面向信息共享和集成應用的網絡互聯安全保密防護體系設計

◎葛 慧 范慧莉 謝 雪

1.中國航天系統科學與工程研究院，北京，100048

2.北京空間機電研究所信息中心，北京，100094

一、引言

隨著計算機技術和網絡技術的快速發展，網絡攻擊手段和攻擊技術層出不窮，為有效應對多元化的網絡攻擊威脅，必須構建安全可靠、運行高效的安全保密防護體系。為推進“三融五跨”社會大協同，落實國家信息化、現代化建設中的各項方針和政策，必須實現不同網絡間互聯互通、數據資源有效融合和共享應用。然而，在實現網絡互聯、數據共享的過程中，仍面臨諸多挑戰：一方面，網絡防護水平不高，在防護意識上，網絡規劃和建設中普遍存在“重建設、輕防護”的淡薄認識，在防護手段上，缺乏全方位、多層次的安全保密防護策略和方法；另一方面，數據共享效果不好，存在共享效率低下、共享資源不完整、共享方式較復雜等問題。因此，需要進一步規劃和設計高效的網絡間互聯互通方案和可靠的安全保密防護體系。

本文提出了一種面向信息共享和集成應用的網絡互聯安全保密防護體系設計方案。針對各類涉及信息共享和集成應用的信息資源跨網交換需求，依據信息安全分級保護標準和其他相關文件要求，構建中心網絡，中心網絡由非密交換區和涉密交換區構成，各網絡之間的數據交換通過中心網絡進行可控交換，從而形成統一規劃、統一管控的網絡互聯安全保密防護體系，使得各隔離網絡實現合規數據共享高效、交換安全的目的。通過具體應用事例，驗證了本方案的可行性和有效性。本文提出的方案既可應用于縱向金字塔式隔離網絡信息匯聚，如各省、市、縣三級電子政務網集成一體化建設，服務于政府管理、協同辦公等方向，也可應用于橫向跨網體系資源共享，如黨政軍機關、大型機構/中心的共享信息資源，服務于社會綜合治理、社會大協同等方向，還可廣泛應用于空間網絡系統、軍用/民用工業制造產業、智慧城市、智慧國防等方面建設。從而支撐相關業務發展，實現基礎統籌、產業融合、科技創新、教育資源統籌、社會服務統籌、應急安全統籌、海洋開發統籌和海外維權統籌等。

二、網絡構建方式設計

（一）需求分析

1.業務需求

當前應用系統和數據分布在不同網絡，亟需實現不同網絡之間互聯互通、信息資源高效交換以及交換過程安全監管。如果在這些眾多網絡間采用點對點直接數據交換方式，則會導致交換復雜度大幅增加，且無法進行統一規劃、統一管控，因此需要采用“中心集成、分網互聯”的設計模式。網絡互聯安全保密防護體系主要包括非密網絡互聯安全防護和涉密網絡互聯安全防護。

2.交換需求

網絡互聯安全保密防護體系需提供異構網絡或安全域間高效傳輸的解決方案，通過軟硬件協同控制，保障數據的安全交換與共享。本文提出的方案應實現包括電子政務外網、城市數字視頻云、高校/研究所網絡、醫院/醫療機構網絡、社區網絡、公檢法機關網絡、黨政機關內網、軍網、軍工單位網絡等諸多網絡在內的網絡間數據交互，需提供數據的自動采集和分發功能；應支持異構數據庫數據交換、文件交換、字節流交換等多種數據類型；應可根據信息交換與共享的需要，對共享的信息資源進行統一規劃、建立信息共享資源目錄、配置交換規則、配置適配器及交換過程監管，實現信息交換與共享全過程的操作、管理和監控。

3.安全需求

為解決不同網絡間互聯互通和信息資源交換過程中的安全問題，實現網絡間安全、高效、穩定的信息資源交換，網絡互聯安全保密防護體系需具備必要的訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備防護、身份認證與授權等安全能力。

（二）設計目標

1.高效的信息共享

打通各個網絡之間的數據信息資源傳輸通道，構建高效的信息資源交換與共享機制，實現“一數多源、一源多用、內容全面、業務廣泛、高效可用”的社會大協同。

2.整體的安全防護

通過安全防護策略的設計，從全局角度實現不同網絡間互聯互通、信息資源共享的安全保密防護體系建設，覆蓋全部安全需求；同時通過對本文提出方案的安全風險細化分析，明確具體的安全威脅，并采用針對性的安全措施，使其具備必要的安全檢測與防護、安全數據交換、綜合安全審計等安全能力。

（三）網絡架構

面向各類非密和涉密網絡，本方案采用“中心集成、分網互聯”的建設模式來實現不同網絡間互聯互通的安全保密防護，網絡架構如圖1所示。

為滿足網絡互聯安全保密防護體系的三大需求，本方案通過構建中心網絡實現不同網絡間的數據中轉和信息資源交換，中心網絡由非密交換區和涉密交換區構成。非密交換區承擔著與包括電子政務外網、城市數字視頻云平臺網絡、公檢法機關非密網絡、高校/研究所網絡、醫院/醫療機構網絡、社區網絡、大型企業/機構/中心網絡等在內的非密網絡間的信息資源交換職能；涉密交換區承擔著與包括黨政機關內網、軍網、公檢法機關涉密網絡、其他軍用和軍工涉密網絡等在內的涉密網絡間的信息資源交換職能。非密交換區和涉密交換區之間物理隔離，通過單向網閘系統或者離線導出系統實現信息資源交換。

在保證業務數據間的互聯互通、交換安全的前提下，按照不同網絡的具體情況，通過多種交換方式實現各網絡與中心網絡的數據交換和共享，從“既要保證數據安全保密防護、又要最大限度地擴大和提高信息共享程度”的理念出發，提供信息自動采集和分發、多通道安全單向傳輸、嚴格審批監管自動擺渡等信息共享技術手段，并配合訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備防護、身份認證與授權、設備防護等安全技術手段，確保不同網絡間互聯互通的安全，構建一個可實現全方位監管的網絡互聯安全保密防護體系。

圖1 不同網絡間信息資源交換總體架構圖

（四）非密網絡互聯安全防護體系設計要點

非密網絡互聯互通完全遵照等級保護的相關設計、建設要求進行設計，在保證互聯互通的情況下，著重考慮訪問控制、入侵防范、綜合審計等安全建設，實現以信息資源交換平臺為手段的數據交換。信息資源交換平臺包括與中心網絡直接連接的核心站點和與其他網絡連接的子站點兩種站點類型；信息資源交換平臺由平臺管理、運行監控、交換引擎、站間交換和適配管理等幾部分組成。

以電子政務外網為例，數據從電子政務外網向中心網絡交換時，交換平臺非密網子站點將數據自動抓取并傳輸至交換平臺中心網絡非密區核心站點，通過核心站點分發至其他應用系統；數據從中心網絡交換至電子政務外網時，反之；如圖2所示。

1.路由接入區

路由接入區主要考慮接入鏈路的安全以及對DDOS等攻擊行為的防護。鏈路安全防護一方面采用專線方式進行鏈路接入進行防護，另一方面基于SSL技術進行加密，保證數據傳輸安全；抗拒絕服務攻擊主要通過抗DDOS攻擊系統實現對DOSDDOS等攻擊行為的防護，清洗異常流量，保護并釋放正常會話連接資源，保障數據及應用服務的可用性。

2.邊界保護區

圖2 電子政務外網與中心網絡互聯設計圖

邊界保護區主要實現對接入的終端安全控制、訪問控制、入侵防范、惡意代碼防護、網絡審計和集中監控管理。接入單位的終端主要為PC機或服務器，終端安全控制實現了終端安全加固、終端訪問控制、終端身份識別和終端設備識別；通過防火墻實現對數據包的源地址、目標地址、協議類型、源端口、目標端口以及網絡協議和應用層協議進行訪問控制，利用NAT功能實現內部主機地址隱藏；利用入侵防御系統實現對網絡入侵行為的自動實時識別、響應以及主被動結合的防御，可以準確監測網絡異常流量，自動對各類攻擊進行實時阻斷；利用防病毒網關防止網絡外部的黑客和病毒的威脅；采用網絡審計系統對交互的網絡行為進行安全審計，實現網絡行為追溯；邊界保護區內的關鍵設備都必須開啟審計功能，通過接口將每個設備的日志抄送給集控探針。審計內容包括這些設備的登錄事件、配置更改事件、報警事件以及故障信息等。

3.應用服務區

應用服務區部署了相應業務應用的前置服務機、殺毒控管服務器和漏洞掃描系統，實現與各接入網絡交換數據的暫存與信息發布、惡意代碼防護和跨網請求服務等功能。

4.安全隔離與交換區

該區域與應用服務區網絡隔離和數據的安全交換, 它通過信息資源交換平臺，實現異構系統、數據源之間安全、靈活、有效、快速的數據交換，并且具有身份認證、格式檢查、異構交換等功能。

（五）涉密網絡互聯安全防護體系設計要點

涉密網絡間互聯互通主要依據分級保護的相關標準進行針對性設計。除滿足必要的訪問控制、入侵防范、綜合審計等要求外，需要嚴格控制數據流向，杜絕泄密的可能，禁止數據從高密級直接向低密級進行傳輸；除滿足物理隔離的要求外，還需要考慮必要的數據傳輸及交換需求。因此，低密級向高密級或與同密級間將考慮通過單向網閘設備實現隔離及單向數據傳輸的要求；高密級向低密級將考慮通過離線導出的方式實現信息資源交換；下面以密級低于涉密交換區的網絡與涉密交換區之間的數據傳輸為例進行分析，如圖3所示。

圖3 低密級與高密級網絡間互聯設計圖

低密級與高密級網絡間數據交換同樣包括上述路由接入區、邊界保護區、應用服務區、安全隔離與交換區。其中路由接入區、邊界保護區、應用服務區的安全防護設計與非密網絡中相同，而安全隔離與交換區分為兩部分，當從低密級向高密級進行數據傳輸時，使用單向網閘系統進行安全隔離和數據傳輸；當從高密級向低密級進行數據傳輸時，使用離線導出系統進行物理隔離和數據交換。

1.單向網閘系統

采用無反饋的單向傳輸技術，實現低密級向高密級的數據交換，單向網閘從物理鏈路層、傳輸層保證數據的絕對單向流動。單向網閘采用“2+1”模型架構設計，即內網主機、外網主機加單向導入隔離部件，內外網主機系統采用專用設計的工控主板、高性能的硬件平臺，同時采用了先進的糾錯編碼技術、ASIC并行處理技術和多重冗余技術保證系統的高可靠性、高容錯性、高安全性和高穩定性。單向網閘系統主要實現文件交換、數據庫同步、數據庫訪問、定制訪問、消息傳輸以及安全通道等功能。

2.離線導出系統

離線導出系統通過光盤導入導出實現，該系統是為實現對安全域內部和跨安全域的文件交換行為進行監控和跟蹤審計，采取的是離線文件交換方式。離線導出系統分為交換監控與審計中心和控制臺兩部分，其中交換監控與審計中心負責對文件交換任務的申請、審批、檢查等處理環節以及人員信息、交換規則、權限控制、日志審計等基礎服務進行監管；控制臺實現電子文件的導入導出、光盤回收等業務操作，既可以控制交換過程的安全性，又可以最大化交換的便捷性。

三、方案應用與驗證

筆者結合本論文提出的設計方案，在某地區社會綜合治理云平臺邊界接入項目中進行規劃設計和應用驗證，取得了較好的效果，下面進行簡要說明。

為推進社會綜合治理部門網絡設施共建、信息共享、發揮社會綜治信息資源的整體效能，實現各部門間網絡互聯、業務協同，構建面向邊界接入的安全保密防護系統。主要涉及網絡包括電子政務外網、公檢法機關非涉密網絡、黨政機關內網和公檢法機關涉密網絡四種網絡類型，從需求出發，結合本論文提出方案的設計要點進行規劃設計。

依據網絡現狀和需求，方案提出中心網絡非密交換區在與電子政務外網交換時，通過路由接入區、邊界保護區、應用服務區、安全隔離與交換區實現安全防護，使用信息資源交換平臺進行數據的安全傳輸。中心網絡涉密交換區在與公檢法機關涉密網絡、黨政機關內網交換時，同樣通過路由接入區、邊界保護區、應用服務區、安全隔離與交換區實現安全防護，由于這些網絡屬于同密級網絡，均使用單向網閘系統進行數據交換。中心網絡非密交換區向涉密交換區傳輸數據時使用單向網閘系統，中心網絡涉密交換區向非密交換區傳輸數據時使用離線導出系統。經過專家論證和評審，該方案具有較好的可行性和防護效果。

四、結語

本文分析了不同網絡間互聯互通的相應業務需求、交換需求和安全需求，提出了面向信息共享和集成應用的網絡互聯安全保密防護體系設計要點，并給出了在不同網絡環境下的不同互聯方式和安全防護措施。下一步將在安全策略、管理制度等方面進行進一步的研究和完善。