新一代公安信息网安全方案设计方案

安全方案设计新一代公安信息网安全方案设计1新一代公安信息网安全建设目标 42新一代公安信息网安全建设原则 43新一代公安信息网安全建设依据 54新一代公安信息网安全方案设计 54.1安全整体架构 54.2安全建设拓扑 64.3安全建设内容与目标 65用户侧安全方案 75.1用户侧安全建设思路 7.1.1PKI升级改造 75.1.2用户安全准入 75.1.3终端安全准入 84PKI与终端安全准入对接 115.2用户侧安全建设拓扑 125.3用户侧安全建设内容 13.1PKI升级改造 135.3.2安全防护 135.3.3安全检测 145.3.4安全管理 156跨网安全访问与交换平台安全方案 166.1跨网安全访问与交换平台安全建设思路 166.2跨网安全访问与交换平台安全建设拓扑 176.3跨网安全访问与交换平台安全建设内容 176.3.1用户访问业务安全防护 176.3.2数据交换业务安全防护 216.3.3安全管理区安全防护 267数据中心安全方案 287.1数据中心安全建设思路 287.2数据中心安全建设拓扑 287.3数据中心安全建设内容 28防火墙 28日志审计 297.3.3运维审计 297.3.4数据库审计 30蜜罐系统 307.3.6漏洞扫描 308应用安全 318.1应用访问安全 318.2应用开发安全 328.3应用攻击防护 348.3.1应用入侵防御 348.3.2应用脆弱性防护 358.4应用安全审计 359数据安全 359.1数据安全体系 369.2数据分级分类 369.3数据访问控制 379.4数据采集安全 389.5数据传输安全 399.6数据存储安全 399.7数据销毁安全 399.8数据安全审计 4010云平台安全 4210.1平台服务安全 42云平台安全基础设施服务安全 4210.2.1安全域划分 4210.2.2安全云设计 4310.2.3核心能力 4411安全运行与管理 48安全架构 48建设目标 48安全态势分析能力 4911.3.1资产态势 4911.3.2运行态势 5011.3.3预警态势 5011.3.4脆弱性态势 5111.3.5数据安全态势 5211.3.6安全事件态势 53安全方案设计41新一代公安信息网安全建设目标2新一代公安信息网安全建设原则(1)整体统筹原则(2)实用易用原则(3)平稳过渡原则自身实际情况，分步建设实施。(4)安全可控原则和数据安全在可控范围之内等。(5)智能先进原则安全方案设计53新一代公安信息网安全建设依据(1)《“一网双域”公安信息网网络架构总体设计(征求意见稿)》(2)《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)(3)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)(4)《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》(GA/T1390.2-2017)(5)《信息安全技术云计算服务安全指南》(GBT31167-2014)(6)《信息安全技术云计算服务安全能力要求》(GBT31168-2014)(7)《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)(8)《信息系统等级保护安全设计技术要求》(GB/T24856－2009)术信息系统安全等级保护实施指南》全等级保护测评准则》(11)《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)(12)《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)(13)《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)(14)《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002)(15)《计算机信息系统安全等级保护管理要求》(GA/T391-2002)4新一代公安信息网安全方案设计4.1安全整体架构可安全方案设计64.2安全建设拓扑4.3安全建设内容与目标防护、跨网安全访问与交换平台边界防护、数据侧安全防护及安全运行与管理建设。安全方案设计75用户侧安全方案5.1用户侧安全建设思路5.1.1PKI升级改造全国公安身份认证与访问控制管理系统(PKI/PMI系统)作为公安信息化中重要的安全按照《全国公安身份认证与访问控制管理系统国产密码算法替换建设任务书》(公科信5.1.2用户安全准入安全方案设计8Y5.1.3终端安全准入类型设备：哑终端设备需要通过白名单+流量基线的方式进行入网管理，传统的够及时告警和处置。力。端安全方案设计9证两种方式。根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)、《公安信存共享资源检查安全方案设计终端安全准入系统遵循终端注册->身份认证->安全检查->安全隔离/允许入网的控制流不安全的终端接入网络而造成的未知风险。根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)、《公安信页面。P况。安全方案设计异常情况发现、分析和报警。1.3.10终端非法外联的事件；5.1.4PKI与终端安全准入对接赖性。。安全方案设计特性。。使用摘要(HASH)算法，实现终端与设备之间传输数据的完整性保障。与服务端实现通信加密传输，并实现强身份认证。5.2用户侧安全建设拓扑安全方案设计5.3用户侧安全建设内容5.3.1PKI升级改造公安国密算法数字证书的分阶段应用。。5.3.2安全防护明。安全方案设计全准入能力。5.3.3安全检测通过配置一台高性能的TAP复制分流器对重要的网络节点镜像的流量进行采集和复制，把通过五元组过滤规则以及特征码过滤规则对某项业务流量或协议进行数据包的过滤和行检测、对内容进行深度的检测。安全方案设计的具体内容。通过部署沙箱检测系统为警务应用提供降低未知威胁和针对性攻击风险所需的全网范云围环境中，沙箱检测系统可为警务应用提供检测高未知威胁和针对性攻击所需的可见性和情提供开放且可扩展的自定义动态沙盒分析，在第一时间保护公安网免于APT与针对性攻击需求。5.3.4安全管理安全方案设计漏洞扫描设备能够通过综合运用多种手段(主机存活探测、智能端口检测等)全面、快端为进一步脆弱性扫描做好准备。行为，及时发现并阻断该行为。6跨网安全访问与交换平台安全方案6.1跨网安全访问与交换平台安全建设思路安全方案设计6.2跨网安全访问与交换平台安全建设拓扑6.3跨网安全访问与交换平台安全建设内容6.3.1用户访问业务安全防护。安全方案设计地；.1安全防护访问通道防火墙用于保证业务访问网络通道仅允许用户访问流量的进入和业务系统的防火墙采用冗余部署，保证网络可靠性。包进行访问控制,可实现基于策略的HTTP、FTP、P部终端获得。安全方案设计.2安全检测TAP通过五元组过滤规则以及特征码过滤规则对某项业务流量或协议进行数据包的过滤和将IPS旁路部署在跨网安全访问与交换平台核心交换机，可以有效的对节点流量进行页篡改、网页挂马等安全事件的发生。在公安信息网跨网安全访问与交换平台核心交换机旁路部署流量分析系统进行流量的够准确快速地检测各种攻击行为。的具体内容。通过部署沙箱检测系统为警务应用提供降低未知威胁和针对性攻击风险所需的全网范这安全方案设计围环境中，沙箱检测系统可为警务应用提供检测高未知威胁和针对性攻击所需的可见性和情提供开放且可扩展的自定义动态沙盒分析，在第一时间保护公安网免于APT与针对性攻击需求。.3用户服务云终端通过桌面接入网关代理访问对应的桌面，同桌面接入网关之间采用SSL加密的虚拟的重新定向；用户通过在终端上输入域用户名和密码访问对应桌面。PU安全方案设计和.4API访问控制网的应用和数据对终端不可见。问6.3.2数据交换业务安全防护点内部实现快速高效的交换。安全方案设计公安网内数据交换通畅，此类数据交换经过安全平台。聚节点。.1安全防护访问通道防火墙用于保证业务访问网络通道仅允许用户访问流量的进入和业务系统的防火墙采用冗余部署，保证网络可靠性。包进行访问控制,可实现基于策略的HTTP、FTP、P安全方案设计.2安全检测安全检测需求，可通过配置一台高性能的TAP复制分流器对重要的网络节点镜像的流量进证和会话的完整性。通过五元组过滤规则以及特征码过滤规则对某项业务流量或协议进行数据包的过滤和将IPS旁路部署在跨网安全访问与交换平台核心交换机，可以有效的对节点流量进行页篡改、网页挂马等安全事件的发生。在公安信息网跨网安全访问与交换平台核心交换机旁路部署流量分析系统进行流量的够准确快速地检测各种攻击行为。的具体内容。安全方案设计通过部署沙箱检测系统为警务应用提供降低未知威胁和针对性攻击风险所需的全网范云围环境中，沙箱检测系统可为警务应用提供检测高未知威胁和针对性攻击所需的可见性和情提供开放且可扩展的自定义动态沙盒分析，在第一时间保护公安网免于APT与针对性攻击需求。障处式息系统安全状况的全面管理。安全方案设计.3安全交换对象包括社会企事业单位，党/政/军机关，公安机关驻地外和视频专网和互联网等。(1)社会企事业单位接入业务允许的业务操作方式为数据交换。(2)党/政/军机关接入业务允许的业务操作方式为数据交换。(3)公安机关驻地外接入业务允许的业务操作方式为数据交换。(4)视频专网视频接入业务允许的业务操作方式为：视频单向传入，只能由公安信息。(5)互联网数据单向采集业务允许的业务操作为：由数据报送终端通过互联网采集链安信息通信网的单向数据传输。(1)数据交换系统提供多种主流数据库(SQL、ORACLE、DB2、MYSQL等)的单、双向数据交换；提供安全(2)视频交换系统频端口默认关闭；(3)单向传输系统(4)前后置服务器集群应用代理。安全方案设计6.3.3安全管理区安全防护访问通道防火墙用于保证业务访问网络通道仅允许用户访问流量的进入和业务系统的防火墙采用冗余部署，保证网络可靠性。包进行访问控制,可实现基于策略的HTTP、FTP、P部终端获得。理体系。存性。户，提高系统的安全性。证安全方案设计通过堡垒机可以定期自动修改目标设备密码功能。支持Windows、Linux/Unix、网络设安网中各类非法权限获取行为。维操作行为的审计分析，对违规和异常行为进行告警。通过部署沙箱检测系统为警务应用提供降低未知威胁和针对性攻击风险所需的全网范云围环境中，沙箱检测系统可为警务应用提供检测高未知威胁和针对性攻击所需的可见性和情提供开放且可扩展的自定义动态沙盒分析，在第一时间保护公安网免于APT与针对性攻击漏洞扫描设备能够通过综合运用多种手段(主机存活探测、智能端口检测等)全面、快端为进一步脆弱性扫描做好准备。安全方案设计7数据中心安全方案7.1数据中心安全建设思路冗余部署防火墙设备，重点根据IP、协议、端口号、服务、用户等信息判断信息的敏感程与防护。7.2数据中心安全建设拓扑7.3数据中心安全建设内容7.3.1防火墙访问通道防火墙用于保证业务访问网络通道仅允许用户访问流量的进入和业务系统的防火墙采用冗余部署，保证网络可靠性。安全方案设计控制,可实现基于策略的HTTP、FTP、获得。7.3.2日志审计作行为的审计分析，对违规和异常行为进行告警。7.3.3运维审计理体系。存性。户，提高系统的安全性。证安全方案设计安网中各类非法权限获取行为。7.3.4数据库审计障处式息系统安全状况的全面管理。7.3.5蜜罐系统网7.3.6漏洞扫描漏洞扫描设备能够通过综合运用多种手段(主机存活探测、智能端口检测等)全面、快端为进一步脆弱性扫描做好准备。安全方案设计行为，及时发现并阻断该行为。8应用安全8.1应用访问安全(一)统一身份认证建设以及基于各种生物特征的认证方式。访问。行审计，而且能够将多个主机、(二)统一身份认证管理关联和授权策略管理。(1)单点登录：首先，将用户重定向到访问服务提供商的网站，服务提供商向用户发(2)单点登出：用户向身份认证服务器提出单点登出，认证服务器向用户访问的服务发出注销请求，使用户登出使用的各种服务。(3)新用户注册：如果用户没有在服务提供商或认证服务器进行过注册，则此二者都户名注册过程对用户进行注册。认证服务器账户之间的关联。安全方案设计(5)用户名取消关联：用户可以在服务提供商或身份认证服务器处要求取消账号关联。(三)统一授权管理角色分配相应的权限。业务系统时，在业务系统完成用户的权限检测(包括系统级权限检测以及系。(1)单点登录：首先，将用户重定向到访问服务提供商的网站，服务提供商向用户发(2)单点登出：用户向身份认证服务器提出单点登出，认证服务器向用户访问的服务发出注销请求，使用户登出使用的各种服务。(3)二次身份验证：在应用内针对特定功能进行应用内二次身份认证。下，需进行动态授权验证。过审批，如有不良记录，需进行人员审批。8.2应用开发安全安全方案设计点进行风险评价。试中有关安全经验的总结，可以用于指导安全开发人员(特别是软件架构师和设计师)开发系统。容来源于具体的安全设计内容。b安全方案设计⚫源代码审计内容；从安全性方面检查其脆弱性和缺陷。作机制。8.3应用攻击防护8.3.1应用入侵防御协议攻击、手机病毒、僵木蠕威胁、隐蔽通道、。安全方案设计8.3.2应用脆弱性防护等进行检测的能力。证应用弱口令防护。8.4应用安全审计权访问等安全风险。包括：业务操作审计、业务系统威胁发现与审计。9数据安全安全方案设计9.1数据安全体系标准。9.2数据分级分类(一)总体原则制，，也支持单独权限控制。(二)数据分级别低于该级别(含)的数据记录。(三)数据校验安全方案设计9.3数据访问控制(1)用户分权(2)用户分类(3)鉴别机制专用的登录控制模块对登录用户进行身份标识和鉴别；份鉴别；应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；(4)行为审计括事件的日期、时间、发起者信息、类型、描述和结果等；、分析及生成审计报表的功能。(5)账号管理安全方案设计级用户账号需通过保密形式由信息中心负责人留存一份；(6)权限管理,确保各信息系统安全、有序、(7)网络资源授权(8)计算资源授权(9)应用资源授权(10)数据资源授权(11)合规接入9.4数据采集安全集和传输。。统可直接通过防火墙实现。点对点连接，避免不明来源的设备访问前置交换系统。安全方案设计9.5数据传输安全，各个平台和业务系统内部实现和综合安全网关VPN子系统对接实现数据传输安全，对接安平台实现身份认证、访问控制。9.6数据存储安全于文件数据则通过文件加密的方式存储，防止信息泄露。时数据等经常更新的动态数据，据则可以取更长的时间间隔(如1个季度或半年)。库进行关键数据的备份。9.7数据销毁安全盘消磁作业视频监控策略，聚焦监控操作的防抵赖性和视频监控记录保存的完整性。安全方案设计，折弯之后，才能运出数据中心。9.8数据安全审计中间处理层)，对数据服务层进行非授权的直接的问题。管理员无法主动发现数据库里的机密信息是否已被泄露。数据库数据如发生绕过应用系统，直接对数据库应用系统数据进行非法修改和删除，破坏关键应配置据库权限管理跟踪务内部文件等数据访问。密性、完整性、可用性、真实性、授权、认证和不可抵赖性。主要实现以下目标。置。安全方案设计的挑战。失、意外的数据覆盖和破坏。区，可较好的解决数据存储安全问题。保密要求的资源存在于同一个物理存储介质上，安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息，为了避免这种情况的发生，虚拟化管理软件采用多种访问控制管理手段对存储资源进行隔离和访问控制，保证只有授权的主机/应用能应用不能访问，甚至不能看到其他存储资源的存在。号)与交换机物理端口绑定、交换机分区和逻辑单元屏蔽(LUNMasking)等方式实现。根全协议(FC-SP)实现主机认证；采用光纤交换机分区将连接在SAN网络中的设备(主机和PKM安全方案设计备和主机服务器的操作系统(Windows或Linux)都提供针对不同用户对不同文件和目录授。在应用存储虚拟化后，虚拟化管理软件应能全面管理不同虚拟对象，如IPSAN和FC异性。10云平台安全10.1平台服务安全基线和漏洞扫描等功能。10.2云平台安全基础设施服务安全10.2.1安全域划分安全方案设计，离。，。对虚拟机迁移、资源弹性扩展、业务使用情况及运维操作人员进行实时监控和审计。。10.2.2安全云设计将安全设备软件化建立简单的虚拟化安全资源池。但此种方式存在较大的缺陷，安全方案设计力的配置抽象为必要的逻辑实现。基于OpenStack架构，定义各类标准安全服务，并关联10.2.3核心能力对于租户/业务管理员而言，业务上线过程中所面临的繁琐安全配置往往是掣肘业务上云环境中的无界网络，对租户的配置对象无法进行统一的引用。在安全云架构中，所定义的对象(资产)可以被所有安全服务进行调用。可定义的对象 能够动态的对虚拟机列表及租户(业务)网关列表进行同步，确保租户(业务)管理在配置在完成防护对象(资产)的选取之后，安全云也对各个安全业务的配置逻辑进行统一抽安全方案设计。享安全享安全能力分配。立的硬件资源，即使在单独重启后也不互相干扰。防护类安全能力通过同租户在OpenStack架构中的网关(OpenStack称之为“路由器”)关联，保证业务流量能够对应到租户专属的安全能力。安全方案设计。安全方案设计息安全技术网络安全等级保护基本要求》中所强调的技术重点。传统技术无法对租户的日的安全状态可视化设备往往会通过独立的管理中心分别对不同的安全设备/能力进行管理。随后，SOC平台的安全服务的效果进行评价，对安