◎葛 慧 范慧莉 謝 雪

1.中國航天系統(tǒng)科學(xué)與工程研究院，北京，100048

2.北京空間機(jī)電研究所信息中心，北京，100094

一、引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)攻擊手段和攻擊技術(shù)層出不窮，為有效應(yīng)對多元化的網(wǎng)絡(luò)攻擊威脅，必須構(gòu)建安全可靠、運(yùn)行高效的安全保密防護(hù)體系。為推進(jìn)“三融五跨”社會(huì)大協(xié)同，落實(shí)國家信息化、現(xiàn)代化建設(shè)中的各項(xiàng)方針和政策，必須實(shí)現(xiàn)不同網(wǎng)絡(luò)間互聯(lián)互通、數(shù)據(jù)資源有效融合和共享應(yīng)用。然而，在實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)共享的過程中，仍面臨諸多挑戰(zhàn)：一方面，網(wǎng)絡(luò)防護(hù)水平不高，在防護(hù)意識上，網(wǎng)絡(luò)規(guī)劃和建設(shè)中普遍存在“重建設(shè)、輕防護(hù)”的淡薄認(rèn)識，在防護(hù)手段上，缺乏全方位、多層次的安全保密防護(hù)策略和方法；另一方面，數(shù)據(jù)共享效果不好，存在共享效率低下、共享資源不完整、共享方式較復(fù)雜等問題。因此，需要進(jìn)一步規(guī)劃和設(shè)計(jì)高效的網(wǎng)絡(luò)間互聯(lián)互通方案和可靠的安全保密防護(hù)體系。

本文提出了一種面向信息共享和集成應(yīng)用的網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系設(shè)計(jì)方案。針對各類涉及信息共享和集成應(yīng)用的信息資源跨網(wǎng)交換需求，依據(jù)信息安全分級保護(hù)標(biāo)準(zhǔn)和其他相關(guān)文件要求，構(gòu)建中心網(wǎng)絡(luò)，中心網(wǎng)絡(luò)由非密交換區(qū)和涉密交換區(qū)構(gòu)成，各網(wǎng)絡(luò)之間的數(shù)據(jù)交換通過中心網(wǎng)絡(luò)進(jìn)行可控交換，從而形成統(tǒng)一規(guī)劃、統(tǒng)一管控的網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系，使得各隔離網(wǎng)絡(luò)實(shí)現(xiàn)合規(guī)數(shù)據(jù)共享高效、交換安全的目的。通過具體應(yīng)用事例，驗(yàn)證了本方案的可行性和有效性。本文提出的方案既可應(yīng)用于縱向金字塔式隔離網(wǎng)絡(luò)信息匯聚，如各省、市、縣三級電子政務(wù)網(wǎng)集成一體化建設(shè)，服務(wù)于政府管理、協(xié)同辦公等方向，也可應(yīng)用于橫向跨網(wǎng)體系資源共享，如黨政軍機(jī)關(guān)、大型機(jī)構(gòu)/中心的共享信息資源，服務(wù)于社會(huì)綜合治理、社會(huì)大協(xié)同等方向，還可廣泛應(yīng)用于空間網(wǎng)絡(luò)系統(tǒng)、軍用/民用工業(yè)制造產(chǎn)業(yè)、智慧城市、智慧國防等方面建設(shè)。從而支撐相關(guān)業(yè)務(wù)發(fā)展，實(shí)現(xiàn)基礎(chǔ)統(tǒng)籌、產(chǎn)業(yè)融合、科技創(chuàng)新、教育資源統(tǒng)籌、社會(huì)服務(wù)統(tǒng)籌、應(yīng)急安全統(tǒng)籌、海洋開發(fā)統(tǒng)籌和海外維權(quán)統(tǒng)籌等。

二、網(wǎng)絡(luò)構(gòu)建方式設(shè)計(jì)

（一）需求分析

1.業(yè)務(wù)需求

當(dāng)前應(yīng)用系統(tǒng)和數(shù)據(jù)分布在不同網(wǎng)絡(luò)，亟需實(shí)現(xiàn)不同網(wǎng)絡(luò)之間互聯(lián)互通、信息資源高效交換以及交換過程安全監(jiān)管。如果在這些眾多網(wǎng)絡(luò)間采用點(diǎn)對點(diǎn)直接數(shù)據(jù)交換方式，則會(huì)導(dǎo)致交換復(fù)雜度大幅增加，且無法進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一管控，因此需要采用“中心集成、分網(wǎng)互聯(lián)”的設(shè)計(jì)模式。網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系主要包括非密網(wǎng)絡(luò)互聯(lián)安全防護(hù)和涉密網(wǎng)絡(luò)互聯(lián)安全防護(hù)。

2.交換需求

網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系需提供異構(gòu)網(wǎng)絡(luò)或安全域間高效傳輸?shù)慕鉀Q方案，通過軟硬件協(xié)同控制，保障數(shù)據(jù)的安全交換與共享。本文提出的方案應(yīng)實(shí)現(xiàn)包括電子政務(wù)外網(wǎng)、城市數(shù)字視頻云、高校/研究所網(wǎng)絡(luò)、醫(yī)院/醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)、社區(qū)網(wǎng)絡(luò)、公檢法機(jī)關(guān)網(wǎng)絡(luò)、黨政機(jī)關(guān)內(nèi)網(wǎng)、軍網(wǎng)、軍工單位網(wǎng)絡(luò)等諸多網(wǎng)絡(luò)在內(nèi)的網(wǎng)絡(luò)間數(shù)據(jù)交互，需提供數(shù)據(jù)的自動(dòng)采集和分發(fā)功能；應(yīng)支持異構(gòu)數(shù)據(jù)庫數(shù)據(jù)交換、文件交換、字節(jié)流交換等多種數(shù)據(jù)類型；應(yīng)可根據(jù)信息交換與共享的需要，對共享的信息資源進(jìn)行統(tǒng)一規(guī)劃、建立信息共享資源目錄、配置交換規(guī)則、配置適配器及交換過程監(jiān)管，實(shí)現(xiàn)信息交換與共享全過程的操作、管理和監(jiān)控。

3.安全需求

為解決不同網(wǎng)絡(luò)間互聯(lián)互通和信息資源交換過程中的安全問題，實(shí)現(xiàn)網(wǎng)絡(luò)間安全、高效、穩(wěn)定的信息資源交換，網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系需具備必要的訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)、身份認(rèn)證與授權(quán)等安全能力。

（二）設(shè)計(jì)目標(biāo)

1.高效的信息共享

打通各個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)信息資源傳輸通道，構(gòu)建高效的信息資源交換與共享機(jī)制，實(shí)現(xiàn)“一數(shù)多源、一源多用、內(nèi)容全面、業(yè)務(wù)廣泛、高效可用”的社會(huì)大協(xié)同。

2.整體的安全防護(hù)

通過安全防護(hù)策略的設(shè)計(jì)，從全局角度實(shí)現(xiàn)不同網(wǎng)絡(luò)間互聯(lián)互通、信息資源共享的安全保密防護(hù)體系建設(shè)，覆蓋全部安全需求；同時(shí)通過對本文提出方案的安全風(fēng)險(xiǎn)細(xì)化分析，明確具體的安全威脅，并采用針對性的安全措施，使其具備必要的安全檢測與防護(hù)、安全數(shù)據(jù)交換、綜合安全審計(jì)等安全能力。

（三）網(wǎng)絡(luò)架構(gòu)

面向各類非密和涉密網(wǎng)絡(luò)，本方案采用“中心集成、分網(wǎng)互聯(lián)”的建設(shè)模式來實(shí)現(xiàn)不同網(wǎng)絡(luò)間互聯(lián)互通的安全保密防護(hù)，網(wǎng)絡(luò)架構(gòu)如圖1所示。

為滿足網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系的三大需求，本方案通過構(gòu)建中心網(wǎng)絡(luò)實(shí)現(xiàn)不同網(wǎng)絡(luò)間的數(shù)據(jù)中轉(zhuǎn)和信息資源交換，中心網(wǎng)絡(luò)由非密交換區(qū)和涉密交換區(qū)構(gòu)成。非密交換區(qū)承擔(dān)著與包括電子政務(wù)外網(wǎng)、城市數(shù)字視頻云平臺網(wǎng)絡(luò)、公檢法機(jī)關(guān)非密網(wǎng)絡(luò)、高校/研究所網(wǎng)絡(luò)、醫(yī)院/醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)、社區(qū)網(wǎng)絡(luò)、大型企業(yè)/機(jī)構(gòu)/中心網(wǎng)絡(luò)等在內(nèi)的非密網(wǎng)絡(luò)間的信息資源交換職能；涉密交換區(qū)承擔(dān)著與包括黨政機(jī)關(guān)內(nèi)網(wǎng)、軍網(wǎng)、公檢法機(jī)關(guān)涉密網(wǎng)絡(luò)、其他軍用和軍工涉密網(wǎng)絡(luò)等在內(nèi)的涉密網(wǎng)絡(luò)間的信息資源交換職能。非密交換區(qū)和涉密交換區(qū)之間物理隔離，通過單向網(wǎng)閘系統(tǒng)或者離線導(dǎo)出系統(tǒng)實(shí)現(xiàn)信息資源交換。

在保證業(yè)務(wù)數(shù)據(jù)間的互聯(lián)互通、交換安全的前提下，按照不同網(wǎng)絡(luò)的具體情況，通過多種交換方式實(shí)現(xiàn)各網(wǎng)絡(luò)與中心網(wǎng)絡(luò)的數(shù)據(jù)交換和共享，從“既要保證數(shù)據(jù)安全保密防護(hù)、又要最大限度地?cái)U(kuò)大和提高信息共享程度”的理念出發(fā)，提供信息自動(dòng)采集和分發(fā)、多通道安全單向傳輸、嚴(yán)格審批監(jiān)管自動(dòng)擺渡等信息共享技術(shù)手段，并配合訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)、身份認(rèn)證與授權(quán)、設(shè)備防護(hù)等安全技術(shù)手段，確保不同網(wǎng)絡(luò)間互聯(lián)互通的安全，構(gòu)建一個(gè)可實(shí)現(xiàn)全方位監(jiān)管的網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系。

圖1 不同網(wǎng)絡(luò)間信息資源交換總體架構(gòu)圖

（四）非密網(wǎng)絡(luò)互聯(lián)安全防護(hù)體系設(shè)計(jì)要點(diǎn)

非密網(wǎng)絡(luò)互聯(lián)互通完全遵照等級保護(hù)的相關(guān)設(shè)計(jì)、建設(shè)要求進(jìn)行設(shè)計(jì)，在保證互聯(lián)互通的情況下，著重考慮訪問控制、入侵防范、綜合審計(jì)等安全建設(shè)，實(shí)現(xiàn)以信息資源交換平臺為手段的數(shù)據(jù)交換。信息資源交換平臺包括與中心網(wǎng)絡(luò)直接連接的核心站點(diǎn)和與其他網(wǎng)絡(luò)連接的子站點(diǎn)兩種站點(diǎn)類型；信息資源交換平臺由平臺管理、運(yùn)行監(jiān)控、交換引擎、站間交換和適配管理等幾部分組成。

以電子政務(wù)外網(wǎng)為例，數(shù)據(jù)從電子政務(wù)外網(wǎng)向中心網(wǎng)絡(luò)交換時(shí)，交換平臺非密網(wǎng)子站點(diǎn)將數(shù)據(jù)自動(dòng)抓取并傳輸至交換平臺中心網(wǎng)絡(luò)非密區(qū)核心站點(diǎn)，通過核心站點(diǎn)分發(fā)至其他應(yīng)用系統(tǒng)；數(shù)據(jù)從中心網(wǎng)絡(luò)交換至電子政務(wù)外網(wǎng)時(shí)，反之；如圖2所示。

1.路由接入?yún)^(qū)

路由接入?yún)^(qū)主要考慮接入鏈路的安全以及對DDOS等攻擊行為的防護(hù)。鏈路安全防護(hù)一方面采用專線方式進(jìn)行鏈路接入進(jìn)行防護(hù)，另一方面基于SSL技術(shù)進(jìn)行加密，保證數(shù)據(jù)傳輸安全；抗拒絕服務(wù)攻擊主要通過抗DDOS攻擊系統(tǒng)實(shí)現(xiàn)對DOSDDOS等攻擊行為的防護(hù)，清洗異常流量，保護(hù)并釋放正常會(huì)話連接資源，保障數(shù)據(jù)及應(yīng)用服務(wù)的可用性。

2.邊界保護(hù)區(qū)

圖2 電子政務(wù)外網(wǎng)與中心網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)圖

邊界保護(hù)區(qū)主要實(shí)現(xiàn)對接入的終端安全控制、訪問控制、入侵防范、惡意代碼防護(hù)、網(wǎng)絡(luò)審計(jì)和集中監(jiān)控管理。接入單位的終端主要為PC機(jī)或服務(wù)器，終端安全控制實(shí)現(xiàn)了終端安全加固、終端訪問控制、終端身份識別和終端設(shè)備識別；通過防火墻實(shí)現(xiàn)對數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)協(xié)議和應(yīng)用層協(xié)議進(jìn)行訪問控制，利用NAT功能實(shí)現(xiàn)內(nèi)部主機(jī)地址隱藏；利用入侵防御系統(tǒng)實(shí)現(xiàn)對網(wǎng)絡(luò)入侵行為的自動(dòng)實(shí)時(shí)識別、響應(yīng)以及主被動(dòng)結(jié)合的防御，可以準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動(dòng)對各類攻擊進(jìn)行實(shí)時(shí)阻斷；利用防病毒網(wǎng)關(guān)防止網(wǎng)絡(luò)外部的黑客和病毒的威脅；采用網(wǎng)絡(luò)審計(jì)系統(tǒng)對交互的網(wǎng)絡(luò)行為進(jìn)行安全審計(jì)，實(shí)現(xiàn)網(wǎng)絡(luò)行為追溯；邊界保護(hù)區(qū)內(nèi)的關(guān)鍵設(shè)備都必須開啟審計(jì)功能，通過接口將每個(gè)設(shè)備的日志抄送給集控探針。審計(jì)內(nèi)容包括這些設(shè)備的登錄事件、配置更改事件、報(bào)警事件以及故障信息等。

3.應(yīng)用服務(wù)區(qū)

應(yīng)用服務(wù)區(qū)部署了相應(yīng)業(yè)務(wù)應(yīng)用的前置服務(wù)機(jī)、殺毒控管服務(wù)器和漏洞掃描系統(tǒng)，實(shí)現(xiàn)與各接入網(wǎng)絡(luò)交換數(shù)據(jù)的暫存與信息發(fā)布、惡意代碼防護(hù)和跨網(wǎng)請求服務(wù)等功能。

4.安全隔離與交換區(qū)

該區(qū)域與應(yīng)用服務(wù)區(qū)網(wǎng)絡(luò)隔離和數(shù)據(jù)的安全交換, 它通過信息資源交換平臺，實(shí)現(xiàn)異構(gòu)系統(tǒng)、數(shù)據(jù)源之間安全、靈活、有效、快速的數(shù)據(jù)交換，并且具有身份認(rèn)證、格式檢查、異構(gòu)交換等功能。

（五）涉密網(wǎng)絡(luò)互聯(lián)安全防護(hù)體系設(shè)計(jì)要點(diǎn)

涉密網(wǎng)絡(luò)間互聯(lián)互通主要依據(jù)分級保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行針對性設(shè)計(jì)。除滿足必要的訪問控制、入侵防范、綜合審計(jì)等要求外，需要嚴(yán)格控制數(shù)據(jù)流向，杜絕泄密的可能，禁止數(shù)據(jù)從高密級直接向低密級進(jìn)行傳輸；除滿足物理隔離的要求外，還需要考慮必要的數(shù)據(jù)傳輸及交換需求。因此，低密級向高密級或與同密級間將考慮通過單向網(wǎng)閘設(shè)備實(shí)現(xiàn)隔離及單向數(shù)據(jù)傳輸?shù)囊?；高密級向低密級將考慮通過離線導(dǎo)出的方式實(shí)現(xiàn)信息資源交換；下面以密級低于涉密交換區(qū)的網(wǎng)絡(luò)與涉密交換區(qū)之間的數(shù)據(jù)傳輸為例進(jìn)行分析，如圖3所示。

圖3 低密級與高密級網(wǎng)絡(luò)間互聯(lián)設(shè)計(jì)圖

低密級與高密級網(wǎng)絡(luò)間數(shù)據(jù)交換同樣包括上述路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離與交換區(qū)。其中路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)的安全防護(hù)設(shè)計(jì)與非密網(wǎng)絡(luò)中相同，而安全隔離與交換區(qū)分為兩部分，當(dāng)從低密級向高密級進(jìn)行數(shù)據(jù)傳輸時(shí)，使用單向網(wǎng)閘系統(tǒng)進(jìn)行安全隔離和數(shù)據(jù)傳輸；當(dāng)從高密級向低密級進(jìn)行數(shù)據(jù)傳輸時(shí)，使用離線導(dǎo)出系統(tǒng)進(jìn)行物理隔離和數(shù)據(jù)交換。

1.單向網(wǎng)閘系統(tǒng)

采用無反饋的單向傳輸技術(shù)，實(shí)現(xiàn)低密級向高密級的數(shù)據(jù)交換，單向網(wǎng)閘從物理鏈路層、傳輸層保證數(shù)據(jù)的絕對單向流動(dòng)。單向網(wǎng)閘采用“2+1”模型架構(gòu)設(shè)計(jì)，即內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)加單向?qū)敫綦x部件，內(nèi)外網(wǎng)主機(jī)系統(tǒng)采用專用設(shè)計(jì)的工控主板、高性能的硬件平臺，同時(shí)采用了先進(jìn)的糾錯(cuò)編碼技術(shù)、ASIC并行處理技術(shù)和多重冗余技術(shù)保證系統(tǒng)的高可靠性、高容錯(cuò)性、高安全性和高穩(wěn)定性。單向網(wǎng)閘系統(tǒng)主要實(shí)現(xiàn)文件交換、數(shù)據(jù)庫同步、數(shù)據(jù)庫訪問、定制訪問、消息傳輸以及安全通道等功能。

2.離線導(dǎo)出系統(tǒng)

離線導(dǎo)出系統(tǒng)通過光盤導(dǎo)入導(dǎo)出實(shí)現(xiàn)，該系統(tǒng)是為實(shí)現(xiàn)對安全域內(nèi)部和跨安全域的文件交換行為進(jìn)行監(jiān)控和跟蹤審計(jì)，采取的是離線文件交換方式。離線導(dǎo)出系統(tǒng)分為交換監(jiān)控與審計(jì)中心和控制臺兩部分，其中交換監(jiān)控與審計(jì)中心負(fù)責(zé)對文件交換任務(wù)的申請、審批、檢查等處理環(huán)節(jié)以及人員信息、交換規(guī)則、權(quán)限控制、日志審計(jì)等基礎(chǔ)服務(wù)進(jìn)行監(jiān)管；控制臺實(shí)現(xiàn)電子文件的導(dǎo)入導(dǎo)出、光盤回收等業(yè)務(wù)操作，既可以控制交換過程的安全性，又可以最大化交換的便捷性。

三、方案應(yīng)用與驗(yàn)證

筆者結(jié)合本論文提出的設(shè)計(jì)方案，在某地區(qū)社會(huì)綜合治理云平臺邊界接入項(xiàng)目中進(jìn)行規(guī)劃設(shè)計(jì)和應(yīng)用驗(yàn)證，取得了較好的效果，下面進(jìn)行簡要說明。

為推進(jìn)社會(huì)綜合治理部門網(wǎng)絡(luò)設(shè)施共建、信息共享、發(fā)揮社會(huì)綜治信息資源的整體效能，實(shí)現(xiàn)各部門間網(wǎng)絡(luò)互聯(lián)、業(yè)務(wù)協(xié)同，構(gòu)建面向邊界接入的安全保密防護(hù)系統(tǒng)。主要涉及網(wǎng)絡(luò)包括電子政務(wù)外網(wǎng)、公檢法機(jī)關(guān)非涉密網(wǎng)絡(luò)、黨政機(jī)關(guān)內(nèi)網(wǎng)和公檢法機(jī)關(guān)涉密網(wǎng)絡(luò)四種網(wǎng)絡(luò)類型，從需求出發(fā)，結(jié)合本論文提出方案的設(shè)計(jì)要點(diǎn)進(jìn)行規(guī)劃設(shè)計(jì)。

依據(jù)網(wǎng)絡(luò)現(xiàn)狀和需求，方案提出中心網(wǎng)絡(luò)非密交換區(qū)在與電子政務(wù)外網(wǎng)交換時(shí)，通過路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離與交換區(qū)實(shí)現(xiàn)安全防護(hù)，使用信息資源交換平臺進(jìn)行數(shù)據(jù)的安全傳輸。中心網(wǎng)絡(luò)涉密交換區(qū)在與公檢法機(jī)關(guān)涉密網(wǎng)絡(luò)、黨政機(jī)關(guān)內(nèi)網(wǎng)交換時(shí)，同樣通過路由接入?yún)^(qū)、邊界保護(hù)區(qū)、應(yīng)用服務(wù)區(qū)、安全隔離與交換區(qū)實(shí)現(xiàn)安全防護(hù)，由于這些網(wǎng)絡(luò)屬于同密級網(wǎng)絡(luò)，均使用單向網(wǎng)閘系統(tǒng)進(jìn)行數(shù)據(jù)交換。中心網(wǎng)絡(luò)非密交換區(qū)向涉密交換區(qū)傳輸數(shù)據(jù)時(shí)使用單向網(wǎng)閘系統(tǒng)，中心網(wǎng)絡(luò)涉密交換區(qū)向非密交換區(qū)傳輸數(shù)據(jù)時(shí)使用離線導(dǎo)出系統(tǒng)。經(jīng)過專家論證和評審，該方案具有較好的可行性和防護(hù)效果。

四、結(jié)語

本文分析了不同網(wǎng)絡(luò)間互聯(lián)互通的相應(yīng)業(yè)務(wù)需求、交換需求和安全需求，提出了面向信息共享和集成應(yīng)用的網(wǎng)絡(luò)互聯(lián)安全保密防護(hù)體系設(shè)計(jì)要點(diǎn)，并給出了在不同網(wǎng)絡(luò)環(huán)境下的不同互聯(lián)方式和安全防護(hù)措施。下一步將在安全策略、管理制度等方面進(jìn)行進(jìn)一步的研究和完善。