內外網文件傳輸方式安全性探討

龐銳

摘要：信息時代，出于保護內部數據安全的需要，往往需要設立內部網絡，這樣，我們就會面臨在內外網之間進行文件傳輸，該文對幾種常見的內外網文件傳輸方式的原理和安全性進行分析，同時探討了各種傳輸方式下可以采取的安全策略。

關鍵詞：數據安全；內外網；文件傳輸；安全策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）29-0064-02

Abstract：In the information age，as the need to protect internal data security，we often have to create internal network，so we would face the problem of file transfer between the internal and external network.This paper analyses the principle and security of these common file transfer modes，and the different security strategies have to be pursued.

Key words：data security；file transfer；internal and external network；security strategies

1 前言

信息時代，企業之間為了提升競爭力而加強核心資料保護或是政府機關事業單位基于內部數據安全性的考慮，通常都會設置內部局域網，簡稱內網。而外網，即外部Inernet網絡，又提供了豐富的信息資源和更廣闊的網絡互聯性。因此，我們常常會面臨內外網之間數據的交互、文件資料的傳輸問題。同時，內部局域網的核心資料和敏感信息對網絡安全性提出了更高的要求，因此，如何兼顧使用的便捷性和數據安全性成為廣大使用者面臨的難題。

2 常見內外網文件傳輸方式

2.1 U盤/移動硬盤

U盤和移動硬盤是常見的移動存儲工具，通過USB接口與不同內外網電腦連接，就可實現即插即用，方便快捷地進行文件傳輸。但是，使用U盤/移動硬盤進行文件傳輸的安全性很低，相互連接的U盤/移動硬盤和計算機之間都可能傳播計算機病毒。在網絡發展歷程中，通過感染U盤/移動硬盤傳播計算機病毒一直是計算機病毒傳播的重要方式。將惡意程序放入U盤或者移動硬盤，在不同的PC交換數據的過程中，就可以達到病毒傳播的目的。同時，在Windows Vista和Windows Server 2008操作系統以前，Windows操作系統針對移動存儲介質默認運行AutoPlay/AutoRun自動播放功能。使得被病毒感染的移動存儲介質一旦插上計算機就會自動運行該病毒，傳播性和感染力極強，以至于這類針對移動存儲介質的病毒飛速發展，時至今日，很多流行病毒通過U盤/移動硬盤等移動存儲介質傳播的概率依然很大。

在使用U盤/移動硬盤情況下可以采取的安全策略：（1）在系統中禁用移動存儲介質的自動播放或自動啟動功能，禁止程序在U盤中創建或修改autorun.inf文件。（2）U盤/移動硬盤等移動存儲介質在插入計算機后，先進行病毒查殺，再運行移動存儲設備。（3）如果只是往移動存儲設備中拷貝文件或刪除文件，最好設置移動存儲設備為只讀模式再使用。（4）使用資源管理器，而不是使用“我的電腦”來訪問移動存儲設備。

2.2 光盤

光盤是以光信息作為存儲的載體并用來存儲數據的一種物品，分為CD-ROM、DVD-ROM等不可擦寫光盤和CD-RW、DVD-RAM等可擦寫光盤。光盤的使用需要光驅設備，便利性不如U盤/移動硬盤。但是對比U盤和移動硬盤，光盤有幾大優勢：（1）穩定性好。光盤使用光存儲，不受電磁干擾，防水，耐沖擊，光盤只要不受到物理損傷，一般情況下資料不會丟失。理論保存年限可以達到100年，適合長久保存。（2）防病毒性。光盤內容無法直接修改，有效避免了U盤病毒傳播。光盤需要專門的軟件才能進行寫入，無法后臺進行，而U盤/硬盤插入即可進行數據寫入，病毒很方便進行復制，而且鑒于大部分光盤不可重復擦寫，自動播放項不可改動，所以通常病毒不會選擇光盤作為載體。（3）價格低廉，單次使用后銷毀成本低。（4）防止泄密。光盤的只讀特性可以有效防止數據泄密。

使用光盤可采取的安全策略：（1）做好權限管理，便于內部資料的保護。只要管理好刻錄權限可有效防止數據泄密，而且即使出現問題也容易追查。（2）在文件刻錄到光盤前對文件進行病毒查殺，杜絕病毒傳播。（3）設置光盤為只讀特性。

2.3 雙網絡系統

雙網絡系統就是在一臺計算機上分別安裝內網網卡和外網網卡，設置好內外網卡的IP地址、子網掩碼和DNS，但是只在一張網卡上設置網關，如果內網地址段是10.x.x.x，網關是10.y.y.y，互聯網網關是192.z.z.z。路由設置如下：

@route add -p 0.0.0.0 mask 0.0.0.0 192.z.z.z

@route add -p 10.0.0.0 mask 255.0.0.0 10.y.y.y

這樣做能夠同時訪問內外網，可以方便地實現內外網文件傳輸，但是一旦病毒通過外網入侵計算機，那么內網數據安全也很難保證。

雙網絡的安全策略：（1）系統設置強壯的密碼；（2）使用專業防火墻軟件，保護內部數據安全；（3）只放行FTP的21和20端口，封閉其他端口。

2.4 安全隔離網閘系統

安全隔離網閘在兩個獨立主機系統之間，通過帶有多種控制功能的固態開關和讀寫介質連接讀寫操作從而實現信息交換，但同時兩個系統間又不存在通信的傳輸協議、信息傳輸命令、物理連接以及邏輯連接從而實現硬件鏈路層上的物理隔離。網閘將外部主機的TCP/IP協議全部剝離，以“擺渡”的方式，將數據通過存儲介質導入到內網主機系統，實現信息的交換。同時安全隔離網閘通常內嵌病毒查殺功能，以實現對交換數據的病毒查殺。安全隔離網閘系統的優越性在于：（1）實現物理隔離，提高內部網絡安全性；（2）提供自動的病毒查殺功能以及安全審計功能；（3）防止木馬攻擊。大部分的木馬攻擊都是基于TCP協議在客戶端和服務器端建立連接的，而安全隔離網閘使用自定義的私有協議而不是TCP通用協議。這就切斷了TCP連接，使木馬攻擊無法正常建立通訊連接，從而可以防止木馬攻擊。

安全隔離網閘系統的建設比較復雜，需要依賴專業的硬件供應商。安全隔離網閘做到了物理隔離下的文件傳輸，防攻擊性能優越，但是協議的代理對病毒防護仍然依賴當前技術。

3 結束語

不同的內外網文件傳輸方式的安全性和便利性不同，實現方式不同，造價也不同。這就需要我們根據使用需要進行權衡，選擇適當的方式。當然，我們應該看到，隨著信息安全技術的日益發展，我們對數據資料的保護能力也逐漸提升。

參考文獻：

[1] 蒲天銀.安全隔離網閘技術發展探討[J].計算機時代，2006（6）.

[2] 張智銳.廣播電臺內外網隔離安全傳輸技術研究[J].廣播與電視技術，2013（8）.

[3] 紀兆琳.內外網雙網隔離方案淺析[J].內燃機車，2011（9）.

[4] 羅蘊軍.淺析電視臺制播系統的內外網安全隔離[J].數字通信世界，2011（3）.

【通聯編輯：代影】