数据交换网技术---与非安全网络业务互联的新思路

数据交换网技术 --- 与非安全网络业务互联的新思路

Jack zhai <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

一、             背景

由于网络防护的技术落后于***技术，总会面临来自不安全区域的***与***，所以为了保证数据的安全需要采取技术隔离的手段。目前比较流行的五种隔离交换技术：防火墙、多重安全网关、网闸、数据交换网、人工交换。其中人工交换是不得以而为之，只是简单文件的传递；防火墙与多重网关是关卡方式，依靠安全检测技术保证安全；网闸是依靠摆渡技术隔离网络，依靠代理技术隔离应用，安全检测方面没有加强；而数据交换网技术是网络加关卡方式，包含了前三种隔离技术的优点，并且在网络上可以依照“花瓶模型”的安全保障体系建设，全面、立体地保障业务的安全性，所以其安全性应该是比较好的。

数据交换网的思路是在需要隔离的两个网络之间构建一个数据交换的平台，一个双方交互的隔离区，在这个安全区域上，不仅可以设置多道安全关卡，而且可以通过业务代理保护“内网”数据的完整性，同时安全监控与审计手段的加入，大大弥补了防护网关对“慢性”***行为的防护不足。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 

二、             数据交换网技术的理论基础

数据交换网的模型来源于银行系统的Clark-Wilson模型，是通过业务代理与双人审计的思路保护数据的完整性。该模型主要保障银行业务的安全，同时也是银行支持互联网金融业务的保障措施。把它应用于与非安全网络的互联，解决了业务数据的安全，才使得数据交换网技术完整。

Clark-Wilson模型的基本机制有两个，即合规式交易(well-formed transition)和责任分离(segregation of duties)。合规式交易的目的是不让一个用户随意地修改数据，比如手工记帐系统，要完成对一个帐目记录的修改，必须在支出与转入两个科目上都有变化，这种交易才是"合规式"的，而当帐目无法平衡时，就有错误发生。

责任分离的目的是保证数据对象与它所代表的现实世界对象的操作方式相对应，而计算机本身并不能直接保证这种外部的一致性，责任分离规则就是不允许任何创造或检查某一个合规式交易的人再来执行它。在一次合规式交易中，至少要有两个人参与，才能改变数据。基于上述的两种基本机制，Clark-Wilson模型制定了两类规则：强迫性规则和确认规则。强迫性规则是与应用无关的安全功能，而确认性规则是与具体应用相关的安全功能。下面先解释一下Clark-Wilson模型中的有关术语：

²        有约束数据项(CDI)：模型要应用到的数据项,即可信数据

²        无约束数据项(UDI)：用户提交的原始数据，UDI不是可信数据

²        事务过程(TP)：也称转换过程，它们的作用是把UDI从一种合法状态转换到另一种合法状态。比如把UDI转变为CDI

²        完整性验证过程(IVP)：这是一个保证所有系统中的CDI都服从完整性规定的过程，它用在与审计相关的过程中，模仿人的审计操作。

Clark-Wilson模型的规则如下:

²        强迫性规则：E1:用户只能间接通过操作TP才能操作可信数据(CDI)；E2:用户只有被明确地授权，才能执行操作；E3:用户的确认必须通过验证；E4:只有安全官员才能改变授权

²        确认性规则：C1:可信数据必须经过与真实世界一致性表达的检验；C2:程序以合规式交易的形式执行操作；C3:系统必须支持责任分离；C4:由操作检验输入，或接收或拒绝

 

对数据的完整性定义有三个条件：1、防止非授权的用户篡改数据。2、防止授权的用户错误地修改。3、维护内部与外部对数据修改的一致性。

由Clark-Wilson模型的两个规则导出的职责分离与良好的组织事物管理特性，非常好地维护了数据完整性的三个要素，有兴趣的读者可以推理一下，这里不再详细论述了。

Clark-Wilson模型从安全的角度给我们带来的启示：

²        通过业务代理让用户不能直接到达后台系统，系统的控制权不能是用户

²        业务办理要有单独的审计过程

    虽然Clark-Wilson模型保证了数据的完整性，但数据交换网是两个网络的数据交换，仅仅保证业务数据的安全是不够的，数据的安全性、内网的防***、防***都需要保证，所以数据交换网把安全网关的思想与Clark-Wilson模型的思想相结合，形成了数据交换网技术的安全保障方式。

 

三、             数据交换网技术设计模型

在两个网络间建立一个可监控的、安全的、专用的网络，来负责交换业务数据、抵御外部的***、阻止***与病毒的通过，通过业务代理隔离直接访问，通过审计验证业务安全，这个网络称为数据交换网，也可称为数据交换平台、数据交换隔离区。

从数据交换网的设计模型中，可以把数据交换网分成两个区域：

1. 接入缓冲区(接入平台)：负责业务的申请代理，完成对非安全网络中的用户接入。

外网的接入是安全第一道关，采用多重安全网关(FW+IPS+AV+防***+流量管理+内容过滤)，实行多重关卡防护，主要是针对***、病毒的防护与设备自身的抗***性。另外一个考虑是不影响用户接入的速度，多重安全网关一般采用硬件过滤技术，重点是常见的、特征型的病毒与***的过滤，相当于安全网络的“大门”。

在接入缓冲区内采用IDS对网络***行为监控、对网络的异常流量监控，该处主要是针对高级***的***行为与未知***的监控。

在接入缓冲区主要是收集客户的业务代理，有些类似TP把UDI转换为CDI1，接管用户业务的控制权。

2. 业务缓冲区(业务平台)：负责对业务申请的审核，并完成数据交换。

与内网连接是数据交换网安全的最后一道门，采用网闸隔离，利用网闸的摆渡特性来隔离网络，同时网闸保证“协议落地”，减少服务的支持，降低***的“门路”。若对业务的实时性要求较高，也可以考虑多重安全网关，但尽量不与接入缓冲区的安全策略相一致。

在业务缓冲区内部采用“花瓶模型”的安全保障建设思路，IDS***监控、行为审计系统、SOC安全管理平台，形成事前防护、事中监控、事后审计的立体安全保障体系。

在业务缓冲区完成业务的代理，对业务的审计，完成TP的生成CDI2、CDI3的功能与IVP的功能。

 

非安全网络的客户接入是通过接入缓冲区进来的，但对大客户(专线客户)的接入，由于客户是固定接入的，是可控的，所以可以直接接入到业务缓冲区的接入防火墙上，提高业务访问的效率。

另外，作为数据交换的平台，还可以根据安全的需要，增加“蜜罐”类的安全技术，把***引导到对系统无害的区域，一方面减少可能的损失，一方面分析***行为的新变化，为安全防护技术的提高提供依据。

 

数据交换网技术是把“花瓶模型”的安全保障机制与Clark-Wilson模型的数据保障机制有机地结合起来，从网络安全、业务安全的角度审视与非安全网络的业务互联，其安全性大大加强。从技术方面总结起来有四点：

1、  事前的三重安全网关。多重安全网关在接入区，网闸在业务区，中间是防火墙。

2、  事中的两重监控系统。接入区与业务区的安全监控平台。

3、  事后的审计系统。网络审计留下所有网络进入者的“脚印”。

4、  业务代理、业务申请验证保证数据的完整性。

 

四、             数据交换网技术的利与弊

毫无疑问，数据交换网技术适合于业务量大、实时性要求高，安全要求也高的两个网络之间的数据交换，并且由于网络分为两个区域，形成两个对付***的缓冲地带，用户可以根据自己网络面临威胁的等级，再增加安全措施。但是，数据交换网技术作为与非安全网络的互联也有它一些固有的缺陷：

1、              用网络替代传统意义上的网关，安全保障系数增加了，成本也增加了，所以一般是业务非常需要的时候采用此设计，同时也可以根据业务安全性的需要，把两个区域合并在一起，减少总投资。

2、              业务的代理与验证部分需要客户针对业务做一定的开发，Clark-Wilson模型用于银行系统，银行的业务本身就是专用的，自行开发不是问题。但其他行业的业务系统可能采取的是通用系统，代理开发需要中间件或加壳方式。

3、              数据交换网综合了“花瓶模型”保障机制与Clark-Wilson模型安全机制，安全系数比较高，但总体上对***与病毒的识别与当今的安全技术发展是一致的，所以从理论上讲，数据交换网仍然具有被攻破的可能，最安全的办法还是物理的不连接，就是所谓的人工交换数据。所以，安全保障还是离不开管理制度的建设和人的参与，“技术不够用人补”仍然是数据交换领域的重要安全手段。

数据交换网技术不是万能的，但还是不错的方案选择。在使用该技术的同时，也要注意几点，确保该技术的安全、有效地发挥作用：

1、              “花瓶模型”中的防护、监控、审计是有机结合的安全技术，相互补充、相互配合才能有效保障，若缺失一部分，则容易出现安全的漏洞。

2、              业务的代理与验证是业务保障的精要，也数据完整性的必须，若数据交换网中没有了完整性保障，安全网络面临的威胁将大大升级。

 

五、             实际应用案例

数据交换网技术是从实际需求发展而来的，又经过安全理论的分析，正在逐步成为与非安全网络互联的主要技术之一。下面我们拿一些实际的案例，来分析一下数据交换网技术在实际应用中的一些变化。为了安全涉密的要求，我们简化了安全网络的内部结构，主要是说明数据交换网部分的设计。

1、  某金融机构提供互联网业务

该金融机构的内部网络属于核心业务专用网络，为了给会员单位、散户提供信息查询、分析服务，由于业务数据是实时的、大量的，所以对数据交换部分要求很高。该金融机构经过充分分析论证，选择了数据交换网技术。

数据交换网通过网闸与内部业务网相联，内网的业务代理服务器把数据实时提供给数据交换网数据区的中间件/数据库服务器，数据流是单向的，若是客户交易申请通过其他专网提交。当互联网用户访问时，先经过多重安全网关到达数据交换网服务区的Web服务器，该服务器提供服务，但交易数据需要到数据区的数据库服务器取得；数据区与服务区之间用防火墙隔离。

该金融机构的数据交换方式是典型的数据交换网技术，又增加了单向数据流方式，内部网络的安全性得到了进一步提高。

2、  某政府监管机构提供公众服务监管

某政府机构为公众提供服务，需要自己的监管网络能够监管公众服务，而监管网络为专用的涉密网络，为了业务的互通，采用了数据交换网技术。由于原来的网络里有很多的安全设备，作为利旧，某些部位的安全设备采取了功能上的替代。

其中数据交换平台类似数据交换网的业务缓冲区，业务服务在数据交换平台中代理提交。通过网闸把互联网客户、专线客户、第三方机构接入到交换平台。由于需要把接入缓冲区设置在了管理网络的一边，与数据交换平台远程相连。管理部门通过监管代理服务器对公众服务进行监管与审批，数据的流是双向的。

该政府的公众监管服务把数据交换网模型中的两个区域倒置，把安全的管理网络作为接入用户，其安全效果相似。同时在隔离安全设备上，利用现有的设备，目的是达到***、病毒、***的防护，符合自己业务安全的需要就可以，也值得借鉴。

3、  某政府内、外办公网络互联

政府办公分内外网络是安全管理的历史问题，随着政府管理职能的增多、公众服务意识的增强，很多分布在内、外网上的应用需要经常进行大量的数据交换，甚至有些业务逐渐融合，不可分割，所以建立政府内、外网的、安全的数据交换平台是电子政务、“12金工程”等业务发展的需要。有些政府采用网闸作为内外网的隔离，由于网闸是网关过滤的安全方式，所以对实时的业务互通需求一直是互通的瓶颈，业务安全性上也没有保障。

    由于政府内外网的数据交换相对简单，外网也是办公网络，其安全性远高于与互联网的直接连通，因此，该政府吸取了数据交换网的核心安全理念，采用业务代理方式保证内网数据完整性，多重安全关卡隔离，同时简化了数据交换网的区域设计，把两个区域合并，降低了投资的成本。

 

六、             小结

业务互通、数据交换是目前很多专用网络面临的业务需求，设计一种安全的、有效的网络互联方式具有非常广泛的实用价值，如政府内外网、电力调度与办公网、科研网与互联网、企业生产与办公网等等。本文对数据交换网技术进行了详细的分析，也举了一些实际的应用案例，希望能开阔网络设计者们的思路，设计出更安全、更有效的方案，为我们日益膨胀的网络业务提供便利。