網閘在社保網絡安(ān)全防護中(zhōng)的應用(yòng)研究
各級社保網絡信息系統經過多(duō)年的建設,已經初具(jù)規模。社保網絡上承載或運行着醫(yī)療險、養老險、失業險等信息系統。社保網聯接下屬勞動保障經辦(bàn)單位、定點醫(yī)院、藥店(diàn)、銀行、社區(qū)服務(wù)中(zhōng)心等相關單位。另外為(wèi)了方便對社會提供服務(wù)和移動辦(bàn)公(gōng)需要,社保網還需要與互聯網相聯。
根據業務(wù)性質(zhì)要求及數據高安(ān)全性的需要,社保網絡應具(jù)備高效、完整的安(ān)全體(tǐ)系,能(néng)提供7*24小(xiǎo)時不間斷的服務(wù)。
傳統的安(ān)全保護措施是以防火牆、入侵檢測、殺病毒為(wèi)核心的安(ān)全防禦體(tǐ)系,這些措施雖然起到了一定的作(zuò)用(yòng),但其隔離防護效果還不盡如人意,而網閘彌補了這些不足,尤其是網閘近似于物(wù)理(lǐ)隔離的特性,使得其安(ān)全保護性能(néng)遠(yuǎn)遠(yuǎn)超過了防火牆。
1 傳統隔離措施及存在的問題
傳統的網絡安(ān)全是通過邊界控制、執行安(ān)全政策來完成的。内網和外網,專網和公(gōng)網,涉密網和非涉密網,互聯網和内聯網,大體(tǐ)上反應了這樣一種劃分(fēn)。這種二元邏輯劃分(fēn),有(yǒu)時候過于簡單,人們采用(yòng)非戰區(qū)(DMZ )或安(ān)全服務(wù)子網(SSN)的辦(bàn)法進行補充。通過限制邊界,改善了網絡的安(ān)全狀況。
根據社保網絡應用(yòng)結構和各信息系統的性質(zhì),我們将其劃分(fēn)為(wèi)五大安(ān)全域和三大安(ān)全防護邊界。
五大安(ān)全域:核心服務(wù)器區(qū)域(安(ān)全級别最高)、網絡安(ān)全管理(lǐ)區(qū)域、内部辦(bàn)公(gōng)區(qū)域、對外服務(wù)的DMZ區(qū)域、二級單位及橫向聯網單位接入區(qū)域。
五大安(ān)全區(qū)域相互之間有(yǒu)多(duō)個網絡邊界,其中(zhōng)需要重點布防的邊界是:互聯網邊界(安(ān)全威脅最高),二級單位醫(yī)保/銀行/稅務(wù)接入邊界、DMZ區(qū)域與核心服務(wù)器區(qū)域邊界。傳統的措施是在這些邊界處部署防火牆進行隔離。區(qū)域劃分(fēn)及防火牆部署示意圖如圖1所示。
圖1 采用(yòng)防火牆進行隔離示意圖
上述隔離辦(bàn)法存在的主要問題是:
l 由于核心服務(wù)器區(qū)域的安(ān)全級别遠(yuǎn)遠(yuǎn)高于其它區(qū)域,在DMZ區(qū)域與核心服務(wù)器區(qū)域邊界僅僅部署防火牆隔離,而防火牆是邏輯隔離設備,其隔離強度和安(ān)全檢查策略不能(néng)滿足此處高安(ān)全性的要求;
l 在互聯網邊界已有(yǒu)防火牆進行隔離,再在DMZ區(qū)域與核心服務(wù)器區(qū)域邊界又(yòu)部署防火牆隔離,雖然兩處策略不盡相同,但還是存在同質(zhì)化的疑慮,即黑客如果攻破了第一道防火牆,那麽照樣可(kě)以攻破第二道防火牆。
2 網閘工(gōng)作(zuò)原理(lǐ)
網閘是新(xīn)一代的高安(ān)全性的隔離技(jì )術産(chǎn)品。網閘采用(yòng)“2+1”的結構,即由兩套單邊計算機主機(外部主機、内部主機)和一套固态介質(zhì)存儲系統的隔離開關組成。由外部主機、内部主機和開關系統組成。
外部的單邊計算機主機,隻有(yǒu)外網卡,沒有(yǒu)内網卡。該主機安(ān)裝(zhuāng)有(yǒu)代理(lǐ)軟件:Agent。這個“Agent”不是内網的一部分(fēn),而是外網的一部分(fēn)。“ Agent”代理(lǐ)内網去外網獲取信息,然後放在指定的地方。
内部的計算機主機,隻有(yǒu)内網卡,沒有(yǒu)外網卡。該主機是網閘在内網的連接點,屬于内網的一部分(fēn)。所有(yǒu)内網的主機需要得到外網上的信息,都必須通過這台主機來代辦(bàn)。這台主機并不是簡單的代理(lǐ)所有(yǒu)的請求,而是執行嚴格的安(ān)全政策,内容審查,防洩密,批準或是不批準訪問請求。它從固定的地方取回請求的文(wén)件信息,檢查請求回來的數據是否安(ān)全,建立内部的TCP/IP網絡連接,将文(wén)件數據發回給請求者。
基于固态存儲介質(zhì)的網絡開關,是網絡隔離的核心。外部單邊計算機主機與内部單邊計算機主機是永遠(yuǎn)斷開的。隔離開關邏輯上由兩個開關組成,一個開關處在外部單邊計算機主機和固态存儲介質(zhì)之間,我們稱之為(wèi)K1,另一個開關處在内部單邊計算機主機和固态存儲介質(zhì)之間,我們稱之為(wèi)K2。K1和K2在任何時候至少有(yǒu)一個是斷開的,即K1*K2=0,這是物(wù)理(lǐ)上固定的,不受任何控制系統的控制。因此,隻有(yǒu)三種情況,K1=1,K2=0;K1=0,K2=1;K1=0,K2=0。如圖2所示。
怎樣在兩個網絡完全斷開的情況下,實現信息的交換,是網閘的關鍵。外部單邊計算機主機,在K1=1和K2=0狀态下,将文(wén)件信息交給固态存儲介質(zhì),類似于交給銀行的保險箱。内部單邊計算機主機,在K1=0和K2=1的狀态下,将文(wén)件信息從固态存儲介質(zhì)中(zhōng)取回,相當于從銀行保險箱中(zhōng)取走文(wén)件。兩種狀況下,K1*K2=0,即兩個主機是完全斷開的。在K1=0和K2=0狀态下,沒有(yǒu)任何信息交換,也是斷開的。
圖2 網閘開關原理(lǐ)
網閘從網絡第一層一直工(gōng)作(zuò)到網絡第七層,網閘斷開了兩個網絡,中(zhōng)止了所有(yǒu)的協議,在網絡的第七層将包還原為(wèi)原始數據或文(wén)件,然後以“擺渡文(wén)件”的形式來傳遞和交換數據,沒有(yǒu)任何包、命令和TCP/IP協議(包括UDP和ICMP)可(kě)以穿透網閘。
前面讨論了防火牆隔離措施存在的問題,在圖1中(zhōng),将DMZ區(qū)域與核心服務(wù)器區(qū)域邊界的防火牆,替換為(wèi)網閘設備,其隔離強度和安(ān)全檢查策略就可(kě)滿足此處高安(ān)全性的要求。同時考慮到此處邊界的重要性和高可(kě)用(yòng)性要求,此處可(kě)采用(yòng)雙機熱備的方式部署網閘,以免出現單點故障。
将網閘的外部主機連接DMZ區(qū)交換機,内部主機核心服務(wù)器區(qū)交換機,外部主機包含外部單邊代理(lǐ)(軟件模塊)、内部主機包含内部單邊代理(lǐ)(軟件模塊),内外網主機代理(lǐ)之間的文(wén)件交換均通過網閘的開關系統來擺渡數據,部署示意圖如圖3所示。
圖3:網閘隔離部署示意圖
(1)網閘消除了來自外網對内網的攻擊
部署了網閘後,由于外網(DMZ區(qū)及Internet)與内網(核心服務(wù)器區(qū))是永遠(yuǎn)斷開的,加上采用(yòng)單邊計算機主機模式,中(zhōng)斷了TCP/IP,中(zhōng)斷了應用(yòng)連接,屏蔽了内部的網絡拓撲結構,屏蔽了内部直接的操作(zuò)系統漏洞,使基于網絡的攻擊無處可(kě)乘。部署網閘使得外網:
l 無法ping涉密網的任何主機;
l 無法穿透網閘來追蹤路由(traceroute);
l 無法掃描内部網絡,因此無法發現内網的主機信息、操作(zuò)系統信息、應用(yòng)信息;
l 無法發現内網主機的漏洞、應用(yòng)的漏洞;
l 無法同内網的主機建立通信連接;
l 無法向内網發送IP包;
l 無法同内網的人格任何主機建立TCP/UDP/ICMP連接;
l 無法同内網的任何主機建立應用(yòng)連接(C/S或B/S)。
(2)網閘消除了對自身攻擊的威脅和風險
用(yòng)于對外訪問的網閘的外部主機,本身不對外提供任何服務(wù),也不向外開放任何端口,隻主動向外請求服務(wù)。因此,外網上的計算機不能(néng)對網閘外部主機的任何端口進行連接,從而無法進行攻擊。任何主動向網閘發起的連接都被拒絕。
網閘主機采用(yòng)了抗攻擊内核的技(jì )術,完全屏蔽了外部主機的存在,因此無法攻擊。
網閘的雙主機結構消除了網閘的操作(zuò)系統漏洞的威脅。雙主機之間的開關,是一個完全的硬件介質(zhì),沒有(yǒu)操作(zuò)系統沒有(yǒu)軟件,沒有(yǒu)狀态,沒有(yǒu)任何控制單元,因此,完全無法攻擊。這既保證了即使退一萬步,外部主機的操作(zuò)系統的漏洞被曝光,也無法對内網的内部主機進行刺探,因為(wèi)開關是完全無法進行攻擊的。
在最壞的情況下,外部主機的操作(zuò)系統漏洞被曝光,黑客所能(néng)做的最壞的結果是,向開關發送無效的數據,這個我們不用(yòng)擔心,因為(wèi)内網的内部主機的鑒别和過濾程序會拒絕這些數據;破壞操作(zuò)系統并關閉外部主機,這個我們也不擔心,因為(wèi)網閘在這種情況下,還是物(wù)理(lǐ)斷開的。因為(wèi)網絡隔離的安(ān)全偵測是,如果不能(néng)保證安(ān)全就斷開。
(3)網閘采用(yòng)了内容過濾和檢查機制來防信息洩露
l 對URL進行格式過濾、内容過濾和控制;
l 對URL執行白名(míng)單或黑名(míng)單過濾;
l 對GET進行格式過濾、内容過濾和控制;
l 對GET的文(wén)件類型進行限制;
l 對POST進行内容過濾;
l 對 POST進行類型、格式控制;
l 對交換的數據進行防病毒檢查、進行防惡意代碼檢查;
l 對交換數據包含的命令、協議進行檢查;
l 對重定向進行限制;
l 通過應用(yòng)代理(lǐ)來執行嚴格的應用(yòng)規範檢查。
(4)網閘可(kě)建立單向信息流入政策
網閘在内網中(zhōng)執行的是一種單向信息流入的服務(wù)政策,即内網可(kě)以訪問外網,但外網不能(néng)訪問内網。如在DMZ區(qū)部署前置機,通過網閘将社保核心服務(wù)器上的數據擺渡到前置機上,供Internet上的用(yòng)戶進行查詢,但Internet上的用(yòng)戶不允許直接訪問到核心服務(wù)器上。
另外還可(kě)在 DMZ區(qū)部署前置服務(wù)器,收集和接收Internet上用(yòng)戶(如社區(qū)用(yòng)戶通過Internet)上傳過來的信息,經過加工(gōng)處理(lǐ)再通過網閘單向傳遞給核心服務(wù)器,供内部使用(yòng)。
同時在此基礎上,網閘還采取多(duō)重措施,嚴防洩密。這些措施包括:身份認證、格式控制機制、關鍵詞過濾機制、訪問控制技(jì )術等措施。
在實際應用(yòng)中(zhōng),我們采用(yòng)兩台中(zhōng)網網閘X-GAP8500(雙機熱備)來隔離社保網核心服務(wù)器區(qū)域與DMZ區(qū)域。經過收發包測試,發包計算機所發數據包不會直接通過TCP協議棧到達收包計算機,在網閘的内外端機采用(yòng)應用(yòng)代理(lǐ)進行協議終止,并在應用(yòng)層進行協議過濾,未知協議不能(néng)通過網閘。網閘的安(ān)全強度大大高于防火牆,安(ān)全防護效果明顯,并且運行穩定。類似的網閘應用(yòng)還可(kě)推廣到網上稅務(wù)、網上财政、網上銀行、網上證券、網上工(gōng)商(shāng)、網上電(diàn)力營銷等系統。
上一篇:網閘應用(yòng)測試
下一篇:企業系統