三级等保措施下与外部系统信息交互的一种方法

◆夏郢

（上海市机关事务管理局信息中心 上海 200050）

1 背景

1.1 什么是等级保护

根据信息系统应用业务重要程度及其实际安全需求，需实行分级、分类、分阶段保护，以保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。

1.2 什么是三级等保

每个单位或企业的信息系统的重要程度、应对威胁的能力、具有的安全保护能力等方面各不相同，所以需要按照系统受到破坏时，对客体造成侵害的程度分别进行不同等级的保护。信息系统的安全等级被分为五个等级，他们分别是第一级自主保护、第二级指导保护、第三级监督保护、第四级强制保护、第五级专控保护。

三级等保是指信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门需对该级信息系统安全等级保护工作进行监督、检查。

三级等保信息系统适用于地级市以上国家机关、企业、事业单位内部重要信息系统，重要领域、重要部门跨省、跨市或全国（省）联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统，跨省或全国联网运行的重要信息系统在省、地市的分支系统，中央各部委、省（区、市）门户网站和重要网站，跨省连接的网络系统等。

第三级安全保护能力需达到在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭受攻击损害后，能较快恢复绝大部分功能。

1.3 三级等保信息系统与外界交互的传统方式

通常情况下，三级等保信息系统中如果业务流程调度控制涉及必须从外部信息系统获取信息则需通过外部介质将需要传递给三级等保系统的信息拷贝到特定区域后，并对信息进行安全扫描后方可进入到三级等保系统。例如运行于电子政务外网的一套三级等保的政务系统需从互联网获取信息通常是将该互联网信息拷贝到电子政务外网系统可访问的位置，对该信息进行安全检查处理后该三级等保政务系统方可使用该信息。

1.4 传统交互方式的影响

这种交互方式下信息传递时延较大，在信息传递的频次要求不高情况下可以满足业务要求。但如果业务上需要频繁从外部域获取信息方能保证业务的顺利开展，则该方式在时延及频次上不能满足需求。

造成该问题本质原因在于三级等保系统所处的安全域内对于外部特别是安全防护等级低于三级等保域的来源信息不可信所带来的。

2 问题解决思路

为了解决快速、高频次地从三级等保域外部获取信息需要一台能定制策略的安全代理服务器，该服务器应能按照业务及安全要求将三级等保安全域内信息传递给外部安全域或者准备好外部安全域上待交互的信息，按照三级等保域的要求进行信息的交互。

2.1 代理服务器工作方式

反向代理（Reverse Proxy）方式是指以代理服务器来接受外网上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给外网上请求连接的客户端，此时代理服务器对外就表现为一个反向代理服务器。

通常的代理服务器，只用于代理内部网络对外网的连接请求，客户机必须指定代理服务器，并将本来要直接发送到Web 服务器上的http 请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这个代理服务器，普通代理服务器也被设计为在外网上搜寻多个不确定的服务器，而不是针对外网上多个客户机的请求访问某一个固定的服务器，因此普通的Web 代理服务器不支持外部对内部网络的访问请求。当一个代理服务器能够代理外部网络上的主机，访问内部网络时，这种代理服务的方式称为反向代理服务。此时代理服务器对外就表现为一个Web 服务器，外部网络就可以简单把它当作一个标准的Web 服务器而不需要特定的配置。不同之处在于，这个服务器没有保存任何网页的真实数据，所有的静态网页或者CGⅠ程序，都保存在内部的Web 服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破坏，这样就增强了Web 服务器的安全性。

2.2 现有常用代理手段基于等保三级的改进思路

现有的反向代理服务器如：Apache、Negix 在代理建立连接时，只能主动向防火墙内部的服务器发起握手，即连接方向是由外向内，如图1。

图1 方向代理服务器工作方式

这种访问方式不符合三级等保的相关要求。本文设计研究了一种反向被动代理服务器的实现方法，实现目标是改变代理服务连接的发起方向，由内部服务器向代理服务器主动发起连接，即连接方向是由内向外。

3 技术实现方法

3.1 技术方案的简介

一种反向被动代理服务器的实现方法，采用Http/Soap 协议，在代理服务器中利用阻塞同步队列机制，在应用层以不侵入业务系统为原则，改变代理服务连接的发起方向，以满足安全方面的相关要求。

3.2 本技术方案特点

相对于现有反向代理，本发明不仅在TCP 的握手方向上把反向代理改进成了被动握手方，而且还能根据每一个需要被代理的HTTP报文的请求头和请求体（如图2，请求头中的{方法}、{URL}，还有请求体中的“HTTP 数据体”），过滤该报文是否需要被代理。

图2 HTTP 报文格式

4 实现方式

4.1 网络系统结构图（图3）

图3 网络系统结构图

4.2 原理及实现过程

基于开源的消息中间件Tomcat 研发而成，原理是：拦截由终端发起的Http 请求，获取该请求包中的内容，按实际要求过滤，然后将经过过滤的请求包缓存到本地的同步队列中并阻塞（HTTP 是一种请求/响应式的协议，当从客户端向服务端发起一个request 请求后，如果服务端不向客户端反馈response 回复，则客户端将一直阻塞）当前请求线程，等待防火墙内的应用程序服务器主动向反向代理发起请求，从同步队列中获取该请求包，应用程序服务器获取并处理完该请求包后，反馈给反向代理，并由反向代理反馈给终端。

4.3 关键技术点

本文所阐述的方法，是根据项目实施过程中实际遇到的问题而得来的，它通过过滤、缓存由终端发起的消息，并由应用程序服务器主动发起握手而实现，起到了三级等保安全域内可以为外部安全域提供服务，或者外部安全域必要的业务信息能快速进入三级等保安全域内，而不通过外网主动直接请求内网服务，满足了三级安全等保要求。

5 应用场景

该方式可用于电子政务领域内重要的行政审批类系统与外部（互联网或其他安全域）系统进行数据交互。如运行在上海市政务外网作为三级等保的上海市机关事务管理局公务车辆管理系统在车辆申请调配流程方面。为了掌握各市级机关公务用车位置信息，及时以性价比最高的方式调配车辆满足相关市级单位日常政务活动要求。需较为实时从互联网获取车辆定位信息，车辆管理系统获取车辆GPS 定位信息后，方可掌握车辆是否在工作，运行范围是否在可信可控区域等，如此方能对公务车辆进行更有效的调配。该业务场景为三级等保安全域外部快速高频次向三级等保安全域传送信息。另外为了满足市级机关灵活的用车需求，市级机关用车人可在运行在互联网环境的车辆调度APP 上提出用车需求，通过本文所述方式能将三级等保安全域外的服务请求及时传送到三级等保安全域内的公务车辆管理系统。