劉立平

鐵道黨校信息管理處 北京 100088

1 跨網(wǎng)數(shù)據(jù)傳輸技術(shù)現(xiàn)狀與趨勢

隨著信息化建設(shè)的不斷深入和大數(shù)據(jù)、云計算的不斷發(fā)展，信息交互、數(shù)據(jù)融合的需求日益提高，如何連通各個信息孤島，使得孤立的數(shù)據(jù)能夠通過融合挖掘發(fā)揮更大的價值，是當(dāng)前企業(yè)信息化建設(shè)必須要考慮的問題。然而從安全角度來看，在提高信息融合程度的同時，有必要通過技術(shù)、管理等手段消除安全隱患，避免敏感信息外泄。

很多信息網(wǎng)絡(luò)在設(shè)計之初是“刻意要求”與外部隔離的，這在早期的網(wǎng)絡(luò)建設(shè)中是合理也是必要的，其原因主要包括：

2.1 在需求層面

早期的網(wǎng)絡(luò)應(yīng)用大多為局域網(wǎng)應(yīng)用，是對離線辦公的補(bǔ)充，網(wǎng)絡(luò)應(yīng)用功能固定、內(nèi)外網(wǎng)數(shù)據(jù)交互的數(shù)據(jù)量小、交互頻次低、時效性要求不高，“物理隔離加光盤刻錄”方式能夠滿足當(dāng)時業(yè)務(wù)需求，并且該方式不需要過多的成本投入，系統(tǒng)運(yùn)維簡單。

2.2 在安全層面

早期的攻擊方法大多基于網(wǎng)絡(luò)連接進(jìn)行，網(wǎng)絡(luò)攻擊尚未出現(xiàn)體系化、組織化、武器化趨勢，在應(yīng)對傳統(tǒng)威脅時，物理隔離確實(shí)能夠大幅降低安全風(fēng)險。

2.3 在技術(shù)能力層面

早期跨網(wǎng)跨域安全技術(shù)研究較少，缺少相應(yīng)的技術(shù)手段也是重要原因。

2.4 更深一層的考量

一些高安全級別的單位，網(wǎng)絡(luò)連通關(guān)系與業(yè)務(wù)指導(dǎo)關(guān)系、單位隸屬關(guān)系緊密相關(guān)，因此不同網(wǎng)絡(luò)間是否允許連通、連通關(guān)系如何設(shè)置要從多個維度進(jìn)行考量。

當(dāng)前網(wǎng)絡(luò)信息融合已經(jīng)成為提升企業(yè)效率、提升數(shù)據(jù)價值的重要手段，企業(yè)內(nèi)部不同網(wǎng)絡(luò)之間、企業(yè)與外部網(wǎng)絡(luò)、企業(yè)與互聯(lián)網(wǎng)之間的網(wǎng)絡(luò)互通、數(shù)據(jù)交換、業(yè)務(wù)協(xié)同的需求日益迫切，尤其是移動網(wǎng)絡(luò)的發(fā)展，使移動業(yè)務(wù)處理成為趨勢，跨網(wǎng)信息融合已經(jīng)成為當(dāng)前網(wǎng)絡(luò)信息體系建設(shè)的重難點(diǎn)問題[1]。同時由于對跨網(wǎng)傳輸?shù)陌踩举|(zhì)問題研究較少，安全保密效能評估技術(shù)和法規(guī)相對滯后，各類場景下跨網(wǎng)交換系統(tǒng)的安全效能評估尚缺少被普遍認(rèn)可的技術(shù)手段，跨網(wǎng)安全保密體系建設(shè)仍然缺乏統(tǒng)一的技術(shù)框架和技術(shù)指導(dǎo)，很多領(lǐng)域仍采取“一事一議”的專家審核模式，“物理隔離加光盤刻錄”方式依然作為跨網(wǎng)數(shù)據(jù)傳輸?shù)谋５资侄巍?/p>

當(dāng)前網(wǎng)絡(luò)環(huán)境正在發(fā)生著深刻變化，網(wǎng)絡(luò)環(huán)境正在由靜態(tài)、具體、封閉向動態(tài)、多變、開放轉(zhuǎn)變，從安全保密系統(tǒng)建設(shè)實(shí)踐來看，“物理隔離加光盤刻錄”方式只能遲滯攻擊的發(fā)生時間，難以杜絕外部網(wǎng)絡(luò)威脅向內(nèi)網(wǎng)蔓延，加之企業(yè)業(yè)務(wù)對網(wǎng)絡(luò)依賴日益增強(qiáng)，對跨網(wǎng)信息交換類型、頻次、時效性都提出了新的要求，因此深入研究跨網(wǎng)安全本質(zhì)，面向典型環(huán)境提出跨網(wǎng)傳輸安全要求、提供針對性的解決方案，并進(jìn)行深入的效能評估是十分必要的。

2 跨網(wǎng)數(shù)據(jù)傳輸?shù)陌踩L(fēng)險分析

本文中，“跨網(wǎng)跨域傳輸”是對“跨物理網(wǎng)絡(luò)、跨安全區(qū)域”數(shù)據(jù)傳輸?shù)慕y(tǒng)稱?！翱缥锢砭W(wǎng)絡(luò)”是從物理連接上看網(wǎng)絡(luò)關(guān)系，要傳輸數(shù)據(jù)的兩個網(wǎng)絡(luò)物理隔離；“跨安全區(qū)域”是從邏輯上看網(wǎng)絡(luò)關(guān)系，具體建設(shè)時一般把具有相同安全等級、人員權(quán)限相當(dāng)、業(yè)務(wù)緊密聯(lián)系的網(wǎng)絡(luò)劃入同一個安全域，密級是劃分安全域的最重要依據(jù)，但不是唯一依據(jù)。在實(shí)際建設(shè)中，一個安全域絕大多數(shù)時候處于同一個物理網(wǎng)絡(luò)，但同一個物理網(wǎng)絡(luò)、甚至同一個業(yè)務(wù)系統(tǒng)，可以按需劃分不同的安全域，比如對于大型業(yè)務(wù)系統(tǒng)，將總部節(jié)點(diǎn)劃分為高密級，區(qū)域節(jié)點(diǎn)劃分為低密級。

跨網(wǎng)跨域數(shù)據(jù)傳輸?shù)幕拘问饺鐖D1所示，

圖1 跨網(wǎng)跨域數(shù)據(jù)傳輸?shù)幕拘问?/p>

結(jié)合上圖對跨網(wǎng)數(shù)據(jù)傳輸存在的安全風(fēng)險進(jìn)行簡要分析，主要包括以下幾個方面。

一是跨網(wǎng)傳輸打破了原有的物理邊界，控制不當(dāng)容易導(dǎo)致威脅的交叉擴(kuò)散，將外部風(fēng)險引入內(nèi)網(wǎng)。不同網(wǎng)絡(luò)、不同安全域防御的側(cè)重點(diǎn)不同，各自封閉運(yùn)行時沒有問題，但一旦連通就很可能引入威脅，即使同樣技術(shù)體制的網(wǎng)絡(luò)，在非受控的情況下連通也會導(dǎo)致受攻擊面擴(kuò)大，一旦發(fā)生威脅難以有效隔離處置，甚至形成“火燒赤壁”的后果。

二是跨網(wǎng)傳輸控制不當(dāng)，容易被內(nèi)外部的攻擊者利用，造成信息泄密，尤其是高密級信息跨網(wǎng)泄露給低密級用戶，沒有跨網(wǎng)前，內(nèi)部人員要帶走一個涉密文檔需要審批打印并經(jīng)過層層檢查，如果允許跨網(wǎng)但控制不到位，他可以在高密級的辦公網(wǎng)上將文檔進(jìn)行編碼偽裝，發(fā)送到某一個低密級節(jié)點(diǎn)（如單位邊界的攝像頭）上，由外部人員帶走后解碼。

三是跨網(wǎng)交互通常會實(shí)現(xiàn)數(shù)據(jù)的匯聚融合，使得數(shù)據(jù)所有權(quán)、治理權(quán)發(fā)生變更，從而改變原有業(yè)務(wù)的責(zé)、權(quán)、利布局。實(shí)際建設(shè)中，很多用戶擔(dān)心一旦數(shù)據(jù)融合，自己將失去數(shù)據(jù)的所有權(quán)，因此實(shí)際系統(tǒng)設(shè)計時，還應(yīng)充分考慮數(shù)據(jù)的權(quán)屬問題，盡量通過技術(shù)手段提高數(shù)據(jù)提供者對數(shù)據(jù)傳輸途徑、擴(kuò)散范圍的控制。

3 跨網(wǎng)數(shù)據(jù)傳輸安全的技術(shù)思路

基于底線思維和主動防御相結(jié)合的理念，從信息安全的五個基本屬性“機(jī)密性、完整性、不可抵賴性、可用性、可控性”入手，結(jié)合跨網(wǎng)具體風(fēng)險，跨網(wǎng)安全系統(tǒng)建設(shè)可遵循“來源可證、流向可控、內(nèi)容可判、行為可查、內(nèi)外兼防”的思路進(jìn)行設(shè)計規(guī)劃和建設(shè)運(yùn)維。

來源可證：應(yīng)通過簽名、消息驗(yàn)證碼等技術(shù)手段確認(rèn)數(shù)據(jù)發(fā)送主體，從而固化主體責(zé)任，鑒別方式可考慮多因子認(rèn)證方式，鑒別的因素可以包括跨網(wǎng)傳輸?shù)娜藛T、使用的設(shè)備、運(yùn)行的應(yīng)用等。

流向可控：應(yīng)允許數(shù)據(jù)提供者對數(shù)據(jù)傳輸路徑和擴(kuò)散范圍進(jìn)行控制，通過加密手段確保只有合法的接收者能夠查看明文數(shù)據(jù)內(nèi)容。

內(nèi)容可判：跨網(wǎng)傳輸數(shù)據(jù)的協(xié)議、內(nèi)容事先經(jīng)過審批，內(nèi)容明確，在現(xiàn)有技術(shù)條件下，便于通過機(jī)器進(jìn)行檢查過濾；

行為可查：跨網(wǎng)系統(tǒng)應(yīng)提供詳細(xì)的行為審計服務(wù)，對各種跨網(wǎng)傳輸操作進(jìn)行細(xì)粒度審計，從而震懾惡意攻擊者，并有利于在出現(xiàn)問題時及早發(fā)現(xiàn)。

內(nèi)外兼防：防止跨網(wǎng)系統(tǒng)的管理者和運(yùn)維人員私自開通跨網(wǎng)策略、篡改數(shù)據(jù)內(nèi)容，只信任信息的提供者，不信任任何中間節(jié)點(diǎn)。

4 跨網(wǎng)數(shù)據(jù)傳輸?shù)闹饕夹g(shù)手段

4.1 數(shù)據(jù)來源鑒別

數(shù)據(jù)來源鑒別，就是確認(rèn)發(fā)送者的身份，只有指定的實(shí)體才允許跨網(wǎng)發(fā)送數(shù)據(jù)。數(shù)據(jù)來源標(biāo)識實(shí)際上限定了跨網(wǎng)數(shù)據(jù)的發(fā)送主體，一旦發(fā)現(xiàn)非法的跨網(wǎng)數(shù)據(jù)可以精確溯源和追責(zé)，從而震懾內(nèi)網(wǎng)惡意攻擊者。

初級的數(shù)據(jù)來源鑒別，可以通過發(fā)送主機(jī)的網(wǎng)絡(luò)地址標(biāo)識數(shù)據(jù)來源，通過防火墻等安全設(shè)備進(jìn)行檢查。但是該種方式很難應(yīng)對專業(yè)的網(wǎng)絡(luò)攻擊者。對于一些高安全系統(tǒng)，數(shù)據(jù)來源鑒別一般應(yīng)通過密碼技術(shù)實(shí)現(xiàn)，例如基于非對稱密碼體制，由數(shù)據(jù)的發(fā)送者對跨網(wǎng)的數(shù)據(jù)報文進(jìn)行簽名；也可以采取對稱密碼體制，通過消息鑒別碼（MAC）對數(shù)據(jù)的來源進(jìn)行標(biāo)識，并在跨網(wǎng)節(jié)點(diǎn)進(jìn)行檢查。

數(shù)據(jù)來源除了包括發(fā)送者身份，還可以包括其他要素，例如對于高安全等級的信息系統(tǒng)，數(shù)據(jù)的來源可以通過信源主機(jī)指紋、終端應(yīng)用標(biāo)識、發(fā)送者身份標(biāo)識進(jìn)行聯(lián)合標(biāo)識，也就是說只要指定人員、在指定主機(jī)上、通過指定應(yīng)用發(fā)送的數(shù)據(jù)，才允許跨網(wǎng)傳輸。

4.2 數(shù)據(jù)流向控制

數(shù)據(jù)流向控制就是對數(shù)據(jù)報文出網(wǎng)、入網(wǎng)的流向進(jìn)行控制，一般通過數(shù)據(jù)流向控制，可以有效阻斷攻擊回路，降低外部攻擊者控制內(nèi)網(wǎng)主機(jī)的風(fēng)險。對于一些高等級網(wǎng)絡(luò)，防止泄密是其最核心訴求，控制數(shù)據(jù)只進(jìn)不出可以保證整個網(wǎng)絡(luò)的機(jī)密性，即任何情況下不會泄密，通常這是安全建設(shè)者最看重的。（注：控制數(shù)據(jù)只出不進(jìn)則可以保證網(wǎng)絡(luò)的可用性，即任何情況下不會因外部攻擊導(dǎo)致網(wǎng)絡(luò)不可用，也存在一些有價值的場景）

簡單的流向控制方式可以通過防火墻策略實(shí)現(xiàn)[2]，對出網(wǎng)、入網(wǎng)的報文策略進(jìn)行細(xì)粒度控制，一般情況下應(yīng)盡量將數(shù)據(jù)發(fā)送端、接收端設(shè)置為不同主機(jī)，降低形成攻擊回路的風(fēng)險。對于高安全業(yè)務(wù)網(wǎng)絡(luò)，可以采用專門的跨網(wǎng)設(shè)備，例如光盤擺渡機(jī)、單向光閘等設(shè)備，基于傳輸介質(zhì)的物理特性，確保數(shù)據(jù)傳輸?shù)膰?yán)格單向。

4.3 數(shù)據(jù)內(nèi)容檢查

現(xiàn)有技術(shù)條件下，數(shù)據(jù)內(nèi)容檢查主要是對跨網(wǎng)傳輸數(shù)據(jù)的協(xié)議、格式進(jìn)行合規(guī)性檢查，隨著技術(shù)發(fā)展，對敏感關(guān)鍵字、語義的檢查能力也有望逐步提供。數(shù)據(jù)內(nèi)容檢查的目的，是防止攻擊者在跨網(wǎng)報文中夾帶非法數(shù)據(jù)。

初級的數(shù)據(jù)內(nèi)容檢查可以通過通用的數(shù)據(jù)庫防火墻、Web防火墻實(shí)現(xiàn)，通過該類設(shè)備對發(fā)送報文進(jìn)行解析，對協(xié)議格式、關(guān)鍵字等內(nèi)容進(jìn)行匹配和過濾。對于高安全系統(tǒng)，可定制跨網(wǎng)傳輸代理，根據(jù)業(yè)務(wù)報文的具體特征，對跨網(wǎng)傳輸?shù)膱笪倪M(jìn)行深度的內(nèi)容檢查。

4.4 跨網(wǎng)行為審計

跨網(wǎng)行為審計，既要對跨網(wǎng)傳輸行為進(jìn)行記錄，還要對跨網(wǎng)傳輸?shù)男袨樘卣鬟M(jìn)行判斷，對異常行為及時報警。跨網(wǎng)行為是對一次跨網(wǎng)傳輸事件的完整記錄，包括跨網(wǎng)數(shù)據(jù)的來源、流向、內(nèi)容、傳輸時間、傳輸結(jié)果等信息。通?？梢越Y(jié)合具體業(yè)務(wù)對跨網(wǎng)行為的合法性進(jìn)行判斷，例如有些業(yè)務(wù)僅應(yīng)在工作時間進(jìn)行跨網(wǎng)傳輸、有些業(yè)務(wù)每天僅能跨網(wǎng)傳輸一次、有些跨網(wǎng)行為僅能由指定的主機(jī)發(fā)起等?？缇W(wǎng)行為審計既可以通過傳統(tǒng)的行為審計系統(tǒng)實(shí)現(xiàn)，也可以基于業(yè)務(wù)特點(diǎn)，定制專用的審計設(shè)備，實(shí)現(xiàn)更加細(xì)粒度的行為審計。

4.5 內(nèi)部攻擊防御

防止內(nèi)部人員攻擊通常是網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，一旦網(wǎng)絡(luò)安全管理員因操作不當(dāng)開通跨網(wǎng)權(quán)限、對已過期的跨網(wǎng)權(quán)限未收回、甚至故意開通跨網(wǎng)策略，將對業(yè)務(wù)系統(tǒng)帶來極大風(fēng)險。

密碼技術(shù)是解決內(nèi)部攻擊的有效手段，一種比較有效的方式是將數(shù)據(jù)來源鑒別、流向控制、內(nèi)容檢查等功能通過專用的設(shè)備實(shí)現(xiàn)，對設(shè)備中關(guān)鍵參數(shù)、基礎(chǔ)規(guī)則的配置必須基于硬件介質(zhì)（如USBKey），或者采用多因素機(jī)制進(jìn)行嚴(yán)格控制。

5 結(jié)束語

在《中華人民共和國數(shù)據(jù)安全法（草案）》中明確，國家鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展，增進(jìn)人民福祉[3]?？缇W(wǎng)信息融合是信息技術(shù)發(fā)展的必然趨勢，本文給出了對跨網(wǎng)數(shù)據(jù)傳輸安全的一些思考，并給出了部分技術(shù)解決思路，相信隨著技術(shù)的日益發(fā)展，會有更多新的技術(shù)手段被引入，使得多源信息日益融合、發(fā)揮更大的信息價值。