對外統一安全邊界系統的設計與實現

王奇

【摘要】 為了對企業最具價值的數據進行安全防護，參照通用數據安全保護框架，在敏感數據訪問的關鍵路徑上增加統一安全能力，增強多種數據安全防護機制，開發了對外統一邊界系統。該系統由外網統一門戶、數據擺渡中心、內網數據服務中心三大子系統組成。并以某運營商為例，實現企業內外網數據安全傳遞的一種平臺。對外統一安全邊界系統有效避免了在數據交互過程中所存在的部分安全風險，適用于運營商企業的業務數據隔離環境，同時在政府非涉密網之間的數據傳遞應用場景下具有推廣價值。

【關鍵詞】 安全邊界 內網 外網 數據擺渡 安全島

網絡和信息安全事件頻發，信息安全形勢復雜嚴峻。對于運營商來說，移動互聯網時代來臨、4G商用、RCS等新業務登場、智能終端普及，復雜而嚴峻的安全形勢提出了新的挑戰與要求。因此需要對信息安全技術體系進行優化，提升網絡空間安全保障能力。

目前隨著技術的進步，全IP化網絡和移動互聯網的推廣造成業務系統間的數據交互復雜度和數據量不斷增加，業務系統運維和使用的群體趨于多樣化，而傳統的管理體系和技術手段將面臨越來越嚴峻的安全壓力。傳統的業務申請、審批以及安全傳輸基于VPN技術進行交互，這種傳統的VPN方式在服務器管理、帳號權限管理等方面存在安全隱患，服務器易受攻擊劫持，導致對內網業務系統的攻擊和破壞；權限控制過于粗大，導致越權行為的發生；繁重且復雜的數據交互將給業務系統帶來大量的安全監管和審計工作，造成審計結果的可信度低，導致整個數據交互過程中存在重大的安全隱患。為了對企業最具價值的數據進行安全防護，參照通用數據安全保護框架，在用戶對企業敏感數據訪問的關鍵路徑上增加統一安全能力，增強多種數據安全防護機制。需要建設一套統一身份認證、數據隔離交換、統一數據模型轉換的系統。通過該系統，建立起內外網數據安全交互通道，解決企業內外網環境之間數據交互的安全保護。該系統具有統一管理的安全門戶和安全通道；細粒度用戶授權、安全監控與審計；定制的業務模式、交互方式和數據模板。

一、系統需求分析

通過調研某運營商的實際情況和需要，根據信息安全管理工作的內容，在綜合分析業務數據保護場景的基礎上，歸納出對外統一安全邊界系統的需求。

該系統的總體設計目標是，建立安全邊界，統一進行數據的交互，實現信息安全管理體系中安全邊界防護功能的系統。實現企業內外網數據安全傳遞的一種平臺。使企業外部用戶在對外統一安全邊界系統上提交數據，再由對外統一安全邊界系統將數據提交到內網業務系統中，從而使外部用戶不用通過VPN連接到內網業務系統提交數據。解決了企業給外部用戶分配VPN賬戶帶來的安全隱患。

二、系統架構

“對外統一安全邊界系統”由外網統一門戶、數據擺渡中心、內網數據服務中心三大子系統組成。外網統一門戶承載企業外網用戶的數據采集、提交、呈現功能，是用戶進行操作的展示平臺。以任務工單形式把來自內網業務系統的待交互的信息呈現給用戶。數據擺渡中心承載內外網數據隔離交換功能，采用類似“單刀雙擲開關”的操作模式在外網邊界和內網邊界設置控制單元實現在內外網之間進行數據擺渡。內網控制單元中增加數據的加解密單元對內網數據進行加解密及簽名操作。內網數據服務中心承載內網業務系統的數據映射及轉換、安全審計、密鑰及簽名管理、用戶數據訪問控制、用戶鑒別及認證、內網業務系統接口管理等內容。

2.1系統特點

2.1.1三大技術突破

數據獲取：數據獲取方式采用兩種途徑獲取內網業務系統中的表單數據：接口模式和抓取模式。接口模式是指設計通用的表單數據接口服務，把表單數據抽象出來形成數據元進行數據的傳遞。抓取模式是指通過設置表單數據映射關系后，由內網數據服務中心主動去內網業務系統相關的頁面進行數據抓取，抓取后的數據進行轉換成對外統一安全邊界系統的統一的數據格式進行傳遞，傳回的數據再次進行逆轉換成內網業務系統的數據格式并提交。

數據轉換：數據映射適配轉換主要應用在通過抓取模式來獲取數據的方式中，內網數據服務中心通過設置內網業務系統的表單數據映射關系，來進行數據的轉換，可以很方便的使內網業務系統接入對外統一安全邊界系統。

數據控制：數據擺渡中心是實現內外網之間的數據安全傳遞的一種方法，該方法采用類似“單刀雙擲開關”的控制方式進行內外網數據傳輸控制。數據擺渡中心存在一個安全的數據緩存單元，在內外網之間各有一個控制單元，當外網控制單元連通外網時，內網的控制單元與內網環境斷開，數據緩存單元擺渡到外網統一用戶門戶接收或發送數據；當內網控制單元連通內網數據服務中心時，外網控制單元斷開外網環境，數據緩存單元擺渡到內網數據服務中心接收或發送數據，由內網數據服務中心投遞到內網各種業務系統上。

該方法是在應用邏輯層上進行了內外網的數據隔離交換，即數據擺渡中心不會同時聯通內外網進行數據傳遞。在一定程度上保證了內外網之間的隔離，又保證了內外網之間的數據連通性，增強了系統的安全性。

2.1.2 系統優勢

對比堡壘機：堡壘機傳遞數據的方式是內外數據連接是同時接通同時切斷；對外統一安全邊界內外網是單通的，類似“單刀雙擲開關”，同一時間只有一方數據是連通的，增強了業務數據傳遞的安全性。

對比網閘：網閘采用物理隔斷方式把數據從一方復制到另一方，在網閘內部采用了一些協議和算法，但是在網閘兩端傳入的數據和傳出數據是一樣的，如果攻擊者在網閘一端傳入攻擊指令數據，在網閘另一端也會傳出攻擊指令數據，進而在內網造成破壞威脅；對外統一安全邊界在應用層進行隔離，對傳輸的數據進行模板數據格式轉換，即使傳遞的數據帶有攻擊指令等數據，在傳遞到內網也是當成內容數據限制在業務應用中，沒有指令的運行環境，有效防止攻擊指令對內網的滲透攻擊等行為。

2.2 系統安全設計

系統架構安全：對外統一安全邊界系統基于內外網的特殊性環境設計三大子系統，承載不同的業務角色，分別是外網統一門戶、數據擺渡中心、內網數據服務中心，數據庫部署在內網數據服務中心之后。采用此種設計方式使外網統一門戶通過數據擺渡中心，經過內網數據服務中心進行數據轉換后訪問數據庫。非法入侵外網統一門戶無法得到真實的數據庫地址，攻擊難度加大。并且在數據擺渡中心中設計了安全監控中心來對系統的訪問進行監控、阻斷和告警。當發現攻擊行為時，進行及時阻斷及告警通知。

數據庫訪問安全：數據庫訪問鏈接進行限制，僅允許來自內網數據服務中心的鏈接訪問。數據庫賬戶采用最小權限原則進行設計。表中關鍵字段采用加密手段保存密文。

圖3 封包解包模型

數據報文安全：傳遞過程中的數據報文采用AES和RSA雙重加密來保護對數據報文。防止數據報文的破解、偵聽、篡改，數據報文的封包和解包模型如圖3。

接口安全：接口通訊先進行用戶身份識別，然后通過密鑰管理機制生成RSA密鑰對，對數據報文進行加密簽名后進行數據傳輸安全審計。

安全審計：對數據報文進行完整性、防篡改、密鑰合法性、用戶合法性進行審計，當出現非法原始報文數據時進行短信告警通知等操作。

安全監控：對訪問流量進行DPI深度數據包檢測和DFI流量行為分析，結合基線分析技術進行智能化安全監控。

訪問控制安全：通過身份識別讀取用戶訪問控制策略，控制用戶訪問數據范圍，返回該用戶允許訪問的數據。

身份認證安全：采用短信和靜態密碼雙重因素進行身份認證，并創建用戶認證TOKEN，數據請求過程中實時檢測用戶認證信息。

2.3 數據擺渡中心設計關鍵技術

2.3.1 數據安全島模型

安全島服務，使之內外網之間出現一個隔離帶，通過這個安全島來管閥數據傳輸，使安全運營平臺的安全系數更上一層樓。安全島顧名思義，是一個孤立的無損害小島。這個安全島類似交通島。交通燈變為綠燈后，行人先進入路中心的安全島中等待第二次綠燈亮起后再次通過剩下的道路。而安全島就是讓界面的請求數據停留下來，斷掉與外網的通道后再建立與后臺服務的通道，將數據傳輸過去進行處理。如此設計具有以下五點優勢：

過濾信息，將一些惡意攻擊屏蔽在后臺之前；排他處理，因為網絡緩慢用戶重復提交相同請求，可以在這里進行篩選，提高后臺有效運算效率；負載均衡，用戶量增多后，引起并發現象時，通過安全島會按請求時間進行排隊等待，使數據具備時效性；隔離帶，因為數據到達安全島后會與請求方斷開通道，再與服務端建立通道，發送請求數據，有效的攔截了數據追蹤的問題。當數據處理完成后投入到安全島，即刻斷開之間的通道，將后臺數據有效的保護起來；二次處理，結果數據到達安全島后，通知前端界面攜帶有效證件前來認領數據，有效的降低了數據被攔截的風險。

安全島的增加，通過過濾、防護、攔截、隔離、排他等手段有效的提高了平臺的安全性與防御能力，但是在安全性提高的同時，信息處理的時長相比直接處理要增加一點點，通過優化和硬件設備使這個延時降低到最小。

2.3.2數據安全島設計

安全島部署設計流程：

用戶在外網發出請求訪問。 外網服務器向安全島發出請求后斷開連接，安全島注冊請求。安全島與數據庫處理建立連接，發送指令進行數據處理。數據處理完成后，與安全島建立連接并回傳數據。安全島通過注冊信息調用外網回調地址，發送數據。外網服務器向用戶展示數據。

安全島數據流轉設計流程：

界面層發起請求到安全島。安全島注冊界面端請求信息，斷開與界面層的連接。向服務層發起處理請求后斷開與服務層的連接。服務層對數據庫進行操作后接收數據返回信息并斷開連接。服務層與安全島建立連接并返回處理數據。安全島通知界面層數據已經處理完畢。界面層接到通知后到安全島取回數據。將取回的數據展示在界面端。

三、系統測評

依據GB-T20984-2007 信息安全風險評估規范和YD-T1730-2008 電信網和互聯網安全風險評估實施指南，對外統一安全邊界系統的安全防護有效性進行測評。

測評內容 測評項 部署前 部署后

網絡層 端口開放、網絡訪問控制 2個端口開放 1個端口開放

系統層 系統安全漏洞 5個低風險漏洞 0個漏洞

應用層 應用程序漏洞 0個漏洞 0個漏洞

業務層 認證、授權、訪問控制等應用層設計、邏輯驗證 1個高風險漏洞、3個中風險漏洞 0個漏洞

表1 安全測評結果分析

上線前，傳統的VPN方案中業務系統已有較多的防護機制，但在業務層仍存在安全風險。上線后對外統一安全邊界系統有效的降低了各層面的安全風險。因此，對外統一安全邊界系統能夠有效的保護業務系統的安全，防護機制科學有效。

四、結論

對外統一安全邊界系統有效避免了在數據交互過程中所存在的部分安全風險，是現有安全技術與安全機制的有效補充。該系統已具備軟件產品化的先決條件，即客戶無需軟件添加或調整代碼和語句即能完成軟件安裝配置、應用初始化、系統管理、用戶全過程使用，并且軟件至少能滿足80%以上用戶的應用需求。對外統一安全邊界系統適用于運營商企業的業務數據隔離環境，同時在政府非涉密網之間的數據傳遞應用場景下具有推廣價值。

參 考 文 獻

[1]楊波，王云龍，譚琳. 內網安全認證機制的應用實踐[J]. 科技致富向導，2012，29：299.

[2]. 提高企業內網安全的10種策略[J]. 計算機與網絡，2010，10：42.

[3]李珂. VPN技術淺談[J]. 河南科技，2014，18：8-9.