◆夏郢

（上海市機(jī)關(guān)事務(wù)管理局信息中心 上海 200050）

1 背景

1.1 什么是等級(jí)保護(hù)

根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，需實(shí)行分級(jí)、分類(lèi)、分階段保護(hù)，以保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。

1.2 什么是三級(jí)等保

每個(gè)單位或企業(yè)的信息系統(tǒng)的重要程度、應(yīng)對(duì)威脅的能力、具有的安全保護(hù)能力等方面各不相同，所以需要按照系統(tǒng)受到破壞時(shí)，對(duì)客體造成侵害的程度分別進(jìn)行不同等級(jí)的保護(hù)。信息系統(tǒng)的安全等級(jí)被分為五個(gè)等級(jí)，他們分別是第一級(jí)自主保護(hù)、第二級(jí)指導(dǎo)保護(hù)、第三級(jí)監(jiān)督保護(hù)、第四級(jí)強(qiáng)制保護(hù)、第五級(jí)專(zhuān)控保護(hù)。

三級(jí)等保是指信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。國(guó)家信息安全監(jiān)管部門(mén)需對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。

三級(jí)等保信息系統(tǒng)適用于地級(jí)市以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要信息系統(tǒng)，重要領(lǐng)域、重要部門(mén)跨省、跨市或全國(guó)（?。┞?lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮等方面的重要信息系統(tǒng)，跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)在省、地市的分支系統(tǒng)，中央各部委、?。▍^(qū)、市）門(mén)戶網(wǎng)站和重要網(wǎng)站，跨省連接的網(wǎng)絡(luò)系統(tǒng)等。

第三級(jí)安全保護(hù)能力需達(dá)到在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受外來(lái)有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難和其他相應(yīng)程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭受攻擊損害后，能較快恢復(fù)絕大部分功能。

1.3 三級(jí)等保信息系統(tǒng)與外界交互的傳統(tǒng)方式

通常情況下，三級(jí)等保信息系統(tǒng)中如果業(yè)務(wù)流程調(diào)度控制涉及必須從外部信息系統(tǒng)獲取信息則需通過(guò)外部介質(zhì)將需要傳遞給三級(jí)等保系統(tǒng)的信息拷貝到特定區(qū)域后，并對(duì)信息進(jìn)行安全掃描后方可進(jìn)入到三級(jí)等保系統(tǒng)。例如運(yùn)行于電子政務(wù)外網(wǎng)的一套三級(jí)等保的政務(wù)系統(tǒng)需從互聯(lián)網(wǎng)獲取信息通常是將該互聯(lián)網(wǎng)信息拷貝到電子政務(wù)外網(wǎng)系統(tǒng)可訪問(wèn)的位置，對(duì)該信息進(jìn)行安全檢查處理后該三級(jí)等保政務(wù)系統(tǒng)方可使用該信息。

1.4 傳統(tǒng)交互方式的影響

這種交互方式下信息傳遞時(shí)延較大，在信息傳遞的頻次要求不高情況下可以滿足業(yè)務(wù)要求。但如果業(yè)務(wù)上需要頻繁從外部域獲取信息方能保證業(yè)務(wù)的順利開(kāi)展，則該方式在時(shí)延及頻次上不能滿足需求。

造成該問(wèn)題本質(zhì)原因在于三級(jí)等保系統(tǒng)所處的安全域內(nèi)對(duì)于外部特別是安全防護(hù)等級(jí)低于三級(jí)等保域的來(lái)源信息不可信所帶來(lái)的。

2 問(wèn)題解決思路

為了解決快速、高頻次地從三級(jí)等保域外部獲取信息需要一臺(tái)能定制策略的安全代理服務(wù)器，該服務(wù)器應(yīng)能按照業(yè)務(wù)及安全要求將三級(jí)等保安全域內(nèi)信息傳遞給外部安全域或者準(zhǔn)備好外部安全域上待交互的信息，按照三級(jí)等保域的要求進(jìn)行信息的交互。

2.1 代理服務(wù)器工作方式

反向代理（Reverse Proxy）方式是指以代理服務(wù)器來(lái)接受外網(wǎng)上的連接請(qǐng)求，然后將請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)上的服務(wù)器，并將從服務(wù)器上得到的結(jié)果返回給外網(wǎng)上請(qǐng)求連接的客戶端，此時(shí)代理服務(wù)器對(duì)外就表現(xiàn)為一個(gè)反向代理服務(wù)器。

通常的代理服務(wù)器，只用于代理內(nèi)部網(wǎng)絡(luò)對(duì)外網(wǎng)的連接請(qǐng)求，客戶機(jī)必須指定代理服務(wù)器，并將本來(lái)要直接發(fā)送到Web 服務(wù)器上的http 請(qǐng)求發(fā)送到代理服務(wù)器中。由于外部網(wǎng)絡(luò)上的主機(jī)并不會(huì)配置并使用這個(gè)代理服務(wù)器，普通代理服務(wù)器也被設(shè)計(jì)為在外網(wǎng)上搜尋多個(gè)不確定的服務(wù)器，而不是針對(duì)外網(wǎng)上多個(gè)客戶機(jī)的請(qǐng)求訪問(wèn)某一個(gè)固定的服務(wù)器，因此普通的Web 代理服務(wù)器不支持外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求。當(dāng)一個(gè)代理服務(wù)器能夠代理外部網(wǎng)絡(luò)上的主機(jī)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，這種代理服務(wù)的方式稱(chēng)為反向代理服務(wù)。此時(shí)代理服務(wù)器對(duì)外就表現(xiàn)為一個(gè)Web 服務(wù)器，外部網(wǎng)絡(luò)就可以簡(jiǎn)單把它當(dāng)作一個(gè)標(biāo)準(zhǔn)的Web 服務(wù)器而不需要特定的配置。不同之處在于，這個(gè)服務(wù)器沒(méi)有保存任何網(wǎng)頁(yè)的真實(shí)數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁(yè)或者CGⅠ程序，都保存在內(nèi)部的Web 服務(wù)器上。因此對(duì)反向代理服務(wù)器的攻擊并不會(huì)使得網(wǎng)頁(yè)信息遭到破壞，這樣就增強(qiáng)了Web 服務(wù)器的安全性。

2.2 現(xiàn)有常用代理手段基于等保三級(jí)的改進(jìn)思路

現(xiàn)有的反向代理服務(wù)器如：Apache、Negix 在代理建立連接時(shí)，只能主動(dòng)向防火墻內(nèi)部的服務(wù)器發(fā)起握手，即連接方向是由外向內(nèi)，如圖1。

圖1 方向代理服務(wù)器工作方式

這種訪問(wèn)方式不符合三級(jí)等保的相關(guān)要求。本文設(shè)計(jì)研究了一種反向被動(dòng)代理服務(wù)器的實(shí)現(xiàn)方法，實(shí)現(xiàn)目標(biāo)是改變代理服務(wù)連接的發(fā)起方向，由內(nèi)部服務(wù)器向代理服務(wù)器主動(dòng)發(fā)起連接，即連接方向是由內(nèi)向外。

3 技術(shù)實(shí)現(xiàn)方法

3.1 技術(shù)方案的簡(jiǎn)介

一種反向被動(dòng)代理服務(wù)器的實(shí)現(xiàn)方法，采用Http/Soap 協(xié)議，在代理服務(wù)器中利用阻塞同步隊(duì)列機(jī)制，在應(yīng)用層以不侵入業(yè)務(wù)系統(tǒng)為原則，改變代理服務(wù)連接的發(fā)起方向，以滿足安全方面的相關(guān)要求。

3.2 本技術(shù)方案特點(diǎn)

相對(duì)于現(xiàn)有反向代理，本發(fā)明不僅在TCP 的握手方向上把反向代理改進(jìn)成了被動(dòng)握手方，而且還能根據(jù)每一個(gè)需要被代理的HTTP報(bào)文的請(qǐng)求頭和請(qǐng)求體（如圖2，請(qǐng)求頭中的{方法}、{URL}，還有請(qǐng)求體中的“HTTP 數(shù)據(jù)體”），過(guò)濾該報(bào)文是否需要被代理。

圖2 HTTP 報(bào)文格式

4 實(shí)現(xiàn)方式

4.1 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖（圖3）

圖3 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖

4.2 原理及實(shí)現(xiàn)過(guò)程

基于開(kāi)源的消息中間件Tomcat 研發(fā)而成，原理是：攔截由終端發(fā)起的Http 請(qǐng)求，獲取該請(qǐng)求包中的內(nèi)容，按實(shí)際要求過(guò)濾，然后將經(jīng)過(guò)過(guò)濾的請(qǐng)求包緩存到本地的同步隊(duì)列中并阻塞（HTTP 是一種請(qǐng)求/響應(yīng)式的協(xié)議，當(dāng)從客戶端向服務(wù)端發(fā)起一個(gè)request 請(qǐng)求后，如果服務(wù)端不向客戶端反饋response 回復(fù)，則客戶端將一直阻塞）當(dāng)前請(qǐng)求線程，等待防火墻內(nèi)的應(yīng)用程序服務(wù)器主動(dòng)向反向代理發(fā)起請(qǐng)求，從同步隊(duì)列中獲取該請(qǐng)求包，應(yīng)用程序服務(wù)器獲取并處理完該請(qǐng)求包后，反饋給反向代理，并由反向代理反饋給終端。

4.3 關(guān)鍵技術(shù)點(diǎn)

本文所闡述的方法，是根據(jù)項(xiàng)目實(shí)施過(guò)程中實(shí)際遇到的問(wèn)題而得來(lái)的，它通過(guò)過(guò)濾、緩存由終端發(fā)起的消息，并由應(yīng)用程序服務(wù)器主動(dòng)發(fā)起握手而實(shí)現(xiàn)，起到了三級(jí)等保安全域內(nèi)可以為外部安全域提供服務(wù)，或者外部安全域必要的業(yè)務(wù)信息能快速進(jìn)入三級(jí)等保安全域內(nèi)，而不通過(guò)外網(wǎng)主動(dòng)直接請(qǐng)求內(nèi)網(wǎng)服務(wù)，滿足了三級(jí)安全等保要求。

5 應(yīng)用場(chǎng)景

該方式可用于電子政務(wù)領(lǐng)域內(nèi)重要的行政審批類(lèi)系統(tǒng)與外部（互聯(lián)網(wǎng)或其他安全域）系統(tǒng)進(jìn)行數(shù)據(jù)交互。如運(yùn)行在上海市政務(wù)外網(wǎng)作為三級(jí)等保的上海市機(jī)關(guān)事務(wù)管理局公務(wù)車(chē)輛管理系統(tǒng)在車(chē)輛申請(qǐng)調(diào)配流程方面。為了掌握各市級(jí)機(jī)關(guān)公務(wù)用車(chē)位置信息，及時(shí)以性價(jià)比最高的方式調(diào)配車(chē)輛滿足相關(guān)市級(jí)單位日常政務(wù)活動(dòng)要求。需較為實(shí)時(shí)從互聯(lián)網(wǎng)獲取車(chē)輛定位信息，車(chē)輛管理系統(tǒng)獲取車(chē)輛GPS 定位信息后，方可掌握車(chē)輛是否在工作，運(yùn)行范圍是否在可信可控區(qū)域等，如此方能對(duì)公務(wù)車(chē)輛進(jìn)行更有效的調(diào)配。該業(yè)務(wù)場(chǎng)景為三級(jí)等保安全域外部快速高頻次向三級(jí)等保安全域傳送信息。另外為了滿足市級(jí)機(jī)關(guān)靈活的用車(chē)需求，市級(jí)機(jī)關(guān)用車(chē)人可在運(yùn)行在互聯(lián)網(wǎng)環(huán)境的車(chē)輛調(diào)度APP 上提出用車(chē)需求，通過(guò)本文所述方式能將三級(jí)等保安全域外的服務(wù)請(qǐng)求及時(shí)傳送到三級(jí)等保安全域內(nèi)的公務(wù)車(chē)輛管理系統(tǒng)。