王奇

【摘要】 為了對企業(yè)最具價值的數(shù)據(jù)進行安全防護，參照通用數(shù)據(jù)安全保護框架，在敏感數(shù)據(jù)訪問的關鍵路徑上增加統(tǒng)一安全能力，增強多種數(shù)據(jù)安全防護機制，開發(fā)了對外統(tǒng)一邊界系統(tǒng)。該系統(tǒng)由外網(wǎng)統(tǒng)一門戶、數(shù)據(jù)擺渡中心、內網(wǎng)數(shù)據(jù)服務中心三大子系統(tǒng)組成。并以某運營商為例，實現(xiàn)企業(yè)內外網(wǎng)數(shù)據(jù)安全傳遞的一種平臺。對外統(tǒng)一安全邊界系統(tǒng)有效避免了在數(shù)據(jù)交互過程中所存在的部分安全風險，適用于運營商企業(yè)的業(yè)務數(shù)據(jù)隔離環(huán)境，同時在政府非涉密網(wǎng)之間的數(shù)據(jù)傳遞應用場景下具有推廣價值。

【關鍵詞】 安全邊界 內網(wǎng) 外網(wǎng) 數(shù)據(jù)擺渡 安全島

網(wǎng)絡和信息安全事件頻發(fā)，信息安全形勢復雜嚴峻。對于運營商來說，移動互聯(lián)網(wǎng)時代來臨、4G商用、RCS等新業(yè)務登場、智能終端普及，復雜而嚴峻的安全形勢提出了新的挑戰(zhàn)與要求。因此需要對信息安全技術體系進行優(yōu)化，提升網(wǎng)絡空間安全保障能力。

目前隨著技術的進步，全IP化網(wǎng)絡和移動互聯(lián)網(wǎng)的推廣造成業(yè)務系統(tǒng)間的數(shù)據(jù)交互復雜度和數(shù)據(jù)量不斷增加，業(yè)務系統(tǒng)運維和使用的群體趨于多樣化，而傳統(tǒng)的管理體系和技術手段將面臨越來越嚴峻的安全壓力。傳統(tǒng)的業(yè)務申請、審批以及安全傳輸基于VPN技術進行交互，這種傳統(tǒng)的VPN方式在服務器管理、帳號權限管理等方面存在安全隱患，服務器易受攻擊劫持，導致對內網(wǎng)業(yè)務系統(tǒng)的攻擊和破壞；權限控制過于粗大，導致越權行為的發(fā)生；繁重且復雜的數(shù)據(jù)交互將給業(yè)務系統(tǒng)帶來大量的安全監(jiān)管和審計工作，造成審計結果的可信度低，導致整個數(shù)據(jù)交互過程中存在重大的安全隱患。為了對企業(yè)最具價值的數(shù)據(jù)進行安全防護，參照通用數(shù)據(jù)安全保護框架，在用戶對企業(yè)敏感數(shù)據(jù)訪問的關鍵路徑上增加統(tǒng)一安全能力，增強多種數(shù)據(jù)安全防護機制。需要建設一套統(tǒng)一身份認證、數(shù)據(jù)隔離交換、統(tǒng)一數(shù)據(jù)模型轉換的系統(tǒng)。通過該系統(tǒng)，建立起內外網(wǎng)數(shù)據(jù)安全交互通道，解決企業(yè)內外網(wǎng)環(huán)境之間數(shù)據(jù)交互的安全保護。該系統(tǒng)具有統(tǒng)一管理的安全門戶和安全通道；細粒度用戶授權、安全監(jiān)控與審計；定制的業(yè)務模式、交互方式和數(shù)據(jù)模板。

一、系統(tǒng)需求分析

通過調研某運營商的實際情況和需要，根據(jù)信息安全管理工作的內容，在綜合分析業(yè)務數(shù)據(jù)保護場景的基礎上，歸納出對外統(tǒng)一安全邊界系統(tǒng)的需求。

該系統(tǒng)的總體設計目標是，建立安全邊界，統(tǒng)一進行數(shù)據(jù)的交互，實現(xiàn)信息安全管理體系中安全邊界防護功能的系統(tǒng)。實現(xiàn)企業(yè)內外網(wǎng)數(shù)據(jù)安全傳遞的一種平臺。使企業(yè)外部用戶在對外統(tǒng)一安全邊界系統(tǒng)上提交數(shù)據(jù)，再由對外統(tǒng)一安全邊界系統(tǒng)將數(shù)據(jù)提交到內網(wǎng)業(yè)務系統(tǒng)中，從而使外部用戶不用通過VPN連接到內網(wǎng)業(yè)務系統(tǒng)提交數(shù)據(jù)。解決了企業(yè)給外部用戶分配VPN賬戶帶來的安全隱患。

二、系統(tǒng)架構

“對外統(tǒng)一安全邊界系統(tǒng)”由外網(wǎng)統(tǒng)一門戶、數(shù)據(jù)擺渡中心、內網(wǎng)數(shù)據(jù)服務中心三大子系統(tǒng)組成。外網(wǎng)統(tǒng)一門戶承載企業(yè)外網(wǎng)用戶的數(shù)據(jù)采集、提交、呈現(xiàn)功能，是用戶進行操作的展示平臺。以任務工單形式把來自內網(wǎng)業(yè)務系統(tǒng)的待交互的信息呈現(xiàn)給用戶。數(shù)據(jù)擺渡中心承載內外網(wǎng)數(shù)據(jù)隔離交換功能，采用類似“單刀雙擲開關”的操作模式在外網(wǎng)邊界和內網(wǎng)邊界設置控制單元實現(xiàn)在內外網(wǎng)之間進行數(shù)據(jù)擺渡。內網(wǎng)控制單元中增加數(shù)據(jù)的加解密單元對內網(wǎng)數(shù)據(jù)進行加解密及簽名操作。內網(wǎng)數(shù)據(jù)服務中心承載內網(wǎng)業(yè)務系統(tǒng)的數(shù)據(jù)映射及轉換、安全審計、密鑰及簽名管理、用戶數(shù)據(jù)訪問控制、用戶鑒別及認證、內網(wǎng)業(yè)務系統(tǒng)接口管理等內容。

2.1系統(tǒng)特點

2.1.1三大技術突破

數(shù)據(jù)獲?。簲?shù)據(jù)獲取方式采用兩種途徑獲取內網(wǎng)業(yè)務系統(tǒng)中的表單數(shù)據(jù)：接口模式和抓取模式。接口模式是指設計通用的表單數(shù)據(jù)接口服務，把表單數(shù)據(jù)抽象出來形成數(shù)據(jù)元進行數(shù)據(jù)的傳遞。抓取模式是指通過設置表單數(shù)據(jù)映射關系后，由內網(wǎng)數(shù)據(jù)服務中心主動去內網(wǎng)業(yè)務系統(tǒng)相關的頁面進行數(shù)據(jù)抓取，抓取后的數(shù)據(jù)進行轉換成對外統(tǒng)一安全邊界系統(tǒng)的統(tǒng)一的數(shù)據(jù)格式進行傳遞，傳回的數(shù)據(jù)再次進行逆轉換成內網(wǎng)業(yè)務系統(tǒng)的數(shù)據(jù)格式并提交。

數(shù)據(jù)轉換：數(shù)據(jù)映射適配轉換主要應用在通過抓取模式來獲取數(shù)據(jù)的方式中，內網(wǎng)數(shù)據(jù)服務中心通過設置內網(wǎng)業(yè)務系統(tǒng)的表單數(shù)據(jù)映射關系，來進行數(shù)據(jù)的轉換，可以很方便的使內網(wǎng)業(yè)務系統(tǒng)接入對外統(tǒng)一安全邊界系統(tǒng)。

數(shù)據(jù)控制：數(shù)據(jù)擺渡中心是實現(xiàn)內外網(wǎng)之間的數(shù)據(jù)安全傳遞的一種方法，該方法采用類似“單刀雙擲開關”的控制方式進行內外網(wǎng)數(shù)據(jù)傳輸控制。數(shù)據(jù)擺渡中心存在一個安全的數(shù)據(jù)緩存單元，在內外網(wǎng)之間各有一個控制單元，當外網(wǎng)控制單元連通外網(wǎng)時，內網(wǎng)的控制單元與內網(wǎng)環(huán)境斷開，數(shù)據(jù)緩存單元擺渡到外網(wǎng)統(tǒng)一用戶門戶接收或發(fā)送數(shù)據(jù)；當內網(wǎng)控制單元連通內網(wǎng)數(shù)據(jù)服務中心時，外網(wǎng)控制單元斷開外網(wǎng)環(huán)境，數(shù)據(jù)緩存單元擺渡到內網(wǎng)數(shù)據(jù)服務中心接收或發(fā)送數(shù)據(jù)，由內網(wǎng)數(shù)據(jù)服務中心投遞到內網(wǎng)各種業(yè)務系統(tǒng)上。

該方法是在應用邏輯層上進行了內外網(wǎng)的數(shù)據(jù)隔離交換，即數(shù)據(jù)擺渡中心不會同時聯(lián)通內外網(wǎng)進行數(shù)據(jù)傳遞。在一定程度上保證了內外網(wǎng)之間的隔離，又保證了內外網(wǎng)之間的數(shù)據(jù)連通性，增強了系統(tǒng)的安全性。

2.1.2 系統(tǒng)優(yōu)勢

對比堡壘機：堡壘機傳遞數(shù)據(jù)的方式是內外數(shù)據(jù)連接是同時接通同時切斷；對外統(tǒng)一安全邊界內外網(wǎng)是單通的，類似“單刀雙擲開關”，同一時間只有一方數(shù)據(jù)是連通的，增強了業(yè)務數(shù)據(jù)傳遞的安全性。

對比網(wǎng)閘：網(wǎng)閘采用物理隔斷方式把數(shù)據(jù)從一方復制到另一方，在網(wǎng)閘內部采用了一些協(xié)議和算法，但是在網(wǎng)閘兩端傳入的數(shù)據(jù)和傳出數(shù)據(jù)是一樣的，如果攻擊者在網(wǎng)閘一端傳入攻擊指令數(shù)據(jù)，在網(wǎng)閘另一端也會傳出攻擊指令數(shù)據(jù)，進而在內網(wǎng)造成破壞威脅；對外統(tǒng)一安全邊界在應用層進行隔離，對傳輸?shù)臄?shù)據(jù)進行模板數(shù)據(jù)格式轉換，即使傳遞的數(shù)據(jù)帶有攻擊指令等數(shù)據(jù)，在傳遞到內網(wǎng)也是當成內容數(shù)據(jù)限制在業(yè)務應用中，沒有指令的運行環(huán)境，有效防止攻擊指令對內網(wǎng)的滲透攻擊等行為。

2.2 系統(tǒng)安全設計

系統(tǒng)架構安全：對外統(tǒng)一安全邊界系統(tǒng)基于內外網(wǎng)的特殊性環(huán)境設計三大子系統(tǒng)，承載不同的業(yè)務角色，分別是外網(wǎng)統(tǒng)一門戶、數(shù)據(jù)擺渡中心、內網(wǎng)數(shù)據(jù)服務中心，數(shù)據(jù)庫部署在內網(wǎng)數(shù)據(jù)服務中心之后。采用此種設計方式使外網(wǎng)統(tǒng)一門戶通過數(shù)據(jù)擺渡中心，經(jīng)過內網(wǎng)數(shù)據(jù)服務中心進行數(shù)據(jù)轉換后訪問數(shù)據(jù)庫。非法入侵外網(wǎng)統(tǒng)一門戶無法得到真實的數(shù)據(jù)庫地址，攻擊難度加大。并且在數(shù)據(jù)擺渡中心中設計了安全監(jiān)控中心來對系統(tǒng)的訪問進行監(jiān)控、阻斷和告警。當發(fā)現(xiàn)攻擊行為時，進行及時阻斷及告警通知。

數(shù)據(jù)庫訪問安全：數(shù)據(jù)庫訪問鏈接進行限制，僅允許來自內網(wǎng)數(shù)據(jù)服務中心的鏈接訪問。數(shù)據(jù)庫賬戶采用最小權限原則進行設計。表中關鍵字段采用加密手段保存密文。

圖3 封包解包模型

數(shù)據(jù)報文安全：傳遞過程中的數(shù)據(jù)報文采用AES和RSA雙重加密來保護對數(shù)據(jù)報文。防止數(shù)據(jù)報文的破解、偵聽、篡改，數(shù)據(jù)報文的封包和解包模型如圖3。

接口安全：接口通訊先進行用戶身份識別，然后通過密鑰管理機制生成RSA密鑰對，對數(shù)據(jù)報文進行加密簽名后進行數(shù)據(jù)傳輸安全審計。

安全審計：對數(shù)據(jù)報文進行完整性、防篡改、密鑰合法性、用戶合法性進行審計，當出現(xiàn)非法原始報文數(shù)據(jù)時進行短信告警通知等操作。

安全監(jiān)控：對訪問流量進行DPI深度數(shù)據(jù)包檢測和DFI流量行為分析，結合基線分析技術進行智能化安全監(jiān)控。

訪問控制安全：通過身份識別讀取用戶訪問控制策略，控制用戶訪問數(shù)據(jù)范圍，返回該用戶允許訪問的數(shù)據(jù)。

身份認證安全：采用短信和靜態(tài)密碼雙重因素進行身份認證，并創(chuàng)建用戶認證TOKEN，數(shù)據(jù)請求過程中實時檢測用戶認證信息。

2.3 數(shù)據(jù)擺渡中心設計關鍵技術

2.3.1 數(shù)據(jù)安全島模型

安全島服務，使之內外網(wǎng)之間出現(xiàn)一個隔離帶，通過這個安全島來管閥數(shù)據(jù)傳輸，使安全運營平臺的安全系數(shù)更上一層樓。安全島顧名思義，是一個孤立的無損害小島。這個安全島類似交通島。交通燈變?yōu)榫G燈后，行人先進入路中心的安全島中等待第二次綠燈亮起后再次通過剩下的道路。而安全島就是讓界面的請求數(shù)據(jù)停留下來，斷掉與外網(wǎng)的通道后再建立與后臺服務的通道，將數(shù)據(jù)傳輸過去進行處理。如此設計具有以下五點優(yōu)勢：

過濾信息，將一些惡意攻擊屏蔽在后臺之前；排他處理，因為網(wǎng)絡緩慢用戶重復提交相同請求，可以在這里進行篩選，提高后臺有效運算效率；負載均衡，用戶量增多后，引起并發(fā)現(xiàn)象時，通過安全島會按請求時間進行排隊等待，使數(shù)據(jù)具備時效性；隔離帶，因為數(shù)據(jù)到達安全島后會與請求方斷開通道，再與服務端建立通道，發(fā)送請求數(shù)據(jù)，有效的攔截了數(shù)據(jù)追蹤的問題。當數(shù)據(jù)處理完成后投入到安全島，即刻斷開之間的通道，將后臺數(shù)據(jù)有效的保護起來；二次處理，結果數(shù)據(jù)到達安全島后，通知前端界面攜帶有效證件前來認領數(shù)據(jù)，有效的降低了數(shù)據(jù)被攔截的風險。

安全島的增加，通過過濾、防護、攔截、隔離、排他等手段有效的提高了平臺的安全性與防御能力，但是在安全性提高的同時，信息處理的時長相比直接處理要增加一點點，通過優(yōu)化和硬件設備使這個延時降低到最小。

2.3.2數(shù)據(jù)安全島設計

安全島部署設計流程：

用戶在外網(wǎng)發(fā)出請求訪問。 外網(wǎng)服務器向安全島發(fā)出請求后斷開連接，安全島注冊請求。安全島與數(shù)據(jù)庫處理建立連接，發(fā)送指令進行數(shù)據(jù)處理。數(shù)據(jù)處理完成后，與安全島建立連接并回傳數(shù)據(jù)。安全島通過注冊信息調用外網(wǎng)回調地址，發(fā)送數(shù)據(jù)。外網(wǎng)服務器向用戶展示數(shù)據(jù)。

安全島數(shù)據(jù)流轉設計流程：

界面層發(fā)起請求到安全島。安全島注冊界面端請求信息，斷開與界面層的連接。向服務層發(fā)起處理請求后斷開與服務層的連接。服務層對數(shù)據(jù)庫進行操作后接收數(shù)據(jù)返回信息并斷開連接。服務層與安全島建立連接并返回處理數(shù)據(jù)。安全島通知界面層數(shù)據(jù)已經(jīng)處理完畢。界面層接到通知后到安全島取回數(shù)據(jù)。將取回的數(shù)據(jù)展示在界面端。

三、系統(tǒng)測評

依據(jù)GB-T20984-2007 信息安全風險評估規(guī)范和YD-T1730-2008 電信網(wǎng)和互聯(lián)網(wǎng)安全風險評估實施指南，對外統(tǒng)一安全邊界系統(tǒng)的安全防護有效性進行測評。

測評內容 測評項 部署前 部署后

網(wǎng)絡層 端口開放、網(wǎng)絡訪問控制 2個端口開放 1個端口開放

系統(tǒng)層 系統(tǒng)安全漏洞 5個低風險漏洞 0個漏洞

應用層 應用程序漏洞 0個漏洞 0個漏洞

業(yè)務層 認證、授權、訪問控制等應用層設計、邏輯驗證 1個高風險漏洞、3個中風險漏洞 0個漏洞

表1 安全測評結果分析

上線前，傳統(tǒng)的VPN方案中業(yè)務系統(tǒng)已有較多的防護機制，但在業(yè)務層仍存在安全風險。上線后對外統(tǒng)一安全邊界系統(tǒng)有效的降低了各層面的安全風險。因此，對外統(tǒng)一安全邊界系統(tǒng)能夠有效的保護業(yè)務系統(tǒng)的安全，防護機制科學有效。

四、結論

對外統(tǒng)一安全邊界系統(tǒng)有效避免了在數(shù)據(jù)交互過程中所存在的部分安全風險，是現(xiàn)有安全技術與安全機制的有效補充。該系統(tǒng)已具備軟件產(chǎn)品化的先決條件，即客戶無需軟件添加或調整代碼和語句即能完成軟件安裝配置、應用初始化、系統(tǒng)管理、用戶全過程使用，并且軟件至少能滿足80%以上用戶的應用需求。對外統(tǒng)一安全邊界系統(tǒng)適用于運營商企業(yè)的業(yè)務數(shù)據(jù)隔離環(huán)境，同時在政府非涉密網(wǎng)之間的數(shù)據(jù)傳遞應用場景下具有推廣價值。

參 考 文 獻

[1]楊波，王云龍，譚琳. 內網(wǎng)安全認證機制的應用實踐[J]. 科技致富向導，2012，29：299.

[2]. 提高企業(yè)內網(wǎng)安全的10種策略[J]. 計算機與網(wǎng)絡，2010，10：42.

[3]李珂. VPN技術淺談[J]. 河南科技，2014，18：8-9.