基于网络隔离技术的信息资源共享方案研究

基于网络隔离技术的信息资源共享方案研究

为了保护网络信息安全，避免非法侵入或者窃取企业机密资料等情况的发生，必须要对网络内外部实行物理链路隔离，最大程度降低数据信息大量泄露的风险。鉴于此，论文在网络隔离技术的基础上，设计了一种新的信息资源共享方案，并在SMS信息查询系统中得到了实现，通过对应用效果进行分析，证明了该方案具有一定可行性，且效率与安全性保障均可以满足预期的要求。

【Abstract】In order to protect the security of network information，and avoid the occurrence of illegal intrusion or stealing confidential information of the enterprise，the physical link isolation must be carried out inside and outside the network to minimize the risk of massive leakage of data information. In view of this，the paper designs a new information resource sharing scheme based on network isolation technology，and implements it in SMS information query system. Through the analysis of the application effect，it is proved that the scheme has certain feasibility，and the efficiency and security guarantee can meet the expected requirements.

【關键词】网络隔离技术；信息资源；共享方案

1 方案简介

论文设计的方案是一种内外网信息资源共享方案，其主要由三部分组成，分别是外网的数据采集与加密，网络安全隔离区以及内网中数据的应用、解密以及信息反馈。其中，前两者之间的数据传输为单向传输，即只能由网络安全隔离区单向传输数据，详见图1。分析此方案设计可以得知，网络安全隔离区中的单向光闸是实现数据“只输入、不输出”的重要保障；而利用第三方短信平台，能够对数据的输出进行有效控制，以免发生信息泄露的情况；与此同时，通过DES/RSA 混合加密算法还可以保证数据内容的安全性，以免第三方或者未经授权的使用者窃取信息内容。可以说此方案既具有RSA算法的高安全性，同时也具有DES算法的高效率性[1]。所以，此方案同样适用于传送涉密信息。

2 基于网络隔离技术的信息资源共享系统组成

2.1 内网数据的应用、解密以及反馈

内网数据的应用、解密以及反馈是信息处理的关键环节。而内网服务器是读取信息数据的重要设备，读取完成之后，按照协议将数据文件中的DES与RSA 加密部分分离出来。首先，内网的应用服务器通过私钥与公钥认证数据文件，同时取得DES密钥，之后，通过DES密钥对数据文件中的加密部分进行解密，以获得有效的数据信息[2]。其次，根据解密之后的信息，在系统的数据库中进行查询，得到查询结果后，将其输送到内网进行审核，之后再利用RSA算法对其进行应用层加密；最后，通过第三方信息平台将信息数据发送到外网的终端上，

由其自身进行信息解密。该系统的主要优点为，由于SMS的效率比较低，故每一条SMS所能传输的数据最多为140Byte，而且，反馈程序对用户的反馈次数进行了限制。因此，能够有效避免数据信息大量泄露的风险。

2.2 网络安全隔离区

作为系统的重要组成部分，网络安全隔离区是实现数据包剥离与转化、保证数据单向输入内网以及数据摆渡的重要保障。网络安全隔离区的组成部分主要分为入侵防御系统（IPS）、防火墙（FW）以及身份认证等。其中，IPS与FW是整个网络安全系统的重要组成部分，对阻断外网的非法进入，保证网络系统信息安全具有重要作用。实际上，入侵防御系统能够更好地完善防火墙功能，其可以对数据信息的整个网络传输流程进行监视，有效防止非法连接等现象的发生，同时阻止恶意代码对系统的攻击。而身份认证系统的主要作用分为两部分，第一是对移动终端进行身份验证，第二是对与安全隔离区的接入设备进行身份认证，身份认证系统的认证是双向的，能够有效保证系统的安全性。

2.3 外网数据采集与加密

用户之所以能够通过手机、平板、电脑等移动终端进行信息发送，是因为系统中配置了外网应用服务器，而TCP/IP以及SMS数据包等均可以作为信息的载体。外网服务器在成功接收数据文件之后，首先会进行数据校验，再通过DES 算法对校验完成后的数据信息进行加密，并生成DES数据包；之后，利用RSA 算法对上一环节中产生的DES数据包的密钥进行加密，生成RSA加密数据包以及认证数据包，最终将所有的数据包进行整合与发送。

3 方案的具体应用以及应用效果分析

3.1 SMS信息查询系统

应用此方案，设计出一种跨网的信息查询系统，即SMS信息查询系统。该系统的具体作用如下，首先，利用手机、电脑等移动终端发送相应的指令；其次，指令在经过安全加密以及认证后，通过网络安全边界，将指令单项输入到内网中；再次，由内网进行相应的信息查询，得到相应的查询结果，并对其进行过滤与RSA加密；最终，借助第三方短信平台，将查询结果反馈到外网的服务器上，外网服务器会对其进行解密，解密完成之后再将其反馈回终端。现阶段，该系统已经在企业的实际运营业务中得到了实际应用。

3.2 应用效果分析

①安全性分析。一方面，关于DES的攻击主要分为线性密码分析法以及差分密封分析法，而在此方案中，DES密钥是随机变换的，故每一次数据发送的加密密钥均是不同的。这种情况下，攻击者想要获得密钥便会付出相当大的代价，且能够获取的信息数据相当有限。所以，此方案能够有效应对上述两种攻击。另一方面，相比于DES算法，RSA算法的复杂性更高，攻击者无法获得DES密钥，