扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
公安系统网络安全方案设计
公安系统系统网络安全的建设目标是坚持安全技术与规范管理相结合的原则,明晰安全管理系统的体系结构、设计一套适合公安系统实际需求的安全管理机制并推行,保障公安系统信息资产的完整性、机密性和可靠性,保证公安综合应用的安全
按照公安部和公安厅的要求,信息化应用支撑平台必须在健全安全管理制度的同时,同步建立起严密的安全技术措施。因此,在公安系统网络安全的方案设计中,我们针对信息化应用支撑平台所应具备的功能和所提供的服务,综合利用用户认证与访问控制(CA)、防火墙、入侵检测(IDS)、漏洞扫描、防病毒等技术,为平台建筑一个立体的、多层次的安全系统,以保障信息化应用支撑平台及数据的平台及数据的安全。
同时,除了采用上述技术措施之外,加强信息化应用平台安全管理,制定有关规章制度,对于确保平台的安全、可靠运行,也将起到十分有效的作用。
一、网络通讯安全
网络通讯的安全是整个网络安全模块的基础,也是市局网络建设中必备的基础设施。本部分实施的主要目标是实现网络通讯的可配置、可管理,并针对不同的应用服务实施不同的控制规则。
通讯控制的重点和中心就是制定合理的访问控制规则,并通过防火墙予以实施。
根据公安网络的特点,网络中的数据信息应用划分为不同的子系统(治安、刑侦等),这些子系统几乎自成体系,在公安日常的工作中分别扮演者不同的角色,因此对于不同的子系统需要制定不同的访问控制规则,限制或禁止非相关人员的信息查询和更改业务。
对于环状网络自身的特性,访问控制策略的制定就需要比普通的星型结构更严格。星型结构由于网络的层次划分比较明确,各个层级之间通过路由器相连,因此访问控制可以由各个层级的路由器上实现大部分。而对于环网结构,由于网络中各个节点的物理对等性,导致各个层级之间在系统内相互独立,相互之间不再有明显的归属或上下级关系,各个节点的逻辑控制规则也是对等的。所以如果在环状网络中实现合理的访问控制,就需要市局对各区县网络由访问和控制的权限。同时对于不同的网络应用数据流需要针对所有的分支节点制定访问控制规则。
根据整个公安网络中所有的网络节点都需要部署防火墙,特别是对于中心局等核心部门需要实施双机备份的HA保护架构。
防火墙的主要功能在于访问控制,在网络中的2-4层(OSI七层模型)。对于不同的网络层次,需要采用不同的技术手段进行保护。
◆数据链路层:负责建立点到点通信,主体是链路端节点,客体是数据帧,这个部位可采用点到点链路加密机保证通信的安全。
◆网络层:负责路由,主体是网络或主机,客体是数据包或分组数据包,可以采用包过滤型的防火墙技术以控制信息在内外网络边界的流动,或采用VPN的IP加密传输信道技术IPSec,在两个网络节点间建立透明的安全加密信道。
◆传输层:负责建立端到端的进程通信,主体是进程,客体是虚电路,可采用基于进程对进程的安全服务和加密传输信道,如安全套接字层SSL技术、端到端加密设备(端到端加密机、加密卡等)。
◆应用层:主体是用户及其应用,客体是文件、电子邮件、WEB页面等,可采用代理服务器型的防火墙技术和能提供各种安全服务的中间件技术,提供身份鉴别、访问控制、数据保密、数据完整性,采用文件加密存储等安全服务,以保证信息和应用的安全。
◆物理层:这部分主要是一些电路硬件、线路等,这部分安全需求主要是考虑防止信息泄露和防止通信中断。防止信息泄露的相关产品和措施如各种屏蔽措施(如公安网络)。防止通信中断主要采用网络备份措施,包括网络设备、参数的备份(包括异地备份网络中心),和建立迂回路由(中断了一个地方还可以绕道),使系统不会发生单点故障。
从上面介绍的网络层次来看,特别需要防火墙、VPN等产品,其中以防火墙最为基础。在系统单元部分所包含的“计算机网络安全”模块,在这里可以使用防火墙来解决部分的安全问题。同时,在“安全服务单元”部分,“访问控制”、“认证”的两个模块,曙光天罗防火墙中也有此类功能。
二、网络风险监控
网络中时刻存在的安全风险,虽然通讯安全部分的实施可以大大降低网络安全风险,但由于网络中的数据和应用的多样性导致网络中仍然可能存在安全风险。
在考虑一个系统的整体安全保障时,往往首先从单独方面看这个部分是否完全,然后在从总体看是否有缺损部分。显然,防火墙、VPN仅仅限于对网络安全的防护,对于其他部分的防护是有限的,不完全的。特别是对应用系统,防火墙和VPN上虽然也有认证和访问控制,但是它们不是针对应用数据的访问,而仅仅是对于设备本身的访问授权。
此外在网络中还充斥着大量的各种各样的攻击信息以及病毒、木马等安全隐患,这些都是防火墙难以处理的,需要另外的系统辅助。因此在网络中还需要入侵检测(IDS)、漏洞扫描、和防病毒产品。这些产品一起形成了一个对内部网络安全的一个监控体系。
对网络风险的监控可以发现网络中存在的可能的或者已经存在的风险,可以及时地把风险控制在合理的范围之内。一般来说,风险监控分为三个步骤:
◆发现:网络风险有些是比较容易发现的,如防病毒软件的病毒监控报告,但有些却隐藏的非常深,比如网络设备配置的不合理。这些风险的存在都影响着这个网络的安全。为此,正规的网络中往往建立风险管理和控制体系,这些体系的运行基础都是建立在风险发现和预测的基础之上。在发现阶段,我们一般使用漏洞扫描、防病毒等产品作为辅助。通过定期的对网络进行漏洞扫描可以发现平时无法引起我们注意的网络风险,比如操作系统的漏洞等。定期聘请专业的网络安全公司做网络安全分析是一种比单纯使用漏洞扫描工具更彻底的风险预警机制。
此外,在网络安全系统搭建中另外一个几乎必备的安全基础设施就是入侵检测系统。入侵检测系统就像当与人类社会的警察,他们时刻监控着网络中流动的数据,并根据特定的规则和方法进行判别分析,一旦发现存在的问题就会报警或通知其他设备(如防火墙)进行封堵。现在海信防火墙和IDS系统可以做到良好的联动,通过联动的实现,可以将外部可能产生的入侵消灭在初始阶段,对整个网络的安全性有较大的提升。
◆分析:发现漏洞或风险之后,不能仅仅关注表面上表现出来的问题,而应该从网络应用的实际情况出发,分析出深层问题。比如在网络中安全往往是一个集成控制的过程,其中个别部分可能存在一定的问题,但是总体上问题并不一定存在,还要去除分析工具存在的错报和漏报的问题。因此风险监控中需要有针对性地分析这一重要步骤。
◆确认和解决:完成了对企业网络进行风险评估的前两个阶段,那么最后一步将是确认漏洞扫描阶段所产生的结果。在评估的这一阶段所应用的测试方法和技术通常是同所探测到的潜在漏洞相关的。评估的这个最后阶段将会生成大量的测试结果。一旦通过测试确认和经验分析确认了风险的存在,就可以通过修改防火墙策略,配置或升级服务器等方法进行解决。如果实在存在困难还可以请专业的安全公司进行服务。
三、公安系统网络安全产品方案
公安系统网络安全方案的设计是以公安网全体网络用户为核心,以信息中心为网络安全管理机构,建立起安全评估、安全策略制定和安全策略推行动态结合的安全机制,建设完善安全管理制度配合相应的安全技术和基础设施的建设,最终建立完整的网络安全保障体系。
公安系统网络安全方案综合采用防火墙技术、入侵检测技术、漏洞扫描技术、防病毒技术、安全日志审计、身份认证与访问控制技术等安全产品共同构建信息化应用支撑平台的安全保障体系,实现各种安全技术手段的有机联动,与各项安全保障规章制度相结合,保护信息化应用支撑平台的安全。
公安局作为安全机构,各业务系统以及公共数据库的数据都是非常重要、敏感的,因此对于这些数据的访问应该建立起有效的访问控制与身份认证机制,做到数据访问的有效监管。在数据传输过程中还应该建立相应的加密机制,防止数据泄漏。
PKI(Public Key Infrastructure)密钥技术是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系,是国际上目前较为成熟的解决开放式互联网络信息安全需求的一套体系,而且还在发展之中。
认证中心(CA)是得到访问业务系统的干警和业务系统共同信任的,并向二者签发数字证书的,访问者与被访问者之间通过CA中心相互认证通过,而后相互使用数字证书进行安全通讯,保证数据传输前后的一致性、完整性。
防火墙是安全防护体系中最基本、也是最普遍采用的技术。防火墙通过采用针对网络层(IP)和传输层(TCP)制定访问控制策略,限制对被保护网络的访问,并且还可以与其他安全设施(如IDS)实现联动,提高安全防护的水平。XXX市公安局局域网通过北电的Acceler 8606路由器实现防火墙的保护功能。
入侵检测(IDS)是对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵,防范来自互联网的攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行的非法访问。
入侵检测系统按照检测目标环境可分为两类:网络型入侵检测系统(NIDS)和主机型入侵检测系统(HIDS),二者可独立应用也可协同作战。
网络型入侵检测系统(NIDS)主要用于实时监控网络关键路径的信息,如同大楼内无处不在的电子监控系统,它采用旁路方式全面侦听网上信息流,动态监视网络上流过的所有数据包,进行检测和实时分析,从而实时甚至提前发现非法或异常行为,并且执行报警、阻断等功能,对事件的响应提供在线帮助,以最快的方式阻止入侵事件的发生。并且能够全面的记录和管理日志,进行离线分析,对特殊事件提供智能判断和回放功能。
主机入侵检测系统(HIDS)是基于对主机的审计系统的信息进行监测,及时发现系统级用户的非法操作行为,可以用来实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器,电子邮件服务器等。
网络入侵检测系统由控制中心和探测引擎(网络、主机)两部分组成,其中控制中心将会处理来自处理来自探测引擎的数据,并能够及时反馈处理结果。
漏洞扫描可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果,从而帮助识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。
漏洞扫描系统应该具有网络漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等多项功能,全面帮助用户控制可能发生的安全事件,最大可能的消除安全隐患。
防病毒是近年来用户最关心的问题,病毒已经成为当前最普遍、最频繁出现的首要安全威胁,因此对病毒的防护对于公安应用系统这样的关键应用是至关重要的。考虑到网络系统中将会有非常多的主机,为了方便防病毒系统的部署,简化管理工作,可采用网络型防病毒软件,建立防病毒中心主机,并在各个服务器上部署防病毒客户端,在有条件的情况下,为了不影响业务的正常运行,可以考虑为防病毒中心主机与各服务器之间建立专用网络(100M以太网即可)。
曙光网络安全产品
公安系统网络安全体系主要由防火墙、入侵监测、VPN、身份认证系统、防病毒和安全审计等多种产品组成。其中核心是以网络防火墙产品为主,辅佐以入侵监测系统形成信息安全的硬件平台基础。
一、曙光天罗防火墙
曙光天罗防火墙基于专用安全操作系统,具有系统管理、安全策略、安全检测、日志管理、网络计费、虚拟专网等多项强大的安全功能,弥补了传统包过滤防火墙的很多不足,可谓防火墙中的精品。
◆产品优势
曙光天罗防火墙采用工业控制级硬件平台,相关的零部件全部达到工业级要求。确保物理层可靠性。软件系统使用专用的高性能的安全操作系统,专为安全应用设计开发,最大程度地确保了系统自身的安全性和高性能。软件系统内部全部使用零拷贝技术,充分保证了系统的性能,提高了可靠性。曙光天罗防火墙把曙光自主开发的精简操作系统、专用硬件以及先进的核心处理机制的完美结合,在达到高吞吐量、高带宽的安全检测,确保安全的同时,保证正常的网络应用。
曙光天罗防火墙的管理系统采用国际流行的“三权分立”方法,形成一个相互制约的稳定系统。此外,除本地串口管理方式外,管理员与防火墙之间的连接采用的128位的高强度加密通讯,黑客根本无法破解。
曙光天罗防火墙高性能的数据通讯模型,采用自适应的设计模型,过滤和通讯处理并发处理。可以支持多种工作模式,并且多种工作模式可以相互交叉,同时使用(混合模式)。此外,曙光天罗防火墙还能够支持众多的网络通讯协议,并对各种协议可以进行细粒度的过滤,如IPX、NetBEUI和大部分的P2P协议,可以充分保证正常的网络应用。
二、曙光GodEye-NIDS网络型入侵检测系统
曙光GodEye-HIDS主机入侵检测系统通过对所有网络数据包的实时抓取,并进行分析判断,从而发现各种网络入侵行为,达到在不影响正常业务的同时,保证网络的安全。
曙光GodEye-NIDS网络入侵检测系统是基于网络的入侵检测系统。通过侦听特定网段,能够实现实时监视可疑连接,发现非法访问的闯入等,防范对网络层至应用层的恶意攻击和误操作。并且提供针对典型应用,如Web服务器、SMTP和POP3服务器的攻击检测,总计能够发现多达3000种的攻击及可疑事件,并实现了和其他网络安全设备的联动。另一方面,对于报警事件和控制台的审计纪录,系统又提供了强大的统计分析工具,以利于管理员发现更为隐蔽的攻击行为。
曙光GodEye-NIDS网络入侵检测系统使用方便,连接到交换机的监听端口即可开始工作。使用IE浏览器即可方便地进行系统管理和日志查看,管理通讯使用https协议,整个系统的有着极高的安全性。GodEye-NIDS网络入侵检测系统不但从整体上提升入侵检测系统的性能水准,而且能够很大程度上满足用户实际需求,提高用户在信息网络系统的可管理性、好用性、高可用性,符合曙光一贯倡导的SUMA标准。
1.全面的特征检测、协议分析和内容分析
曙光GodEye-NIDS网络入侵检测系统可以进行全方位安全监控和审计;其次,曙光GodEye-NIDS网络入侵检测系统可以结合用户业务的具体特点,进行智能化的分析,辅助用户做出正确地决策。例如,曙光GodEye-NIDS网络入侵检测系统提供HTTP协议分析,可以对基于Web的应用进行监控与审计,也可以检查网页中携带的恶意程序;系统提供邮件监控功能,可以监控发件人、收件人、邮件正文和邮件附件,防止政府企业内部人员利用邮件泄密,防止外部人员利用邮件传播病毒和恶意程序。系统甚至可以对Web Mail进行监控。
2.完善的管理功能
曙光GodEye-NIDS网络入侵检测系统的控制台提供了对各种信息的完善的管理功能,如:
◆对系统用户和检测引擎的管理,包括添加、修改、删除等操作。
◆对审计纪录和报警纪录的管理,如浏览,删除,打印,导入,导出,绘制统计图等
◆对策略的管理,如策略复制,删除,编辑,下载更新,导入,导出等
◆对引擎的管理,如启动,停止,分发策略,删除策略,实时检测等
◆对系统状态的定制,指系统运行参数的调谐。
3.具备丰富的安全控制与管理手段.
曙光GodEye-NIDS网络入侵检测系统能够快速自动的检测、会话拦截和入侵报警。具有强大的IP地址与URL追踪功能,能够通过电子邮件关键词搜寻、拦截和日志来监视和阻断内部信息流出。监视和拦截未经授权的网络站点访问(有害信息、股票、黄色网站等等)。生成强大的监视、检测、拦截日志报告。
4.安全的数据传输及存储
控制台与检测引擎的通讯采用基于ssl的加密传输,使得攻击者无法偷窥控制台与检测引擎之间的通讯。控制台的本地数据库数据采用了加密方式存储,使得攻击者无法通过查看硬盘元数据的方式获得系统信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台