NiE是廣東南方信息安全產業基地有限公司具有自主知識產權的安全隔離產品。從最初的完全斷開,到物理隔離,再到邏輯隔離,以及今天常講的“安全隔離”(Security Isolation),安全隔離技術隨著時代發展迅速演化。當前一般指兩個或兩個以上可路由的網絡借助不可路由的協議來進行數據交換而達到隔離的目的,這與單機系統間的隔離是有所區別的。安全隔離產品務必要滿足現實應用當中的安全需求,對于電子政務建設來說,在實踐中總結提煉出來的政策性的要求更應該被嚴格遵守。NiE正是這樣一款產品,它從設計理念、功能實現等都緊密結合電子政務建設中的安全隔離需求。
NiE的基本功能主要體現在如下方面:在保持內外網絡有效隔離的基礎上,實現了兩網間安全的、受控的數據交換。數據交換由發起方以客戶機身份與NiE連接,NiE再以客戶機身份與數據交換的另一方建立連接,實現數據交換。系統中的數據交換業務可以靈活配置和快速定制,數據交換可以單向也可以雙向。除了必須要開放的用于數據交換的特定應用通道外,NiE不提供任何對外的服務。此外,獨特的結構設計和所支持的雙機熱備功能,更在極大程度上保證了網絡系統間信息交換的安全性和可靠性,增強了產品的競爭力。
1、基于下推自動機的高效過濾算法
NiE在核心實現時,采用了基于下推自動機的高效過濾算法。這種算法采用樹形結構存儲敏感信息,特別設計的數據源過濾器以策略樹為過濾依據, 內建多個下推自動機(自動機數量由策略樹結構動態決定),對敏感信息進行并行的匹配和過濾。更新策略樹不會影響已經存在的數據源過濾器,更新之后的過濾動作自動采用新的策略樹作為過濾依據,策略樹更新做到了“熱插拔”。
這種過濾算法,特別適合大批量關鍵字同時過濾,而且還能避免常見的掩飾手段的干擾,如將敏感關鍵詞拆開、加入標點、換行等,具有很強的信息濾出能力。
2、內端機/外端機
NiE的信息交換主要基于通用的應用協議(如HTTP 協議、FTP、Telnet、SMTP、UDP 協議和POP3 協議等)和用戶自定義協議的信息交換。信息交換的功能通過內外端機來實現。根據信息交換的發起源所在位置,信息交換可以分為從內端機向外端機和從外端機向內端機兩個方向的數據通道。
這里,我們以內端機到外端機這個方向為例,來分別說明NiE“2+1”架構網閘內部信息處理的整個過程。
內端機接受用戶發來的連接請求之后,將用戶連接的基本信息與管理員通過配置管理端配置的信息進行審查來源,連接發起源為合法發起源。之后,內端機接受連接發起源發來的信息,按照既定的協議通道進行應用協議的預處理,隨后交由數據遷移控制單元的策略系統進行分析處理,如未發現問題,則通過控制單元同步到外網單元。外網單元收到內網單元來的文件之后,將數據重新組成TCP/IP 包,發送給目的地服務器,并經控制單元向內網單元發送確認消息,本次數據交換工作即告結束。
“2+1”架構網閘
3、仲裁/審計系統
仲裁系統是NiE的核心,這里保存著NiE的所有重要數據資料,并且實現了多種安全機制:可以為系統內每一位用戶提供身份識別,在系統檢測到相關事件之后可以追溯直接責任人;對流經仲裁系統的所有信息進行檢查,找出其中的敏感內容,最終將內部網絡和外部網絡的信息交換置于一個可控的狀況之下;記錄各類審計信息,供管理員審查。在“2+1”架構網閘中,“仲裁/審計系統”依附在內端機上。
為便于操作,仲裁系統向管理員提供方便靈活的管理界面。NiE在仲裁系統上實現了基于下推自動機的高效過濾算法,特別適合對大批量的關鍵字同時進行過濾。這種算法還具有避免常見的掩飾手段(如拆分敏感關鍵詞、加入標點、換行等)干擾的特點。
4、基于用戶的訪問控制
在部署NiE之后,如果要讓內外網兩端進行正常的信息交換,必須首先在NiE系統上建立合法的用戶賬號,后續所有的信息交換過程都將基于預先建立的用戶來進行安全控制。
NiE設備支持兩類基本用戶,一類是普通用戶,一類是管理員用戶。其中,普通用戶是受NiE系統控制的、對內外網絡中信息交換提出使用需求的用戶,而管理員用戶則是對NiE設備本身進行管理維護的人員。
5、受控協議通道及工作模式
建立合法用戶之后,需要將內外網兩端任何一類信息交換都置于特定的受控協議通道上,這些協議通道是和特定用戶關聯在一起的。
NiE借助受控協議通道來實現協議信息交換功能。這種受控協議通道,指的是一條從內端機通向外端機或者從外端機通向內端機的受控信息通路。受控通道的開啟和關閉均由管理員控制。受控通道開啟后,內端機/外端機開始監聽通道入口IP上指定的端口,仲裁機上相應的協議分析部件開始運作,準備處理各種流經通道的協議數據信息。
NiE對所有應用協議提供基本的安全配置,包括:
(1)協議通道的入口IP和監聽端口;
(2)協議通道所允許的發起源IP;
(3)協議通道所允許的用戶賬戶;
(4)協議通道所允許的最大并發用戶數;
(5)協議通道可按照管理員設置定時自動開啟/關閉。
在受控協議通道的設置上,NiE支持兩種工作模式,即代理模式和轉發模式。
在代理工作模式下,NiE的協議分析部件從用戶發來的協議信息包中分析實際的連接目標,并和這個連接目標進行信息交換。
NiE的轉發工作模式應用于服務器地址和端口固定的應用場合。管理員在設置通道的時候配置好目的服務器地址和端口,NiE在預定通道上接收客戶端連接,在確認其身份后再向固定目的服務器的固定端口發起連接。
NiE所支持的兩種協議通道工作模式相輔相成,如果組合使用,可以勝任絕大多數的應用場合。
6、安全隔離策略
NiE的仲裁機對協議通道進行控制,很重要的一點就是體現在所配置的安全策略上。管理員通過仲裁機上的管理配置接口來配置仲裁策略,仲裁系統依據相關策略,對流經的信息進行嚴格的過濾檢查。
不同類型的協議通道,在安全策略設置方面要求不同。
6.1、HTTP協議信息交換策略
NiE的HTTP信息交換有兩種工作狀態:客戶端保護狀態和服務端保護狀態。HTTP 客戶端保護狀態的主要目的是保護內網用戶不受到外網Web站點上有害內容的侵擾,本工作狀態對應于受控通道的代理工作模式;而服務端保護狀態的主要目的是保護內網Web服務器不受外來訪問的惡意攻擊,本工作狀態對應于受控通道的轉發工作模式。除了基本的配置之外,NiE在HTTP協議加入了多種安全策略供管理員配置,具體包括:
(1)本協議通道可以訪問的URL 清單;
(2)本協議通道允許使用的用戶名單;
(3)本協議通道是否過濾有害的腳本;
(4)本協議通道需要過濾的敏感關鍵字列表。
6.2、郵件協議信息交換策略
NiE在處理郵件相關協議時,可將其看作一個安全的郵件信息交換平臺,用戶可以使用常見的郵件客戶端工具(如outlook和foxmail)來設置在互聯網上的公共郵箱,以便實現郵件信息交換。
NiE在郵件相關協議的處理中加入了多種保護郵件的策略設置,具體包括:
(1)對郵件的主題及內容進行過濾,可以有效地防止內部機密信息的泄漏;
(2)限制郵件的大小,可限制大附件的郵件;
(3)限制郵件中的執行腳本;
(4)限制垃圾郵件,保護用戶不受垃圾郵件的干擾;
(5)檢測管理員設置的附件文件名的安全規則,阻斷規則所禁止的郵件。
6.3、FTP協議信息交換策略
NiE提供的FTP協議通道主要保護內網FTP服務器不受攻擊。除受控通道的基本安全支持外,FTP協議還可對使用FTP通道傳輸的內容進行過濾,包括病毒等惡意代碼的查殺。
6.4、Telnet 協議信息交換策略
NiE提供Telnet協議通道,可保護內網的Telnet服務器不受攻擊。Telnet協議處理模塊暫存通過NiE的用戶Telnet命令并作分析,以阻止有害信息進入而形成危害,同時對用戶登錄后所有的操作進行審計記錄。
6.5、數據庫信息交換策略
NiE提供MS SQL Server、Oracle、Sybase、DB2等協議通道,保護數據庫信息交換的安全,該策略可以提供完美的數據庫同步方案,具體包括:
(1)支持各種同構或異構關系數據庫之間的數據交換,如Oracle、Sybase、SQL Server、DB2等,另外,還支持數據庫到文件、文件到數據庫、文件到文件的數據交換;
(2)支持異構數據結構以及代碼語義的轉換規則定義,并實現源數據到目標數據之間的實時數據交換,支持數據整合業務;
(3)支持數據一對一、一對多、多對多的單向或雙向交換和同步,支持實時交換或定時同步的策略定義;
(4)采用XML技術,具有可配置性。可以通過標準定義、規則定義、通道定義和路由定義進行個性化的數據交換策略定義;
(5)數據傳輸的實時性。如果其中一個系統的數據發生變化,那么通過NiE傳輸到其他系統中,相應數據也會即時發生變化。
7 自定義協議信息通道
除了以上幾種基本的受控通道,NiE還可以根據用戶的需求進行新的自定義通信協議的開發。
新的通信協議可提供多種擴展功能,包括:
(1)自定義協議通道可以采取代理工作模式或者轉發工作模式;
(2)自定義協議通道可以直接使用現有的全部通道基本設置;
(3)自定義協議通道可以根據需求定制安全功能;
(4)自定義協議通道可以根據需求開發新的專用協議處理功能;
自定義協議通道得益于NiE在設計上的強大的可擴展性,它使得NiE具有了很大的靈活性,能夠適應多種應用領域。
8 其它技術特點
NiE在支持安全隔離和信息交換基本功能的同時,還借助一些輔助性安全機制,來提供足夠的安全保證。其中包括:內嵌的入侵檢測和病毒防護機制,對數字簽名的支持,黑白名單,地址綁定,雙機熱備等。
(1)數字簽名
NiE系統可以很好地和數字證書體系相結合,根據用戶的需求將數字證書引入應用協議通道當中。數字證書作為原有用戶身份鑒別系統的有力補充,可以使NiE 的功能更為強大。
(2)入侵檢測
NiE系統在內核中嵌入了專用的入侵檢測引擎,能夠對進出網絡的原始數據進行攻擊檢測、過濾和審計。這種入侵檢測是基于NiE預先設定的完備的攻擊特征庫來實現的,無須管理員配置。有了這種機制,可以最大程度上降低NiE 遭受直接攻擊的可能性。
(3)病毒檢測
針對目前互聯網上以病毒等惡意代碼為主的信息攻擊,NiE可在內部定制集成殺毒引擎,能夠對一些主流的病毒進行檢測查殺功能。
(4)黑白名單
NiE對所有的網絡應用均提供黑白名單。通過黑白名單,可以拒絕或允許哪些用戶能夠進行網絡訪問。
(5)地址綁定
為了防止IP地址被非法盜用,同時校驗主機的合法性,NiE提供地址綁定功能。通過對指定接口所連接的網絡中主機的IP和MAC地址進行綁定,防止IP盜用,并對非法IP地址的訪問進行詳細記錄,以便管理員查看。
(6)雙機熱備
NiE提供雙機熱備功能,兩套系統以主動機和備用機的身份獨立運行,同時隨時檢測運行狀態。當主動機出現問題時,備用機可以在2分鐘內接管,并提升為主動機。雙機熱備方案保證了網絡的高可用性和高安全性,顯著提升了系統的可靠性。
(1)網間安全隔離 NiE 采用多機系統結構,以軟硬件結合的方式,有效地隔斷內外網絡間直接的連接,防止信息無限制交換。
(2)協議中斷,信息落地 NiE 的內/外端機是內/外網絡各自通用協議(即TCP/IP 協議)的終點,一方的網絡協議不可向對方延伸。所有過往的應用層信息都從TCP/IP 協議包中剝離,被還原為應用層信息。
(3)受控的信息交換 由NiE 連接的內外網絡之間,所有信息交換活動都在預先建立的有效安全通道上進行,這些協議通道借助嚴格的安全策略進行控制,因此能防范惡意攻擊和敏感信息的泄漏。
(4)基于用戶的訪問控制 內外網絡之間,只有合法用戶的特定信息交換活動才允許通過。協議通道的建立、通信、斷開,都是在嚴格的基于用戶的訪問控制之下進行的。
(5)防范各類攻擊和信息泄漏 借助用戶訪問控制、安全協議通道的建立、安全策略的設定,NiE 可以發現、過濾并阻塞各種已知和未知的攻擊,特別是很多基于應用的攻擊手段,例如Web 腳本攻擊、病毒和蠕蟲等惡意代碼,有效保護內部網絡系統的安全性。與此同時,借助嚴格的內容控制,也可以防止內部敏感信息的泄漏。
(6)應用級的安全審計 借助預先設定的審計策略,NiE 可以對所有信息交換過程中出現的問題進行審計記錄,便于及時獲知“誰在何時做了何事”。
綜上所述,NiE 一方面可以防止來自外部網絡的惡意攻擊,另一方面也能防止內部網絡重要信息的泄漏,在保證安全性的前提下,最終實現了靈活的網間信息交換。
1、在涉密網絡系統中的應用
針對涉密網絡系統的特殊要求,NiE可以最大程度上提供安全隔離和信息交換的服務,它通過專用硬件進行數據交換,由仲裁機負責完成安全保密檢查,從而在安全隔離的基礎上,實現內外網之間有效、安全、受控的數據交換。
NiE在涉密網絡系統中的典型應用,例如在存在手動拷盤傳輸數據的場合。
基于自身獨特的設計,NiE可以做到只允許單向的信息交換,這樣就防止了內網向外網的泄密,進一步保證了網間隔離的安全。而采用“安全隔離與信息單向傳輸系統”將Internet信息導入涉密網的方案,將會比通過手動拷盤傳輸數據方式更安全。
2、在常規網絡系統中的應用
除了在涉密網絡系統中應用之外,NiE也可以廣泛使用在行業數據網之間的隔離、行業內不同性質業務網間的隔離以及內部網絡和外部網絡之間的隔離。該平臺上的數據交換業務是可以靈活配置和快速定制的,數據交換可以單向也可以雙向。
(1)內部核心網與內部一般業務網間的隔離
內部核心網與內部一般業務網由于業務性質不同,一般情況下,其數據庫性質也是不同的,但之間往往存在數據交流。直接向對方開放權限讓其訪問是很不安全的。即使使用防火墻設備,為了讓對方能夠訪問,也必須使其在開放的業務上網絡可達。NiE可以在網絡安全隔離的基礎上,與網絡應用提供者共同制定應用通信協議,并對該協議的數據流進行仲裁,從而實現安全的數據交換和隔離。
(2)內部邊緣網與總部綜合網間的隔離
由地理因素隔開的一個組織的分部和總部之間的信息交換是常見的。分部和總部之間一般通過開放的互聯網絡傳輸設施相互連接,其間任何一方直接向互聯網絡開放訪問權限都是不明智的行為,即使使用防火墻設備也必須為相應的業務開放相應的權限,從而帶來各種安全隱患。NiE在信息隔離的基礎上,提供受控業務信息交換的通道,可以避免向互聯網絡開放權限帶來的弊病。
(3)內部甲部門業務網與乙部門業務網間的隔離
單位內部的各個部門之間的信息一般情況下是隔離的,當然,出于單位統一的業務需要,部門間常常會發生信息交換,甚至多個部門聯合進行業務活動,在這種情況下,在部門之間直接開放各種訪問權限是簡單直接的做法,但也是最不安全的行為。即使使用了防火墻設備,由于防火墻的協議可達性,同樣容易造成部門之間信息直接溝通的不安全性。NiE避免了基于協議的攻擊,經過審計的部門之間的通信不會有信息泄漏的問題出現。
(4)內部網與外部網間的隔離
內部網絡相對于外部網絡而言必須保證其安全性,不能受到來自外部的攻擊,同時要避免內部信息泄漏。內部網與外部網之間又需要進行信息交換。要讓內部網絡對于外部網絡來說通信協議不可達,必須使用NiE。
(5)行業間有數據交換需求時實現安全的數據交換
跨行業的業務行為要求有跨行業的信息交換。除了涉及該項業務行為之外的其它所有信息必須嚴格隔離,防止泄密。采用NiE,為專用的業務制定專門的協議,或者采用受控的傳統協議(如綁定在HTTP上等)進行信息交換,可以有效地避免各種基于協議的攻擊和泄密行為。
下圖所示,即NiE在多種重要場合下的應用。
① 整體網絡與Internet之間的安全隔離;
② 分支機構與總部網絡之間的安全隔離;
③ 內部核心網與一般業務網之間的隔離;
④ 核心網絡不同網段之間的安全隔離;
⑤ 重要服務器的隔離(例如數據庫服務器);
3、行業應用解決方案
安全隔離與信息交換系統適用于金融、稅務、海關、公安、司法、安全、醫療等行業領域,尤其是各級政府機關和涉密企事業單位。
3.1 財稅系統應用解決方案
財政局,稅務局(國稅局、地稅局)掌握著當地各類企業的登記情況、市場活動交易行為等重要信息,合理組織、綜合利用這些信息可以從多角度反映本地的經濟運行狀況,為本地經濟發展提供決策依據。隨著政務公開和政府上網工程的開展,稅務系統的對外業務服務必須要通過互聯網來完成,例如企業初始數據的采集、網上報稅、處理結果的反饋等,對于這些數據的審核往往需要由處于內網中的稅務人員來完成,另外對于稅務系統而言,所有初始數據和審批過程都需要備份,存入系統內網的數據庫中。另外,由于網絡的互聯共享,來自企業內部和全世界各個地方不懷好意的計算機專業人士和黑客都有可能對其實施攻擊。我們幾乎每天都可以聽到黑客對某某企業信息資源進行入侵、篡改和破壞的報道,所以有必要建立稅務網絡安全整體防護體系,提高稅務網絡的安全保障能力。
XX地方稅務局應用服務器上部署了一套行政事業單位資產管理系統的軟件,該軟件是針對一些事業單位和一些政府機構將自己內部的一些資產數據以及報稅材料等信息的登記,申請通過互聯網發送到XX地方稅務局的內外網的應用服務器上,應用服務器會將這些數據保存在相應的內外網的數據庫服務器上,內部的工作人員會對這些需要批閱和審批的數據資料進行處理和審批,然后將這些審批后的結果公布到內外網的應用服務器上便于一些事業單位和一些政府機構通過互聯網進行查閱。
3.2 政府系統應用解決方案
XX政府計算機信息網絡系統包括:政府專用網絡(專網)、辦公內部網絡(內網)、以及與因特網(Internet)互連的外部網絡(外網)。內網與外網間為完全的物理隔離,內網與專網間采用防火墻邏輯隔離。內網與專網之間:XX政府計算機網絡信息系統中內網與專網之間的數據交換為專網下級機構終端與內網專用服務器之間的數據傳輸,前期采用的是防火墻邏輯隔離的方法。在內網與專網之間數據交換時,由于是基于網絡防火墻技術措施,網絡之間的數據交換無法做到更深層次、更細粒度的安全隔離和訪問控制。
內網與外網之間:作為XX政府計算機網絡信息系統的主要業務之一,對外信息發布和對公眾信息的獲取需要在內網和WEB服務器之間進行廣泛的、實時的、適度的、可控的內外網絡的數據交換和應用服務,從而成為XX政府計算機網絡信息系統的一個對外服務窗口,充分利用因特網的信息發布和獲取方面的優勢。考慮到XX政府內網的安全保密問題,目前內網與外網之間完全斷開,對外信息交互服務器中數據的維護和內容更新采用人工、離線的方式。這雖然解決了部分安全問題,降低了內部網絡的安全風險,但是其代價是犧牲了數據交換上的方便性和可操作性,帶來了極大的不便。同時,阻礙了XX政府今后電子政務的建設。內網與外網之間數據交換需求主要為外網WEB服務器與內網數據庫之間的數據通信。
方案中采用兩套NiE,分別部署在內網與專網之間,以及外網與內網之間,滿足XX政府的下列安全需求:
(1)在安全受控前提下,實現專網與內網兩臺專用服務器之間DBF格式管理數據的交換;
(2)在安全受控前提下,實現外網兩臺服務器(Web服務器)與內網數據庫之間進行實時的數據交換。
(3)數據交換只能由外網Web服務器向位于內網的數據庫發起連接,數據傳輸只能是由專網或外網傳向內網的單向傳輸。
?4008-897-893
?安全芯片
?
?
