◆夏郢

（上海市機關事務管理局信息中心 上海 200050）

1 背景

1.1 什么是等級保護

根據信息系統應用業(yè)務重要程度及其實際安全需求，需實行分級、分類、分階段保護，以保障信息安全和系統安全正常運行，維護國家利益、公共利益和社會穩(wěn)定。等級保護的核心是對信息系統特別是對業(yè)務應用系統安全分等級、按標準進行建設、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術規(guī)范逐級加強監(jiān)管力度。突出重點，保障重要信息資源和重要信息系統的安全。

1.2 什么是三級等保

每個單位或企業(yè)的信息系統的重要程度、應對威脅的能力、具有的安全保護能力等方面各不相同，所以需要按照系統受到破壞時，對客體造成侵害的程度分別進行不同等級的保護。信息系統的安全等級被分為五個等級，他們分別是第一級自主保護、第二級指導保護、第三級監(jiān)督保護、第四級強制保護、第五級?？乇Ｗo。

三級等保是指信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監(jiān)管部門需對該級信息系統安全等級保護工作進行監(jiān)督、檢查。

三級等保信息系統適用于地級市以上國家機關、企業(yè)、事業(yè)單位內部重要信息系統，重要領域、重要部門跨省、跨市或全國（?。┞摼W運行的用于生產、調度、管理、作業(yè)、指揮等方面的重要信息系統，跨省或全國聯網運行的重要信息系統在省、地市的分支系統，中央各部委、省（區(qū)、市）門戶網站和重要網站，跨省連接的網絡系統等。

第三級安全保護能力需達到在統一安全策略下防護系統免受外來有組織的團體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難和其他相應程度的威脅所造成的主要資源損害，能夠發(fā)現重要的安全漏洞和安全事件，在系統遭受攻擊損害后，能較快恢復絕大部分功能。

1.3 三級等保信息系統與外界交互的傳統方式

通常情況下，三級等保信息系統中如果業(yè)務流程調度控制涉及必須從外部信息系統獲取信息則需通過外部介質將需要傳遞給三級等保系統的信息拷貝到特定區(qū)域后，并對信息進行安全掃描后方可進入到三級等保系統。例如運行于電子政務外網的一套三級等保的政務系統需從互聯網獲取信息通常是將該互聯網信息拷貝到電子政務外網系統可訪問的位置，對該信息進行安全檢查處理后該三級等保政務系統方可使用該信息。

1.4 傳統交互方式的影響

這種交互方式下信息傳遞時延較大，在信息傳遞的頻次要求不高情況下可以滿足業(yè)務要求。但如果業(yè)務上需要頻繁從外部域獲取信息方能保證業(yè)務的順利開展，則該方式在時延及頻次上不能滿足需求。

造成該問題本質原因在于三級等保系統所處的安全域內對于外部特別是安全防護等級低于三級等保域的來源信息不可信所帶來的。

2 問題解決思路

為了解決快速、高頻次地從三級等保域外部獲取信息需要一臺能定制策略的安全代理服務器，該服務器應能按照業(yè)務及安全要求將三級等保安全域內信息傳遞給外部安全域或者準備好外部安全域上待交互的信息，按照三級等保域的要求進行信息的交互。

2.1 代理服務器工作方式

反向代理（Reverse Proxy）方式是指以代理服務器來接受外網上的連接請求，然后將請求轉發(fā)給內部網絡上的服務器，并將從服務器上得到的結果返回給外網上請求連接的客戶端，此時代理服務器對外就表現為一個反向代理服務器。

通常的代理服務器，只用于代理內部網絡對外網的連接請求，客戶機必須指定代理服務器，并將本來要直接發(fā)送到Web 服務器上的http 請求發(fā)送到代理服務器中。由于外部網絡上的主機并不會配置并使用這個代理服務器，普通代理服務器也被設計為在外網上搜尋多個不確定的服務器，而不是針對外網上多個客戶機的請求訪問某一個固定的服務器，因此普通的Web 代理服務器不支持外部對內部網絡的訪問請求。當一個代理服務器能夠代理外部網絡上的主機，訪問內部網絡時，這種代理服務的方式稱為反向代理服務。此時代理服務器對外就表現為一個Web 服務器，外部網絡就可以簡單把它當作一個標準的Web 服務器而不需要特定的配置。不同之處在于，這個服務器沒有保存任何網頁的真實數據，所有的靜態(tài)網頁或者CGⅠ程序，都保存在內部的Web 服務器上。因此對反向代理服務器的攻擊并不會使得網頁信息遭到破壞，這樣就增強了Web 服務器的安全性。

2.2 現有常用代理手段基于等保三級的改進思路

現有的反向代理服務器如：Apache、Negix 在代理建立連接時，只能主動向防火墻內部的服務器發(fā)起握手，即連接方向是由外向內，如圖1。

圖1 方向代理服務器工作方式

這種訪問方式不符合三級等保的相關要求。本文設計研究了一種反向被動代理服務器的實現方法，實現目標是改變代理服務連接的發(fā)起方向，由內部服務器向代理服務器主動發(fā)起連接，即連接方向是由內向外。

3 技術實現方法

3.1 技術方案的簡介

一種反向被動代理服務器的實現方法，采用Http/Soap 協議，在代理服務器中利用阻塞同步隊列機制，在應用層以不侵入業(yè)務系統為原則，改變代理服務連接的發(fā)起方向，以滿足安全方面的相關要求。

3.2 本技術方案特點

相對于現有反向代理，本發(fā)明不僅在TCP 的握手方向上把反向代理改進成了被動握手方，而且還能根據每一個需要被代理的HTTP報文的請求頭和請求體（如圖2，請求頭中的{方法}、{URL}，還有請求體中的“HTTP 數據體”），過濾該報文是否需要被代理。

圖2 HTTP 報文格式

4 實現方式

4.1 網絡系統結構圖（圖3）

圖3 網絡系統結構圖

4.2 原理及實現過程

基于開源的消息中間件Tomcat 研發(fā)而成，原理是：攔截由終端發(fā)起的Http 請求，獲取該請求包中的內容，按實際要求過濾，然后將經過過濾的請求包緩存到本地的同步隊列中并阻塞（HTTP 是一種請求/響應式的協議，當從客戶端向服務端發(fā)起一個request 請求后，如果服務端不向客戶端反饋response 回復，則客戶端將一直阻塞）當前請求線程，等待防火墻內的應用程序服務器主動向反向代理發(fā)起請求，從同步隊列中獲取該請求包，應用程序服務器獲取并處理完該請求包后，反饋給反向代理，并由反向代理反饋給終端。

4.3 關鍵技術點

本文所闡述的方法，是根據項目實施過程中實際遇到的問題而得來的，它通過過濾、緩存由終端發(fā)起的消息，并由應用程序服務器主動發(fā)起握手而實現，起到了三級等保安全域內可以為外部安全域提供服務，或者外部安全域必要的業(yè)務信息能快速進入三級等保安全域內，而不通過外網主動直接請求內網服務，滿足了三級安全等保要求。

5 應用場景

該方式可用于電子政務領域內重要的行政審批類系統與外部（互聯網或其他安全域）系統進行數據交互。如運行在上海市政務外網作為三級等保的上海市機關事務管理局公務車輛管理系統在車輛申請調配流程方面。為了掌握各市級機關公務用車位置信息，及時以性價比最高的方式調配車輛滿足相關市級單位日常政務活動要求。需較為實時從互聯網獲取車輛定位信息，車輛管理系統獲取車輛GPS 定位信息后，方可掌握車輛是否在工作，運行范圍是否在可信可控區(qū)域等，如此方能對公務車輛進行更有效的調配。該業(yè)務場景為三級等保安全域外部快速高頻次向三級等保安全域傳送信息。另外為了滿足市級機關靈活的用車需求，市級機關用車人可在運行在互聯網環(huán)境的車輛調度APP 上提出用車需求，通過本文所述方式能將三級等保安全域外的服務請求及時傳送到三級等保安全域內的公務車輛管理系統。