信息网安全管理平台(公安行业)--技术白皮书.doc

信息网安全管理平台信息网安全管理平台 技术白皮书技术白皮书 目目 录录 第一章第一章 产品背景产品背景4 1.1 安全问题分析.4 1.2 产品实现目标.5 1.3 产品主要功能实现.5 第二章第二章 产品概述产品概述6 2.1 产品简介.6 2.2 产品部署.6 2.3 产品模块.7 第三章第三章 产品功能产品功能8 3.1 平台特点.8 3.2 系统架构.10 3.3 系统功能介绍.10 3.3.1 基础信息管理.10 3.3.2 设备信息管理.11 3.3.3 违规事件管理.11 3.3.4 病毒防护管理.11 3.3.5 服务器管理.12 3.3.6 边界安全管理.12 3.3.7 网站和FTP管理13 3.3.8 敏感信息检查功能.13 3.3.9 桌面终端管理.14 3.3.10 准入管理.14 3.3.11 策略配置和事件报警管理.14 3.3.12 报表管理.15 3.3.13 用户和权限管理.15 3.3.14 PKI证书管理16 第四章第四章 产品运行环境产品运行环境17 第五章第五章 产品应用和部署产品应用和部署18 5.1 单级部署示意图.18 5.2 多级部署示意图.19 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 第一章第一章 产品背景产品背景 随着公安信息化工作水平不断提高，公安信息网在打击犯罪、维护社会治 安、加强警务沟通等方面起着不可估量的作用，有力地促进了各项公安业务的 开展。在公安专网中运行着多个全网应用系统，业务范围涵盖了治安、交管、 监管、刑侦等领域；构成应用系统支撑基础的网络包括核心骨干节点、汇聚节 点和各网络分支，分布于市局各业务单位、分县局、派出所，各项业务对应用 系统的依赖性也越来越强。但是，随着信息网上应用手段的丰富、信息量的迅 速扩充，信息共享需求的增加以及广大干警对公安信息网的依赖性不断增强， 公安信息网的安全问题，已成为各级公安机关关注的重点。 目前各级公安部门已经按公安部“金盾工程”要求初步建立了“一机两用” 系统、杀毒软件、漏洞扫描、防火墙、入侵检测等安全管理系统，有效地解决 了部分安全问题，但仍存在一些安全隐患，影响了整个公安信息网的安全。 1.1 安全问题分析安全问题分析 公安信息网是一个专网，其中建有涉密信息通道，并连接存有大量敏感信 息的重要资源库，虽然要求与其他外网严格隔离，但目前还未能严格实现。近 年来国际上围绕着信息的获取、使用和控制的斗争愈演愈烈，全球范围内网络 攻击、网络窃密和网上违法犯罪等问题日渐突出，因此其安全保密问题不容忽 视。目前可能存在的安全隐患主要表现在： 1、外来计算机在没有安全保护的措施下随意接入公安信息网，造成病毒 的传播及涉密信息的获取泄露； 2、少数民警安全意识淡薄，发生“一机两用”或使用含有涉密信息的存 储介质上互联网，极可能造成泄密和病毒感染。 3、目前公安信息网还存在大量使用 P2P 软件、网络游戏、聊天工具、违 规流媒体等违规行为，给网络带宽造成很大的影响，在一定程度上也影响了公 安正常业务的开展。 4、少数人在公安网上私搭滥建各种网络游戏、聊天室、视频点播、FTP 文 件下载服务等，甚至发布一些低俗、色情的内容，严重损害了公安内部形象。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 5、一些部门的安全技术防护措施存在大量漏洞，严重危及网络安全运行。 6、目前公安信息网安全情况管理不够集中，各种安全软件及设备比较多， 并且各地管理水平参差不齐。 1.2 产品实现目标产品实现目标 对公安信息网上各类信息网站及其栏目的自动监测，为查处公安信息网上 各类违规网站和栏目工作提供依据；利用有效的信息安全监测技术，构建公安 信息网安全预警防范系统，形成高效的公安信息网防黑客、病毒安全管理和应 急处理工作机制。从而有效提升对公安信息网安全的可管理性和信息安全水平。 利用有效的信息安全管理技术手段，构建公安信息网分级管理、逐级审核 的严密安全预警防范系统，形成高效的公安信息网安全管理和应急处理工作机 制。 1.3 产品主要功能实现产品主要功能实现 1、实现公安信息网安全的有效管理。进一步完善组织保障、日常巡检、 安全预警、安全通报、违规查处、应急响应等安全工作机制，明确公安信息网 安全管理工作流程。 2、实现公安信息网计算机设备统一安全管理。按照积极防御、综合防范、 突出重点的方针，对公安信息网全程全网实时有效地安全监控，事前对安全事 件进行预警预测，为查处公安信息网上各类违规行为工作提供依据。 3、实现全警参与安全防范。为各部门各单位提供安全信息的良好平台， 利用该平台及时公布信息与网络安全的有关信息，宣传信息安全政策和知识， 增强全警安全防范意识。 4、实现对突发安全事件的监测、预警、通报、查处和报告管理流程。通 过有效的实时监测，及时发现公安信息网上的安全事件，根据统一的策略，逐 级预警，自动通报。明确各级职责，及时查处，逐级上报审核。 5、实现对公安信息网计算机敏感信息检查。按照制定的文件格式策略进 行自动化、网络化检查，及时发现公安信息网计算机上的敏感信息，准确定位 相关单位、部门、使用人等，确保公安重要敏感信息的安全。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 6、实现对内网网站的登记、注册及内容管理。加强对公安信息网内网站 的技术监测、审计能力，从源头上解决公安信息网上出现的违规网站和违规内 容问题。 7、实现对公安信息网边界安全的技术监测及注册管理，杜绝在公安信息 网中私设子网以及与其他网络非法相连。 8、实现对省内各级公安部门详细、量化的网络安全工作考核依据及方法。 覆盖注册率、病毒流行状况、预警通报等内容，以此衡量各级公安部门在信息 与网络安全日常巡检、违规查处、应急响应上的工作水平。 第二章第二章 产品概述产品概述 2.1 产品简介产品简介 正杰信息网安全管理平台是遵照国家信息安全与保密领域相关法规，集终 端、监控、安全、加密等关键技术并结合管理而构建的内网安全管控平台。平 台实现对各个安全及其他设备的集中报警管理，增强对相关报警信息的处理效 率和快速反应能力，使报警信息可及时、妥善的得到有效处理，使相关损失减 少到最低点。通过对各类异常情况进行集中收集和统一报警，统一处理、统一 通报，并收集、汇总和管理网络中各相关安全相关信息，并可通过对相关信息 的综合分析，及时发现系统运行中的安全问题和隐患，并提出改进措施。 同时结合公安信息网的安全管理，确保信息在产生、存储、传输和处理过 程中的完整性、可用性和保密性。为各级领导和各级机关提供准确可行的决策 依据，为信息安全系统实现科学化管理和提高工作效率服务。 2.2 产品部署产品部署 平台支持局域网架构和广域网架构两种架构模式。一般全省公安是基于省、 市、区县的三级网络结构。从全省统一管理的全局出发，本系统提供了多级级 联模式的管理架构，用来满足上级对非本地局域网内的下级的管理。平台部署 采取多级系统模式，上级可直接对下级终端进行统一策略管理，同时下级会将 本级的统计和报警信息日志上报给上级管理系统，从而上级管理人员能对下级 的网络安全状况完全掌握。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 一一级级 二二级级二二级级 三三级级三三级级三三级级 四四级级 级级联联管管理理 日日志志上上报报 平台采用 C/S 和 B/S 混合模式架构，支持分布式部署，配置了中心服务器 之后，客户端只要通过浏览器访问中心服务器即可完成系统部署。结合现有的 “一机两用”系统文件分发功能更可方便的实现静默注册。 中心服务器 终端设备终端设备 Web浏览器 中心服务器 终端设备终端设备 文件分发 系统 终端主动注册终端静默注册 2.3 产品模块产品模块 平台对各个功能采用模块化方式设计，支持模块化软件定制，在保持了较 高通用性的前提下，又实现了产品配置的多样化。模块化的设计降低了功能之 间的耦合性，各个模块之间支持无缝功能扩展，又通过统一的策略管理平台， 对各个模块进行管理，方便管理者操作。在满足用户需求的同时，又最大限度 的对用户日后升级做了充足的准备。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 第三章第三章 产品功能产品功能 3.1 平台特点平台特点 1、模块化设计、插拔式组件 针对基本桌面管理要素设计功能单元，根据不同的应用场景、网络环境和 管理要求选择相应的功能并予以组合，系统支持功能模块化自动升级与无缝平 滑整合，以适应变化的、动态扩展的桌面管理因素需求。 2、专业化和标准化的设计 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 软件内部架构、关键技术均选择业界通用标准和规范，XML 可扩展语言、 基于 SSL 协议的 WEB 安全管理、模块化 API 接口等便于系统扩展，同时对外提 供标准化的接口，可与现有防火墙等第三方安全管理系统良性化互动。 3、组网架构灵活、部署便捷 系统组网架构支持集中式管理、级联分布式管理，对于大型多级网络用户 等广域网架构，提供良好的统一综合部署管理和性能运行保障方案。客户端部 署支持共享式、自动分发式等多种快速安装模式。 4、界面友好、操作方便 平台基于 Web 方式的界面设计。确保系统访问安全性的同时，注重管理平 台的易用性和美观性，以便于安全管理员轻松实现对平台的高效管理。 5、基于 PKI 数字证书的安全管理机制 平台具有 PKI 数字证书的接口，管理员可以使用自己的数字证书在平台进 行安全认证后管理，安全方便。 6、策略与对象的灵动管理 策略的灵活制定与应用对象动态自定义有机结合，确保“预置定”管理策 略的执行。基于对象的分组、分区域策略控制模式，使系统功能能够灵活的应 用于各警种对象，实现安全管理“游刃有余” 、 “疏而不漏” 。 7、灵活的权限管理与“三权分立” 平台提供了灵活的系统管理权限，既提供了适用于单级管理的集权模式， 又提供了适用于大型多级网络的“三权分立”模式。 8、日志报警与信息检索 系统除提供桌面管理事件全面记录供事后审计取证功能外，还详细记录了 系统管理过程中管理人员每一步的操作行为日志，通过信息检索引擎进行桌面 事件与系统管理事件的检查和分析。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 3.2 系统架构系统架构 3.3 系统功能介绍系统功能介绍 安全管理平台包含各功能模块与子系统的建立，对公安信息网内的网络病 毒、网络流量、边界检查、网站注册、敏感信息检查等实时的检测和预警，对 安全事件自动进行通报。对存在严重违规行为并影响信息与网络安全的事件， 可实施对设备的即时阻断，保障公安信息网信息与网络安全。安全管理平台主 要包括基础信息管理、设备信息管理、违规事件管理、服务器管理、边界安全 检查、敏感信息检查、网站注册管理、准入管理、平台策略配置等功能模块。 3.3.1 基础信息管理基础信息管理 1、对设备的一机两用注册率、杀毒软件安装数、系统补丁安装数、服务器 漏洞情况、违规行为的相关信息做实时的图形化排名展示。 2、提供设备类型统计，在线设备统计。 3、对自动发现的未实名注册、不符合规范注册的醒目展示，其发现应通过 同公安通讯录的比对进行，达到高发现性、高准确性。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 4、对当日发生的违规事件作地图化直观显示，并在地图上提供相关链接。 5、提供月报表自动生成功能，用户可以自行通过 web 页面上进行配置操作 来定制报表内容，并定期生成，定期发送至指定对象。 6、全部内容，提供针对全部二级区域的单独数据分析，并可以根据访问者 IP 段判定其所在二级区域，提供该区域的数据展示。 7、实现二级管理员日常签到并查看其待办事项功能。实现事件触发的紧急 签到功能。 8、设立通知通告板块，实现文章添加和展示功能。 3.3.2 设备信息管理设备信息管理 1、对设备基本信息和设备安全信息进行统计分析和图形化展示。 2、按照区域和时间域对设备的注册率、补丁安装情况、病毒发生情况进行 统计分析和图形化展示。 3、对设备按照终端设备、服务器、网络设备、安全设备、其他设备进行分 类统计管理。 4、应当具备初步的分级、分区域资产管理功能。 3.3.3 违规事件管理违规事件管理 1、对各类违规事件实时监控，实时生成违规事件信息，实时短信报警。 2、对违规事件建立完整的反馈、查询、统计、分析机制。 3、对违规事件实现预警。 4、对报警数据挖掘，实时动态实现对违规列表的更新。 5、原有一级两用注册信息不准确事件纳入违规事件类目，建立准确的主动 发现机制和对应的处理流程。 3.3.4 病毒防护管理病毒防护管理 1、 对已部署在公安信息网的杀毒软件服务器数据进行采集，与一机两用 注册信息进行联动，快速定位病毒主机，实时显示公安信息网内的病毒信息： 安装率，更新率，高危病毒分布情况，流行病毒分布情况，高危主机感染情况， 对高危主机显示其补丁安装情况，并提供强制阻断联网或移入安全接入域功能。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 2、 对于服务器要能够单独列出其病毒情况并实现方便的细化显示和管理。 3、 具备自动报表生成功能，可以根据不同的组合策略和优先策略生成病 毒情况报表。 4、 提供病毒知识库，通过比对确认需要专杀工具才能清除的病毒，给出 专杀工具下载。 5、 支持根据病毒名称由用户手动级别划分，并根据级别属性导入相应的 处理流程。 3.3.5 服务器管理服务器管理 1、防范直接针对数据库的非法访问，能够审计非法主机的源 IP 地址、MAC 地址、连接端口、连接时间。 2、对服务器清单实行主动发现和被动上报双轨制管理。 3、对服务器的安全检查内容支持分级评定，并提供便利的后续处理流程。 3.3.6 边界安全管理边界安全管理 建立公安信息网边界检测管理技术手段，强化公安信息网边界安全管理， 有效杜绝违规边界接入，确保所有边界接入纳入统一、可靠的边界接入平台管 理。 1、提供边界备案审核功能，备案登记表应可由管理员在后台自行灵活配置 生成。 2、对于已通过审核的子网接入，应能够判定子网内主机的信息，并实现子 网主机不注册就无法通过代理连通公安网。并提供便利的后续处理流程， 提供二级管理员对事件的网上反馈渠道和对事件的说明提交。 3、能够对注册终端的注册网卡进行绑定，并对该终端与其他网络通道访问 的渠道加以阻止，并弹出警告窗口，从根本上避免非法外联事件的发生。 3.3.7 网站和网站和 FTP 管理管理 1、实现网站和 FTP 的报批、审核、备案、运行状况的管理。对其基本安全 状况，如弱口令等进行判定。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 2、实现网站和 FTP 的自动发现，运行情况实时监测。对于主动发现的网站 和 FTP 要能够根据其 IP 自行进行二级区域定位，能够直观的和主动备案的网 站根据所在二级区域进行比对，确认是否已经备案，并提供不备案的说明添加 功能和进行备案的流程提交功能。 3、能够对网站和 FTP 的运行情况进行监控和分析。对根据关键字过滤出来 的潜在违规文件名或内容能够提供直接链接，以便进一步判断。对发现的违规 内容进行取证，为事后查处提供证据； 4、对违规设立的或含有违规内容的网站进行阻断或干扰，防止违规内容在 公安信息网中扩散而造成不良影响。并根据设定策略及时产生预警或通报信息。 5、在发现违规网站或违规内容后，根据审批管理办法对责任人进行查处， 对查处结果进行登记、存档。 6、统计公安网内的网站和 ftp 访问情况，发现访问规律，对长期无访问的 对象进行清理。 7、能够根据搜集到的各类网站开设、访问等情况进行统计分析，统计辖区 公安信息网中 Web 服务器数量、FTP 服务器数量、网站数量、经过审批网站数 量等并作相应的展示。 3.3.8 敏感信息检查功能敏感信息检查功能 1、通过敏感信息检测技术手段，实现对公安信息网内非涉密计算机敏感信 息存储情况的实时监测，及时清理、处置在非涉密网络和非涉密计算机 上存储、传输和处理敏感信息的行为，具有痕迹清理功能。 2、提供完整的涉嫌敏感信息鉴定、处理、反馈流程。应具备实用性、易用 性、准确性。 3、实现对敏感文字处理、敏感文件复制的实时监控、预警和报警。 4、对相关日志数据进行统计、查询、分析。 5、支持对指定区域配置策略后手动扫描，扫描结果能导出为 word 和 excel 文件。应能够准确的判断某次进行的扫描行为，是否已经完整收 集了全部扫描区域内的完整信息。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 3.3.9 终端安全终端安全审计审计 1、提供对光驱等设备和红外、USB、串口、无线网卡、3G 网卡等接口的使 用控制，能够实现对用户运行应用程序的控制和打印信息的监控； 2、提供行为审计，记录用户使用过程中的操作行为，如对外设和接口的访 问，对文件的拷贝、删除、打印及 U 盘的访问，同时提供管理员对审计策略的 修改； 3、安装新的软件时，拦截安装信息，与违规行为列表内容比对，若有违规 安装行为，则弹出警示框。 4、可实现 IP/MAC 绑定防止出网，断网预警。 5、具备 U 盘黑名单管理功能，阻止指定 U 盘在公安网计算机上使用。 6、能够对计算机使用过的 IP 信息变动进行记录，能够对曾使用过指定 IP 的计算机 MAC 信息记录。 3.3.10 准入管理准入管理 1、在 3 分钟内发现新接入公安信息网的设备，并能够以 HTTP 重定向的方 式，引导计算机注册客户端，要求支持插件注册； 2、对临时接入公安信息网的设备，脱离公安信息网时，能够提醒用户对客 户端进行卸载。用户可自定义离网时间自动卸载，包括离网的小时数及天数。 3.3.11 策略配置和事件报警管理策略配置和事件报警管理 1、 支持监控资源的批量监控，可以用一条策略，管理一种类型的主机 2、 支持经验值，针对所有的监控指标，系统默认提供经验值； 3、 事件管理支持对事件的确认、分级、评注等操作； 4、 在事件列表中，可以按照事件级别对事件进行分类查看，事件级别分 为：危险、重要、一般、未知； 5、 支持多种报警方式：客户端（桌面报警） 、邮件报警、语音报警、短信 报警，支持根据用户需求修改报警的内容； 6、 支持告警分类输出：不同告警可以发送不同运行维护人员，可定制报 警发送的时段； 7、 可以根据报警来源、报警方式、报警时段对报警进行过滤查询。 杭州正杰信息技术有限公司 Http:/ 信息网安全管理平台信息网安全管理平台-技术白皮书技术白皮书 3.3.12 报表管理报表管理 1、提供报表定制工具，可以定制自己需要的报表模板； 2、支持查询式报表，用户可自定义报表； 3、提供报告/报表订阅功能，用户可以订阅需要的报告。系统会自动生成 相应的报告，发送给系统管理员，报告格式可以定制； 4、支持将任何查询报表导出为 word、EXCEL 格式，并提供打印功能。 3.3.13 用户和权限管理用户和权限管理 1、权限管理可对用户在系统中操作许可范围进行定义，通过用户和角色的 管理，对系统操作的行为进行定义。 2、系统需实现权限的分级管理，支持用户权限定义，为主站、分站等不同 权限的用户赋予不同的操作界面和可操作对象级别限制。不同用户在各 级栏目中依据其操作流程具有不同操作权限。用户管理实现单独用户管 理、用户组管理、系统角色管理等功能，并采用用户分级管理的方式。 3、用户和权限管理应当引入已在公安信息网部署的 PKI 系统。 4、用户和权限系统应当架构灵活，引入级别、区域、事件类别等权限属性， 可以由用户方便的进行手动维护。 3.3.14 PKI 证书管理证