省级信息系统迁移政务云过程中数据同步的安全设计与实现

郝建雪

摘要：对于省级教育业务系统，由于数据中心硬件设备老化导致故障频发，故需选择重新迁移到政务云，以保证安全稳定运行。部署在政务云上的省级业务系统需要与教育部业务系统对接，重新建立省级与教育部之间的安全隧道连接。IPSec VPN的应用可以实现将一条VPN隧道封装起来，将数据信息通过公用网络传输出去，并且能够通过在现有防火墙或路由器上直接实现来降低成本，IPSce也具有更高的安全等级。故选择运用IPsec VPN技术，来保证远程访问服务的安全、可靠、高效和简洁性。

关键词：IPSec VPN；云上业务系统；网络和数据安全

一、前言

近年来，随着信息技术行业的迅猛发展，VPN技术也日趋成熟。利用此技术实现多方互通互联可使业务更加高效开展。而教育作为民生的一大重要部分，在省级教育系统迁移上云后，环境改变的情况下，完善各省教育系统与教育部系统的对接联通已成为迫在眉睫的需求。在满足业务网络互通需求的同时，随着IPSec VPN技术的成熟，选择使用IPSec VPN，设计与实现安全访问隧道，可使部省间业务系统顺利对接完成，提供安全稳定的服务。

二、省级业务系统迁移上云情况

（一）基本情况

随着时代的发展，教育工作对信息化的依赖程度越来越高，所以教育信息系统的保障工作尤为重要。由于各省某些数据中心设备老化导致故障频发，给系统稳定运行和数据安全造成隐患。为了更好地支持教育业务工作的正常开展，提高省级教育管理信息系统的可靠性、安全性和稳定性，顺应政务云应用发展的技术趋势，需对教育信息系统实施迁移政务云工作。在实施此工作的过程中，需重新设计并实现IPSec VPN通道，从而使部省间业务系统顺利对接完成，提供安全稳定的服务。

（二）省级原有数据中心网络情况

省级数据中心机房承载省级教育行业多套重要业务系统，涉及全省学前、中小学的学生、家长、教师等重要数据。网络线路接入分为互联网、教育网专线、政务外网。其中互联网区按照业务系统功能需求，配置IP地址及端口映射策略，教育网专线为省部级间、省级教育部门与下属部门间内部业务系统提供非公开发布网络策略配置，政务外网区为省级教育系统与网信办共享数据交互提供网络支撑。机房互联网出口为联通和教育网双出口，带宽均为1G。出口设备由2台H3C M9000防火墙堆叠承载，2台锐捷S8610使用VRRP协议作为主备核心交换机，2台H3C 10508交换机堆叠作为汇聚交换机，IPS、WAF、抗DDoS、防病毒网关、网络安全审计、网闸等安全设备均为2台主备，以串联模式部署在IDC机房，SSL VPN、IPSec VPN、堡垒机、负载均衡、数据库审计、漏扫等安全设备以旁路模式部署在机房。网络策略方面，依照按需开启原则，所有业务系统均以最小化开启原则进行端口级策略开放，所有业务系统无特殊需求不开放访问互联网策略，对于需放开互联网访问权限的主机开放白名单，进行对应IP地址及端口开放。内网访问层面，按照业务系统间关联关系，做好物理隔离和逻辑隔离，来保障业务系统内部访问安全。安全方面，依据负责业务系统部门的相关管理制度，结合人员管理及安全设备策略优化调整，有针对性的根据业务系统的实际功能需求制定相应的安全防护方案，来保证业务系统的网络和数据安全。

（三）存在的问题

目前，省级教育管理信息系统均部署省级教育数据中心。虽然相关工作人员对网络策略和安全方面有相应的防护方案，但机房、软硬件及部分信息系统已建设使用多年，近期硬件故障频发。而以数据中心为依托，承载和满足了国家教育信息系统在省级教育行政部门的部署和运行；集成和支撑本级各类教育基础数据库和各类教育管理信息系统；服务于所辖区域内教育行政部门和学校的信息化管理业务应用。这些省级系统中包含着非常多的个人信息和行政信息，而硬件老化问题会影响网络安全和数据安全，一旦发生安全问题，会造成严重的数据泄露，给系统稳定运行和数据安全造成隐患，全省的教育系统都会面临着严重的威胁。

（四）解决方案

由于数据中心设备老化导致故障频发，影响系统安全运行，为了更好地支持教育业务工作的正常开展，考虑到现下的情况，对教育信息系统实施迁移政务云工作是当前最合适的解决方案。在迁移政务云过程中的工作内容包括：网络接入、系统环境部署、应用和数据库节点迁移及测试、数据同步、业务验证、政务云业务割接、上线试运行、安全防护等。而数据同步工作中部省间业务系统数据同步更为重要，在确保网络和数据安全的前提下还应考虑开支的问题。在实施省级教育信息系统迁移政务云的过程中，数据同步工作方面，需保证省级业务系统和教育部业务系统的对接畅通，在保证网络和数据安全的现有情况下，选择重新设计并实现IPSec VPN通道，使部省间业务系统顺利对接完成，是目前安全保护级别较高、节省开支的一个可运行的方案。在与教育部专线对接上，需完成IPSec VPN数据通道互通调试，打通与教育部业务系统联通性，与教育部教育管理信息中心技术人员详细沟通业务系统访问规则，对接IPSec VPN隧道相关信息；通过防火墙配置部署IPSec VPN隧道，打通与教育部业务系统的访问通道，进行策略调试，保障业务系统访问的稳定性。在此不赘述省级业务系统从原有数据中心迁移到政务云的具体步骤和技术支撑，详细介绍在迁移上云中省级教育业务系统与教育部业务系统的数据同步对接技术选择和省级防火墙配置步骤。

三、VPN简介

VPN（Vitrual Private Network）全称为虚拟专用网络，其实现原理是利用加密技术在现有的公用网络中建立自己使用的虚拟专用网络。采用加密认证技术，确保用户在传统专网数据传输效果相近的情况下，所要传输的数据能够安全地在公网上传输。这是一张标准的VPN网络。根据不同的标准，VPN主要分为：SSL（安全套接层协议层）VPN、IPSec（互联网安全协议）VPN、MPLS（多协议标签交换）VPN等。

（一）SSL VPN：基于WEB 应用的安全协议的VPN 技术。客户端程序为各种安全的浏览器，通过认证后进入到服务器的VPN网页，访问具有WEB功能的某项应用，类似于一个WEB服务器。SSL VPN的优点是无需单独安装软件、接入方式简单、性价比较高。但SSL VPN更适合访问一些较为简单的应用，例如网页、电子邮件等，如要访问整个网络则会具有局限性。

（二）MPLS VPN：采用MPLS技术（多协议标签交换），以每个标签对应一个用户数据流的方式，利用标签交换对不同用户进行区分，实现用户间数据隔离的VPN网络。MPLS VPN具有较高的灵活性和可扩展性，可以实现点到点，点到多点和任意接入点之间互访的全网状结构，满足用户不同的通信需求。MPLS VPN采用标签交换技术来取代传统的路由查找，减少了数据在网络中的寻址时间，使数据传输效率大大提高，但搭建VPN网络建设的投资也相对较高，更适合在大规模组网的情况下使用，因为MPLS VPN对网络和设备的要求较高。

（三）IPSec VPN：基于GRE（通用路由封装）技术的VPN，用户仅需要自己在路由器或防火墙上做相关配置，建立VPN网关，客户端安装相应的VPN软件即可实现在不同地点的两个节点进行内部通信。IPSec VPN主要采用隧道技术、加密技术、Key管理技术等，达到将一条VPN隧道封装起来，通过公用网络将数据信息传递出去的目的。IPSec VPN搭建不需要运营商的参与，可以直接在现有的防火墙或路由器上实现，减少成本，IPSec安全级别较高，但也需要使用者自行维护，有较高的维护能力。

四、IPSec技术原理

（一）IPSec协议原理

IPSec是为实现VPN功能而使用的协议。它给出了一套应用于IP层网络数据安全的体系结构，包括网络认证头（Authentication Header，AH）协议、封装安全荷载（Encapsulating Security Payload，ESP）协议、密钥管理（Internet Key Exchange，IKE）协议，以及一些用于网络认证和加密算法的协议等。IPSec规定了一系列的网络安全服务，如访问控制、数据源认证和数据加密，提供如何在对等层之间选择安全协议、确定安全算法和密钥交换等。IPSec工作于OSI七层模型中的第三层，可供IP和上层协议（如TCP、UDP等）使用。IPSec使用AH和ESP来实现各种不同的功能[1-2]。AH认证头协议是在确认数据分组来源的同时，保证数据的完整性、可靠性和真实性，防止重复发送同一数据包。AH协议不加密用户数据，通常会使用安全的Hash算法来保护数据包，并且在传输过程中需要更改的信息数据通常不在AH协议的保护范围内[3-4]。ESP用于加密数据分组，提供IP通信的安全服务，以达到对机密性和完整性的要求。ESP采用对称的加密方式，可以满足一定的安全要求，但需长期保密的数据不适合这种加密方式。也可根据安全需求的不同，只对TCP或其他数据包进行加密并重新封装后，通过滑动窗口机制进行传输，解决数据传输中的接收、重传等问题[5]。

（二）IPSec VPN基础概念

1.安全联盟

对于IPSec而言，安全联盟（Security Association，SA）是它的基础，是两个应用IPSec系统之间的单向逻辑连接，是为保护通信提供具体细节的安全策略的具体化和实例化，它约定了传输数据分组协议。SA是一种单向的“连接”，为其传输的通信提供安全服务，完成数据通信的双向传输需要一对SA。而IKE的一个功能是建立和维护SA，主要是维护IPSec安全机制中的两个组件SADB（SA数据库）和SPDB（安全策略数据库），AH和ESP需要使用SA来提供安全服务。IPSec提供两个端点之间的安全通讯，有两种方式可以建立安全联盟，一种是手工方式（Manual），一种是IKE自动协商（ISAKMP）方式。

2.封装方式

IPSec有如下两种工作模式： 隧道（tunnel）模式：利用用户的整个IP数据包计算AH或ESP头，在一个新的IP数据包中封装AH或ESP头以及ESP加密的用户数据。通常情况下，两台设备之间的通信都会应用隧道模式。传输（transport）模式：只是利用传输层数据计算AH或ESP头，在原IP包头后面放置AH或ESP头和ESP加密的用户数据。通常情况下，在两台主机之间或一台主机与一台设备之间进行通讯时，都会采用传输方式。

3.协商方式

手动配置比较复杂，创建安全联盟所需的信息都必须手动配置，虽然不能支持IPSec的一些高级特性，但好处是无需依赖IKE，就可实现IPSec功能。这种方式适合在IP地址较固定或对等体设备数量较少的情况下通信使用。IKE自动协商的方式比较简单，只需要将IKE协商安全策略的信息配置好，就能创建和维护安全联盟。这种方式在动态网络环境下的中大型网络中是适用的。这种方式的建立，有两个阶段的过程，对提高密钥交换的速度有很大的帮助。第一阶段，协商创建一个通信信道（ISAKMP SA），并对信道进行认证，以供双方进一步开展IKE通信；第二阶段，利用已经建立的ISAKMP SA建立IPSec SA。IPSec的安全服务可以采取手工输入密钥的方式，但是这种方式的操作性和扩展性极差。因此在实际应用中，大多数采取的是使用IKE（Internet密钥交换协议）对双方进行动态生成共享密钥的方式，从而实现安全有效的通信。

4.引用IPSec VPN

设备将配置好的VPN隧道通过“基于策略的VPN”和“基于路由的VPN”两种方式调用到设备上，从而实现流量的加密解密安全传输。基于策略的VPN：在策略规则中引用配置成功的VPN隧道名称，使符合条件的流量通过指定的VPN隧道传送。基于路由的VPN：用隧道接口绑定配置成功的VPN隧道；配置静态路由时，指定隧道接口作为下一跳路由。

五、通过防火墙配置部署IPSec VPN隧道的设计与实现

首先要确定省端互联网出口防火墙设备与教育部端设备是否为同一厂商设备，再做不同的处理。现以两端为不同厂商设备举例，省级与教育部业务系统对接需要在两张网之间建立IPSec VPN隧道，省端云互联网出口防火墙与教育部端设备对接属于不同厂商间设备对接，实际拓扑图见图1。由拓扑图可知，省端云互联网内需要访问教育部互联网内教师管理系统、学前系统、学籍系统等多个业务系统，但由于教育部配置了安全策略，只允许特定网络地址段地址访问教育业务系统。因此通过在省端防火墙上配置源NAT，将省端云互联网中业务系统的IP，转换成特定的IP地址，以实现业务访问。具体实施：首先需要与教育部对各种搭建IPSec VPN隧道相关参数信息进行协商确认，例如预共享密钥、支持模式、超时检测、加密算法等。防火墙的相关内容参数再根据这些参数信息进行配置。具体配置防火墙的参数步骤如下。

1.首先配置VPN对端配置

（1）在防火墙操作界面，点击“VPN>IPSec VPN”进入IPSec VPN界面。

（2）填写连接端的名称并选择建立IPSec VPN的公网出口。

（3）填写以下几个配置情况

接口类型：IPV4；

协议标准选择：IKEV1；

认证模式：主模式；

类型：静态IP。

（4）输入对端公网IP地址：X.X.X.X。

（5）输入双方协商的预共享密钥。

（6）点击“高级配置”，由于教育部配置了安全策略，只允许特定网络地址段地址访问教育业务系统，需要NAT转换成特定地址。因此连接类型选择“双向”并打开“NAT穿越”选项，选择“接受对端任意ID”同时选择“对端存活检测”。DPD间隔与DPD重试根据协商的参数输入。

（7）点击确认，VPN对端参数配置完成。

2.配置预协商参数

（1）点击“提议1”填写阶段1提议配置，填写提议名称。

（2）在认证栏中选择“PRE-share（预共享密钥）”。

（3）验证算法、加密算法、DH组、生存时间根据协商参数分别选择“验证算法：SHA”、“加密算法：AES-256”、“CH组：Group”、“生存时间：3600秒”。

（4）阶段1提议配置完成。

3.配置阶段2协商参数

在阶段2提议配置中，选择“ESP”协议，验证算法、加密算法、DH组、生存时间根据协商参数分别选择“验证算法：SHA”“加密算法：AES-256”“CH组：Group”“生存时间：3600秒”。至此，阶段2提议配置完成。

4.查验IPSec VPN建立情

通过两端设备协商，可以观测到IPSec VPN隧道的架设完成。

5.建立tunnel隧道

点击左侧“接口”选项卡进行接口配置，安全域选择“三层安全域”“VPNHub”，开启HA同步，建立tunnel隧道，绑定创建好的IPSec VPN。Tunnel隧道建立完成。

6.配置策略路由

点击防火墙操作页面中的“网络>路由>策略路由”通过配置策略路由，实现需要访问教育部的业务系统能够优先通过tunnel隧道进行访问。

7.配置源NAT

由于教育部配置了安全策略，只允许特定网络地址段地址访问教育业务系统。因此需要在防火墙上配置源NAT，点击防火墙操作页面左侧“NAT>源NAT”进行操作，将省级政务云上业务系统的IP，转换成特定的IP地址，以实现业务访问。

8.配置目的NAT

为实现教育部网络IP地址段访问省级政务云上业务系统的IP，配置目的NAT，省级政务云上业务系统的IP地址将转换成特定的IP地址，以实现业务访问。

9.配置安全策略

在防火墙操作页面左侧“安全策略>策略”中进行配置，允许省级政务云上业务系统地址段访问教育部业务系统IP地址。

至此，省级政务云上业务系统与教育部业务系统之间的IPSec VPN隧道建立完成，实现省级政务云上系统对教育部业务系统的访问，保证省部级业务系统数据同步安全通畅，确保省级业务系统功能正常使用。

六、结语

在原有数据中心设备老化的情况下，选择把教育系统分批迁移至政务云，不但保证了业务系统的网络安全和数据安全，更顺应了政务云应用的发展目前的趋势。在迁移上云后的网络环境下，运用IPSec VPN技术在省级政务云上业务系统与教育部业务系统之间搭建通信隧道，实现了异地环境下对教育部业务系统的安全、可靠、高效访问，节省了开支，极大地提高了工作效率，保证了当前形式下教育工作的顺利进行，更好地支持省级教育业务工作的正常开展，提高了省级教育管理信息系统的可靠性、安全性和稳定性。

参考文献

[1]李石磊.基于IPSec协议的VPN代理网关系统的研究与实现[D].太原：太原理工大学，2013.

[2]陈红军，周青云，张有顺.基于IPSec的虚拟专用网实现研究[J].制造业自动化，2011，33（4）：70-72.

[3]姚立红，谢立.IPSec与防火墙协同工作设计与实现[J].小型微型计算机系统，2004（2）：183-186.

[4]陈庆章，李兴华，范聪玲，等.基于IPSec协议的VPN穿越NAT的研究与实现[C]//中国互联网学术年会.中国计算机学会，2013.

[5]李学花.网络数据隧道式加密与解密的硬件实现[D].天津：天津大学，2006.

作者单位：天津市大数据管理中心