王奇

【摘要】 为了对企业最具价值的数据进行安全防护，参照通用数据安全保护框架，在敏感数据访问的关键路径上增加统一安全能力，增强多种数据安全防护机制，开发了对外统一边界系统。该系统由外网统一门户、数据摆渡中心、内网数据服务中心三大子系统组成。并以某运营商为例，实现企业内外网数据安全传递的一种平台。对外统一安全边界系统有效避免了在数据交互过程中所存在的部分安全风险，适用于运营商企业的业务数据隔离环境，同时在政府非涉密网之间的数据传递应用场景下具有推广价值。

【关键词】 安全边界 内网 外网 数据摆渡 安全岛

网络和信息安全事件频发，信息安全形势复杂严峻。对于运营商来说，移动互联网时代来临、4G商用、RCS等新业务登场、智能终端普及，复杂而严峻的安全形势提出了新的挑战与要求。因此需要对信息安全技术体系进行优化，提升网络空间安全保障能力。

目前随着技术的进步，全IP化网络和移动互联网的推广造成业务系统间的数据交互复杂度和数据量不断增加，业务系统运维和使用的群体趋于多样化，而传统的管理体系和技术手段将面临越来越严峻的安全压力。传统的业务申请、审批以及安全传输基于VPN技术进行交互，这种传统的VPN方式在服务器管理、帐号权限管理等方面存在安全隐患，服务器易受攻击劫持，导致对内网业务系统的攻击和破坏；权限控制过于粗大，导致越权行为的发生；繁重且复杂的数据交互将给业务系统带来大量的安全监管和审计工作，造成审计结果的可信度低，导致整个数据交互过程中存在重大的安全隐患。为了对企业最具价值的数据进行安全防护，参照通用数据安全保护框架，在用户对企业敏感数据访问的关键路径上增加统一安全能力，增强多种数据安全防护机制。需要建设一套统一身份认证、数据隔离交换、统一数据模型转换的系统。通过该系统，建立起内外网数据安全交互通道，解决企业内外网环境之间数据交互的安全保护。该系统具有统一管理的安全门户和安全通道；细粒度用户授权、安全监控与审计；定制的业务模式、交互方式和数据模板。

一、系统需求分析

通过调研某运营商的实际情况和需要，根据信息安全管理工作的内容，在综合分析业务数据保护场景的基础上，归纳出对外统一安全边界系统的需求。

该系统的总体设计目标是，建立安全边界，统一进行数据的交互，实现信息安全管理体系中安全边界防护功能的系统。实现企业内外网数据安全传递的一种平台。使企业外部用户在对外统一安全边界系统上提交数据，再由对外统一安全边界系统将数据提交到内网业务系统中，从而使外部用户不用通过VPN连接到内网业务系统提交数据。解决了企业给外部用户分配VPN账户带来的安全隐患。

二、系统架构

“对外统一安全边界系统”由外网统一门户、数据摆渡中心、内网数据服务中心三大子系统组成。外网统一门户承载企业外网用户的数据采集、提交、呈现功能，是用户进行操作的展示平台。以任务工单形式把来自内网业务系统的待交互的信息呈现给用户。数据摆渡中心承载内外网数据隔离交换功能，采用类似“单刀双掷开关”的操作模式在外网边界和内网边界设置控制单元实现在内外网之间进行数据摆渡。内网控制单元中增加数据的加解密单元对内网数据进行加解密及签名操作。内网数据服务中心承载内网业务系统的数据映射及转换、安全审计、密钥及签名管理、用户数据访问控制、用户鉴别及认证、内网业务系统接口管理等内容。

2.1系统特点

2.1.1三大技术突破

数据获取：数据获取方式采用两种途径获取内网业务系统中的表单数据：接口模式和抓取模式。接口模式是指设计通用的表单数据接口服务，把表单数据抽象出来形成数据元进行数据的传递。抓取模式是指通过设置表单数据映射关系后，由内网数据服务中心主动去内网业务系统相关的页面进行数据抓取，抓取后的数据进行转换成对外统一安全边界系统的统一的数据格式进行传递，传回的数据再次进行逆转换成内网业务系统的数据格式并提交。

数据转换：数据映射适配转换主要应用在通过抓取模式来获取数据的方式中，内网数据服务中心通过设置内网业务系统的表单数据映射关系，来进行数据的转换，可以很方便的使内网业务系统接入对外统一安全边界系统。

数据控制：数据摆渡中心是实现内外网之间的数据安全传递的一种方法，該方法采用类似“单刀双掷开关”的控制方式进行内外网数据传输控制。数据摆渡中心存在一个安全的数据缓存单元，在内外网之间各有一个控制单元，当外网控制单元连通外网时，内网的控制单元与内网环境断开，数据缓存单元摆渡到外网统一用户门户接收或发送数据；当内网控制单元连通内网数据服务中心时，外网控制单元断开外网环境，数据缓存单元摆渡到内网数据服务中心接收或发送数据，由内网数据服务中心投递到内网各种业务系统上。

该方法是在应用逻辑层上进行了内外网的数据隔离交换，即数据摆渡中心不会同时联通内外网进行数据传递。在一定程度上保证了内外网之间的隔离，又保证了内外网之间的数据连通性，增强了系统的安全性。

2.1.2 系统优势

对比堡垒机：堡垒机传递数据的方式是内外数据连接是同时接通同时切断；对外统一安全边界内外网是单通的，类似“单刀双掷开关”，同一时间只有一方数据是连通的，增强了业务数据传递的安全性。

对比网闸：网闸采用物理隔断方式把数据从一方复制到另一方，在网闸内部采用了一些协议和算法，但是在网闸两端传入的数据和传出数据是一样的，如果攻击者在网闸一端传入攻击指令数据，在网闸另一端也会传出攻击指令数据，进而在内网造成破坏威胁；对外统一安全边界在应用层进行隔离，对传输的数据进行模板数据格式转换，即使传递的数据带有攻击指令等数据，在传递到内网也是当成内容数据限制在业务应用中，没有指令的运行环境，有效防止攻击指令对内网的渗透攻击等行为。

2.2 系统安全设计

系统架构安全：对外统一安全边界系统基于内外网的特殊性环境设计三大子系统，承载不同的业务角色，分别是外网统一门户、数据摆渡中心、内网数据服务中心，数据库部署在内网数据服务中心之后。采用此种设计方式使外网统一门户通过数据摆渡中心，经过内网数据服务中心进行数据转换后访问数据库。非法入侵外网统一门户无法得到真实的数据库地址，攻击难度加大。并且在数据摆渡中心中设计了安全监控中心来对系统的访问进行监控、阻断和告警。当发现攻击行为时，进行及时阻断及告警通知。

数据库访问安全：数据库访问链接进行限制，仅允许来自内网数据服务中心的链接访问。数据库账户采用最小权限原则进行设计。表中关键字段采用加密手段保存密文。

图3 封包解包模型

数据报文安全：传递过程中的数据报文采用AES和RSA双重加密来保护对数据报文。防止数据报文的破解、侦听、篡改，数据报文的封包和解包模型如图3。

接口安全：接口通讯先进行用户身份识别，然后通过密钥管理机制生成RSA密钥对，对数据报文进行加密签名后进行数据传输安全审计。

安全审计：对数据报文进行完整性、防篡改、密钥合法性、用户合法性进行审计，当出现非法原始报文数据时进行短信告警通知等操作。

安全监控：对访问流量进行DPI深度数据包检测和DFI流量行为分析，结合基线分析技术进行智能化安全监控。

访问控制安全：通过身份识别读取用户访问控制策略，控制用户访问数据范围，返回该用户允许访问的数据。

身份认证安全：采用短信和静态密码双重因素进行身份认证，并创建用户认证TOKEN，数据请求过程中实时检测用户认证信息。

2.3 数据摆渡中心设计关键技术

2.3.1 数据安全岛模型

安全岛服务，使之内外网之间出现一个隔离带，通过这个安全岛来管阀数据传输，使安全运营平台的安全系数更上一层楼。安全岛顾名思义，是一个孤立的无损害小岛。这个安全岛类似交通岛。交通灯变为绿灯后，行人先进入路中心的安全岛中等待第二次绿灯亮起后再次通过剩下的道路。而安全岛就是让界面的请求数据停留下来，断掉与外网的通道后再建立与后台服务的通道，将数据传输过去进行处理。如此设计具有以下五点优势：

过滤信息，将一些恶意攻击屏蔽在后台之前；排他处理，因为网络缓慢用户重复提交相同请求，可以在这里进行筛选，提高后台有效运算效率；负载均衡，用户量增多后，引起并发现象时，通过安全岛会按请求时间进行排队等待，使数据具备时效性；隔离带，因为数据到达安全岛后会与请求方断开通道，再与服务端建立通道，发送请求数据，有效的拦截了数据追踪的问题。当数据处理完成后投入到安全岛，即刻断开之间的通道，将后台数据有效的保护起来；二次处理，结果数据到达安全岛后，通知前端界面携带有效证件前来认领数据，有效的降低了数据被拦截的风险。

安全岛的增加，通过过滤、防护、拦截、隔离、排他等手段有效的提高了平台的安全性与防御能力，但是在安全性提高的同时，信息处理的时长相比直接处理要增加一点点，通过优化和硬件设备使这个延时降低到最小。

2.3.2数据安全岛设计

安全岛部署设计流程：

用户在外网发出请求访问。 外网服务器向安全岛发出请求后断开连接，安全岛注册请求。安全岛与数据库处理建立连接，发送指令进行数据处理。数据处理完成后，与安全岛建立连接并回传数据。安全岛通过注册信息调用外网回调地址，发送数据。外网服务器向用户展示数据。

安全岛数据流转设计流程：

界面层发起请求到安全岛。安全岛注册界面端请求信息，断开与界面层的连接。向服务层发起处理请求后断开与服务层的连接。服务层对数据库进行操作后接收数据返回信息并断开连接。服务层与安全岛建立连接并返回处理数据。安全岛通知界面层数据已经处理完毕。界面层接到通知后到安全岛取回数据。将取回的数据展示在界面端。

三、系统测评

依据GB-T20984-2007 信息安全风险评估规范和YD-T1730-2008 電信网和互联网安全风险评估实施指南，对外统一安全边界系统的安全防护有效性进行测评。

测评内容 测评项 部署前 部署后

网络层 端口开放、网络访问控制 2个端口开放 1个端口开放

系统层 系统安全漏洞 5个低风险漏洞 0个漏洞

应用层 应用程序漏洞 0个漏洞 0个漏洞

业务层 认证、授权、访问控制等应用层设计、逻辑验证 1个高风险漏洞、3个中风险漏洞 0个漏洞

表1 安全测评结果分析

上线前，传统的VPN方案中业务系统已有较多的防护机制，但在业务层仍存在安全风险。上线后对外统一安全边界系统有效的降低了各层面的安全风险。因此，对外统一安全边界系统能够有效的保护业务系统的安全，防护机制科学有效。

四、结论

对外统一安全边界系统有效避免了在数据交互过程中所存在的部分安全风险，是现有安全技术与安全机制的有效补充。该系统已具备软件产品化的先决条件，即客户无需软件添加或调整代码和语句即能完成软件安装配置、应用初始化、系统管理、用户全过程使用，并且软件至少能满足80%以上用户的应用需求。对外统一安全边界系统适用于运营商企业的业务数据隔离环境，同时在政府非涉密网之间的数据传递应用场景下具有推广价值。

参 考 文 献

[1]杨波，王云龙，谭琳. 内网安全认证机制的应用实践[J]. 科技致富向导，2012，29：299.

[2]. 提高企业内网安全的10种策略[J]. 计算机与网络，2010，10：42.

[3]李珂. VPN技术浅谈[J]. 河南科技，2014，18：8-9.