基于强隔离访问控制的数据安全保护技术研究

王锐 李坤 李艳斐 李佳文 赵佳轩 侯世宇

1.公安部第一研究所 2.北京中盾安信科技发展有限公司

引言

在当今信息化社会中，数据安全问题日益成为全球范围内的重要议题。随着数字化技术的飞速发展，大量数据以电子形式被生成、传输和存储，涵盖了个人、企业和政府等各个层面的重要信息。这些数据包含着个人身份信息、财务数据、知识产权、医疗记录等敏感内容，其安全性和完整性对于个人隐私、企业竞争力和国家安全至关重要。

随着信息技术的快速发展，数据的重要性变得越来越显著，无论是企业、政府机构还是个人，都离不开数据的存储和处理。然而，数据的增加和共享也带来了一系列安全威胁，例如：（1）未经授权访问：黑客、内部员工或其他恶意主体可能试图获取未经授权的访问权限，窃取敏感数据或破坏数据完整性；（2）数据泄露：由于错误配置、人为失误或恶意行为，敏感数据可能意外地泄露给不应该访问这些数据的人；（3）数据篡改：攻击者可能通过篡改数据来破坏数据的完整性，导致错误的决策和操作。

访问控制技术是信息安全领域的重要组成部分，其主要目标是确保只有经过授权的用户或实体能够访问特定资源或系统，从而保护数据和系统免受未经授权的访问、修改或损坏。访问控制技术在当前信息化社会中扮演着至关重要的角色。基于强隔离访问控制的数据安全保护技术的研究旨在利用强隔离和访问控制技术为企业重要业务系统数据、生产数据提供更高级别的数据安全保护，保障数据的机密性、完整性和可用性。因此，“基于强隔离访问控制的数据安全保护技术”是为了应对日益严峻的数据安全挑战而发展的一种研究方向，也是《关键信息基础设施安全保护要求》（GB/T 39204-2022）中实现数据安全防护、建立数据处理活动全流程保护的重要部分，它着眼于提供更严密的数据保护手段，以确保数据的安全和隐私不受损害。

一、国内外相关研究情况

（一）国外现状

全球各国在网络强隔离技术的研究现状表现出了广泛和多样的特点。由于网络安全问题的普遍性和日益严峻的威胁，许多国家都加大了对网络强隔离技术的研究和应用投入：（1）美国作为网络安全领域的领先国家之一，在网络隔离技术的研究和实践方面表现出了积极的态势。美国军方、政府部门和企业广泛采用网络强隔离技术，以保护关键设施和敏感信息的安全。（2）以色列在网络安全领域也处于领先地位，特别是在军事和政府部门的应用方面。以色列对网络强隔离技术的研究和发展非常重视，通过强隔离技术保护国家安全和敏感信息。（3）欧洲各国对网络隔离技术的研究投入也不断增加。欧洲联盟出台了相关的网络安全法规和合规要求，推动各国在网络隔离技术方面加强合作和研究[1,2]。

（二）国内现状

数据安全保障体系中非常重要的一道防线，实行跨网物理强隔离是迄今为止国外和国内解决不同网域彼此隔离，避免信息泄露最有效、最安全的方法。在我国，政府机关、企事业单位、关基设施都有对网络强隔离的研究，并且进行了实际应用，如电子政务、广电、电力、公安、医疗、银行等。在这些行业中，网络强隔离技术的应用已经得到了广泛的认可和推广。例如，通过建立数据安全隔离网关将政务内网和政务外网之间物理隔离，可以有效地保护政府机构的敏感信息和业务系统不受到恶意攻击和非法访问，保障内部信息不泄露、外部攻击进不来的效果，可以确保重要信息得到保护[3,4]。

因此，实行跨网物理强隔离是保障信息安全的重要手段之一，对于政府、企事业单位以及个人用户都具有重要的意义。未来，随着技术的不断发展和应用场景的不断扩展，需要不断完善和优化网络隔离技术，以更好地应对日益复杂的网络安全挑战。

二、基于强隔离访问控制的数据安全保护技术

本论文研究设计步骤拟采用软件工程的项目开发阶段模型，结合通用的应用开发框架实现强隔离访问控制的数据安全保护系统，系统总体设计原则符合六性设计原则，主要针对不同安全域网络之间对数据安全的要求不同，通过在不可信网络和可信网络之间构建双单向传输通道，利用双单向隔离一体化技术、可信身份鉴别技术、访问控制限制技术、报文重组和拟态防御技术、HTTP报文格式检查设计技术，过滤进网请求和出网数据，保证数据安全流转、共享，保护数据的安全和隐私不受损害的技术研究，系统内部分为四个节点，分别是A、B、C、D，其中A节点为输入，B节点为输出，C节点为管理，D节点为审计；每个节点均通过光纤单向传输的方式[5,6]进行数据安全传输。

（一）双单向隔离一体化技术

双单向隔离一体化技术是实现强隔离访问控制的底层技术之一，在物理层上利用光的单向性，构建数据访问单向导入和单向导出通道，数据访问时经过的单向导入通道，数据响应返回时经过单向导出通道，从物理层构建严格强隔离的物理状态。以下是双单向隔离一体化技术实现方法。

借鉴网络隔离设备单向光闸、网闸设备的技术原理，利用四个相互独立的物理内部节点，节点之间采用物理单向隔离器件进行连接，四个安全部件间每个部件只能与其相邻的安全部件单向连通，对于每个安全部件，发送和接收分别连接到不同的安全部件。这种设计从物理上使各安全部件与其它的安全部件间无法建立TCP连接，无法完成TCP的握手，从物理层面打断通用协议的传输，达到强隔离的物理状态[7]。

设计内部节点A节点是可信网络的业务服务安全代理端，接收不可信网络的的用户的HTTP请求连接，并将原始通信数据中的TCP/IP协议部分进行剥离，将应用层数据重组为静态数据，并用私有协议对数据进行封装，通过使用单向光纤传输部件，单向的传输分片数据进入内部单元；内部单元解密并剥离私有协议，重组应用层数据实现数据的单向传输。双单向隔离一体化技术结构图如图1所示。

（二）可信身份鉴别技术

可信身份鉴别技术是基于零信任理念，研究利用零信任SDP技术实现对请求用户的访问控制，并持续对请求者进行动态评估，对于需要重点保护的服务进行隐藏处理。初始对所有连接都不信任，进行阻断，只有通过接收到特定网络访问包后开启认证机制，认证通过后，在特定时间段内对特定IP访问进行放行。以下是可信身份鉴别技术的实现方法。

设计内部节点D是零信任SDP系统服务，利用零信任SDP技术实现身份的访问控制，在不可信网络用户域和内部节点A之间建立了一条加密的、按需连接的路径，用户首先要通过身份验证，以确认其身份后再为用户或设备建立响应的访问连接，使用户或者设备可以连接到节点A。根据用户的身份和设备的状态，动态地分配用户的访问权限。

不可信网络用户接入访问时，采用零信任SDP技术，对访问用户进行可信认证，通过Udp单包认证方式验证客户端请求的真实性和合法性。该系统模块可以实现授权用户对预定服务的隐身访问；还可以有效防御来自外网和内网的非法访问、攻击，可以将需要保护的服务进行隐藏，使攻击者在网络空间中看不到攻击目标，无法对其进行攻击，使用代理或设备验证指定访问者的身份、上下文和策略合规性，以保护服务资源，显著缩小攻击面。

（三）访问控制限制技术

访问控制限制技术重点研究访问控制的ACL策略、请求限制策略、HTTP报文格式检查、文本字符可视化字模过滤等技术，从策略、数据格式和内容检查角度上对数据流传输和访问进行安全保护。以下是访问控制限制技术的实现方法。

首先，梳理改善前流程图，确定改善重点。明确卒中患者入院便应进行吞咽功能评估，然后根据吞咽障碍情况，在防止肺部感染的同时，加强患者营养。

设计访问控制ACL策略和请求限制策略，根据请求的IP地址、请求时间、次数等对请求端进行限制，加强请求的安全性；在防止过载请求方面，基于统计学与机器学习技术的API接口熔断与降级技术，动态限制服务器API接口被访问。

HTTP数据通过双单向隔离一体机系统的代理API接口在传入传出时对 HTTP 报文的格式进行检查，以确保其正确性和一致性，针对非结构化的文本数据，进行数据内容检查，可阻断非法数据传输，保证传输的安全性。

设计一种文本字符可视化字模过滤的技术，首先，选取一种字体库，该字体库包含其可显示在计算机屏幕上的点阵图或矢量图。然后，将待处理的文本文件转换成UTF16字符编格式。取每一个字符查找该字符在字体库中的点阵图。如果该字符没有点阵图则查找其矢量图并转换成点阵图。判断点阵图的横向尺寸与纵向尺寸均需大于1。如果条件不成立，则表明该点阵图无法显示在计算机屏幕上，该字符应被视为二进制字符。按防止数据夹带的处理原则，过滤掉该字符。最后，将所有通过的可视字符组合成文本文件，通过UTF16字符编码转换为原来的字符编码。该文本文件即为通过了可视化检查，过滤掉了二进制夹带的文本。

（四）报文重组和拟态防御

报文重组和拟态防御技术是基于动态数据安全防护技术，重点研究数据检查、报文重组、私有协议保护和拟态防御保护机制，确保数据流的安全传输。以下是报文重组和拟态防御技术的实现方法。

设计数据检查、报文重组和拟态防御机制，为了数据的安全传输，双单向隔离一体机各安全部件间可物理单向光纤连接，从物理层面保障了各安全部件不能采用TCP等双向连接的协议通信。采用私有协议对原始的应用数据进行时间封装，并在通信时采用加密算法保证不会被流量侦听设备窃取。同时，对传输成功的数据再次进行Hash算法的完整性计算。如果传输过程中有数据错乱，可以通过另一种单向线路通知发送者重发，保证数据的完整性、准确性。

在自定义的私有协议中，不再利用任何标准的协议，包括以太网协议及IP协议，从链路层即自定义传输协议。不仅节约了以太层、IP层、UDP层等包头占用的带宽，同时由于私有协议不公开使传输数据更加安全。安全攻击人员无法使用Wireshark等包分析软件对截获的私有协议进行有效分析。

通过建立两个安全域物理强隔离网口和唯一物理访问通道，利用严格的访问控制策略、零信任SDP、数据检查等技术，达到有效保护敏感数据免受未经授权的访问、泄露或篡改等数据安全防护效果。

针对传统单向光闸和网闸在代理HTTP功能时，在抵御攻击中的信息收集阶段缺少安全防护手段的问题，提出一种拟态防卸网络隔离方法，向攻击者返回随机的、仿真的、拟态WEB服务器信息；通过拟态仿真技术，迷惑攻击者，使攻击者做出错误的判断，使用无效的攻击手段造成攻击失败，以达到保护真实WEB服务器的目的。

（五）HTTP报文格式检查设计

HTTP报文格式检查技术是基于应用层数据内容防护技术，重点研究应用层基于HTTP协议数据在传输时，如何对JSON、XML等格式化数据进行安全检查，确保数据结构和语法正确。以下是HTTP报文格式检查技术的实现方法。

对于XML Schema语言，验证XML文档是否符合预期的结构和语法规则。在使用XML Schema进行格式检查时，定义一个XML Schema文档，该文档描述了XML文档的结构和语法规则，然后使用XML Schema验证器对XML文档进行验证。如果XML文档不符合XML Schema的要求，则验证器将返回错误消息，并指出文档中的错误。

对于JSON Schema语言，验证JSON数据是否符合预期的结构和语法规则。在使用JSON Schema进行格式检查时，定义一个JSON Schema文档，该文档描述了JSON数据的结构和语法规则，然后使用JSON Schema验证器对JSON数据进行验证。如果JSON数据不符合JSON Schema的要求，则验证器将返回错误消息，并指出文档中的错误。

三、实际应用

基于强隔离的网络访问控制数据保护技术通过将网络和系统组件之间建立高度隔离的措施，以确保安全性和保护敏感数据或资源不受未经授权的访问和攻击。这种技术在众多场景中都特别适用，以下是一些适用的场景分析：

（1）关键基础设施信息系统，如电力、水利、交通等系统，这些系统的网络和数据安全性至关重要，任何未经授权的访问或攻击，数据盗取、泄露风险出现都可能对公众安全和国家稳定造成严重影响。

（2）政府和军事机构通常持有敏感和机密信息，需要确保信息不被外部威胁或恶意行为泄露。强隔离网络技术可帮助防止内部系统受到外部威胁的渗透，并确保不同级别的敏感信息得到适当保护。

（3）金融机构处理大量敏感数据和资金，成为攻击目标。通过强隔离的网络访问控制技术，可以确保金融交易和客户信息安全，同时减少网络欺诈和数据泄露的风险。

（4）医疗机构存储大量敏感的个人健康信息，如病历和医疗记录。强隔离的网络访问控制技术可以防止患者数据遭到未授权访问或勒索软件的攻击。

（5）对于研发高度机密的项目，如国防、高级科技、创新研究等，强隔离的网络访问控制技术有助于防止知识产权盗窃和竞争对手的窃取行为。

四、结语

本文研究内容为基于强隔离访问控制的数据安全保护技术研究。通过对该技术研究，设计物理上强隔离和严格单向的数据流传输通道，利用可信身份鉴别，对数据请求者身份进行严格访问控制，利用访问控制限制、报文重组、数据检查等技术，保障数据传输内容安全，充分过滤进网请求和出网数据，保证数据安全流转、共享。本课题的研究致力于从物理层、网络层、应用层、数据层等多维度提供一种更严密的数据保护手段，以确保数据的安全和隐私不受损害。