面向信息共享和集成应用的网络互联安全保密防护体系设计

2017-05-26范慧莉

网信军民融合 2017年4期

◎葛慧范慧莉谢雪

1.中国航天系统科学与工程研究院，北京，100048

2.北京空间机电研究所信息中心，北京，100094

一、引言

随着计算机技术和网络技术的快速发展，网络攻击手段和攻击技术层出不穷，为有效应对多元化的网络攻击威胁，必须构建安全可靠、运行高效的安全保密防护体系。为推进“三融五跨”社会大协同，落实国家信息化、现代化建设中的各项方针和政策，必须实现不同网络间互联互通、数据资源有效融合和共享应用。然而，在实现网络互联、数据共享的过程中，仍面临诸多挑战：一方面，网络防护水平不高，在防护意识上，网络规划和建设中普遍存在“重建设、轻防护”的淡薄认识，在防护手段上，缺乏全方位、多层次的安全保密防护策略和方法；另一方面，数据共享效果不好，存在共享效率低下、共享资源不完整、共享方式较复杂等问题。因此，需要进一步规划和设计高效的网络间互联互通方案和可靠的安全保密防护体系。

本文提出了一种面向信息共享和集成应用的网络互联安全保密防护体系设计方案。针对各类涉及信息共享和集成应用的信息资源跨网交换需求，依据信息安全分级保护标准和其他相关文件要求，构建中心网络，中心网络由非密交换区和涉密交换区构成，各网络之间的数据交换通过中心网络进行可控交换，从而形成统一规划、统一管控的网络互联安全保密防护体系，使得各隔离网络实现合规数据共享高效、交换安全的目的。通过具体应用事例，验证了本方案的可行性和有效性。本文提出的方案既可应用于纵向金字塔式隔离网络信息汇聚，如各省、市、县三级电子政务网集成一体化建设，服务于政府管理、协同办公等方向，也可应用于横向跨网体系资源共享，如党政军机关、大型机构/中心的共享信息资源，服务于社会综合治理、社会大协同等方向，还可广泛应用于空间网络系统、军用/民用工业制造产业、智慧城市、智慧国防等方面建设。从而支撑相关业务发展，实现基础统筹、产业融合、科技创新、教育资源统筹、社会服务统筹、应急安全统筹、海洋开发统筹和海外维权统筹等。

二、网络构建方式设计

（一）需求分析

1.业务需求

当前应用系统和数据分布在不同网络，亟需实现不同网络之间互联互通、信息资源高效交换以及交换过程安全监管。如果在这些众多网络间采用点对点直接数据交换方式，则会导致交换复杂度大幅增加，且无法进行统一规划、统一管控，因此需要采用“中心集成、分网互联”的设计模式。网络互联安全保密防护体系主要包括非密网络互联安全防护和涉密网络互联安全防护。

2.交换需求

网络互联安全保密防护体系需提供异构网络或安全域间高效传输的解决方案，通过软硬件协同控制，保障数据的安全交换与共享。本文提出的方案应实现包括电子政务外网、城市数字视频云、高校/研究所网络、医院/医疗机构网络、社区网络、公检法机关网络、党政机关内网、军网、军工单位网络等诸多网络在内的网络间数据交互，需提供数据的自动采集和分发功能；应支持异构数据库数据交换、文件交换、字节流交换等多种数据类型；应可根据信息交换与共享的需要，对共享的信息资源进行统一规划、建立信息共享资源目录、配置交换规则、配置适配器及交换过程监管，实现信息交换与共享全过程的操作、管理和监控。

3.安全需求

为解决不同网络间互联互通和信息资源交换过程中的安全问题，实现网络间安全、高效、稳定的信息资源交换，网络互联安全保密防护体系需具备必要的访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护、身份认证与授权等安全能力。

（二）设计目标

1.高效的信息共享

打通各个网络之间的数据信息资源传输通道，构建高效的信息资源交换与共享机制，实现“一数多源、一源多用、内容全面、业务广泛、高效可用”的社会大协同。

2.整体的安全防护

通过安全防护策略的设计，从全局角度实现不同网络间互联互通、信息资源共享的安全保密防护体系建设，覆盖全部安全需求；同时通过对本文提出方案的安全风险细化分析，明确具体的安全威胁，并采用针对性的安全措施，使其具备必要的安全检测与防护、安全数据交换、综合安全审计等安全能力。

（三）网络架构

面向各类非密和涉密网络，本方案采用“中心集成、分网互联”的建设模式来实现不同网络间互联互通的安全保密防护，网络架构如图1所示。

为满足网络互联安全保密防护体系的三大需求，本方案通过构建中心网络实现不同网络间的数据中转和信息资源交换，中心网络由非密交换区和涉密交换区构成。非密交换区承担着与包括电子政务外网、城市数字视频云平台网络、公检法机关非密网络、高校/研究所网络、医院/医疗机构网络、社区网络、大型企业/机构/中心网络等在内的非密网络间的信息资源交换职能；涉密交换区承担着与包括党政机关内网、军网、公检法机关涉密网络、其他军用和军工涉密网络等在内的涉密网络间的信息资源交换职能。非密交换区和涉密交换区之间物理隔离，通过单向网闸系统或者离线导出系统实现信息资源交换。

在保证业务数据间的互联互通、交换安全的前提下，按照不同网络的具体情况，通过多种交换方式实现各网络与中心网络的数据交换和共享，从“既要保证数据安全保密防护、又要最大限度地扩大和提高信息共享程度”的理念出发，提供信息自动采集和分发、多通道安全单向传输、严格审批监管自动摆渡等信息共享技术手段，并配合访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护、身份认证与授权、设备防护等安全技术手段，确保不同网络间互联互通的安全，构建一个可实现全方位监管的网络互联安全保密防护体系。

图1 不同网络间信息资源交换总体架构图

（四）非密网络互联安全防护体系设计要点

非密网络互联互通完全遵照等级保护的相关设计、建设要求进行设计，在保证互联互通的情况下，着重考虑访问控制、入侵防范、综合审计等安全建设，实现以信息资源交换平台为手段的数据交换。信息资源交换平台包括与中心网络直接连接的核心站点和与其他网络连接的子站点两种站点类型；信息资源交换平台由平台管理、运行监控、交换引擎、站间交换和适配管理等几部分组成。

以电子政务外网为例，数据从电子政务外网向中心网络交换时，交换平台非密网子站点将数据自动抓取并传输至交换平台中心网络非密区核心站点，通过核心站点分发至其他应用系统；数据从中心网络交换至电子政务外网时，反之；如图2所示。

1.路由接入区

路由接入区主要考虑接入链路的安全以及对DDOS等攻击行为的防护。链路安全防护一方面采用专线方式进行链路接入进行防护，另一方面基于SSL技术进行加密，保证数据传输安全；抗拒绝服务攻击主要通过抗DDOS攻击系统实现对DOSDDOS等攻击行为的防护，清洗异常流量，保护并释放正常会话连接资源，保障数据及应用服务的可用性。

2.边界保护区

图2 电子政务外网与中心网络互联设计图

边界保护区主要实现对接入的终端安全控制、访问控制、入侵防范、恶意代码防护、网络审计和集中监控管理。接入单位的终端主要为PC机或服务器，终端安全控制实现了终端安全加固、终端访问控制、终端身份识别和终端设备识别；通过防火墙实现对数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议和应用层协议进行访问控制，利用NAT功能实现内部主机地址隐藏；利用入侵防御系统实现对网络入侵行为的自动实时识别、响应以及主被动结合的防御，可以准确监测网络异常流量，自动对各类攻击进行实时阻断；利用防病毒网关防止网络外部的黑客和病毒的威胁；采用网络审计系统对交互的网络行为进行安全审计，实现网络行为追溯；边界保护区内的关键设备都必须开启审计功能，通过接口将每个设备的日志抄送给集控探针。审计内容包括这些设备的登录事件、配置更改事件、报警事件以及故障信息等。

3.应用服务区

应用服务区部署了相应业务应用的前置服务机、杀毒控管服务器和漏洞扫描系统，实现与各接入网络交换数据的暂存与信息发布、恶意代码防护和跨网请求服务等功能。

4.安全隔离与交换区

该区域与应用服务区网络隔离和数据的安全交换, 它通过信息资源交换平台，实现异构系统、数据源之间安全、灵活、有效、快速的数据交换，并且具有身份认证、格式检查、异构交换等功能。

（五）涉密网络互联安全防护体系设计要点

涉密网络间互联互通主要依据分级保护的相关标准进行针对性设计。除满足必要的访问控制、入侵防范、综合审计等要求外，需要严格控制数据流向，杜绝泄密的可能，禁止数据从高密级直接向低密级进行传输；除满足物理隔离的要求外，还需要考虑必要的数据传输及交换需求。因此，低密级向高密级或与同密级间将考虑通过单向网闸设备实现隔离及单向数据传输的要求；高密级向低密级将考虑通过离线导出的方式实现信息资源交换；下面以密级低于涉密交换区的网络与涉密交换区之间的数据传输为例进行分析，如图3所示。

图3 低密级与高密级网络间互联设计图

低密级与高密级网络间数据交换同样包括上述路由接入区、边界保护区、应用服务区、安全隔离与交换区。其中路由接入区、边界保护区、应用服务区的安全防护设计与非密网络中相同，而安全隔离与交换区分为两部分，当从低密级向高密级进行数据传输时，使用单向网闸系统进行安全隔离和数据传输；当从高密级向低密级进行数据传输时，使用离线导出系统进行物理隔离和数据交换。

1.单向网闸系统

采用无反馈的单向传输技术，实现低密级向高密级的数据交换，单向网闸从物理链路层、传输层保证数据的绝对单向流动。单向网闸采用“2+1”模型架构设计，即内网主机、外网主机加单向导入隔离部件，内外网主机系统采用专用设计的工控主板、高性能的硬件平台，同时采用了先进的纠错编码技术、ASIC并行处理技术和多重冗余技术保证系统的高可靠性、高容错性、高安全性和高稳定性。单向网闸系统主要实现文件交换、数据库同步、数据库访问、定制访问、消息传输以及安全通道等功能。

2.离线导出系统

离线导出系统通过光盘导入导出实现，该系统是为实现对安全域内部和跨安全域的文件交换行为进行监控和跟踪审计，采取的是离线文件交换方式。离线导出系统分为交换监控与审计中心和控制台两部分，其中交换监控与审计中心负责对文件交换任务的申请、审批、检查等处理环节以及人员信息、交换规则、权限控制、日志审计等基础服务进行监管；控制台实现电子文件的导入导出、光盘回收等业务操作，既可以控制交换过程的安全性，又可以最大化交换的便捷性。

三、方案应用与验证

笔者结合本论文提出的设计方案，在某地区社会综合治理云平台边界接入项目中进行规划设计和应用验证，取得了较好的效果，下面进行简要说明。

为推进社会综合治理部门网络设施共建、信息共享、发挥社会综治信息资源的整体效能，实现各部门间网络互联、业务协同，构建面向边界接入的安全保密防护系统。主要涉及网络包括电子政务外网、公检法机关非涉密网络、党政机关内网和公检法机关涉密网络四种网络类型，从需求出发，结合本论文提出方案的设计要点进行规划设计。

依据网络现状和需求，方案提出中心网络非密交换区在与电子政务外网交换时，通过路由接入区、边界保护区、应用服务区、安全隔离与交换区实现安全防护，使用信息资源交换平台进行数据的安全传输。中心网络涉密交换区在与公检法机关涉密网络、党政机关内网交换时，同样通过路由接入区、边界保护区、应用服务区、安全隔离与交换区实现安全防护，由于这些网络属于同密级网络，均使用单向网闸系统进行数据交换。中心网络非密交换区向涉密交换区传输数据时使用单向网闸系统，中心网络涉密交换区向非密交换区传输数据时使用离线导出系统。经过专家论证和评审，该方案具有较好的可行性和防护效果。