內(nèi)網(wǎng)環(huán)境下的數(shù)據(jù)保護(hù)方法

李泉蒴

摘 要 文章首先針對(duì)內(nèi)網(wǎng)環(huán)境下的數(shù)據(jù)保護(hù)發(fā)展問(wèn)題展開了必要的闡述，而后就如何實(shí)現(xiàn)系統(tǒng)結(jié)構(gòu)化的數(shù)據(jù)保護(hù)進(jìn)行了深入的討論。

關(guān)鍵詞 數(shù)據(jù)保護(hù)；結(jié)構(gòu)化；方法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）16-0084-01

在當(dāng)前信息環(huán)境之下，各個(gè)經(jīng)濟(jì)主體對(duì)于信息的依賴程度與日俱增。信息在企業(yè)環(huán)境中不僅僅發(fā)揮著提升工作效率的作用，更加重要的在于，企業(yè)內(nèi)部網(wǎng)中會(huì)出現(xiàn)大量敏感信息。尤其是在油田企業(yè)中更是如此，諸多涉及到核心技術(shù)和工作狀態(tài)的數(shù)據(jù)都會(huì)出現(xiàn)在企業(yè)內(nèi)部網(wǎng)絡(luò)中，因此如何有效地保護(hù)數(shù)據(jù)，對(duì)于諸多企業(yè)而言意義重大。

1 內(nèi)網(wǎng)環(huán)境下的數(shù)據(jù)保護(hù)發(fā)展綜述

企業(yè)內(nèi)網(wǎng)的安全問(wèn)題，在邊界層面呈現(xiàn)出很強(qiáng)的控制需求。就目前的網(wǎng)絡(luò)安全狀況看，數(shù)據(jù)在傳輸過(guò)程中會(huì)受到相應(yīng)數(shù)據(jù)識(shí)別服務(wù)器以及加密手段等技術(shù)的監(jiān)控，因此相對(duì)而言，內(nèi)網(wǎng)數(shù)據(jù)在終端節(jié)點(diǎn)存儲(chǔ)狀態(tài)下更需要保護(hù)。內(nèi)網(wǎng)的終端上，USB等其他I/O設(shè)備，往往會(huì)成為盜取內(nèi)網(wǎng)數(shù)據(jù)的重要手段和方式。并且就目前的情況看，分布式數(shù)據(jù)處理方式已經(jīng)成為企業(yè)內(nèi)網(wǎng)重要的工作方式，尤其是在類似于油田這樣的大型企業(yè)中更是如此。這種狀況進(jìn)一步加劇了終端上存儲(chǔ)的數(shù)據(jù)量，并進(jìn)一步影響到終端層面數(shù)據(jù)保護(hù)的需求。

對(duì)于傳統(tǒng)的內(nèi)網(wǎng)安全方案而言，通常都是借由在終端上安裝和完善必要的軟件來(lái)實(shí)現(xiàn)對(duì)于數(shù)據(jù)的保護(hù)工作，諸如防火墻以及殺毒或防毒軟件等都是常見的保護(hù)機(jī)制。這些保護(hù)措施能夠有效提升終端上的數(shù)據(jù)安全水平，但是隨著終端所承擔(dān)的功能與日俱增，以及相應(yīng)軟件的日益龐大，相關(guān)系統(tǒng)會(huì)對(duì)終端的硬件提出越來(lái)越高的要求，并且會(huì)占用越來(lái)越多的計(jì)算資源，從而從一個(gè)層面上影響終端本身的工作性能。并且此類安全手段相對(duì)缺乏針對(duì)性，因此難以終端上更為常見的I/O設(shè)備展開防范。雖然當(dāng)前在內(nèi)網(wǎng)環(huán)境之下，也會(huì)出現(xiàn)諸如USB以及I/O設(shè)備物理層禁用的方式來(lái)實(shí)現(xiàn)對(duì)于終端的強(qiáng)制性保護(hù)，但是從根本上看，這種做法實(shí)際上損傷了終端系統(tǒng)的可用性與易用性，雖然對(duì)于提升終端安全水平有著一定的幫助作用，但是也會(huì)為工作帶來(lái)極大局限。

在這樣的背景之下，以結(jié)構(gòu)化的方式展開對(duì)于內(nèi)網(wǎng)終端的保護(hù)，對(duì)于當(dāng)前的局面而言勢(shì)在必行。所謂系統(tǒng)結(jié)構(gòu)化，即通過(guò)改變內(nèi)網(wǎng)自身結(jié)構(gòu)，來(lái)實(shí)現(xiàn)對(duì)于內(nèi)網(wǎng)與外界邊界終端節(jié)點(diǎn)的控制，減少內(nèi)網(wǎng)與外界的直接接觸，并且針對(duì)于此種接觸實(shí)現(xiàn)更為有效的管理。通常代碼規(guī)模的縮減是打造安全的必要基礎(chǔ)，因此在結(jié)構(gòu)化的做法之下，是將相應(yīng)的保護(hù)接口打造成為一種相對(duì)而言簡(jiǎn)潔的邊界，并且進(jìn)行專業(yè)的管理，從而實(shí)現(xiàn)對(duì)于終端安全水平的提升，進(jìn)一步打造更為健康的內(nèi)網(wǎng)工作環(huán)境。

2 系統(tǒng)結(jié)構(gòu)化保護(hù)方法分析

在內(nèi)網(wǎng)環(huán)境中，通常的形態(tài)是網(wǎng)絡(luò)中的終端根據(jù)自身的需求與外網(wǎng)保持?jǐn)?shù)據(jù)溝通，通過(guò)相應(yīng)的路由以及網(wǎng)關(guān)來(lái)實(shí)現(xiàn)相應(yīng)的數(shù)據(jù)傳輸路徑選擇，最終達(dá)到數(shù)據(jù)傳輸和溝通的目的。但是在此種情況下，終端上的敏感信息會(huì)直接面對(duì)非法竊取的風(fēng)險(xiǎn)，并且進(jìn)一步將這種風(fēng)險(xiǎn)傳播到內(nèi)網(wǎng)環(huán)境中。如果對(duì)終端訪問(wèn)外網(wǎng)的行為進(jìn)行約束，雖然能夠提升安全性，但是卻會(huì)降低終端的工作效能；而終端本身必須承擔(dān)起大量的數(shù)據(jù)存儲(chǔ)和相應(yīng)的任務(wù)，因此也不可能將其代碼進(jìn)行簡(jiǎn)化一直到能夠保證安全特征的水平；如果進(jìn)一步在終端上加載安裝其他的安全工具，就會(huì)影響到終端本身的計(jì)算等方面性能，并且進(jìn)一步加劇終端承載代碼的復(fù)雜性，從一個(gè)側(cè)面來(lái)說(shuō)，安全軟件也有可能會(huì)成為新的安全隱患的觸發(fā)點(diǎn)。

在這樣的情況下，一種常見的系統(tǒng)結(jié)構(gòu)化做法是將終端向網(wǎng)內(nèi)移動(dòng)，使其通過(guò)安全網(wǎng)關(guān)對(duì)外網(wǎng)進(jìn)行訪問(wèn)并且實(shí)現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)溝通和交流。安全網(wǎng)關(guān)的職責(zé)僅僅在于對(duì)進(jìn)出系統(tǒng)的數(shù)據(jù)和參數(shù)實(shí)施安全檢查，如此簡(jiǎn)單和單一的功能能夠確保安全網(wǎng)關(guān)本身代碼的簡(jiǎn)單，并且進(jìn)一步實(shí)現(xiàn)對(duì)于安全層面的保證。在實(shí)際工作中，一個(gè)安全網(wǎng)關(guān)可以實(shí)現(xiàn)對(duì)于多個(gè)終端數(shù)據(jù)的控制和過(guò)濾，只要能夠有效堅(jiān)持安全網(wǎng)關(guān)本身的代碼簡(jiǎn)單和安全屬性，就能夠從該層面實(shí)現(xiàn)對(duì)于內(nèi)網(wǎng)的保護(hù)。

此種工作方式，基本能夠滿足內(nèi)網(wǎng)環(huán)境下邊界的安全構(gòu)建，但是仍然存在一定的不足。即當(dāng)一個(gè)安全網(wǎng)關(guān)來(lái)負(fù)責(zé)實(shí)現(xiàn)對(duì)于多個(gè)用戶終端進(jìn)行信息過(guò)濾的時(shí)候，則會(huì)面臨必須對(duì)多個(gè)終端保持良好兼容的問(wèn)題。如果在安全網(wǎng)關(guān)上安裝多套系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)于不同性質(zhì)的終端的兼容，則會(huì)增加安全網(wǎng)關(guān)本身代碼的復(fù)雜性，對(duì)于堅(jiān)持安全網(wǎng)關(guān)的安全職能有著一定的不利影響。合理的做法是采用基于虛擬桌面技術(shù)來(lái)實(shí)現(xiàn)和應(yīng)用面向內(nèi)網(wǎng)數(shù)據(jù)安全的系統(tǒng)結(jié)構(gòu)化保方法，將用戶操作和具體的應(yīng)用職能在物理層面分離。用戶通過(guò)虛擬桌面對(duì)相應(yīng)的服務(wù)器進(jìn)行操作，并且服務(wù)器與相應(yīng)的安全網(wǎng)關(guān)保持聯(lián)系實(shí)現(xiàn)與外網(wǎng)的數(shù)據(jù)溝通。從用戶角度看，虛擬桌面可以實(shí)現(xiàn)對(duì)于用戶不同個(gè)性化需求的滿足，但是從實(shí)際的功能執(zhí)行角度看，則由相對(duì)統(tǒng)一的服務(wù)器予以承擔(dān)。在這樣的情況之下，安全網(wǎng)關(guān)雖然仍然需要面對(duì)多個(gè)服務(wù)器展開安全服務(wù)，但是服務(wù)器之間可以保持屬性的統(tǒng)一，從而實(shí)現(xiàn)安全網(wǎng)關(guān)代碼層面的簡(jiǎn)化，借以提升網(wǎng)關(guān)本身可信度和整個(gè)網(wǎng)絡(luò)的安全水平。

3 結(jié)論

面向內(nèi)網(wǎng)數(shù)據(jù)安全的系統(tǒng)結(jié)構(gòu)化保護(hù)方法為內(nèi)網(wǎng)數(shù)據(jù)安全提供了一種全新的有效保證方法，并且其簡(jiǎn)單結(jié)構(gòu)和低成本等優(yōu)勢(shì)，都決定了在企業(yè)網(wǎng)絡(luò)安全體系中必然會(huì)具有良好市場(chǎng)。就目前而言，此種方法已經(jīng)在政府環(huán)境和大型企業(yè)中得到了運(yùn)用并且不斷成熟，在未來(lái)必然會(huì)有更為廣泛的實(shí)用前景。

參考文獻(xiàn)

[1]朱鵬，謝欣，周顯敬，等.終端安全接入技術(shù)及發(fā)展趨勢(shì)研究[J].信息安全與通信保密，2010（02）.

[2]鄒翔，王志海，李志濤.內(nèi)網(wǎng)安全數(shù)據(jù)保密技術(shù)分析與比較[J].信息安全與通信保密，2009（07）.endprint