NiE是广东南方信息安全产业基地有限公司具有自主知识产权的安全隔离产品。从最初的完全断开,到物理隔离,再到逻辑隔离,以及今天常讲的“安全隔离”(Security Isolation),安全隔离技术随着时代发展迅速演化。当前一般指两个或两个以上可路由的网络借助不可路由的协议来进行数据交换而达到隔离的目的,这与单机系统间的隔离是有所区别的。安全隔离产品务必要满足现实应用当中的安全需求,对于电子政务建设来说,在实践中总结提炼出来的政策性的要求更应该被严格遵守。NiE正是这样一款产品,它从设计理念、功能实现等都紧密结合电子政务建设中的安全隔离需求。
NiE的基本功能主要体现在如下方面:在保持内外网络有效隔离的基础上,实现了两网间安全的、受控的数据交换。数据交换由发起方以客户机身份与NiE连接,NiE再以客户机身份与数据交换的另一方建立连接,实现数据交换。系统中的数据交换业务可以灵活配置和快速定制,数据交换可以单向也可以双向。除了必须要开放的用于数据交换的特定应用通道外,NiE不提供任何对外的服务。此外,独特的结构设计和所支持的双机热备功能,更在极大程度上保证了网络系统间信息交换的安全性和可靠性,增强了产品的竞争力。
1、基于下推自动机的高效过滤算法
NiE在核心实现时,采用了基于下推自动机的高效过滤算法。这种算法采用树形结构存储敏感信息,特别设计的数据源过滤器以策略树为过滤依据, 内建多个下推自动机(自动机数量由策略树结构动态决定),对敏感信息进行并行的匹配和过滤。更新策略树不会影响已经存在的数据源过滤器,更新之后的过滤动作自动采用新的策略树作为过滤依据,策略树更新做到了“热插拔”。
这种过滤算法,特别适合大批量关键字同时过滤,而且还能避免常见的掩饰手段的干扰,如将敏感关键词拆开、加入标点、换行等,具有很强的信息滤出能力。
2、内端机/外端机
NiE的信息交换主要基于通用的应用协议(如HTTP 协议、FTP、Telnet、SMTP、UDP 协议和POP3 协议等)和用户自定义协议的信息交换。信息交换的功能通过内外端机来实现。根据信息交换的发起源所在位置,信息交换可以分为从内端机向外端机和从外端机向内端机两个方向的数据通道。
这里,我们以内端机到外端机这个方向为例,来分别说明NiE“2+1”架构网闸内部信息处理的整个过程。
内端机接受用户发来的连接请求之后,将用户连接的基本信息与管理员通过配置管理端配置的信息进行审查来源,连接发起源为合法发起源。之后,内端机接受连接发起源发来的信息,按照既定的协议通道进行应用协议的预处理,随后交由数据迁移控制单元的策略系统进行分析处理,如未发现问题,则通过控制单元同步到外网单元。外网单元收到内网单元来的文件之后,将数据重新组成TCP/IP 包,发送给目的地服务器,并经控制单元向内网单元发送确认消息,本次数据交换工作即告结束。
“2+1”架构网闸
3、仲裁/审计系统
仲裁系统是NiE的核心,这里保存着NiE的所有重要数据资料,并且实现了多种安全机制:可以为系统内每一位用户提供身份识别,在系统检测到相关事件之后可以追溯直接责任人;对流经仲裁系统的所有信息进行检查,找出其中的敏感内容,最终将内部网络和外部网络的信息交换置于一个可控的状况之下;记录各类审计信息,供管理员审查。在“2+1”架构网闸中,“仲裁/审计系统”依附在内端机上。
为便于操作,仲裁系统向管理员提供方便灵活的管理界面。NiE在仲裁系统上实现了基于下推自动机的高效过滤算法,特别适合对大批量的关键字同时进行过滤。这种算法还具有避免常见的掩饰手段(如拆分敏感关键词、加入标点、换行等)干扰的特点。
4、基于用户的访问控制
在部署NiE之后,如果要让内外网两端进行正常的信息交换,必须首先在NiE系统上建立合法的用户账号,后续所有的信息交换过程都将基于预先建立的用户来进行安全控制。
NiE设备支持两类基本用户,一类是普通用户,一类是管理员用户。其中,普通用户是受NiE系统控制的、对内外网络中信息交换提出使用需求的用户,而管理员用户则是对NiE设备本身进行管理维护的人员。
5、受控协议通道及工作模式
建立合法用户之后,需要将内外网两端任何一类信息交换都置于特定的受控协议通道上,这些协议通道是和特定用户关联在一起的。
NiE借助受控协议通道来实现协议信息交换功能。这种受控协议通道,指的是一条从内端机通向外端机或者从外端机通向内端机的受控信息通路。受控通道的开启和关闭均由管理员控制。受控通道开启后,内端机/外端机开始监听通道入口IP上指定的端口,仲裁机上相应的协议分析部件开始运作,准备处理各种流经通道的协议数据信息。
NiE对所有应用协议提供基本的安全配置,包括:
(1)协议通道的入口IP和监听端口;
(2)协议通道所允许的发起源IP;
(3)协议通道所允许的用户账户;
(4)协议通道所允许的最大并发用户数;
(5)协议通道可按照管理员设置定时自动开启/关闭。
在受控协议通道的设置上,NiE支持两种工作模式,即代理模式和转发模式。
在代理工作模式下,NiE的协议分析部件从用户发来的协议信息包中分析实际的连接目标,并和这个连接目标进行信息交换。
NiE的转发工作模式应用于服务器地址和端口固定的应用场合。管理员在设置通道的时候配置好目的服务器地址和端口,NiE在预定通道上接收客户端连接,在确认其身份后再向固定目的服务器的固定端口发起连接。
NiE所支持的两种协议通道工作模式相辅相成,如果组合使用,可以胜任绝大多数的应用场合。
6、安全隔离策略
NiE的仲裁机对协议通道进行控制,很重要的一点就是体现在所配置的安全策略上。管理员通过仲裁机上的管理配置接口来配置仲裁策略,仲裁系统依据相关策略,对流经的信息进行严格的过滤检查。
不同类型的协议通道,在安全策略设置方面要求不同。
6.1、HTTP协议信息交换策略
NiE的HTTP信息交换有两种工作状态:客户端保护状态和服务端保护状态。HTTP 客户端保护状态的主要目的是保护内网用户不受到外网Web站点上有害内容的侵扰,本工作状态对应于受控通道的代理工作模式;而服务端保护状态的主要目的是保护内网Web服务器不受外来访问的恶意攻击,本工作状态对应于受控通道的转发工作模式。除了基本的配置之外,NiE在HTTP协议加入了多种安全策略供管理员配置,具体包括:
(1)本协议通道可以访问的URL 清单;
(2)本协议通道允许使用的用户名单;
(3)本协议通道是否过滤有害的脚本;
(4)本协议通道需要过滤的敏感关键字列表。
6.2、邮件协议信息交换策略
NiE在处理邮件相关协议时,可将其看作一个安全的邮件信息交换平台,用户可以使用常见的邮件客户端工具(如outlook和foxmail)来设置在互联网上的公共邮箱,以便实现邮件信息交换。
NiE在邮件相关协议的处理中加入了多种保护邮件的策略设置,具体包括:
(1)对邮件的主题及内容进行过滤,可以有效地防止内部机密信息的泄漏;
(2)限制邮件的大小,可限制大附件的邮件;
(3)限制邮件中的执行脚本;
(4)限制垃圾邮件,保护用户不受垃圾邮件的干扰;
(5)检测管理员设置的附件文件名的安全规则,阻断规则所禁止的邮件。
6.3、FTP协议信息交换策略
NiE提供的FTP协议通道主要保护内网FTP服务器不受攻击。除受控通道的基本安全支持外,FTP协议还可对使用FTP通道传输的内容进行过滤,包括病毒等恶意代码的查杀。
6.4、Telnet 协议信息交换策略
NiE提供Telnet协议通道,可保护内网的Telnet服务器不受攻击。Telnet协议处理模块暂存通过NiE的用户Telnet命令并作分析,以阻止有害信息进入而形成危害,同时对用户登录后所有的操作进行审计记录。
6.5、数据库信息交换策略
NiE提供MS SQL Server、Oracle、Sybase、DB2等协议通道,保护数据库信息交换的安全,该策略可以提供完美的数据库同步方案,具体包括:
(1)支持各种同构或异构关系数据库之间的数据交换,如Oracle、Sybase、SQL Server、DB2等,另外,还支持数据库到文件、文件到数据库、文件到文件的数据交换;
(2)支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务;
(3)支持数据一对一、一对多、多对多的单向或双向交换和同步,支持实时交换或定时同步的策略定义;
(4)采用XML技术,具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义;
(5)数据传输的实时性。如果其中一个系统的数据发生变化,那么通过NiE传输到其他系统中,相应数据也会即时发生变化。
7 自定义协议信息通道
除了以上几种基本的受控通道,NiE还可以根据用户的需求进行新的自定义通信协议的开发。
新的通信协议可提供多种扩展功能,包括:
(1)自定义协议通道可以采取代理工作模式或者转发工作模式;
(2)自定义协议通道可以直接使用现有的全部通道基本设置;
(3)自定义协议通道可以根据需求定制安全功能;
(4)自定义协议通道可以根据需求开发新的专用协议处理功能;
自定义协议通道得益于NiE在设计上的强大的可扩展性,它使得NiE具有了很大的灵活性,能够适应多种应用领域。
8 其它技术特点
NiE在支持安全隔离和信息交换基本功能的同时,还借助一些辅助性安全机制,来提供足够的安全保证。其中包括:内嵌的入侵检测和病毒防护机制,对数字签名的支持,黑白名单,地址绑定,双机热备等。
(1)数字签名
NiE系统可以很好地和数字证书体系相结合,根据用户的需求将数字证书引入应用协议通道当中。数字证书作为原有用户身份鉴别系统的有力补充,可以使NiE 的功能更为强大。
(2)入侵检测
NiE系统在内核中嵌入了专用的入侵检测引擎,能够对进出网络的原始数据进行攻击检测、过滤和审计。这种入侵检测是基于NiE预先设定的完备的攻击特征库来实现的,无须管理员配置。有了这种机制,可以最大程度上降低NiE 遭受直接攻击的可能性。
(3)病毒检测
针对目前互联网上以病毒等恶意代码为主的信息攻击,NiE可在内部定制集成杀毒引擎,能够对一些主流的病毒进行检测查杀功能。
(4)黑白名单
NiE对所有的网络应用均提供黑白名单。通过黑白名单,可以拒绝或允许哪些用户能够进行网络访问。
(5)地址绑定
为了防止IP地址被非法盗用,同时校验主机的合法性,NiE提供地址绑定功能。通过对指定接口所连接的网络中主机的IP和MAC地址进行绑定,防止IP盗用,并对非法IP地址的访问进行详细记录,以便管理员查看。
(6)双机热备
NiE提供双机热备功能,两套系统以主动机和备用机的身份独立运行,同时随时检测运行状态。当主动机出现问题时,备用机可以在2分钟内接管,并提升为主动机。双机热备方案保证了网络的高可用性和高安全性,显著提升了系统的可靠性。
(1)网间安全隔离 NiE 采用多机系统结构,以软硬件结合的方式,有效地隔断内外网络间直接的连接,防止信息无限制交换。
(2)协议中断,信息落地 NiE 的内/外端机是内/外网络各自通用协议(即TCP/IP 协议)的终点,一方的网络协议不可向对方延伸。所有过往的应用层信息都从TCP/IP 协议包中剥离,被还原为应用层信息。
(3)受控的信息交换 由NiE 连接的内外网络之间,所有信息交换活动都在预先建立的有效安全通道上进行,这些协议通道借助严格的安全策略进行控制,因此能防范恶意攻击和敏感信息的泄漏。
(4)基于用户的访问控制 内外网络之间,只有合法用户的特定信息交换活动才允许通过。协议通道的建立、通信、断开,都是在严格的基于用户的访问控制之下进行的。
(5)防范各类攻击和信息泄漏 借助用户访问控制、安全协议通道的建立、安全策略的设定,NiE 可以发现、过滤并阻塞各种已知和未知的攻击,特别是很多基于应用的攻击手段,例如Web 脚本攻击、病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性。与此同时,借助严格的内容控制,也可以防止内部敏感信息的泄漏。
(6)应用级的安全审计 借助预先设定的审计策略,NiE 可以对所有信息交换过程中出现的问题进行审计记录,便于及时获知“谁在何时做了何事”。
综上所述,NiE 一方面可以防止来自外部网络的恶意攻击,另一方面也能防止内部网络重要信息的泄漏,在保证安全性的前提下,最终实现了灵活的网间信息交换。
1、在涉密网络系统中的应用
针对涉密网络系统的特殊要求,NiE可以最大程度上提供安全隔离和信息交换的服务,它通过专用硬件进行数据交换,由仲裁机负责完成安全保密检查,从而在安全隔离的基础上,实现内外网之间有效、安全、受控的数据交换。
NiE在涉密网络系统中的典型应用,例如在存在手动拷盘传输数据的场合。
基于自身独特的设计,NiE可以做到只允许单向的信息交换,这样就防止了内网向外网的泄密,进一步保证了网间隔离的安全。而采用“安全隔离与信息单向传输系统”将Internet信息导入涉密网的方案,将会比通过手动拷盘传输数据方式更安全。
2、在常规网络系统中的应用
除了在涉密网络系统中应用之外,NiE也可以广泛使用在行业数据网之间的隔离、行业内不同性质业务网间的隔离以及内部网络和外部网络之间的隔离。该平台上的数据交换业务是可以灵活配置和快速定制的,数据交换可以单向也可以双向。
(1)内部核心网与内部一般业务网间的隔离
内部核心网与内部一般业务网由于业务性质不同,一般情况下,其数据库性质也是不同的,但之间往往存在数据交流。直接向对方开放权限让其访问是很不安全的。即使使用防火墙设备,为了让对方能够访问,也必须使其在开放的业务上网络可达。NiE可以在网络安全隔离的基础上,与网络应用提供者共同制定应用通信协议,并对该协议的数据流进行仲裁,从而实现安全的数据交换和隔离。
(2)内部边缘网与总部综合网间的隔离
由地理因素隔开的一个组织的分部和总部之间的信息交换是常见的。分部和总部之间一般通过开放的互联网络传输设施相互连接,其间任何一方直接向互联网络开放访问权限都是不明智的行为,即使使用防火墙设备也必须为相应的业务开放相应的权限,从而带来各种安全隐患。NiE在信息隔离的基础上,提供受控业务信息交换的通道,可以避免向互联网络开放权限带来的弊病。
(3)内部甲部门业务网与乙部门业务网间的隔离
单位内部的各个部门之间的信息一般情况下是隔离的,当然,出于单位统一的业务需要,部门间常常会发生信息交换,甚至多个部门联合进行业务活动,在这种情况下,在部门之间直接开放各种访问权限是简单直接的做法,但也是最不安全的行为。即使使用了防火墙设备,由于防火墙的协议可达性,同样容易造成部门之间信息直接沟通的不安全性。NiE避免了基于协议的攻击,经过审计的部门之间的通信不会有信息泄漏的问题出现。
(4)内部网与外部网间的隔离
内部网络相对于外部网络而言必须保证其安全性,不能受到来自外部的攻击,同时要避免内部信息泄漏。内部网与外部网之间又需要进行信息交换。要让内部网络对于外部网络来说通信协议不可达,必须使用NiE。
(5)行业间有数据交换需求时实现安全的数据交换
跨行业的业务行为要求有跨行业的信息交换。除了涉及该项业务行为之外的其它所有信息必须严格隔离,防止泄密。采用NiE,为专用的业务制定专门的协议,或者采用受控的传统协议(如绑定在HTTP上等)进行信息交换,可以有效地避免各种基于协议的攻击和泄密行为。
下图所示,即NiE在多种重要场合下的应用。
① 整体网络与Internet之间的安全隔离;
② 分支机构与总部网络之间的安全隔离;
③ 内部核心网与一般业务网之间的隔离;
④ 核心网络不同网段之间的安全隔离;
⑤ 重要服务器的隔离(例如数据库服务器);
3、行业应用解决方案
安全隔离与信息交换系统适用于金融、税务、海关、公安、司法、安全、医疗等行业领域,尤其是各级政府机关和涉密企事业单位。
3.1 财税系统应用解决方案
财政局,税务局(国税局、地税局)掌握着当地各类企业的登记情况、市场活动交易行为等重要信息,合理组织、综合利用这些信息可以从多角度反映本地的经济运行状况,为本地经济发展提供决策依据。随着政务公开和政府上网工程的开展,税务系统的对外业务服务必须要通过互联网来完成,例如企业初始数据的采集、网上报税、处理结果的反馈等,对于这些数据的审核往往需要由处于内网中的税务人员来完成,另外对于税务系统而言,所有初始数据和审批过程都需要备份,存入系统内网的数据库中。另外,由于网络的互联共享,来自企业内部和全世界各个地方不怀好意的计算机专业人士和黑客都有可能对其实施攻击。我们几乎每天都可以听到黑客对某某企业信息资源进行入侵、篡改和破坏的报道,所以有必要建立税务网络安全整体防护体系,提高税务网络的安全保障能力。
XX地方税务局应用服务器上部署了一套行政事业单位资产管理系统的软件,该软件是针对一些事业单位和一些政府机构将自己内部的一些资产数据以及报税材料等信息的登记,申请通过互联网发送到XX地方税务局的内外网的应用服务器上,应用服务器会将这些数据保存在相应的内外网的数据库服务器上,内部的工作人员会对这些需要批阅和审批的数据资料进行处理和审批,然后将这些审批后的结果公布到内外网的应用服务器上便于一些事业单位和一些政府机构通过互联网进行查阅。
3.2 政府系统应用解决方案
XX政府计算机信息网络系统包括:政府专用网络(专网)、办公内部网络(内网)、以及与因特网(Internet)互连的外部网络(外网)。内网与外网间为完全的物理隔离,内网与专网间采用防火墙逻辑隔离。内网与专网之间:XX政府计算机网络信息系统中内网与专网之间的数据交换为专网下级机构终端与内网专用服务器之间的数据传输,前期采用的是防火墙逻辑隔离的方法。在内网与专网之间数据交换时,由于是基于网络防火墙技术措施,网络之间的数据交换无法做到更深层次、更细粒度的安全隔离和访问控制。
内网与外网之间:作为XX政府计算机网络信息系统的主要业务之一,对外信息发布和对公众信息的获取需要在内网和WEB服务器之间进行广泛的、实时的、适度的、可控的内外网络的数据交换和应用服务,从而成为XX政府计算机网络信息系统的一个对外服务窗口,充分利用因特网的信息发布和获取方面的优势。考虑到XX政府内网的安全保密问题,目前内网与外网之间完全断开,对外信息交互服务器中数据的维护和内容更新采用人工、离线的方式。这虽然解决了部分安全问题,降低了内部网络的安全风险,但是其代价是牺牲了数据交换上的方便性和可操作性,带来了极大的不便。同时,阻碍了XX政府今后电子政务的建设。内网与外网之间数据交换需求主要为外网WEB服务器与内网数据库之间的数据通信。
方案中采用两套NiE,分别部署在内网与专网之间,以及外网与内网之间,满足XX政府的下列安全需求:
(1)在安全受控前提下,实现专网与内网两台专用服务器之间DBF格式管理数据的交换;
(2)在安全受控前提下,实现外网两台服务器(Web服务器)与内网数据库之间进行实时的数据交换。
(3)数据交换只能由外网Web服务器向位于内网的数据库发起连接,数据传输只能是由专网或外网传向内网的单向传输。
18826242760
安全芯片
