基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享方案研究

劉謙

【摘 要】為了保護(hù)網(wǎng)絡(luò)信息安全，避免非法侵入或者竊取企業(yè)機(jī)密資料等情況的發(fā)生，必須要對(duì)網(wǎng)絡(luò)內(nèi)外部實(shí)行物理鏈路隔離，最大程度降低數(shù)據(jù)信息大量泄露的風(fēng)險(xiǎn)。鑒于此，論文在網(wǎng)絡(luò)隔離技術(shù)的基礎(chǔ)上，設(shè)計(jì)了一種新的信息資源共享方案，并在SMS信息查詢系統(tǒng)中得到了實(shí)現(xiàn)，通過(guò)對(duì)應(yīng)用效果進(jìn)行分析，證明了該方案具有一定可行性，且效率與安全性保障均可以滿足預(yù)期的要求。

【Abstract】In order to protect the security of network information， and avoid the occurrence of illegal intrusion or stealing confidential information of the enterprise， the physical link isolation must be carried out inside and outside the network to minimize the risk of massive leakage of data information. In view of this， the paper designs a new information resource sharing scheme based on network isolation technology， and implements it in SMS information query system. Through the analysis of the application effect， it is proved that the scheme has certain feasibility， and the efficiency and security guarantee can meet the expected requirements.

【關(guān)鍵詞】網(wǎng)絡(luò)隔離技術(shù)；信息資源；共享方案

【Keywords】 network isolation technology； information resources； sharing scheme

【中圖分類號(hào)】TP393.0 【文獻(xiàn)標(biāo)志碼】A 【文章編號(hào)】1673-1069（2017）12-0160-02

1 方案簡(jiǎn)介

論文設(shè)計(jì)的方案是一種內(nèi)外網(wǎng)信息資源共享方案，其主要由三部分組成，分別是外網(wǎng)的數(shù)據(jù)采集與加密，網(wǎng)絡(luò)安全隔離區(qū)以及內(nèi)網(wǎng)中數(shù)據(jù)的應(yīng)用、解密以及信息反饋。其中，前兩者之間的數(shù)據(jù)傳輸為單向傳輸，即只能由網(wǎng)絡(luò)安全隔離區(qū)單向傳輸數(shù)據(jù)，詳見(jiàn)圖1。分析此方案設(shè)計(jì)可以得知，網(wǎng)絡(luò)安全隔離區(qū)中的單向光閘是實(shí)現(xiàn)數(shù)據(jù)“只輸入、不輸出”的重要保障；而利用第三方短信平臺(tái)，能夠?qū)?shù)據(jù)的輸出進(jìn)行有效控制，以免發(fā)生信息泄露的情況；與此同時(shí)，通過(guò)DES/RSA混合加密算法還可以保證數(shù)據(jù)內(nèi)容的安全性，以免第三方或者未經(jīng)授權(quán)的使用者竊取信息內(nèi)容?？梢哉f(shuō)此方案既具有RSA算法的高安全性，同時(shí)也具有DES算法的高效率性[1]。所以，此方案同樣適用于傳送涉密信息。

2 基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享系統(tǒng)組成

2.1 內(nèi)網(wǎng)數(shù)據(jù)的應(yīng)用、解密以及反饋

內(nèi)網(wǎng)數(shù)據(jù)的應(yīng)用、解密以及反饋是信息處理的關(guān)鍵環(huán)節(jié)。而內(nèi)網(wǎng)服務(wù)器是讀取信息數(shù)據(jù)的重要設(shè)備，讀取完成之后，按照協(xié)議將數(shù)據(jù)文件中的DES與RSA加密部分分離出來(lái)。首先，內(nèi)網(wǎng)的應(yīng)用服務(wù)器通過(guò)私鑰與公鑰認(rèn)證數(shù)據(jù)文件，同時(shí)取得DES密鑰，之后，通過(guò)DES密鑰對(duì)數(shù)據(jù)文件中的加密部分進(jìn)行解密，以獲得有效的數(shù)據(jù)信息[2]。其次，根據(jù)解密之后的信息，在系統(tǒng)的數(shù)據(jù)庫(kù)中進(jìn)行查詢，得到查詢結(jié)果后，將其輸送到內(nèi)網(wǎng)進(jìn)行審核，之后再利用RSA算法對(duì)其進(jìn)行應(yīng)用層加密；最后，通過(guò)第三方信息平臺(tái)將信息數(shù)據(jù)發(fā)送到外網(wǎng)的終端上，由其自身進(jìn)行信息解密。該系統(tǒng)的主要優(yōu)點(diǎn)為，由于SMS的效率比較低，故每一條SMS所能傳輸?shù)臄?shù)據(jù)最多為140Byte，而且，反饋程序?qū)τ脩舻姆答伌螖?shù)進(jìn)行了限制。因此，能夠有效避免數(shù)據(jù)信息大量泄露的風(fēng)險(xiǎn)。

2.2 網(wǎng)絡(luò)安全隔離區(qū)

作為系統(tǒng)的重要組成部分，網(wǎng)絡(luò)安全隔離區(qū)是實(shí)現(xiàn)數(shù)據(jù)包剝離與轉(zhuǎn)化、保證數(shù)據(jù)單向輸入內(nèi)網(wǎng)以及數(shù)據(jù)擺渡的重要保障。網(wǎng)絡(luò)安全隔離區(qū)的組成部分主要分為入侵防御系統(tǒng)（IPS）、防火墻（FW）以及身份認(rèn)證等。其中，IPS與FW是整個(gè)網(wǎng)絡(luò)安全系統(tǒng)的重要組成部分，對(duì)阻斷外網(wǎng)的非法進(jìn)入，保證網(wǎng)絡(luò)系統(tǒng)信息安全具有重要作用。實(shí)際上，入侵防御系統(tǒng)能夠更好地完善防火墻功能，其可以對(duì)數(shù)據(jù)信息的整個(gè)網(wǎng)絡(luò)傳輸流程進(jìn)行監(jiān)視，有效防止非法連接等現(xiàn)象的發(fā)生，同時(shí)阻止惡意代碼對(duì)系統(tǒng)的攻擊。而身份認(rèn)證系統(tǒng)的主要作用分為兩部分，第一是對(duì)移動(dòng)終端進(jìn)行身份驗(yàn)證，第二是對(duì)與安全隔離區(qū)的接入設(shè)備進(jìn)行身份認(rèn)證，身份認(rèn)證系統(tǒng)的認(rèn)證是雙向的，能夠有效保證系統(tǒng)的安全性。

2.3 外網(wǎng)數(shù)據(jù)采集與加密

用戶之所以能夠通過(guò)手機(jī)、平板、電腦等移動(dòng)終端進(jìn)行信息發(fā)送，是因?yàn)橄到y(tǒng)中配置了外網(wǎng)應(yīng)用服務(wù)器，而TCP/IP以及SMS數(shù)據(jù)包等均可以作為信息的載體。外網(wǎng)服務(wù)器在成功接收數(shù)據(jù)文件之后，首先會(huì)進(jìn)行數(shù)據(jù)校驗(yàn)，再通過(guò)DES算法對(duì)校驗(yàn)完成后的數(shù)據(jù)信息進(jìn)行加密，并生成DES數(shù)據(jù)包；之后，利用RSA算法對(duì)上一環(huán)節(jié)中產(chǎn)生的DES數(shù)據(jù)包的密鑰進(jìn)行加密，生成RSA加密數(shù)據(jù)包以及認(rèn)證數(shù)據(jù)包，最終將所有的數(shù)據(jù)包進(jìn)行整合與發(fā)送。

3 方案的具體應(yīng)用以及應(yīng)用效果分析

3.1 SMS信息查詢系統(tǒng)

應(yīng)用此方案，設(shè)計(jì)出一種跨網(wǎng)的信息查詢系統(tǒng)，即SMS信息查詢系統(tǒng)。該系統(tǒng)的具體作用如下，首先，利用手機(jī)、電腦等移動(dòng)終端發(fā)送相應(yīng)的指令；其次，指令在經(jīng)過(guò)安全加密以及認(rèn)證后，通過(guò)網(wǎng)絡(luò)安全邊界，將指令單項(xiàng)輸入到內(nèi)網(wǎng)中；再次，由內(nèi)網(wǎng)進(jìn)行相應(yīng)的信息查詢，得到相應(yīng)的查詢結(jié)果，并對(duì)其進(jìn)行過(guò)濾與RSA加密；最終，借助第三方短信平臺(tái)，將查詢結(jié)果反饋到外網(wǎng)的服務(wù)器上，外網(wǎng)服務(wù)器會(huì)對(duì)其進(jìn)行解密，解密完成之后再將其反饋回終端?，F(xiàn)階段，該系統(tǒng)已經(jīng)在企業(yè)的實(shí)際運(yùn)營(yíng)業(yè)務(wù)中得到了實(shí)際應(yīng)用。

3.2 應(yīng)用效果分析

①安全性分析。一方面，關(guān)于DES的攻擊主要分為線性密碼分析法以及差分密封分析法，而在此方案中，DES密鑰是隨機(jī)變換的，故每一次數(shù)據(jù)發(fā)送的加密密鑰均是不同的。這種情況下，攻擊者想要獲得密鑰便會(huì)付出相當(dāng)大的代價(jià)，且能夠獲取的信息數(shù)據(jù)相當(dāng)有限。所以，此方案能夠有效應(yīng)對(duì)上述兩種攻擊。另一方面，相比于DES算法，RSA算法的復(fù)雜性更高，攻擊者無(wú)法獲得DES密鑰，便無(wú)法獲取明文數(shù)據(jù)信息。此方案中對(duì)原有的RSA算法進(jìn)行了相應(yīng)的改進(jìn)，在數(shù)據(jù)信息的傳輸過(guò)程中增加了認(rèn)證機(jī)制，有效提高了信息輸出與接收的安全性。②性能分析。此設(shè)計(jì)方案共采用了四種加密算法，分別為RSA、DES、DES/RSA混合以及改進(jìn)DES/RSA混合加密。經(jīng)過(guò)實(shí)驗(yàn)研究可知，改進(jìn)之后的DES/RSA算法在加密文件大小以及加解密的效率方面，均與原有的算法比較接近，且在安全性上有所提升，可以有效解決欺騙攻擊等問(wèn)題。

4 結(jié)論

在大數(shù)據(jù)時(shí)代的影響下，網(wǎng)絡(luò)與信息技術(shù)已經(jīng)普及到社會(huì)中的各個(gè)行業(yè)，網(wǎng)絡(luò)數(shù)據(jù)信息的安全性也成了社會(huì)關(guān)注的焦點(diǎn)之一。鑒于現(xiàn)階段網(wǎng)絡(luò)隔離方案中，存在著極大的內(nèi)網(wǎng)數(shù)據(jù)泄露的安全風(fēng)險(xiǎn)，論文創(chuàng)新思維，在網(wǎng)絡(luò)隔離技術(shù)的基礎(chǔ)上，設(shè)計(jì)出了一種新的信息資源共享方案，在此方案中應(yīng)用了經(jīng)過(guò)改進(jìn)的DES/RSA混合加密算法，可以有效降低涉密數(shù)據(jù)在傳輸中的泄露風(fēng)險(xiǎn)。但是，由于該方案中數(shù)據(jù)導(dǎo)出的載體為SMS且數(shù)據(jù)為單項(xiàng)導(dǎo)出，故其效率較低，系統(tǒng)運(yùn)行成本較高。鑒于此，為了在保證數(shù)據(jù)安全的前提下，盡可能地提高信息導(dǎo)出效率，必須研究出一種更加安全且成本較低的信息輸出方式，這也將成為基于網(wǎng)絡(luò)隔離技術(shù)的信息資源共享方案下一步研究的重點(diǎn)。

【參考文獻(xiàn)】

【1】劉曉翠，王晨臣，張曉宇，等.安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用[J].通訊世界，2016，17（24）：190-191.

【2】黃平運(yùn).基于網(wǎng)閘設(shè)備的網(wǎng)絡(luò)隔離技術(shù)研究[J].電腦迷，2016，16（12）：143-144.