涉密信息网组网及远程链接关键技术研究

叶 茂 缪 纶 王志璋 江新兰

(中国水利水电科学研究院信息网络中心，北京 100044)

随着互联网技术的不断深入普及，人们获取信息的主要渠道由传统的报纸、广播、电视已经转移到了互联网领域。政府网站的建设已经成为了政府信息公开的主要方式和渠道，便捷，快速而准确。据不完全统计，截止 2010年中央部委政府网站的普及率达到100%，省市政府网站普及率达到100%，地市级政府网站普及率达到 99.5%。同时大量的企业、科研机构也同样拥有数量庞大的网站群。这些机构同时拥有大量的商业和科研机密。

如今的社会是互联网时代，很多的工作必须借助互联网才能完成，虽说有强有力的行政手段来阻止人为的泄密事件的发生，但是黑客的入侵以及由于互联网的开放性导致的技术性泄密事件的发生还是屡见不鲜。因此，组建一个专用的存储、传输涉密信息的网络来防止泄密事件的发生尤为重要。各下属机构政务内网通过专线或者以租用专线，以有限终端的方式连入总部机关政务内网，确保政务内网信息的上报下发等信息交流。本文将主要针对下属单位如何安全高效地接入总部的涉密信息网展开探讨。

1 总体设计

1.1 设计基本原则

（1）分级保护。严格按照国家保密局颁发的关于《涉及国家秘密的信息系统分级保护管理办法》的规定执行；区分涉密与非涉密区域、涉密部门与非涉密部门；明确网络安全域的划分，实行物理隔离。

（2）整体安全。涉密网对安全保密的需求是任何一种单元技术都无法全部解决的，必须从一个完整的安全体系结构出发，综合考虑安全保密的各种实体和各个环节，综合使用各层次的多种安全手段，提供全方位的安全保障。

（3）保密级别达标。涉密网的设计、产品的选型及服务的选择都是以国家保密局最新颁布的标准为依据进行的，安全保密级别达到标准规定的相应级别的技术与管理要求。

（4）投资保护。涉密网的设计将最大限度利用已有安全产品，避免替换安全产品造成成本大幅增加，最大限度地保护原有投资。

（5）扩展性。涉密网的设计应能适应上级部门安全保密需求以及国家保密局等提出的安全保密要求的变化，易扩展易升级，为未来的发展留有接口。

（6）稳定性。涉密网的设计需保证原内网业务应用系统的稳定、顺畅，改造和实施不应对业务用系统造成影响。

（7）保持实用与先进。采用主流技术路线，尽可能在满足当前的需求的情况下并兼顾长远的业务需求，使整个系统在5年内保持技术的先进性，并具有良好的发展潜力，以适应未来信息产业业务的发展和技术升级的需要。采用最先进的技术、设备和材料，以适应高速的数据传输需要。

（8）保持灵活与可扩展。硬件设备系统等应该具有良好的灵活与可扩展性，要有良好的扩容能力，硬件设备应有支持多种网络传输、多种物理接口的能力，并预留一定的冗余能力和设备技术升级能力。

（9）标准化。在系统结构设计中，应该严格参照国标和行标，各种国家保密法律、法规，坚持统一规范的原则。标准化的设计原则能够为日后扩充极大减少设计量和施工量，并能保证系统的平稳升级扩容。

（10）可管理性。涉密网系统是一个综合性的复杂系统，有效的管理必不可少。因此在方案中，应具备全面、完善的机房管理和监控系统。快速而有效的定位排除故障。防止非法的入侵和外联，从而保障数据机房安全。

（11）国产化。信息安全保密工作关系到国家安全，所采用的安全保密产品须立足于国产。

1.2 设计策略

（1）保密第一。信息安全保障工作涉及多个方面的保护，包括保密性、完整性、可用性、可控性、不可否认性等等，在涉密网安全保密改造设计中，以保密性为主，兼顾其他几个安全目标。

保密性是指防止非授权访问敏感信息或涉密信息。本单位内网涉密业务中会生成、传输、处理、保存大量的信息，这些信息中包括各种敏感信息或涉密信息，保障本单位内网涉密信息的保密性，是安全保密建设改造项目的主要安全目标。

（2）最小授权。涉密网络的建设规模要最小化，非工作所必需的部门和岗位不得建设涉密终端；涉密信息系统中涉密信息的访问权限要最小化，非工作必需知悉的人员，不得具有关涉密信息的访问权限。

（3）综合防护。若要提升整个系统的整体安全水平，就必需首先从系统中最为薄弱的环节入手加以保护。系统中最薄弱的环节往往威胁的入侵最容易突破的环节。就好像木桶的短板效应一样。只有提高整个系统的“安全最低点”的安全性能，才能防患于未然。基于这样的原理，应该对系统进行全面有效的分析、评估和检测，（包含入侵检测，黑客入侵）切实找到漏洞所在，提高整个系统的综合防御能力。

安全保密建设必需保证整个防御体系的完整性。一个较好的安全保密措施往往是多种方法适当综合的应用结果。单一的安全保密产品对安全问题的发现处理控制等能力各有优劣，从安全性的角度考虑需要不同安全保密产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。

1.3 功能结构设计

涉密网的安全分为：物理、运行、信息、管理等几个方面。根据涉密网实际安全需求，综合考虑现有的各种安全技术措施和政策要求，从“风险、成本、效能平衡”的原则出发，重点从物理安全、网络运行安全、信息安全保密等方面对本单位涉密网安全保障的进行设计建设。

（1）物理安全。为了保护网络设备、设施、介质和信息免遭自然灾害、环境事故以及人为物理操作失误或错误，及各种以物理手段进行违法犯罪行为导致的破坏、丢失，涉密网系统需要具备环境安全、设备安全和介质安全等功能。

（2）运行安全。为保障涉密网的安全保密，网络系统需要具备备份与恢复、病毒恶意代码防护、应急响应、运行管理等功能。

（3）信息安全保密。为了保证信息的保密性、完整性、可控性、可用性和抗抵赖性，计算机信息网络系统需要采用多种安全保密技术，如身份鉴别、访问控制、信息加密、电磁泄漏防护、信息完整性校验、抗抵赖、安全审计、安全保密性检测、入侵监控、操作系统安全保护、数据库安全保护和边界防护等。

2 安全域划分[1]

2.1 域划分依据

安全域（security domain）就是由实施共同安全策略的主体和客体组成的集合。划分安全域是建立纵深防御安全系统的基础。 随着业务的不断发展，计算机网络变得越来越复杂，将网络划分为不同的区域，对每个区域进行层次化地有重点的保护，是建立纵深防御安全系统的自然而有效的手段。

2.2 域的作用和设计基本原则

通过安全域划分，使得信息系统的逻辑结构更加清晰，可以帮助理顺网络的应用系统的架构，从而更便于进行运行维护和各类安全防护的设计。

安全域的划分应该遵循如下根本原则和划分方法：业务保障、结构简化、分级保护、立体协防和生命周期原则。

2.3 域划分方法

安全域划分的基本方法有三种：业务域、等级域和行为域。

业务域的划分方法相对自然简单，基本上不用改动现有的系统结构。但系统中所有的业务系统都面对相同的安全威胁，这就需要采用同样的保护手段，防护复杂且投资重复庞大。

等级域的划分仅仅要求每个等级的安全域内的安全防护要求一致，不同等级的安全域采用不同的安全手段，有效地减少了重复投资，同时也体现了安全纵深防御的思想。由于按安全等级形成的网络区域与按业务特性形成的网络区域有较大的差别，对已有系统重新调整整合的难度会很大，会影响业务系统的正常运营和性能。因此这种方法比较适合新建业务系统的网络安全区域规划和划分。

行为域划分按照信息系统的不同行为和需求来划分相应网络安全域，并根据信息系统的等级和特点选择相应的防护手段。这种方法由于从业务系统现状出发，充分考虑了承载业务系统的信息系统的行大和外部威胁，能够设计出比按业务系统划分方法更为细致的网络安全域，同时又可以避免业务系统大规模调整，而且也兼顾到了防护等级，目前对比业务域、等级域的优缺点，行为域的划分方法是国际上常见的方法。

3 涉密网安全域划分及防护

3.1 涉密网安全域划分

涉密网安全域可划分为五个域，分别是“核心交换域”、“安全管理域”、“机密级服务器域”、“终端域”、以及“秘密级安全缓冲域”。

按照相关规定，“秘密级安全缓冲域”与达到等级保护三级要求的政务外网相连接时，采用安全隔离与信息单向导入系统、一体化安全网关等安全设备，并向保密局申请专项审批，专项审批通过后方实行连接，从政务外网向涉密网导入需要的信息。

从涉密网向政务外网导出的信息依据相关规定和流程，只能以人工的方式拷贝到政务外网。企业级涉密网的搭建不经过保密局审批，但技术流程上可参照实施。

3.2 边界防护

3.2.1 与总部涉密网的连接

通常情况下，了保证设计方案的协调性，可将本单位涉密网密级定为和上级单位涉密网密级一致。若本单位涉密网密级与上级涉密网密级一致，本单位与上级涉密网之间的连接只需明确划分边界、制定访问控制策略并进行有效的边界防护措施即可。边界防护措施考虑网络访问控制、恶意代码和入侵行为的检测和防范，因此，本单位与上级涉密网的边界防护使用防火墙设备等安全网关系统。虽然很多的涉密网的对接采用的是专线线路，但是物理链路不可控，存在网络传输数据被窃取的风险，因此，在信息传输上部署网络密码机对所传输的数据进行加密。

需要注意的是由于通常很多情况下涉密网的对接在远距离传输的过程中不能保证所使用的线路是专线对接，势必要使用互联网，在这样的限制下如何做到涉密网和互联网的物理隔离就有了一定的局限性，折中情况的出现不能利用宽带 VPN技术实现远程接入。只能使用加密拨号接入，即先用普通MODEM拨号上网，再用卡式密码机建立密通道。以达到物理隔离的目的，但是由于现有技术的限制，采用拨号加密的方式存在明显的缺点就是传输速率的瓶颈问题。

涉密网与上级涉密网的连接如图1所示。

图1 涉密网与上级涉密网连接图

3.2.2 与业务外网的连接

根据国家保密局《电子政务保密管理指南》的要求，电子政务涉密信息系统（或安全域）和与互联网逻辑隔离的电子政务非涉密信息系统（或安全域），在满足一定的条件下，经过国家保密局批准，可以采用所批准的方案和“安全隔离与信息单向导入系统”进行连接。根据要求，在涉密网建立一秘密级安全缓冲域，在电子政务外网或外部业务网建立一个符合等保三级要求的网站，通过安全隔离与信息单向导入系统相连接，由此秘密级安全缓冲域与安全隔离与信息单向导入系统相连，安全隔离与信息单向导入系统与政务外网等保三级网站相连，逻辑结构如图2所示。

图2 政务外网与涉密网连接示意图

在政务外网等保三级网站与秘密级安全缓冲域之间，部署安全隔离与信息单向导入系统，实现信息和数据的单向导入；为实现秘密级安全缓冲域的入侵检测，在此安全域的交换机上部署入侵检测系统，实现秘密级安全缓冲域的实时入侵监控；在秘密级安全缓冲域与机密级的电子政务安全域之间部署集防火墙、入侵防御和防病毒等功能于一体的一体化安全网关系统，保证系统的完整性和可用行，使安全风险降到最低，同时也实现了边界的安全防护。

由于涉密网与政务外网采用物理隔离的技术，近些年，随着网络安全技术的不断发展，上述安全接入方式演变为物理隔离网闸的形式出现了，物理隔离网闸结构如图3所示。

图3 物理隔离网闸示意图

物理隔离网闸[3]是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。外网处理单元与外网(业务外网)相连，内网处理单元与内网(涉密网)相连；安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接，并在任何时刻只与其中一个网络连接，读取等待发送的数据，然后“推送”到另一个网络上。在切换速度非常快的情况下，可以实现信息的实时交换。

由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏；物理隔离网闸可以解决以下威胁：操作系统漏洞，入侵，基于TCP/IP漏洞的攻击，基于协议漏洞的攻击，木马，基于隧道的攻击，基于文件的攻击等。

由此看来虽然涉密网、非涉密网之间存在物理隔离，但是依照涉密信息“最小化”原则，通过设立秘密级安全缓冲区和物理网闸的设置还是可以做到涉密网和非涉密网之间两个不同的信息安全域信息的适度“可靠交换”。

3.3 安全域内防护

依据安全域的不同涉密等级和保密局的相关规定，各个安全域采用相应的安全保密产品进行安全保密保护。

涉密网的具体部署如下。

(1)各涉密的安全域网络边界位置部署边界防护设备（涉密服务器域、安全管理域），采用防火墙或一体化安全网关。

(2)核心交换域位置部署 IDS系统、安全审计系统，进行全网的入侵检测和安全审计。

(3)涉密终端域部署网络防病毒系统、主机监控与审计系统、USB移动存储介质使用管理系统、数字证书认证系统、视频干扰系统、线路传输干扰器（未采用屏蔽线路的部分使用），并通过划分VLAN将涉密终端与非涉密终端、机密级终端与秘密级终端分开。

(4)非涉密终端域部署网络防病毒系统、主机监控与审计系统、USB移动存储介质使用管理系统、数字证书认证系统，并通过 VLAN划分将非涉密终端与涉密终端分开。

(5)安全管理域包括网络防病毒系统服务器、主机监控与审计系统服务器、USB移动存储介质使用管理系统服务器、CA服务器、漏洞扫描系统服务器、安全管理平台相关服务器和数据库等，需部署运维操作安全审计系统。服务器可以合并使用。

(6)机密级服务器域部署网络防病毒系统、运维操作安全审计系统。

一般情况下，在经过上述安全产品部署的涉密网建设基本上可以认为该涉密网是安全可行的。

4 结 语

涉密网的组建以及远程互联通过上述研究，可以看出，在该涉密网系统架构下，可以有效地利用技术手段将涉密信息的存储和传输限定在可控的范围之内。当然仅从技术手段解决泄密并不是万能的，还需要强有力规章制度以及相应的管理手段和软件才能使涉密网安全良好地运行。

[1]刘光轶.省级移动数据通信网（MDCN）安全域划分与边界整合方案的设计和实施.北京邮电大学,硕士论文,2008-09-08

[2]许云明.物理隔离网闸原理及应用.计算机安全.2005年12期