省級信息系統遷移政務云過程中數據同步的安全設計與實現

郝建雪

摘要：對于省級教育業務系統，由于數據中心硬件設備老化導致故障頻發，故需選擇重新遷移到政務云，以保證安全穩定運行。部署在政務云上的省級業務系統需要與教育部業務系統對接，重新建立省級與教育部之間的安全隧道連接。IPSec VPN的應用可以實現將一條VPN隧道封裝起來，將數據信息通過公用網絡傳輸出去，并且能夠通過在現有防火墻或路由器上直接實現來降低成本，IPSce也具有更高的安全等級。故選擇運用IPsec VPN技術，來保證遠程訪問服務的安全、可靠、高效和簡潔性。

關鍵詞：IPSec VPN；云上業務系統；網絡和數據安全

一、前言

近年來，隨著信息技術行業的迅猛發展，VPN技術也日趨成熟。利用此技術實現多方互通互聯可使業務更加高效開展。而教育作為民生的一大重要部分，在省級教育系統遷移上云后，環境改變的情況下，完善各省教育系統與教育部系統的對接聯通已成為迫在眉睫的需求。在滿足業務網絡互通需求的同時，隨著IPSec VPN技術的成熟，選擇使用IPSec VPN，設計與實現安全訪問隧道，可使部省間業務系統順利對接完成，提供安全穩定的服務。

二、省級業務系統遷移上云情況

（一）基本情況

隨著時代的發展，教育工作對信息化的依賴程度越來越高，所以教育信息系統的保障工作尤為重要。由于各省某些數據中心設備老化導致故障頻發，給系統穩定運行和數據安全造成隱患。為了更好地支持教育業務工作的正常開展，提高省級教育管理信息系統的可靠性、安全性和穩定性，順應政務云應用發展的技術趨勢，需對教育信息系統實施遷移政務云工作。在實施此工作的過程中，需重新設計并實現IPSec VPN通道，從而使部省間業務系統順利對接完成，提供安全穩定的服務。

（二）省級原有數據中心網絡情況

省級數據中心機房承載省級教育行業多套重要業務系統，涉及全省學前、中小學的學生、家長、教師等重要數據。網絡線路接入分為互聯網、教育網專線、政務外網。其中互聯網區按照業務系統功能需求，配置IP地址及端口映射策略，教育網專線為省部級間、省級教育部門與下屬部門間內部業務系統提供非公開發布網絡策略配置，政務外網區為省級教育系統與網信辦共享數據交互提供網絡支撐。機房互聯網出口為聯通和教育網雙出口，帶寬均為1G。出口設備由2臺H3C M9000防火墻堆疊承載，2臺銳捷S8610使用VRRP協議作為主備核心交換機，2臺H3C 10508交換機堆疊作為匯聚交換機，IPS、WAF、抗DDoS、防病毒網關、網絡安全審計、網閘等安全設備均為2臺主備，以串聯模式部署在IDC機房，SSL VPN、IPSec VPN、堡壘機、負載均衡、數據庫審計、漏掃等安全設備以旁路模式部署在機房。網絡策略方面，依照按需開啟原則，所有業務系統均以最小化開啟原則進行端口級策略開放，所有業務系統無特殊需求不開放訪問互聯網策略，對于需放開互聯網訪問權限的主機開放白名單，進行對應IP地址及端口開放。內網訪問層面，按照業務系統間關聯關系，做好物理隔離和邏輯隔離，來保障業務系統內部訪問安全。安全方面，依據負責業務系統部門的相關管理制度，結合人員管理及安全設備策略優化調整，有針對性的根據業務系統的實際功能需求制定相應的安全防護方案，來保證業務系統的網絡和數據安全。

（三）存在的問題

目前，省級教育管理信息系統均部署省級教育數據中心。雖然相關工作人員對網絡策略和安全方面有相應的防護方案，但機房、軟硬件及部分信息系統已建設使用多年，近期硬件故障頻發。而以數據中心為依托，承載和滿足了國家教育信息系統在省級教育行政部門的部署和運行；集成和支撐本級各類教育基礎數據庫和各類教育管理信息系統；服務于所轄區域內教育行政部門和學校的信息化管理業務應用。這些省級系統中包含著非常多的個人信息和行政信息，而硬件老化問題會影響網絡安全和數據安全，一旦發生安全問題，會造成嚴重的數據泄露，給系統穩定運行和數據安全造成隱患，全省的教育系統都會面臨著嚴重的威脅。

（四）解決方案

由于數據中心設備老化導致故障頻發，影響系統安全運行，為了更好地支持教育業務工作的正常開展，考慮到現下的情況，對教育信息系統實施遷移政務云工作是當前最合適的解決方案。在遷移政務云過程中的工作內容包括：網絡接入、系統環境部署、應用和數據庫節點遷移及測試、數據同步、業務驗證、政務云業務割接、上線試運行、安全防護等。而數據同步工作中部省間業務系統數據同步更為重要，在確保網絡和數據安全的前提下還應考慮開支的問題。在實施省級教育信息系統遷移政務云的過程中，數據同步工作方面，需保證省級業務系統和教育部業務系統的對接暢通，在保證網絡和數據安全的現有情況下，選擇重新設計并實現IPSec VPN通道，使部省間業務系統順利對接完成，是目前安全保護級別較高、節省開支的一個可運行的方案。在與教育部專線對接上，需完成IPSec VPN數據通道互通調試，打通與教育部業務系統聯通性，與教育部教育管理信息中心技術人員詳細溝通業務系統訪問規則，對接IPSec VPN隧道相關信息；通過防火墻配置部署IPSec VPN隧道，打通與教育部業務系統的訪問通道，進行策略調試，保障業務系統訪問的穩定性。在此不贅述省級業務系統從原有數據中心遷移到政務云的具體步驟和技術支撐，詳細介紹在遷移上云中省級教育業務系統與教育部業務系統的數據同步對接技術選擇和省級防火墻配置步驟。

三、VPN簡介

VPN（Vitrual Private Network）全稱為虛擬專用網絡，其實現原理是利用加密技術在現有的公用網絡中建立自己使用的虛擬專用網絡。采用加密認證技術，確保用戶在傳統專網數據傳輸效果相近的情況下，所要傳輸的數據能夠安全地在公網上傳輸。這是一張標準的VPN網絡。根據不同的標準，VPN主要分為：SSL（安全套接層協議層）VPN、IPSec（互聯網安全協議）VPN、MPLS（多協議標簽交換）VPN等。

（一）SSL VPN：基于WEB 應用的安全協議的VPN 技術?？蛻舳顺绦驗楦鞣N安全的瀏覽器，通過認證后進入到服務器的VPN網頁，訪問具有WEB功能的某項應用，類似于一個WEB服務器。SSL VPN的優點是無需單獨安裝軟件、接入方式簡單、性價比較高。但SSL VPN更適合訪問一些較為簡單的應用，例如網頁、電子郵件等，如要訪問整個網絡則會具有局限性。

（二）MPLS VPN：采用MPLS技術（多協議標簽交換），以每個標簽對應一個用戶數據流的方式，利用標簽交換對不同用戶進行區分，實現用戶間數據隔離的VPN網絡。MPLS VPN具有較高的靈活性和可擴展性，可以實現點到點，點到多點和任意接入點之間互訪的全網狀結構，滿足用戶不同的通信需求。MPLS VPN采用標簽交換技術來取代傳統的路由查找，減少了數據在網絡中的尋址時間，使數據傳輸效率大大提高，但搭建VPN網絡建設的投資也相對較高，更適合在大規模組網的情況下使用，因為MPLS VPN對網絡和設備的要求較高。

（三）IPSec VPN：基于GRE（通用路由封裝）技術的VPN，用戶僅需要自己在路由器或防火墻上做相關配置，建立VPN網關，客戶端安裝相應的VPN軟件即可實現在不同地點的兩個節點進行內部通信。IPSec VPN主要采用隧道技術、加密技術、Key管理技術等，達到將一條VPN隧道封裝起來，通過公用網絡將數據信息傳遞出去的目的。IPSec VPN搭建不需要運營商的參與，可以直接在現有的防火墻或路由器上實現，減少成本，IPSec安全級別較高，但也需要使用者自行維護，有較高的維護能力。

四、IPSec技術原理

（一）IPSec協議原理

IPSec是為實現VPN功能而使用的協議。它給出了一套應用于IP層網絡數據安全的體系結構，包括網絡認證頭（Authentication Header，AH）協議、封裝安全荷載（Encapsulating Security Payload，ESP）協議、密鑰管理（Internet Key Exchange，IKE）協議，以及一些用于網絡認證和加密算法的協議等。IPSec規定了一系列的網絡安全服務，如訪問控制、數據源認證和數據加密，提供如何在對等層之間選擇安全協議、確定安全算法和密鑰交換等。IPSec工作于OSI七層模型中的第三層，可供IP和上層協議（如TCP、UDP等）使用。IPSec使用AH和ESP來實現各種不同的功能[1-2]。AH認證頭協議是在確認數據分組來源的同時，保證數據的完整性、可靠性和真實性，防止重復發送同一數據包。AH協議不加密用戶數據，通常會使用安全的Hash算法來保護數據包，并且在傳輸過程中需要更改的信息數據通常不在AH協議的保護范圍內[3-4]。ESP用于加密數據分組，提供IP通信的安全服務，以達到對機密性和完整性的要求。ESP采用對稱的加密方式，可以滿足一定的安全要求，但需長期保密的數據不適合這種加密方式。也可根據安全需求的不同，只對TCP或其他數據包進行加密并重新封裝后，通過滑動窗口機制進行傳輸，解決數據傳輸中的接收、重傳等問題[5]。

（二）IPSec VPN基礎概念

1.安全聯盟

對于IPSec而言，安全聯盟（Security Association，SA）是它的基礎，是兩個應用IPSec系統之間的單向邏輯連接，是為保護通信提供具體細節的安全策略的具體化和實例化，它約定了傳輸數據分組協議。SA是一種單向的“連接”，為其傳輸的通信提供安全服務，完成數據通信的雙向傳輸需要一對SA。而IKE的一個功能是建立和維護SA，主要是維護IPSec安全機制中的兩個組件SADB（SA數據庫）和SPDB（安全策略數據庫），AH和ESP需要使用SA來提供安全服務。IPSec提供兩個端點之間的安全通訊，有兩種方式可以建立安全聯盟，一種是手工方式（Manual），一種是IKE自動協商（ISAKMP）方式。

2.封裝方式

IPSec有如下兩種工作模式： 隧道（tunnel）模式：利用用戶的整個IP數據包計算AH或ESP頭，在一個新的IP數據包中封裝AH或ESP頭以及ESP加密的用戶數據。通常情況下，兩臺設備之間的通信都會應用隧道模式。傳輸（transport）模式：只是利用傳輸層數據計算AH或ESP頭，在原IP包頭后面放置AH或ESP頭和ESP加密的用戶數據。通常情況下，在兩臺主機之間或一臺主機與一臺設備之間進行通訊時，都會采用傳輸方式。

3.協商方式

手動配置比較復雜，創建安全聯盟所需的信息都必須手動配置，雖然不能支持IPSec的一些高級特性，但好處是無需依賴IKE，就可實現IPSec功能。這種方式適合在IP地址較固定或對等體設備數量較少的情況下通信使用。IKE自動協商的方式比較簡單，只需要將IKE協商安全策略的信息配置好，就能創建和維護安全聯盟。這種方式在動態網絡環境下的中大型網絡中是適用的。這種方式的建立，有兩個階段的過程，對提高密鑰交換的速度有很大的幫助。第一階段，協商創建一個通信信道（ISAKMP SA），并對信道進行認證，以供雙方進一步開展IKE通信；第二階段，利用已經建立的ISAKMP SA建立IPSec SA。IPSec的安全服務可以采取手工輸入密鑰的方式，但是這種方式的操作性和擴展性極差。因此在實際應用中，大多數采取的是使用IKE（Internet密鑰交換協議）對雙方進行動態生成共享密鑰的方式，從而實現安全有效的通信。

4.引用IPSec VPN

設備將配置好的VPN隧道通過“基于策略的VPN”和“基于路由的VPN”兩種方式調用到設備上，從而實現流量的加密解密安全傳輸?；诓呗缘腣PN：在策略規則中引用配置成功的VPN隧道名稱，使符合條件的流量通過指定的VPN隧道傳送?；诼酚傻腣PN：用隧道接口綁定配置成功的VPN隧道；配置靜態路由時，指定隧道接口作為下一跳路由。

五、通過防火墻配置部署IPSec VPN隧道的設計與實現

首先要確定省端互聯網出口防火墻設備與教育部端設備是否為同一廠商設備，再做不同的處理?，F以兩端為不同廠商設備舉例，省級與教育部業務系統對接需要在兩張網之間建立IPSec VPN隧道，省端云互聯網出口防火墻與教育部端設備對接屬于不同廠商間設備對接，實際拓撲圖見圖1。由拓撲圖可知，省端云互聯網內需要訪問教育部互聯網內教師管理系統、學前系統、學籍系統等多個業務系統，但由于教育部配置了安全策略，只允許特定網絡地址段地址訪問教育業務系統。因此通過在省端防火墻上配置源NAT，將省端云互聯網中業務系統的IP，轉換成特定的IP地址，以實現業務訪問。具體實施：首先需要與教育部對各種搭建IPSec VPN隧道相關參數信息進行協商確認，例如預共享密鑰、支持模式、超時檢測、加密算法等。防火墻的相關內容參數再根據這些參數信息進行配置。具體配置防火墻的參數步驟如下。

1.首先配置VPN對端配置

（1）在防火墻操作界面，點擊“VPN>IPSec VPN”進入IPSec VPN界面。

（2）填寫連接端的名稱并選擇建立IPSec VPN的公網出口。

（3）填寫以下幾個配置情況

接口類型：IPV4；

協議標準選擇：IKEV1；

認證模式：主模式；

類型：靜態IP。

（4）輸入對端公網IP地址：X.X.X.X。

（5）輸入雙方協商的預共享密鑰。

（6）點擊“高級配置”，由于教育部配置了安全策略，只允許特定網絡地址段地址訪問教育業務系統，需要NAT轉換成特定地址。因此連接類型選擇“雙向”并打開“NAT穿越”選項，選擇“接受對端任意ID”同時選擇“對端存活檢測”。DPD間隔與DPD重試根據協商的參數輸入。

（7）點擊確認，VPN對端參數配置完成。

2.配置預協商參數

（1）點擊“提議1”填寫階段1提議配置，填寫提議名稱。

（2）在認證欄中選擇“PRE-share（預共享密鑰）”。

（3）驗證算法、加密算法、DH組、生存時間根據協商參數分別選擇“驗證算法：SHA”、“加密算法：AES-256”、“CH組：Group”、“生存時間：3600秒”。

（4）階段1提議配置完成。

3.配置階段2協商參數

在階段2提議配置中，選擇“ESP”協議，驗證算法、加密算法、DH組、生存時間根據協商參數分別選擇“驗證算法：SHA”“加密算法：AES-256”“CH組：Group”“生存時間：3600秒”。至此，階段2提議配置完成。

4.查驗IPSec VPN建立情

通過兩端設備協商，可以觀測到IPSec VPN隧道的架設完成。

5.建立tunnel隧道

點擊左側“接口”選項卡進行接口配置，安全域選擇“三層安全域”“VPNHub”，開啟HA同步，建立tunnel隧道，綁定創建好的IPSec VPN。Tunnel隧道建立完成。

6.配置策略路由

點擊防火墻操作頁面中的“網絡>路由>策略路由”通過配置策略路由，實現需要訪問教育部的業務系統能夠優先通過tunnel隧道進行訪問。

7.配置源NAT

由于教育部配置了安全策略，只允許特定網絡地址段地址訪問教育業務系統。因此需要在防火墻上配置源NAT，點擊防火墻操作頁面左側“NAT>源NAT”進行操作，將省級政務云上業務系統的IP，轉換成特定的IP地址，以實現業務訪問。

8.配置目的NAT

為實現教育部網絡IP地址段訪問省級政務云上業務系統的IP，配置目的NAT，省級政務云上業務系統的IP地址將轉換成特定的IP地址，以實現業務訪問。

9.配置安全策略

在防火墻操作頁面左側“安全策略>策略”中進行配置，允許省級政務云上業務系統地址段訪問教育部業務系統IP地址。

至此，省級政務云上業務系統與教育部業務系統之間的IPSec VPN隧道建立完成，實現省級政務云上系統對教育部業務系統的訪問，保證省部級業務系統數據同步安全通暢，確保省級業務系統功能正常使用。

六、結語

在原有數據中心設備老化的情況下，選擇把教育系統分批遷移至政務云，不但保證了業務系統的網絡安全和數據安全，更順應了政務云應用的發展目前的趨勢。在遷移上云后的網絡環境下，運用IPSec VPN技術在省級政務云上業務系統與教育部業務系統之間搭建通信隧道，實現了異地環境下對教育部業務系統的安全、可靠、高效訪問，節省了開支，極大地提高了工作效率，保證了當前形式下教育工作的順利進行，更好地支持省級教育業務工作的正常開展，提高了省級教育管理信息系統的可靠性、安全性和穩定性。

參考文獻

[1]李石磊.基于IPSec協議的VPN代理網關系統的研究與實現[D].太原：太原理工大學，2013.

[2]陳紅軍，周青云，張有順.基于IPSec的虛擬專用網實現研究[J].制造業自動化，2011，33（4）：70-72.

[3]姚立紅，謝立.IPSec與防火墻協同工作設計與實現[J].小型微型計算機系統，2004（2）：183-186.

[4]陳慶章，李興華，范聰玲，等.基于IPSec協議的VPN穿越NAT的研究與實現[C]//中國互聯網學術年會.中國計算機學會，2013.

[5]李學花.網絡數據隧道式加密與解密的硬件實現[D].天津：天津大學，2006.

作者單位：天津市大數據管理中心