CN115065548B

CN115065548B - 一种增强型网络安全接入区数据管控系统及方法

Info

Publication number: CN115065548B
Application number: CN202210849007.5A
Authority: CN
Inventors: 王文庆; 曾荣汉; 杨东; 赵威; 曹旭; 胥冠军; 毕玉冰; 邓楠轶; 崔逸群; 刘超飞
Original assignee: Xian Thermal Power Research Institute Co Ltd; Huaneng Group Technology Innovation Center Co Ltd
Current assignee: Xian Thermal Power Research Institute Co Ltd; Huaneng Group Technology Innovation Center Co Ltd
Priority date: 2022-07-19
Filing date: 2022-07-19
Publication date: 2024-04-26
Anticipated expiration: 2042-07-19
Also published as: CN115065548A

Abstract

本发明公开了一种增强型网络安全接入区数据管控系统及方法，接入区系统包括：入口防火墙、出口防火墙、统一安全认证系统、防病毒服务器、补丁服务器及业务前置系统；通过入口防火墙阻断接入区内发起的所有外联请求；通过出口防火墙实现内部业务系统之间的隔离；通过统一安全认证系统，实现对外部访问的管控；通过防病毒服务器、补丁服务器实现接入区主机安全；通过业务前置系统实现了访问者C_i与内网业务系统的隔离。本发明解决了跨安全区普遍存在的安全防护与传输性能难以兼顾、数据管控措施不足和流量混杂难以监测审计的问题。

Description

一种增强型网络安全接入区数据管控系统及方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种增强型网络安全接入区数据管控系统及方法。

背景技术

为了确保不同安全等级区域之间的数据通信安全，需要部署专用的网络区域边界防护设备。根据接入网络的不同，目前普遍采用以下方案：

1.基于专用通信网络的系统，在高安全等级区域外设定专网前置机。

2.基于公用通信网络的系统，在高安全等级区域前增设安全接入区。在安全接入区中部署公网前置机，公网前置机与高安全等级业务系统之间部署正、反向安全隔离装置进行隔离。

实现方式1基于专用网络，遭受攻击的可能性较低，所以需要重点解决方式2中存在的安全隐患。

针对方式2中的安全接入区，业界的主流解决方案是基于物理隔离装置进行隔离。物理隔离装置是基于“双机+隔离岛”原理的网络安全专业设备，能够实现TCP连接的阻断、协议隔离、信息流访问控制和内容过滤，隔离强度接近物理隔离。隔离装置由于实现机理所限，数据传输性能较低，无法满足大量数据传输的现实需要；其中反向隔离装置仅能支持指定格式的文件传输，直接影响业务系统之间的正常数据传输。特别是随着工业互联网、5G等新技术的普及应用，IT与OT网络进一步融合，越来越多的业务数据需要在不同安全等级区域间进行跨区传输，物理隔离装置变成了安全接入区的性能瓶颈。同时，所有的内、外部业务系统流量均依赖隔离装置，开展流量监测、审计难度大。

发明内容

针对现有安全接入区依赖物理隔离装置导致的性能瓶颈、传输数据类型受限、流量审计困难等问题，本发明提出了一种增强型网络安全接入区系统及其数据管控方法。解决了跨安全区数据传输效率和安全不能兼顾、数据管控措施不足、流量混杂难以监测、审计等突出问题。

本发明目的是通过下述技术方案来实现的。

本发明一方面，提供了一种增强网络安全接入区的数据管控系统，包括：

位于外网和内网之间的网络安全接入区，网络安全接入区与外网之间部署有入口防火墙F_in，与内网之间部署有出口防火墙F_out；

安全接入区内部署有业务前端系统{S_g1’,...S_gi’...,S_gn’}、统一安全认证系统S_A、补丁服务器S_p和防病毒服务器S_v；

入口防火墙F_in、出口防火墙F_out与统一安全认证系统S_A组合，实现对访问者C_i的增强访问控制；

外网部署有外网补丁服务器S_p1和外网防病毒服务器S_v1；

内网部署有内网补丁服务器S_p2和内网防病毒服务器S_v2，以及与安全接入区内部署的业务前端系统{S_g1’,...S_gi’...,S_gn’}一一对应的内网业务系统{S_g1,...S_gi...,S_gn}；用于访问者C_i与内网业务系统S_gi的有效隔离；

外网与内网之间同时部署反向隔离装置。

作为优选，入口防火墙F_in和出口防火墙F_out附带病毒防护、IPS和URL过滤功能，分别实现对安全接入区接入访问控制和对内网的访问控制。

作为优选，按照业务功能关联性对内网设备进行分组，将属于内网业务系统S_gi的设备归入对应的设备组V_gi；每个设备组V_gi接入出口防火墙F_out指定的端口P_i；在出口防火墙F_out的端口P_i配置安全策略A_i，实现对S_gi的精细访问控制。

作为优选，入口防火墙F_in和出口防火墙F_out要求异构，入口防火墙F_in和出口防火墙F_out必须选择不同厂家的产品。

作为优选，内网业务系统与业务前端系统的{S_gi、S_gi’}为唯一业务匹配元组，访问者C_i访问业务前端系统S_gi’，S_gi’向内网业务系统S_gi转发访问者C_i的相关业务请求，S_gi根据S_gi’的请求回送相关业务数据，再由S_gi’将结果数据返回给访问者C_i。

作为优选，业务前端系统S_gi’系统本地不保存敏感数据文件，无持久化数据缓存，不部署数据库。

作为优选，在安全接入区内部署的统一安全认证系统S_A与业务前端系统S_gi’统一进行集成，只有通过统一安全认证系统S_A认证的访问者C_i才被允许后续的访问操作，否则被禁止；S_A详细记录访问者C_i相关权限验证记录。

本发明另一方面，提供了一种所述系统的增强网络安全接入区的数据管控方法，包括：

步骤一，通过入口防火墙F_in对内网、安全接入区内的所有主动外联进行阻断；

步骤二，对访问者C_i增强访问控制；

步骤三，补丁服务器S_p和防病毒服务器S_v升级。

作为优选，对访问者C_i增强访问控制，包括如下步骤：

S21，入口防火墙F_in判定访问者C_i是否满足访问控制策略要求，如果满足，继续下一步；否则访问被拒绝，流程结束；

S22，统一安全认证系统S_A判定访问者C_i是否满足相应的权限要求，如果满足，继续下一步；否则访问被拒绝，流程结束；统一安全认证系统S_A记录访问者C_i的访问请求；

S23，业务前端系统S_gi’判定访问者C_i是否满足S_gi’中的用户权限要求，如果满足，继续下一步；否则访问被拒绝，流程结束；

S24，业务前端系统S_gi’向内网业务系统S_gi发送业务请求，S_gi根据业务需求返回相关数据给S_gi’；

S25，业务前端系统S_gi’返回业务数据给访问者C_i，访问流程结束。

作为优选，补丁服务器S_p和防病毒服务器S_v升级，包括以下步骤：

S31，外网补丁服务器S_p1和外网防病毒服务器S_v1获取升级文件包，将相关文件通过反向隔离装置传至内网；

S32，内网补丁服务器S_p2和内网防病毒服务器S_v2接收升级文件包，完成升级；

S33，安全接入区的补丁服务器S_p和防病毒服务器S_v从内网服务器获取升级文件包，完成升级。

本发明由于采取以上技术方案，其具有以下有益效果：

1.本发明基于安全接入区出入口部署的防火墙F_in、F_out实现了通过安全接入区内数据流向的精准管控。F_in禁止了内部发起的主动外联，F_out基于多个物理端口实现了内网业务系统间的流量隔离。易于事前实时监测、事中调查取证及事后恢复处置。

2.本发明基于安全接入区的F_in、F_out与S_A的组合，实现了对访问者C_i的增强访问控制。围绕统一安全认证系统S_A，便于实现集中的访问控制、审计，便于开展用户行为分析、访问行为画像等。

3.本发明基于在安全接入区内部署内网业务系统S_gi的业务前端系统S_gi’，实现了外网访问者C_i与内网业务系统S_gi的有效隔离，确保攻击者即使进入安全接入区获得S_gi’系统的权限，也无法直接获取敏感数据，提升了核心数据的安全性。

4.使用异构防火墙、认证系统及安全设备的组合代替物理隔离装置，在保证安全性的前提下，提升了系统的吞吐量，更好得满足了业务系统的带宽要求；与反向隔离装置配合使用，解决了安全接入区内补丁服务器、病毒服务器的升级问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的不当限定，在附图中：

图1为安全接入区系统结构图；

图2为基于安全接入区的数据访问流程；

图3为基于安全接入区的数据访问流向图；

图4为安全接入区内功能服务器升级流程；

图5为接入区内功能服务器升级流向图。

具体实施方式

下面将结合附图以及具体实施例来详细说明本发明，在此本发明的示意性实施例以及说明用来解释本发明，但并不作为对本发明的限定。

如图1所示，本发明实施例提供一种增强型网络安全接入区系统的框架图，本发明系统的结构包括：

部署于外网和内网之间的网络安全接入区，网络安全接入区与外网之间部署有入口防火墙F_in，与内网之间部署有出口防火墙F_out。

其中，安全接入区与外网之间入口部署入口防火墙F_in，F_in附带病毒防护、IPS和URL过滤功能，实现对内网、安全接入区的接入访问控制。

安全接入区与内网之间出口部署出口防火墙F_out附带病毒防护、IPS和URL过滤功能，实现对内网的访问控制。

入口防火墙F_in和出口防火墙F_out要求异构，即F_in和F_out必须选择不同厂家的产品，以降低针对某一类安全产品0Day漏洞攻击的风险。

外网部署有外网补丁服务器S_p1和外网防病毒服务器S_v1。

内网部署有内网补丁服务器S_p2和内网防病毒服务器S_v2，以及内网业务系统{S_g1,...S_gi...,S_gn}。

在安全接入区内部署的业务前端系统{S_g1’,...S_gi’...,S_gn’}、统一安全认证系统S_A、补丁服务器S_p和防病毒服务器S_v。

在安全接入区内部署的业务前端系统{S_g1’,...S_gi’...,S_gn’}(i从1～n，代表n个业务系统)与内网业务系统{S_g1,...S_gi...,S_gn}(i从1～n，代表n个业务系统)一一对应。即{S_gi、S_gi’}为唯一业务匹配元组，S_gi’为S_gi业务系统的前端系统。访问者C_i访问的是安全接入区的业务前端系统S_gi’，S_gi’接收C_i的请求后，向内网业务系统S_gi转发C_i的相关业务请求，S_gi根据S_gi’的请求回送相关业务数据，再由S_gi’将结果数据返回给C_i。基于S_gi’实现了内网业务系统S_gi对C_i透明。同时为了保证数据安全，S_gi’系统本地不保存敏感数据文件、无持久化数据缓存、不部署数据库。

在安全接入区内部署的统一安全认证系统S_A，实现对访问用户C_i的集中权限管理。业务前端系统S_gi’均与统一安全认证系统S_A进行集成，即外部客户端C_i的请求先需要通过S_A的安全认证，只有通过S_A认证的C_i才被允许后续的访问操作，否则被禁止。同时S_A详细记录访问用户C_i相关权限验证记录。

在安全接入区内部署的补丁服务器S_p，承担安全接入区内主机的操作系统、中间件、基础软件等补丁管理、升级职能。

在安全接入区内部署的防病毒服务器S_v，承担安全接入区内主机病毒库升级职能。确保安全接入区内的相关主机及时完成系统及软件补丁升级、病毒特征库升级。

按照业务功能关联性对内网设备进行分组，将属于内网业务系统S_gi的设备归入对应的设备组V_gi。每个设备组V_gi接入F_out指定的端口P_i。根据业务系统S_gi的特性，在F_out的P_i端口配置相应的安全策略A_i，实现对S_gi的精细访问控制。将不同业务系统接入不同的防火墙物理端口，实现了内网业务系统{S_g1,...S_gi...,S_gn}间的流量隔离。

如图2所示，示出了本发明实施例提供的一种增强型安全接入区数据管控方法的流程图。图2的方法可以通过图1的网络安全系统执行。

步骤一，通过入口防火墙F_in对内网、安全接入区内的所有主动外联进行阻断。

勒索病毒、木马等大多基于反弹Shell机制，被感染或被控制的主机需要主动发起对外连接请求，连接外部的C&C服务器完成包括收集系统信息、上传敏感文件、窃取帐号信息等恶意行为，最终实现C&C服务器对内部网络的控制。在入口防火墙F_in设置策略实现对所有外联行为的封禁，阻断由内部发起的主动外联行为。

步骤二，实现对访问者C_i的增强访问控制，包括如下步骤：

S21，F_in判定访问者C_i是否满足相应的访问控制策略要求。如果满足，继续下一步；否则访问被拒绝，流程结束。

S22，S_A判定访问者C_i是否满足相应的权限要求。如果满足，继续下一步；否则访问被拒绝，流程结束。不论是否成功，S_A记录C_i的访问请求。

S23，业务前端系统S_gi’判定访问者C_i是否满足S_gi’中的用户权限要求。如果满足，继续下一步；否则访问被拒绝，流程结束。

S24，业务前端系统S_gi’向内网业务系统S_gi发送业务请求，S_gi根据业务需求返回相关数据给S_gi’。

S25，业务前端系统S_gi’返回业务数据给访问者C_i，本次访问结束。

如图3所示，是基于一种增强型安全接入区的数据访问流向图。

数据依次从入口防火墙到统一认证系统，到统一认证系统，再到业务系统前端，在通过出口防火墙，再到内网业务系统。

参见图4，是安全接入区内功能服务器升级流程图。

在接入区入口防火墙F_in封禁了所有的内部设备、系统发起外联访问后，接入区内补丁服务器和防病毒服务器无法直接连接外网升级，对于接入区内此类少量、较低频次的数据传输，基于单向隔离装置完成。

具体包括如下步骤：

S31，外网的补丁服务器S_p1、防病毒服务器S_v1获取升级文件包，将相关文件通过反向隔离装置传至内网。

S32，内网的补丁服务器S_p2、防病毒服务器S_v2接收升级文件包，完成升级。

S33，安全接入区的补丁服务器S_p、防病毒服务器S_v从内网服务器获取升级文件包，完成升级。

如图5所示，是基于安全接入区内功能服务器升级数据流向图。

从外网通过反向隔离装置到内网功能服务器，再从内网服务器到安全接入区的功能服务器。

下面通过一个仿真实验来进一步说明本发明。

本仿真实验包括以下步骤：

对入口防火墙F_in(202.168.10.10)进行配置：

(1)禁止ping：service icmp action deny；

(2)阻断安全接入区内外联：deny all；

(3)配置NAT规则：nat server global 202.168.10.20inside 192.168.10.20

对出口防火墙F_out(192.168.10.10)进行配置：

(1)禁止ping：service icmp action deny；

(2)阻断内网外联：deny all；

(3)在指定的P_i端口上配置业务系统的NAT规则：nat server global192.168.10.20inside 168.168.10.20。

步骤二，对访问者C_i增强访问控制。

C_i(202.168.10.15)访问S_gi ^’(192.168.10.20)业务系统的过程可以细分为如下步骤：

(1)入口防火墙F_in(202.168.10.10)判定C_i(202.168.10.15)符合ACL要求，允许继续访问；

(2)统一认证系统S_A(192.168.10.15)判定C_i(user)符合身份认证要求，记录访问日志(202.168.10.10，user)，允许继续访问；

(3)业务前端系统S_gi’(192.168.10.20)判定访问者C_i(user/password)具备访问权限要求，允许继续访问；

(4)业务前端系统S_gi’(192.168.10.20)接收C_i的数据请求后，通过出口防火墙F_out的P_i端口向内网业务系统S_gi(168.168.10.20)发送业务数据请求；

(5)出口防火墙F_out(192.168.10.10)判定S_gi’(192.168.10.20)符合ACL要求，允许继续访问；

(6)S_gi(168.168.10.20)根据业务需求返回相关数据给S_gi’，业务前端系统S_gi’(192.168.10.20)返回业务数据给访问者C_i，本次访问结束。

在整个访问过程中，任一环节不满足访问控制或权限要求，均被阻断。

步骤三，补丁服务器S_p和防病毒服务器S_v升级。

安全接入区的补丁服务器S_p(192.168.10.50)和防病毒服务器S_v(192.168.10.60)升级步骤如下：

(1)反向隔离装置设置映射策略：

外网补丁服务器S_p1(202.168.10.50)映射地址为168.168.10.51；外网防病毒服务器S_v1(202.168.10.60)映射地址为168.168.10.61；

(2)S_p1(202.168.10.50)反向传输补丁数据包到内网映射文件夹D_p1；S_v1(202.168.10.60)反向传输病毒升级文件到映射文件夹D_v1；

(3)内网补丁服务器S_p2(168.168.10.50)解析D_p1中升级补丁并推送给安全接入区的补丁服务器S_p(192.168.10.50)；防病毒服务器S_v2(168.168.10.50)解析D_v1中病毒升级文件并推送给安全接入区的防病毒服务器S_v(192.168.10.50)。本次升级完成。

本发明通过安全接入区出入口部署的防火墙F_in、F_out实现了通过安全接入区内数据流向的精准管控。安全接入区的F_in、F_out与S_A的组合，实现了对访问者C_i的增强访问控制。在安全接入区内部署内网业务系统S_gi的业务前端系统S_gi’，实现了外网访问者C_i与内网业务系统S_gi的有效隔离。使用异构防火墙、认证系统及安全设备的组合代替物理隔离装置，在确保防护强度的前提下，提升了系统的吞吐量。本发明解决了跨安全区普遍存在的安全防护与传输性能难以兼顾、数据管控措施不足、流量混杂难以监测审计的问题。

本发明并不局限于上述实施例，在本发明公开的技术方案的基础上，本领域的技术人员根据所公开的技术内容，不需要创造性的劳动就可以对其中的一些技术特征作出一些替换和变形，这些替换和变形均在本发明的保护范围内。

Claims

1.一种增强型网络安全接入区数据管控系统，其特征在于，包括：

安全接入区内部署有业务前端系统｛S_g1 ^’,... S_gi ^’... ,S_gn ^’｝、统一安全认证系统S_A、补丁服务器S_p和防病毒服务器S_v；

入口防火墙F_in和出口防火墙F_out要求异构，入口防火墙F_in和出口防火墙F_out必须选择不同厂家的产品；

通过入口防火墙F_in对内网、安全接入区内的所有主动外联进行阻断；

外网部署有外网补丁服务器S_p1和外网防病毒服务器S_v1；

内网部署有内网补丁服务器S_p2和内网防病毒服务器S_v2，以及与安全接入区内部署的业务前端系统｛S_g1 ^’,... S_gi ^’... ,S_gn ^’｝一一对应的内网业务系统｛S_g1,... S_gi... ,S_gn｝；用于访问者C_i与内网业务系统S_gi的有效隔离；

外网与内网之间同时部署反向隔离装置。

2.根据权利要求1所述的一种增强型网络安全接入区数据管控系统，其特征在于，入口防火墙F_in和出口防火墙F_out附带病毒防护、IPS和URL过滤功能，分别实现对安全接入区接入访问控制和对内网的访问控制。

3.根据权利要求2述的一种增强型网络安全接入区数据管控系统，其特征在于，按照业务功能关联性对内网设备进行分组，将属于内网业务系统S_gi的设备归入对应的设备组V_gi；每个设备组V_gi接入出口防火墙F_out指定的端口P_i；在出口防火墙F_out的端口P_i配置安全策略A_i，实现对S_gi的精细访问控制。

4.根据权利要求1所述的一种增强型网络安全接入区数据管控系统，其特征在于，内网业务系统与业务前端系统的｛S_{gi 、}S_gi ^’｝为唯一业务匹配元组，访问者C_i访问业务前端系统S_gi ^’，S_gi ^’向内网业务系统S_gi转发访问者C_i的相关业务请求，S_gi根据S_gi ^’的请求回送相关业务数据，再由S_gi ^’将结果数据返回给访问者C_i。

5.根据权利要求1所述的一种增强型网络安全接入区数据管控系统，其特征在于，业务前端系统S_gi ^’系统本地不保存敏感数据文件，无持久化数据缓存，不部署数据库。

6.根据权利要求1所述的一种增强型网络安全接入区数据管控系统，其特征在于，在安全接入区内部署的统一安全认证系统S_A与业务前端系统S_gi ^’统一进行集成，只有通过统一安全认证系统S_A认证的访问者C_i才被允许后续的访问操作，否则被禁止；S_A详细记录访问者C_i相关权限验证记录。

7.一种权利要求1-6任一项所述系统的增强型网络安全接入区数据管控方法，其特征在于，包括：

步骤二，对访问者C_i增强访问控制；

步骤三，补丁服务器S_p和防病毒服务器S_v升级。

8.根据权利要求7所述的增强型网络安全接入区数据管控方法，其特征在于，对访问者C_i增强访问控制，包括如下步骤：

S23，业务前端系统S_gi ^’判定访问者C_i是否满足S_gi ^’中的用户权限要求，如果满足，继续下一步；否则访问被拒绝，流程结束；

S24，业务前端系统S_gi ^’向内网业务系统S_gi发送业务请求，S_gi根据业务需求返回相关数据给S_gi ^’；

S25，业务前端系统S_gi ^’返回业务数据给访问者C_i，访问流程结束。

9.根据权利要求7所述的增强型网络安全接入区数据管控方法，其特征在于，补丁服务器S_p和防病毒服务器S_v升级，包括以下步骤：