数据安全传输【集散式中小型企业远程数据安全传输解决方案】
时间:2019-05-19 03:26:02 来源:雅意学习网 本文已影响 人 
【 摘 要 】 根据集散式中小型企业的业务需求特点,对几种常见的远程数据安全传输方案进行了综合研究与分析,并结合实际应用案例,把多种安全技术和社会免费资源集于一体,提出了一种基于VPN的廉价解决方案,让更多的类似企业建得起、用得起,解决了企业远程数据的安全交换和安全共享问题,为中小型企业的数据传输业务保驾护航。
【 关键词 】 集散式中小型企业;远程数据;安全传输
Distributed Small and Medium-sized Enterprise Remote Data Secure Transmission Solutions
Zhang Ding-xiang
(Guizhou Commercial College GuizhouGuizhou 550004)
【 Abstract 】 According to the demand characteristics of business of the distributed small and medium-sized enterprises(SMEs), I have researched and analyzed several common scheme about remote data transmission safety, and combined with the practical application of cases, to set in one body with variety of security technology and social free resources,Proposed a cheap solution based on the VPN. Let more similar enterprise can build up and use up, For SMEs to solve the problem of the remote data security exchange and sharing of safety.
【 Keywords 】 distributed?small and medium-sized enterprises; remote data; security transmission
0 引言
将那些在地理分布上较为分散,但在管理上却需要敏捷集中、信息交流十分频繁的中小型企业称之为集散式中小型企业。而这些集散式中小型企业将越来越需要利用公众互联网平台开展自己的业务,与异地分支机构、移动办公人员和商业伙伴频繁地交换秘密信息,以降低公司的管理成本,提高公司的管理效率和应付日益复杂的环境需求及情况变化。同时也受到来自公众互联网的各种安全威胁,如系统攻击、数据窃取、数据泄露等,这些企业数据的传输和共享受到了网络安全威胁和资金投入的限制,如果不能有效地解决这些问题,将会严重阻碍我国集散式中小型企业的正常发展。
1 解决方案
无论采取何种方式解决集散式中小型企业远程数据的安全传输问题,都要以确保数据信息的机密性、完整性、可用性、可控性、抗抵赖性等安全属性为构建目标。
1.1 构建专用线路方案
在该方案中,整个线路仅为企业专用,安全性和数据传输速度都很好,就是建设成本和维护成本很高,一般情况下中小型企业是无法承受这个高额费用的。
1.2 基于防火墙的解决方案
人们通常的做法是购置路由器、防火墙、入侵检测系统等硬件设备,对它们进行简单堆砌,造成财务负担重,安全效果不明显的局面。防火墙主要解决网络安全隔离技术,却无法解决抗抵赖性、数据压缩传输、数据加密传输和密钥管理等问题。
1.3 硬件VPN方案
利用公众互联网链路架设企业私有的虚拟专用网(即VPN),VPN融合了隧道传输、加密解密、密钥管理、身份认证、访问控制等多方面的先进技术。建立VPN实质上是扩展企业内部网络,为企业分支机构、商业伙伴、移动办公人员等建立可信的网络安全连接,实现数据安全传输和内部资源安全共享。
VPN相对于专线方式而言,在价格上有着绝对的优势;相对于普通PSTN拨号连接,VPN在安全性、保密性上更胜一筹。人们通常采用硬件VPN解决方案,因为效果好、性能稳定,但建设成本和维护成本较高,中小型企业难以接受。
1.省略)、88IP(88ip.cn)等。 采用以上方案,解决了无固定公网IP地址主机的访问问题,得到了免费的公网IP地址和域名。
(3) 集成型VPN网关软件的选用
软件VPN除具有硬件VPN同样的功能外,还具有价格低、寿命长、灵活性和扩展性强的优点;缺点是安装配置复杂、性能一般,可采用较强性能的计算机作为软件VPN的运行支撑环境,解决软件VPN的性能问题。这里,将基于VPN并集成防火墙、入侵检测、计算机病毒防治、网络拨号服务等重要功能于一体的VPN软件称为集成型VPN网关软件。
虽然集成型VPN网关软件在市场上不少,但适用的质量好的并不多见。笔者推荐使用Injoy Firewall集成型VPN网关软件,该软件在我国也有少量用户,并得到了中国公安部的安全认证许可。
Injoy Firewall集成型VPN网关软件可较好地解决数据安全传输和内网资源安全共享问题。Injoy Firewall内置了网络拨号(PpoE、PSTN)、VPN、防火墙、IDS、DHCP Server、远程配置管理等功能模块,且支持IPSec和NAT-T协议,支持多种高强度加密(DES、3DES、AES、AES-192/256)、多种认证(共享密钥、扩展认证、RSA数字签名)、数据压缩传输,提供隧道模式和传输模式两种工作方式。
(4) 运行环境
运行环境不能要求高,能运行于普通PC机和Windows(Linux)操作系统即可。
通过以上综合分析,得出了一个6+解决方案(PC机+Windows(Linux)+ADSL拨号+DDNS+二级域名+集成型VPN网关软件)。6+是一个经济、适用、易用、安全的远程数据传输方案,为集散型中小型企业构建远程数据安全传输平台是切实可行的。
2 应用案例
上述的综合解决方案已在贵州省几家集散式中小型企业和政府基层管理部门得到了较好的应用。现以某医院为例来说明该方案构建方法。
某医院为实现其异地分支机构(分院、社区医院、诊所)与中心医院的业务系统互联,数据统一集中存储、处理和管理,做到病人的刷卡和结算同步,构建了如图1所示的远程数据安全传输平台。在图1的网络拓扑结构图中,实线为物理连接线路,虚线为逻辑上的VPN隧道。在中心医院及其分支机构(A和B)的网络接入处都安装集成型网关(PC机+Windows 2000+ADSL拨号+DDNS花生壳客户端软件+二级域名+Injoy Firewall),集成型网关负责内网与ADSL Modem的连接,ADSL Modem的另一端与公众网络连接。其中,中心医院和分支机构B的集成型网关还额外配置了普通电话Modem,它们通过PSTN公众电话网进行电话拨号连接,作为ADSL的备用线路。中心医院和各分支机构都无固定的公网IP地址,通过ADSL拨号上网获得动态的免费公网IP地址。借助DDNS花生壳客户端软件和Injoy Firewall提供的NAT-T技术,使得各分支机构内网的任一台计算机均可安全地访问中心医院网络中的业务服务器或其它计算机。
该远程数据安全传输平台从2004年建成使用至今,仍然在稳定、安全、可靠地运行,实现了预期的业务需求和低成本的建设目标。
3 应用效果及展望
多家单位多年运用结果表明,采用本文提出的“6+”解决方案构建的信息交互平台运行效果良好,原有投资也得到了保护。这就为集散式中小型企业和政府基层管理部门找到了一个安全、够用、好用、价廉的远程数据安全传输解决方案。
但是,“6+”解决方案不适合传输大流量的视频数据,还有待于进一步的研究。
参考文献
[1] 曾庆凯.信息安全体系结构[M].北京:电子工业出版社,2010.
[2] 戴彬.基于IPSec的VPN技术穿越NAT的研究与设计[D].重庆:西南大学,2006.
[3] F/X Communications公司.InJoy Firewall - IPSec VPN Features [OL].http://www.fx.dk.
作者简介:
张定祥(1969-),男,苗族,武汉测绘科技大学,大学本科,工学学士,高级工程师,贵州省政府采购评审专家;主持和担任过项目经理的信息系统工程建设项目有60多个;主要研究领域为网络与信息安全、IT项目管理。
