浅谈多网络之间数据传输安全性及系统实现.docVIP

浅谈海关多网络之间数据传输的安全性及系统实现 【内容提要】在当前海关内外网隔离的要求下，为了更好的贯彻服务企业，促进发展的方针，就必须和企业建立一条数据通道，方便企业传输数据或海关向企业传递海关信息，但这又与海关内网安全有一定抵触，本文介绍了一种软件实现办法，描述了如何有效，经济，安全的在内外网之间传输数据。在文章里，具体介绍了系统的整体结构和模块实现，并在加密算法和系统底层传输上提出了一些解决办法。在加密算法上，合理的采用多种成熟的算法，如desx,blowfish，对数据的加密能达到一个较安全的等级。在文章的最后，提出了安全不光要从软硬件上加以控制，更重要的是要从规范上，管理上加强控制。 【关键词】网络安全 网络隔离 内外网数据传输 加密算法 【作者简介】金剑锋 男 苏州海关技术处 科员 在日新月异的今日世界中，信息技术无论在各行各业都已逐渐取得了重要地位，并且会越来越重要。随之而产生的安全问题也越来越需要引起人们足够的重视，病毒，黑客等诸方面的因素使得网络越来不安全。 Enterasys公司网络安全设计师Dick Bussiere认为：在电脑网络犯罪手段与网络安全防御技术道高一尺魔高一丈不断升级的形势下，网络攻击者和防御者都失去了技术方面的屏障，单依靠网络安全技术不可能非常有效。有统计数据表明，将近一半的防火墙被攻破过。而且，更多更新的攻击手段还会层出不穷。 海关为了应对这种情况，保持网络的纯洁度，采用了物理隔离的办法，该办法能有效的杜绝因特网上的诸种不安全的因素，较好的保持内网的安全性。 但是安全的含义是相对的，美国的一个安全权威机构曾经定义了一个所谓的“绝对安全”的例子—把硬盘封闭在抽成真空的金属箱子里，将箱子沉入不知名的海洋中。这样，硬盘上的信息就是绝对安全的了。但显然，此时硬盘上的数据是完全不可用的。安全之所以是永恒的话题，就是因为在实现安全性的同时，必须兼顾网络（或者说是数据）的可用性。海关是一个积极与企业打交道的单位，在很多方面，需要企业的大量数据，于是就产生了数据在物理隔离网络上的交换的问题。向企业拉专网是一个办法，但一旦应用推广后，这个办法要耗去大量人力物力，显然不是很经济，企业由互联网把数据传输到海关在目前看来最可行，但在海关网络隔离的要求下，企业必须把数据传输到海关的外网服务器上，然后或人工，或自动把数据传输到内网服务器上。目前来看，主要有以下几种方式:1.人工拷贝，该方法较易行，但缺点很多，如不能满足及时性要求很高的数据，需要人工负责，就会有错误或遗漏等等。2.网闸服务器，但该种服务器往往造价不菲，不是很经济。在结合诸方面的考虑下，决定设计一个这样的系统，该系统能较好的满足安全和便捷诸方面的要求，称之为双网数据传输系统。 在下面，这几种方式我作了一个比较，如表： 成本 及时性 错误率 通用性 本系统 低 高 低 低 人工拷贝 较高 低 较高 高 网闸服务器 高 高 低 高 从以上表中，可以看出该系统能较好的满足成本低，及时性高，错误率低等诸方面的要求。同时该系统还必须具有以下特点： 1.该系统必须具有用户身份识别的功能，即通过帐号、密码、地址、端口等验证用户身份，决定用户所使用的权限； 2.传输的数据必须是加密过的，在因特网日益不安全的今天，所传输的数据必须是经过加密的，这样就能较好的保护好数据，同时必须对所传输的数据进行校验，以保证数据是原生数据。 3.内外网传输的数据必须是定制的，而且具有校验机制，这样能保证传输数据的正确性。 而且为了进一步保证数据的正常，必须采用有效的手段来监控网络数据流并发现危险趋向。 从以上系统特点可以看出，重点在三个方面： 数据加密算法的采用。 内外网数据传输的可定制性。 系统运行时对网络数据流的监控。 系统简述 该系统结构采用了企业客户端，外网服务器端，内网服务器端的C－S(外网)－s（内网）模式。为了满足在因特网上传输数据的安全需要，加密算法采用了DESX,BLOWFISH等多种成熟的算法进行更替，进一步加强了数据破译的难度。内外网传输的方式上选择了串口方式，使用了ZMODEM协议来传输限定的文件，在数据量不算巨大的情况下，已基本可以满足情况，并满足了内外网数据传输的可定制性。为了进一步满足内外网隔离的要求，对内网服务器的网卡作了控制。当打开串口传输数据之前，内网服务器的网卡将会被禁用；关闭串口传输后，再把内网服务器的网卡启用。从而，外网和内网是物理隔离的。 在网络监控方面，采用了netflow来监测网络数据流，以便及早发现危险采取相应措施。 系统主要功能 企业客户端能满足企业数据库的多样性，或可以由企业直接输入数据，可定制性高，并对企业数据进行加密。在接收回执时把加密过的回执解密，并根据要求对数据进行处理。在进行这一系列的数据处理过程中，该系统能对所处