跨隔离网络数据交换的安全性分析

在我们国家近30年的信息化和网络建设过程中，早期业务网络与外部交互少，信息流动以部门内部自给自足为主，基础网络建设大多数情况都是由业务单位分头论证建设。由于缺乏统一的顶层规划，事实形成了很多隔离的业务网络，甚至有的一个部门就存在多个相互隔离的纵向业务网络。随着业务需求的发展，物联网、数据融合、大数据等新技术的应用，跨部门跨网络信息流动的需求越来越突出，静态、固定、封闭的网络环境被打破，人们面对的更多是动态、多变、开放的网络环境，部门内部、部门之间甚至系统之间信息融合需求越来越迫切，隔离网络之间的数据交换成为信息建设的刚需。这些数据交换具有频次高、时效性要求强、数据类型多的特点。跨网数据交换的安全性也成为突出问题。

一、跨网数据交换面临的安全风险

由于针对跨网交换管理的法规滞后，认识不深入，有效防护手段少，目前被管理部门认可的方式很少，传输效率也不高。这个矛盾已经成了阻碍当前信息化建设深入发展的主要矛盾之一。可以预见，跨网数据交换的需求在最近几年内仍会继续增长，呈爆发态势。

我们主要考虑的是跨网数据交换中，数据从提供者通过数据交换系统传输到接收者的全过程所面临的风险。从信息安全的机密性、完整性、可用性（CIA）三性来分析，风险主要包括：一是内网向外网传输（出网）的主要风险，保障从内网出网信息的机密性和完整性，确保信息出网可控。二是外网向内网传输（入网）的主要风险，保障从外网入网信息的完整性和可用性，防止外部风险入网。

二、跨网数据交换的安全性要求

针对上述风险，我们提出了“来源可证、流向可控、行为可查、内容可判、终点可知”的SFACE评价标准，用于对跨网数据传输的安全性分析，具体要求如下：

来源可证：通过多因子（主机+应用+人）认证方式来鉴别跨网数据的来源，通过技术手段固化主体责任。

流向可控：数据提供者能够控制数据的知悉范围和传输路径。

行为可查：详细记录数据交换过程中行为，可供审计。

内容可判：传输数据的内容事先经过审批，数据内容明确。

终点可知：数据接收者可验证。传输过程结束时，传输者被告知。

人工审核加光盘交换是目前跨网数据交换最常用的手段，下面用SFACE标准对其安全性进行评估。

光盘数据交互的一般流程包括：提供者提起申请/填写申请单/流程开始，业务部门审核，保密部门审核/打印交接单，光盘刻录/门卫检查交接单，人工递送，光盘交接/接收者填写交接单，返回交接单归档/流程结束。

光盘刻录通过明确责任主体，严格内容审查，多角色相互制约的方式，降低了向外传输数据的风险。其本质是将人作为信任锚点，采用“一文一议”的方式进行安全控制。其安全控制措施包括：流程中的参与方正式签字方式明确各阶段主体责任，包括发送者、业务部门、保密部门、门卫、接收者。人工内容审查方式，确保光盘递送数据的必要性、真实性和完整性：经办人对数据内容的自查、业务部门对数据内容确认、保密部门对流程的确认、门卫对光盘介质的确认。通过多环节权限相互制约，防止内部数据被非法带出，外传行为可审计。最终交接单归档，发送者收到接收者的确认，完成闭环。

从以上分析我们可以看到，光盘交换的方案适用场合是充分信任经办人、时效性要求不高、数据内容能够被人识别和理解。从SFACE标准来分析，光盘交换的方案来源可证性强，流向可控，回执能够确保数据被提交给对方，但无法防止内容复制，难以控制流向。内容可审弱，难以对二进制等文件进行审核。行为可查部分符合，递送过程中行为难以审计。数据到达终点后，回执单传递回送，流程闭环可知。

从以上分析可以看到，由于内容可审方面，人工审核加光盘交换对于二进制文件无法有效审核，光盘可能成为威胁入网的途径，存在明显的安全隐患。所以在数据入网时，必须增加恶意代码检测环节，堵上漏洞。

三、提升跨网数据交换安全性建设的建议

现有常见的自动化跨网信息交换方式包括光/电单向数据传输、光盘摆渡、图像编解码单向传输等。为更好地解决跨网交换问题，可以比照人工审核加光盘交换方式，从SFACE评价标准出发，设计出安全性加强的自动化数据交换系统，针对建设跨网数据交换系统，提出以下几个建议：

一是分级分类、按级审定。根据跨网传输的数据类型，发送者和接收者的使用环境、工作特点、涉密程度等不同维度对跨网需求分级分类，参考《网络安全等级保护基本要求》的思路建立跨网传输的分级技术要求，按照不同等级明确自动化跨网数据交换的安全性要求。对跨网技术方案开展周期的安全性复核，保持方案在技术发展时的适用性。安全要求高的等级建设仍可采用一事一议的审批方式。

二是强化应用白名单和数据白名单使用。跨网安全可基于应用白名单思路建设，缩小攻击方可利用的应用和数据攻击面。只有经过严格安全设计和明确授权的应用才能够进行跨网操作；为了提高内容可审核能力，建设时使内外网交互的数据内容、类型尽量简单，便于内容过滤和控制策略实施。

三是发展基于密码体系的跨网解决方案。基于密码体系解决跨网应用信任、身份认证、传输安全、多级审计等多方面问题，做到来源可证、流向可控、行为可查、内容可判、终点可知，为保密性要求高的跨网场景提供解决方案。

四是扩大跨网数据交换支持的数据和服务类型。随着物联网、大数据等技术的应用，跨网交换不再限于数据库、文件等数据形式，积极发展支持跨网服务调用、物联网、视频协议跨网传输等新的解决方案，满足各类跨网数据传输的新需求。

最后，在网络中建立专用的跨网交换节点，集中开展跨网数据传输工作，便于跨网策略的统一应用和管理。可采用管理平面和数据平面分离的方式，增强跨网技术方案的灵活性。在跨网方案中充分应用安全防护手段，保护网络节点，过滤数据内容，增强日志审计，监控异常行为，降低威胁入网的可能性。（湘君）

声明：本文来自网络空间安全军民融合创新中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。