涉密信息網組網及遠程鏈接關鍵技術研究

葉 茂 繆 綸 王志璋 江新蘭

(中國水利水電科學研究院信息網絡中心，北京 100044)

隨著互聯網技術的不斷深入普及，人們獲取信息的主要渠道由傳統的報紙、廣播、電視已經轉移到了互聯網領域。政府網站的建設已經成為了政府信息公開的主要方式和渠道，便捷，快速而準確。據不完全統計，截止 2010年中央部委政府網站的普及率達到100%，省市政府網站普及率達到100%，地市級政府網站普及率達到 99.5%。同時大量的企業、科研機構也同樣擁有數量龐大的網站群。這些機構同時擁有大量的商業和科研機密。

如今的社會是互聯網時代，很多的工作必須借助互聯網才能完成，雖說有強有力的行政手段來阻止人為的泄密事件的發生，但是黑客的入侵以及由于互聯網的開放性導致的技術性泄密事件的發生還是屢見不鮮。因此，組建一個專用的存儲、傳輸涉密信息的網絡來防止泄密事件的發生尤為重要。各下屬機構政務內網通過專線或者以租用專線，以有限終端的方式連入總部機關政務內網，確保政務內網信息的上報下發等信息交流。本文將主要針對下屬單位如何安全高效地接入總部的涉密信息網展開探討。

1 總體設計

1.1 設計基本原則

（1）分級保護。嚴格按照國家保密局頒發的關于《涉及國家秘密的信息系統分級保護管理辦法》的規定執行；區分涉密與非涉密區域、涉密部門與非涉密部門；明確網絡安全域的劃分，實行物理隔離。

（2）整體安全。涉密網對安全保密的需求是任何一種單元技術都無法全部解決的，必須從一個完整的安全體系結構出發，綜合考慮安全保密的各種實體和各個環節，綜合使用各層次的多種安全手段，提供全方位的安全保障。

（3）保密級別達標。涉密網的設計、產品的選型及服務的選擇都是以國家保密局最新頒布的標準為依據進行的，安全保密級別達到標準規定的相應級別的技術與管理要求。

（4）投資保護。涉密網的設計將最大限度利用已有安全產品，避免替換安全產品造成成本大幅增加，最大限度地保護原有投資。

（5）擴展性。涉密網的設計應能適應上級部門安全保密需求以及國家保密局等提出的安全保密要求的變化，易擴展易升級，為未來的發展留有接口。

（6）穩定性。涉密網的設計需保證原內網業務應用系統的穩定、順暢，改造和實施不應對業務用系統造成影響。

（7）保持實用與先進。采用主流技術路線，盡可能在滿足當前的需求的情況下并兼顧長遠的業務需求，使整個系統在5年內保持技術的先進性，并具有良好的發展潛力，以適應未來信息產業業務的發展和技術升級的需要。采用最先進的技術、設備和材料，以適應高速的數據傳輸需要。

（8）保持靈活與可擴展。硬件設備系統等應該具有良好的靈活與可擴展性，要有良好的擴容能力，硬件設備應有支持多種網絡傳輸、多種物理接口的能力，并預留一定的冗余能力和設備技術升級能力。

（9）標準化。在系統結構設計中，應該嚴格參照國標和行標，各種國家保密法律、法規，堅持統一規范的原則。標準化的設計原則能夠為日后擴充極大減少設計量和施工量，并能保證系統的平穩升級擴容。

（10）可管理性。涉密網系統是一個綜合性的復雜系統，有效的管理必不可少。因此在方案中，應具備全面、完善的機房管理和監控系統。快速而有效的定位排除故障。防止非法的入侵和外聯，從而保障數據機房安全。

（11）國產化。信息安全保密工作關系到國家安全，所采用的安全保密產品須立足于國產。

1.2 設計策略

（1）保密第一。信息安全保障工作涉及多個方面的保護，包括保密性、完整性、可用性、可控性、不可否認性等等，在涉密網安全保密改造設計中，以保密性為主，兼顧其他幾個安全目標。

保密性是指防止非授權訪問敏感信息或涉密信息。本單位內網涉密業務中會生成、傳輸、處理、保存大量的信息，這些信息中包括各種敏感信息或涉密信息，保障本單位內網涉密信息的保密性，是安全保密建設改造項目的主要安全目標。

（2）最小授權。涉密網絡的建設規模要最小化，非工作所必需的部門和崗位不得建設涉密終端；涉密信息系統中涉密信息的訪問權限要最小化，非工作必需知悉的人員，不得具有關涉密信息的訪問權限。

（3）綜合防護。若要提升整個系統的整體安全水平，就必需首先從系統中最為薄弱的環節入手加以保護。系統中最薄弱的環節往往威脅的入侵最容易突破的環節。就好像木桶的短板效應一樣。只有提高整個系統的“安全最低點”的安全性能，才能防患于未然。基于這樣的原理，應該對系統進行全面有效的分析、評估和檢測，（包含入侵檢測，黑客入侵）切實找到漏洞所在，提高整個系統的綜合防御能力。

安全保密建設必需保證整個防御體系的完整性。一個較好的安全保密措施往往是多種方法適當綜合的應用結果。單一的安全保密產品對安全問題的發現處理控制等能力各有優劣，從安全性的角度考慮需要不同安全保密產品之間的安全互補，通過這種對照、比較，可以提高系統對安全事件響應的準確性和全面性。

1.3 功能結構設計

涉密網的安全分為：物理、運行、信息、管理等幾個方面。根據涉密網實際安全需求，綜合考慮現有的各種安全技術措施和政策要求，從“風險、成本、效能平衡”的原則出發，重點從物理安全、網絡運行安全、信息安全保密等方面對本單位涉密網安全保障的進行設計建設。

（1）物理安全。為了保護網絡設備、設施、介質和信息免遭自然災害、環境事故以及人為物理操作失誤或錯誤，及各種以物理手段進行違法犯罪行為導致的破壞、丟失，涉密網系統需要具備環境安全、設備安全和介質安全等功能。

（2）運行安全。為保障涉密網的安全保密，網絡系統需要具備備份與恢復、病毒惡意代碼防護、應急響應、運行管理等功能。

（3）信息安全保密。為了保證信息的保密性、完整性、可控性、可用性和抗抵賴性，計算機信息網絡系統需要采用多種安全保密技術，如身份鑒別、訪問控制、信息加密、電磁泄漏防護、信息完整性校驗、抗抵賴、安全審計、安全保密性檢測、入侵監控、操作系統安全保護、數據庫安全保護和邊界防護等。

2 安全域劃分[1]

2.1 域劃分依據

安全域（security domain）就是由實施共同安全策略的主體和客體組成的集合。劃分安全域是建立縱深防御安全系統的基礎。 隨著業務的不斷發展，計算機網絡變得越來越復雜，將網絡劃分為不同的區域，對每個區域進行層次化地有重點的保護，是建立縱深防御安全系統的自然而有效的手段。

2.2 域的作用和設計基本原則

通過安全域劃分，使得信息系統的邏輯結構更加清晰，可以幫助理順網絡的應用系統的架構，從而更便于進行運行維護和各類安全防護的設計。

安全域的劃分應該遵循如下根本原則和劃分方法：業務保障、結構簡化、分級保護、立體協防和生命周期原則。

2.3 域劃分方法

安全域劃分的基本方法有三種：業務域、等級域和行為域。

業務域的劃分方法相對自然簡單，基本上不用改動現有的系統結構。但系統中所有的業務系統都面對相同的安全威脅，這就需要采用同樣的保護手段，防護復雜且投資重復龐大。

等級域的劃分僅僅要求每個等級的安全域內的安全防護要求一致，不同等級的安全域采用不同的安全手段，有效地減少了重復投資，同時也體現了安全縱深防御的思想。由于按安全等級形成的網絡區域與按業務特性形成的網絡區域有較大的差別，對已有系統重新調整整合的難度會很大，會影響業務系統的正常運營和性能。因此這種方法比較適合新建業務系統的網絡安全區域規劃和劃分。

行為域劃分按照信息系統的不同行為和需求來劃分相應網絡安全域，并根據信息系統的等級和特點選擇相應的防護手段。這種方法由于從業務系統現狀出發，充分考慮了承載業務系統的信息系統的行大和外部威脅，能夠設計出比按業務系統劃分方法更為細致的網絡安全域，同時又可以避免業務系統大規模調整，而且也兼顧到了防護等級，目前對比業務域、等級域的優缺點，行為域的劃分方法是國際上常見的方法。

3 涉密網安全域劃分及防護

3.1 涉密網安全域劃分

涉密網安全域可劃分為五個域，分別是“核心交換域”、“安全管理域”、“機密級服務器域”、“終端域”、以及“秘密級安全緩沖域”。

按照相關規定，“秘密級安全緩沖域”與達到等級保護三級要求的政務外網相連接時，采用安全隔離與信息單向導入系統、一體化安全網關等安全設備，并向保密局申請專項審批，專項審批通過后方實行連接，從政務外網向涉密網導入需要的信息。

從涉密網向政務外網導出的信息依據相關規定和流程，只能以人工的方式拷貝到政務外網。企業級涉密網的搭建不經過保密局審批，但技術流程上可參照實施。

3.2 邊界防護

3.2.1 與總部涉密網的連接

通常情況下，了保證設計方案的協調性，可將本單位涉密網密級定為和上級單位涉密網密級一致。若本單位涉密網密級與上級涉密網密級一致，本單位與上級涉密網之間的連接只需明確劃分邊界、制定訪問控制策略并進行有效的邊界防護措施即可。邊界防護措施考慮網絡訪問控制、惡意代碼和入侵行為的檢測和防范，因此，本單位與上級涉密網的邊界防護使用防火墻設備等安全網關系統。雖然很多的涉密網的對接采用的是專線線路，但是物理鏈路不可控，存在網絡傳輸數據被竊取的風險，因此，在信息傳輸上部署網絡密碼機對所傳輸的數據進行加密。

需要注意的是由于通常很多情況下涉密網的對接在遠距離傳輸的過程中不能保證所使用的線路是專線對接，勢必要使用互聯網，在這樣的限制下如何做到涉密網和互聯網的物理隔離就有了一定的局限性，折中情況的出現不能利用寬帶 VPN技術實現遠程接入。只能使用加密撥號接入，即先用普通MODEM撥號上網，再用卡式密碼機建立密通道。以達到物理隔離的目的，但是由于現有技術的限制，采用撥號加密的方式存在明顯的缺點就是傳輸速率的瓶頸問題。

涉密網與上級涉密網的連接如圖1所示。

圖1 涉密網與上級涉密網連接圖

3.2.2 與業務外網的連接

根據國家保密局《電子政務保密管理指南》的要求，電子政務涉密信息系統（或安全域）和與互聯網邏輯隔離的電子政務非涉密信息系統（或安全域），在滿足一定的條件下，經過國家保密局批準，可以采用所批準的方案和“安全隔離與信息單向導入系統”進行連接。根據要求，在涉密網建立一秘密級安全緩沖域，在電子政務外網或外部業務網建立一個符合等保三級要求的網站，通過安全隔離與信息單向導入系統相連接，由此秘密級安全緩沖域與安全隔離與信息單向導入系統相連，安全隔離與信息單向導入系統與政務外網等保三級網站相連，邏輯結構如圖2所示。

圖2 政務外網與涉密網連接示意圖

在政務外網等保三級網站與秘密級安全緩沖域之間，部署安全隔離與信息單向導入系統，實現信息和數據的單向導入；為實現秘密級安全緩沖域的入侵檢測，在此安全域的交換機上部署入侵檢測系統，實現秘密級安全緩沖域的實時入侵監控；在秘密級安全緩沖域與機密級的電子政務安全域之間部署集防火墻、入侵防御和防病毒等功能于一體的一體化安全網關系統，保證系統的完整性和可用行，使安全風險降到最低，同時也實現了邊界的安全防護。

由于涉密網與政務外網采用物理隔離的技術，近些年，隨著網絡安全技術的不斷發展，上述安全接入方式演變為物理隔離網閘的形式出現了，物理隔離網閘結構如圖3所示。

圖3 物理隔離網閘示意圖

物理隔離網閘[3]是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。物理隔離網閘主要由內網處理單元、外網處理單元、安全隔離與信息交換處理單元三部分組成。外網處理單元與外網(業務外網)相連，內網處理單元與內網(涉密網)相連；安全隔離與信息交換處理單元通過專用硬件斷開內、外網的物理連接，并在任何時刻只與其中一個網絡連接，讀取等待發送的數據，然后“推送”到另一個網絡上。在切換速度非常快的情況下，可以實現信息的實時交換。

由于物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞；物理隔離網閘可以解決以下威脅：操作系統漏洞，入侵，基于TCP/IP漏洞的攻擊，基于協議漏洞的攻擊，木馬，基于隧道的攻擊，基于文件的攻擊等。

由此看來雖然涉密網、非涉密網之間存在物理隔離，但是依照涉密信息“最小化”原則，通過設立秘密級安全緩沖區和物理網閘的設置還是可以做到涉密網和非涉密網之間兩個不同的信息安全域信息的適度“可靠交換”。

3.3 安全域內防護

依據安全域的不同涉密等級和保密局的相關規定，各個安全域采用相應的安全保密產品進行安全保密保護。

涉密網的具體部署如下。

(1)各涉密的安全域網絡邊界位置部署邊界防護設備（涉密服務器域、安全管理域），采用防火墻或一體化安全網關。

(2)核心交換域位置部署 IDS系統、安全審計系統，進行全網的入侵檢測和安全審計。

(3)涉密終端域部署網絡防病毒系統、主機監控與審計系統、USB移動存儲介質使用管理系統、數字證書認證系統、視頻干擾系統、線路傳輸干擾器（未采用屏蔽線路的部分使用），并通過劃分VLAN將涉密終端與非涉密終端、機密級終端與秘密級終端分開。

(4)非涉密終端域部署網絡防病毒系統、主機監控與審計系統、USB移動存儲介質使用管理系統、數字證書認證系統，并通過 VLAN劃分將非涉密終端與涉密終端分開。

(5)安全管理域包括網絡防病毒系統服務器、主機監控與審計系統服務器、USB移動存儲介質使用管理系統服務器、CA服務器、漏洞掃描系統服務器、安全管理平臺相關服務器和數據庫等，需部署運維操作安全審計系統。服務器可以合并使用。

(6)機密級服務器域部署網絡防病毒系統、運維操作安全審計系統。

一般情況下，在經過上述安全產品部署的涉密網建設基本上可以認為該涉密網是安全可行的。

4 結 語

涉密網的組建以及遠程互聯通過上述研究，可以看出，在該涉密網系統架構下，可以有效地利用技術手段將涉密信息的存儲和傳輸限定在可控的范圍之內。當然僅從技術手段解決泄密并不是萬能的，還需要強有力規章制度以及相應的管理手段和軟件才能使涉密網安全良好地運行。

[1]劉光軼.省級移動數據通信網（MDCN）安全域劃分與邊界整合方案的設計和實施.北京郵電大學,碩士論文,2008-09-08

[2]許云明.物理隔離網閘原理及應用.計算機安全.2005年12期