◆彭玮玮 谈 筠

核电工程项目数据安全交互平台方案设计

◆彭玮玮1谈 筠2

(1.国核工程有限公司 上海 200233；2.上海市制冷学会 上海 200240)

随着核电工程信息化的不断发展，核电工程项目数据安全交互越来越重要。一般核电项目周期都长达5、6年，在整个项目运行过程中需要涉及到大量的业主、总包商、承包商之间的数据交互要求。目前核电行业内还采用DMZ区（隔离区）部署文件交互服务器来实现与业主、总包商、承包商之间的数据交互，但是这种交互方式比较原始，通过Internet传输的安全性也得不到保证。本论文通过方案比选，设计了一套切实可行的核电行业数据安全交互平台。

核电工程；数据交互；业主；总包商；承包商；数据转发区

0 引言

随着信息技术不断应用于核电工程建设当中，核电工程信息安全问题也日益引人关注。现大多数图纸、文档、资料都是电子类型，出现数据泄密可能会导致核电企业核心技术、管理体系等被竞争对手窃取，为核电企业带来不可挽回的损失。为此，核电工程建设过程中怎么保障各单位的信息安全也就越来越重要。怎么样设计一个合理的数据交互平台，来确保核电工程项目建设过程中，业主、总承包商、各参建单位之间数据可以安全的交互，是本文研究的方向。本文从一个核电工程总承包商的角度出发，建立一套供业主和各参建单位之间数据安全交互平台。

核电工程项目是一个周期长的工程项目，项目建设过程中需要涉及大量业主与承包商的数据交互。以往信息安全技术主要在互联网上DMZ[2]（隔离区）部署几台文件交换服务器来来实现与外部业主、供应商之间的数据交互。但是这种交互方式比较原始，通过互联网传输数据的安全性也不能保证。

基于以上问题，本文将对数据平台交互标准进行分析，拟提出一套第三方数据交互平台标准，主要应用于总承包商与业主、建安承包商、外部供应商、第三方合作伙伴等之间进行数据交互过程中的信息安全保障，从现有的低等级安全防护的简单文件交互功能升级至用户和应用行为可视可控、应用协议可检测防护、数据库访问行为智能关联分析、集中主动式运维安全管控的高等级安全防护的应用发布和实时业务查询数据交互平台。

1 常用平台建设方案

各单位之间的数据交互都是通过Internet链路，以SSL VPN的方式直接连入总承包商Internet网络区域进行文件级别的数据交互。用户通过Internet访问文件服务器，上传/下载相关业务文件。这种方式虽然方便，但是有诸多安全性问题：

（1）是文件传输通过公网，传输途径的安全性无法保证，面对来自公网上的各类威胁，例如数据窃取、DDOS攻击等，无法保证公司以及外部业主、外部供应商的系统安全；

（2）是难以防范中间人攻击，由于用户与公司的数据交互通过Internet，而Internet是一个不可靠的传输途径，很容易在进行身份交互的过程中泄露身份信息，导致黑客伪造身份窃取数据；

（3）数据交互实时性差，由于都是通过文件进行数据交互，因此无法交互一些实时性较强的业务数据。

正是由于存在上述原因，因此本文将专门设计一套第三方数据交互平台0，通过光纤专线与业主、供应商进行数据交互，充分保证交互数据的机密性、完整性和可用性。

通过本次建设数据交互平台，核电工程项目将实现业主、总承包商、分包商三种方式的业务数据交互：

（1）以文件管理系统为代表的传统文件交互（方案A）；

（2）以材料管理系统为代表的B/S方式数据交互（方案B）；

（3）以进度管理系统为代表C/S方式数据交互（方案C）。

下文将首先对集中平台建设进行大致说明。图1为网络结构图的几个初步方案。

方案A表现的是以文件管理系统为代表的文件交换业务。通过物理隔离网闸[2,3,4]将平台划分为内/外两部分，用户访问外网部分的服务器下载相关文件，内外部服务器通过网闸系统进行数据同步。

方案B代表的是外部用户访问B/S架构的应用系统，业务数据库部署在内网，外部用户只能访问外部区域的WEB服务器，WEB服务器通过制定端口经由网闸直接访问后台数据库服务器。

方案C代表的是外部用户访问C/S架构的系统。公司在内部区域搭建正常的应用系统，在客户访问的外部区域则部署一套应用发布服务器，通过发布服务器实现内、外部数据交互。

方案D是方案B与方案C的结合，即将B/S系统，C/S系统全部通过外部的统一发布服务器进行业务发布，用户通过访问一个对象来实现访问对各种系统的访问，无需针对B/S系统，C/S系统分别访问不同的对象。

图1 网络结构图

2 平台建设方案对比

为了实现与外部业主、承包商进行全方位的对接，本次的平台建设方式将在“A+B+C”和“A+D”方式之间进行选择。由于A部署方式在两个备选方案间都包含，因此对比的重点在于B+C的部署方案与D方案的区别。

2.1 从系统自身安全性的角度评估

B方案针对的是B/S架构的用WEB系统，而就目前主流的攻击而言，致使75%的攻击都瞄准了Web系统，目前最常见的SQL注入，XSS攻击等攻击模式都是针对WEB系统。而大量开发的WEB应用，由于历史原因，都存在不同程度的安全问题。对于这些已上线、正提供生产的WEB应用，由于其定制化特点决定了没有通用补丁可用，而整改代码因代价过大变得较难实现或者需要较长的整改周期。因此用此种方式面临的外部威胁较大。而D方案则是通过应用发布系统以虚拟化平台的方式对外发布各类应用系统，类似于在系统外部多加了一个防护层，避免WEB系统直接暴露在外部。

2.2 从后台数据库安全的角度评估

对于B型方案而言，位于网闸外网区域的WEB服务器通过网闸直接访问后台数据库服务器，这种方式有较大的危险性。因为网闸虽然是安全隔离设备，但是他对合法通道里的流量无法进行任何过滤，一旦外部WEB服务器被控制，攻击者完全可以凭借这台服务器为跳板机，通过合法的与数据库服务器的数据通道发动攻击。而 D方案采用应用发布的形式对外发布业务程序，即使外部服务器遭到破坏，最多损坏对外发布内容，无法直接以此威胁后台数据库服务器的安全。

2.3 从用户身份安全的角度评估

D方案采用业务发布系统的统一接入平台，集中进行用户身份认证，而B+C方案由于将各个系统独立部署，因此各系统使用各自的认证模式。相比较而言，D方案的优势由以下几个：

（1）统一认证平台，实现单点登录(SSO)模式，提升用户效率，避免各自为政；

（2）如上文所述，各应用系统开发时间早晚不同，代码层面可能存在一些代码问题导致用户认证时出现“竞态条件”等绕过用户认证系统的安全漏洞；

（3）通过统一的应用发布系统，可以集中对用户进行业务授权、行为审计，统一管理，不留监控死角。

3 结论

根据上文的分析，无论是从系统自身安全性，还是后台数据库安全性，以及用户身份安全性几个角度，“A+D”的配置方案都要优于“A+B+C”的配置方案。因此确定的平台建设模式为以文件管理系统为代表的传统文件交互与用户通过访问一个对象来实现访问对各种系统的访问相结合的配置方案。

[1]蔡瀛捷，陈家训.基于Web 的数据安全交互模式研究[J].计算机应用研究，2003.

[2]许云明，李春生.物理隔离网闸原理及应用[J].计算机安全，2005.

[3]屈波，熊前兴，吴业福等.基于物理隔离的安全网闸研究与系统设计[J].计算机科学，2004.

[4]于华楠，武云瑞，胡绪超.正向隔离网闸在电力系统中的应用[J].计算机与数字工程，2014.

[5]蔡瀛捷，陈家训.基于Web的数据安全交互模式研究[J].计算机应用研究，2003.

[6]吴雅云，洪瑞安，庄绍燕.基于网闸隔离的双机通讯底层及其在B/S架构系统中的应用[J].中国医疗设备，2014.

[7]董惠勤，陆魁军.跨安全网闸的内外网数据库同步的实现[J].科技通报，2007.