跨網(wǎng)絡(luò)信息流轉(zhuǎn)的安全防護設(shè)計

2021-03-07 07:58王進

電子技術(shù)與軟件工程 2021年24期

王進

（中國科學(xué)院空天信息創(chuàng)新研究院北京市 100190）

1 引言

大工業(yè)時代的分工協(xié)作要求信息跨部門、跨組織、甚至跨國流轉(zhuǎn)，信息的安全流轉(zhuǎn)尤其是敏感信息的安全流轉(zhuǎn)就顯得尤為重要。過去各部門、組織的局域網(wǎng)間信息流轉(zhuǎn)通過防火墻設(shè)備將病毒、非法信息阻擋在局域網(wǎng)外面以此達到信息的安全流轉(zhuǎn)，但是局域網(wǎng)間以防火墻作為安全防護來連接的這種方式實質(zhì)上局域網(wǎng)間是物理連接的，只要是物理連接就會在信息流轉(zhuǎn)過程中造成很大信息泄露危險及網(wǎng)絡(luò)安全風(fēng)險。有的組織用內(nèi)部刻盤專人報送的方式消除風(fēng)險，但只適用于小量、非實時且近距離的信息流轉(zhuǎn)。當(dāng)涉及到大量、實時、長距離的信息流轉(zhuǎn)就迫切的需要新思路來設(shè)計一套跨網(wǎng)信息流轉(zhuǎn)單向?qū)雽?dǎo)出安防系統(tǒng)以達到信息有效流轉(zhuǎn)及網(wǎng)絡(luò)安全的目的。

2 設(shè)計思路

本文通過對局域網(wǎng)進行等級劃分后，基于局域網(wǎng)等級來設(shè)計信息流轉(zhuǎn)單向?qū)雽?dǎo)出系統(tǒng)，使得信息即安全流轉(zhuǎn)，各局域網(wǎng)也得到安全防護，同時防護成本得到有效控制。文中舉例說明，首先，定義A 組織局域網(wǎng)為高等級簡稱A 網(wǎng)，B 組織局域網(wǎng)為低等級簡稱B 網(wǎng)。當(dāng)B 網(wǎng)向A 網(wǎng)流轉(zhuǎn)信息時部署防火墻+單向網(wǎng)閘+單向網(wǎng)關(guān)；當(dāng)A 網(wǎng)向B 網(wǎng)流轉(zhuǎn)信息時部署防火墻+光盤擺渡+單向網(wǎng)關(guān)。通過專用安防設(shè)備實現(xiàn)信息自動流轉(zhuǎn)，配合強制安全控制機制，實現(xiàn)流轉(zhuǎn)前病毒查殺、端口控制、審批審計，確保信息安全、受控流轉(zhuǎn)。該跨網(wǎng)信息流轉(zhuǎn)單向?qū)雽?dǎo)出系統(tǒng)既能滿足大數(shù)據(jù)量、高實時性的信息流轉(zhuǎn)需求，也能兼顧網(wǎng)絡(luò)安全。

3 系統(tǒng)架構(gòu)

在B 網(wǎng)與A 網(wǎng)之間建立跨網(wǎng)信息流轉(zhuǎn)單向?qū)胂到y(tǒng)，考慮到極端情況下B 網(wǎng)與A 網(wǎng)距離很遠，跨區(qū)、跨市、甚至跨省，需要租賃運營商廣域網(wǎng)專線來進行連接，B 網(wǎng)信息經(jīng)過長距離運營商廣域網(wǎng)專線，傳輸過程中不保證會出現(xiàn) “入侵”問題，B 網(wǎng)信息進A網(wǎng)前通過防火墻進行第一輪的訪問控制，過濾掉非法地址、地址組、地址池；訪問控制精度到應(yīng)用功能，應(yīng)用識別與入侵檢測、防病毒相結(jié)合；第一時間獲取最新威脅信息，準確檢測并防御針對漏洞的攻擊。通過信息安全后進入單向網(wǎng)閘進行數(shù)據(jù)完整性檢查、關(guān)鍵字過濾、文件類型檢查、文件大小過濾等強制處理后再由單向網(wǎng)閘利用內(nèi)部單向機制進行信息流轉(zhuǎn)（物理隔離傳輸方式，沒有任何物理連接或信息傳遞），具有實時性好，高速快捷的傳輸性能，適用于所有類型信息傳送。單向網(wǎng)閘通過內(nèi)部的發(fā)送端、接收端兩套獨立的信息處理系統(tǒng)實現(xiàn)網(wǎng)絡(luò)協(xié)議剝離，內(nèi)部發(fā)送端與接收端服務(wù)器通過私有協(xié)議傳輸。做到信息強制單向傳輸?shù)絾蜗蚓W(wǎng)關(guān)指定目錄，另一個單向網(wǎng)關(guān)網(wǎng)卡接入A 網(wǎng)，A 網(wǎng)可以讀取到單向網(wǎng)關(guān)指定目錄流轉(zhuǎn)到的B 網(wǎng)信息。

在A 網(wǎng)與B 網(wǎng)之間建立跨網(wǎng)信息流轉(zhuǎn)單向?qū)С鱿到y(tǒng)，A 網(wǎng)作為高等級網(wǎng)絡(luò)的業(yè)務(wù)信息更敏感、安全性更高，因此往B 網(wǎng)流轉(zhuǎn)的信息首先由人工審查、審批后再通過防火墻進行訪問控制和信息安全處理后進入光盤擺渡進行病毒查殺、關(guān)鍵字過濾、文件類型檢查、文件大小過濾等強制處理后再由光盤擺渡采用機械臂模擬手工操作光盤，實現(xiàn)外部網(wǎng)絡(luò)和內(nèi)網(wǎng)在物理隔離的情況下，數(shù)據(jù)自動單向傳輸。光盤擺渡屬于完全物理隔離傳輸方式，沒有任何物理連接或信息傳遞。光盤擺渡設(shè)備支持CDDVDBD 等多種光盤介質(zhì)，再將信息發(fā)送到單向網(wǎng)關(guān)指定目錄，另一個網(wǎng)卡接入B 網(wǎng)，B 網(wǎng)讀取到單向網(wǎng)關(guān)定目錄流轉(zhuǎn)的A 網(wǎng)信息。通過光盤擺渡高級物理隔離，異構(gòu)隔離做到信息由高向低的安全流轉(zhuǎn)。

系統(tǒng)架構(gòu)如圖1所示。

圖1：系統(tǒng)架構(gòu)圖

4 系統(tǒng)功能

防火墻可防護各種針對Web 的攻擊，包括SQL 注入攻擊和跨站腳本攻擊等；主動響應(yīng)惡意掃描行為，快速發(fā)現(xiàn)，記錄惡意行為，實現(xiàn)對企業(yè)威脅的實時防護；對傳輸?shù)奈募蛢?nèi)容進行識別過濾，可準確識別常見文件的真實類型，如Word、Excel、PPT、PDF等，并對內(nèi)容進行過濾；可基于用戶對訪問內(nèi)容進行審計、溯源；支持豐富高可靠性的VPN 特性，如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE 等；提供自研的VPN 客戶端SecoClient，實現(xiàn)SSL VPN、L2TP VPN 和L2TP over IPSec VPN 用戶遠程接入，支持DES、3DES、AES、SHA、SM2/SM3/SM4 等多種加密算法。檢測并防御隱藏在SSL 加密流量中的威脅，包括入侵防御、反病毒、內(nèi)容過濾、URL 過濾等應(yīng)用層防護。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS 等服務(wù)。Finger 顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell 類型等。但是Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS 信息，這樣一臺主機的域名和IP 地址就不會被外界所了解。除了安全作用，防火墻還支持具有Internet 服務(wù)性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。進出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過防火墻，防火墻通過日志對其進行記錄，能提供網(wǎng)絡(luò)使用的詳細統(tǒng)計信息。當(dāng)發(fā)生可疑事件時，防火墻更能根據(jù)機制進行報警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。

單向網(wǎng)閘指定需要文件傳輸?shù)腂文件夾以及A 文件夾，設(shè)備就會實時同步增量文件。支持大量小文件及大文件的傳輸，支持重名策略，支持多級目錄嵌套，支持不依賴于文件擴展名的文件格式檢查；單向網(wǎng)閘提供精確檢查確認文件是否正確傳輸?shù)侥康亩斯δ?，并且能幫助用戶方便快捷確定丟失的文件以及重傳未成功的文件；單向網(wǎng)閘向數(shù)據(jù)庫同步提供ORACLE、SYBASE、MS SQLSERVER 等常見數(shù)據(jù)庫的單向同步功能。支持同種數(shù)據(jù)庫或異種數(shù)據(jù)庫之間的同步、支持精度到字段級同步以及特殊的條件同步；提供穩(wěn)定且高效的郵件單向?qū)牒袜]件過濾功能。單向網(wǎng)閘提供郵件單向?qū)牍δ芴峁┼]件從B 網(wǎng)到A 網(wǎng)的郵件單向傳輸功能。高效的郵件傳輸能夠支撐大部分應(yīng)用環(huán)境日常應(yīng)用的需求.另外單向郵件傳輸模塊會對每封郵件的相關(guān)信息進行記錄,最大限度的保證了單向郵件導(dǎo)入功能的可靠性，同時單向網(wǎng)閘提供郵件過濾功能包括郵件地址過濾,郵件域名過濾,郵件內(nèi)容過濾,郵件附件過濾和ip 地址端口過濾可以最大限度保證有害信息和敏感信息無法導(dǎo)入A網(wǎng)應(yīng)用系統(tǒng)；這樣通過防火墻邏輯隔離、單向網(wǎng)閘物理隔離，兩次異構(gòu)隔離做到信息由低向高的安全流轉(zhuǎn)。在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，安全數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機制來實現(xiàn)的。雖然仍是通過應(yīng)用層數(shù)據(jù)提取與安全審查達到杜絕基于協(xié)議層的攻擊和增強應(yīng)用層安全效果的，但卻提供了比第一代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達到第一代網(wǎng)閘的幾十倍之多。而私有通信協(xié)議和加密簽名機制保證了內(nèi)外處理單元之間數(shù)據(jù)交換的機密性、完整性和可信性，從而在保證安全性的同時，提供更好的處理性能，能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對隔離應(yīng)用的需求。

光盤擺渡各種類型文件自動擺渡，包括文件、圖像、視頻等不同類型文件的自動擺渡，支持主流商用數(shù)據(jù)庫和國產(chǎn)數(shù)據(jù)庫的單向擺渡，支持同構(gòu)或異構(gòu)數(shù)據(jù)庫之間的單向擺渡。外部專網(wǎng)可指定某臺計算機共享數(shù)據(jù)擺渡目錄，將產(chǎn)生的數(shù)據(jù)存入該目錄，單向光閘實時監(jiān)控該目錄，發(fā)現(xiàn)有新增文件，即時將文件增量（或全量）擺渡至隔離緩沖區(qū)，調(diào)度網(wǎng)關(guān)收到文件自動判別文件類型，將數(shù)據(jù)量小的文件產(chǎn)生的文件發(fā)送給影像擺渡設(shè)備，實時擺渡至內(nèi)網(wǎng)端的數(shù)據(jù)交換網(wǎng)關(guān)；將數(shù)據(jù)量大的文件發(fā)送給光盤擺渡設(shè)備，定時進行文件自動擺渡。內(nèi)網(wǎng)端的數(shù)據(jù)交換網(wǎng)關(guān)收到文件后，存入預(yù)設(shè)的文件目錄內(nèi)，實現(xiàn)一次完整的數(shù)據(jù)擺渡?？蓪τ脩羯矸葸M行認證，只有合法用戶才可進入系統(tǒng)，進行數(shù)據(jù)擺渡。光盤擺渡能夠通過IP 地址、MAC 地址進行檢查，只有IP 地址、MAC 地址都匹配的數(shù)據(jù)包才能夠通過，以此來限制發(fā)送方和接收方終端違規(guī)傳輸數(shù)據(jù)。光盤擺渡當(dāng)實時性不強的大數(shù)據(jù)量文件從外網(wǎng)導(dǎo)入內(nèi)網(wǎng)時，必須通過審批或?qū)徲嫴趴蛇M行擺渡，支持自定義審批流程設(shè)置，用戶可根據(jù)實際需求設(shè)置審批流程，確保導(dǎo)入內(nèi)網(wǎng)的數(shù)據(jù)可控可查。光盤擺渡能夠根據(jù)擺渡的數(shù)據(jù)類型、大小，設(shè)置不同擺渡任務(wù)，分別調(diào)用不同擺渡設(shè)備，實現(xiàn)不同類型的數(shù)據(jù)分別由不同設(shè)備擺渡至內(nèi)網(wǎng)。后續(xù)擺渡數(shù)據(jù)量增加，追加擺渡設(shè)備后，還可進行設(shè)備空閑狀態(tài)自動檢查，提高系統(tǒng)的使用效率。光盤擺渡日志審計內(nèi)容包括任務(wù)日志與管理日志，任務(wù)日志記錄擺渡任務(wù)執(zhí)行情況；管理日志記錄管理員操作、系統(tǒng)狀態(tài)等內(nèi)容。任務(wù)日志內(nèi)容包括任務(wù)時間、任務(wù)類型、任務(wù)用戶等內(nèi)容，同時也支持基于任務(wù)時間、任務(wù)類型、任務(wù)用戶等條件進行日志檢索。管理日志包括系統(tǒng)日志、調(diào)試日志等，記錄系統(tǒng)交互時的系統(tǒng)消息、系統(tǒng)運行情況，管理人員根據(jù)調(diào)試日志能夠快速定位系統(tǒng)故障，并能夠?qū)ο到y(tǒng)運行是否正常做出判斷。

單向網(wǎng)關(guān)感知網(wǎng)絡(luò)接入的能力，網(wǎng)關(guān)首先是具有對各節(jié)點屬性、狀態(tài)等信息的獲取功能，即可以感知各節(jié)點的實時狀態(tài)。其次是具有對節(jié)點的遠程控制、喚醒、診斷和數(shù)據(jù)傳輸?shù)裙δ?，即實現(xiàn)節(jié)點的自動化管理；異構(gòu)網(wǎng)絡(luò)互通的能力，因為家庭內(nèi)網(wǎng)和互聯(lián)網(wǎng)外網(wǎng)的IP 是不一樣的，是無法通訊的，這樣網(wǎng)關(guān)接入必然存在跨域通信的要求，因此需要完善的尋址技術(shù)，以確保所有節(jié)點的信息都能被準確、高效、安全地進行定位和查詢；隨著物聯(lián)網(wǎng)應(yīng)用的發(fā)展，節(jié)點地址的數(shù)量會逐漸增大，且其編碼結(jié)構(gòu)與DNS 中的域名結(jié)構(gòu)不同，因此需要有一套與互聯(lián)網(wǎng)不同的尋址技術(shù)以滿足需求；通訊與數(shù)據(jù)格式標準化，網(wǎng)關(guān)必須實現(xiàn)傳感網(wǎng)絡(luò)到傳統(tǒng)通信網(wǎng)絡(luò)的協(xié)議轉(zhuǎn)換，將協(xié)議適配層上傳輸?shù)臉藴矢袷綌?shù)據(jù)進行統(tǒng)一封裝，將廣域接入層下發(fā)的數(shù)據(jù)解包成標準格式數(shù)據(jù)，實現(xiàn)命令的解析，之后轉(zhuǎn)換為感知層協(xié)議可以識別的信號和控制指令。

通過設(shè)計，將四類類設(shè)備功能有機地組合在一起實現(xiàn)跨網(wǎng)信息有效流轉(zhuǎn)及網(wǎng)絡(luò)安全。通過防火墻+單向網(wǎng)閘+單向網(wǎng)關(guān)串聯(lián)方式構(gòu)建異構(gòu)隔離通道，通過三種技術(shù)原理不同的異構(gòu)隔離設(shè)備，實現(xiàn)數(shù)據(jù)單向?qū)?，具備較強的防攻擊能力，能夠更加有效的防止外部威脅侵入。防火墻+光盤擺渡+單向網(wǎng)關(guān)串聯(lián)方式構(gòu)建異構(gòu)隔離通道，通過三種技術(shù)原理不同的異構(gòu)隔離設(shè)備，實現(xiàn)數(shù)據(jù)單向?qū)С?，具備較強的防攻擊能力，能夠更加有效的防止外部威脅侵入。其中，單向網(wǎng)閘是數(shù)據(jù)單向擺渡，且傳輸時進行了網(wǎng)絡(luò)協(xié)議剝離，光盤擺渡設(shè)備是目前安全級別最高的完全物理隔離設(shè)備，二者技術(shù)原理、實現(xiàn)方式、傳輸介質(zhì)截然不同，增強了系統(tǒng)的防攻擊能力，提高系統(tǒng)的安全防范級別。

5 結(jié)束語