发明内容
本发明所要解决的技术问题,就是提供一种主站与终端通信时数据不易被窃听泄漏、数据不易被篡改,主站和终端用户身份不易被伪造、主站不易受渗透攻击的基于公网数据传输信息系统的安全防护方法。
解决上述技术问题,本发明采用的技术方案如下:
一种基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或者终端至主站的工作形式,方法包括以下步骤:
S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模块的主站安全防护装置;
S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;
S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书;
S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然。
所述的主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,达到阻断网络入侵目的,实现安全防护体系的网络隔离。
所述的主站安全防护装置和终端安全防护装置提供访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤。
所述的信息系统主站发往信息系统终端的数据包首先在主站安全防护装置的内网侧进行数据加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,发送到信息系统终端;
所述的信息系统终端发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤。初步确认身份的数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,并进一步确定数据的合法性,发送到信息系统主站。
有益效果:本发明结合网络隔离、身份认证、传输加密、访问控制的技术路线对基于主站-终端数据传输的信息系统进行保护,使得传输的信息数据不易被窃听泄漏、数据不易被篡改,主站、终端用户身份不易被伪造,主站不易受渗透攻击。
具体实施方式
本发明的基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或终端至主站的工作形式,方法包括以下步骤:
S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模块的主站安全防护装置;
S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;
S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书;
S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然;
主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,业务系统设备以及认证加密设备(或功能模块)应位于非网络隔离设备(或功能模块)的内网侧,达到阻断网络入侵目的,实现安全防护体系的网络隔离。
主站安全防护装置和终端安全防护装置提供访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤。
图1为本发明的基于公网数据传输信息系统的安全防护方法的公网信息系统总体安全防护框架,该总体安全防护框架充分体现了“网络隔离、身份认证、传输加密、访问控制”的安全防护技术路线,从逻辑上对信息系统主站、信息系统终端进行了充分的保护。
网络隔离是指在信息系统主站的通信出口采用非网络方式隔离措施,实现信息系统主站与公网的非网络隔离;隔离措施的原则为业务系统设备以及认证加密设备(或功能模块)应位于非网络隔离设备(或功能模块)的内网侧。
身份认证是指通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性。
传输加密是指信息系统主站和信息系统终端之间的通信采用加密措施,实现数据的加密传输,防止数据被窃听泄漏、篡改。
访问控制是指主站安全防护装置、终端安全防护装置提供访问控制功能,对数据包的IP地址、端口号和通信协议进行严格限制,防止第三方攻击者的恶意攻击。
信息系统主站通过主站安全防护装置对内部的服务器、数据库及高级应用系统进行保护。发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤。初步确认身份的数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,并进一步确定数据的合法性,发送到信息系统主站。
信息系统终端通过终端安全防护装置对信息系统终端进行保护。发往终端安全防护装置的数据包首先在主站安全防护装置的内网侧进行数据加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,发送到信息系统终端。
通过主站安全防护装置和终端安全防护装置的加解密(如图2所示),实现通信双方身份的确认及数据的加密,有效地防止在通信链路上,数据被窃听泄漏、篡改等,通过主站安全防护装置和终端安全防护装置的身份鉴别措施,实现主站安全防护装置和终端安全防护装置的身份鉴别,防止第三方伪造身份发送数据;同时通过主站安全防护装置的非网络方式隔离,有效地阻断了恶意网络攻击的途径,有效的保护了信息系统主站的安全。
本发明的防护方法具体包含如下部分:1)公网信息系统总体安全防护框架;2)信息系统主站安全防护;3)信息系统终端安全防护。
公网信息系统总体安全防护框架
公网信息系统总体安全防护框架如图1所示
公网信息系统总体安全防护框架采用“网络隔离、身份认证、传输加密、访问控制”的安全防护技术路线。
网络隔离:主站的通信出口采用非网络隔离措施,实现信息系统主站与公网的非网络隔离;隔离措施的原则为业务系统设备以及认证加密设备(或功能模块)位于非网络隔离设备(或功能模块)的内网侧。通过非网络方式的隔离,有效地切断黑客网络入侵的途径。
身份认证:信息系统主站和信息系统终端之间的通信采用基于数字证书的身份认证措施,通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
传输加密:信息系统主站和信息系统终端之间的通信采用加密措施,实现数据的加密传输,防止数据被窃听泄漏、篡改。
访问控制:主站安全防护装置、终端安全防护装置提供访问控制功能,对数据包的IP地址、端口号和通信协议进行严格限制,防止第三方攻击者的恶意攻击。
信息系统主站安全防护
信息系统主站的安全防护主要通过主站安全防护装置实现。主站安全防护装置部署在信息系统主站的出口,用于保护信息系统主站内部的重要服务器、数据库以及其他高级应用程序等。主站安全防护装置实现的功能主要包括:数据的加解密、通信双方的身份鉴别、访问控制、信息系统主站的非网络方式隔离和对终端安全防护装置的管理及监控等。
主站安全防护装置的加解密功能、身份验证功能需要和终端安全防护装置相应功能配合使用,其通信示意图如图2所示:
主站安全防护装置对接收到的数据包进行解密,对发往终端安全防护装置的数据进行加密,有效地防止在通信链路上,数据被窃听泄漏,篡改等,加解密算法可以但不限于对称密码算法。
主站安全防护装置使用数字证书实现对信息系统终端中用户的身份认证,通过数字签名实现发送方身份的验证,防止第三方冒充信息系统终端的用户向信息系统主站发起攻击。
主站安全防护装置使用访问控制列表技术实现基于IP地址、端口号及通信协议的数据包过滤,具有一定的防火墙功能。主站安全防护装置的访问控制功能一般用于数据包的初步过滤。
主站安全防护装置分为内网主机和外网主机两部分。内网主机连接信息系统主站内部的业务系统,外网主机连接公网。内网主机和外网主机通过非网络方式隔离,达到阻断网络入侵等目的。
主站安全防护装置采用特殊管理报文的形式对终端安全防护装置进行状态监视及配置管理,便于对终端安全防护装置的统一管理。
信息系统终端安全防护
信息系统终端的安全防护主要通过终端安全防护装置实现。终端安全防护装置用于保护信息系统终端,其中终端安全防护装置保护的信息系统终端在数量上应该小于100。终端安全防护装置部署在信息系统终端的出口,采用透明工作方式,主要实现数据加解密、访问控制、身份鉴别、状态反馈等功能。
终端安全防护装置的数据加解密功能和主站安全防护装置的加解密功能配合使用,终端安全防护装置对进入信息系统终端的数据包进行解密,对发往信息系统主站的数据包进行加密,有效地防止在通信链路上,数据被窃听泄漏,篡改等。
终端安全防护装置使用数字证书实现对信息系统主站中用户的身份认证,通过数字签名实现发送方身份的验证,防止第三方冒充信息系统主站的用户向信息系统主站发起攻击。
终端安全防护装置使用访问控制列表技术实现基于IP地址、端口号及通信协议的数据包过滤,具有一定的防火墙功能。终端安全防护装置的访问控制功能一般用于数据包的初步过滤。
终端安全防护装置根据事先约定好的管理报文内容执行相应的动作,如反馈终端安全防护装置的工作状态、反馈已经设置的隧道、反馈隧道安全策略等。管理报文同样采用密码技术进行加密。