随着计算机网络技术的飞速发展,网络安全问题也日益凸显,将保存着企业核心技术资料的服务连接到Internet互联网中,机密被盗取的风险也越来越高。加之高新技术企业对核心技术资料的保密意识越来越强,越来越多的企业选择将技术研发部门的网络与Internet互联网物理隔绝的形式,单独组建局域网,以增加数据资料的安全性。但是,这样会极大的影响到技术研发部门局域网(内网)与公司局域网(外网)间的数据传输,从而造成沟通不畅,影响工作效率。怎么能让内外网之间在保证安全的前提下,进行数据传输是解决问题的关键。本文通过模拟工作中遇到的场景,从安全和性能上来分析内外网文件信息安全传输的可行性。
一、引言
目前,大多数企业无法彻底解决内网与外网之间数据的安全传输问题,只能将内网与外网隔绝,或者是放开一些限制进行有限的数据传输。但是,这种方法安全性与即时性成反比,不能满足企业的实际需求。以下,本文将从几个企业日常工作中经常遇到的问题来分析解决办法。
二、数据安全传输的主要技术
(一)数据加密技术
1、数据加密技术的含义
所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密,常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件内容是一些看不懂的代码),然后进入TCP/IP数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。
2、常用的数据加密技术
目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密,非对称加密技术就是加密和解密所用的密钥不一样,它有一对密钥,分别称为“公钥”和“私钥”,这两个密钥必须配对使用,也就是说用公钥加密的文件必须用相应人的私钥才能解密,反之亦然。
(二)访问控制
1、身份验证
身份验证是一致性验证的一种,验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术,现在也仍在广泛应用,它是互联网信息安全的第一道屏障。
2、存取控制
存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。
三、新技术应用分析
(一)问题描述
允许已授权的外网(内网)用户可以获取指定的内网(外网)文件,其他未授权的外网(内网)用户不能够获得该文件,且在文件传输过程中确保内网环境安全。
内网对网络安全级别要求较高,且其中文件需要保密,内网的文件只有具有相应权限的外网特定用户才能读取,内网的文件传到外网后,非授权用户不可获得;另外,内网无法访问Internet,抗病毒能力较差,外网染毒文件传入后,会影响系统安全。
(二)现行技术方案缺陷
目前现行最简单的技术是内外网使用同一个服务器,为服务器配置一个内网IP和外网IP,但是这样就相当于降低了内网的安全等级;再则就是内外网分别使用两个服务器,两台服务器数据同步存储,内网服务器存储了外网的文件,外网服务器也存储了内网服务器的文件,这样就产生了文件安全问题;另外就是所有文件均加密传输,这将大大降低效率。
(三)新方案可行性分析
为使内、外网独立,需各配置一个服务器(分别为SI,SO),若要文件安全的传给指定用户,且防止传输中局域网截取数据包攻击,需要对文件进行加密,考虑到快捷性和方便性,加密和传送密钥的过程均选取对称加密方式,因此需要一个服务器作为认证中心CA,CA可以获取每个用户的认证密码。另配置一台文件服务器SF,作为SI和SO间传输文件的桥梁。本文仅讨论内网文件传输到外网的情况,外网情况与此类似。
在实际的使用过种中,涉及文件传输的有两类,一类是内网用户主动发送文件,例如即时通;一类是外网用户请求文件,例如一些图文档系统和物料管理系统。现就两类情况分别说明:
1、内网用户主动发送文件
(1)应用场景:内网用户UI向外网用户UO发送文件F
(2)流程:
① UI把文件F以及UO的ID发给SI;
② SI判断UO非本局域网用户,随机生成密钥K,用K加密文件F,得到密文K(F),用自己的密钥K_SI加密K,得到密文K_SI(K),把K_SI(K)发给CA;
③ CA解密K_SI(K)得到F,用UO的密钥K_UO加密K得到K_UO(K),发给SI;
④ SI通过SF,SO把文件F的密文K(F)及K_UO(K)发送给UO;
⑤ UO用自己的密钥K_UO解密K_UO(K)得到密钥K,用K解密K(F)得到文件F的明文。
2、外网用户请求获取文件
(1)应用场景:外网用户UO得到存放于内网服务器SI上的文件F。
(2)流程:
① UO向SO请求文件F;
② SO判断文件F不在本机上,把UO及文件名FN通过SF传给SI; ③ SI判断UO是否授权用户,若已授权,随机生成密钥K,用K加密文件F,得到密文K(F),用自己的密钥K_SI加密K,得到密文K_SI(K),把K_SI(K)发给CA;
④ CA解密K_SI(K)得到F,用UO的密钥K_UO加密K得到K_UO(K),发给SI;
⑤ SI通过SF,SO把文件F的密文K(F)及K_UO(K)发送给UO;
⑥ UO用自己的密钥K_UO解密K_UO(K)得到密钥K,用K解密K(F)得到文件F的明文。
3、可行性分析
(1)安全性分析
A、对获取文件授权的认证:外网服务器SO把文件名FN和用户名UO传给内网服务器SI,SI通过访问数据库、FN的授权、F创建者的权限、UO的权限等判断用户名UO是否有取得文件F的权限。
B、对用户的认证:SI把用UO密码加密的K传给UO,由能否解密得到正确K来认证用户。从而保证只有被授权的用户才能得到正确的文件。
C、密钥的安全性:密钥K在传输过程中始终都是以密文传输的,这个以保证SI和UO外的其它用户是得不到密钥K的。
D、文件的安全性:文件在整个传输过程中都是加密的,且在外网服务器和文件服务器上的存留时间都很短,因此可以确保文件的安全。
E、内网的安全:因为认证中心CA、文件服务器SF的IP地址是固定的,MAC地址也是固定的,故完全可以在内网服务器上通过配置路由器、防火墙来控制对内网的访问;在文件服务器SF上安装杀毒防木马软件可以使进入内网的文件未被感染。
(2)性能分析
A、使用对称加密算法分发密钥、加密文件,相对于用非对称加密算法来说有很好的效率;仅对跨网传输的文件进行加密相对于对所有传输的文件进行加密可以节省大量时间。
B、文件仅在本局域网的服务器上存储相对于各服务器同步存储所有文件可以节省大量的硬盘空间;使用用户登录即时通的登录密码作为密钥的加密密码,减少了另外存储密码的空间,也不需用户再去记忆多个密码。
注意事项:
1、存储用户密钥的数据库应该与存储其它信息的数据库分开,并且仅限于CA访问,以确保用户密钥的安全。
2、用户应该即时更改登录密码,并注意保管密码,确保其安全。
3、各服务器应配置严格的防火墙,及时更新杀毒软件,及时为操作系统打漏洞。
四、结束语
因为涉及到内网与外网两个网段的数据安全传输,其复杂程度较高。在安全传输过程中涉及到许多安全技术问题,制定安全技术规则和实施安全技术手段不仅可以推动安全技术的发展,同时也促进安全的文件传输体系的形成。当然,任何一个安全技术都不会提供永远和绝对的安全,因为网络在变化.应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的安全保障。
作者:臧家琪 来源:企业文化·下旬刊 2014年4期
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。
