解密以及信息反饋。其中，前兩者之間的數(shù)據(jù)傳輸為單向傳輸，即只能由網(wǎng)絡(luò)安全隔離區(qū)單向傳輸數(shù)據(jù)，詳見圖1。分析此方案設(shè)計可以得知，網(wǎng)絡(luò)安全隔離區(qū)中的單向光閘是實現(xiàn)數(shù)據(jù)“只輸入、不輸出”的重要保障；而利用第三方短信平臺，能夠?qū)?shù)據(jù)的輸出進行有效控制，以免發(fā)生信息泄露的情況；與此同時，通過DES/RSA混合加密算法還可以保證數(shù)據(jù)內(nèi)容的安全性，以免第三方或者未經(jīng)授權(quán)的使用者竊取信息內(nèi)容?？梢哉f此方案既具有RSA算法的高安全性，同時也具有DES算法的高效率性[1]。所以，此方案同樣適用于傳送涉密信息。

2 基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享系統(tǒng)組成

2.1 內(nèi)網(wǎng)數(shù)據(jù)的應(yīng)用、解密以及反饋

內(nèi)網(wǎng)數(shù)據(jù)的應(yīng)用、解密以及反饋是信息處理的關(guān)鍵環(huán)節(jié)。而內(nèi)網(wǎng)服務(wù)器是讀取信息數(shù)據(jù)的重要設(shè)備，讀取完成之后，按照協(xié)議將數(shù)據(jù)文件中的DES與RSA加密部分分離出來。首先，內(nèi)網(wǎng)的應(yīng)用服務(wù)器通過私鑰與公鑰認證數(shù)據(jù)文件，同時取得DES密鑰，之后，通過DES密鑰對數(shù)據(jù)文件中的加密部分進行解密，以獲得有效的數(shù)據(jù)信息[2]。其次，根據(jù)解密之后的信息，在系統(tǒng)的數(shù)據(jù)庫中進行查詢，得到查詢結(jié)果后，將其輸送到內(nèi)網(wǎng)進行審核，之后再利用RSA算法對其進行應(yīng)用層加密；最后，通過第三方信息平臺將信息數(shù)據(jù)發(fā)送到外網(wǎng)的終端上，由其自身進行信息解密。該系統(tǒng)的主要優(yōu)點為，由于SMS的效率比較低，故每一條SMS所能傳輸?shù)臄?shù)據(jù)最多為140Byte，而且，反饋程序?qū)τ脩舻姆答伌螖?shù)進行了限制。因此，能夠有效避免數(shù)據(jù)信息大量泄露的風(fēng)險。

2.2 網(wǎng)絡(luò)安全隔離區(qū)

作為系統(tǒng)的重要組成部分，網(wǎng)絡(luò)安全隔離區(qū)是實現(xiàn)數(shù)據(jù)包剝離與轉(zhuǎn)化、保證數(shù)據(jù)單向輸入內(nèi)網(wǎng)以及數(shù)據(jù)擺渡的重要保障。網(wǎng)絡(luò)安全隔離區(qū)的組成部分主要分為入侵防御系統(tǒng)（IPS）、防火墻（FW）以及身份認證等。其中，IPS與FW是整個網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分，對阻斷外網(wǎng)的非法進入，保證網(wǎng)絡(luò)系統(tǒng)信息安全具有重要作用。實際上，入侵防御系統(tǒng)能夠更好地完善防火墻功能，其可以對數(shù)據(jù)信息的整個網(wǎng)絡(luò)傳輸流程進行監(jiān)視，有效防止非法連接等現(xiàn)象的發(fā)生，同時阻止惡意代碼對系統(tǒng)的攻擊。而身份認證系統(tǒng)的主要作用分為兩部分，第一是對移動終端進行身份驗證，第二是對與安全隔離區(qū)的接入設(shè)備進行身份認證，身份認證系統(tǒng)的認證是雙向的，能夠有效保證系統(tǒng)的安全性。

2.3 外網(wǎng)數(shù)據(jù)采集與加密

用戶之所以能夠通過手機、平板、電腦等移動終端進行信息發(fā)送，是因為系統(tǒng)中配置了外網(wǎng)應(yīng)用服務(wù)器，而TCP/IP以及SMS數(shù)據(jù)包等均可以作為信息的載體。外網(wǎng)服務(wù)器在成功接收數(shù)據(jù)文件之后，首先會進行數(shù)據(jù)校驗，再通過DES算法對校驗完成后的數(shù)據(jù)信息進行加密，并生成DES數(shù)據(jù)包；之后，利用RSA算法對上一環(huán)節(jié)中產(chǎn)生的DES數(shù)據(jù)包的密鑰進行加密，生成RSA加密數(shù)據(jù)包以及認證數(shù)據(jù)包，最終將所有的數(shù)據(jù)包進行整合與發(fā)送。

3 方案的具體應(yīng)用以及應(yīng)用效果分析

3.1 SMS信息查詢系統(tǒng)

應(yīng)用此方案，設(shè)計出一種跨網(wǎng)的信息查詢系統(tǒng)，即SMS信息查詢系統(tǒng)。該系統(tǒng)的具體作用如下，首先，利用手機、電腦等移動終端發(fā)送相應(yīng)的指令；其次，指令在經(jīng)過安全加密以及認證后，通過網(wǎng)絡(luò)安全邊界，將指令單項輸入到內(nèi)網(wǎng)中；再次，由內(nèi)網(wǎng)進行相應(yīng)的信息查詢，得到相應(yīng)的查詢結(jié)果，并對其進行過濾與RSA加密；最終，借助第三方短信平臺，將查詢結(jié)果反饋到外網(wǎng)的服務(wù)器上，外網(wǎng)服務(wù)器會對其進行解密，解密完成之后再將其反饋回終端?，F(xiàn)階段，該系統(tǒng)已經(jīng)在企業(yè)的實際運營業(yè)務(wù)中得到了實際應(yīng)用。

3.2 應(yīng)用效果分析

①安全性分析。一方面，關(guān)于DES的攻擊主要分為線性密碼分析法以及差分密封分析法，而在此方案中，DES密鑰是隨機變換的，故每一次數(shù)據(jù)發(fā)送的加密密鑰均是不同的。這種情況下，攻擊者想要獲得密鑰便會付出相當(dāng)大的代價，且能夠獲取的信息數(shù)據(jù)相當(dāng)有限。所以，此方案能夠有效應(yīng)對上述兩種攻擊。另一方面，相比于DES算法，RSA算法的復(fù)雜性更高，攻擊者無法獲得DES密鑰，便無法獲取明文數(shù)據(jù)信息。此方案中對原有的RSA算法進行了相應(yīng)的改進，在數(shù)據(jù)信息的傳輸過程中增加了認證機制，有效提高了信息輸出與接收的安全性。②性能分析。此設(shè)計方案共采用了四種加密算法，分別為RSA、DES、DES/RSA混合以及改進DES/RSA混合加密。經(jīng)過實驗研究可知，改進之后的DES/RSA算法在加密文件大小以及加解密的效率方面，均與原有的算法比較接近，且在安全性上有所提升，可以有效解決欺騙攻擊等問題。

4 結(jié)論

在大數(shù)據(jù)時代的影響下，網(wǎng)絡(luò)與信息技術(shù)已經(jīng)普及到社會中的各個行業(yè)，網(wǎng)絡(luò)數(shù)據(jù)信息的安全性也成了社會關(guān)注的焦點之一。鑒于現(xiàn)階段網(wǎng)絡(luò)隔離方案中，存在著極大的內(nèi)網(wǎng)數(shù)據(jù)泄露的安全風(fēng)險，論文創(chuàng)新思維，在網(wǎng)絡(luò)隔離技術(shù)的基礎(chǔ)上，設(shè)計出了一種新的信息資源共享方案，在此方案中應(yīng)用了經(jīng)過改進的DES/RSA混合加密算法，可以有效降低涉密數(shù)據(jù)在傳輸中的泄露風(fēng)險。但是，由于該方案中數(shù)據(jù)導(dǎo)出的載體為SMS且數(shù)據(jù)為單項導(dǎo)出，故其效率較低，系統(tǒng)運行成本較高。鑒于此，為了在保證數(shù)據(jù)安全的前提下，盡可能地提高信息導(dǎo)出效率，必須研究出一種更加安全且成本較低的信息輸出方式，這也將成為基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享方案下一步研究的重點。

【參考文獻】

【1】劉曉翠，王晨臣，張曉宇，等.安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護中的應(yīng)用[J].通訊世界，2016，17（24）：190-191.

【2】黃平運.基于網(wǎng)閘設(shè)備的網(wǎng)絡(luò)隔離技術(shù)研究[J].電腦迷，2016，16（12）：143-144.