舍神剑——业务受理平台应用方案

图1 业务受理平台边界示意图

图2 业务受理平台边界安全解决方案

边界概述

业务受理平台一般是指大型企业或公共服务部门专门建立的网上业务处理平台，客户可以方便地通过网络办理专门业务，如网上银行、网上报税、移动警务通等。业务受理平台的边界一般位于业务受理中心与Internet或专网连接的接口处。

风险与需求分析

业务受理平台的边界(如图1所示)，一边是完全开放的Internet网络,另一边是大型企业或公共服务部门内部高度敏感的业务网络，边界所面临的风险与安全之间的矛盾可想而知。对于业务受理平台的边界安全而言，其在安全防护方面有以下几个迫切要求：

1.访问内容的合法性要求

对于业务受理平台来说，客户所访问的可能是非常敏感的业务系统，因此一定要保证只有合法身份的人，才能访问到那些允许其访问的敏感信息。这就要求所部署的安全措施必须能对所有访问信息的数据内容进行过滤和控制，并对一切访问提供事后的审计数据。

2.抵御各种攻击的要求

由于业务受理平台会在Internet上直接开放服务，而平台内部又包含了敏感的信息，因此一定会受到各种方式的攻击。这些攻击一旦得逞，所造成的损失可能不仅仅是服务的瘫痪，更有可能造成敏感信息被读取甚至被篡改或者丢失的危险。

3.控制病毒和蠕虫的传播

病毒和蠕虫是目前所有网络，特别是与Internet直接连接的网络最经常面临的、也最难以解决的问题。计算机病毒会直接破坏操作系统和数据文件，导致应用系统无法正常运行。蠕虫病毒更是令人防不胜防，蠕虫病毒一旦在某个子网爆发，它就会立即从一个子网节点迅速蔓延到其他子网区域。

通过对以上这些安全需求的分析和总结，我们提出以下有针对性的解决方案。

方案概述

对于业务受理平台来说，关键的业务处理服务器等重要设备能够直接被外网访问是十分危险的，因此，我们通过在业务受理平台前部署一个业务受理前置区的方式来降低风险性。具体的方案实现如图2：

1.业务受理前置区边界防护

在前置的业务受理区部署处理业务专用的应用服务器，并通过防火墙/UTM等设备进行防护。

通过部署联想网御防火墙/UTM设备，可以实现对业务受理前置区的访问控制和抗攻击防护，并通过UTM设备所具备的防病毒功能实现对病毒和蠕虫的防御。

通过部署联想网御防火墙，可以利用联想网御安全设备所独有的统一安全引擎，将状态检测、协议分析、深度过滤、内容检测等各个安全功能有机地整合为一体，能够充分提高防火墙的处理效率，并实现边界策略的统一配置。

在业务受理前置区与Internet连接处部署联想网御UTM产品，除了能实现前面防火墙所能实现的安全控制功能以外，还可以通过先进的ASIC加速芯片实现内容操作和查找等功能的加速。这不但提高了防火墙的处理能力，还实现了对病毒和内容过滤等功能的高速处理。

2.内部业务处理平台边界防护

在重要的业务处理服务平台与业务受理前置区的边界部署联想网御网络隔离与信息交换设备。通过网络隔离与信息交换设备可以实现以下防护：

(1)网络隔离与信息交换设备所特有的“2+1”安全硬件隔离体系，可实现对网络层和应用层各种攻击的100%拦截。

(2)在此基础上，还可以通过对应用层的深度过滤和检测功能，实现对所有传输信息的内容控制，并进行安全审计。

(3)基于无直接连接穿越的特性，网络隔离与信息交换设备能够对所有病毒和蠕虫的自动传播进行阻断，防范各种已知或未知病毒进入内部业务处理平台。

方案优势

1.高效率多安全系统防护

联想网御防火墙/UTM产品具有高效的USE(Uniform Security Engine，统一安全引擎)。它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台，构造统一架构，综合并优化各子系统，去除冗余，简化数据处理流程，实现统一的安全引擎处理机制。

统一安全引擎克服了传统上各个安全引擎各自为战的缺点，通过高效的引擎集成技术，将各个安全功能有机地整合为一体，让状态检测、协议分析机、深度过滤、内容检测等引擎协同工作。对于监测的数据包，一次性拆包即可完成2~7层的检测。同时采用联想的专利技术—基于摘要索引的内容处理加速算法，有效地提高了引擎的处理效率。

2.应用层的高度安全防护和过滤

联想网御安全隔离与信息交换系统通过“2+1”的高安全架构实现了高度安全防护。其专有隔离交换模块可实现基于硬件的安全隔离，Leadsec ASIC芯片将数据块转化为自有协议格式的数据包，交换芯片的开关控制系统使得两个网络之间没有任何物理连接，没有任何网络协议可以直接穿透，从而建立一个安全可靠的安全隔离硬件体系。

系统还在应用层实现了功能强大的过滤机制，通过对应用层内容的过滤和检测，进一步保障数据的安全。这些过滤和检测包括：关键字检测、黑白名单过滤、文件类型检验、用户名/口令校验、数据数字签名、身份认证、控件过滤、脚本过滤、URL过滤、邮件属性过滤等等。系统还可以根据用户的安全需要进行二次开发，对用户数据进行深度安全检测。

3.双重的病毒和蠕虫防护

前端的防火墙/UTM设备中所具备的病毒过滤模块，可以对已知的病毒和蠕虫进行过滤和查杀，保证应用服务的安全；另一方面，通过后端的网络隔离与信息交换系统设计上具备的隔离特性，防范可能出现的未知蠕虫或木马传播进入内部业务网络。

4.便于扩展和实现多业务系统外联

联想网御的防火墙/UTM设备都支持多端口扩展，可直接连接多个出口，并支持多链路绑定和多出口路由功能，方便用户对多个区域提供业务系统连接。

此外，联想网御的安全隔离与信息交换系统也具备灵活的多网隔离功能，可以同时接入多个外联网络，比如交警网络和多家银行网络同时互联，具有更大的网络适用性。

适用范围

业务受理方案适用于目前各种对外提供网络业务处理的大型企业和公共服务部门，包括公安、税务、工商、财政、银行、证券等重要行业和部门的各种业务受理平台。如公安系统的移动警务通无线处理平台、旅店治安接入平台、印章受理服务平台等，税务系统的税务申报受理平台，工商系统的工商外网受理平台和银行系统的网银平台等等。