内外网文件传输方式安全性探讨

庞锐

摘要：信息时代，出于保护内部数据安全的需要，往往需要设立内部网络，这样，我们就会面临在内外网之间进行文件传输，该文对几种常见的内外网文件传输方式的原理和安全性进行分析，同时探讨了各种传输方式下可以采取的安全策略。

关键词：数据安全；内外网；文件传输；安全策略

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）29-0064-02

Abstract：In the information age，as the need to protect internal data security，we often have to create internal network，so we would face the problem of file transfer between the internal and external network.This paper analyses the principle and security of these common file transfer modes，and the different security strategies have to be pursued.

Key words：data security；file transfer；internal and external network；security strategies

1 前言

信息时代，企业之间为了提升竞争力而加强核心资料保护或是政府机关事业单位基于内部数据安全性的考虑，通常都会设置内部局域网，简称内网。而外网，即外部Inernet网络，又提供了丰富的信息资源和更广阔的网络互联性。因此，我们常常会面临内外网之间数据的交互、文件资料的传输问题。同时，内部局域网的核心资料和敏感信息对网络安全性提出了更高的要求，因此，如何兼顾使用的便捷性和数据安全性成为广大使用者面临的难题。

2 常见内外网文件传输方式

2.1 U盘/移动硬盘

U盘和移动硬盘是常见的移动存储工具，通过USB接口与不同内外网电脑连接，就可实现即插即用，方便快捷地进行文件传输。但是，使用U盤/移动硬盘进行文件传输的安全性很低，相互连接的U盘/移动硬盘和计算机之间都可能传播计算机病毒。在网络发展历程中，通过感染U盘/移动硬盘传播计算机病毒一直是计算机病毒传播的重要方式。将恶意程序放入U盘或者移动硬盘，在不同的PC交换数据的过程中，就可以达到病毒传播的目的。同时，在Windows Vista和Windows Server 2008操作系统以前，Windows操作系统针对移动存储介质默认运行AutoPlay/AutoRun自动播放功能。使得被病毒感染的移动存储介质一旦插上计算机就会自动运行该病毒，传播性和感染力极强，以至于这类针对移动存储介质的病毒飞速发展，时至今日，很多流行病毒通过U盘/移动硬盘等移动存储介质传播的概率依然很大。

在使用U盘/移动硬盘情况下可以采取的安全策略：（1）在系统中禁用移动存储介质的自动播放或自动启动功能，禁止程序在U盘中创建或修改autorun.inf文件。（2）U盘/移动硬盘等移动存储介质在插入计算机后，先进行病毒查杀，再运行移动存储设备。（3）如果只是往移动存储设备中拷贝文件或删除文件，最好设置移动存储设备为只读模式再使用。（4）使用资源管理器，而不是使用“我的电脑”来访问移动存储设备。

2.2 光盘

光盘是以光信息作为存储的载体并用来存储数据的一种物品，分为CD-ROM、DVD-ROM等不可擦写光盘和CD-RW、DVD-RAM等可擦写光盘。光盘的使用需要光驱设备，便利性不如U盘/移动硬盘。但是对比U盘和移动硬盘，光盘有几大优势：（1）稳定性好。光盘使用光存储，不受电磁干扰，防水，耐冲击，光盘只要不受到物理损伤，一般情况下资料不会丢失。理论保存年限可以达到100年，适合长久保存。（2）防病毒性。光盘内容无法直接修改，有效避免了U盘病毒传播。光盘需要专门的软件才能进行写入，无法后台进行，而U盘/硬盘插入即可进行数据写入，病毒很方便进行复制，而且鉴于大部分光盘不可重复擦写，自动播放项不可改动，所以通常病毒不会选择光盘作为载体。（3）价格低廉，单次使用后销毁成本低。（4）防止泄密。光盘的只读特性可以有效防止数据泄密。

使用光盘可采取的安全策略：（1）做好权限管理，便于内部资料的保护。只要管理好刻录权限可有效防止数据泄密，而且即使出现问题也容易追查。（2）在文件刻录到光盘前对文件进行病毒查杀，杜绝病毒传播。（3）设置光盘为只读特性。

2.3 双网络系统

双网络系统就是在一台计算机上分别安装内网网卡和外网网卡，设置好内外网卡的IP地址、子网掩码和DNS，但是只在一张网卡上设置网关，如果内网地址段是10.x.x.x，网关是10.y.y.y，互联网网关是192.z.z.z。路由设置如下：

@route add -p 0.0.0.0 mask 0.0.0.0 192.z.z.z

@route add -p 10.0.0.0 mask 255.0.0.0 10.y.y.y

这样做能够同时访问内外网，可以方便地实现内外网文件传输，但是一旦病毒通过外网入侵计算机，那么内网数据安全也很难保证。

双网络的安全策略：（1）系统设置强壮的密码；（2）使用专业防火墙软件，保护内部数据安全；（3）只放行FTP的21和20端口，封闭其他端口。

2.4 安全隔离网闸系统

安全隔离网闸在两个独立主机系统之间，通过带有多种控制功能的固态开关和读写介质连接读写操作从而实现信息交换，但同时两个系统间又不存在通信的传输协议、信息传输命令、物理连接以及逻辑连接从而实现硬件链路层上的物理隔离。网闸将外部主机的TCP/IP协议全部剥离，以“摆渡”的方式，将数据通过存储介质导入到内网主机系统，实现信息的交换。同时安全隔离网闸通常内嵌病毒查杀功能，以实现对交换数据的病毒查杀。安全隔离网闸系统的优越性在于：（1）实现物理隔离，提高内部网络安全性；（2）提供自动的病毒查杀功能以及安全审计功能；（3）防止木马攻击。大部分的木马攻击都是基于TCP协议在客户端和服务器端建立连接的，而安全隔离网闸使用自定义的私有协议而不是TCP通用协议。这就切断了TCP连接，使木马攻击无法正常建立通讯连接，从而可以防止木马攻击。

安全隔离网闸系统的建设比较复杂，需要依赖专业的硬件供应商。安全隔离网闸做到了物理隔离下的文件传输，防攻击性能优越，但是协议的代理对病毒防护仍然依赖当前技术。

3 结束语

不同的内外网文件传输方式的安全性和便利性不同，实现方式不同，造价也不同。这就需要我们根据使用需要进行权衡，选择适当的方式。当然，我们应该看到，随着信息安全技术的日益发展，我们对数据资料的保护能力也逐渐提升。

参考文献：

[1] 蒲天银.安全隔离网闸技术发展探讨[J].计算机时代，2006（6）.

[2] 张智锐.广播电台内外网隔离安全传输技术研究[J].广播与电视技术，2013（8）.

[3] 纪兆琳.内外网双网隔离方案浅析[J].内燃机车，2011（9）.

[4] 罗蕴军.浅析电视台制播系统的内外网安全隔离[J].数字通信世界，2011（3）.

【通联编辑：代影】