網閘在社保網絡安全防護中(zhōng)的應用研究
各級社保網絡信息系統經過多年的建設,已經初具規模。社保網絡上承載或運行着醫療險、養老險、失業險等信息系統。社保網聯接下(xià)屬勞動保障經辦單位、定點醫院、藥店(diàn)、銀行、社區服務中(zhōng)心等相關單位。另外(wài)爲了方便對社會提供服務和移動辦公需要,社保網還需要與互聯網相聯。
根據業務性質要求及數據高安全性的需要,社保網絡應具備高效、完整的安全體(tǐ)系,能提供7*24小(xiǎo)時不間斷的服務。
傳統的安全保護措施是以防火(huǒ)牆、入侵檢測、殺病毒爲核心的安全防禦體(tǐ)系,這些措施雖然起到了一(yī)定的作用,但其隔離(lí)防護效果還不盡如人意,而網閘彌補了這些不足,尤其是網閘近似于物(wù)理隔離(lí)的特性,使得其安全保護性能遠遠超過了防火(huǒ)牆。
1 傳統隔離(lí)措施及存在的問題
傳統的網絡安全是通過邊界控制、執行安全政策來完成的。内網和外(wài)網,專網和公網,涉密網和非涉密網,互聯網和内聯網,大(dà)體(tǐ)上反應了這樣一(yī)種劃分(fēn)。這種二元邏輯劃分(fēn),有時候過于簡單,人們采用非戰區(DMZ )或安全服務子網(SSN)的辦法進行補充。通過限制邊界,改善了網絡的安全狀況。
根據社保網絡應用結構和各信息系統的性質,我(wǒ)們将其劃分(fēn)爲五大(dà)安全域和三大(dà)安全防護邊界。
五大(dà)安全域:核心服務器區域(安全級别最高)、網絡安全管理區域、内部辦公區域、對外(wài)服務的DMZ區域、二級單位及橫向聯網單位接入區域。
五大(dà)安全區域相互之間有多個網絡邊界,其中(zhōng)需要重點布防的邊界是:互聯網邊界(安全威脅最高),二級單位醫保/銀行/稅務接入邊界、DMZ區域與核心服務器區域邊界。傳統的措施是在這些邊界處部署防火(huǒ)牆進行隔離(lí)。區域劃分(fēn)及防火(huǒ)牆部署示意圖如圖1所示。
圖1 采用防火(huǒ)牆進行隔離(lí)示意圖
上述隔離(lí)辦法存在的主要問題是:
l 由于核心服務器區域的安全級别遠遠高于其它區域,在DMZ區域與核心服務器區域邊界僅僅部署防火(huǒ)牆隔離(lí),而防火(huǒ)牆是邏輯隔離(lí)設備,其隔離(lí)強度和安全檢查策略不能滿足此處高安全性的要求;
l 在互聯網邊界已有防火(huǒ)牆進行隔離(lí),再在DMZ區域與核心服務器區域邊界又(yòu)部署防火(huǒ)牆隔離(lí),雖然兩處策略不盡相同,但還是存在同質化的疑慮,即黑客如果攻破了第一(yī)道防火(huǒ)牆,那麽照樣可以攻破第二道防火(huǒ)牆。
2 網閘工(gōng)作原理
網閘是新一(yī)代的高安全性的隔離(lí)技術産品。網閘采用“2+1”的結構,即由兩套單邊計算機主機(外(wài)部主機、内部主機)和一(yī)套固态介質存儲系統的隔離(lí)開(kāi)關組成。由外(wài)部主機、内部主機和開(kāi)關系統組成。
外(wài)部的單邊計算機主機,隻有外(wài)網卡,沒有内網卡。該主機安裝有代理軟件:Agent。這個“Agent”不是内網的一(yī)部分(fēn),而是外(wài)網的一(yī)部分(fēn)。“ Agent”代理内網去(qù)外(wài)網獲取信息,然後放(fàng)在指定的地方。
内部的計算機主機,隻有内網卡,沒有外(wài)網卡。該主機是網閘在内網的連接點,屬于内網的一(yī)部分(fēn)。所有内網的主機需要得到外(wài)網上的信息,都必須通過這台主機來代辦。這台主機并不是簡單的代理所有的請求,而是執行嚴格的安全政策,内容審查,防洩密,批準或是不批準訪問請求。它從固定的地方取回請求的文件信息,檢查請求回來的數據是否安全,建立内部的TCP/IP網絡連接,将文件數據發回給請求者。
基于固态存儲介質的網絡開(kāi)關,是網絡隔離(lí)的核心。外(wài)部單邊計算機主機與内部單邊計算機主機是永遠斷開(kāi)的。隔離(lí)開(kāi)關邏輯上由兩個開(kāi)關組成,一(yī)個開(kāi)關處在外(wài)部單邊計算機主機和固态存儲介質之間,我(wǒ)們稱之爲K1,另一(yī)個開(kāi)關處在内部單邊計算機主機和固态存儲介質之間,我(wǒ)們稱之爲K2。K1和K2在任何時候至少有一(yī)個是斷開(kāi)的,即K1*K2=0,這是物(wù)理上固定的,不受任何控制系統的控制。因此,隻有三種情況,K1=1,K2=0;K1=0,K2=1;K1=0,K2=0。如圖2所示。
怎樣在兩個網絡完全斷開(kāi)的情況下(xià),實現信息的交換,是網閘的關鍵。外(wài)部單邊計算機主機,在K1=1和K2=0狀态下(xià),将文件信息交給固态存儲介質,類似于交給銀行的保險箱。内部單邊計算機主機,在K1=0和K2=1的狀态下(xià),将文件信息從固态存儲介質中(zhōng)取回,相當于從銀行保險箱中(zhōng)取走文件。兩種狀況下(xià),K1*K2=0,即兩個主機是完全斷開(kāi)的。在K1=0和K2=0狀态下(xià),沒有任何信息交換,也是斷開(kāi)的。
圖2 網閘開(kāi)關原理
網閘從網絡第一(yī)層一(yī)直工(gōng)作到網絡第七層,網閘斷開(kāi)了兩個網絡,中(zhōng)止了所有的協議,在網絡的第七層将包還原爲原始數據或文件,然後以“擺渡文件”的形式來傳遞和交換數據,沒有任何包、命令和TCP/IP協議(包括UDP和ICMP)可以穿透網閘。
前面讨論了防火(huǒ)牆隔離(lí)措施存在的問題,在圖1中(zhōng),将DMZ區域與核心服務器區域邊界的防火(huǒ)牆,替換爲網閘設備,其隔離(lí)強度和安全檢查策略就可滿足此處高安全性的要求。同時考慮到此處邊界的重要性和高可用性要求,此處可采用雙機熱備的方式部署網閘,以免出現單點故障。
将網閘的外(wài)部主機連接DMZ區交換機,内部主機核心服務器區交換機,外(wài)部主機包含外(wài)部單邊代理(軟件模塊)、内部主機包含内部單邊代理(軟件模塊),内外(wài)網主機代理之間的文件交換均通過網閘的開(kāi)關系統來擺渡數據,部署示意圖如圖3所示。
圖3:網閘隔離(lí)部署示意圖
(1)網閘消除了來自外(wài)網對内網的攻擊
部署了網閘後,由于外(wài)網(DMZ區及Internet)與内網(核心服務器區)是永遠斷開(kāi)的,加上采用單邊計算機主機模式,中(zhōng)斷了TCP/IP,中(zhōng)斷了應用連接,屏蔽了内部的網絡拓撲結構,屏蔽了内部直接的操作系統漏洞,使基于網絡的攻擊無處可乘。部署網閘使得外(wài)網:
l 無法ping涉密網的任何主機;
l 無法穿透網閘來追蹤路由(traceroute);
l 無法掃描内部網絡,因此無法發現内網的主機信息、操作系統信息、應用信息;
l 無法發現内網主機的漏洞、應用的漏洞;
l 無法同内網的主機建立通信連接;
l 無法向内網發送IP包;
l 無法同内網的人格任何主機建立TCP/UDP/ICMP連接;
l 無法同内網的任何主機建立應用連接(C/S或B/S)。
(2)網閘消除了對自身攻擊的威脅和風險
用于對外(wài)訪問的網閘的外(wài)部主機,本身不對外(wài)提供任何服務,也不向外(wài)開(kāi)放(fàng)任何端口,隻主動向外(wài)請求服務。因此,外(wài)網上的計算機不能對網閘外(wài)部主機的任何端口進行連接,從而無法進行攻擊。任何主動向網閘發起的連接都被拒絕。
網閘主機采用了抗攻擊内核的技術,完全屏蔽了外(wài)部主機的存在,因此無法攻擊。
網閘的雙主機結構消除了網閘的操作系統漏洞的威脅。雙主機之間的開(kāi)關,是一(yī)個完全的硬件介質,沒有操作系統沒有軟件,沒有狀态,沒有任何控制單元,因此,完全無法攻擊。這既保證了即使退一(yī)萬步,外(wài)部主機的操作系統的漏洞被曝光,也無法對内網的内部主機進行刺探,因爲開(kāi)關是完全無法進行攻擊的。
在最壞的情況下(xià),外(wài)部主機的操作系統漏洞被曝光,黑客所能做的最壞的結果是,向開(kāi)關發送無效的數據,這個我(wǒ)們不用擔心,因爲内網的内部主機的鑒别和過濾程序會拒絕這些數據;破壞操作系統并關閉外(wài)部主機,這個我(wǒ)們也不擔心,因爲網閘在這種情況下(xià),還是物(wù)理斷開(kāi)的。因爲網絡隔離(lí)的安全偵測是,如果不能保證安全就斷開(kāi)。
(3)網閘采用了内容過濾和檢查機制來防信息洩露
l 對URL進行格式過濾、内容過濾和控制;
l 對URL執行白(bái)名單或黑名單過濾;
l 對GET進行格式過濾、内容過濾和控制;
l 對GET的文件類型進行限制;
l 對POST進行内容過濾;
l 對 POST進行類型、格式控制;
l 對交換的數據進行防病毒檢查、進行防惡意代碼檢查;
l 對交換數據包含的命令、協議進行檢查;
l 對重定向進行限制;
l 通過應用代理來執行嚴格的應用規範檢查。
(4)網閘可建立單向信息流入政策
網閘在内網中(zhōng)執行的是一(yī)種單向信息流入的服務政策,即内網可以訪問外(wài)網,但外(wài)網不能訪問内網。如在DMZ區部署前置機,通過網閘将社保核心服務器上的數據擺渡到前置機上,供Internet上的用戶進行查詢,但Internet上的用戶不允許直接訪問到核心服務器上。
另外(wài)還可在 DMZ區部署前置服務器,收集和接收Internet上用戶(如社區用戶通過Internet)上傳過來的信息,經過加工(gōng)處理再通過網閘單向傳遞給核心服務器,供内部使用。
同時在此基礎上,網閘還采取多重措施,嚴防洩密。這些措施包括:身份認證、格式控制機制、關鍵詞過濾機制、訪問控制技術等措施。
在實際應用中(zhōng),我(wǒ)們采用兩台中(zhōng)網網閘X-GAP8500(雙機熱備)來隔離(lí)社保網核心服務器區域與DMZ區域。經過收發包測試,發包計算機所發數據包不會直接通過TCP協議棧到達收包計算機,在網閘的内外(wài)端機采用應用代理進行協議終止,并在應用層進行協議過濾,未知(zhī)協議不能通過網閘。網閘的安全強度大(dà)大(dà)高于防火(huǒ)牆,安全防護效果明顯,并且運行穩定。類似的網閘應用還可推廣到網上稅務、網上财政、網上銀行、網上證券、網上工(gōng)商(shāng)、網上電(diàn)力營銷等系統。