一、实施背景
近年来,随着网络建设和应用的逐步深入,加强信息安全,特别是敏感信息的保护已经迫在眉睫。国家能源局《关于加强电力行业网络安全工作的指导意见》中,对强化关键信息基础设施安全防护与加强电力企业数据安全保护提出了相关技术要求:按照“安全分区”、“网络专用”、“横向隔离”、“纵向认证”的原则,进一步完善结构安全、本体安全和基础设施安全。
针对能源行业各单位现有的大量业务敏感信息,经过风险评估与分析,批量敏感信息的外泄风险更多的存在于数据交换环节。因此如何保障数据交换环节中的数据安全,在安全性和易用性中找到合适的平衡点,给单位业务提供坚实的信息安全保障,符合单位内控和外部监管要求,是当前数据安全面临的一个难题。
随着全球地缘政治与意识形态竞争的加剧,国际关系与体系正在经历着深刻变革,在当下竞争与冲突兼具的外部环境背景下,信息产业生态同样遭受着复杂多变的重要影响。“卡脖子”难题接二连三,推动国家高度重视网络信息安全,提出一系列重大战略部署,要求必须掌握安全可控的信息化核心技术。在当前国际形势下,世界格局正在发生深刻变化,一些国家试图通过技术封锁和制裁来遏制其他国家的崛起,因此,国产自主可控技术的重要性不言而喻。
所以,本项目的实施背景,在集团整体战略中,将率先展现国产自主可控技术在信息安全领域的重要应用,围绕提供便捷信息化支撑服务与完善的数据安全管理能为核心,提供管理支持与信息安化安全保障。国产自主可控的跨网数据安全摆渡系统,将作为后续集团内管理信息大区与办公互联区的非结构化数据安全交换通道的创新型技术应用,为两网内办公人员提供便捷高效的文件协同与办公支撑,为集团与各级单位在商业秘密、个人信息等数据保护提供数据传输阶段的重要安全管控抓手,充分兼容当前办公环境与后续国产自主可控的运行办公环境与运行环境,保障数字化转型中信息与数据高效可控的发挥价值的重要基础设施。
二、实施目标
从整体安全能力建设角度出发,采用电力专用单向隔离装置提供跨网传输数据的安全管理,对传输数据提供防病毒与数据内容识别检测能力,开发创新型跨网数据安全交换方案。并针对本次应用的跨网数据交换应用场景,需充分考虑其服务端与应用端的信创应用实践需求,完成从管理后台的CPU、操作系统、数据库、用户端的自主可控要求。
三、建设内容
目前,国内外对于安全隔离场景下的安全管理能力研究与实践主要应用于以非结构化数据传输场景下的应用场景中,主要以同网内的非结构化数据安全管理方案为主,整体可分为三大类,第一类是审计取证类,例如敏感数据识别为主的DLP技术、流量审计等,第二类是加密类,例如文档透明加解密等,第三类是访问控制类,例如身份和访问管理。从目前行业实践与技术成熟度来讲,三类技术各有其相对成熟的技术应用场景。在综合考虑了非结构化数据安全传输场景的应用场景,以及提升最终用户使用体验效率的基础上,本方案中将此三类技术均应用于本创新课题中。
(1)一是以敏感数据识别技术应用与跨网数据传输时的内容检测,并结合审批管理能力,提供不同安全区域间数据传输的精细化管理,确保敏感、重要的数据跨网传输时可受管理要求的约束,并可对跨网数据传输行为与管理员/审计员行为进行完整审计,实现管理制度的技术应用落地。
(2)二是以非结构化数据传输存储时的文件名信息与数据库表项的加密存储,保证出现数据库被窃取数据时依然保证传输文件的存储信息不可被截取。
(3)三是基于用户角色与获取数据所在网络进行身份鉴别与非结构化数据使用权限管理,实现不同用户在不同网络区域内的权限可进行差异化管理,实现灵活的应用延展性。同时结合以上三大类数据安全技术方向,并扎根于信创平台与支撑能力,配合电力行业专用安全隔离装置构建的安全隔离能力,成为本创新课题后续应用与推广的重要发力点,在以上技术与安全架构得以充分应用的基础上,可确保行业内用户在进行跨网数据传输时的安全可靠与自主可控。
四、实施效果
通过两套数据安全交换系统一体机与电力系统专用安全隔离组合部署,构建能源行业物理隔离场景下的跨网数据安全交换方案,提升整体安全性,并与现网隔离场景相匹配。
【先进性;物理隔离和逻辑隔离技术的应用】
设计原理是基于虚拟化技术和物理隔离技术的应用而来,内外网各一台物理服务器作为数据交换服务器,中间用电力专用单向隔离装置连接,内网到外网使用正向隔离装置,外网到内网使用反向隔离装置。为了实现数据交换效果,在文件审计服务器与单向隔离装置之间,通过代理进程的将TCP协议转换为单向网闸专用协议的方式进行文件转移,同时,在单向隔离装置内通过TCP联接分解的方式保障物理隔离,从而整体达到该电力行业集团内外网之间安全可控数据通讯,实现内外网间的文件安全交换。
【先进性:虚拟化技术的应用】
安渡系统是基于虚拟化技术,在一台物理设备的环境下,起多个虚拟服务器搭建的基础架构。安渡于2011年开发,就沿用了该技术成为产品基础,并创新性的设置SELinux打造MAC(强制管控策略)、虚拟机的读写权限控制、专用指令通道和专用数据通道等等技术的应用;多项安全技术能力与国家保密局与2021年04月09日发布的《基于KVM/QEMU虚拟化系统的多租户安全隔离技术研究》一文提倡的安全技术能力一致;说明安渡系统在2011年设计之初,就已经技术先沿和创新的能力。
【独特性:容错式设计】
基于安渡系统是以虚拟机镜像方式启动,遇大范围黑客攻击或勒索病毒攻击时,虚拟服务器可进行快速恢复操作,避免因勒索病毒、渗透攻击和窃取敏感文件等危险操作带来的风险。虚拟服务器恢复的操作,是沿用了虚拟化技术的特性,也是国内首创该技术应用到安全数据交换行业的厂家。
【独特性:防范跳板攻击】
安渡系统内部是通过专用指令通道(非TCP/IP协议)通讯,OS设计独立的指令内存空间和数据虚拟空间,避免出现堆栈溢出,降低恶意代码以数据形式植入进程内存空间加以执行的风险。
整体方案现已验收,该电力行业信创安全数据摆渡系统在集团内部全国多个厂区进行宣贯和试用。满足预定的实施目标和方案效果,总体上有以下几方面的建设效果:
(1)与电力专用单向隔离装置对接,实现物理隔离和逻辑隔离数据摆渡的效果,满足内外部检查部门的检查,具有合规性;
(2)输数据提供防病毒与数据内容识别检测能力,可杜绝病毒文件的传播及敏感文件泄密等风险;
(3)本次应用的跨网数据交换应用场景,是基于信创的芯片、操作系统、数据库和中间件,相当于全栈化信创交付,实现各个技术领域自主可控要求;
(4)数据传输时是通过加密链路,数据落地会对存储路径、文件名、文件内容和密钥,通过多种加密算法实现存储加密,避免数据交换过程中出现泄密、拦截和注入病毒等风险;
(5)实现不同用户在不同网络区域内的权限可进行差异化管理,实现灵活的应用延展性;提升管理员的效率。
(6)另外:还包括大量可自定义的安全配置项,病毒检测、审批审计、支持多种类型终端(含信创)等等;
整体应用价值包括:合规、安全、可控、高效、易用这几个特点。
