隨著互聯網在全球的推廣與應用,以及我國信息化建設的深入,局域網用戶對互聯網信息的需求越來越多,隨之而來的網絡安全問題也日益突出。某些局域網,特別是對於某些安全性要求極高的部門局域網,是嚴格限制與互聯網直接相連的。
國家保密局已於2000年發布了《計算機信息系統國際聯網保密管理規定》,文件規定“涉及國家秘密的電腦信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相聯接,必須實行物理隔離”。
這些局域網從互聯網上獲得信息的傳統方式是利用Teleport等離線浏覽軟件,先從互聯網上采集數據,再手工拷貝到內部局域網。
這樣雖然保證了網絡安全,卻給實際工作帶來了很多不便。首先,這類離線軟件不能處理采集數據中的無效鏈接;其次,每次采集都必須由人工啟動完成,不能根據應用需要自動采集;再者,所有的操作都由手工完成,導致工作效率很低;而且隨著信息需求量的增大,勞動強度也越來越大。
為了解決這種日益突出的信息需求和信息安全之間的矛盾,我們在Red Hat Linux平台上研制開發了基於物理隔離的“互聯網信息安全采集系統”。
該互聯網信息安全采集系統是一個保證在任一時刻,在局域網和互聯網物理隔離的前提下,安全浏覽互聯網網絡資源的系統軟件。它為用戶提供了一個以物理隔離為基礎的安全的網絡環境,並提供了信息采集、負載均衡、自動轉發、信息控制等功能。
系統邏輯結構
該互聯網信息安全采集系統由采集服務器、中間服務器(含物理隔離器)和內部服務器三部分構成。其主要設計思想是通過中間服務器建立互聯網和局域網的間接連接,對局域網用戶來說,上網過程實際僅是浏覽局域網內部服務器提供的內容,而由采集服務器從互聯網上自動下載指定網站的內容,模擬局域網用戶的上網過程。
中間服務器能夠保證不同時連接局域網和互聯網,即連接內部局域網時,中間服務器與互聯網的連接不論是物理上,還是軟件設置上都完全斷開,反之亦然。這樣,來自互聯網的影響或攻擊不可能進入局域網內部,局域網內部也無法真正地連接到互聯網上,整個系統的安全性主要由中間服務器加以控制。
該系統的邏輯結構如圖1所示。
圖1 互聯網信息安全采集系統邏輯結構圖
從圖1中可以看出,采集服務器機群通過RAS或其它方式連接到互聯網上,與內部局域網之間被物理隔離器物理隔離。經由隔離器,中間管理服務器可以與采集服務器或內部服務器建立連接,但一個時刻只能與其中一方連接,而不能同時與兩方連接。專門設計的物理隔離器保證了無論何時采集服務器和內部服務器之間為斷路。
1.采集服務器(群)采集服務器(群)用來從互聯網上采集信息,所以它的網絡接口配置應可通過防火牆對互聯網上的Web服務進行浏覽。在一個采集服務器(群)裡,邏輯上必須且最多應存在一台采集管理器,采集管理器提供可被采集服務器(群)訪問的網絡數據庫(MySQL Server)和網絡共享目錄(NFS Server),以及可被中間服務器訪問的FTP目錄(FTP Server)。
因為采集管理器的管理操作是通過Web操作完成,所以采集管理器上應具備可被訪問的Web服務(HTTP Server)。同樣,在邏輯上也至少應存在一台采集服務器,該采集服務器應可訪問互聯網采集信息,並且可以訪問采集管理器的數據庫(MySQL Client)和網絡共享目錄(NFS Client)。
2.中間服務器
中間服務器的功能是從采集管理器上取得采集好的信息,然後轉發到局域網服務器上進行發布,所以中間服務器上的網絡接口配置應既能訪問采集管理器,也能訪問局域網服務器。中間服務器應可訪問采集管理器和局域網服務器的FTP目錄(FTP Client)。
3.局域網服務器
局域網服務器的功能就是用來在內部局域網發布信息,所以它的網絡接口應可被內部局域網的計算機訪問。因為局域網服務器是用來發布被采集信息的,應提供Web服務(HTTP Server),以及可被中間服務器訪問的FTP目錄(FTP Server)。
這裡,采集服務器和局域網內部服務器都可以采用一台或多台計算機,並可以根據系統的規模和需求隨時擴充新的服務器,系統的采集能力是動態可調的。
系統的功能模塊
系統從功能上可以分為網路配置與系統安全管理模塊、任務隊列管理模塊、采集器隊列管理模塊、調度協調管理模塊、內部服務器管理模塊五部分。功能模塊框架如圖2所示。
圖2 互聯網信息安全采集系統功能模塊圖
◆ 網路配置與系統安全管理模塊是整個系統的防護控制中心,包括物理隔離器、防火牆、用戶管理,負責保證整個系統信息流正常流轉。
◆ 任務隊列管理模塊負責接收、整理用戶上網需求,然後定義、生成下載任務,並提交調度協調管理模塊。
◆ 采集器隊列管理模塊負責管理采集服務器機群,向調度協調管理模塊提供完成互聯網下載任務的采集器。
◆ 調度協調管理模塊負責將具體任務合理分配到各個采集器,並將任務結果從采集器取回,送交內部服務器機群。
◆ 內部服務器管理模塊負責接收並加工下載信息,最後向內部局域網用戶提供虛擬上網環境。該互聯網信息安全采集系統的網絡操作系統選擇Red Hat 7.2,Web服務器選用Apache,數據庫平台選用MySQL,開發工具選用PHP和標准C。
