XX集团企业内外网安全隔离与数据交换双网系统建设方案.docx

1、XX集团企业内外网安全隔离与数据交换双网系统建设方案XX集团公司内外网安全隔离与数据交换双网系统建设方案目 录1. 应用背景 22. 安全隔离系统简介 23. 技术架构比较 34. 基本功能 44.1. 信息交换功能 44.2. 安全控制功能 65. 部署方式 85.1. 内外网统一部署 95.2. 根据应用分别部署 96. 应用实现方式 96.1. OA系统隔离 96.2. 数据库信息交换隔离 116.3. 邮件系统隔离 126.4. 网银应用隔离 136.5. 内网补丁升级 141. 应用背景 众所周知，以防火墙为核心网络边界防御体系只能够满足信息化建设一般性安全需求，却难以满足重要信息系

2、统保护问题。对于重要信息系统保护，我国历来采用了物理断开方法，计算机信息系统国际联网保密管理规定 中将涉密信息系统安全防御要求定格为与任何非涉密信息系统必须“物理断开”。断开了就安全（事实上也并非如此）。但是，断开了却严重影响了业务信息系统运行。 目前，华能集团在信息化建设当中已经明确了双网建设原则，重要业务系统、日常办公计算机都处于内部网络，而一些业务系统，例如：综合数据库系统、OA系统、邮件系统和网银系统、防病毒恶意代码升级、操作系统补丁升级等，所需要基础数据却来自外部业务网络，甚至互联网络。物理断开造成了应用与数据脱节，影响了行政执行能力和行政效率。实际断开不是目，在保护内部网络适度安全

3、情况下，实现双网隔离，保证数据互联互通才是真正目。安全隔离系统就是为此开发。2. 安全隔离系统简介安全隔离与信息交换技术（GAP）。这种技术在1993年由Myong H.Kang在“A Pump for Rapid, Reliable, Secure Communication”一文中提出，并在1996年对这种概念进一步深化为一种适于网络应用“数据泵”技术。GAP技术是一种什么技术？从字面上理解，可以译为“缺口、豁口”，即在两个网络之间形成一个缺口。有了缺口当然就能保证安全。也有将GAP译为“Gap All Protocol”说法，表明这个“缺口”不是什么都不让通过，而只是将协议隔离，应用数据

4、还是可以利用这个缺口通过安全方式交换。遵从这种理解方式，如Myong H.Kang所刻画，GAP应该是一个三系统设备：一个外端机、一个内端机、一个中间交换缓存。内外端机用于终止网络协议，对解析出应用数据进行安全处理。同时能够通过中间交换缓存通过非TCP/IP协议方式进行数据交换。3. 技术架构比较目前，安全隔离产品主要为三层构架和二层构架，三层架构包含内网单元、外网单元和独立隔离硬件，内外网单元通过独立隔离硬件进行数据交换；二层架构只有内外两个处理单元，无独立隔离硬件，内外网单元通过网络接口、USB接口等进行数据交换。从安全架构上看，采用三层架构安全隔离产品安全性要高于二层架构安全隔离产品。在

5、功能上两种架构安全隔离产品却相差不多。性能上采用三层架构要高于二层结构安全隔离产品。价格上采用三层架构要比二层架构安全隔离产品高很多。4. 基本功能典型隔离系统应该具备以下功能：4.1. 信息交换功能 文件交换设计文件交换是网络应用对数据交换基本要求，在内、外网之间存在文件交换实际需要，正是基于这一点，安全隔离系统应具有文件交换功能，实现文件安全访问及文件同步。以外网用户访问内网文件服务器为例，文件安全访问功能通过代理模块将需要保护内网文件服务器（采用FTP协议或SAMBA协议）映射到隔离系统外网，外网用户访问文件资源时直接访问安全隔离系统外端机启用代理服务。安全隔离系统外端机代理服务交换应用

6、层数据到内端，内端代理访问内网真正文件服务获取文件，返回给外端代理服务。在文件通过安全隔离系统过程中将受到内容检查、病毒检查、文件深度检查、文件签名等安全保护。从内网访问外网文件服务器时过程类似。文件同步功能实现隔离系统两端文件服务器中文件同步功能。事实上，安全隔离系统通过部署在两端客户端代理模块，分别从各自文件服务器中提取需要同步文件，然后安全摆渡到对端，再由对端代理模块发布到目标文件服务器上，文件摆渡受到安全模块检查。 Web交换功能设计Web应用是目前最为流行网络应用。因此，提供对Web应用访问支持是安全隔离系统基本功能之一。安全隔离系统内外端机都应支持HTTP、HTTPS两种应用代理访

7、问功能。安全隔离系统能够通过服务地址映射（SAT）方式将目标Web服务器映射到安全隔离系统另一端机供用户访问。Web应用数据在通过安全隔离系统过程中，受到严格安全控制，包括HTTP/HTTPS协议头关键字过滤、完整性检查、URL长度检查、活动脚本检测及控制、文件安全检查等内容。 数据库交换功能设计在应用系统中，往往具有不同用户群及不同网络应用。但应用之间共享应用数据却往往是必要。因此，安全隔离系统将数据库同步功能作为其数据交换基本功能之一。安全隔离系统数据库访问功能可以通过数据库应用代理方式将数据库服务映射到安全隔离系统一端，应用程序可以直接访问映射数据库服务，由安全隔离系统完成数据库数据内容

8、安全传输。在数据库访问中，安全隔离系统将支持对TNS协议代理功能。 邮件交换功能设计邮件通讯主要使用POP3和SMTP协议，在安全隔离系统环境中，往往需要进行内网邮件与外网邮箱中邮件同步，或者需要内网用户能够访问外网邮箱中邮件。这些需求可通过安全隔离系统邮件同步功能来完成。邮件同步模块起到邮件中继作用，它能将安全隔离系统一端邮件同步到另一端，即可以进行单向邮件中继，也可以进行双向邮件中继。邮件访问功能通过配置邮件代理完成，安全隔离系统邮件代理保证使用者能够通过安全隔离系统访问另一端邮件服务器，使用邮件客户端进行邮件正常收发。 定制应用数据交换安全隔离系统需要提供私有协议定制开发功能。保证在用户

9、提供需要支持应用封装格式、协议状态机、命令集情况下，安全隔离系统可以提供私有代理服务器生成模板和私有代理客户端生成模板，这样就可以快速生成满足私有应用代理程序，用以终止私有应用TCP连接、完成数据/命令提取和控制。因此，隔离系统对于私有应用协议，也可以保证应用数据落地控制。4.2. 安全控制功能 访问控制功能安全隔离系统应实现从网络层到应用层访问控制功能。 在网络层，安全隔离系统应具有包过滤防火墙所有安全功能。应实现对源/目IP地址、通信端口、访问时间等属性全面控制。 在传输层，安全隔离系统应实现IP分组与TCP连接和UDP Socket从属关系真实性判别，应实现防止连接劫持攻击。 在应用层，

10、安全隔离系统应对应用头格式、内容、应用数据内容进行审查、过滤，使只有符合安全策略数据才被传输。通过贯穿整个协议栈访问控制，安全隔离系统应有效过滤非法连接、数据非法传输。 数据内容审查功能安全隔离系统交换数据是无协议格式上层应用数据，比如发送邮件主体内容，邮件附件。安全隔离系统在交换这些数据时，实现了三方面数据内容审查： 关键词过滤：对含有黑名单中出现关键词应用数据进行基于策略安全处理，包括拒绝发送、日志审计、关键词替换等三种处理方式。 模糊查询：对于应用数据中包含经过处理、伪装敏感词语进行控制和处理，比如识别类似“法*轮*功”这样敏感词汇。控制处理方式包括：拒绝发送、日志审计和关键词替换三种。

11、 病毒扫描：隔离系统在摆渡每一个数据块时，都进行病毒扫描。 病毒防护功能安全隔离系统应集成专业病毒查杀模块，能在应用层实现基于特征病毒查杀。为此，安全隔离系统必须提供病毒库在线升级功能，以及病毒库手工导入功能。 文件深度检查功能用户需要对通过隔离设备传输文件类型进行控制，比如，不允许外部exe或者bat文件传输到内网。但是，攻击者可以将文件后缀修改为txt等被允许后缀并传输，以逃避安全规则检查。为此，安全隔离系统应对文件进行一致性检查，即一个声称exe是否真是exe文件，一个声称pdf文件是否真是pdf文件等。安全隔离系统应具有这种深度检查功能。安全隔离系统应尽可能支持所有文件类型一致性检查。

12、 流量控制功能为了保证核心应用保持应有带宽，防止网络接口流量异常，安全隔离系统应具有流量监视及控制功能。通过该功能能够对通过安全隔离系统网络流量进行全面控制。流量监视及控制功能可以针对不同应用对流量设置上限，保证核心业务系统流量不会由于其它应用（如点对点应用）占用过多带宽而不能正常使用。另外，流量监视及控制功能还可以对安全隔离系统特定网络端口进行上行及下行流量监视及控制，使用户能够随时掌握网络流量状态，分析网络稳定性。5. 部署方式部署方式示意图：5.1. 内外网统一部署便于统一管理和维护，用户投资少，在安全隔离系统上安装不同功能模块以适应不同业务应用。但随着应用增加，安全隔离系统负担会越来越

13、重，安全隔离系统性能也会越来越低。5.2. 根据应用分别部署根据不同应用来部署网闸，这样做最大优势就是能够保障安全隔离系统性能不受应用变化影响。但投资多，每增加新应用就要部署网闸，不方便管理维护。通过2种部署方式比较，我们建议用户采用统一部署方式，一旦应用增加到安全隔离系统负荷后，再通过增加安全隔离系统方式做负载均衡。6. 应用实现方式6.1. OA系统隔离华能集团OA系统部署在内网中，内部办公人员可以直接访问OA系统并通过认证后，完成日常个人事务及办公流程。其他分支机构OA系统结构也是类似。在建立内、外双网结构后，面临问题是：当集团办公人员出差到外地需要进行移动办公时如何安全访问内网OA系统

14、。当使用安全隔离系统后，缺省情况下安全隔离系统屏蔽了内、外网之间所有网络连接。当移动办公用户需要在互联网上访问内网OA系统时，通过安全隔离系统SAT（服务地址映射）功能实现对内网OA系统访问。此时，隔离系统部署结构如下：OA隔离部署从图中可以看出，安全隔离系统外网端首先通过SAT映射启用OA服务代理模块，远程移动用户通过VPN连入外网，并访问OA代理服务，安全隔离系统将代理请求转发到内网真实服务器，真实OA服务反馈信息通过隔离系统交换后在由外段OA代理返回给移动用户，最终实现移动办公。6.2. 数据库信息交换隔离华能集团核心业务数据库服务均部署在内网，通过内网业务系统对数据库进行操作，并将结果展示给使用者。但有些业务系统数据需要来源于外网（例如外部采集数据）。这些数据应该如何从外网传递到内网，我们将采用两种方式进行设计。第一种方式是对某些应用可以在外网建立一个外网数据库，这些数据库中只存储外部网络获取数据，不存储其他敏感数据，当需要将这些数据交换到内网时，通过安全隔离系统实现，如图：数据库同步部署图此时，在安全隔离系统上将部署数据库同步模块，该同步模块将只允许将外网数据库中特定数据同步到内网数据库中，反向不允许数据库信息传输。第二种方式适合于外网不建数据库情况。外网有某个业务系统服务在运行，其中需要数据信息来源于内网数据库，同时需要对数据库进行修改。