曙光公安系统网络安全解决方案（二）

公安系统网络安全方案设计

公安系统系统网络安全的建设目标是坚持安全技术与规范管理相结合的原则，明晰安全管理系统的体系结构、设计一套适合公安系统实际需求的安全管理机制并推行，保障公安系统信息资产的完整性、机密性和可靠性，保证公安综合应用的安全

按照公安部和公安厅的要求，信息化应用支撑平台必须在健全安全管理制度的同时，同步建立起严密的安全技术措施。因此，在公安系统网络安全的方案设计中，我们针对信息化应用支撑平台所应具备的功能和所提供的服务，综合利用用户认证与访问控制（CA）、防火墙、入侵检测（IDS）、漏洞扫描、防病毒等技术，为平台建筑一个立体的、多层次的安全系统，以保障信息化应用支撑平台及数据的平台及数据的安全。

同时，除了采用上述技术措施之外，加强信息化应用平台安全管理，制定有关规章制度，对于确保平台的安全、可靠运行，也将起到十分有效的作用。

一、网络通讯安全

网络通讯的安全是整个网络安全模块的基础，也是市局网络建设中必备的基础设施。本部分实施的主要目标是实现网络通讯的可配置、可管理，并针对不同的应用服务实施不同的控制规则。

通讯控制的重点和中心就是制定合理的访问控制规则，并通过防火墙予以实施。

根据公安网络的特点，网络中的数据信息应用划分为不同的子系统（治安、刑侦等），这些子系统几乎自成体系，在公安日常的工作中分别扮演者不同的角色，因此对于不同的子系统需要制定不同的访问控制规则，限制或禁止非相关人员的信息查询和更改业务。

对于环状网络自身的特性，访问控制策略的制定就需要比普通的星型结构更严格。星型结构由于网络的层次划分比较明确，各个层级之间通过路由器相连，因此访问控制可以由各个层级的路由器上实现大部分。而对于环网结构，由于网络中各个节点的物理对等性，导致各个层级之间在系统内相互独立，相互之间不再有明显的归属或上下级关系，各个节点的逻辑控制规则也是对等的。所以如果在环状网络中实现合理的访问控制，就需要市局对各区县网络由访问和控制的权限。同时对于不同的网络应用数据流需要针对所有的分支节点制定访问控制规则。

根据整个公安网络中所有的网络节点都需要部署防火墙，特别是对于中心局等核心部门需要实施双机备份的HA保护架构。

防火墙的主要功能在于访问控制，在网络中的2-4层（OSI七层模型）。对于不同的网络层次，需要采用不同的技术手段进行保护。

◆数据链路层：负责建立点到点通信，主体是链路端节点，客体是数据帧，这个部位可采用点到点链路加密机保证通信的安全。

◆网络层：负责路由，主体是网络或主机，客体是数据包或分组数据包，可以采用包过滤型的防火墙技术以控制信息在内外网络边界的流动，或采用VPN的IP加密传输信道技术IPSec，在两个网络节点间建立透明的安全加密信道。

◆传输层：负责建立端到端的进程通信，主体是进程，客体是虚电路，可采用基于进程对进程的安全服务和加密传输信道，如安全套接字层SSL技术、端到端加密设备（端到端加密机、加密卡等）。

◆应用层：主体是用户及其应用，客体是文件、电子邮件、WEB页面等，可采用代理服务器型的防火墙技术和能提供各种安全服务的中间件技术，提供身份鉴别、访问控制、数据保密、数据完整性，采用文件加密存储等安全服务，以保证信息和应用的安全。

◆物理层：这部分主要是一些电路硬件、线路等，这部分安全需求主要是考虑防止信息泄露和防止通信中断。防止信息泄露的相关产品和措施如各种屏蔽措施（如公安网络）。防止通信中断主要采用网络备份措施，包括网络设备、参数的备份（包括异地备份网络中心），和建立迂回路由（中断了一个地方还可以绕道），使系统不会发生单点故障。

从上面介绍的网络层次来看，特别需要防火墙、VPN等产品，其中以防火墙最为基础。在系统单元部分所包含的“计算机网络安全”模块，在这里可以使用防火墙来解决部分的安全问题。同时，在“安全服务单元”部分，“访问控制”、“认证”的两个模块，曙光天罗防火墙中也有此类功能。

二、网络风险监控

网络中时刻存在的安全风险，虽然通讯安全部分的实施可以大大降低网络安全风险，但由于网络中的数据和应用的多样性导致网络中仍然可能存在安全风险。

在考虑一个系统的整体安全保障时，往往首先从单独方面看这个部分是否完全，然后在从总体看是否有缺损部分。显然，防火墙、VPN仅仅限于对网络安全的防护，对于其他部分的防护是有限的，不完全的。特别是对应用系统，防火墙和VPN上虽然也有认证和访问控制，但是它们不是针对应用数据的访问，而仅仅是对于设备本身的访问授权。

此外在网络中还充斥着大量的各种各样的攻击信息以及病毒、木马等安全隐患，这些都是防火墙难以处理的，需要另外的系统辅助。因此在网络中还需要入侵检测（IDS）、漏洞扫描、和防病毒产品。这些产品一起形成了一个对内部网络安全的一个监控体系。

对网络风险的监控可以发现网络中存在的可能的或者已经存在的风险，可以及时地把风险控制在合理的范围之内。一般来说，风险监控分为三个步骤：

◆发现：网络风险有些是比较容易发现的，如防病毒软件的病毒监控报告，但有些却隐藏的非常深，比如网络设备配置的不合理。这些风险的存在都影响着这个网络的安全。为此，正规的网络中往往建立风险管理和控制体系，这些体系的运行基础都是建立在风险发现和预测的基础之上。在发现阶段，我们一般使用漏洞扫描、防病毒等产品作为辅助。通过定期的对网络进行漏洞扫描可以发现平时无法引起我们注意的网络风险，比如操作系统的漏洞等。定期聘请专业的网络安全公司做网络安全分析是一种比单纯使用漏洞扫描工具更彻底的风险预警机制。

此外，在网络安全系统搭建中另外一个几乎必备的安全基础设施就是入侵检测系统。入侵检测系统就像当与人类社会的警察，他们时刻监控着网络中流动的数据，并根据特定的规则和方法进行判别分析，一旦发现存在的问题就会报警或通知其他设备（如防火墙）进行封堵。现在海信防火墙和IDS系统可以做到良好的联动，通过联动的实现，可以将外部可能产生的入侵消灭在初始阶段，对整个网络的安全性有较大的提升。

◆分析：发现漏洞或风险之后，不能仅仅关注表面上表现出来的问题，而应该从网络应用的实际情况出发，分析出深层问题。比如在网络中安全往往是一个集成控制的过程，其中个别部分可能存在一定的问题，但是总体上问题并不一定存在，还要去除分析工具存在的错报和漏报的问题。因此风险监控中需要有针对性地分析这一重要步骤。

◆确认和解决：完成了对企业网络进行风险评估的前两个阶段，那么最后一步将是确认漏洞扫描阶段所产生的结果。在评估的这一阶段所应用的测试方法和技术通常是同所探测到的潜在漏洞相关的。评估的这个最后阶段将会生成大量的测试结果。一旦通过测试确认和经验分析确认了风险的存在，就可以通过修改防火墙策略，配置或升级服务器等方法进行解决。如果实在存在困难还可以请专业的安全公司进行服务。