◆潘德偉 林敏

（民航中南空管局 廣東 510403）

眾所周知，對(duì)于重要信息系統(tǒng)的保護(hù)，通常我們采用物理斷開(kāi)的方法，但是物理斷開(kāi)很多時(shí)候會(huì)對(duì)業(yè)務(wù)系統(tǒng)的運(yùn)行造成嚴(yán)重的不便，對(duì)業(yè)務(wù)系統(tǒng)的發(fā)展人為地增加了困難。隨著各單位信息化建設(shè)的不斷深入發(fā)展，越來(lái)越多部署在單位內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)（如：信息發(fā)布、內(nèi)部OA、內(nèi)部在線培訓(xùn)等）需要提供單位外部的網(wǎng)絡(luò)訪問(wèn)方式。

很多企業(yè)單位在信息化建設(shè)中，通常的雙網(wǎng)建設(shè)原則是重要業(yè)務(wù)系統(tǒng)、日常辦公計(jì)算機(jī)處于內(nèi)部網(wǎng)絡(luò)，而一些業(yè)務(wù)系統(tǒng)需要對(duì)外部網(wǎng)絡(luò)甚至互聯(lián)網(wǎng)提供訪問(wèn)。物理斷開(kāi)造成了應(yīng)用與數(shù)據(jù)的脫節(jié)，影響了工作的效率。因此為了實(shí)現(xiàn)用戶(hù)通過(guò)外部網(wǎng)絡(luò)安全、實(shí)時(shí)、高效地訪問(wèn)相關(guān)業(yè)務(wù)系統(tǒng)，需要建立一個(gè)安全的內(nèi)外網(wǎng)絡(luò)安全隔離與數(shù)據(jù)交互平臺(tái)，實(shí)現(xiàn)不同區(qū)域網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換。

1 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

根據(jù)系統(tǒng)安全性設(shè)計(jì)原則，內(nèi)外數(shù)據(jù)交互基礎(chǔ)平臺(tái)分三個(gè)區(qū)域建設(shè)：應(yīng)用發(fā)布區(qū)、安全隔離區(qū)和內(nèi)部安全區(qū)，三個(gè)區(qū)域之間通過(guò)安全設(shè)備進(jìn)行隔離，在保證信息安全的前提下，將單位內(nèi)部經(jīng)主管部門(mén)評(píng)估并可對(duì)外發(fā)布的數(shù)據(jù)與信息，通過(guò)安全可靠的方式，實(shí)現(xiàn)對(duì)外部單位用戶(hù)的進(jìn)行發(fā)布及相關(guān)信息數(shù)據(jù)交互，系統(tǒng)整體網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 內(nèi)外網(wǎng)數(shù)據(jù)交互平臺(tái)拓?fù)鋱D

2 系統(tǒng)主要區(qū)域及功能特點(diǎn)

從圖一我們可以看出，外部網(wǎng)絡(luò)區(qū)和內(nèi)部安全區(qū)為常規(guī)的部署模式，而系統(tǒng)安全建設(shè)的重點(diǎn)主要集中在應(yīng)用發(fā)布區(qū)及安全隔離區(qū)，以下將對(duì)重點(diǎn)區(qū)域安全建設(shè)相關(guān)設(shè)備及功能進(jìn)行介紹。

2.1 應(yīng)用發(fā)布區(qū)

防DDoS 攻擊設(shè)備：從紛雜的網(wǎng)絡(luò)背景流量中精準(zhǔn)地識(shí)別出各種已知和未知的拒絕服務(wù)攻擊流量，并能夠?qū)崟r(shí)過(guò)濾和清洗，確保網(wǎng)絡(luò)正常訪問(wèn)流量通暢，是保障服務(wù)器數(shù)據(jù)可用性的安全產(chǎn)品。

出口防火墻：以透明方式部署，內(nèi)置包含AV 功能模塊，作為4G、移動(dòng)網(wǎng)絡(luò)接入交互時(shí)的安全隔離、權(quán)限控制使用，防止非法訪問(wèn)及惡意攻擊防范。

入侵防御系統(tǒng)：以透明方式部署，重點(diǎn)關(guān)注網(wǎng)絡(luò)攻擊行為，尤其是對(duì)應(yīng)用層協(xié)議進(jìn)行分析，并主動(dòng)阻斷攻擊行為。提供主動(dòng)防護(hù)，是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失。

網(wǎng)頁(yè)防篡改系統(tǒng)：基于對(duì)Web 應(yīng)用業(yè)務(wù)和邏輯的深刻理解，對(duì)來(lái)自Web 應(yīng)用程序客戶(hù)端的各類(lèi)請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，保護(hù)Web 網(wǎng)站應(yīng)用不被篡改，并且即使被篡改后，也有馬上恢復(fù)正常的能力。

負(fù)載均衡系統(tǒng)：主要是用來(lái)做服務(wù)器的冗余負(fù)載，通過(guò)多樣化的負(fù)載均衡策略，智能化的流量管理，可達(dá)到最佳的負(fù)載均衡需求。提高了應(yīng)用服務(wù)器和網(wǎng)絡(luò)的利用率，增加了業(yè)務(wù)應(yīng)用的安全性和可靠性，從而有效降低了用戶(hù)服務(wù)器硬件成本和網(wǎng)絡(luò)運(yùn)維成本。

網(wǎng)管審計(jì)系統(tǒng)：采用旁路部署的模式，可以實(shí)現(xiàn)集中的賬號(hào)管理、集中的訪問(wèn)控制和集中的安全審計(jì)，為運(yùn)維人員提供統(tǒng)一認(rèn)證登錄方式，并對(duì)運(yùn)維審計(jì)操作行為以文本、視頻的方式進(jìn)行審計(jì)存檔，便于異常事件發(fā)生后的調(diào)查取證。

漏洞掃描系統(tǒng)：采用旁路部署的模式，通過(guò)對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置，在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，能有效避免黑客攻擊行為，做到防患于未然。

態(tài)勢(shì)感知平臺(tái)：系統(tǒng)通過(guò)收集所管理網(wǎng)絡(luò)的資產(chǎn)、流量、日志、網(wǎng)站等相關(guān)的安全數(shù)據(jù)，經(jīng)過(guò)存儲(chǔ)、處理、分析后形成安全態(tài)勢(shì)及告警，輔助用戶(hù)了解所管轄網(wǎng)絡(luò)安全態(tài)勢(shì)并能對(duì)告警進(jìn)行協(xié)同處置。利用現(xiàn)有的安全系統(tǒng)、安全設(shè)備，逐步演進(jìn)為“安全數(shù)據(jù)集中存儲(chǔ)、態(tài)勢(shì)感知場(chǎng)景豐富、動(dòng)態(tài)建模分析及可視化綜合展示”的高價(jià)值安全信息存儲(chǔ)及分析系統(tǒng)，加快對(duì)安全威脅的認(rèn)知及有效預(yù)警。

2.2 安全隔離區(qū)域

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)：主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類(lèi)操作行為，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析，實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各種操作，并記入審計(jì)數(shù)據(jù)庫(kù)中以便日后進(jìn)行查詢(xún)、分析、過(guò)濾，實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)操作的監(jiān)控和審計(jì)。

數(shù)據(jù)安全擺渡設(shè)備：該設(shè)備主要作用在兩個(gè)不同安全域之間，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^(guò)。該設(shè)備的基本特征就是使應(yīng)用發(fā)布區(qū)和內(nèi)部安全區(qū)永遠(yuǎn)不連接，應(yīng)用發(fā)布區(qū)和內(nèi)部安全區(qū)在同一時(shí)間最多只有一個(gè)同擺渡設(shè)備建立數(shù)據(jù)連接，可以是兩個(gè)都不連接，但不能同時(shí)連接兩個(gè)。

3 業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)方式

基于內(nèi)外網(wǎng)交互平臺(tái)的架構(gòu)模式下，相關(guān)的業(yè)務(wù)系統(tǒng)部署相比傳統(tǒng)方式也有一定的調(diào)整，涉及業(yè)務(wù)系統(tǒng)發(fā)布的主要服務(wù)器如下：

應(yīng)用發(fā)布區(qū)：發(fā)布區(qū)Web-SRV

安全隔離區(qū)：隔離區(qū)DB-SRV、隔離區(qū)Web-SRV

內(nèi)部安全區(qū)：內(nèi)部Web-SRV、內(nèi)部DB-SRV

圖2 應(yīng)用部署結(jié)構(gòu)圖

4 結(jié)束語(yǔ)

綜上我們可以認(rèn)為，基于內(nèi)外網(wǎng)安全隔離的數(shù)據(jù)交互雙網(wǎng)解決方案，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的情況下，實(shí)現(xiàn)了雙網(wǎng)安全有效地隔離，保證了數(shù)據(jù)的互聯(lián)互通，打破了采用物理斷開(kāi)方式下造成應(yīng)用與數(shù)據(jù)的脫節(jié)這類(lèi)弊端，從而有效地提高業(yè)務(wù)系統(tǒng)的使用效率及行政執(zhí)行效率。