曙光公安系统网络安全解决方案（二）

三、公安系统网络安全产品方案

公安系统网络安全方案的设计是以公安网全体网络用户为核心，以信息中心为网络安全管理机构，建立起安全评估、安全策略制定和安全策略推行动态结合的安全机制，建设完善安全管理制度配合相应的安全技术和基础设施的建设，最终建立完整的网络安全保障体系。

公安系统网络安全方案综合采用防火墙技术、入侵检测技术、漏洞扫描技术、防病毒技术、安全日志审计、身份认证与访问控制技术等安全产品共同构建信息化应用支撑平台的安全保障体系，实现各种安全技术手段的有机联动，与各项安全保障规章制度相结合，保护信息化应用支撑平台的安全。

公安局作为安全机构，各业务系统以及公共数据库的数据都是非常重要、敏感的，因此对于这些数据的访问应该建立起有效的访问控制与身份认证机制，做到数据访问的有效监管。在数据传输过程中还应该建立相应的加密机制，防止数据泄漏。

PKI（Public Key Infrastructure）密钥技术是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系，是国际上目前较为成熟的解决开放式互联网络信息安全需求的一套体系，而且还在发展之中。

认证中心（CA）是得到访问业务系统的干警和业务系统共同信任的，并向二者签发数字证书的，访问者与被访问者之间通过CA中心相互认证通过，而后相互使用数字证书进行安全通讯，保证数据传输前后的一致性、完整性。

防火墙是安全防护体系中最基本、也是最普遍采用的技术。防火墙通过采用针对网络层（IP）和传输层（TCP）制定访问控制策略，限制对被保护网络的访问，并且还可以与其他安全设施（如IDS）实现联动，提高安全防护的水平。XXX市公安局局域网通过北电的Acceler 8606路由器实现防火墙的保护功能。

入侵检测（IDS）是对发生在计算机系统或者网络上的事件进行监视、分析是否出现入侵，防范来自互联网的攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行的非法访问。

入侵检测系统按照检测目标环境可分为两类：网络型入侵检测系统（NIDS）和主机型入侵检测系统（HIDS），二者可独立应用也可协同作战。

网络型入侵检测系统（NIDS）主要用于实时监控网络关键路径的信息，如同大楼内无处不在的电子监控系统，它采用旁路方式全面侦听网上信息流，动态监视网络上流过的所有数据包，进行检测和实时分析，从而实时甚至提前发现非法或异常行为，并且执行报警、阻断等功能，对事件的响应提供在线帮助，以最快的方式阻止入侵事件的发生。并且能够全面的记录和管理日志，进行离线分析，对特殊事件提供智能判断和回放功能。

主机入侵检测系统（HIDS）是基于对主机的审计系统的信息进行监测，及时发现系统级用户的非法操作行为，可以用来实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视，如Web服务器，电子邮件服务器等。

网络入侵检测系统由控制中心和探测引擎（网络、主机）两部分组成，其中控制中心将会处理来自处理来自探测引擎的数据，并能够及时反馈处理结果。

漏洞扫描可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果，从而帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。

漏洞扫描系统应该具有网络漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等多项功能，全面帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。

防病毒是近年来用户最关心的问题，病毒已经成为当前最普遍、最频繁出现的首要安全威胁，因此对病毒的防护对于公安应用系统这样的关键应用是至关重要的。考虑到网络系统中将会有非常多的主机，为了方便防病毒系统的部署，简化管理工作，可采用网络型防病毒软件，建立防病毒中心主机，并在各个服务器上部署防病毒客户端，在有条件的情况下，为了不影响业务的正常运行，可以考虑为防病毒中心主机与各服务器之间建立专用网络（100M以太网即可）。