安全隔離與數(shù)據(jù)交換建設(shè)方案建議

附件三華能集團(tuán)內(nèi)外網(wǎng)安全隔離與數(shù)據(jù)交換建設(shè)方案建議國(guó)家信息中心信息安全研究與服務(wù)中心12月-北京目錄TOC\o"1—4”\h\z\u_Toc"3. 技術(shù)架構(gòu)比較 3HYPERLINK\l”_Toc”4。 基本功效 4_Toc"4.2。 安全控制功效 6HYPERLINK\l”_Toc”5. 布署方式 8HYPERLINK\l”_Toc"5。1. 內(nèi)外網(wǎng)統(tǒng)一布署 95。2。 根據(jù)應(yīng)用分別布署 9HYPERLINK\l”_Toc”6。 應(yīng)用實(shí)現(xiàn)方式 9_Toc"6。2. 數(shù)據(jù)庫(kù)信息交換隔離 11HYPERLINK\l”_Toc"6.3. 郵件系統(tǒng)隔離 126.5。 內(nèi)網(wǎng)補(bǔ)丁升級(jí) 14應(yīng)用背景眾所周知，以防火墻為核心的網(wǎng)絡(luò)邊界防御體系只能夠滿足信息化建設(shè)的普通性安全需求，卻難以滿足重要信息系統(tǒng)的保護(hù)問題。對(duì)于重要信息系統(tǒng)的保護(hù)，我國(guó)一向采用了物理斷開的辦法，國(guó)家保密局在《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》中將涉密信息系統(tǒng)的安全防御規(guī)定定格為與任何非涉密信息系統(tǒng)必須“物理斷開"。斷開了就安全的（事實(shí)上也并非如此）.但是，斷開了卻嚴(yán)重影響了業(yè)務(wù)信息系統(tǒng)的運(yùn)行?，F(xiàn)在,華能集團(tuán)在信息化建設(shè)當(dāng)中已經(jīng)明確了雙網(wǎng)建設(shè)原則，重要業(yè)務(wù)系統(tǒng)、日常辦公計(jì)算機(jī)都處在內(nèi)部網(wǎng)絡(luò)，而某些業(yè)務(wù)系統(tǒng)，例如：綜合數(shù)據(jù)庫(kù)系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)和網(wǎng)銀系統(tǒng)、防病毒惡意代碼升級(jí)、操作系統(tǒng)補(bǔ)丁升級(jí)等，所需要的基礎(chǔ)數(shù)據(jù)卻來自外部業(yè)務(wù)網(wǎng)絡(luò)，甚至互聯(lián)網(wǎng)絡(luò).物理斷開造成了應(yīng)用與數(shù)據(jù)的脫節(jié)，影響了行政執(zhí)行能力和行政效率.實(shí)際斷開不是目的，在保護(hù)內(nèi)部網(wǎng)絡(luò)的適度安全狀況下,實(shí)現(xiàn)雙網(wǎng)隔離,確保數(shù)據(jù)的互聯(lián)互通才是真正的目的.安全隔離系統(tǒng)就是為此開發(fā)的。安全隔離系統(tǒng)介紹安全隔離與信息交換技術(shù)（GAP).這種技術(shù)在1993年由MyongH。Kang在“APumpforRapid,Reliable,SecureCommunication”一文中提出,并在1996年對(duì)這種概念進(jìn)一步深化為一種適于網(wǎng)絡(luò)應(yīng)用的“數(shù)據(jù)泵”技術(shù).GAP技術(shù)是一種什么技術(shù)?從字面上理解，能夠譯為“缺口、豁口”，即在兩個(gè)網(wǎng)絡(luò)之間形成一種缺口。有了缺口固然就能確保安全。也有將GAP譯為“GapAllProtocol"的說法，表明這個(gè)“缺口”不是什么都不讓通過，而只是將合同隔離，應(yīng)用數(shù)據(jù)還是能夠運(yùn)用這個(gè)缺口通過安全方式交換的.遵從這種理解方式，如MyongH.Kang所刻畫，GAP應(yīng)當(dāng)是一種三系統(tǒng)的設(shè)備:一種外端機(jī)、一種內(nèi)端機(jī)、一種中間交換緩存.內(nèi)外端機(jī)用于終止網(wǎng)絡(luò)合同，對(duì)解析出的應(yīng)用數(shù)據(jù)進(jìn)行安全解決。同時(shí)能夠通過中間的交換緩存通過非TCP/IP合同的方式進(jìn)行數(shù)據(jù)交換。技術(shù)架構(gòu)比較現(xiàn)在，安全隔離產(chǎn)品重要為三層構(gòu)架和二層構(gòu)架，三層架構(gòu)包含內(nèi)網(wǎng)單元、外網(wǎng)單元和獨(dú)立的隔離硬件，內(nèi)外網(wǎng)單元通過獨(dú)立的隔離硬件進(jìn)行數(shù)據(jù)交換；二層架構(gòu)只有內(nèi)外兩個(gè)解決單元，無獨(dú)立的隔離硬件，內(nèi)外網(wǎng)單元通過網(wǎng)絡(luò)接口、USB接口等進(jìn)行數(shù)據(jù)交換。從安全架構(gòu)上看，采用三層架構(gòu)安全隔離產(chǎn)品的安全性要高于二層架構(gòu)的安全隔離產(chǎn)品。在功效上兩種架構(gòu)的安全隔離產(chǎn)品卻相差不多.性能上采用三層架構(gòu)要高于二層構(gòu)造的安全隔離產(chǎn)品。價(jià)格上采用三層架構(gòu)要比二層架構(gòu)的安全隔離產(chǎn)品高諸多?；竟πУ湫偷母綦x系統(tǒng)應(yīng)當(dāng)含有下列功效：信息交換功效文獻(xiàn)交換設(shè)計(jì)文獻(xiàn)交換是網(wǎng)絡(luò)應(yīng)用對(duì)數(shù)據(jù)交換的基本規(guī)定,在內(nèi)、外網(wǎng)之間存在文獻(xiàn)交換的實(shí)際需要，正是基于這一點(diǎn)，安全隔離系統(tǒng)應(yīng)含有文獻(xiàn)交換功效，實(shí)現(xiàn)文獻(xiàn)的安全訪問及文獻(xiàn)的同時(shí)。以外網(wǎng)顧客訪問內(nèi)網(wǎng)文獻(xiàn)服務(wù)器為例,文獻(xiàn)安全訪問功效通過代理模塊將需要保護(hù)的內(nèi)網(wǎng)文獻(xiàn)服務(wù)器（采用FTP合同或SAMBA合同）映射到隔離系統(tǒng)的外網(wǎng)，外網(wǎng)顧客訪問文獻(xiàn)資源時(shí)直接訪問安全隔離系統(tǒng)外端機(jī)啟用的代理服務(wù)。安全隔離系統(tǒng)外端機(jī)代理服務(wù)交換應(yīng)用層數(shù)據(jù)到內(nèi)端，內(nèi)端代理訪問內(nèi)網(wǎng)真正的文獻(xiàn)服務(wù)獲取文獻(xiàn),返回給外端代理服務(wù)。在文獻(xiàn)通過安全隔離系統(tǒng)的過程中將受到內(nèi)容檢查、病毒檢查、文獻(xiàn)深度檢查、文獻(xiàn)簽名等安全保護(hù)。從內(nèi)網(wǎng)訪問外網(wǎng)文獻(xiàn)服務(wù)器時(shí)過程類似。文獻(xiàn)同時(shí)功效實(shí)現(xiàn)隔離系統(tǒng)兩端文獻(xiàn)服務(wù)器中文獻(xiàn)的同時(shí)功效.事實(shí)上，安全隔離系統(tǒng)通過布署在兩端的客戶端代理模塊，分別從各自的文獻(xiàn)服務(wù)器中提取需要同時(shí)的文獻(xiàn)，然后安全擺渡到對(duì)端,再由對(duì)端的代理模塊公布到目的文獻(xiàn)服務(wù)器上，文獻(xiàn)的擺渡受到安全模塊的檢查.Web交換功效設(shè)計(jì)Web應(yīng)用是現(xiàn)在最為流行的網(wǎng)絡(luò)應(yīng)用.因此，提供對(duì)Web應(yīng)用的訪問支持是安全隔離系統(tǒng)的基本功效之一。安全隔離系統(tǒng)的內(nèi)外端機(jī)都應(yīng)支持HTTP、HTTPS兩種應(yīng)用代理訪問功效。安全隔離系統(tǒng)能夠通過服務(wù)地址映射（SAT）的方式將目的Web服務(wù)器映射到安全隔離系統(tǒng)的另一端機(jī)供顧客訪問。Web應(yīng)用數(shù)據(jù)在通過安全隔離系統(tǒng)的過程中,受到嚴(yán)格的安全控制，涉及HTTP/HTTPS合同頭的核心字過濾、完整性檢查、URL長(zhǎng)度檢查、活動(dòng)腳本的檢測(cè)及控制、文獻(xiàn)安全檢查等內(nèi)容.數(shù)據(jù)庫(kù)交換功效設(shè)計(jì)在應(yīng)用系統(tǒng)中,往往含有不同的顧客群及不同的網(wǎng)絡(luò)應(yīng)用.但應(yīng)用之間共享應(yīng)用數(shù)據(jù)卻往往是必要的。因此，安全隔離系統(tǒng)將數(shù)據(jù)庫(kù)同時(shí)功效作為其數(shù)據(jù)交換的基本功效之一。安全隔離系統(tǒng)的數(shù)據(jù)庫(kù)訪問功效能夠通過數(shù)據(jù)庫(kù)應(yīng)用代理的方式將數(shù)據(jù)庫(kù)服務(wù)映射到安全隔離系統(tǒng)的一端，應(yīng)用程序能夠直接訪問映射的數(shù)據(jù)庫(kù)服務(wù)，由安全隔離系統(tǒng)完畢數(shù)據(jù)庫(kù)的數(shù)據(jù)內(nèi)容安全傳輸。在數(shù)據(jù)庫(kù)訪問中，安全隔離系統(tǒng)將支持對(duì)TNS合同的代理功效.郵件交換功效設(shè)計(jì)郵件通訊重要使用POP3和SMTP合同，在安全隔離系統(tǒng)的環(huán)境中，往往需要進(jìn)行內(nèi)網(wǎng)郵件與外網(wǎng)郵箱中郵件的同時(shí)，或者需要內(nèi)網(wǎng)顧客能夠訪問外網(wǎng)郵箱中的郵件.這些需求可通過安全隔離系統(tǒng)的郵件同時(shí)功效來完畢.郵件同時(shí)模塊起到郵件中繼的作用，它能將安全隔離系統(tǒng)一端的郵件同時(shí)到另一端，即能夠進(jìn)行單向郵件中繼，也能夠進(jìn)行雙向郵件中繼.郵件訪問功效通過配備郵件代理完畢，安全隔離系統(tǒng)的郵件代理確保使用者能夠通過安全隔離系統(tǒng)訪問另一端的郵件服務(wù)器，使用郵件客戶端進(jìn)行郵件的正常收發(fā)。定制應(yīng)用數(shù)據(jù)交換安全隔離系統(tǒng)需要提供私有合同定制開發(fā)功效。確保在顧客提供需要支持應(yīng)用的封裝格式、合同狀態(tài)機(jī)、命令集的狀況下，安全隔離系統(tǒng)能夠提供私有代理服務(wù)器生成模板和私有代理客戶端生成模板，這樣就能夠快速生成滿足私有應(yīng)用的代理程序,用以終止私有應(yīng)用的TCP連接、完畢數(shù)據(jù)/命令提取和控制。因此,隔離系統(tǒng)對(duì)于私有的應(yīng)用合同，也能夠確保應(yīng)用數(shù)據(jù)落地控制.安全控制功效訪問控制功效安全隔離系統(tǒng)應(yīng)實(shí)現(xiàn)從網(wǎng)絡(luò)層到應(yīng)用層的訪問控制功效。在網(wǎng)絡(luò)層，安全隔離系統(tǒng)應(yīng)含有包過濾防火墻全部的安全功效。應(yīng)實(shí)現(xiàn)對(duì)源/目的IP地址、通信端口、訪問時(shí)間等屬性的全方面控制。在傳輸層,安全隔離系統(tǒng)應(yīng)實(shí)現(xiàn)IP分組與TCP連接和UDPSocket附屬關(guān)系真實(shí)性的鑒別，應(yīng)實(shí)現(xiàn)避免連接劫持攻擊。在應(yīng)用層，安全隔離系統(tǒng)應(yīng)對(duì)應(yīng)用頭的格式、內(nèi)容、應(yīng)用數(shù)據(jù)的內(nèi)容進(jìn)行審查、過濾，使只有符合安全方略的數(shù)據(jù)才被傳輸。通過貫穿整個(gè)合同棧的訪問控制，安全隔離系統(tǒng)應(yīng)有效過濾非法連接、數(shù)據(jù)的非法傳輸。數(shù)據(jù)內(nèi)容審查功效安全隔離系統(tǒng)交換的數(shù)據(jù)是無合同格式的上層應(yīng)用數(shù)據(jù)，例如發(fā)送的郵件主體內(nèi)容，郵件的附件.安全隔離系統(tǒng)在交換這些數(shù)據(jù)時(shí),實(shí)現(xiàn)了三方面的數(shù)據(jù)內(nèi)容審查：核心詞過濾：對(duì)含有黑名單中出現(xiàn)的核心詞的應(yīng)用數(shù)據(jù)進(jìn)行基于方略的安全解決，涉及回絕發(fā)送、日志審計(jì)、核心詞替代等三種解決方式.含糊查詢:對(duì)于應(yīng)用數(shù)據(jù)中包含通過解決、偽裝的敏感詞語(yǔ)進(jìn)行控制和解決，例如識(shí)別類似“法*輪＊功”這樣的敏感詞匯.控制解決的方式涉及:回絕發(fā)送、日志審計(jì)和核心詞替代三種。病毒掃描：隔離系統(tǒng)在擺渡每一種數(shù)據(jù)塊時(shí),都進(jìn)行病毒掃描.病毒防護(hù)功效安全隔離系統(tǒng)應(yīng)集成專業(yè)的病毒查殺模塊，能在應(yīng)用層實(shí)現(xiàn)基于特性的病毒查殺。為此,安全隔離系統(tǒng)必須提供病毒庫(kù)在線升級(jí)功效,以及病毒庫(kù)手工導(dǎo)入功效。文獻(xiàn)深度檢查功效顧客需要對(duì)通過隔離設(shè)備傳輸?shù)奈墨I(xiàn)類型進(jìn)行控制,例如,不允許外部的exe或者bat文獻(xiàn)傳輸?shù)絻?nèi)網(wǎng)。但是，攻擊者能夠?qū)⑽墨I(xiàn)的后綴修改為txt等被允許的后綴并傳輸，以逃避安全規(guī)則的檢查。為此，安全隔離系統(tǒng)應(yīng)對(duì)文獻(xiàn)進(jìn)行一致性檢查，即一種聲稱的exe與否真是exe文獻(xiàn)，一種聲稱的pdf文獻(xiàn)與否真是pdf文獻(xiàn)等。安全隔離系統(tǒng)應(yīng)含有這種深度檢查功效。安全隔離系統(tǒng)應(yīng)盡量支持全部的文獻(xiàn)類型的一致性檢查。流量控制功效為了確保核心應(yīng)用保持應(yīng)有的帶寬，避免網(wǎng)絡(luò)接口流量異常，安全隔離系統(tǒng)應(yīng)含有流量監(jiān)視及控制功效。通過該功效能夠?qū)νㄟ^安全隔離系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行全方面的控制.流量監(jiān)視及控制功效能夠針對(duì)不同的應(yīng)用對(duì)流量設(shè)立上限，確保核心業(yè)務(wù)系統(tǒng)流量不會(huì)由于其它應(yīng)用（如點(diǎn)對(duì)點(diǎn)應(yīng)用)占用過多帶寬而不能正常使用。另外，流量監(jiān)視及控制功效還能夠?qū)Π踩綦x系統(tǒng)的特定網(wǎng)絡(luò)端口進(jìn)行上行及下行的流量監(jiān)視及控制，使顧客能夠隨時(shí)掌握網(wǎng)絡(luò)流量的狀態(tài),分析網(wǎng)絡(luò)的穩(wěn)定性。布署方式布署方式示意圖:內(nèi)外網(wǎng)統(tǒng)一布署便于統(tǒng)一管理和維護(hù)，顧客投資少,在安全隔離系統(tǒng)上安裝不同的功效模塊以適應(yīng)不同的業(yè)務(wù)應(yīng)用。但隨著應(yīng)用的增加，安全隔離系統(tǒng)的負(fù)擔(dān)會(huì)越來越重,安全隔離系統(tǒng)的性能也會(huì)越來越低。根據(jù)應(yīng)用分別布署根據(jù)不同的應(yīng)用來布署網(wǎng)閘，這樣做最大的優(yōu)勢(shì)就是能夠保障安全隔離系統(tǒng)的性能不受應(yīng)用變化的影響。但投資多，每增加新應(yīng)用就要布署網(wǎng)閘，不方便管理維護(hù)。通過2種布署方式的比較,我們建議顧客采用統(tǒng)一布署的方式，一旦應(yīng)用增加到安全隔離系統(tǒng)的負(fù)荷后，再通過增加安全隔離系統(tǒng)的方式做負(fù)載均衡.應(yīng)用實(shí)現(xiàn)方式OA系統(tǒng)隔離華能集團(tuán)OA系統(tǒng)布署在內(nèi)網(wǎng)中，內(nèi)部辦公人員能夠直接訪問OA系統(tǒng)并通過認(rèn)證后，完畢日常的個(gè)人事務(wù)及辦公流程。其它分支機(jī)構(gòu)的OA系統(tǒng)構(gòu)造也是類似的.在建立內(nèi)、外雙網(wǎng)構(gòu)造后，面臨的問題是:當(dāng)集團(tuán)辦公人員出差到外地需要進(jìn)行移動(dòng)辦公時(shí)如何安全訪問內(nèi)網(wǎng)的OA系統(tǒng)。當(dāng)使用安全隔離系統(tǒng)后，缺省狀況下安全隔離系統(tǒng)屏蔽了內(nèi)、外網(wǎng)之間的全部網(wǎng)絡(luò)連接.當(dāng)移動(dòng)辦公顧客需要在互聯(lián)網(wǎng)上訪問內(nèi)網(wǎng)的OA系統(tǒng)時(shí)，通過安全隔離系統(tǒng)SAT（服務(wù)地址映射)功效實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)OA系統(tǒng)的訪問。此時(shí)，隔離系統(tǒng)的布署構(gòu)造以下：OA隔離布署從圖中能夠看出,安全隔離系統(tǒng)外網(wǎng)端首先通過SAT映射啟用OA服務(wù)的代理模塊，遠(yuǎn)程移動(dòng)顧客通過VPN連入外網(wǎng),并訪問OA代理服務(wù)，安全隔離系統(tǒng)將代理請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的真實(shí)服務(wù)器，真實(shí)OA服務(wù)的反饋信息通過隔離系統(tǒng)交換后在由外段的OA代理返回給移動(dòng)顧客,最后實(shí)現(xiàn)移動(dòng)辦公。數(shù)據(jù)庫(kù)信息交換隔離華能集團(tuán)的核心業(yè)務(wù)數(shù)據(jù)庫(kù)服務(wù)均布署在內(nèi)網(wǎng)，通過內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，并將成果展示給使用者.但有些業(yè)務(wù)系統(tǒng)的數(shù)據(jù)需要來源于外網(wǎng)（例如外部采集數(shù)據(jù))。這些數(shù)據(jù)應(yīng)當(dāng)如何從外網(wǎng)傳遞到內(nèi)網(wǎng)，我們將采用兩種方式進(jìn)行設(shè)計(jì).第一種方式是對(duì)某些應(yīng)用能夠在外網(wǎng)建立一種外網(wǎng)數(shù)據(jù)庫(kù)，這些數(shù)據(jù)庫(kù)中只存儲(chǔ)外部網(wǎng)絡(luò)獲取的數(shù)據(jù)，不存儲(chǔ)其它敏感數(shù)據(jù)，當(dāng)需要將這些數(shù)據(jù)交換到內(nèi)網(wǎng)時(shí)，通過安全隔離系統(tǒng)實(shí)現(xiàn)，如圖：數(shù)據(jù)庫(kù)同時(shí)布署圖此時(shí)，在安全隔離系統(tǒng)上將布署數(shù)據(jù)庫(kù)同時(shí)模塊，該同時(shí)模塊將只允許將外網(wǎng)數(shù)據(jù)庫(kù)中的特定數(shù)據(jù)同時(shí)到內(nèi)網(wǎng)數(shù)據(jù)庫(kù)中，反向不允許數(shù)據(jù)庫(kù)信息傳輸.第二種方式適合于外網(wǎng)不建數(shù)據(jù)庫(kù)的狀況。外網(wǎng)有某個(gè)業(yè)務(wù)系統(tǒng)服務(wù)在運(yùn)行,其中需要的數(shù)據(jù)信息來源于內(nèi)網(wǎng)數(shù)據(jù)庫(kù)，同時(shí)需要對(duì)數(shù)據(jù)庫(kù)進(jìn)行修改。此時(shí)的布署設(shè)計(jì)以下：數(shù)據(jù)庫(kù)訪問設(shè)計(jì)如圖，安全隔離系統(tǒng)配備內(nèi)網(wǎng)數(shù)據(jù)庫(kù)的SAT映射，在外端機(jī)啟用數(shù)據(jù)庫(kù)代理模塊，當(dāng)外網(wǎng)業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)庫(kù)代理時(shí)，數(shù)據(jù)庫(kù)代理將請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)網(wǎng)數(shù)據(jù)庫(kù),安全隔離系統(tǒng)將反饋信息交換到數(shù)據(jù)庫(kù)代理，并通過代理將數(shù)據(jù)傳給外網(wǎng)業(yè)務(wù)系統(tǒng).郵件系統(tǒng)隔離華能集團(tuán)郵件服務(wù)將布署在外網(wǎng)，提供外網(wǎng)及互聯(lián)網(wǎng)的郵件服務(wù)，但內(nèi)網(wǎng)顧客也需要訪問郵件服務(wù)獲取郵件信息。此時(shí)，需要通過安全隔離系統(tǒng)實(shí)現(xiàn)郵件的交換功效。我們將設(shè)計(jì)以下的布署方式支持華能集團(tuán)的郵件應(yīng)用：郵件交換布署如圖,通過在隔離系統(tǒng)內(nèi)端機(jī)啟動(dòng)郵件SAT映射，將在內(nèi)端機(jī)啟用郵件的POP3代理。當(dāng)內(nèi)網(wǎng)顧客通過代理應(yīng)用收郵件時(shí)，郵件代理將郵件合同內(nèi)容轉(zhuǎn)發(fā)給外網(wǎng)的郵件服務(wù)，真正的郵件將通過外網(wǎng)郵件服務(wù)進(jìn)行收件任務(wù)的.這樣，在內(nèi)網(wǎng)的顧客也能夠通過外網(wǎng)郵件服務(wù)進(jìn)行郵件的接受.本辦法重要考慮到內(nèi)網(wǎng)郵件系統(tǒng)的安全性,內(nèi)網(wǎng)郵件系統(tǒng)只能通過pop3接受郵件，發(fā)送郵件需要通過web郵件系統(tǒng)進(jìn)行發(fā)送.網(wǎng)銀應(yīng)用隔離華能財(cái)務(wù)公司的結(jié)算系統(tǒng)（采用上海CA認(rèn)證的VPN系統(tǒng)）連接到華能重要產(chǎn)業(yè)公司和下屬公司，與工、建、交、農(nóng)、召行都有專線連接。華能集團(tuán)結(jié)算系統(tǒng)屬于核心業(yè)務(wù)系統(tǒng),布署在內(nèi)網(wǎng),但需要通過外網(wǎng)與銀行進(jìn)行連接,通