企业信息系统跨网传输安全技术研究
2021-09-16刘立平
刘立平
铁道党校信息管理处 北京 100088
1 跨网数据传输技术现状与趋势
随着信息化建设的不断深入和大数据、云计算的不断发展,信息交互、数据融合的需求日益提高,如何连通各个信息孤岛,使得孤立的数据能够通过融合挖掘发挥更大的价值,是当前企业信息化建设必须要考虑的问题。然而从安全角度来看,在提高信息融合程度的同时,有必要通过技术、管理等手段消除安全隐患,避免敏感信息外泄。
很多信息网络在设计之初是“刻意要求”与外部隔离的,这在早期的网络建设中是合理也是必要的,其原因主要包括:
2.1 在需求层面
早期的网络应用大多为局域网应用,是对离线办公的补充,网络应用功能固定、内外网数据交互的数据量小、交互频次低、时效性要求不高,“物理隔离加光盘刻录”方式能够满足当时业务需求,并且该方式不需要过多的成本投入,系统运维简单。
2.2 在安全层面
早期的攻击方法大多基于网络连接进行,网络攻击尚未出现体系化、组织化、武器化趋势,在应对传统威胁时,物理隔离确实能够大幅降低安全风险。
2.3 在技术能力层面
早期跨网跨域安全技术研究较少,缺少相应的技术手段也是重要原因。
2.4 更深一层的考量
一些高安全级别的单位,网络连通关系与业务指导关系、单位隶属关系紧密相关,因此不同网络间是否允许连通、连通关系如何设置要从多个维度进行考量。
当前网络信息融合已经成为提升企业效率、提升数据价值的重要手段,企业内部不同网络之间、企业与外部网络、企业与互联网之间的网络互通、数据交换、业务协同的需求日益迫切,尤其是移动网络的发展,使移动业务处理成为趋势,跨网信息融合已经成为当前网络信息体系建设的重难点问题[1]。同时由于对跨网传输的安全本质问题研究较少,安全保密效能评估技术和法规相对滞后,各类场景下跨网交换系统的安全效能评估尚缺少被普遍认可的技术手段,跨网安全保密体系建设仍然缺乏统一的技术框架和技术指导,很多领域仍采取“一事一议”的专家审核模式,“物理隔离加光盘刻录”方式依然作为跨网数据传输的保底手段。
当前网络环境正在发生着深刻变化,网络环境正在由静态、具体、封闭向动态、多变、开放转变,从安全保密系统建设实践来看,“物理隔离加光盘刻录”方式只能迟滞攻击的发生时间,难以杜绝外部网络威胁向内网蔓延,加之企业业务对网络依赖日益增强,对跨网信息交换类型、频次、时效性都提出了新的要求,因此深入研究跨网安全本质,面向典型环境提出跨网传输安全要求、提供针对性的解决方案,并进行深入的效能评估是十分必要的。
2 跨网数据传输的安全风险分析
本文中,“跨网跨域传输”是对“跨物理网络、跨安全区域”数据传输的统称。“跨物理网络”是从物理连接上看网络关系,要传输数据的两个网络物理隔离;“跨安全区域”是从逻辑上看网络关系,具体建设时一般把具有相同安全等级、人员权限相当、业务紧密联系的网络划入同一个安全域,密级是划分安全域的最重要依据,但不是唯一依据。在实际建设中,一个安全域绝大多数时候处于同一个物理网络,但同一个物理网络、甚至同一个业务系统,可以按需划分不同的安全域,比如对于大型业务系统,将总部节点划分为高密级,区域节点划分为低密级。
跨网跨域数据传输的基本形式如图1所示,
图1 跨网跨域数据传输的基本形式
结合上图对跨网数据传输存在的安全风险进行简要分析,主要包括以下几个方面。
一是跨网传输打破了原有的物理边界,控制不当容易导致威胁的交叉扩散,将外部风险引入内网。不同网络、不同安全域防御的侧重点不同,各自封闭运行时没有问题,但一旦连通就很可能引入威胁,即使同样技术体制的网络,在非受控的情况下连通也会导致受攻击面扩大,一旦发生威胁难以有效隔离处置,甚至形成“火烧赤壁”的后果。
二是跨网传输控制不当,容易被内外部的攻击者利用,造成信息泄密,尤其是高密级信息跨网泄露给低密级用户,没有跨网前,内部人员要带走一个涉密文档需要审批打印并经过层层检查,如果允许跨网但控制不到位,他可以在高密级的办公网上将文档进行编码伪装,发送到某一个低密级节点(如单位边界的摄像头)上,由外部人员带走后解码。
三是跨网交互通常会实现数据的汇聚融合,使得数据所有权、治理权发生变更,从而改变原有业务的责、权、利布局。实际建设中,很多用户担心一旦数据融合,自己将失去数据的所有权,因此实际系统设计时,还应充分考虑数据的权属问题,尽量通过技术手段提高数据提供者对数据传输途径、扩散范围的控制。
3 跨网数据传输安全的技术思路
基于底线思维和主动防御相结合的理念,从信息安全的五个基本属性“机密性、完整性、不可抵赖性、可用性、可控性”入手,结合跨网具体风险,跨网安全系统建设可遵循“来源可证、流向可控、内容可判、行为可查、内外兼防”的思路进行设计规划和建设运维。
来源可证:应通过签名、消息验证码等技术手段确认数据发送主体,从而固化主体责任,鉴别方式可考虑多因子认证方式,鉴别的因素可以包括跨网传输的人员、使用的设备、运行的应用等。
流向可控:应允许数据提供者对数据传输路径和扩散范围进行控制,通过加密手段确保只有合法的接收者能够查看明文数据内容。
内容可判:跨网传输数据的协议、内容事先经过审批,内容明确,在现有技术条件下,便于通过机器进行检查过滤;
行为可查:跨网系统应提供详细的行为审计服务,对各种跨网传输操作进行细粒度审计,从而震慑恶意攻击者,并有利于在出现问题时及早发现。
内外兼防:防止跨网系统的管理者和运维人员私自开通跨网策略、篡改数据内容,只信任信息的提供者,不信任任何中间节点。
4 跨网数据传输的主要技术手段
4.1 数据来源鉴别
数据来源鉴别,就是确认发送者的身份,只有指定的实体才允许跨网发送数据。数据来源标识实际上限定了跨网数据的发送主体,一旦发现非法的跨网数据可以精确溯源和追责,从而震慑内网恶意攻击者。
初级的数据来源鉴别,可以通过发送主机的网络地址标识数据来源,通过防火墙等安全设备进行检查。但是该种方式很难应对专业的网络攻击者。对于一些高安全系统,数据来源鉴别一般应通过密码技术实现,例如基于非对称密码体制,由数据的发送者对跨网的数据报文进行签名;也可以采取对称密码体制,通过消息鉴别码(MAC)对数据的来源进行标识,并在跨网节点进行检查。
数据来源除了包括发送者身份,还可以包括其他要素,例如对于高安全等级的信息系统,数据的来源可以通过信源主机指纹、终端应用标识、发送者身份标识进行联合标识,也就是说只要指定人员、在指定主机上、通过指定应用发送的数据,才允许跨网传输。
4.2 数据流向控制
数据流向控制就是对数据报文出网、入网的流向进行控制,一般通过数据流向控制,可以有效阻断攻击回路,降低外部攻击者控制内网主机的风险。对于一些高等级网络,防止泄密是其最核心诉求,控制数据只进不出可以保证整个网络的机密性,即任何情况下不会泄密,通常这是安全建设者最看重的。(注:控制数据只出不进则可以保证网络的可用性,即任何情况下不会因外部攻击导致网络不可用,也存在一些有价值的场景)
简单的流向控制方式可以通过防火墙策略实现[2],对出网、入网的报文策略进行细粒度控制,一般情况下应尽量将数据发送端、接收端设置为不同主机,降低形成攻击回路的风险。对于高安全业务网络,可以采用专门的跨网设备,例如光盘摆渡机、单向光闸等设备,基于传输介质的物理特性,确保数据传输的严格单向。
4.3 数据内容检查
现有技术条件下,数据内容检查主要是对跨网传输数据的协议、格式进行合规性检查,随着技术发展,对敏感关键字、语义的检查能力也有望逐步提供。数据内容检查的目的,是防止攻击者在跨网报文中夹带非法数据。
初级的数据内容检查可以通过通用的数据库防火墙、Web防火墙实现,通过该类设备对发送报文进行解析,对协议格式、关键字等内容进行匹配和过滤。对于高安全系统,可定制跨网传输代理,根据业务报文的具体特征,对跨网传输的报文进行深度的内容检查。
4.4 跨网行为审计
跨网行为审计,既要对跨网传输行为进行记录,还要对跨网传输的行为特征进行判断,对异常行为及时报警。跨网行为是对一次跨网传输事件的完整记录,包括跨网数据的来源、流向、内容、传输时间、传输结果等信息。通常可以结合具体业务对跨网行为的合法性进行判断,例如有些业务仅应在工作时间进行跨网传输、有些业务每天仅能跨网传输一次、有些跨网行为仅能由指定的主机发起等。跨网行为审计既可以通过传统的行为审计系统实现,也可以基于业务特点,定制专用的审计设备,实现更加细粒度的行为审计。
4.5 内部攻击防御
防止内部人员攻击通常是网络安全的薄弱环节,一旦网络安全管理员因操作不当开通跨网权限、对已过期的跨网权限未收回、甚至故意开通跨网策略,将对业务系统带来极大风险。
密码技术是解决内部攻击的有效手段,一种比较有效的方式是将数据来源鉴别、流向控制、内容检查等功能通过专用的设备实现,对设备中关键参数、基础规则的配置必须基于硬件介质(如USBKey),或者采用多因素机制进行严格控制。
5 结束语
在《中华人民共和国数据安全法(草案)》中明确,国家鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉[3]。跨网信息融合是信息技术发展的必然趋势,本文给出了对跨网数据传输安全的一些思考,并给出了部分技术解决思路,相信随着技术的日益发展,会有更多新的技术手段被引入,使得多源信息日益融合、发挥更大的信息价值。
