数据摆渡在安全移动存储中的实施

数据摆渡在安全移动存储中的实施

吕　佳　　山东商务职业学院

摘　要：本文首先分析了数据摆渡中的网络隔离技术，然后细致讨论了数据安全移动存储方略。旨在为计算机使用者和网络安全维护者提供参考。

关键词：数据摆渡　数据安全　数据存储移动大数据时代，信息技术高速发展，经济、政治和文化都实现了互联网办公。在一带一路经济战略下，我国的国际化程度越来越高，电子商务和电子政务也成为大趋势。在网络法律法规不断健全的过程中，也依然存在很多不法分子盗取个人信息，从而给人民或者国家造成不同程度的经济损失。然而，在互联网时代，数据摆渡和数据交换是完成各项网络平台交易的必经之路，但是数据摆渡过程中依然存在很多不安全因素，对用户的个人利益和大众对互联网安全性的信任度都有负面影响。因此，关于数据摆渡在安全移动存储中实施的相关课题的研究尤为重要，实现数据摆渡安全移动对于社会各项工作的安全开展具有普遍意义。

一、数据摆渡中的网络隔离技术

数据摆渡主要是为了防范网络攻击，让两台电脑不联网，然后把数据从一台计算机向另一台计算机拷贝，常用的U盘传输数据行为就可以称为数据摆渡。网络隔离技术需要一个网络隔离的具体环境，然后才能够实现数据的传输和交换。隔离设备的工作流程是有三个部分组成的，即数据的接收、数据的存储以及数据的交换。经历一次数据交换，就要重复一下这个工作流程。网络隔离技术的最显著特点是实现了内网和外网之间的永久性绝对隔离。在网络隔离环境下，内网和外网的主机仅仅与网络隔离状态下的固态存储介质一个非TCP/IP协议的数据连接行为。从本质上分析，该数据传输机制是数据的存储和数据的转发两种行为。在网络隔离环境下进行数据摆渡，其最大的优势是内网不受外网的影响，即便外网发生安全事故，也不会对内网产生任何影响。

二、数据安全移动存储实施方略

1.移动存储可信域接入。在数据移动存储可信域接入中，主要是应用TNC架构。TNC架构主要有三个环节组成，即访问者请求、策略决策和策略执行。其本质是对终端的网络接入权限进行有效控制，经过对终端硬件身份和完整性的信任度进行系统评估的方式来完成。将移动存储设备管理系统镶嵌在TNC框架上，从而实现计算机对移动存储设备的识别和执行支持。由此，USB总线取得了高度的信任，能够实现存储接入行为。智能手机等设备也具有存储功能，其内置的存储空间仅能为用户本人所用，其存储设备具有指定的身份，凭该身份能够获得可信域接入权。为了让数据摆渡在移动过程中保证安全，即数据输入方不携带不安全因素，数据接收方也不植入不安全因素，要实现可信域和移动终端双方的双向身份验证以确保可信度。由于移动设备是客观物品，其信息传入行为是有人来实施的，这就可能造成移动设备在非主人许可下进行不良信息传输，并且不会留下数据传输过程中的行为人个人信息证据。在这种情况下，要对移动设备行为实施者的身份进行验证，具体可以通过指纹验证来实现。这样就能够对数据传递者的个人信息进行登记，一旦出现异常可以直接锁定目标。为了快速锁定非法数据信息传递嫌疑人，可以在移动存储设备实施信息数据传递的审计日志中载入指纹信息，从而可以依照数据传输的具体时间来对非法信息传递者进行锁定。

2.移动存储中的数据摆渡。为了能够让移动存储设备有单独运算的能力，通常会在设备内安置相应的智能卡芯片。这样做对数据的安全移动还有另外两种益处，一是为数据摆渡和存储设备的物理隔离提供了先决条件，二是独立运算避免了第三方运算植入病毒等不安全因素。设备的身份标识与智能卡芯片同在，其主要功能是鉴别设备身份，身份标识的内容包括设备物理信息和设备使用者的个人信息。这样就确保了移动存储数据的安全性。智能卡模块内置CPU、存储器、加解密算法协处理器、随机数发生器等硬件单元，及芯片操作系统（COS）、芯片文件系统等多个功能模块。其内部具有安全数据存储空间，用于存放移动存储设备的身份文件。对该存储空间的读写受身份认证机制保护，只有通过认证的用户和终端才能对其进行访问，并且操作必须通过定制的应用程序实现，用户无法直接读取。具备身份经营管理者　Manager' Journal292

文件的移动存储设备和可信域内网主机之间分别通过冲击响应和身份文件进行双向认证。只有成功通过认证，并且接入内网的主机之后，移动存储设备中的数据交换区、私密区以及内网主机存储器三者构成数据摆渡的三方实体，配合相应软件实现无协议摆渡。在交换区，将文件附上信任域授权矩阵等附加属性，标识出此文件可能流通的网间轨迹，通过摆渡实现安全传输。

3.基于用户授权的文件分发确认机制。数据摆渡对数据传输者的身份进行了识别，保证了无害数据的上传，但是对数据摆渡的发起者的身份无法进行控制。在这种情况下就对实名验证和指纹验证的传输数据的存储设备的持有者的隐私造成了潜在的威胁，经由木马病毒和其他可以篡改程序的软件都可以得到设备持有者的个人信息，进而可以对其设备中的文件（尤其是机密文件）进行盗取或者恶意修改。为了免除数据传输者的担心，设立了用户授权文件分发确认机制，在该制度下，所有的数据摆渡行为都是用户自愿的，从而实现了可信域内数据摆渡的安全性。该机制的具体实施是这样的，在用户上传数据行为之前要进行指纹验证，指纹验证的前奏是将摆渡数据应用发起者的信息进行反馈，用户根据其信息的信任度来决定是否作为。

4.信任域间的文件分发策略。为了保证内网的安全，要对信任域的文件进行进一步的审查，从而确保上传数据文件的可靠性。然后将经过信任审核的文件发放给接入信任域的各个终端。这样就保证了在信任域内流传的数据信息是安全的，同时也就保证了信任域终端在这里可以安全获取信息。在信任域中央控制台制定基于信任域的文件授权矩阵，然后将此信任域授权矩阵分发到各信任域中的所有终端Agent，接着在各终端通过控制软件对文件属性进行认证，从而达到精确的单一文件信任域接入认证，从而有效预防了移动存储设备带来的安全隐患。基于信任域划分的文件授权接入矩阵，控制台将在本信任域内下发文件授权矩阵，在各终端的Agent中实现对单个文件的接入认证。文件属性中包含此授权矩阵的一个子集，标识文件的来源以及准入的目标信任域。文件属性的一部分，标识从任意信任域取得的文件在其他信任域中均可见。具备如上文件属性的文件在信任域中的准入授权过程：信任域终端Agent读取文件授权接入属性，并和当前所在信任域进行匹配，然后做出文件准入授权。

三、结语

数据摆渡在安全移动存储的实施过程中，要对数据摆渡发起者和数据传输者的双方可信度进行验证；要对所上传的数据文件进行信任审核，通过审核者方可在可信域中进行传播。在具体的实施过程中，要通过指纹验证和用户授权的方式来让实施数据摆渡行为的双方进行认证，同时留下相关的行为记录。这样就为数据摆渡的移动存储安全性提供了保证。由于信息技术的革命周期比较短，通常在八个月左右，破坏网络安全者的能力也在不断变化；不法分子的造假活动也未曾定制，人造打卡指纹在网上已有销售。这就需要计算机使用者和互联网安全维护者不断研究数据摆渡的安全，不断进行优化和完善。魔高一尺道高一丈，互联网已经成为大众生活的重要部分，要通过技术的提升来捍卫网络数据摆渡安全。

参考文献：

[1]赵勤.使用移动存储安全管理系统助力网络安全[J].信息系统工程.2014(02).

[2]赵尹琛,牛振群,马传龙,蔚生军.基于BLP模型的摆渡木马防御技术的研究[J].电脑知识与技术.2013(22).

[3]王文交,马志强,钱宗峰.摆渡木马及其防御措施研究[J].信息技术.2012(11).

[4]陈星，仲东东，黄尘，王奎，孙天凯.面向移动存储设备的数据安全防护方案[J].福建电脑.2014(01).

[5]曹霞.一种基于日志的移动存储介质数据安全防护安排[J].信息与电脑（理论版）.2015(07).