一、项目背景
社保行业的网络系统,主要是指劳动和社会保障单位的办公业务网络系统。其中分为由单位办公大楼各部门网络系统组成专网的信息共享网络系统(简称“内网”)和对企业和个人开放的网络系统(简称“外网”)两个部分。在这里,内网是指专网,外网是公共信息网络。
社保行业网络系统内网主要是针对内部人员办公使用,存在一些行业敏感数据,但是外网是针对企业和个人提供各类服务,直接或间接与互联网相连向人民群众提供各种业务服务。在网络安全威胁日益严重的大背景下,考虑到外网会直接面临来自互联网的黑客入侵和攻击,安全方案的设计必须依据国家有关法规与保密标准,对系统进行安全保密设计,以求达到国家保密局文件《中华人民共和国保密指南--涉及国家秘密的计算机信息系统保密技术要求》规定的设计指标。
二、需求分析
目前社保单位的网络是两套完全独立网络架构没有任何的连接,既要求通过安全隔离有效的保证内网安全,同时两网之间必须进行相关数据交换。以往采用手工拷贝的方式或者隔离卡技术实现数据交换,这样的工作方式不仅费时费力工作量很大,而且带来很大的时间延迟,往往造成一些不必要的人为延迟和操作失误。一方面造成社保系统工作效率低下,另一方面不能满足社保单位互联网公开业务系统对实时性要求。
用户需求如下:
1)在内网和外网之间采用网络隔离技术,切断所有的TCP/IP协议,阻断一切来自外网和互联网的攻击和威胁,保障社保行业内网的安全。
2)在内网和外网网络隔离的基础之上,实现外网web服务器实时调取内网数据库数据,从而面向互联网提供服务。
三、解决方案
根据社保行业用户的要求,本方案主要在社保单位内外网络之间进行网络隔离以确保内网的安全,阻挡任何黑客可能和潜在的、已知和未知的网络攻击,同时根据实际情况的需要,实现两个网络之间适度安全的信息交换。天融信公司建议用户采用天融信安全隔离与信息交换系统(简称天融信网闸)来满足这一需求,我们提供如下两套技术方案,并且针对两套技术方案的优劣势进行详细对比,供用户参考。
1.方案一拓扑
2.方案一解析
针对外网web服务器调用内网数据库数据的需求,天融信网闸基于数据库服务开放专用安全通道,并且在安全通道上绑定数据库特征值,过滤不符合特征值的非法数据流。首先Web服务器的访问请求交给网闸,网闸代理访问请求到内网数据库,内网数据库数据回馈给网闸,网闸以数据摆渡的形式再将数据返回给web服务器,在网络隔离的基础之上由天融信网闸来负责实现摆渡形式的数据库数据记录交换。
3.方案二拓扑
4.方案二解析
在社保行业外网部署前置数据库服务器,天融信融信网闸不开放任何从外到内的安全通道,对外不提供任何访问服务,屏蔽所有漏洞。网闸只开放从内到外的专用安全通道,该安全通道与网闸的数据库单向同步模块进行认证和特征绑定,由天融信网闸的数据库单向同步模块主动将授权允许访问的内网核心数据库记录实时单向摆渡到前置数据库中。外网web服务器对内网数据库的访问操作全部移植到前置数据库服务器,来自外网的任何访问或者攻击都在外网中止,不对用户内网产生任何的影响。
四、方案对比
方案二增加了数据库服务器前置机,天融信安全隔离与信息交换系统部署在数据库服务器和前置机之间,通过天融信安全隔离与信息交换系统的数据库单向同步技术将数据库数据同步到前置机上。从效率方面讲提供了比方案一更高效的访问速度。Web服务器对数据库的访问和数据交换过程不需要通过天融信安全隔离与信息交换系统,只有内网核心数据库服务器数据更新时才会通过天融信安全隔离与信息交换系统的数据摆渡机制传输到数据库前置机上。
从安全方面讲方案二提供了比方案一更高端的安全防护机制。天融信安全隔离与信息交换系统是隔离设备能够隔断所有的网络攻击,但是对裸数据里的病毒防护能力有限,不能完全抵御各种新病毒及变种病毒。对于方案一而言存在从外到内的数据摆渡,通过天融信安全隔离与信息交换系统数据摆渡机制传输到内网核心数据库服务器上的数据有可能含有病毒和恶意代码破坏数据库数据。但是方案二中的数据库单向同步机制完全隔断了从外到内的数据摆渡,网闸外端机不提供任何服务屏蔽了所有可能的安全漏洞,从而也杜绝了病毒和恶意代码的流入。即使数据库前置机遭受网络攻击或者病毒感染,位于天融信安全隔离与信息交换系统内网的核心数据库依然是安全的。
方案二更侧重于对用户核心数据的保护,综合考虑了效率和安全的问题,但是方案二带来了成本增加的问题。此外方案二的适用范围有一定的局限性,如果用户的web服务器不仅仅提供数据查询的功能还要向数据库提交数据,那么单向的数据库同步不能满足用户的全部需求,需要使用双向数据库同步模块,网闸必然要开放从外到内的数据库同步服务。但是即使是双向数据库同步,同步模块和网闸之间是有身份认证和特征值绑定的,仍然具有超过方案一的安全性。网络安全方案没有绝对的好与不好,根据用户网络实际需求选择的最适合用户的安全方案才是最合理的方案。
五、总结
为了全面保护社保行业网络信息安全,阻断来自互联网的威胁和攻击,仅仅使用防火墙和安全网关类产品是不够的,需要采用更高级别的网络安全防护机制,即网络隔离机制,这是当前已知的安全级别最高的网络安全防护机制。从网络安全机制上来讲社保单位内网和外网仍然属于两个断开的不相关的TCP/IP网络,作为独立的TCP/IP网络彼此的办公系统互不干扰,可以阻断任何来自外网已知和未知的基于TCP/IP协议的网络攻击。即使外网某个用户因为上互联网或者U盘感染等原因下载了木马成为傀儡机,或者个别外网用户因为特殊原因发起恶意网络攻击,都不会影响到内网核心系统的运行。
通过部署天融信网闸,创建协议隔断,将内网与外网隔离断开,保证社保单位内外网络之间安全隔离,能够屏蔽各种已知和未知的TCP/IP网络攻击,阻断木马、网络后门的非法连接。网闸提供了比防火墙、入侵检测等技术更高级别的安全防护,既保证了安全隔离又实现互联网用户在线查询所必需的实时数据交换,同时借助严格的内容控制技术,还可以防止社保行业内部重要数据信息的泄漏和被窃取。
在社保单位内外网之间网络隔离的基础之上,我们通过天融信网闸内部专有硬件和专有协议进行裸数据摆渡传输,同时结合天融信TOS安全操作系统平台下的访问控制、入侵检测、抗DDOS及日志审计等功能,形成针对社保行业信息网络的全面安全防护。 
