基于強隔離訪問控制的數據安全保護技術研究

王銳 李坤 李艷斐 李佳文 趙佳軒 侯世宇

1.公安部第一研究所 2.北京中盾安信科技發展有限公司

引言

在當今信息化社會中，數據安全問題日益成為全球范圍內的重要議題。隨著數字化技術的飛速發展，大量數據以電子形式被生成、傳輸和存儲，涵蓋了個人、企業和政府等各個層面的重要信息。這些數據包含著個人身份信息、財務數據、知識產權、醫療記錄等敏感內容，其安全性和完整性對于個人隱私、企業競爭力和國家安全至關重要。

隨著信息技術的快速發展，數據的重要性變得越來越顯著，無論是企業、政府機構還是個人，都離不開數據的存儲和處理。然而，數據的增加和共享也帶來了一系列安全威脅，例如：（1）未經授權訪問：黑客、內部員工或其他惡意主體可能試圖獲取未經授權的訪問權限，竊取敏感數據或破壞數據完整性；（2）數據泄露：由于錯誤配置、人為失誤或惡意行為，敏感數據可能意外地泄露給不應該訪問這些數據的人；（3）數據篡改：攻擊者可能通過篡改數據來破壞數據的完整性，導致錯誤的決策和操作。

訪問控制技術是信息安全領域的重要組成部分，其主要目標是確保只有經過授權的用戶或實體能夠訪問特定資源或系統，從而保護數據和系統免受未經授權的訪問、修改或損壞。訪問控制技術在當前信息化社會中扮演著至關重要的角色。基于強隔離訪問控制的數據安全保護技術的研究旨在利用強隔離和訪問控制技術為企業重要業務系統數據、生產數據提供更高級別的數據安全保護，保障數據的機密性、完整性和可用性。因此，“基于強隔離訪問控制的數據安全保護技術”是為了應對日益嚴峻的數據安全挑戰而發展的一種研究方向，也是《關鍵信息基礎設施安全保護要求》（GB/T 39204-2022）中實現數據安全防護、建立數據處理活動全流程保護的重要部分，它著眼于提供更嚴密的數據保護手段，以確保數據的安全和隱私不受損害。

一、國內外相關研究情況

（一）國外現狀

全球各國在網絡強隔離技術的研究現狀表現出了廣泛和多樣的特點。由于網絡安全問題的普遍性和日益嚴峻的威脅，許多國家都加大了對網絡強隔離技術的研究和應用投入：（1）美國作為網絡安全領域的領先國家之一，在網絡隔離技術的研究和實踐方面表現出了積極的態勢。美國軍方、政府部門和企業廣泛采用網絡強隔離技術，以保護關鍵設施和敏感信息的安全。（2）以色列在網絡安全領域也處于領先地位，特別是在軍事和政府部門的應用方面。以色列對網絡強隔離技術的研究和發展非常重視，通過強隔離技術保護國家安全和敏感信息。（3）歐洲各國對網絡隔離技術的研究投入也不斷增加。歐洲聯盟出臺了相關的網絡安全法規和合規要求，推動各國在網絡隔離技術方面加強合作和研究[1,2]。

（二）國內現狀

數據安全保障體系中非常重要的一道防線，實行跨網物理強隔離是迄今為止國外和國內解決不同網域彼此隔離，避免信息泄露最有效、最安全的方法。在我國，政府機關、企事業單位、關基設施都有對網絡強隔離的研究，并且進行了實際應用，如電子政務、廣電、電力、公安、醫療、銀行等。在這些行業中，網絡強隔離技術的應用已經得到了廣泛的認可和推廣。例如，通過建立數據安全隔離網關將政務內網和政務外網之間物理隔離，可以有效地保護政府機構的敏感信息和業務系統不受到惡意攻擊和非法訪問，保障內部信息不泄露、外部攻擊進不來的效果，可以確保重要信息得到保護[3,4]。

因此，實行跨網物理強隔離是保障信息安全的重要手段之一，對于政府、企事業單位以及個人用戶都具有重要的意義。未來，隨著技術的不斷發展和應用場景的不斷擴展，需要不斷完善和優化網絡隔離技術，以更好地應對日益復雜的網絡安全挑戰。

二、基于強隔離訪問控制的數據安全保護技術

本論文研究設計步驟擬采用軟件工程的項目開發階段模型，結合通用的應用開發框架實現強隔離訪問控制的數據安全保護系統，系統總體設計原則符合六性設計原則，主要針對不同安全域網絡之間對數據安全的要求不同，通過在不可信網絡和可信網絡之間構建雙單向傳輸通道，利用雙單向隔離一體化技術、可信身份鑒別技術、訪問控制限制技術、報文重組和擬態防御技術、HTTP報文格式檢查設計技術，過濾進網請求和出網數據，保證數據安全流轉、共享，保護數據的安全和隱私不受損害的技術研究，系統內部分為四個節點，分別是A、B、C、D，其中A節點為輸入，B節點為輸出，C節點為管理，D節點為審計；每個節點均通過光纖單向傳輸的方式[5,6]進行數據安全傳輸。

（一）雙單向隔離一體化技術

雙單向隔離一體化技術是實現強隔離訪問控制的底層技術之一，在物理層上利用光的單向性，構建數據訪問單向導入和單向導出通道，數據訪問時經過的單向導入通道，數據響應返回時經過單向導出通道，從物理層構建嚴格強隔離的物理狀態。以下是雙單向隔離一體化技術實現方法。

借鑒網絡隔離設備單向光閘、網閘設備的技術原理，利用四個相互獨立的物理內部節點，節點之間采用物理單向隔離器件進行連接，四個安全部件間每個部件只能與其相鄰的安全部件單向連通，對于每個安全部件，發送和接收分別連接到不同的安全部件。這種設計從物理上使各安全部件與其它的安全部件間無法建立TCP連接，無法完成TCP的握手，從物理層面打斷通用協議的傳輸，達到強隔離的物理狀態[7]。

設計內部節點A節點是可信網絡的業務服務安全代理端，接收不可信網絡的的用戶的HTTP請求連接，并將原始通信數據中的TCP/IP協議部分進行剝離，將應用層數據重組為靜態數據，并用私有協議對數據進行封裝，通過使用單向光纖傳輸部件，單向的傳輸分片數據進入內部單元；內部單元解密并剝離私有協議，重組應用層數據實現數據的單向傳輸。雙單向隔離一體化技術結構圖如圖1所示。

（二）可信身份鑒別技術

可信身份鑒別技術是基于零信任理念，研究利用零信任SDP技術實現對請求用戶的訪問控制，并持續對請求者進行動態評估，對于需要重點保護的服務進行隱藏處理。初始對所有連接都不信任，進行阻斷，只有通過接收到特定網絡訪問包后開啟認證機制，認證通過后，在特定時間段內對特定IP訪問進行放行。以下是可信身份鑒別技術的實現方法。

設計內部節點D是零信任SDP系統服務，利用零信任SDP技術實現身份的訪問控制，在不可信網絡用戶域和內部節點A之間建立了一條加密的、按需連接的路徑，用戶首先要通過身份驗證，以確認其身份后再為用戶或設備建立響應的訪問連接，使用戶或者設備可以連接到節點A。根據用戶的身份和設備的狀態，動態地分配用戶的訪問權限。

不可信網絡用戶接入訪問時，采用零信任SDP技術，對訪問用戶進行可信認證，通過Udp單包認證方式驗證客戶端請求的真實性和合法性。該系統模塊可以實現授權用戶對預定服務的隱身訪問；還可以有效防御來自外網和內網的非法訪問、攻擊，可以將需要保護的服務進行隱藏，使攻擊者在網絡空間中看不到攻擊目標，無法對其進行攻擊，使用代理或設備驗證指定訪問者的身份、上下文和策略合規性，以保護服務資源，顯著縮小攻擊面。

（三）訪問控制限制技術

訪問控制限制技術重點研究訪問控制的ACL策略、請求限制策略、HTTP報文格式檢查、文本字符可視化字模過濾等技術，從策略、數據格式和內容檢查角度上對數據流傳輸和訪問進行安全保護。以下是訪問控制限制技術的實現方法。

首先，梳理改善前流程圖，確定改善重點。明確卒中患者入院便應進行吞咽功能評估，然后根據吞咽障礙情況，在防止肺部感染的同時，加強患者營養。

設計訪問控制ACL策略和請求限制策略，根據請求的IP地址、請求時間、次數等對請求端進行限制，加強請求的安全性；在防止過載請求方面，基于統計學與機器學習技術的API接口熔斷與降級技術，動態限制服務器API接口被訪問。

HTTP數據通過雙單向隔離一體機系統的代理API接口在傳入傳出時對 HTTP 報文的格式進行檢查，以確保其正確性和一致性，針對非結構化的文本數據，進行數據內容檢查，可阻斷非法數據傳輸，保證傳輸的安全性。

設計一種文本字符可視化字模過濾的技術，首先，選取一種字體庫，該字體庫包含其可顯示在計算機屏幕上的點陣圖或矢量圖。然后，將待處理的文本文件轉換成UTF16字符編格式。取每一個字符查找該字符在字體庫中的點陣圖。如果該字符沒有點陣圖則查找其矢量圖并轉換成點陣圖。判斷點陣圖的橫向尺寸與縱向尺寸均需大于1。如果條件不成立，則表明該點陣圖無法顯示在計算機屏幕上，該字符應被視為二進制字符。按防止數據夾帶的處理原則，過濾掉該字符。最后，將所有通過的可視字符組合成文本文件，通過UTF16字符編碼轉換為原來的字符編碼。該文本文件即為通過了可視化檢查，過濾掉了二進制夾帶的文本。

（四）報文重組和擬態防御

報文重組和擬態防御技術是基于動態數據安全防護技術，重點研究數據檢查、報文重組、私有協議保護和擬態防御保護機制，確保數據流的安全傳輸。以下是報文重組和擬態防御技術的實現方法。

設計數據檢查、報文重組和擬態防御機制，為了數據的安全傳輸，雙單向隔離一體機各安全部件間可物理單向光纖連接，從物理層面保障了各安全部件不能采用TCP等雙向連接的協議通信。采用私有協議對原始的應用數據進行時間封裝，并在通信時采用加密算法保證不會被流量偵聽設備竊取。同時，對傳輸成功的數據再次進行Hash算法的完整性計算。如果傳輸過程中有數據錯亂，可以通過另一種單向線路通知發送者重發，保證數據的完整性、準確性。

在自定義的私有協議中，不再利用任何標準的協議，包括以太網協議及IP協議，從鏈路層即自定義傳輸協議。不僅節約了以太層、IP層、UDP層等包頭占用的帶寬，同時由于私有協議不公開使傳輸數據更加安全。安全攻擊人員無法使用Wireshark等包分析軟件對截獲的私有協議進行有效分析。

通過建立兩個安全域物理強隔離網口和唯一物理訪問通道，利用嚴格的訪問控制策略、零信任SDP、數據檢查等技術，達到有效保護敏感數據免受未經授權的訪問、泄露或篡改等數據安全防護效果。

針對傳統單向光閘和網閘在代理HTTP功能時，在抵御攻擊中的信息收集階段缺少安全防護手段的問題，提出一種擬態防卸網絡隔離方法，向攻擊者返回隨機的、仿真的、擬態WEB服務器信息；通過擬態仿真技術，迷惑攻擊者，使攻擊者做出錯誤的判斷，使用無效的攻擊手段造成攻擊失敗，以達到保護真實WEB服務器的目的。

（五）HTTP報文格式檢查設計

HTTP報文格式檢查技術是基于應用層數據內容防護技術，重點研究應用層基于HTTP協議數據在傳輸時，如何對JSON、XML等格式化數據進行安全檢查，確保數據結構和語法正確。以下是HTTP報文格式檢查技術的實現方法。

對于XML Schema語言，驗證XML文檔是否符合預期的結構和語法規則。在使用XML Schema進行格式檢查時，定義一個XML Schema文檔，該文檔描述了XML文檔的結構和語法規則，然后使用XML Schema驗證器對XML文檔進行驗證。如果XML文檔不符合XML Schema的要求，則驗證器將返回錯誤消息，并指出文檔中的錯誤。

對于JSON Schema語言，驗證JSON數據是否符合預期的結構和語法規則。在使用JSON Schema進行格式檢查時，定義一個JSON Schema文檔，該文檔描述了JSON數據的結構和語法規則，然后使用JSON Schema驗證器對JSON數據進行驗證。如果JSON數據不符合JSON Schema的要求，則驗證器將返回錯誤消息，并指出文檔中的錯誤。

三、實際應用

基于強隔離的網絡訪問控制數據保護技術通過將網絡和系統組件之間建立高度隔離的措施，以確保安全性和保護敏感數據或資源不受未經授權的訪問和攻擊。這種技術在眾多場景中都特別適用，以下是一些適用的場景分析：

（1）關鍵基礎設施信息系統，如電力、水利、交通等系統，這些系統的網絡和數據安全性至關重要，任何未經授權的訪問或攻擊，數據盜取、泄露風險出現都可能對公眾安全和國家穩定造成嚴重影響。

（2）政府和軍事機構通常持有敏感和機密信息，需要確保信息不被外部威脅或惡意行為泄露。強隔離網絡技術可幫助防止內部系統受到外部威脅的滲透，并確保不同級別的敏感信息得到適當保護。

（3）金融機構處理大量敏感數據和資金，成為攻擊目標。通過強隔離的網絡訪問控制技術，可以確保金融交易和客戶信息安全，同時減少網絡欺詐和數據泄露的風險。

（4）醫療機構存儲大量敏感的個人健康信息，如病歷和醫療記錄。強隔離的網絡訪問控制技術可以防止患者數據遭到未授權訪問或勒索軟件的攻擊。

（5）對于研發高度機密的項目，如國防、高級科技、創新研究等，強隔離的網絡訪問控制技術有助于防止知識產權盜竊和競爭對手的竊取行為。

四、結語

本文研究內容為基于強隔離訪問控制的數據安全保護技術研究。通過對該技術研究，設計物理上強隔離和嚴格單向的數據流傳輸通道，利用可信身份鑒別，對數據請求者身份進行嚴格訪問控制，利用訪問控制限制、報文重組、數據檢查等技術，保障數據傳輸內容安全，充分過濾進網請求和出網數據，保證數據安全流轉、共享。本課題的研究致力于從物理層、網絡層、應用層、數據層等多維度提供一種更嚴密的數據保護手段，以確保數據的安全和隱私不受損害。