跨網(wǎng)絡信息安全交換平臺建設方案研究

陳志軍，洪莎莎

（中國鐵路設計集團有限公司，天津 300308）

隨著企業(yè)數(shù)字化轉型的逐步深入，無論是國有企業(yè)還是私營企業(yè)都投入了大量資源進行信息系統(tǒng)建設，信息化程度日益提升。在這一過程中，企業(yè)也越來越重視核心數(shù)據(jù)資產(chǎn)的保護，數(shù)據(jù)資產(chǎn)的安全防護成為企業(yè)面臨的重大挑戰(zhàn)。因此絕大多數(shù)企業(yè)為了防止內(nèi)部核心數(shù)據(jù)泄露，都實施了內(nèi)外網(wǎng)隔離來保證網(wǎng)絡安全和數(shù)據(jù)安全。

目前，政府機構，事業(yè)單位，高端制造、銀行等大中型企業(yè)，根據(jù)國家安全保密管理要求，均已建立了多個網(wǎng)絡環(huán)境，例如涉密網(wǎng)、非涉密網(wǎng)、生產(chǎn)網(wǎng)、測試網(wǎng)、互聯(lián)網(wǎng)等。為了杜絕基于網(wǎng)絡連接的信息和數(shù)據(jù)泄密事件的發(fā)生，通常使用防火墻、網(wǎng)閘等方式實現(xiàn)網(wǎng)絡隔離，所有涉及企業(yè)秘密、非涉密的應用和數(shù)據(jù)同樣受到嚴格控制，阻礙了不同等級網(wǎng)絡之間的信息溝通，也一定程度上限制了企業(yè)信息化發(fā)展。

為了在網(wǎng)絡隔離的環(huán)境下仍然可以有跨網(wǎng)數(shù)據(jù)和文件交換的途徑，本文研究跨網(wǎng)信息安全平臺建設方案，滿足企業(yè)多張網(wǎng)絡物理隔離基礎上的數(shù)據(jù)安全交換需求。

1 信息安全交換平臺架構設計

1.1 跨網(wǎng)絡數(shù)據(jù)交換技術

防火墻技術和網(wǎng)閘技術是目前在不同安全等級網(wǎng)絡之間進行信息安全傳輸及交換的主流技術。防火墻技術解決的是網(wǎng)絡邏輯隔離條件下的數(shù)據(jù)交換需求，而網(wǎng)閘以數(shù)據(jù)擺渡的方式實現(xiàn)不同網(wǎng)絡之間的數(shù)據(jù)交換，能保證兩張網(wǎng)絡在任何時候沒有電氣連接情況下，實現(xiàn)數(shù)據(jù)的往返傳輸，可以有效解決企業(yè)不同網(wǎng)絡物理隔離條件下的信息共享需求。因此，本文研究的信息安全交換平臺選用網(wǎng)閘技術作為企業(yè)跨網(wǎng)絡數(shù)據(jù)安全交換技術。

網(wǎng)閘由內(nèi)端機、數(shù)據(jù)交換單元和外端機組成，并通過兩套固態(tài)開關控制數(shù)據(jù)分時讀寫，同一時間僅能有一個開關處于閉合狀態(tài)，從而實現(xiàn)不同網(wǎng)絡物理隔離基礎上的數(shù)據(jù)交換，如下圖所示：

圖1 網(wǎng)閘系統(tǒng)架構示意圖

信息流從互聯(lián)網(wǎng)向企業(yè)內(nèi)部網(wǎng)絡轉發(fā)時，流量先經(jīng)過網(wǎng)閘外端機進行協(xié)議剝離，再經(jīng)過數(shù)據(jù)交換單元進行純數(shù)據(jù)包擺渡，數(shù)據(jù)擺渡過程中，還要對數(shù)據(jù)進行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等，經(jīng)安全檢查之后的數(shù)據(jù)傳輸至內(nèi)端機，并在內(nèi)端機重新進行協(xié)議封裝。網(wǎng)閘對數(shù)據(jù)包進行協(xié)議剝離、純數(shù)據(jù)擺渡，協(xié)議重組的過程，一方面實現(xiàn)了純數(shù)據(jù)的安全交換，另一方面消除了應用層協(xié)議漏洞帶來的安全風險。

1.2 信息交換平臺物理架構

安全網(wǎng)閘的使用大大提高了不同網(wǎng)絡間數(shù)據(jù)交換的安全性。在實際應用中，網(wǎng)閘支持為標準的應用層協(xié)議提供數(shù)據(jù)傳輸接口，如HTTP、HTTPS、SMTP、POP3、流媒體、TNS、SOAP、TELNET、FTP 等。但安全網(wǎng)閘傳輸機制具有不可編程的特性，優(yōu)點是不會受到病毒感染，缺點是難以適應復雜多樣的應用系統(tǒng)架構。為更好的實現(xiàn)與不同應用之間的對接，可在安全網(wǎng)閘的內(nèi)外兩側配置對應的前置機及后置機，用于對數(shù)據(jù)進行采集、存儲、安全過濾、流控、分發(fā)及監(jiān)控處理。前后置機可根據(jù)具體應用特性和架構進行接口編程，進一步提高對應用協(xié)議的支持擴展性，以充分適應各種應用場合。前后置機與網(wǎng)閘設備配合使用，共同構成雙網(wǎng)安全交換解決方案，如下圖所示：

信息安全交換平臺采用外置機、隔離網(wǎng)閘、內(nèi)置機組成2+1結構。隔離網(wǎng)閘包括外端機、隔離部件和內(nèi)端機，也是2+1結構，外端機和內(nèi)端機上安裝經(jīng)安全加固的linux 操作系統(tǒng)。這種架構是目前最先進、最安全的雙網(wǎng)安全數(shù)據(jù)交換技術，國鐵集團客票系統(tǒng)采用該架構進行內(nèi)外網(wǎng)數(shù)據(jù)安全交換。

圖2 信息安全交換平臺物理架構示意圖

1.3 信息交換平臺功能設計

安全網(wǎng)閘提供網(wǎng)絡安全隔離功能，在網(wǎng)絡物理隔離基礎上建立數(shù)據(jù)傳輸通道，內(nèi)端機和外端機之間通過私有協(xié)議進行純數(shù)據(jù)擺渡，確保不同網(wǎng)絡之間無任何的網(wǎng)絡協(xié)議直接穿透，傳輸?shù)脑紨?shù)據(jù)不具有攻擊或對網(wǎng)絡安全有害的特性。

前置機和后置機提供跨網(wǎng)絡文件同步代理、數(shù)據(jù)庫代理、應用訪問代理功能。文件代理從服務器中抓取需要傳輸?shù)奈募鎯Φ奖镜兀鶕?jù)管理策略將文件推送到對應網(wǎng)絡指定的文件服務器，或等待對應網(wǎng)絡文件服務器來提取文件。數(shù)據(jù)庫代理從指定數(shù)據(jù)庫服務器中抓取需要傳輸?shù)臄?shù)據(jù)庫變化信息，形成文件存儲在本地，并推送給對應網(wǎng)絡指定的數(shù)據(jù)庫。應用代理是為各類應用穿越不同安全等級網(wǎng)絡所構建的應用層協(xié)議代理系統(tǒng)，提供跨網(wǎng)絡訪問應用的通道，解決各種應用協(xié)議跨網(wǎng)絡進行信息傳輸?shù)陌踩珕栴}。

2 信息安全交換平臺安全防護設計

信息安全交換平臺在實現(xiàn)企業(yè)跨網(wǎng)絡數(shù)據(jù)交換的同時，網(wǎng)絡安全防護技術符合等保2.0安全要求，為企業(yè)網(wǎng)絡、應用和數(shù)據(jù)提供安全保障。

安全隔離網(wǎng)閘是在網(wǎng)絡物理隔離的基礎上實現(xiàn)互聯(lián)互通，符合等保2.0規(guī)定的“重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間應采取可靠的技術隔離手段”要求。

安全網(wǎng)閘基于IP 五元組實現(xiàn)訪問控制機制，符合等保2.0規(guī)定的“應在網(wǎng)絡邊界或區(qū)域之間根據(jù)訪問控制策略設置訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信”要求。

前后置機的文件代理模塊對需要采集的遠程文件資源和本地文件傳輸目錄進行配置；數(shù)據(jù)庫代理模塊對需要同步的源及目的數(shù)據(jù)庫進行配置；應用代理模塊對需要傳輸數(shù)據(jù)的應用系統(tǒng)進行網(wǎng)絡協(xié)議的代理配置。通過文件代理模塊、數(shù)據(jù)庫代理模塊和應用代理模塊的安全配置，不允許非授權數(shù)據(jù)及協(xié)議通過信息安全交換平臺進行數(shù)據(jù)交換。

3 結束語

本文主要研究了不同網(wǎng)絡物理隔離條件下的跨網(wǎng)絡數(shù)據(jù)安全交換技術，提出信息安全交換平臺建設方案，詳細設計了信息安全交換平臺的物理架構和功能架構，并研究了信息安全交換平臺的安全防護技術。隨著企業(yè)內(nèi)外網(wǎng)信息交換需求的逐漸增多，建設信息安全交換平臺對企業(yè)跨網(wǎng)絡數(shù)據(jù)交換發(fā)揮重要意義，研究成果經(jīng)試驗驗證具備推廣實施條件。