试析税务内外网在物理隔离下的数据交换技术及其安全解决方案随着信息化的不断深入,各级税务机关均建成了自己的内部网络系统,实现了部门内部的信息交换和共享。为了进一步提高信息化水平,实现电子政务的要求,税务机关需要与因特网上的社会用户交换信息,同时政府机关各部门之间也需要进行信息交换和共享,这就涉及到内外网互通的安全与防范问题,为此,中共中央办公厅在[2002]17号文件中明确规定:“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。”本文,我们就如何通过网闸技术解决税务内外网有效物理隔离问题进行以下探讨。一、税务内外网互通需要进行物理隔离目前,税务部门的网络系统主要划分为两部分:税务内网信息系统和税务外网信息系统。在税务内网中运行多个涉及税务内部业务和办公的应用系统,包括电子申报处理系统、证书申请处理/审核系统、征管系统以及各种数据库系统等,是税务系统的重要业务网络,属于核心保密级网络,需要进行高安全的防范;同时该网还需要与各业务专网相连,例如商业银行专网,通过“银税联网”,方便纳税人直接通过银行处理税务相关业务。而税务外网运行涉及多个税务外部业务,属于普通保密级网络,并通过互联网提供网上报税、便民服务,该网络是税务业务系统的外延,是对外服务的窗口,包括电子申报受理系统、证书申请WEB服务器,四小票接受系统等等。税务系统的对外业务服务必须要通过互联网来完成,例如税务信息公布、企业初始数据的采集、网上报税等,但对于这些数据的审核往往需要由处于内网中的税务人员来完成。另外对于税务系统而言,所有初始数据和审批过程都需要备份,存入税务内网的数据库中。因此,需要建立税务网络安全整体防护体系,提高税务网络的安全保障能力。通常的做法是,在各网络边界大量部署防火墙、在网络内部部署防病毒、漏洞扫描,以至入侵检测等安全设备,来防止和减少外界威胁,这些技术都可在一定程度上提供安全保护。然而,目前这些安全手段,无论使用一种或将所有方法综合使用,都无法做到对网络和信息资源的尽善尽美的保护。但有一点是肯定的,防御的深度愈深,网络愈安全。也许能够保证一个系统真正安全的途径只有一个:断开网络。显然,实行内部网和外部网的物理隔离,可确保内部网不会受到外部公共网络的非法攻击。同时,实行物理隔离也为涉密计算机及信息系统划定了明确的安全边界,使得网络的可控性增强,便于内部管理和防范。但由于税务部门实际业务的需要,在保持税务内外网络物理隔离的同时,应能够在这两个不同安全等级的网络之间进行实时的、适度的、可控的数据交换和应用服务。具体来说,数据信息交换需要发生在税务内网与税务外网之间,交换的应用服务主要包含:网上报税系统、网上税票认证系统、证书系统等;在内外网间进行交换的数据主要包括:文件交换、数据库的数据交换等。纳税人通过Internet访问税务部门的网上报税系统,正确填写电子申报表后,提交申报数据至税务部门服务器,税务部门的服务器对这些数据进行处理、储存,并将处理结果反馈给纳税人。此种方式减少了纳税户往返于税务部门、银行的烦恼,也极大地减轻了税务部门的工作量。可是,断开网络又如何实现内外网间的信息数据交换呢?这就涉及到物理隔离网闸技术。二、采用网闸技术是实现税务内外网有效物理隔离的选择(一)什么是网闸网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与外网连通,则面临来自公网的各种威胁。安全专家给出的建议是:由于目前的安全技术,无论防火墙、UTM等防护系统都不能保证攻击的一定阻断,入侵检测等监控系统也不能保证入侵行为完全捕获,所以最安全的方式就是物理的分开,所以在公安部的技术要求中,要求电子政务的内、外网络之间“物理隔离”。没有连接,来自外网对内网的攻击就无从谈起。但是,网络的物理隔离,给数据的通讯带来很多不便,比如工作人员出差只能接入互联网,要取得内网的文件就没有办法,只能让办公室的人把文件放在外网上。另外,内网办公系统需要从外网提供的统计数据,由于服务隔离,数据的获取也很困难。因此,随着网络业务的日益成熟,数据交换的需求日益强烈。最初的解决办法就是人工的“传递”,用U盘或光盘在内外网之间倒换数据。随着业务的增多,数据量的扩大,人工的方式显然成为很多业务的瓶颈,在内、外网之间建立一个既符合“物理隔离”安全要求,又能进行数据交换的设备或解决方案,这成为越来越多的实际需要,这就促进了物理隔离网闸的诞生。网闸实现的是个安全的概念,与防火墙等网络安全设备不同的地方是阻断通讯的连接,只完成数据的交换,没有业务的连接,攻击就没有了载体,如同网络的“物理隔离”。网闸其实就是模拟人工数据倒换,利用中间数据倒换区,分时地与内外网连接,但一个时刻只与一个网络连接,保持“物理的分离”,实现数据的倒换。这就象长江上的摆渡船,既没有“物理的连接”大桥,也实现了货物的交换。(二)网闸的基本结构网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:内网处理单元,外网处理单元,隔离与交换控制单元。内网处理单元:包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。外网处理单元:与内网处理单元功能相同,但处理的是外网连接。隔离与交换控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。摆渡开关是电子倒换开关,让数据交换区与内外网在任意时刻均不同时连接,形成空间间隔GAP,实现物理隔离。三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为UnixBSD或Linux的变种版本,或者其他嵌入式操作系统VxWorks等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。(三)网闸的数据交换方式隔离网闸如同一个高速电子开关在内外网间来回切换,同一时刻内外网间没有连接,处于物理隔离状态。在此基础上,隔离网闸作为代理从一个网络的网络数据包中抽取出数据,然后通过反射开关转入另一个网络中,完成数据的中转。以文件传输为例,当外网需要有数据文件转发到内网时,外网接口单元将传入的应用数据包,进行剥离所有的TCP/IP网络协议和应用协议,并将剥离后的纯数据写入外网数据缓冲区。很多攻击是通过对数据的拆装来隐藏自己的,没有了这些相关协议的“通讯外衣”,攻击者就很难藏身了。根据不同的应用,可能有必要对数据进行完整性和安全性检查,如防病毒和恶意代码等。全部完成后,外网接口单元立即发起对隔离控制单元的非TCP/IP协议的数据连接,通过电子摆渡开关,将外网数据缓冲区与隔离控制单元中的数据交换区进行连通,隔离控制单元将外网数据缓冲区中的数据转入数据交换区的存储介质中。一旦数据完全写入数据交换区的存储介质,隔离控制单元立即中断与外网的连接。转而发起对内网接口单元的非TCP/IP协议的数据连接。隔离控制单元将数据交换区中的数据推向内网数据缓冲区。内网接口单元收到数据后,立即进行TCP/IP的封装和应用协议的封装,并通过内网转交给内网文件系统。这个时候内网文件系统就收到了外网的文件系统通过隔离设备转发的文件。当数据交换区中的数据全部转发完成后,隔离控制单元立即切断与内网的直接连接,恢复到完全隔离状态。同样,内网有数据要转发到外网时,过程与上述类似。每一次数据交换,隔离设备都经历了数据的接受、存储和转发三个过程。内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。即使外网在最坏的情况下,内网也不会有任何破坏。同时修复外网系统也非常容易。(四)网闸的基本安全原则网闸设计的目的,是隔离内外网业务连接的前提下,实现安全的数据交换。也就是安全专家描述的:协议落地,数据交换。从网闸处于网络中的位置,以及要实现的目的,网闸有以下三个安全设计的基本原则。(1)单一服务原则:只完成数据文件的交换(如只完成文件形式的数据交换),其他的服务一律关闭。采用文件级交换,而不是数据包级交换,是因为文件相对信息完整,避免蠕虫式的分片隐藏。而且,只选择文件交换,内外网就没有通讯的连接,来自外网的黑客远程攻击就因为没有遥控线路而难以实现,而对内网的业务进行攻击的行为就限制在只有发自内网本身的病毒、蠕虫,这就实现了和人工数据摆渡同样的安全效果。(2)定向交换原则:在数据交换时指定接收人、发送人。指定了内外网的发送人与接收人,数据交换就只能提供点到点的数据交换服务,方便数据交换的审计,也方便了问题定位到源头,避免第三者冒充、截获信息重放等攻击的发生。(3)不支持协议解析原则:网闸不支持应用协议解析,不透传业务应用,只进行文件数据的摆渡,对于Http、SMTP、FTP等协议无法通过,数据库的访问就更加不能通过,网闸只起到数据的摆渡,不支持应用的互通。应用协议的终止,让入侵、攻击彻底失去了传播的载体。需要注意的是,在市场上,有些厂家在设计网闸产品时,为了产品功能的强大和客户业务的方便,在其内部支持解析各种应用协议。这种解析不仅有覆盖常见应用协议的趋势,而且对数据库的访问也代理通过,这样不可避免地为缓冲区溢出、SQL注入等常见的黑客攻击提供了生存的温床。对业务协议的解析将给网闸带来新的安全问题,所以说不是功能越丰富就越好。对于文件的内容安全,可以通过对发送者身份认证来保证。文件附着的病毒、蠕虫、木马等的检测是静态检测,可以通过对交换文件格式的规范,让他们难以躲藏。实际应用中,网闸可以根据应用系统对安全级别的要求,可以选择性地交换数据文件,如无格式文本文件、Word等有格式的文档文件、压缩文件、可执行文件等交换文件的格式,降低交换文件隐藏病毒、木马的机会。三、通过物理隔离网闸实现税收业务数据自动交换的安全解决方案使用网闸的目的是为了隔离业务的同时,进行安全的数据交换。从安全服务的角度讲,网闸开通的服务种类越少,被攻击的可能性越小,网闸可交换的数据类型越少,隐含攻击的可能越小。但是,只提供数据文件的点到点交换,这对于支持内外网大量数据通讯的税务应用是显然不够的,如何实现税收应用业务的自动安全转换呢?尽管网闸的安全原则定义了不做业务协议解析的原则,保障网闸隔离业务的效果。但对于应用业务本身,我们可以设立自己的业务代理服务器,通过对要交换的数据的翻译,实现业务的自动交换。在税务系统中,通过物理隔离网闸,我们设计了如下安全解决方案,在税务内外网的物理隔离下,来实现税收业务数据的自动交换。我们在税务内外网中分别设立税务业务数据交换的代理服务器,在内外网的代理服务器成对出现,目的是建立税务业务访问的逻辑连接代理。代理服务器把业务的数据转换成可以交换的数据文件,并且指定交换的发送人与接收人为税务内外网的代理服务器。从业务应用的角度来看,这种业务数据代理方式与厂家在网闸中实现的协议解析有些相似,都实现了业务访问的内外网互通,但从整个网络的安全角度上看,是有根本区别的。通过网闸没有应用协议,业务应用在内外网中间是中断的。税务业务数据交换代理是针对每个需要内外网大量数据交换的税收业务开发的,业务针对性强,认证、加密等方式各不相同,由于业务开发的认证、加密属于私密处理,每个应用都不相同,被攻击的可能比较小。即使有攻击,也只能针对本业务,不会扩展到税务内网的其他业务。与进行协议解析相比,网闸解析协议开通的是一类协议的所有应用,而税务业务代理是针对一个应用的开通。协议原理比较公开,被利用攻击的可能性较高,即使使用安全的用户身份确认技术,也不能与应用不同而改变,当应用增多时,危险增大。而税务业务代理服务的数据转换是税务业务本身开发的,根据税务业务本身的安全级别要求,采取各自的身份确认机制,与应用的融合性好,对