浅谈多网络之间数据传输的安全性及系统实现.pdfVIP

浅谈海关多网络之间数据传输的安全性及系统实现

【内容提要】在当前海关内外网隔离的要求下，为了更好的贯彻服务

企业，促进发展的方针，就必须和企业建立一条数据通道，方便企业

传输数据或海关向企业传递海关信息，但这又与海关内网安全有一定

抵触，本文介绍了一种软件实现办法，描述了如何有效，经济，安全

的在内外网之间传输数据。在文章里，具体介绍了系统的整体结构和

模块实现，并在加密算法和系统底层传输上提出了一些解决办法。在

加密算法上，合理的采用多种成熟的算法，如desx,blowfish，对数

据的加密能达到一个较安全的等级。在文章的最后，提出了安全不光

要从软硬件上加以控制，更重要的是要从规范上，管理上加强控制。

【关键词】网络安全网络隔离内外网数据传输加密算法

【作者简介】金剑锋男苏州海关技术处科员

在日新月异的今日世界中，信息技术无论在各行各业都已逐渐取

得了重要地位，并且会越来越重要。随之而产生的安全问题也越来越

需要引起人们足够的重视，病毒，黑客等诸方面的因素使得网络越来

不安全。

Enterasys公司网络安全设计师DickBussiere认为：在电脑网

络犯罪手段与网络安全防御技术道高一尺魔高一丈不断升级的形势

下，网络攻击者和防御者都失去了技术方面的屏障，单依靠网络安全

技术不可能非常有效。有统计数据表明，将近一半的防火墙被攻破过。

而且，更多更新的攻击手段还会层出不穷。

海关为了应对这种情况，保持网络的纯洁度，采用了物理隔离的

办法，该办法能有效的杜绝因特网上的诸种不安全的因素，较好的保

持内网的安全性。

但是安全的含义是相对的，美国的一个安全权威机构曾经定义了

一个所谓的“绝对安全”的例子—把硬盘封闭在抽成真空的金属箱子

里，将箱子沉入不知名的海洋中。这样，硬盘上的信息就是绝对安全

的了。但显然，此时硬盘上的数据是完全不可用的。安全之所以是永

恒的话题，就是因为在实现安全性的同时，必须兼顾网络（或者说是

数据）的可用性。海关是一个积极与企业打交道的单位，在很多方面，

需要企业的大量数据，于是就产生了数据在物理隔离网络上的交换的

问题。向企业拉专网是一个办法，但一旦应用推广后，这个办法要耗

去大量人力物力，显然不是很经济，企业由互联网把数据传输到海关

在目前看来最可行，但在海关网络隔离的要求下，企业必须把数据

输到海关的外网服务器上，然后或人工，或自动把数据传输到内网服

务器上。目前来看，主要有以下几种方式:1.人工拷贝，该方法较易

行，但缺点很多，如不能满足及时性要求很高的数据，需要人工负责，

就会有错误或遗漏等等。2.网闸服务器，但该种服务器往往造价不菲，

不是很经济。在结合诸方面的考虑下，决定设计一个这样的系统，该

系统能较好的满足安全和便捷诸方面的要求，称之为双网数据传输系

统。

在下面，这几种方式我作了一个比较，如表：

成本及时性错误率通用性

本系统低高低低

人工拷贝较高低较高高

网闸服务器高高低高

从以上表中，可以看出该系统能较好的满足成本低，及时性高，

错误率低等诸方面的要求。同时该系统还必须具有以下特点：

1.该系统必须具有用户身份识别的功能，即通过帐号、密码、地

址、端口等验证用户身份，决定用户所使用的权限；

2.传输的数据必须是加密过的，在因特网日益不安全的今天，所

输的数据必须是经过加密的，这样就能较好的保护好数据，同时必须

对所传输的数据进行校验，以保证数据是原生数据。

3.内外网传输的数据必须是定制的，而且具有校验机制，这样能保证

传输数据的正确性。

而且为了进一步保证数据的正常，必须采用有效的手段来监控网络

数据流并发现危险趋向。

从以上系统特点可以看出，重点在三个方面：

1.数据加密算法的采用。

2.内外网数据传输的可定制性。

3.系统运行时对网络数据流的监控。

系统简述

该系统结构采用了企业客户端，外网服务器端，内网服务器端的

C－S(外网)－s（内网）模式。为了满足在因特网上传输数据