网闸在社保网络安全防护中的应用研究
各级社保网络信息系统经过多年的建设,已经初具规模。社保网络上承载或运行着医疗险、养老险、失业险等信息系统。社保网联接下属劳动保障经办单位、定点医院、药店、银行、社区服务中心等相关单位。另外为了方便对社会提供服务和移动办公需要,社保网还需要与互联网相联。
根据业务性质要求及数据高安全性的需要,社保网络应具备高效、完整的安全体系,能提供7*24小时不间断的服务。
传统的安全保护措施是以防火墙、入侵检测、杀病毒为核心的安全防御体系,这些措施虽然起到了一定的作用,但其隔离防护效果还不尽如人意,而网闸弥补了这些不足,尤其是网闸近似于物理隔离的特性,使得其安全保护性能远远超过了防火墙。
1 传统隔离措施及存在的问题
传统的网络安全是通过边界控制、执行安全政策来完成的。内网和外网,专网和公网,涉密网和非涉密网,互联网和内联网,大体上反应了这样一种划分。这种二元逻辑划分,有时候过于简单,人们采用非战区(DMZ )或安全服务子网(SSN)的办法进行补充。通过限制边界,改善了网络的安全状况。
根据社保网络应用结构和各信息系统的性质,我们将其划分为五大安全域和三大安全防护边界。
五大安全域:核心服务器区域(安全级别最高)、网络安全管理区域、内部办公区域、对外服务的DMZ区域、二级单位及横向联网单位接入区域。
五大安全区域相互之间有多个网络边界,其中需要重点布防的边界是:互联网边界(安全威胁最高),二级单位医保/银行/税务接入边界、DMZ区域与核心服务器区域边界。传统的措施是在这些边界处部署防火墙进行隔离。区域划分及防火墙部署示意图如图1所示。
图1 采用防火墙进行隔离示意图
上述隔离办法存在的主要问题是:
l 由于核心服务器区域的安全级别远远高于其它区域,在DMZ区域与核心服务器区域边界仅仅部署防火墙隔离,而防火墙是逻辑隔离设备,其隔离强度和安全检查策略不能满足此处高安全性的要求;
l 在互联网边界已有防火墙进行隔离,再在DMZ区域与核心服务器区域边界又部署防火墙隔离,虽然两处策略不尽相同,但还是存在同质化的疑虑,即黑客如果攻破了第一道防火墙,那么照样可以攻破第二道防火墙。
2 网闸工作原理
网闸是新一代的高安全性的隔离技术产品。网闸采用“2+1”的结构,即由两套单边计算机主机(外部主机、内部主机)和一套固态介质存储系统的隔离开关组成。由外部主机、内部主机和开关系统组成。
外部的单边计算机主机,只有外网卡,没有内网卡。该主机安装有代理软件:Agent。这个“Agent”不是内网的一部分,而是外网的一部分。“ Agent”代理内网去外网获取信息,然后放在指定的地方。
内部的计算机主机,只有内网卡,没有外网卡。该主机是网闸在内网的连接点,属于内网的一部分。所有内网的主机需要得到外网上的信息,都必须通过这台主机来代办。这台主机并不是简单的代理所有的请求,而是执行严格的安全政策,内容审查,防泄密,批准或是不批准访问请求。它从固定的地方取回请求的文件信息,检查请求回来的数据是否安全,建立内部的TCP/IP网络连接,将文件数据发回给请求者。
基于固态存储介质的网络开关,是网络隔离的核心。外部单边计算机主机与内部单边计算机主机是永远断开的。隔离开关逻辑上由两个开关组成,一个开关处在外部单边计算机主机和固态存储介质之间,我们称之为K1,另一个开关处在内部单边计算机主机和固态存储介质之间,我们称之为K2。K1和K2在任何时候至少有一个是断开的,即K1*K2=0,这是物理上固定的,不受任何控制系统的控制。因此,只有三种情况,K1=1,K2=0;K1=0,K2=1;K1=0,K2=0。如图2所示。
怎样在两个网络完全断开的情况下,实现信息的交换,是网闸的关键。外部单边计算机主机,在K1=1和K2=0状态下,将文件信息交给固态存储介质,类似于交给银行的保险箱。内部单边计算机主机,在K1=0和K2=1的状态下,将文件信息从固态存储介质中取回,相当于从银行保险箱中取走文件。两种状况下,K1*K2=0,即两个主机是完全断开的。在K1=0和K2=0状态下,没有任何信息交换,也是断开的。
图2 网闸开关原理
网闸从网络第一层一直工作到网络第七层,网闸断开了两个网络,中止了所有的协议,在网络的第七层将包还原为原始数据或文件,然后以“摆渡文件”的形式来传递和交换数据,没有任何包、命令和TCP/IP协议(包括UDP和ICMP)可以穿透网闸。
前面讨论了防火墙隔离措施存在的问题,在图1中,将DMZ区域与核心服务器区域边界的防火墙,替换为网闸设备,其隔离强度和安全检查策略就可满足此处高安全性的要求。同时考虑到此处边界的重要性和高可用性要求,此处可采用双机热备的方式部署网闸,以免出现单点故障。
将网闸的外部主机连接DMZ区交换机,内部主机核心服务器区交换机,外部主机包含外部单边代理(软件模块)、内部主机包含内部单边代理(软件模块),内外网主机代理之间的文件交换均通过网闸的开关系统来摆渡数据,部署示意图如图3所示。
图3:网闸隔离部署示意图
(1)网闸消除了来自外网对内网的攻击
部署了网闸后,由于外网(DMZ区及Internet)与内网(核心服务器区)是永远断开的,加上采用单边计算机主机模式,中断了TCP/IP,中断了应用连接,屏蔽了内部的网络拓扑结构,屏蔽了内部直接的操作系统漏洞,使基于网络的攻击无处可乘。部署网闸使得外网:
l 无法ping涉密网的任何主机;
l 无法穿透网闸来追踪路由(traceroute);
l 无法扫描内部网络,因此无法发现内网的主机信息、操作系统信息、应用信息;
l 无法发现内网主机的漏洞、应用的漏洞;
l 无法同内网的主机建立通信连接;
l 无法向内网发送IP包;
l 无法同内网的人格任何主机建立TCP/UDP/ICMP连接;
l 无法同内网的任何主机建立应用连接(C/S或B/S)。
(2)网闸消除了对自身攻击的威胁和风险
用于对外访问的网闸的外部主机,本身不对外提供任何服务,也不向外开放任何端口,只主动向外请求服务。因此,外网上的计算机不能对网闸外部主机的任何端口进行连接,从而无法进行攻击。任何主动向网闸发起的连接都被拒绝。
网闸主机采用了抗攻击内核的技术,完全屏蔽了外部主机的存在,因此无法攻击。
网闸的双主机结构消除了网闸的操作系统漏洞的威胁。双主机之间的开关,是一个完全的硬件介质,没有操作系统没有软件,没有状态,没有任何控制单元,因此,完全无法攻击。这既保证了即使退一万步,外部主机的操作系统的漏洞被曝光,也无法对内网的内部主机进行刺探,因为开关是完全无法进行攻击的。
在最坏的情况下,外部主机的操作系统漏洞被曝光,黑客所能做的最坏的结果是,向开关发送无效的数据,这个我们不用担心,因为内网的内部主机的鉴别和过滤程序会拒绝这些数据;破坏操作系统并关闭外部主机,这个我们也不担心,因为网闸在这种情况下,还是物理断开的。因为网络隔离的安全侦测是,如果不能保证安全就断开。
(3)网闸采用了内容过滤和检查机制来防信息泄露
l 对URL进行格式过滤、内容过滤和控制;
l 对URL执行白名单或黑名单过滤;
l 对GET进行格式过滤、内容过滤和控制;
l 对GET的文件类型进行限制;
l 对POST进行内容过滤;
l 对 POST进行类型、格式控制;
l 对交换的数据进行防病毒检查、进行防恶意代码检查;
l 对交换数据包含的命令、协议进行检查;
l 对重定向进行限制;
l 通过应用代理来执行严格的应用规范检查。
(4)网闸可建立单向信息流入政策
网闸在内网中执行的是一种单向信息流入的服务政策,即内网可以访问外网,但外网不能访问内网。如在DMZ区部署前置机,通过网闸将社保核心服务器上的数据摆渡到前置机上,供Internet上的用户进行查询,但Internet上的用户不允许直接访问到核心服务器上。
另外还可在 DMZ区部署前置服务器,收集和接收Internet上用户(如社区用户通过Internet)上传过来的信息,经过加工处理再通过网闸单向传递给核心服务器,供内部使用。
同时在此基础上,网闸还采取多重措施,严防泄密。这些措施包括:身份认证、格式控制机制、关键词过滤机制、访问控制技术等措施。
在实际应用中,我们采用两台中网网闸X-GAP8500(双机热备)来隔离社保网核心服务器区域与DMZ区域。经过收发包测试,发包计算机所发数据包不会直接通过TCP协议栈到达收包计算机,在网闸的内外端机采用应用代理进行协议终止,并在应用层进行协议过滤,未知协议不能通过网闸。网闸的安全强度大大高于防火墙,安全防护效果明显,并且运行稳定。类似的网闸应用还可推广到网上税务、网上财政、网上银行、网上证券、网上工商、网上电力营销等系统。