王奇

【摘要】 為了對企業(yè)最具價值的數(shù)據(jù)進行安全防護，參照通用數(shù)據(jù)安全保護框架，在敏感數(shù)據(jù)訪問的關(guān)鍵路徑上增加統(tǒng)一安全能力，增強多種數(shù)據(jù)安全防護機制，開發(fā)了對外統(tǒng)一邊界系統(tǒng)。該系統(tǒng)由外網(wǎng)統(tǒng)一門戶、數(shù)據(jù)擺渡中心、內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心三大子系統(tǒng)組成。并以某運營商為例，實現(xiàn)企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)安全傳遞的一種平臺。對外統(tǒng)一安全邊界系統(tǒng)有效避免了在數(shù)據(jù)交互過程中所存在的部分安全風(fēng)險，適用于運營商企業(yè)的業(yè)務(wù)數(shù)據(jù)隔離環(huán)境，同時在政府非涉密網(wǎng)之間的數(shù)據(jù)傳遞應(yīng)用場景下具有推廣價值。

【關(guān)鍵詞】 安全邊界 內(nèi)網(wǎng) 外網(wǎng) 數(shù)據(jù)擺渡 安全島

網(wǎng)絡(luò)和信息安全事件頻發(fā)，信息安全形勢復(fù)雜嚴峻。對于運營商來說，移動互聯(lián)網(wǎng)時代來臨、4G商用、RCS等新業(yè)務(wù)登場、智能終端普及，復(fù)雜而嚴峻的安全形勢提出了新的挑戰(zhàn)與要求。因此需要對信息安全技術(shù)體系進行優(yōu)化，提升網(wǎng)絡(luò)空間安全保障能力。

目前隨著技術(shù)的進步，全IP化網(wǎng)絡(luò)和移動互聯(lián)網(wǎng)的推廣造成業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)交互復(fù)雜度和數(shù)據(jù)量不斷增加，業(yè)務(wù)系統(tǒng)運維和使用的群體趨于多樣化，而傳統(tǒng)的管理體系和技術(shù)手段將面臨越來越嚴峻的安全壓力。傳統(tǒng)的業(yè)務(wù)申請、審批以及安全傳輸基于VPN技術(shù)進行交互，這種傳統(tǒng)的VPN方式在服務(wù)器管理、帳號權(quán)限管理等方面存在安全隱患，服務(wù)器易受攻擊劫持，導(dǎo)致對內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的攻擊和破壞；權(quán)限控制過于粗大，導(dǎo)致越權(quán)行為的發(fā)生；繁重且復(fù)雜的數(shù)據(jù)交互將給業(yè)務(wù)系統(tǒng)帶來大量的安全監(jiān)管和審計工作，造成審計結(jié)果的可信度低，導(dǎo)致整個數(shù)據(jù)交互過程中存在重大的安全隱患。為了對企業(yè)最具價值的數(shù)據(jù)進行安全防護，參照通用數(shù)據(jù)安全保護框架，在用戶對企業(yè)敏感數(shù)據(jù)訪問的關(guān)鍵路徑上增加統(tǒng)一安全能力，增強多種數(shù)據(jù)安全防護機制。需要建設(shè)一套統(tǒng)一身份認證、數(shù)據(jù)隔離交換、統(tǒng)一數(shù)據(jù)模型轉(zhuǎn)換的系統(tǒng)。通過該系統(tǒng)，建立起內(nèi)外網(wǎng)數(shù)據(jù)安全交互通道，解決企業(yè)內(nèi)外網(wǎng)環(huán)境之間數(shù)據(jù)交互的安全保護。該系統(tǒng)具有統(tǒng)一管理的安全門戶和安全通道；細粒度用戶授權(quán)、安全監(jiān)控與審計；定制的業(yè)務(wù)模式、交互方式和數(shù)據(jù)模板。

一、系統(tǒng)需求分析

通過調(diào)研某運營商的實際情況和需要，根據(jù)信息安全管理工作的內(nèi)容，在綜合分析業(yè)務(wù)數(shù)據(jù)保護場景的基礎(chǔ)上，歸納出對外統(tǒng)一安全邊界系統(tǒng)的需求。

該系統(tǒng)的總體設(shè)計目標是，建立安全邊界，統(tǒng)一進行數(shù)據(jù)的交互，實現(xiàn)信息安全管理體系中安全邊界防護功能的系統(tǒng)。實現(xiàn)企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)安全傳遞的一種平臺。使企業(yè)外部用戶在對外統(tǒng)一安全邊界系統(tǒng)上提交數(shù)據(jù)，再由對外統(tǒng)一安全邊界系統(tǒng)將數(shù)據(jù)提交到內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)中，從而使外部用戶不用通過VPN連接到內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)提交數(shù)據(jù)。解決了企業(yè)給外部用戶分配VPN賬戶帶來的安全隱患。

二、系統(tǒng)架構(gòu)

“對外統(tǒng)一安全邊界系統(tǒng)”由外網(wǎng)統(tǒng)一門戶、數(shù)據(jù)擺渡中心、內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心三大子系統(tǒng)組成。外網(wǎng)統(tǒng)一門戶承載企業(yè)外網(wǎng)用戶的數(shù)據(jù)采集、提交、呈現(xiàn)功能，是用戶進行操作的展示平臺。以任務(wù)工單形式把來自內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的待交互的信息呈現(xiàn)給用戶。數(shù)據(jù)擺渡中心承載內(nèi)外網(wǎng)數(shù)據(jù)隔離交換功能，采用類似“單刀雙擲開關(guān)”的操作模式在外網(wǎng)邊界和內(nèi)網(wǎng)邊界設(shè)置控制單元實現(xiàn)在內(nèi)外網(wǎng)之間進行數(shù)據(jù)擺渡。內(nèi)網(wǎng)控制單元中增加數(shù)據(jù)的加解密單元對內(nèi)網(wǎng)數(shù)據(jù)進行加解密及簽名操作。內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心承載內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)映射及轉(zhuǎn)換、安全審計、密鑰及簽名管理、用戶數(shù)據(jù)訪問控制、用戶鑒別及認證、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)接口管理等內(nèi)容。

2.1系統(tǒng)特點

2.1.1三大技術(shù)突破

數(shù)據(jù)獲?。簲?shù)據(jù)獲取方式采用兩種途徑獲取內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)中的表單數(shù)據(jù)：接口模式和抓取模式。接口模式是指設(shè)計通用的表單數(shù)據(jù)接口服務(wù)，把表單數(shù)據(jù)抽象出來形成數(shù)據(jù)元進行數(shù)據(jù)的傳遞。抓取模式是指通過設(shè)置表單數(shù)據(jù)映射關(guān)系后，由內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心主動去內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)相關(guān)的頁面進行數(shù)據(jù)抓取，抓取后的數(shù)據(jù)進行轉(zhuǎn)換成對外統(tǒng)一安全邊界系統(tǒng)的統(tǒng)一的數(shù)據(jù)格式進行傳遞，傳回的數(shù)據(jù)再次進行逆轉(zhuǎn)換成內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)格式并提交。

數(shù)據(jù)轉(zhuǎn)換：數(shù)據(jù)映射適配轉(zhuǎn)換主要應(yīng)用在通過抓取模式來獲取數(shù)據(jù)的方式中，內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心通過設(shè)置內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的表單數(shù)據(jù)映射關(guān)系，來進行數(shù)據(jù)的轉(zhuǎn)換，可以很方便的使內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)接入對外統(tǒng)一安全邊界系統(tǒng)。

數(shù)據(jù)控制：數(shù)據(jù)擺渡中心是實現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)安全傳遞的一種方法，該方法采用類似“單刀雙擲開關(guān)”的控制方式進行內(nèi)外網(wǎng)數(shù)據(jù)傳輸控制。數(shù)據(jù)擺渡中心存在一個安全的數(shù)據(jù)緩存單元，在內(nèi)外網(wǎng)之間各有一個控制單元，當(dāng)外網(wǎng)控制單元連通外網(wǎng)時，內(nèi)網(wǎng)的控制單元與內(nèi)網(wǎng)環(huán)境斷開，數(shù)據(jù)緩存單元擺渡到外網(wǎng)統(tǒng)一用戶門戶接收或發(fā)送數(shù)據(jù)；當(dāng)內(nèi)網(wǎng)控制單元連通內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心時，外網(wǎng)控制單元斷開外網(wǎng)環(huán)境，數(shù)據(jù)緩存單元擺渡到內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心接收或發(fā)送數(shù)據(jù)，由內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心投遞到內(nèi)網(wǎng)各種業(yè)務(wù)系統(tǒng)上。

該方法是在應(yīng)用邏輯層上進行了內(nèi)外網(wǎng)的數(shù)據(jù)隔離交換，即數(shù)據(jù)擺渡中心不會同時聯(lián)通內(nèi)外網(wǎng)進行數(shù)據(jù)傳遞。在一定程度上保證了內(nèi)外網(wǎng)之間的隔離，又保證了內(nèi)外網(wǎng)之間的數(shù)據(jù)連通性，增強了系統(tǒng)的安全性。

2.1.2 系統(tǒng)優(yōu)勢

對比堡壘機：堡壘機傳遞數(shù)據(jù)的方式是內(nèi)外數(shù)據(jù)連接是同時接通同時切斷；對外統(tǒng)一安全邊界內(nèi)外網(wǎng)是單通的，類似“單刀雙擲開關(guān)”，同一時間只有一方數(shù)據(jù)是連通的，增強了業(yè)務(wù)數(shù)據(jù)傳遞的安全性。

對比網(wǎng)閘：網(wǎng)閘采用物理隔斷方式把數(shù)據(jù)從一方復(fù)制到另一方，在網(wǎng)閘內(nèi)部采用了一些協(xié)議和算法，但是在網(wǎng)閘兩端傳入的數(shù)據(jù)和傳出數(shù)據(jù)是一樣的，如果攻擊者在網(wǎng)閘一端傳入攻擊指令數(shù)據(jù)，在網(wǎng)閘另一端也會傳出攻擊指令數(shù)據(jù)，進而在內(nèi)網(wǎng)造成破壞威脅；對外統(tǒng)一安全邊界在應(yīng)用層進行隔離，對傳輸?shù)臄?shù)據(jù)進行模板數(shù)據(jù)格式轉(zhuǎn)換，即使傳遞的數(shù)據(jù)帶有攻擊指令等數(shù)據(jù)，在傳遞到內(nèi)網(wǎng)也是當(dāng)成內(nèi)容數(shù)據(jù)限制在業(yè)務(wù)應(yīng)用中，沒有指令的運行環(huán)境，有效防止攻擊指令對內(nèi)網(wǎng)的滲透攻擊等行為。

2.2 系統(tǒng)安全設(shè)計

系統(tǒng)架構(gòu)安全：對外統(tǒng)一安全邊界系統(tǒng)基于內(nèi)外網(wǎng)的特殊性環(huán)境設(shè)計三大子系統(tǒng)，承載不同的業(yè)務(wù)角色，分別是外網(wǎng)統(tǒng)一門戶、數(shù)據(jù)擺渡中心、內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心，數(shù)據(jù)庫部署在內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心之后。采用此種設(shè)計方式使外網(wǎng)統(tǒng)一門戶通過數(shù)據(jù)擺渡中心，經(jīng)過內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心進行數(shù)據(jù)轉(zhuǎn)換后訪問數(shù)據(jù)庫。非法入侵外網(wǎng)統(tǒng)一門戶無法得到真實的數(shù)據(jù)庫地址，攻擊難度加大。并且在數(shù)據(jù)擺渡中心中設(shè)計了安全監(jiān)控中心來對系統(tǒng)的訪問進行監(jiān)控、阻斷和告警。當(dāng)發(fā)現(xiàn)攻擊行為時，進行及時阻斷及告警通知。

數(shù)據(jù)庫訪問安全：數(shù)據(jù)庫訪問鏈接進行限制，僅允許來自內(nèi)網(wǎng)數(shù)據(jù)服務(wù)中心的鏈接訪問。數(shù)據(jù)庫賬戶采用最小權(quán)限原則進行設(shè)計。表中關(guān)鍵字段采用加密手段保存密文。

圖3 封包解包模型

數(shù)據(jù)報文安全：傳遞過程中的數(shù)據(jù)報文采用AES和RSA雙重加密來保護對數(shù)據(jù)報文。防止數(shù)據(jù)報文的破解、偵聽、篡改，數(shù)據(jù)報文的封包和解包模型如圖3。

接口安全：接口通訊先進行用戶身份識別，然后通過密鑰管理機制生成RSA密鑰對，對數(shù)據(jù)報文進行加密簽名后進行數(shù)據(jù)傳輸安全審計。

安全審計：對數(shù)據(jù)報文進行完整性、防篡改、密鑰合法性、用戶合法性進行審計，當(dāng)出現(xiàn)非法原始報文數(shù)據(jù)時進行短信告警通知等操作。

安全監(jiān)控：對訪問流量進行DPI深度數(shù)據(jù)包檢測和DFI流量行為分析，結(jié)合基線分析技術(shù)進行智能化安全監(jiān)控。

訪問控制安全：通過身份識別讀取用戶訪問控制策略，控制用戶訪問數(shù)據(jù)范圍，返回該用戶允許訪問的數(shù)據(jù)。

身份認證安全：采用短信和靜態(tài)密碼雙重因素進行身份認證，并創(chuàng)建用戶認證TOKEN，數(shù)據(jù)請求過程中實時檢測用戶認證信息。

2.3 數(shù)據(jù)擺渡中心設(shè)計關(guān)鍵技術(shù)

2.3.1 數(shù)據(jù)安全島模型

安全島服務(wù)，使之內(nèi)外網(wǎng)之間出現(xiàn)一個隔離帶，通過這個安全島來管閥數(shù)據(jù)傳輸，使安全運營平臺的安全系數(shù)更上一層樓。安全島顧名思義，是一個孤立的無損害小島。這個安全島類似交通島。交通燈變?yōu)榫G燈后，行人先進入路中心的安全島中等待第二次綠燈亮起后再次通過剩下的道路。而安全島就是讓界面的請求數(shù)據(jù)停留下來，斷掉與外網(wǎng)的通道后再建立與后臺服務(wù)的通道，將數(shù)據(jù)傳輸過去進行處理。如此設(shè)計具有以下五點優(yōu)勢：

過濾信息，將一些惡意攻擊屏蔽在后臺之前；排他處理，因為網(wǎng)絡(luò)緩慢用戶重復(fù)提交相同請求，可以在這里進行篩選，提高后臺有效運算效率；負載均衡，用戶量增多后，引起并發(fā)現(xiàn)象時，通過安全島會按請求時間進行排隊等待，使數(shù)據(jù)具備時效性；隔離帶，因為數(shù)據(jù)到達安全島后會與請求方斷開通道，再與服務(wù)端建立通道，發(fā)送請求數(shù)據(jù)，有效的攔截了數(shù)據(jù)追蹤的問題。當(dāng)數(shù)據(jù)處理完成后投入到安全島，即刻斷開之間的通道，將后臺數(shù)據(jù)有效的保護起來；二次處理，結(jié)果數(shù)據(jù)到達安全島后，通知前端界面攜帶有效證件前來認領(lǐng)數(shù)據(jù)，有效的降低了數(shù)據(jù)被攔截的風(fēng)險。

安全島的增加，通過過濾、防護、攔截、隔離、排他等手段有效的提高了平臺的安全性與防御能力，但是在安全性提高的同時，信息處理的時長相比直接處理要增加一點點，通過優(yōu)化和硬件設(shè)備使這個延時降低到最小。

2.3.2數(shù)據(jù)安全島設(shè)計

安全島部署設(shè)計流程：

用戶在外網(wǎng)發(fā)出請求訪問。 外網(wǎng)服務(wù)器向安全島發(fā)出請求后斷開連接，安全島注冊請求。安全島與數(shù)據(jù)庫處理建立連接，發(fā)送指令進行數(shù)據(jù)處理。數(shù)據(jù)處理完成后，與安全島建立連接并回傳數(shù)據(jù)。安全島通過注冊信息調(diào)用外網(wǎng)回調(diào)地址，發(fā)送數(shù)據(jù)。外網(wǎng)服務(wù)器向用戶展示數(shù)據(jù)。

安全島數(shù)據(jù)流轉(zhuǎn)設(shè)計流程：

界面層發(fā)起請求到安全島。安全島注冊界面端請求信息，斷開與界面層的連接。向服務(wù)層發(fā)起處理請求后斷開與服務(wù)層的連接。服務(wù)層對數(shù)據(jù)庫進行操作后接收數(shù)據(jù)返回信息并斷開連接。服務(wù)層與安全島建立連接并返回處理數(shù)據(jù)。安全島通知界面層數(shù)據(jù)已經(jīng)處理完畢。界面層接到通知后到安全島取回數(shù)據(jù)。將取回的數(shù)據(jù)展示在界面端。

三、系統(tǒng)測評

依據(jù)GB-T20984-2007 信息安全風(fēng)險評估規(guī)范和YD-T1730-2008 電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險評估實施指南，對外統(tǒng)一安全邊界系統(tǒng)的安全防護有效性進行測評。

測評內(nèi)容 測評項 部署前 部署后

網(wǎng)絡(luò)層 端口開放、網(wǎng)絡(luò)訪問控制 2個端口開放 1個端口開放

系統(tǒng)層 系統(tǒng)安全漏洞 5個低風(fēng)險漏洞 0個漏洞

應(yīng)用層 應(yīng)用程序漏洞 0個漏洞 0個漏洞

業(yè)務(wù)層 認證、授權(quán)、訪問控制等應(yīng)用層設(shè)計、邏輯驗證 1個高風(fēng)險漏洞、3個中風(fēng)險漏洞 0個漏洞

表1 安全測評結(jié)果分析

上線前，傳統(tǒng)的VPN方案中業(yè)務(wù)系統(tǒng)已有較多的防護機制，但在業(yè)務(wù)層仍存在安全風(fēng)險。上線后對外統(tǒng)一安全邊界系統(tǒng)有效的降低了各層面的安全風(fēng)險。因此，對外統(tǒng)一安全邊界系統(tǒng)能夠有效的保護業(yè)務(wù)系統(tǒng)的安全，防護機制科學(xué)有效。

四、結(jié)論

對外統(tǒng)一安全邊界系統(tǒng)有效避免了在數(shù)據(jù)交互過程中所存在的部分安全風(fēng)險，是現(xiàn)有安全技術(shù)與安全機制的有效補充。該系統(tǒng)已具備軟件產(chǎn)品化的先決條件，即客戶無需軟件添加或調(diào)整代碼和語句即能完成軟件安裝配置、應(yīng)用初始化、系統(tǒng)管理、用戶全過程使用，并且軟件至少能滿足80%以上用戶的應(yīng)用需求。對外統(tǒng)一安全邊界系統(tǒng)適用于運營商企業(yè)的業(yè)務(wù)數(shù)據(jù)隔離環(huán)境，同時在政府非涉密網(wǎng)之間的數(shù)據(jù)傳遞應(yīng)用場景下具有推廣價值。

參 考 文 獻

[1]楊波，王云龍，譚琳. 內(nèi)網(wǎng)安全認證機制的應(yīng)用實踐[J]. 科技致富向?qū)В?012，29：299.

[2]. 提高企業(yè)內(nèi)網(wǎng)安全的10種策略[J]. 計算機與網(wǎng)絡(luò)，2010，10：42.

[3]李珂. VPN技術(shù)淺談[J]. 河南科技，2014，18：8-9.