核電工程項目數(shù)據(jù)安全交互平臺方案設(shè)計

◆彭瑋瑋 談 筠

核電工程項目數(shù)據(jù)安全交互平臺方案設(shè)計

◆彭瑋瑋1談 筠2

(1.國核工程有限公司 上海 200233；2.上海市制冷學(xué)會 上海 200240)

隨著核電工程信息化的不斷發(fā)展，核電工程項目數(shù)據(jù)安全交互越來越重要。一般核電項目周期都長達(dá)5、6年，在整個項目運行過程中需要涉及到大量的業(yè)主、總包商、承包商之間的數(shù)據(jù)交互要求。目前核電行業(yè)內(nèi)還采用DMZ區(qū)（隔離區(qū)）部署文件交互服務(wù)器來實現(xiàn)與業(yè)主、總包商、承包商之間的數(shù)據(jù)交互，但是這種交互方式比較原始，通過Internet傳輸?shù)陌踩砸驳貌坏奖ＷC。本論文通過方案比選，設(shè)計了一套切實可行的核電行業(yè)數(shù)據(jù)安全交互平臺。

核電工程；數(shù)據(jù)交互；業(yè)主；總包商；承包商；數(shù)據(jù)轉(zhuǎn)發(fā)區(qū)

0 引言

隨著信息技術(shù)不斷應(yīng)用于核電工程建設(shè)當(dāng)中，核電工程信息安全問題也日益引人關(guān)注?，F(xiàn)大多數(shù)圖紙、文檔、資料都是電子類型，出現(xiàn)數(shù)據(jù)泄密可能會導(dǎo)致核電企業(yè)核心技術(shù)、管理體系等被競爭對手竊取，為核電企業(yè)帶來不可挽回的損失。為此，核電工程建設(shè)過程中怎么保障各單位的信息安全也就越來越重要。怎么樣設(shè)計一個合理的數(shù)據(jù)交互平臺，來確保核電工程項目建設(shè)過程中，業(yè)主、總承包商、各參建單位之間數(shù)據(jù)可以安全的交互，是本文研究的方向。本文從一個核電工程總承包商的角度出發(fā)，建立一套供業(yè)主和各參建單位之間數(shù)據(jù)安全交互平臺。

核電工程項目是一個周期長的工程項目，項目建設(shè)過程中需要涉及大量業(yè)主與承包商的數(shù)據(jù)交互。以往信息安全技術(shù)主要在互聯(lián)網(wǎng)上DMZ[2]（隔離區(qū)）部署幾臺文件交換服務(wù)器來來實現(xiàn)與外部業(yè)主、供應(yīng)商之間的數(shù)據(jù)交互。但是這種交互方式比較原始，通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)的安全性也不能保證。

基于以上問題，本文將對數(shù)據(jù)平臺交互標(biāo)準(zhǔn)進(jìn)行分析，擬提出一套第三方數(shù)據(jù)交互平臺標(biāo)準(zhǔn)，主要應(yīng)用于總承包商與業(yè)主、建安承包商、外部供應(yīng)商、第三方合作伙伴等之間進(jìn)行數(shù)據(jù)交互過程中的信息安全保障，從現(xiàn)有的低等級安全防護(hù)的簡單文件交互功能升級至用戶和應(yīng)用行為可視可控、應(yīng)用協(xié)議可檢測防護(hù)、數(shù)據(jù)庫訪問行為智能關(guān)聯(lián)分析、集中主動式運維安全管控的高等級安全防護(hù)的應(yīng)用發(fā)布和實時業(yè)務(wù)查詢數(shù)據(jù)交互平臺。

1 常用平臺建設(shè)方案

各單位之間的數(shù)據(jù)交互都是通過Internet鏈路，以SSL VPN的方式直接連入總承包商Internet網(wǎng)絡(luò)區(qū)域進(jìn)行文件級別的數(shù)據(jù)交互。用戶通過Internet訪問文件服務(wù)器，上傳/下載相關(guān)業(yè)務(wù)文件。這種方式雖然方便，但是有諸多安全性問題：

（1）是文件傳輸通過公網(wǎng)，傳輸途徑的安全性無法保證，面對來自公網(wǎng)上的各類威脅，例如數(shù)據(jù)竊取、DDOS攻擊等，無法保證公司以及外部業(yè)主、外部供應(yīng)商的系統(tǒng)安全；

（2）是難以防范中間人攻擊，由于用戶與公司的數(shù)據(jù)交互通過Internet，而Internet是一個不可靠的傳輸途徑，很容易在進(jìn)行身份交互的過程中泄露身份信息，導(dǎo)致黑客偽造身份竊取數(shù)據(jù)；

（3）數(shù)據(jù)交互實時性差，由于都是通過文件進(jìn)行數(shù)據(jù)交互，因此無法交互一些實時性較強(qiáng)的業(yè)務(wù)數(shù)據(jù)。

正是由于存在上述原因，因此本文將專門設(shè)計一套第三方數(shù)據(jù)交互平臺0，通過光纖專線與業(yè)主、供應(yīng)商進(jìn)行數(shù)據(jù)交互，充分保證交互數(shù)據(jù)的機(jī)密性、完整性和可用性。

通過本次建設(shè)數(shù)據(jù)交互平臺，核電工程項目將實現(xiàn)業(yè)主、總承包商、分包商三種方式的業(yè)務(wù)數(shù)據(jù)交互：

（1）以文件管理系統(tǒng)為代表的傳統(tǒng)文件交互（方案A）；

（2）以材料管理系統(tǒng)為代表的B/S方式數(shù)據(jù)交互（方案B）；

（3）以進(jìn)度管理系統(tǒng)為代表C/S方式數(shù)據(jù)交互（方案C）。

下文將首先對集中平臺建設(shè)進(jìn)行大致說明。圖1為網(wǎng)絡(luò)結(jié)構(gòu)圖的幾個初步方案。

方案A表現(xiàn)的是以文件管理系統(tǒng)為代表的文件交換業(yè)務(wù)。通過物理隔離網(wǎng)閘[2,3,4]將平臺劃分為內(nèi)/外兩部分，用戶訪問外網(wǎng)部分的服務(wù)器下載相關(guān)文件，內(nèi)外部服務(wù)器通過網(wǎng)閘系統(tǒng)進(jìn)行數(shù)據(jù)同步。

方案B代表的是外部用戶訪問B/S架構(gòu)的應(yīng)用系統(tǒng)，業(yè)務(wù)數(shù)據(jù)庫部署在內(nèi)網(wǎng)，外部用戶只能訪問外部區(qū)域的WEB服務(wù)器，WEB服務(wù)器通過制定端口經(jīng)由網(wǎng)閘直接訪問后臺數(shù)據(jù)庫服務(wù)器。

方案C代表的是外部用戶訪問C/S架構(gòu)的系統(tǒng)。公司在內(nèi)部區(qū)域搭建正常的應(yīng)用系統(tǒng)，在客戶訪問的外部區(qū)域則部署一套應(yīng)用發(fā)布服務(wù)器，通過發(fā)布服務(wù)器實現(xiàn)內(nèi)、外部數(shù)據(jù)交互。

方案D是方案B與方案C的結(jié)合，即將B/S系統(tǒng)，C/S系統(tǒng)全部通過外部的統(tǒng)一發(fā)布服務(wù)器進(jìn)行業(yè)務(wù)發(fā)布，用戶通過訪問一個對象來實現(xiàn)訪問對各種系統(tǒng)的訪問，無需針對B/S系統(tǒng)，C/S系統(tǒng)分別訪問不同的對象。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)圖

2 平臺建設(shè)方案對比

為了實現(xiàn)與外部業(yè)主、承包商進(jìn)行全方位的對接，本次的平臺建設(shè)方式將在“A+B+C”和“A+D”方式之間進(jìn)行選擇。由于A部署方式在兩個備選方案間都包含，因此對比的重點在于B+C的部署方案與D方案的區(qū)別。

2.1 從系統(tǒng)自身安全性的角度評估

B方案針對的是B/S架構(gòu)的用WEB系統(tǒng)，而就目前主流的攻擊而言，致使75%的攻擊都瞄準(zhǔn)了Web系統(tǒng)，目前最常見的SQL注入，XSS攻擊等攻擊模式都是針對WEB系統(tǒng)。而大量開發(fā)的WEB應(yīng)用，由于歷史原因，都存在不同程度的安全問題。對于這些已上線、正提供生產(chǎn)的WEB應(yīng)用，由于其定制化特點決定了沒有通用補(bǔ)丁可用，而整改代碼因代價過大變得較難實現(xiàn)或者需要較長的整改周期。因此用此種方式面臨的外部威脅較大。而D方案則是通過應(yīng)用發(fā)布系統(tǒng)以虛擬化平臺的方式對外發(fā)布各類應(yīng)用系統(tǒng)，類似于在系統(tǒng)外部多加了一個防護(hù)層，避免WEB系統(tǒng)直接暴露在外部。

2.2 從后臺數(shù)據(jù)庫安全的角度評估

對于B型方案而言，位于網(wǎng)閘外網(wǎng)區(qū)域的WEB服務(wù)器通過網(wǎng)閘直接訪問后臺數(shù)據(jù)庫服務(wù)器，這種方式有較大的危險性。因為網(wǎng)閘雖然是安全隔離設(shè)備，但是他對合法通道里的流量無法進(jìn)行任何過濾，一旦外部WEB服務(wù)器被控制，攻擊者完全可以憑借這臺服務(wù)器為跳板機(jī)，通過合法的與數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)通道發(fā)動攻擊。而 D方案采用應(yīng)用發(fā)布的形式對外發(fā)布業(yè)務(wù)程序，即使外部服務(wù)器遭到破壞，最多損壞對外發(fā)布內(nèi)容，無法直接以此威脅后臺數(shù)據(jù)庫服務(wù)器的安全。

2.3 從用戶身份安全的角度評估

D方案采用業(yè)務(wù)發(fā)布系統(tǒng)的統(tǒng)一接入平臺，集中進(jìn)行用戶身份認(rèn)證，而B+C方案由于將各個系統(tǒng)獨立部署，因此各系統(tǒng)使用各自的認(rèn)證模式。相比較而言，D方案的優(yōu)勢由以下幾個：

（1）統(tǒng)一認(rèn)證平臺，實現(xiàn)單點登錄(SSO)模式，提升用戶效率，避免各自為政；

（2）如上文所述，各應(yīng)用系統(tǒng)開發(fā)時間早晚不同，代碼層面可能存在一些代碼問題導(dǎo)致用戶認(rèn)證時出現(xiàn)“競態(tài)條件”等繞過用戶認(rèn)證系統(tǒng)的安全漏洞；

（3）通過統(tǒng)一的應(yīng)用發(fā)布系統(tǒng)，可以集中對用戶進(jìn)行業(yè)務(wù)授權(quán)、行為審計，統(tǒng)一管理，不留監(jiān)控死角。

3 結(jié)論

根據(jù)上文的分析，無論是從系統(tǒng)自身安全性，還是后臺數(shù)據(jù)庫安全性，以及用戶身份安全性幾個角度，“A+D”的配置方案都要優(yōu)于“A+B+C”的配置方案。因此確定的平臺建設(shè)模式為以文件管理系統(tǒng)為代表的傳統(tǒng)文件交互與用戶通過訪問一個對象來實現(xiàn)訪問對各種系統(tǒng)的訪問相結(jié)合的配置方案。

[1]蔡瀛捷，陳家訓(xùn).基于Web 的數(shù)據(jù)安全交互模式研究[J].計算機(jī)應(yīng)用研究，2003.

[2]許云明，李春生.物理隔離網(wǎng)閘原理及應(yīng)用[J].計算機(jī)安全，2005.

[3]屈波，熊前興，吳業(yè)福等.基于物理隔離的安全網(wǎng)閘研究與系統(tǒng)設(shè)計[J].計算機(jī)科學(xué)，2004.

[4]于華楠，武云瑞，胡緒超.正向隔離網(wǎng)閘在電力系統(tǒng)中的應(yīng)用[J].計算機(jī)與數(shù)字工程，2014.

[5]蔡瀛捷，陳家訓(xùn).基于Web的數(shù)據(jù)安全交互模式研究[J].計算機(jī)應(yīng)用研究，2003.

[6]吳雅云，洪瑞安，莊紹燕.基于網(wǎng)閘隔離的雙機(jī)通訊底層及其在B/S架構(gòu)系統(tǒng)中的應(yīng)用[J].中國醫(yī)療設(shè)備，2014.

[7]董惠勤，陸魁軍.跨安全網(wǎng)閘的內(nèi)外網(wǎng)數(shù)據(jù)庫同步的實現(xiàn)[J].科技通報，2007.