技术领域
[0001] 本
发明涉及一种网络信息系统的安全防护方法,具体是提出一种基于公网数据传输信息系统的安全防护方法。技术背景
[0002] 近年来,网络安全问题日益突出,黑客入侵以及网络攻击现象日益增多,而随着
计算机网络技术的不断普及,公众使用计算机的次数越来越多,特别是公用信息
基础设施建设推动了政府、企业日益依赖信息系统,一些涉及国计民生的业务、系统受到了前所未有的安全挑战,如维基解密
网站泄漏了大量政府的机密信息;花旗集团受黑客攻击导致36多万的客户账户信息被窃取;CSDN网站被攻击导致600余万用户资料被泄漏等。这些事故充分说明网络安全对国家、政府和企业的重要性。
[0003] 国家、政府、企业的信息系统涉及到国家的安全、企业机密及公民的切身利益,其数据的安全性、准确性必须得到充分的保障。为了加强信息系统的安全保护,国家、政府、企业大量使用专网、局域网、VPN等技术进行防护,起到了良好的效果。
[0004] 本文定义的公网是指与互联网有IP网络互连的计算机网络。
[0005] 由于国家、政府、企业的信息系统大多与公网有数据交互,特别是现有的信息系统大部分采用总部—分支(即主站—终端)的工作模式,在主站和终端之间的通信链路存在数据易窃听泄露、终端用户易冒充、易受重放攻击等安全
风险,给国家、政府、企业的信息系统构成了极大的威胁,因此必须对公网的信息系统进行安全保护。
发明内容
[0006] 本发明所要解决的技术问题,就是提供一种主站与终端通信时数据不易被窃听泄漏、数据不易被篡改,主站和终端用户身份不易被伪造、主站不易受渗透攻击的基于公网数据传输信息系统的安全防护方法。
[0007] 解决上述技术问题,本发明采用的技术方案如下:
[0008] 一种基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或者终端至主站的工作形式,方法包括以下步骤:
[0009] S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模
块的主站安全防护装置;
[0010] S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;
[0011] S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书;
[0012] S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份
鉴别,确保通信双方身份的合法性;
[0013] S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然。
[0014] 所述的主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,达到阻断网络入侵目的,实现安全防护体系的网络隔离。
[0015] 所述的主站安全防护装置和终端安全防护装置提供
访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤。
[0016] 所述的信息系统主站发往信息系统终端的数据包首先在主站安全防护装置的内网侧进行数据加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,发送到信息系统终端;
[0017] 所述的信息系统终端发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤。初步确认身份的数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,并进一步确定数据的合法性,发送到信息系统主站。
[0018] 有益效果:本发明结合网络隔离、身份认证、传输加密、访问控制的技术路线对基于主站-终端数据传输的信息系统进行保护,使得传输的信息数据不易被窃听泄漏、数据不易被篡改,主站、终端用户身份不易被伪造,主站不易受渗透攻击。
附图说明
[0019] 下面结合附图和具体实施方式对本发明做进一步的详细说明。
[0020] 图1为公网信息系统总体安全防护
框架示意图;
[0021] 图2为主站安全防护装置与终端安全防护装置通信过程示意图。
具体实施方式
[0022] 本发明的基于公网数据传输信息系统的安全防护方法,所述的信息系统采用主站至终端或终端至主站的工作形式,方法包括以下步骤:
[0023] S1在信息系统主站的网络边界即信息系统主站的数据出口部署具有第一加解密模块的主站安全防护装置;
[0024] S2在信息系统终端的网络边界即终端信息系统的数据出口部署具有第二加解密模块的终端安全防护装置;
[0025] S3设有离线数字证书系统为主站安全防护装置和终端安全防护装置签发数字证书;
[0026] S4通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
[0027] S5信息系统主站发送至信息系统终端的数据包首先在主站安全防护装置处加密,在终端安全防护装置处解密,反之亦然;
[0028] 主站安全防护装置采用内外网双主机的形式,内网主机连接信息系统主站内部的业务系统,外网主机连接公网,内网主机和外网主机通过非网络方式隔离,业务系统设备以及认证加密设备(或功能模块)应位于非网络隔离设备(或功能模块)的内网侧,达到阻断网络入侵目的,实现安全防护体系的网络隔离。
[0029] 主站安全防护装置和终端安全防护装置提供访问控制功能,使用访问控制列表技术实现基于IP地址、端口号和网络协议的数据包过滤。
[0030] 图1为本发明的基于公网数据传输信息系统的安全防护方法的公网信息系统总体安全防护框架,该总体安全防护框架充分体现了“网络隔离、身份认证、传输加密、访问控制”的安全防护技术路线,从逻辑上对信息系统主站、信息系统终端进行了充分的保护。
[0031] 网络隔离是指在信息系统主站的通信出口采用非网络方式隔离措施,实现信息系统主站与公网的非网络隔离;隔离措施的原则为业务系统设备以及认证加密设备(或功能模块)应位于非网络隔离设备(或功能模块)的内网侧。
[0032] 身份认证是指通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性。
[0033] 传输加密是指信息系统主站和信息系统终端之间的通信采用加密措施,实现数据的加密传输,防止数据被窃听泄漏、篡改。
[0034] 访问控制是指主站安全防护装置、终端安全防护装置提供访问控制功能,对数据包的IP地址、端口号和通信协议进行严格限制,防止第三方攻击者的恶意攻击。
[0035] 信息系统主站通过主站安全防护装置对内部的
服务器、
数据库及高级应用系统进行保护。发往信息系统主站的数据包首先到达主站安全防护装置的外网侧,在外网侧进行基于IP地址、端口号、协议类型的数据包过滤。初步确认身份的数据包摆渡到主站安全防护装置的内网侧,在内网侧进行数据包解密,并进一步确定数据的合法性,发送到信息系统主站。
[0036] 信息系统终端通过终端安全防护装置对信息系统终端进行保护。发往终端安全防护装置的数据包首先在主站安全防护装置的内网侧进行数据加密,加密后的数据包摆渡到主站安全防护装置的外网侧并发往终端安全防护装置,终端安全防护装置对收到的数据包进行基于IP地址、端口号、协议类型的过滤,初步确认数据包的合法性以后,对数据包进行解密,发送到信息系统终端。
[0037] 通过主站安全防护装置和终端安全防护装置的加解密(如图2所示),实现通信双方身份的确认及数据的加密,有效地防止在通信链路上,数据被窃听泄漏、篡改等,通过主站安全防护装置和终端安全防护装置的身份鉴别措施,实现主站安全防护装置和终端安全防护装置的身份鉴别,防止第三方伪造身份发送数据;同时通过主站安全防护装置的非网络方式隔离,有效地阻断了恶意网络攻击的途径,有效的保护了信息系统主站的安全。
[0038] 本发明的防护方法具体包含如下部分:1)公网信息系统总体安全防护框架;2)信息系统主站安全防护;3)信息系统终端安全防护。
[0039] 公网信息系统总体安全防护框架
[0040] 公网信息系统总体安全防护框架如图1所示
[0041] 公网信息系统总体安全防护框架采用“网络隔离、身份认证、传输加密、访问控制”的安全防护技术路线。
[0042] 网络隔离:主站的通信出口采用非网络隔离措施,实现信息系统主站与公网的非网络隔离;隔离措施的原则为业务系统设备以及认证加密设备(或功能模块)位于非网络隔离设备(或功能模块)的内网侧。通过非网络方式的隔离,有效地切断黑客网络入侵的途径。
[0043] 身份认证:信息系统主站和信息系统终端之间的通信采用基于数字证书的身份认证措施,通信双方在建立加密隧道之前首先交换彼此的数字证书,并对对方的数字证书进行验证,实现数据发送方身份鉴别,确保通信双方身份的合法性;
[0044] 传输加密:信息系统主站和信息系统终端之间的通信采用加密措施,实现数据的加密传输,防止数据被窃听泄漏、篡改。
[0045] 访问控制:主站安全防护装置、终端安全防护装置提供访问控制功能,对数据包的IP地址、端口号和通信协议进行严格限制,防止第三方攻击者的恶意攻击。
[0046] 信息系统主站安全防护
[0047] 信息系统主站的安全防护主要通过主站安全防护装置实现。主站安全防护装置部署在信息系统主站的出口,用于保护信息系统主站内部的重要服务器、数据库以及其他高级应用程序等。主站安全防护装置实现的功能主要包括:数据的加解密、通信双方的身份鉴别、访问控制、信息系统主站的非网络方式隔离和对终端安全防护装置的管理及监控等。
[0048] 主站安全防护装置的加解密功能、身份验证功能需要和终端安全防护装置相应功能配合使用,其通信示意图如图2所示:
[0049] 主站安全防护装置对接收到的数据包进行解密,对发往终端安全防护装置的数据进行加密,有效地防止在通信链路上,数据被窃听泄漏,篡改等,加解密
算法可以但不限于对称密码算法。
[0050] 主站安全防护装置使用数字证书实现对信息系统终端中用户的身份认证,通过数字签名实现发送方身份的验证,防止第三方冒充信息系统终端的用户向信息系统主站发起攻击。
[0051] 主站安全防护装置使用访问控制列表技术实现基于IP地址、端口号及通信协议的数据包过滤,具有一定的
防火墙功能。主站安全防护装置的访问控制功能一般用于数据包的初步过滤。
[0052] 主站安全防护装置分为内网主机和外网主机两部分。内网主机连接信息系统主站内部的业务系统,外网主机连接公网。内网主机和外网主机通过非网络方式隔离,达到阻断网络入侵等目的。
[0053] 主站安全防护装置采用特殊管理报文的形式对终端安全防护装置进行状态监视及配置管理,便于对终端安全防护装置的统一管理。
[0054] 信息系统终端安全防护
[0055] 信息系统终端的安全防护主要通过终端安全防护装置实现。终端安全防护装置用于保护信息系统终端,其中终端安全防护装置保护的信息系统终端在数量上应该小于100。终端安全防护装置部署在信息系统终端的出口,采用透明工作方式,主要实现数据加解密、访问控制、身份鉴别、状态反馈等功能。
[0056] 终端安全防护装置的数据加解密功能和主站安全防护装置的加解密功能配合使用,终端安全防护装置对进入信息系统终端的数据包进行解密,对发往信息系统主站的数据包进行加密,有效地防止在通信链路上,数据被窃听泄漏,篡改等。
[0057] 终端安全防护装置使用数字证书实现对信息系统主站中用户的身份认证,通过数字签名实现发送方身份的验证,防止第三方冒充信息系统主站的用户向信息系统主站发起攻击。
[0058] 终端安全防护装置使用访问控制列表技术实现基于IP地址、端口号及通信协议的数据包过滤,具有一定的防火墙功能。终端安全防护装置的访问控制功能一般用于数据包的初步过滤。
[0059] 终端安全防护装置根据事先约定好的管理报文内容执行相应的动作,如反馈终端安全防护装置的工作状态、反馈已经设置的隧道、反馈隧道安全策略等。管理报文同样采用密码技术进行加密。
