企业内网中的数据隔离与交换技术探索

蔡莹

摘 要：互联网时代，信息的安全已经成为众企业必须考虑的问题。信息时代带来的最大优惠就是资源的共享，成然资源共享给我们的生活带来很多便利，然而资源在互联网上的共享也给企业的信息安全带来了困扰。因此，众多企业将自己企业内部的信息与外部进行隔离，将企业重要的数据置于内网，由具有权限的内部用户进行查看与应用管理。将公共信息置于外网，供外部人员查看。这种划分内网与外网的方式，既符合国家的要求，也能够保障信息的安全。然而，对于企业内部的数据来说，如何在内部的不同部门之间进行有效的数据隔离，同时又能在需要时进行合理的数据交换，却成了更重要的课题。如果内部的隔离不够严谨，则会使数据泄露给不具权限资格的其他部门的用户，造成企业风险，而与此相反，如果数据在内部交换时实时性不好，或者文件传输类型受限，或出现速度过慢等情况，也会使得企业内部的工作效率降低，因此研究企业内网中数据隔离与交换持术有着十分重要的意义。文章研究了企业内网中的数据隔离与交换技术的重要性，分析了新型数据安全交换模型。

关键词：内网 数据隔离技术 数据交换技术

中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2017）02（b）-0023-02

1 新型数据安全交换模型设计

1.1 新型数据安全交换模型结构

当前，新型数据安全交换模型设计结构如图1所示，其中实现系统安全控制的核心是网闸，由网闸在网络层实现对内网与外网的隔离作用。内网数据与外网数据通过网闸进行交换，从而实现隔离与交换的功能。多个内网系统通过内网数据交换平台与网闸通信，内网数据交换平台属于应用层控制，通过应用层代理来控制数据交换，进行安全审计。同样，多个外网系统通过外网数据交换平台与网闸通信，外网数据交换平台也是应用层控制，通过应用层代理来控制数据交换，进行安全审计。通过这样的结构设计，可以使内外网之间快速通信，并且实现可靠数据交换。

1.2 数据隔离机制

数据隔离机制是通过网络层、应用层、数据层3个层面进行安全控制，从而实现有效隔离。

1.2.1 网络层的隔离机制

网络层的隔离工作主要是由网闸实现的，通过网闸可以设定内外网数据交换平台通过专有单一协议进行直接跨网通信，而对其他非授权通信一律阻断，以防范从外网对内网的各类非法网络进行入侵和攻击，包括漏洞攻击、DDoS攻击和带宽攻击等。

1.2.2 应用层的隔离机制

应用层隔离机制较多，具体包括以下几点。

（1）协议与格式屏蔽。

内外网之间的任何数据交换都通过两个交换平台进行，两个交换平台使用内部约定的格式及与网闸适配的单一私有协议，无论在应用还是在网络上都保证了安全。

（2）单项访问控制。

交换平台内部的路由配置功能能够有效地控制请求的转发，因此可以配置单向路由，即某些系统只允许内网访问外网，不允许外网主动发起对内网数据的请求。

（3）合法性审查。

当内外网应用系统进行单向或双向数据交换时，内外网数据交换平台在本方安全域内，根据发送方应用系统的身份和所发送数据的类别及密级，按照预先定义的数据交换安全策略，对数据交换的主体、内容和方向进行合法性检查，只允许经授权的内外网应用系统之间进行必要的数据交换，且相互验证对方通信报文的合法性。

（4）安全管理。

通过内外网交互系统的注册、端口管理（通信层、中间件层、应用层、人工处理层）和系统监控（对象、流水、自定义消息）等安全监控管理功能，灵活实现安全控制策略。

（5）双向认证机制。

即当数据在内外网之间进行数据交换时，需要在内网、外网两方面做双重身份认证。

1.2.3 数据层的隔离机制

主要设计思路是只允许合法通信报文在内网与外网之间通过，以达到有效隔离目的。

1.3 数据交换机制

数据通信的核心仍然是数据的交换。因此，在数据有效隔离机制的基础上，仍要做到高效的数据交换，才能使得企业内网数据之间、内网与外网数据之间进行有效交换。

该模型设计的数据交换是基于消息总线的交换机制，即可以通过消息总线实现批量报文交换及数据、图像、视频、数据库等各类文件的交换。

由交换主控模块控制整个交换过程，主控模块负责报文的收与发操作，每一次收与发操作，都由主控模块为其分配一个唯一序号。主控模块对于需要进行格式转换的报文可以通过格式管理模块以及路由模块进行格式化处理。每一次交换操作都会由主控模块进行记录，形成交换日志文件。

实现数据交换还需要任务管理、消息监控、端口管理、平台函数、用户API调用接口等一些核心功能的支持。

2 结语

随着信息技术的进一步发展，信息安全的重要性已经毋庸置疑，未来，还需不断研究，设计使企业内部数据安全可靠性更高且交换效率更高的平台系统。

参考文献

[1] 韩玉波.安全的数据隔离与交换系统[J].计算机世界，2006（9）.

[2] Li Hongtao，Xing Jinsheng，MAJianfeng.A High-Assurance Trust Model for Digital Community Control System Based on Internet of Things[J].Wuhan University Journal of Natural Sciences，2016（1）.

[3] Wei Guoheng，Zhang Huanguo，Wang Ya.A New Relay Attack on Distance Bounding Protocols and Its Solution with Time-Stamped Authentication for RFID[J].Wuhan University Journal of Natural Sciences，2016（1）：37-46.

[4] He Yuchen，WangRui，Shi Wenchang.Implementation of a TPM-Based Security Enhanced Browser Password Manager[J].Wuhan University Journal of Natural Sciences，2016（1）.

[5] Zhang Kang，Gao Ge，Chen Yi，et al.A High Robust Audio Watermarking Scheme Based on Orthogonal Decomposition[J].Wuhan University Journal of Natural Sciences，2016（2）：139-144.

[6] 陳兴蜀，胡亮，陈广瑞，等.虚拟网络环境下安全服务接入方法[J].华中科技大学学报：自然科学版，2016（3）：49-54.