曙光公安系统网络安全解决方案（一）

2.公安系统网络安全体系

网络安全保障体系建设是金盾工程建设的重要组成部分，信息化应用支撑平台支撑着公安系统各类应用系统，必须高度重视安全体系的建设。既要综合采用各种安全技术措施针对信息化应用支撑平台的各个层次提供严密、完备的安全技术措施，又要建立、健全与信息化应用支撑平台相配套的安全管理制度，并严格执行监督，充分保障信息化应用支撑平台的安全运行。

安全信息系统的安全建设包括三个方面--安全策略、安全管理和安全技术。

◆安全策略：包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信息安全的最核心问题，是整个信息安全建设的依据；
◆安全管理：主要是人员、组织和流程的管理，是实现信息安全的落实手段；
◆安全技术：包含工具、产品和服务等，是实现信息安全的有力保证。

根据上述三个方面，公安系统网络安全解决方案不仅仅包含各种安全产品和技术，而是要建立一个策略、技术和管理三位一体、目标一致的信息安全体系。按照金盾工程建设的目标，充分考虑各子系统数据交互中安全需求，建立统一的、覆盖整个系统的安全管理体系和安全技术体系，使整个系统置于整体安全的环境当中。

根据对公安信息系统安全项目不同方面的需求分析，公安信息系统需要建立一整套完善的安全体系。该体系包括公安信息系统建立安全管理体系和具体技术产品的技术体系。通过两个体系的建立，可以对公安信息系统信息网的所有信息资产进行安全的管理和安全的技术保护。同时通过多层次、多角度的安全服务和产品，覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。公安信息系统安全体系如下图所示：

 
根据对公安系统网络安全项目不同方面的需求分析，公安系统网络需要建立一整套完善的安全体系，以对公安信息系统信息网的所有信息资产进行安全的管理和安全的技术保护。同时通过多层次、多角度的安全服务和产品，覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。整个安全体系包括应用层安全、系统平台安全、网络平台安全以及物理和环境的安全等内容。

◆软件平台层安全

软件平台包括操作系统、数据库（数据仓库）、中间件等。按照可信计算机评价标准，Unix和WindowsNT的安全性能达到C2级，可以使用商业化的第三方权威认证机构CA签发的标准格式的身份证明，还能在可信任的CA签发的身份证书的基础上确认外部用户的身份。

◆应用系统层安全需求与措施

应用系统对用户必须进行身份认证、资格审查和角色控制，防止假冒、欺骗和抵赖。面向同一个用户的不同应用系统还需要有相同的安全权限审查方法。对于系统所处理的数据，需要保证正确生成、完整保存和安全传输。

应用系统的安全应当建立在基于公开密钥基础设施PKI平台上，特别是安全保卫子系统，应该统一规划第三方CA认证，签发数字证书，才能使数据的生成、存储和传输具有安全保障。

◆网络平台的安全

参照国内外的安全标准，网络信息系统安全的主要考核指标有身份鉴别、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径、可信恢复等。这些指标涵盖了不同级别的安全要求。

◆异地灾难备份中心

为了保持业务的连续性，保证业务系统不间断运行，解决各种导致计算机系统失效的意外情况发生时，确保数据处理中心由于灾难等原因无法正常工作时，关键应用能保持继续运行，在临沂公安三级网改造方案中，设计了在异地建立灾难备份中心，确保数据安全和关键业务的不间断运行。

◆安全管理

安全保障的落实归根到底靠管理。安全管理主要分为两个方面：行政管理和技术管理。行政管理主要包括安全管理机构、制度、人员、责任和监督机制等。技术管理主要包括工程建设和网络运行的各环节上的安全管理，如开发、试用、验收和推广阶段的安全管理，设备网络特别是保密设备和密钥的安全管理等。

按照公安系统信息安全体系总体框架，上述的每一部分内容均包含需求分析、风险评估、安全策略、方案设计、方案实施、运行管理、安全审计的步骤。以上几个方面的实施步骤，按照生命周期的次序逐步展开，是一个循环、重复、螺旋式上升的过程。