三級等保措施下與外部系統(tǒng)信息交互的一種方法

◆夏郢

（上海市機(jī)關(guān)事務(wù)管理局信息中心 上海 200050）

1 背景

1.1 什么是等級保護(hù)

根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，需實(shí)行分級、分類、分階段保護(hù)，以保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國家利益、公共利益和社會穩(wěn)定。等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。

1.2 什么是三級等保

每個單位或企業(yè)的信息系統(tǒng)的重要程度、應(yīng)對威脅的能力、具有的安全保護(hù)能力等方面各不相同，所以需要按照系統(tǒng)受到破壞時，對客體造成侵害的程度分別進(jìn)行不同等級的保護(hù)。信息系統(tǒng)的安全等級被分為五個等級，他們分別是第一級自主保護(hù)、第二級指導(dǎo)保護(hù)、第三級監(jiān)督保護(hù)、第四級強(qiáng)制保護(hù)、第五級?？乇Ｗo(hù)。

三級等保是指信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。國家信息安全監(jiān)管部門需對該級信息系統(tǒng)安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查。

三級等保信息系統(tǒng)適用于地級市以上國家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要信息系統(tǒng)，重要領(lǐng)域、重要部門跨省、跨市或全國（?。┞?lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮等方面的重要信息系統(tǒng)，跨省或全國聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)在省、地市的分支系統(tǒng)，中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站，跨省連接的網(wǎng)絡(luò)系統(tǒng)等。

第三級安全保護(hù)能力需達(dá)到在統(tǒng)一安全策略下防護(hù)系統(tǒng)免受外來有組織的團(tuán)體、擁有較為豐富資源的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難和其他相應(yīng)程度的威脅所造成的主要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭受攻擊損害后，能較快恢復(fù)絕大部分功能。

1.3 三級等保信息系統(tǒng)與外界交互的傳統(tǒng)方式

通常情況下，三級等保信息系統(tǒng)中如果業(yè)務(wù)流程調(diào)度控制涉及必須從外部信息系統(tǒng)獲取信息則需通過外部介質(zhì)將需要傳遞給三級等保系統(tǒng)的信息拷貝到特定區(qū)域后，并對信息進(jìn)行安全掃描后方可進(jìn)入到三級等保系統(tǒng)。例如運(yùn)行于電子政務(wù)外網(wǎng)的一套三級等保的政務(wù)系統(tǒng)需從互聯(lián)網(wǎng)獲取信息通常是將該互聯(lián)網(wǎng)信息拷貝到電子政務(wù)外網(wǎng)系統(tǒng)可訪問的位置，對該信息進(jìn)行安全檢查處理后該三級等保政務(wù)系統(tǒng)方可使用該信息。

1.4 傳統(tǒng)交互方式的影響

這種交互方式下信息傳遞時延較大，在信息傳遞的頻次要求不高情況下可以滿足業(yè)務(wù)要求。但如果業(yè)務(wù)上需要頻繁從外部域獲取信息方能保證業(yè)務(wù)的順利開展，則該方式在時延及頻次上不能滿足需求。

造成該問題本質(zhì)原因在于三級等保系統(tǒng)所處的安全域內(nèi)對于外部特別是安全防護(hù)等級低于三級等保域的來源信息不可信所帶來的。

2 問題解決思路

為了解決快速、高頻次地從三級等保域外部獲取信息需要一臺能定制策略的安全代理服務(wù)器，該服務(wù)器應(yīng)能按照業(yè)務(wù)及安全要求將三級等保安全域內(nèi)信息傳遞給外部安全域或者準(zhǔn)備好外部安全域上待交互的信息，按照三級等保域的要求進(jìn)行信息的交互。

2.1 代理服務(wù)器工作方式

反向代理（Reverse Proxy）方式是指以代理服務(wù)器來接受外網(wǎng)上的連接請求，然后將請求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)上的服務(wù)器，并將從服務(wù)器上得到的結(jié)果返回給外網(wǎng)上請求連接的客戶端，此時代理服務(wù)器對外就表現(xiàn)為一個反向代理服務(wù)器。

通常的代理服務(wù)器，只用于代理內(nèi)部網(wǎng)絡(luò)對外網(wǎng)的連接請求，客戶機(jī)必須指定代理服務(wù)器，并將本來要直接發(fā)送到Web 服務(wù)器上的http 請求發(fā)送到代理服務(wù)器中。由于外部網(wǎng)絡(luò)上的主機(jī)并不會配置并使用這個代理服務(wù)器，普通代理服務(wù)器也被設(shè)計為在外網(wǎng)上搜尋多個不確定的服務(wù)器，而不是針對外網(wǎng)上多個客戶機(jī)的請求訪問某一個固定的服務(wù)器，因此普通的Web 代理服務(wù)器不支持外部對內(nèi)部網(wǎng)絡(luò)的訪問請求。當(dāng)一個代理服務(wù)器能夠代理外部網(wǎng)絡(luò)上的主機(jī)，訪問內(nèi)部網(wǎng)絡(luò)時，這種代理服務(wù)的方式稱為反向代理服務(wù)。此時代理服務(wù)器對外就表現(xiàn)為一個Web 服務(wù)器，外部網(wǎng)絡(luò)就可以簡單把它當(dāng)作一個標(biāo)準(zhǔn)的Web 服務(wù)器而不需要特定的配置。不同之處在于，這個服務(wù)器沒有保存任何網(wǎng)頁的真實(shí)數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁或者CGⅠ程序，都保存在內(nèi)部的Web 服務(wù)器上。因此對反向代理服務(wù)器的攻擊并不會使得網(wǎng)頁信息遭到破壞，這樣就增強(qiáng)了Web 服務(wù)器的安全性。

2.2 現(xiàn)有常用代理手段基于等保三級的改進(jìn)思路

現(xiàn)有的反向代理服務(wù)器如：Apache、Negix 在代理建立連接時，只能主動向防火墻內(nèi)部的服務(wù)器發(fā)起握手，即連接方向是由外向內(nèi)，如圖1。

圖1 方向代理服務(wù)器工作方式

這種訪問方式不符合三級等保的相關(guān)要求。本文設(shè)計研究了一種反向被動代理服務(wù)器的實(shí)現(xiàn)方法，實(shí)現(xiàn)目標(biāo)是改變代理服務(wù)連接的發(fā)起方向，由內(nèi)部服務(wù)器向代理服務(wù)器主動發(fā)起連接，即連接方向是由內(nèi)向外。

3 技術(shù)實(shí)現(xiàn)方法

3.1 技術(shù)方案的簡介

一種反向被動代理服務(wù)器的實(shí)現(xiàn)方法，采用Http/Soap 協(xié)議，在代理服務(wù)器中利用阻塞同步隊列機(jī)制，在應(yīng)用層以不侵入業(yè)務(wù)系統(tǒng)為原則，改變代理服務(wù)連接的發(fā)起方向，以滿足安全方面的相關(guān)要求。

3.2 本技術(shù)方案特點(diǎn)

相對于現(xiàn)有反向代理，本發(fā)明不僅在TCP 的握手方向上把反向代理改進(jìn)成了被動握手方，而且還能根據(jù)每一個需要被代理的HTTP報文的請求頭和請求體（如圖2，請求頭中的{方法}、{URL}，還有請求體中的“HTTP 數(shù)據(jù)體”），過濾該報文是否需要被代理。

圖2 HTTP 報文格式

4 實(shí)現(xiàn)方式

4.1 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖（圖3）

圖3 網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖

4.2 原理及實(shí)現(xiàn)過程

基于開源的消息中間件Tomcat 研發(fā)而成，原理是：攔截由終端發(fā)起的Http 請求，獲取該請求包中的內(nèi)容，按實(shí)際要求過濾，然后將經(jīng)過過濾的請求包緩存到本地的同步隊列中并阻塞（HTTP 是一種請求/響應(yīng)式的協(xié)議，當(dāng)從客戶端向服務(wù)端發(fā)起一個request 請求后，如果服務(wù)端不向客戶端反饋response 回復(fù)，則客戶端將一直阻塞）當(dāng)前請求線程，等待防火墻內(nèi)的應(yīng)用程序服務(wù)器主動向反向代理發(fā)起請求，從同步隊列中獲取該請求包，應(yīng)用程序服務(wù)器獲取并處理完該請求包后，反饋給反向代理，并由反向代理反饋給終端。

4.3 關(guān)鍵技術(shù)點(diǎn)

本文所闡述的方法，是根據(jù)項目實(shí)施過程中實(shí)際遇到的問題而得來的，它通過過濾、緩存由終端發(fā)起的消息，并由應(yīng)用程序服務(wù)器主動發(fā)起握手而實(shí)現(xiàn)，起到了三級等保安全域內(nèi)可以為外部安全域提供服務(wù)，或者外部安全域必要的業(yè)務(wù)信息能快速進(jìn)入三級等保安全域內(nèi)，而不通過外網(wǎng)主動直接請求內(nèi)網(wǎng)服務(wù)，滿足了三級安全等保要求。

5 應(yīng)用場景

該方式可用于電子政務(wù)領(lǐng)域內(nèi)重要的行政審批類系統(tǒng)與外部（互聯(lián)網(wǎng)或其他安全域）系統(tǒng)進(jìn)行數(shù)據(jù)交互。如運(yùn)行在上海市政務(wù)外網(wǎng)作為三級等保的上海市機(jī)關(guān)事務(wù)管理局公務(wù)車輛管理系統(tǒng)在車輛申請調(diào)配流程方面。為了掌握各市級機(jī)關(guān)公務(wù)用車位置信息，及時以性價比最高的方式調(diào)配車輛滿足相關(guān)市級單位日常政務(wù)活動要求。需較為實(shí)時從互聯(lián)網(wǎng)獲取車輛定位信息，車輛管理系統(tǒng)獲取車輛GPS 定位信息后，方可掌握車輛是否在工作，運(yùn)行范圍是否在可信可控區(qū)域等，如此方能對公務(wù)車輛進(jìn)行更有效的調(diào)配。該業(yè)務(wù)場景為三級等保安全域外部快速高頻次向三級等保安全域傳送信息。另外為了滿足市級機(jī)關(guān)靈活的用車需求，市級機(jī)關(guān)用車人可在運(yùn)行在互聯(lián)網(wǎng)環(huán)境的車輛調(diào)度APP 上提出用車需求，通過本文所述方式能將三級等保安全域外的服務(wù)請求及時傳送到三級等保安全域內(nèi)的公務(wù)車輛管理系統(tǒng)。