一種基于網絡導入的數據安全擺渡系統設計

◆賈 鵬

?

一種基于網絡導入的數據安全擺渡系統設計

◆賈 鵬

(西安市國家保密局陜西 710000)

隨著政府機關計算機辦公領域中普通辦公內網與外網（互聯網或其他公共網絡）數據擺渡的應用越來越多，為增強數據安全性和操作便利性，本文基于單向光纖網卡作為單向網閘，研究并設計了一種數據的安全擺渡系統。該系統利用UDP協議中Socket通信編程技術作為系統單向通信實現的網絡協議和方法，并結合私有云平臺實現將外網數據單向擺渡進內網，同時確保內網數據不會向外網泄露。經驗證，該系統達到了設計要求，提高了系統的安全保密性同時具有較好的用戶體驗。

網絡安全；單向網閘；數據擺渡

0 引言

當前在政府機關的計算機辦公應用中，在內外網之間主要依靠U盤拷貝配合擺渡機的方法進行數據擺渡傳輸，這種方式造成了工作效率的低下，并為保密管理帶來風險隱患。本設計是在配置了單向網閘的基礎上，研究并實現了一款基于Socket傳輸技術，設計出一套基于UDP協議的文件規則作為通信協議的文件擺渡軟件[1]，通過只能由外網到內網單導通信的網絡環境中實現可靠高效的內外網之間的文件同步。該軟件能夠適應在保密要求高的環境下，完成數據從外網到內網的單向傳遞。同時，由于使用單獨的擺渡軟件對用戶界面不夠友好，本文通過開發現存的私有云盤的技術作為輔助，優化了用戶操作界面，驗證了系統的安全性，方便了用戶使用同時提高了系統的可用性、安全性和高效性[2]。

本擺渡系統的設計思想取自單向網閘技術，從物理上來隔斷潛在的攻擊連接。在鏈路層連接的實現中，包括一系列的阻斷特征，如沒有通信連接，沒有命令，沒有TCP/IP協議等，只有文件的“擺渡”。對固態介質只有讀、寫兩個命令。其結果是無法攻擊，無法入侵，無法破壞[3,4]。單向性使得通訊鏈路不能形成反饋通道，這樣即使數據中夾帶惡意程序，因隔離了反饋通道，這些攻擊程序也實現不了功能，從而保證該網絡的一定安全性。

1 系統模塊設計

本系統由文件監控、數據傳輸與解析、私有云盤等模塊組成一個有機的整體，是通過單向網閘切斷內網對外網的數據輸出，而保留外網到內網的數據輸入，進而實現外網與內網的物理隔離，保證內網數據不會通過發生泄漏。在設計實現中，系統只需保證盡最大努力的文件同步，而不必要保證文件完全可靠傳輸。

1.1 拓撲結構設計

圖1 網絡拓撲圖

圖1左側為典型的外網部分，由客戶端（包含無線的）和外網服務器組成；而圖右側為典型的內網部分，由客戶端和外網服務器組成；中間是基于單向網閘的數據擺渡系統。用戶可以通過外網中的PC主機、便攜電腦以及智能手機等設備通過網絡登陸云盤的方式連接到外網服務器，在云盤上對自己的文件進行修改，此時系統的文件同步應用會捕獲修改的信息，并通過單向網閘向內網服務器端傳輸。內網服務器上的同步應用在接收到文件修改信息后針對文件進行同步操作，保證本地文件與外網文件的同步。同時，用戶在內網可以通過PC主機以登陸云盤的方式連接到內網服務器，獲得自己需要的文件。

1.2 功能模塊設計

本文目的在于設計并開發一個基于單向網閘的數據安全擺渡系統，該系統將在只能由外網到內網單導通信的網絡環境中實現盡可能可靠高效的由外網到內網的文件同步功能。在對系統需求進行分析后，確定并設計了系統的功能模塊。

圖2 系統模塊總圖

如圖2所示，系統由兩大塊內容構成。其一為系統的核心模塊：基于單向網閘的數據安全擺渡應用，其二為系統中起輔助功能的網絡云盤模塊。

（1）文件監控模塊負責對外網服務器指定文件夾發生的文件變化進行監控。在外網服務器數據庫中對需要監控的文件夾進行快照，并實時地將文件夾中內容與數據庫進行對照，及時發現文件夾的改動。一旦發現被監控文件夾有所改動，啟動在基于UDP協議的文件規則和基于Socket通信將發生改動的文件單向發送至內網服務器，實現數據的同步更新[5]。

（2）數據傳輸與解析模塊主要負責內外網服務器之間的數據傳輸與解析。在外網服務器中，該模塊主要負責需要傳輸到內網服務器的數據包的構造與發送，并在發送成功后，更新外網數據庫中的文件信息；在內網服務器，該模塊主要負責接收外網服務器發來的數據包，同時對數據包內容進行校驗與解析。

（3）操作重現模塊是系統為內網服務器單獨設計的功能。該模塊的主要任務是在接收到通過數據傳輸與解析模塊得到的操作信息后，對該操作在本地文件系統中進行復現。在復現成功后，需要在內網數據庫中對相關信息進行更新。

（4）日志模塊主要負責對系統各種操作的記錄。該模塊需要記錄的信息包括操作的開始時間、操作對象、操作類型以及操作是否成功等信息。在選擇日志保存介質時，本系統選擇對日志進行冗余保存，一方面將日志按時間保存到文件系統中，另一方面將日志信息在數據庫中進行備份。

（5）網絡云盤模塊主要包含如下幾個功能模塊：文件上傳、文件預覽、文件下載、文件分享、文件重命名、文件刪除與恢復，以及一些用戶管理功能。

1.3 通信協議設計

一般惡意程序的攻擊過程是一種基于TCP協議的連接的網絡通訊過程。這種連接的優點是數據傳遞準確，缺點是必須雙向通訊，如有隱藏的病毒木馬則無法避開。但在基于單向網閘的數據安全擺渡應用中，外網服務器與內網服務器之間的數據傳輸是重點。我們選用的私有協議是基于UDP的，具體設計如下。

由于內外網服務器不能進行握手協議，因此在本系統中，內外網服務器的通信協議主要涉及的內容是數據包的組織。外網服務器向內網服務器發送的數據主要有兩種類型：一是描述對文件進行的操作的數據，二是描述文件內容的數據。這兩種信息都有相同的前綴，其前綴組成如圖3所示。

圖3 通信協議前綴

1.4 云盤設計

私有云網盤在本文中主要是為用戶提供一個友好的界面，同時用于數據安全擺渡應用的驗證。其主要的設計如下：

圖4 私有云盤圖

如圖4所示，私有云盤在外網服務器配置有數據庫與文件系統，通過數據安全擺渡軟件向內網擺渡數據。在內網中，系統分為兩個文件夾系統，以及兩個數據庫系統。其中數據庫1和文件系統1是對外網服務器中數據庫和文件的復制，設為只讀。數據庫2和文件2為內網用戶操作端，設為可讀可寫。之所以要使用兩個數據庫，一是為了避免數據污染，產生意外的邏輯錯誤，二是為了保持隔離，增強數據安全。內網用戶在內網中可以同樣通過訪問私有云盤的形式來訪問自己的文件。

1.5 數據庫設計

數據庫設計主要包括兩個部分，一是對網絡云盤的數據庫設計，二是對數據擺渡應用的數據庫設計。

（1）云盤的數據庫設計

設計包括：文件信息表、文件操作表、刪除文件的信息表、用戶信息表、用戶存儲空間信息表、用戶名片信息表、用戶小組關系信息表、小組管理員信息表、用戶加密文件信息表、用戶登錄客戶端信息表。

（2）數據擺渡應用的數據庫設計

設計包括：文件信息表、日志記錄表。

2 系統功能測試

在各個功能模塊進行單獨測試并通過后，本文接下來將對系統整體進行功能測試。本節將在介紹測試環境配置的基礎上，先給出系統不同功能的用例圖，并在提供功能測試樣例的前提下，對系統進行功能測試以及性能分析。

測試環境包括：

1.1 功能測試及分析

如前所述，本文為系統添加私有云盤以方便用戶使用。因此，以刪除為例，用戶需要首先在私有云盤登錄自己的賬號。在打開屬于用戶的文件界面之后，可以在該界面進行文件的刪除操作。其對文件的操作將被文件監控模塊捕捉并傳給數據安全擺渡應用。數據安全擺渡應用接收到該信息后，將相關信息打包成數據包，通過Socket發送給內網中的服務器，之后在本地數據庫中刪除該文件的相關信息，并記錄操作。內網服務器接收到該信號后，通過解析獲取相關信息，并在本地文件系統中和數據庫中執行對應操作。當文件操作完成之后，需要將私有云盤的數據庫進行同步，過程同上。當私有云盤的數據庫同步完成之后，用戶在內網可以登錄位于內網的云盤系統，其刪除的文件將不再顯示在內網的云盤中，此時同步刪除操作完成。用戶在內網私有云盤登錄后可發現內網與外網刪除同樣的文件，如圖5所示。

圖5 內外網私有云文件信息對照

在確定系統能夠達到設定的擺渡功能后，接下來本文測試了該系統的擺渡性能，測試結果如表1。

表1 測試結果

將結果處理后得到圖6的折線圖，其中橫軸表示為發送的數據數量，其值為發送數量對10取對數得到的值；縱軸為接收方接收數據數量占發送數量的百分比。

圖6 接收比例變化圖

可以看到，當數據量較少時，發送方發送的數據量和接收方接收的數據量是一致的。當數據量超過10萬時，接收方接收到的數據量開始小于發送方發送的數據量。

為了找到出現數據丟失的具體原因，本文設計了如下的基準測試：發送方使用給定大小的數據作為發送數據，在接收線程中僅對數據進行提取、復制到緩沖區以及計數操作；發送線程發送數據包時可以選擇不限流發送和限流發送，具體實現為：若發送方限流，則每發送一個數據包暫停1ms；否則不做暫停。實驗結果如表2。

標粗魚苗塘的日常管理工作必須建立嚴格崗位制度。要求每日巡塘3次以上，即：早上6：00-7：00；中午14：00-15：00；晚上2：00-4：00，做到三查，三勤。即檢查早上是否浮頭，中午檢查魚苗活動和攝食情況，晚上檢查水質、天氣、水溫；勤撈蛙卵，驅趕鳥類，清除塘邊雜草，減少蛇鼠災害。

表2 測試結果

從表2中可以看出，在接收線程數固定的情況下，對發送速度進行限流和不限流對接收到的數據數量有較大影響；而接收線程數量的改變對之有影響，但是影響不大。

經過分析，本文找出了接收線程和緩沖區是影響接收質量的原因。

因此，本文對接收線程的數量與接收數據包數量之間的關系進行了測試。實驗中，發送方仍使用指定大小的數據作為發送數據，但是只采用不限流的方式進行發送，共發送100萬個數據包；接收方仍只執行對數據進行提取、復制到緩沖區以及計數操作。結果如圖7所示。當接收線程數量等于1時，數據包丟失的數量最多。而當接收線程數量大于2時，數據包丟失現象基本穩定。

圖7 程數量與丟包數量變化圖

當數據接收方或者發送方的Socket緩沖區較小時，在數據瞬時流量稍大的情況下就極易發生數據覆蓋現象。由此，本文對緩沖區大小進行了設置，研究了緩沖區大小與接收數據包數量之間的關系。實驗中，發送方使用指定大小的數據作為發送數據，采用不限流的方式進行發送，共發送100W個數據包；接收方只執行對數據進行提取、復制到緩沖區以及計數操作，接收線程數量為10；更改兩個主機的Socket緩沖區大小。結果如圖8。

圖8 緩沖區大小與丟包數量變化圖

如圖8采取系統默認的緩沖區會造成數據包的丟失現象。而當數據緩沖區設置大于1M時，數據包數量不再丟失。

2.3 系統性能測試

（1）壓力的測試

表3 性能測試1——壓力測試

由表3可知，在面對大量文件的操作時，本系統基本可以穩定的完成對應操作。很少發生文件丟失或錯誤的情況。綜合進行的四十萬次同步實驗結果，可以得出：本系統能夠高效、安全完成數據擺渡任務，其成功率高達99.99%。

（2）同步的測試

本文測試了多個用戶同時對自己的文件進行操作時，系統是否能夠完成穩定的同步操作：

表4 性能測試2——同步測試

從表4可以看出，在多用戶同時對文件進行操作的情況下，系統能夠穩定的完成同步操作。

通過以上測試和分析，本文有理由認為，該系統符合最開始本文對該系統功能與性能進行的設定與規定。

2.4 安全性分析

本文所設計的數據安全擺渡應用是基于物理隔離單向網閘的。該單向網閘采用數據二極管技術，即沒有反向的反饋通道。系統采用PUSH的數據傳輸模式，也就是發送端主動向接收端推送數據，不能知道接收端的接收情況。相應地，接收端只能被動的接收數據，而不能給發送端回傳任何信息。系統在采用特定的，基于UDP的私有協議進行數據傳輸，該協議根據使用目的，無須在內外網之間建立數據連接，只需要將數據由外網單向傳入內網即可。

本系統不支持TCP、Http、SMTP、FTP等應用協議的解析，也無數據庫訪問，網閘以及應用只起到數據擺渡的作用，不支持應用的互通。這樣使得網絡入侵或攻擊過程喪失了通信傳輸的承載途徑。進一步來講，即便是外網通過基于UDP等協議的遠控程序發送指令給內網機器，也無法得到內網機器的任何反饋[6]。據此，來自外網的黑客遠程攻擊因為沒有遙控線路很難實現，對內網的業務進行攻擊只有來自內網本身的病毒，這就達到了和人工擺渡同樣的安全效果，完全可應用在非涉密的辦公網絡環境中。

3 總結

本文在面對實際中存在的問題——單向網閘環境下的數據安全擺渡應用時，認為在實現該擺渡功能過程中，應當使用基于Socket的技術，同時使用UDP協議作為傳輸層通信協議，對在外網服務器數據庫中對需要監控的文件進行復制，一旦發現被監控文件夾有所改動，啟動基于Socket的通信將發生改動的文件單向發送至內網服務器，實現數據的更新。從而改變工作人員通過U盤等移動存儲介質在內外網交叉使用的方式傳遞工作信息的現狀，提高工作效率，增強安全保密性。同時，為了用戶能夠得到更好的體驗，并驗證本設計的系統可行性，設計實現了一款私有云盤軟件作為輔助。實驗結果證明，本課題所設計實現的基于單向網閘的數據安全擺渡應用能夠在普通辦公網內高效、安全完成數據擺渡任務。

在研究和實現過程中，對于采用數據二極管技術的單向網閘而言，由于該技術完全隔斷了內網向外網的數據信息、控制信息的傳遞，當傳遞過程中發生數據缺失、數據損壞的情況下，目前能夠起到重傳作用的只由人工進行處理。因此下一步工作重點可以將數據擺渡軟件與專用的確認硬件進行互聯，由專用硬件向外網傳送確認信號，以達到自動重傳的作用。

[1]周麗娟.基于UDP協議的Socket網絡編程[J].電腦知識與技術, 2008, 4(34):345-346.

[2]韓同欣,丁建元.基于云盤技術的文檔數據共享系統設計[J].中國科技信息, 2014(21):91-92.

[3]韓臻.亭南煤礦綜合自動化遠程數據傳輸安全隔離技術的開發應用[J].山東煤炭科技, 2013(6):146-149.

[4]陳燕峰.新農合與醫院網絡數據安全交換方案探討[J]. 計算機時代, 2014(4):15-17.

[5]王楓,羅家融. Linux下多線程Socket通訊的研究與應用[J].計算機工程與應用, 2004, 40(16):106-109.

[6]胡兆剛.基于網閘的資料下載網絡安全解決方案[J].科技與企業, 2014(22):57-57