◆潘德偉 林敏

（民航中南空管局 廣東 510403）

眾所周知，對于重要信息系統(tǒng)的保護(hù)，通常我們采用物理斷開的方法，但是物理斷開很多時候會對業(yè)務(wù)系統(tǒng)的運行造成嚴(yán)重的不便，對業(yè)務(wù)系統(tǒng)的發(fā)展人為地增加了困難。隨著各單位信息化建設(shè)的不斷深入發(fā)展，越來越多部署在單位內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)（如：信息發(fā)布、內(nèi)部OA、內(nèi)部在線培訓(xùn)等）需要提供單位外部的網(wǎng)絡(luò)訪問方式。

很多企業(yè)單位在信息化建設(shè)中，通常的雙網(wǎng)建設(shè)原則是重要業(yè)務(wù)系統(tǒng)、日常辦公計算機(jī)處于內(nèi)部網(wǎng)絡(luò)，而一些業(yè)務(wù)系統(tǒng)需要對外部網(wǎng)絡(luò)甚至互聯(lián)網(wǎng)提供訪問。物理斷開造成了應(yīng)用與數(shù)據(jù)的脫節(jié)，影響了工作的效率。因此為了實現(xiàn)用戶通過外部網(wǎng)絡(luò)安全、實時、高效地訪問相關(guān)業(yè)務(wù)系統(tǒng)，需要建立一個安全的內(nèi)外網(wǎng)絡(luò)安全隔離與數(shù)據(jù)交互平臺，實現(xiàn)不同區(qū)域網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換。

1 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

根據(jù)系統(tǒng)安全性設(shè)計原則，內(nèi)外數(shù)據(jù)交互基礎(chǔ)平臺分三個區(qū)域建設(shè)：應(yīng)用發(fā)布區(qū)、安全隔離區(qū)和內(nèi)部安全區(qū)，三個區(qū)域之間通過安全設(shè)備進(jìn)行隔離，在保證信息安全的前提下，將單位內(nèi)部經(jīng)主管部門評估并可對外發(fā)布的數(shù)據(jù)與信息，通過安全可靠的方式，實現(xiàn)對外部單位用戶的進(jìn)行發(fā)布及相關(guān)信息數(shù)據(jù)交互，系統(tǒng)整體網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 內(nèi)外網(wǎng)數(shù)據(jù)交互平臺拓?fù)鋱D

2 系統(tǒng)主要區(qū)域及功能特點

從圖一我們可以看出，外部網(wǎng)絡(luò)區(qū)和內(nèi)部安全區(qū)為常規(guī)的部署模式，而系統(tǒng)安全建設(shè)的重點主要集中在應(yīng)用發(fā)布區(qū)及安全隔離區(qū)，以下將對重點區(qū)域安全建設(shè)相關(guān)設(shè)備及功能進(jìn)行介紹。

2.1 應(yīng)用發(fā)布區(qū)

防DDoS 攻擊設(shè)備：從紛雜的網(wǎng)絡(luò)背景流量中精準(zhǔn)地識別出各種已知和未知的拒絕服務(wù)攻擊流量，并能夠?qū)崟r過濾和清洗，確保網(wǎng)絡(luò)正常訪問流量通暢，是保障服務(wù)器數(shù)據(jù)可用性的安全產(chǎn)品。

出口防火墻：以透明方式部署，內(nèi)置包含AV 功能模塊，作為4G、移動網(wǎng)絡(luò)接入交互時的安全隔離、權(quán)限控制使用，防止非法訪問及惡意攻擊防范。

入侵防御系統(tǒng)：以透明方式部署，重點關(guān)注網(wǎng)絡(luò)攻擊行為，尤其是對應(yīng)用層協(xié)議進(jìn)行分析，并主動阻斷攻擊行為。提供主動防護(hù)，是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失。

網(wǎng)頁防篡改系統(tǒng)：基于對Web 應(yīng)用業(yè)務(wù)和邏輯的深刻理解，對來自Web 應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，保護(hù)Web 網(wǎng)站應(yīng)用不被篡改，并且即使被篡改后，也有馬上恢復(fù)正常的能力。

負(fù)載均衡系統(tǒng)：主要是用來做服務(wù)器的冗余負(fù)載，通過多樣化的負(fù)載均衡策略，智能化的流量管理，可達(dá)到最佳的負(fù)載均衡需求。提高了應(yīng)用服務(wù)器和網(wǎng)絡(luò)的利用率，增加了業(yè)務(wù)應(yīng)用的安全性和可靠性，從而有效降低了用戶服務(wù)器硬件成本和網(wǎng)絡(luò)運維成本。

網(wǎng)管審計系統(tǒng)：采用旁路部署的模式，可以實現(xiàn)集中的賬號管理、集中的訪問控制和集中的安全審計，為運維人員提供統(tǒng)一認(rèn)證登錄方式，并對運維審計操作行為以文本、視頻的方式進(jìn)行審計存檔，便于異常事件發(fā)生后的調(diào)查取證。

漏洞掃描系統(tǒng)：采用旁路部署的模式，通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤設(shè)置，在黑客攻擊前進(jìn)行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，能有效避免黑客攻擊行為，做到防患于未然。

態(tài)勢感知平臺：系統(tǒng)通過收集所管理網(wǎng)絡(luò)的資產(chǎn)、流量、日志、網(wǎng)站等相關(guān)的安全數(shù)據(jù)，經(jīng)過存儲、處理、分析后形成安全態(tài)勢及告警，輔助用戶了解所管轄網(wǎng)絡(luò)安全態(tài)勢并能對告警進(jìn)行協(xié)同處置。利用現(xiàn)有的安全系統(tǒng)、安全設(shè)備，逐步演進(jìn)為“安全數(shù)據(jù)集中存儲、態(tài)勢感知場景豐富、動態(tài)建模分析及可視化綜合展示”的高價值安全信息存儲及分析系統(tǒng)，加快對安全威脅的認(rèn)知及有效預(yù)警。

2.2 安全隔離區(qū)域

數(shù)據(jù)庫審計系統(tǒng)：主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對網(wǎng)絡(luò)數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進(jìn)行查詢、分析、過濾，實現(xiàn)對目標(biāo)數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。

數(shù)據(jù)安全擺渡設(shè)備：該設(shè)備主要作用在兩個不同安全域之間，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^。該設(shè)備的基本特征就是使應(yīng)用發(fā)布區(qū)和內(nèi)部安全區(qū)永遠(yuǎn)不連接，應(yīng)用發(fā)布區(qū)和內(nèi)部安全區(qū)在同一時間最多只有一個同擺渡設(shè)備建立數(shù)據(jù)連接，可以是兩個都不連接，但不能同時連接兩個。

3 業(yè)務(wù)系統(tǒng)實現(xiàn)方式

基于內(nèi)外網(wǎng)交互平臺的架構(gòu)模式下，相關(guān)的業(yè)務(wù)系統(tǒng)部署相比傳統(tǒng)方式也有一定的調(diào)整，涉及業(yè)務(wù)系統(tǒng)發(fā)布的主要服務(wù)器如下：

應(yīng)用發(fā)布區(qū)：發(fā)布區(qū)Web-SRV

安全隔離區(qū)：隔離區(qū)DB-SRV、隔離區(qū)Web-SRV

內(nèi)部安全區(qū)：內(nèi)部Web-SRV、內(nèi)部DB-SRV

圖2 應(yīng)用部署結(jié)構(gòu)圖

4 結(jié)束語

綜上我們可以認(rèn)為，基于內(nèi)外網(wǎng)安全隔離的數(shù)據(jù)交互雙網(wǎng)解決方案，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的情況下，實現(xiàn)了雙網(wǎng)安全有效地隔離，保證了數(shù)據(jù)的互聯(lián)互通，打破了采用物理斷開方式下造成應(yīng)用與數(shù)據(jù)的脫節(jié)這類弊端，從而有效地提高業(yè)務(wù)系統(tǒng)的使用效率及行政執(zhí)行效率。