针对现有的防火墙、网闸和应用网关等各种隔离与交换技术无法适应多系统交互、应用复杂、高实时性、大流量的要求,本文提出一种新的解决办法: 采用松耦合结构的“内网数据交换平台+网闸+外网数据交换平台”数据安全交换系统,以满足内部网络隔离与数据交换的需求。
信息技术的广泛应用及信息资源共享和信息安全问题之间的矛盾日益突出。典型的现实情况是,一个部门从自身安全角度考虑,把内部网络与互联网物理断开,但与此同时,从开展业务的需求出发,与其他部门的内部网络连接越来越多,于是,有的部门将内部网络划分为不同安全等级的域,即把内部网络进一步划分为内网和外网,将重要数据和系统置于内网,仅供内部人员授权访问,将与其他部门联网的系统置于外网,形成一种“外网受理、内网处理”的格局,有效保护核心系统和汇总的重要信息的安全,符合国家等级保护的原则。不过,这并不意味着问题就解决了,随之而来的困难是,原来同处一个网络域的信息系统之间有着千丝万缕的联系,系统交互的数据类型复杂(包括数据报文、数据文件、影像文件和数据库表等)、实时性要求高、时延要求低,需要交换的数据量大,而且是不同等级安全域的数据交换。从目前的情况看,能满足这一要求的解决方案,即内外网间安全隔离和数据交换系统鲜有先例。
综观现有的防火墙、网闸和应用网关等各种网络安全隔离与交换技术,尽管都可以在一定程度上解决网络安全隔离与数据交换的问题,但都不同程度地存在着局限性,特别是不能适应内部网络隔离与交换要求的多系统交互、应用复杂、高实时性、大流量的要求。为此,本文研究提出一种新型的网络安全隔离与数据交换平台架构,它采用松耦合结构的“内网数据交换平台+网闸+外网数据交换平台” 数据安全交换系统,能够有效解决上述问题,满足内部网络隔离与数据交换的需求。
新型数据安全交换系统
新的数据安全交换平台架构如附图所示。在该系统中,网闸负责在网络层进行内外网之间的安全隔离和访问控制; 内外网数据交换平台负责在应用层代理内外网之间的数据交换以及数据交换的访问控制与安全审计。网闸、内外网数据交换平台可综合采用并行处理、多机热备和负载均衡等技术,以加强数据交换的吞吐能力,保证数据交换的可靠性、可用性和扩展性,满足当前和未来业务发展对数据交换性能的需求。
对此架构简单描述如下:
1. 内外网数据交换平台通过专门的应用软件实现数据交换,可运行在各种开放的操作系统(如IBM RISC/6000或其他使用Unix操作系统)的服务器上。它集成了大型数据库系统,采用消息队列中间件作为主要通信方式(BEA Message Q,IBM MQ),同时支持BEA Tuxedo和IBM CICS中间件,支持TCP、SNA、X.25等通信协议,可为内外网交互的各个系统提供统一的格式转换、统一的交换路由、统一的事务管理。交换平台通过Win98端进行管理,具有友好的用户界面。
2. 交换平台采用J2EE架构,提供统一的报文、二进制文件、XML报文、邮件等多种通信接口,内置报文交换、文件交换、数据库交换等多种交换方式。交换平台采用模块化设计,模块之间具有非常弱的偶合性,在功能、性能和安全等方面均具有良好的灵活性和扩展性,能够不断适应信息化发展过程中新的业务及其安全需求。交换平台由业务接入模块、交换引擎模块、通信适配模块、监控管理模块和安全认证模块组成。
3.与一般常见的安全应用网关不同,本方案在安全隔离网闸的两端分别部署了配置基本一致的内网和外网数据交换平台。不仅为网闸提供单一私有通信协议,并为内外网交互的系统提供统一模式的规范接口,而且分别在应用层负责本端数据外流的合法性检查,即在数据流出内网和外网安全域之前,进行数据外流的合法性检查,在体系结构上保证了数据交换的安全。
4.内外网数据交换平台基于可靠的消息传递机制,实现报文在各个应用系统之间可配置的格式转换,交换路由和事务完整性保证功能。在提供用户可配置方式使用交换平台的同时,也允许用户扩展交换平台,实现客户化的工作。整个交换平台架构从下到上分为四层:
● 网络通信协议层,提供系统最底层的通信保证。
● 消息中间件层,提供系统可靠的消息传递机制。
● 交换中间件层,提供格式转换、交换路由、事务完整性保证等功能。
● 客户化层,提供用户扩展接口,实现用户客户化要求。
5. 交换平台应用系统可以分为三层体系,即平台核心层、前置与通信层和外部应用层。
平台核心层是指交换平台所提供的核心服务和核心API。其中核心服务包括交换主控、格式转换、路由转发、事务管理、任务管理、系统监控、通信服务、系统管理等。核心API是提供给平台使用者在对应用前置和通信服务进行客户化时调用核心服务的接口。本层的服务和API都由系统提供,用户无需开发即可直接调用。
前置通信层是指与外部应用进行通信,并调用核心服务或者核心API完成交换转发的中间层。本层的应用需要客户根据不同的应用要求和通信协议进行配置和客户化开发,平台核心层提供了强大而完备的核心服务和API以支持并最大限度地减少前置通信层的客户化工作。
外部应用层是指独立于交换平台的客户应用系统,客户通过定义交换平台对这些外部应用调用的次序,实现报文在这些应用之间的流转,从而实现指定的交换流程。本层的应用完全由客户提供,并通过前置通信层接入交换平台。
交换平台三层之间的关系是平台核心层提供核心服务和核心API以支持前置通信层的开发,前置通信层调用核心服务和核心API实现交换在各外部应用之间的转发,并负责和外部应用层之间的通信; 外部应用层提供真正实现交换的客户应用系统,并通过前置通信层实现交换报文的转发。外部应用层通过前置通信层接入核心,并不与平台核心层直接发生连接。
安全控制机制
内外网数据交换的安全控制机制主要包括通信主体的身份控制、通信过程的安全控制、通信数据的合法性和安全性控制等三方面。本系统在网络、应用和数据等三个层次上建立内外网数据交换的安全信任体系,从而实现内外网在OSI七层网络模型上的安全访问控制。
平台还提供字符串运算、逻辑运算、提取报文域等功能,允许外网数据交换平台通过网闸与内网进行网络通信,其中包括执行应用层通信的内容过滤,只允许内外网数据交换平台之间的合法通信报文穿越,进行网络物理隔离等措施,有效防范各类网络入侵和病毒攻击。
1. 网络层的安全控制
网闸负责进行内外网安全隔离,只允许内外网数据交换平台通过专有单一协议进行直接跨网通信,而对其他非授权通信一律阻断,以防范从外网对内网的各类非法网络入侵和攻击,包括漏洞攻击、DDoS攻击和带宽攻击等。具体实现方式包括:
会话终止: 在外网的计算机通过网闸与内网建立连接时,网闸的外部网络接口会通过模拟应用的服务器端,终止网络之间的会话连接,这样可确保在不可信和可信网络之间没有一条激活的会话连接;
协议安全检查: 对来自连接的数据包进行基于内部RFC的协议分析,也可以对某些协议进行动态分析,检查是否有攻击成分;
数据抽取和内部封装: 在协议检查同时,将协议分析后的数据包中的数据提取出来,然后将数据和安全协议一起通过特定的格式压缩、数据封装转化成网闸另一端能接受的格式;
基于安全策略的决策审查: 安全策略决策是运行在内部服务器,由系统管理员定义。它分析外部来的数据,主要是源地址、目的地址以及协议等信息,并且和规则库进行匹配,看是否允许通过或丢弃;
编码与解码: 对静态的数据块进行编码,编码是相对复杂而且基于随机关键字的。一旦编码,则打乱了数据或命令的原有格式,使数据中可能携带的可执行恶意代码失效,阻止恶意程序执行。一旦数据经过了内容检测且确认是安全的,它就被解码,准备发送到内部网络; 会话生成内部服务器模拟应用的客户端,将经检测过的数据发送到内部网络,和内部网络上真正的应用服务器建立一个新的连接,接着生成符合RFC协议的新通信包。
同时,通过外部集成入侵检测系统IDS,对内外网之间的网络通信进行安全审计,及时发现和追踪各类非法网络通信行为; 通过外部集成的负载均衡设备,为访问用户提供虚拟IP地址,保证物理服务器对用户不可见,避免非法用户对真实服务器的直接访问,避免对真实服务器的可能操作动作。
2. 应用层的安全保证
内外网数据交换平台通过下述方式实现应用层的安全控制:
协议与格式屏蔽: 内外网之间的任何数据交换都通过两个交换平台,两个交换平台使用内部约定的格式及与网闸适配的单一私有协议,无论在应用还是在网络上都保证了安全;
单项访问控制: 交换平台内部的路由配置功能能够有效地控制请求的转发,因此可以配置单向路由,即某些系统只允许内网访问外网,不允许外网主动发起对内网数据的请求;
合法性审查: 当内外网应用系统进行单向或双向数据交换时,内外网数据交换平台在本方安全域内,根据发送方应用系统的身份和所发送数据的类别及密级,按照预先定义的数据交换安全策略,对数据交换的主体、内容和方向进行合法性检查,只允许经授权的内外网应用系统之间进行必要的数据交换,且相互验证对方通信报文的合法性;
安全管理: 通过内外网交互系统的注册、端口管理(通信层、中间件层、应用层、人工处理层)和系统监控(对象、流水、自定义消息)等细粒度安全监控管理功能,灵活实现安全控制策略;
双向认证: 内外网应用系统在进行数据交换时,必须与内外网数据交换平台进行双向身份认证。
此外,通过内外网数据交换平台和集成第三方的安全审计系统,在数据交换过程中,将对数据交换的主体、类型、数据类别及密级、日期和结果等相关信息进行安全审计,及时发现和追踪各类非法数据交换行为。
3. 数据层的安全保证
内外网数据交换平台对发送方应用系统数据报文(或文件)中的CA信息进行透明转发,确保接收方应用系统可对数据报文(或文件)的CA信息进行合法性验证。当使用文件交换模式时,数据文件采用统一的文本格式,且在进行文件交换时对文件进行恶意代码过滤。特别是,平台提供字符串运算、逻辑运算、提取报文域等功能,允许外网数据交换平台通过网闸与内网之间的网络通信,其中包括执行应用层通信的内容过滤,只允许内外网数据交换平台之间的合法通信报文穿越,进行网络物理隔离等措施,有效防范各类网络入侵和病毒攻击。
4. 系统本身的安全
数据安全交换系统是内外网隔离的关键,其安全性必须得到保障,具体包括: 为内外网数据交换平台划分独立虚网,并实施严格的访问控制,只对外开放最少的必要的服务,减少对外暴露系统漏洞的可能性,防范漏洞攻击; 内外网数据交换平台采用非X86 CPU和非Windows操作系统的主机平台; 对内外网数据安全交换平台的访问进行严格的身份控制等措施,以防范对内外网数据交换通道的各类非法访问和网络攻击。
数据交换机制
本系统的数据交换机制是基于消息总线的交换,能够实现报文、数据文件、图像、数据库等各种类型实时、批量交换。内外网数据交换平台由消息队列和核心交换处理两大部分构成。核心交换处理可将各个系统有机结合在一起。同时交换平台之间能够相互连接,实现交换平台的互联。