公安网络工程项目设计方案.doc

公安网络工程项目设计方案1.1 省市公安信息系统安全建设基本内容省市公安信息系统的安全建设的基本内容应当包括：1、省市公安信息系统自身的安全建设；2、公安部对省市公共网络安全的监察工作；1.1.1 公安信息系统自身的安全建设不同的行业和用户对信息系统安全建设的要求是有差别的，建设的重点可能不同。公安全信息系统的安全技术概念：即承认信息系统安全的脆弱性，正视对信息系统安全的威胁，在尽可能的加强防护的能力的同时，要加强信息系统安全的检测、管理、监控和处理能力，落实对信息系统安全事件的快速反应能力，建立对信息犯罪的打击的威慑力量。信息系统安全不仅是定性的，同时还是定量的，使之在日常业务工作中是可测评的。我们称这种安全模型为PDR安全模型（P：Protection, D：Detection , R：Reaction）。从防护的角度看，强调公安信息系统安全的可生存性、行为和信息数据的完整性、信息的保密性，实施公共密钥基础设施（PKI）。实施本地可信备份和异地可信恢复系统建设。从检测的角度看，消除系统和管理漏洞、实施对非法入侵和黑客攻击的安全监控。从安全处理看，强化应急处理和快速反应能力。这显然比一般政府和企业只注重信息的完整性和保密性的安全概念要高得多。1.1.2 公安部对省市公共网络安全的监察工作为了提高整个省市信息系统安全的在一体化公安信息化平台或公共操作环境COE上实施全局和局域的PDR的快速反应的综合能力，建立公安信息系统的两极（部、省）网络监控中心是十分必要的。网络监控中心负责处理整个信息系统网络范围内的安全问题及网络对外连接、通信等方面的安全问题，打击信息安全犯罪。在自主和可控的原则指导下，开发公安信息安全监控和攻击报警系统，具有与国内外信息犯罪组织进行软件对抗的能力。另外，对公安信息系统的安全性、可生存性、服务完整性实施全局管理。信息系统安全监察工作主要处理、打击信息犯罪，如：非法侵入通讯和计算机网络、传播计算机病毒、对计算机设施发起拒绝服务攻击、发布和传播非法的反动、色情信息等等。信息系统安全监察工作的建设，在“金盾工程”实施期间，其内容应当包括：建立全省连网的统一部署的各级信息安全监控中心、建设信息系统安全监控系统和攻击发现报警系统、培养一支政治合格、技术过硬的信息系统安全警察部队等等。1.2 设计目标宏观上讲，“金盾工程”安全保障体系的设计目标体现在两个方面：能够抵御业务信息化所带来的各种威胁，具备一定的容错、容灾能力，有效地防止内部人员的故意犯罪，抵御来自内部与外部、针对各种对象的各种方式的攻击，防止有害信息的传播。能够提供严格的控制能力和高效的查证等手段，实现比现有工作模式更加安全的工作与管理机制。具体地说，“金盾工程”安全保障体系的设计能够满足上述安全需求，抵御上述风险：适应公安系统分级、多管理域的管理模式，针对种类繁多、多种密级的信息保密需求，提供全网统一的身份认证和访问控制手段，防止内部人员（合法用户）滥用权力，有意犯罪。抵御来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击，保证网络和系统服务的可用性，保证信息的保密性、完整性。提供一定的容错能力，在系统软硬件故障时提供数据恢复手段，保证系统的可用性。防止有害信息（如病毒）的传播等。提供一定的容灾能力，在自然灾害或人为的物理破坏（如战争）发生时，提供有效的灾难恢复机制，保证网络的可用性。1.3 设计原则“金盾工程”安全保障体系涉及到整个工程的各个层次，网络和信息安全方案的设计因该遵循以下原则：整体安全。公安系统信息化是一个复杂的系统工程，对安全的需求是任何一种单元技术都无法解决的，而是必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络和公安业务系统提供全方位安全服务。有效管理。没有有效的安全管理（如密钥定期更新、防火墙监控、审计日志的分析等等），就很难保证各种安全机制的有效性。“金盾工程”网络信息系统所提供的各种安全服务涉及到各个层次、多个实体和各种安全技术，只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用。合理折衷。在“金盾工程”中，单纯考虑安全而不惜一切代价是不合理的。安全与花费、系统性能、易用性、管理的复杂性是存在矛盾内容的，安全保障体系的设计应该在以上四个方面找到一个合理的折衷点，在可接受的风险范围内，以最小的投资换取最大的安全性，同时不因性能开销和使用、管理的复杂而影响整个“金盾工程”的快速反应和高效运行的总体目标。适应一致。安全管理模式应该尽量与公安业务需求相一致，以便于实施和管理。既要保证公安系统上下级之间的统一领导、统一管理，同时又给基层单位以足够的灵活性，以保障公安业务系统的高效运行。责权分明。采用分层、分级管理的模式：一方面，公安的各级系统可以分为三层：信息网络、计算机系统和应用系统；另一方面，网络和应用系统都有部、省、市等的分级结构。各级网络管理中心负责网络的安全可靠运行，为应用信息系统提供安全可靠的网络服务，各级信息中心负责计算机系统和应用系统的安全管理，为公安系统具体的业务服务。综合治理。“金盾工程”是社会大环境下的一个系统工程，信息网络的安全同样也绝不仅仅是一个技术问题，各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统工程的角度综合考虑。2 安全需求识别出公安系统的安全需求是很重要的。安全需求有三个主要来源。第一个来源是对公安系统面临的风险的评估。经过评估风险后，便可以找出对资产安全的威胁，对漏洞及其出现的可能性以及造成多大损失有个估计。第二个来源是公安系统与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规定及合约条文的要求。第三个来源是公安系统为业务正常运作所特别制定的原则、目标及信息处理的规定。2.1 风险评估2.1.1 漏洞分析由于公安系统肩负省市安全和社会稳定的重要职责，另外由于存在政治体制、意识形态等方面的因素，很容易成为国内外敌对分子攻击的对象。根据公用互联网络和某些行业专用网（如银行系统）风险现状的调查结果，结合公安系统业务的多种信息种类、不同开放程度和安全级别等情况，“金盾工程”的网络和信息系统面临的威胁有以下几个方面：公安系统信息量大，种类繁多，应用复杂，不同种类（如治安、交管、刑侦等）、不同级别（如部、省、市）的信息对不同的用户有不同程度的保密需求（无密级、秘密、机密、绝密）。数据分布于全国四百多个市级管理域内，使得保障信息保密性的设计与实现变得异常复杂。要求系统具有统一的身份认证机制，适应公安系统分级、多管理域的管理模式。内部人员（合法用户）滥用权力，有意犯罪，越权访问机密信息，或者恶意篡改数据。来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击，造成网络或系统服务不可用、信息泄密、数据被篡改等破坏。有害信息（如病毒）的传播等。系统软硬件故障造成的服务不可用或者数据丢失。自然灾害或战争的物理破坏。漏洞分析可以采用静态扫描和动态渗透两种方法。2.1.2 法律和合同国家对公安系统的法律要求，如涉密部门的网络必须实现物理隔离等，与信息产品厂商签订的保密合同等。2.1.3 系统规定公安系统的内部规定，如密码系统只能使用具有自主知识产权的产品、不能使用自己的计算机处理秘密资料等。2.2 需求总结通过以上分析可以总结出如下安全需求：物理安全：主要指无线、卫星、网络和计算机相关设备、线路等硬件所处的物理环境方面的安全水平需要进一步提高，如防高低温、防潮湿、防火、防水、防电磁干扰（电磁干扰、脉冲炸弹等）、防尘、防震、防电磁辐射、防窃听（搭线、接收电磁波）等；通信和计算机网络安全：网络系统的协议、应用和数据的机密性、完整性和可用性容易受到来源于网络的攻击，如DDOS攻击等需要进一步提高安全保护的水平；系统安全：操作系统的安全等级不够，配置不当，漏洞很多；应用安全：数据和应用系统没有或者很少考虑安全方面，安全问题很多；信息安全：网络上的非法信息很多，没有得到很好控制。3 安全体系“金盾工程”对安全的需求是多方面的，任何一种单独的安全技术都无法解决。安全方案的设计必须以科学的全方位的安全体系模型为依据，保障“金盾工程”整个安全体系的完备性和合理性。信息网络安全体系结构的研究表明，要想从一个角度得出整个信息系统完整的安全模型是很困难的。我们采用COE+PDR的安全框架是个比较合理的计算机网络安全模型，我们在此基础上提出更加适合“金盾工程”的信息安全体系结构模型。该模型由安全服务、协议层次和系统、单元三个层面描述，在每个层面上，都包含有关保障方面的内容。安全服务取自于国际标准化组织制订的安全体系结构模型ISO7498-2，我们在ISO7498-2基础上增加了审计性、可用性、生存性服务。系统层次的划分给出了信息系统结构的层次模型，添加了用户层，即用户开发的应用。系统、单元给出了信息网络的系统或者单元。系统是指通信系统（如电话系统、会议电视系统、无线系统、卫星系统等）、计算机网络系统和人员系统。单元是指通讯卫星、光纤、网卡、交换机、路由器等。保障包括所有协议层次、所有系统、单元和安全服务的保障，涉及两方面的内容：各种技术的保障（如密钥管理）和制度保障，制度保障主要是针对人员系统的。3.1 安全服务国际标准化组织所定义的安全体系结构中包括五组重要的安全服务，这些安全服务反映了信息系统的安全需求。这五种服务并不是相互独立的，而且不同的应用环境有不同的程度的要求，我们在图6.2中给出了主要安全服务之间的逻辑关系。在“金盾工程”中，最为重要的安全服务是实体标识、认证、访问控制。授权数据库访问控制审计/抗抵赖客 体主 体标识和认证完整和保密存储与传输图6.2 各种安全服务之间的逻辑关系在不同的协议层次，实体都有主体和客体之分：在网络层，对主体和资源的识别以主机或协议端口为粒度，认证服务主要指主机地址的认证，网络层的访问控制主要指防火墙等过滤机制；在应用系统中，主体的识别以用户为粒度，客体是业务信息资源，认证是指用户身份认证和应用服务的认证，访问控制的粒度可以具体到某种操作，如对数据项的追加、修改和删除。在开放式应用环境中，主体与客体的双向认证非常重要。从这一模型可以得出如下结论：对客体的访问控制是安全保密的核心，而对实体的（用户、主机、服务）认证是访问控制的前提。“金盾工程”应用系统中对实体的认证和访问控制有更高的要求。“金盾工程”中，不同的应用对上述安全服务需求不同。可以分成以下几类：向社会发布信息的应用系统。首先要求保证数据的完整性，防止非授权用户篡改数据；其次要保证系统的高度可用性，提供持续的、有效的服务；全社会都可以访问，无需认证；无密级信息，不需要保密服务；一定的审计手段，以防止万一数据完整性被破坏后的数据恢复和责任追查。对公安系统内部开放的信息和应用系统。提供一定强度的认证手段和访问控制能力，保证系统和数据的完整性和一定的可用性；提供完善的审计机制，以便检查系统的使用情况和责任追查。对业务部门内部使用的涉密系统。除上述安全服务以外还要提供信息保密服务，实现多级安全访问控制机制和数据保密机制。对系统的使用有完善的审计机制，机密通信有第三方公证，以防抵赖。3.2 协议层次系统都是有层次的，拿计算机网来说，从网络体系结构的协议层次角度考察安全体系结构，我们得到了网络安全的协议层次模型，如图6.3所示。图中实现上述安全服务的各种安全机制，并给出了它们在协议层次中的位置。该模型与OSI安全体系结构OSI-7498-2模型一致。图6.3 计算机网络协议层次模型3.3 系统、单元在工程实施阶段，各种安全服务、各协议的安全机制最终要落实到系统或者单元上，所以要针对系统或单元按照结构层次逐个设计安全保护方案，如通讯网保护方案、计算机网保护方案、无线网保护方案、卫星网保护方案、移动网保护方案、电话网和会议电视网保护方案等，在以后的各个部分详细描述。如图6.4所示，从单元角度来看，“金盾工程”计算机安全体系结构可以分成以下层次：物理环境安全，主要是物理环境下端系统的自身的安全。网络平台安全，即通信和计算机网络安全，一则保障网络自身的安全可靠运行，保证网络的可用性；二则为业务数据提供完整性、保密性的安全服务。应用系统安全系统平台安全网络平台安全制度保障技术保障安全政策物理环境安全系统平台和应用系统安全，为某种或多种应用提供用户认证、数据保密性、完整性以及授权与访问控制服务等。 单 元 安全保障图6.4 系统、单元安全模型其中，安全政策是针对安全风险而制定的安全原则、安全目标和需要遵循的各项安全管理制度等，是安全方案设计的指南和方向。安全政策是有一定的生命周期的，一般要经历风险分析，根据风险分析的结果，制定安全政策，根据安全政策设计安全方案，安全方案包括安全技术实现和安全保障的实施，安全保障包括技术保障和制度保障。安全保障是各项安全技术能够有效发挥作用的重要保证。安全保障的内容可以分成技术方面和制度方面。技术的保障包括安全服务的激活和关闭、安全相关参数设置、分发与更新（如密钥管理等）、安全事件信息的收集、分析与告警等。制度的保障如人员履历和信誉审查、安全责任的分配和监督、安全事件的报告程序、安全培训、安全违规处理等。本章以后的部分主要从“金盾工程”所涉及到的系统单元的角度出发，逐个描述各个子系统的安全方案，综合考虑每个系统单元在各个层次需要的各种安全服务（功能），然后考虑这些单元系统之间的逻辑关系，提供全面的、合理的的安全服务和保障措施。3.4 方案简介省市公安系统安全建设的方案设计包括物理安全、通讯安全、电话和传真安全、会议电视安全、计算机网络安全等，具体的介绍见以下几节。4 物理安全4.1 概述近年来，计算机信息网络及应用系统在全世界的迅速推广和普及使人们获取、交流和处理信息的手段发生了巨大的变化，深刻影响着人们的交流、工作、学习、生活和娱乐的方式，因此计算机网络安全问题也越来越突出。火灾、地震、海啸、雷电、电磁窃听和干扰等都严重危害网络安全，因此，计算机网络的物理安全保护也就必须被提到议事日程上来。我国公安部门的信息化需要为计算机网络安全物理保护。4.2 需求物理安全是指设备所处的物理环境的安全，是整个网络系统安全运行的前提。物理安全需要防范的风险主要有：不合适的温度、湿度、尘土，地震、水灾、火灾等；电源故障；设备被盗、被毁；信号窃听。4.3 方案物理安全主要在环境安全、设备安全和介质安全三个方面采取保护措施，如门控系统、监控报警系统和区域保护措施等。具体要求见省市保密指南BMZZ1-2000涉及省市秘密的计算机信息系统保密技术要求第3.1条的规定。（1）环境安全环境的安全主要是指机房环境的安全，包括：机房选址。要注意选择安全的地点，具有较强的防灾害（雷击、暴雨、电压、盗窃、水灾、火灾、地震等）、防干扰（电磁干扰，静电等）能力。机房环境。建议按照省市和规划局有关标准建设机房，安装必要的设备以便达到合适的温度、湿度，能够防尘、防静电、防水、防雷击、防电磁辐射；采用不间断电源，装备备用发电机。出入控制。机房要采取适当的出入控制措施，如机房加锁、出入登记、采用电子门禁系统等。机房人员。机房开辟专门的饮水间和娱乐间，工作人员不得在工作间吃喝、吸烟、打闹、打扑克、玩游戏等。区域保护和灾难保护；参见省市标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求。（2）设备安全主要指两类设备：网络专用设备（路由器，交换机等）和主机设备（终端计算机，服务器，防火墙等）。设备安全主要包括设备的防盗、防电磁辐射、防止搭线窃听、抗电磁干扰及电源保护等；设备冗余备份；严格管理、提高员工的整体安全意识。设备的安全性体现在：设备可靠性。采用高质量、高可靠的设备。如有必要，对关键的设备要在合适时候更换性能更好、功能更全、运行更稳定的产品。设备环境。设备存放环境如温度、湿度等符合设备要求。设备备份。重要设备有备份系统，例如硬盘镜像、双机备份、双链路等。设备安装。设备的安装要坚固耐用，尽量隔离存放，做到最终用户难以私自安装、拆卸设备的配件，最好象自动柜员机一样，用户能够接触的只有键盘和屏幕。（3）介质安全包括数据安全及存储数据的介质本身的安全。显然，为保证网络系统的物理安全，除在网络规划和场地、环境等方面满足要求之外，还要防止信息在处理、显示、传输时被窃听。通过接收计算机系统的电磁辐射和发射的信号可以截获信息。在物理上采取一定的防护措施，可以减少这方面的损失。防范措施主要在三个方面：为提高机房和设备的屏蔽效能，采取综合措施隔绝与外界的声、光、电磁信号联系，连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路采取辐射抑制措施。由于电缆传输信号时不可避免地产生信号辐射现象，因此建议采光缆传输的方式，在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。无线传输一定要采用加密技术。对终端设备辐射的防范。终端如CRT显示器，由于高电压的存在，有很强的信号辐射，但终端的使用特点又决定了不宜采用屏蔽室的办法来防止辐射，故除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取，集中存放的终端也可考虑采用有窗子的装饰性屏蔽室，这种方法虽然降低了部份屏蔽效能，但可大大改善工作环境，使人感到在普通机房内一样工作。（4）电磁防护计算机系统通过电磁泄漏会造成信息在空间上的扩散，采用专用接收设备可以远距离接收还原信息，造成泄密。电磁泄漏发射防范措施主要在四个方面：用屏蔽房间把网络信息设备与周围环境隔离，防止电磁波向屏蔽室外泄漏。屏蔽室适用于网络中心机房及设备集中使用、处理绝密级信息的系统。采用低辐射网络信息设备将电磁辐射减小到规定的强度，使窃听信息成为不可能。这种方法适用于设备分散使用、处理绝密级信息的系统。以电磁波的形式对网络信息设备电磁泄漏发射进行干扰，使窃听方不能提取信息。网络传输采用光缆或屏蔽的传输线缆。计算机电磁辐射泄密问题已经引起了各个省市的高度重视，要防止这些信息在空中传播，必须采取防护和抑制电磁辐射泄密的专门技术措施，这方面的技术措施有：干扰技术、屏蔽技术和Tempest技术。 （5）干扰技术干扰技术又可分为白噪声干扰技术和相关干扰技术两种。白噪声干扰技术的原理是使用白噪声干扰器发出强于计算机电磁辐射信号的白噪声，将电磁辐射信号掩盖，起到阻碍和干扰接收的作用。这种方法有一定的作用，但由于要靠掩盖方式进行干扰，所以发射的功率必须够强，而太强的白噪声功率会造成空间的电磁波污染；因此白噪声干扰技术在使用上有一定的局限性和弱点。相关干扰技术较之白噪声干扰技术是一种更为有效和可行的干扰技术。相关干扰技术的原理是使用相关干扰器发出能自动跟踪计算机电磁辐射信号的相关干扰信号，使电磁辐射信号被扰乱，起到乱数加密的效果，使接收方接收到电磁辐射信号也无法解调出信号所携带的真实信息。（6）屏蔽技术屏蔽技术的原理是使用导电性能良好的金属网或金属板造成六个面的屏蔽室或屏蔽笼将产生电磁辐射的计算机设备包围起来并且良好接地，抑制和阻挡电磁波在空中传播。设计和安装良好的屏蔽室对电磁辐射的屏蔽效果比较好，能达到6090db以上。如美国研制的高性能的屏蔽室，其屏蔽效果对电场可达140db，对微波场可达120db，对磁场可达100db。妨碍屏蔽技术普遍应用的问题是屏蔽室的设计安装施工要求相当高，造价非常昂贵，一般二、三十平方米场地的屏蔽室的造价即需几十至上百万元。因此屏蔽技术较为适用于一些保密等级要求较高、较重要的大型计算机设备或多台小型计算机集中放置的场合，如国防军事计算中心、大型的军事指挥所、情报机构的计算中心等。（7）防信息泄露技术（Tempest）Tempest技术即低辐射技术。这种技术是在设计和生产计算机设备时，就已对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取了防辐射措施，把电磁辐射抑制到最低限度。生产和使用低辐射计算机设备是防止计算机电磁辐射泄密的较为根本的防护措施。“Tempest”是美国制定的一套保密标准，国外一些先进的工业省市对Tempest技术的应用非常重视，使用在重要场合的计算机设备对辐射的要求都极为严格。具体泄漏发射防护的具体要求见省市保密局指南BMZ-2000涉及省市秘密的计算机信息系统保密技术要求第5.6条的规定。（8）加密技术对通过无线、卫星、移动系统传输的信息采用加密技术防止窃听。4.4 论述通过采用以上防护措施，可以在提高计算机网络的安全系数方面有很大帮助，使来自互联网上攻击等人为因素的影响降至最低，同时也大大降低了诸如火灾、雷电、地震等非人为因素对计算机网络安全的影响，从而使计算机网络安全得到根本保障。5 通信安全5.1 概述公安机要通信系统包括公安机要通信网络平台和公安机要通信业务两方面的内容。公安机要通信业务种类包括：机要电话、机要传真、机要数据、机要电视电话会议等。公安机要通信网络平台主要使用公安通信网，在特殊情况下使用公安应急通信系统。公安通信网是公安机关的通信基础设施，从传输业务角度可分为电话网、无线网、卫星网，从传输方式上可分为有线网、无线网、卫星网。应急通信系统是为了处理突发事件而临时启用的通信系统。图6.5描述了公安通信网（按照业务种类来划分）的内容。图6.5 公安通信网（按照业务种类来划分）的内容根据信息网络技术的发展趋势，公安部已经明确了电话网的总体建设思路，即模拟话路向数字话路过渡；待全国计算机网建成后，逐步将电话网和计算机网合二为一，在IP融合技术基础之上实现视讯、话音和数据的综合传输。因此，机要通信系统的建设必须符合这一趋势。下图描述了电话网和计算机网逐渐融合后公安通信网（按照业务种类来划分）的内容。机要通信系统和计算机业务系统的关系表:计算机业务系统机要通信系统业务内容主要运行公安各个业务系统，如人口、刑侦、缉毒、打拐等系统。还包括办公邮件等业务。主要传输涉及机要内容的、纳入机要管理的机要信息。通信手段建立在公安通信网的计算机网之上，目前主要是IP业务。建立在公安通信网（非计算机网部分）之上，运行的是话音、传真、移动、数据、视讯等传统通信业务。涉密内容既有涉密信息，又有普通信息全部是涉密信息（普密、核密）发展趋势逐步普及目前有向IP业务过渡的趋势（如IP电话等）。5.2 需求公安机要通信业务具有其特殊性：业务种类多，涵盖话音、传真、数据、视讯等方面的机要业务。业务信息全是涉密信息，密级包含普密和核密。其承载网独立性较强，自成体系。必须严格遵守省市的有关机要工作的规章制度。具有严格的机要管理制度，完善的管理措施。因此为了保障机要业务信息的安全，必须做到：保障机要通信业务承载网的可靠安全。保障机要信息在传输过程中的保密性和完整性。用技术手段和管理手段相结合的措施。技术上采用经省市主管部门审批的密码设备。管理上遵照省市有关政策法规，根据公安部门机要工作的实际情况，制定相应的管理措施，并严格贯彻执行。5.3 数据通信网安全保密设计数据通信网采用信道加密技术。信道加密是指对传输中继线进行加密。从整个公安有线电话网来看，级间干线传输信息量大，大部分是长途线路，泄密很容易发生在这段线路上，而且一旦泄密事件发生影响的用户群也很大，如果在这些中继信道添加信道保密机，就可以大大提高整个电话网的保密性。在本次工程中，通信传输采用租用DDN链路复用成ATM的方式，故链路加密选用E1群路加密设备。5.3.1 网络密码机。如果采用ATM，FR信道来传电话信息，则可以采用ATM密码机、FR密码机实现骨干信道的加密。ATM密码机采用密钥捷变技术实现ATM信元加密，不同的信元采用不同的密钥，只对信元的净荷进行加密，信头以明文形式传递，能为ATM网络用户的数据、话音、视频等业务提供安全保障。该产品属国内首创，密码算法通过省市主管部门审查批准，整机安全性设计方案通过省市主管部门测试审查。接口方式为155.52M的SDH/SONET标准和2.048M的E1标准，适用于集团跨区域宽带通信加密。FR密码机采用在线自动密钥分发，通信时自动定时更换消息密钥，对当前的数据通信业务无任何影响，自动适应调整通道带宽，满足突发业务需求，支持1024条虚电路，自适应CISCO、ANSI、CCITT等多种帧中继协议。5.3.2 IP网络加密机。若使用IP电话，可以采用IP层的密码机来实现IP电话的加密。网络密码机为用户提供基于IPSEC的IP包机密性、完整性保护，接口为2个以太网卡接口（10M/100M自适应），1个RS-232串口，支持TCP/IP、UDP/IP通信协议，适应PSTN、卫星、X.25、FR、DDN等多种信道，密码算法通过省市主管部门审查批准，整机安全性设计方案通过省市主管部门测试审查。6 公安移动通信安全保密设计公安移动通信网主要是指公安集群系统，话音业务是移动网的主要业务。作为公安人员室外办案的主要工具，会有很多敏感信息通过无线信道传送，因而需要提供公安集群系统加密的手段。现阶段在公安集群系统中，大部分语音业务都是在移动网内发生，但也有与有线网通信的需求。另外，集群系统中可能只有部分用户需要加密功能。根据这种特征，我们给出了一个移动通信网的加密解决方案。图6.9 移动通信网的加密解决方案基站内保留部分信道用做加密通信，并在相应位置为每一个这种信道配备保密模块。与这部分信道相对应的移动终端为加密终端，加密终端呼叫后，控制信道总是将其分配到加密信道上进行通信。保密通信的发生应有如下几种情况：）当通信发生在同一移动区域内的两部加密终端之间时，两个终端之间是端到端加密过程，此时基站只完成信号的转接，而不进行加解密操作。）当加密终端与普通终端之间通信时，加密信号经过基站时被解密，从而保证了明密终端之间的互通。）当加密终端希望与其它区域终端或有线网中电话进行通信时，加密信号经过基站时被解密此时只完成本段移动网的加密，其它线路段由另外的加密机制解决。这种方案能够完成移动网内的加密，不过它要求集群系统中的设备相对统一，因为对终端和基站的加密都与设备本身情况有关对于终端来说，终端本身体积小，电源有限，保密模块的加入要考虑物理接口、形状、耗电等诸多因素对基站来说，要考虑保密模块与基站之间的控制问题如果网络内不同厂家、型号的设备多，就需要不同型号的保密机与之匹配，会增加很多投资。6.1 通过电话拨号进入网络的PC机通过电话拨号进入网络的台式PC机，其安全保密配置与局域网中的PC基本相同。但这类用户在进入业务系统之前首先必须通过接入网络的身份认证，因此这类用户的客户端安全保密设施除了必须具有上节所述的功能外，还必须具有网络安全接入的功能，并使用与业务安全保密同一硬件平台，从而进可能地降低成本和方便管理，即用户须：安全接入功能；业务安全保密功能；网络安全接入与业务安全保密共用硬件平台。6.2 通过电话拨号进入网络的便携式PC机便携式PC的安全保密设施如下：涉密类别安全保密设施安全保密设施安装分发方法电子身份证派发方法向高一安全级升级方案无密级普通用户（过渡）口令通过软盘分发电子身份证、下载安全软件无密级普通用户软电子身份证和软件通过光盘或网页自动下载CA通过RA派发后通过软盘分发可以将软的电子身份证和秘密密钥导到IC卡或重新产生证书；将软件和读卡机或USB认证盒派发到用户IC卡认证USB认证及软件将软件和USB认证盒派发到用户CA通过RA派发后通过IC卡分发证书不必更换，要将IC卡上的内容导到PCMCIA卡；将USB认证盒换为PCMCIA加密卡认证并加密PCMCIA加密卡及软件将软件和加密卡派发安装到用户PCCA通过RA派发后通过软盘分发由于便携式PC的易携带性，因此一个便携式PC很可能为多人所共用。在这种情况下，为了仍能够区分不同用户的角色身份，客户端必须配置电子身份证的导出导入工具，各人在使用前只要将其自己的电子身份证导入系统如PCMCIA卡，访问时系统就能判别用户的身份并给予不同的权限。为了实现便携式PC机随时随地接入网络和系统的需要，安全保密设施必须同时实现安全接入和业务系统安全保密两个功能。7 计算机网络安全体系计算机网络的安全体系是一个三级结构，主要包括以下子系统：防火墙系统、入侵检测系统、漏洞扫描系统、网站保护系统、终端监控和保护系统、病毒防护系统、异地备份中心，各个子系统的详细情况在以后几节描述，总体设计示意图如下,其中安全控制中心负责入侵检测系统、病毒防护系统、漏洞扫描系统、终端监控系统、网站保护系统的集中策略配置、安全事件库的及时更新等。图6.3 公安计算机网络安全设备部署图7.1 防火墙安全防护体系7.1.1 概述防火墙是重要的网络安全设备，可以完成多种任务。保护脆弱的服务。通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问。Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。集中的安全管理。Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过防火墙的次认证即可访问内部网。增强保密性。使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。记录和统计网络利用数据以及非法使用数据。Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。策略执行。Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。7.1.2 要求(1) 安全性：即是否通过了严格的测试。(2) 抗攻击能力：对典型攻击的防御能力(3) 性能：是否能够提供足够的网络吞吐能力(4) 自我完备能力：自身的安全性(5) VPN支持(6) 鉴别和认证特性(7) 支持服务的类型和原理(8) 网络地址转换能力(9) 高扩展性(10)远程管理7.1.3 方案和讨论利用防火墙实现省级公安系统内部各级网络层次间的访问控制，各级公安系统的公开信息发布平台与外部互连网的访问控制；公安系统与政府专网间的访问控制与隔离；实现公安系统内部机关局域网内不同部门之间的隔离和访问控制；实现机关局域网内不同信任区之间的隔离和访问控制；实现对公开服务器的安全保护以及对远程用户的安全认证与访问权限控制；并且能够实现对专线资源的流量管理与控制和防攻击。 省级公安系统内部各级层次间的隔离与访问。省市公安部与各地市公安机关之间的隔离与访问控制。公安部防火墙系统安装在内部网与连接一级网节点的边界路由器之间，配置如图6.10所示。防火墙的配置实现不同网络之间的隔离和访问控制，其下属的各省级公安机关用户只能访问公安部某些指定的服务；屏蔽内部网结构；对访问行为进行过滤、监控、记录，并进行安全审计。图6.10 防火墙系统配置公安系统的网络节点之间的访问控制与其所辖的下级网络节点的隔离与访问控制。在省级公安机关与其所辖的地市级公安机关之间安装防火墙，实现在二级之间的访问控制和隔离。对进出防火墙的行为进行监控、过滤、强的审计；隐藏各网络内部网结构等。公安机关二级网络节点与其所辖的三级网络节点的隔防与访问控制。 这一配置与一级网络节点与二级网络节点的配置相似。公安机关局域网之间办公信息的流转控制。在公安系统广域网上使用基于广域网的OA系统进行办公的流转。对于上级机关与其下级公安机关之间办公信息流转控制，主要通过开发办公平台系统本身安全机制，提高OA系统的安全性，实现对信息和用户的权限划分，达到对广域网上办公信息的流向控制、访问控制。在本系统中，主要实现的是：各级公安机关的下级机关不能直接访问其上级公安机关的OA系统。通过防火墙的控制，上下级之间办公信息的交互只能是两个服务器之间的交互。各级公安机关与政府专网之间的隔离和访问控制。公安系统有与政府专网的连网需求，我们可以在公安机关的在主干交换机上划分VLAN可实现不同部门、政府专网之间的隔离。并采用防火墙系统，利用防火墙和VLAN技术，实现公安系统与政府专网之间强的访问控制。 实现各级机关局域网不同信任区的隔离与访问控制在这里主要用防火墙来隔离一个网段与另一个网段。这样，防止影响一个网段的问题穿过整个网络进行传播。目前可以通过对主干交换机划分VLAN的方式，在各级机关LAN内，公开服务器区、实时数据中心、服务器区、不同部门子网之间的相互隔离。整个公安系统广域网络防火墙配置示意图如图6.11所示，对公安部机关局域网和各省级公安机关网络而言，所有外接的任何专网都是不可信任网络，隔离不同网络并根据公安系统内部的安全政策来控制（允许、拒绝、监测）出入网络的信息流。图6.11广域网防火墙7.1.4 选型省市公安系统需要尽可能使用具有自主知识产权的产品。通过以上几项技术的综合应用，将构建多层防御体系，使网络的安全系数明显提高。（1）多级过滤技术多级过滤是防火墙技术主要功能之一， 在这里对防止网络攻击起到最重要的作用，多级过滤是基本的安全服务，即对主体访问客体的权限或能力的限制，以及限制进出网络（出入限制）和限制使用网络资源（存取控制）。地址过滤：通过定义源地址、目标地址的过滤规则把来自非法网络和地址主机或发向受保护主机的数据包拒之门外。协议与端口过滤：通过定义源、目标地址的协议与端口规则，实现协议与端口过滤。比如，对ICMP的端口（类型域）进行限制，可以防止有些黑客通过获取网络控制信息探测网络IP地址与结构信息；对TCP与UDP的端口进行限制，也可关闭或打开某些服务。过滤网络服务请求防火墙可以开放对服务器的特定服务（如HTTP、FTP或SMTP等）访问，而拒绝其它应用的请求，使非法访问在到达主机前被拒绝。基于操作权限的控制多数应用通常都设有多种访问权限，如FTP、HTTP等。不同用户登录到主机后所能执行的操作应该有所限制。一般的用户只能拥有读数据的权利，而无写的权利，即如果一般用户向服务器发出写操作的请求，该数据包在到达防火墙时，就会遭到拒绝。（2）状态检测技术状态检测技术是将所有的OSI分层抽取的包过滤所需的状态相关信息，维护在动态更新的状态表中，并将这些信息用于在网络层拦截过滤数据包，在基于规则的检测中，属于同一连接的不同数据包是毫无关系的，状态检测将属于同一连接的所有包做为一个整体来看待，它不仅检查OSI通讯层的数据，也分析先前通讯的状态信息，更为重要的是状态检测理解IP协议家族的内部结构及其上的应用，能从数据包的应用内容中抽取数据作为上下文信息，提供给没有提供内容信息的应用，防火墙将状态检测模块安装在操作系统的内核，在网络层以下，因此在数据包到达网关操作系统前，不会被任何更高层协议处理。（3）安全服务器网络（SSN）技术SSN是英文Security Sever Net的缩写，它是指防火墙单独提供一个物理接口，来连接由公开服务器或应用服务器组成的网络，并由防火墙通过访问控制的方法对上述服务器进行保护。SSN是在DMZ（非军事化区）的基础上提升的一个新的概念。在DMZ的概念下，网络的结构如下：这种情况下应用服务器或公开服务器不受防火墙的保护。它们的安全主要是靠关闭不需要的服务或在操作系统中配置一些访问限制的方法实现，这就是所谓的堡垒主机。其实堡垒主机就是防线中的突出部分，是最容易受到攻击的。建立堡垒的目的就是通过牺牲堡垒来减少敌方对整个防线的攻击，DMZ只是在内、外部网络网关间存在的一种防火墙方式，一旦DMZ受到破坏，内部网络便暴露与攻击之下，而SSN在内、外网之间都由防火墙保护，即使受到破坏，内部网仍处于防火墙保护。SSN的结构如下： 在SSN当中的服务器是受到防火墙的保护的，这样与DMZ比较至少有如下几个优点：可以避免服务器操作系统本身的安全漏洞带来的安全隐患。可以将DMZ中基于主机的安全升级为基于网络的安全，通过防火墙的访问控制来实现对服务器的保护，减少由于堡垒主机因配置的不当而形成的堡垒本身的安全隐患。对于一些应用服务器这一点尤为重要。安全服务器网络技术采用分别保护的策略对企业上网的公开服务器实施保护，可以将防火墙的一个端口配置成SSN，也就是把公开服务器作为一个独立的网络来处理，公开服务器既是内部网络的一部分，又与内部网络完全隔离。对SSN上的主机即可单独管理，也可设置成通过FTP、Telnet等方式从内部网络上管理。（4）透明接入和NAT技术 为防止网络黑客对端口地址的探测扫描，网络卫士防火墙利用了透明连接技术和NAT技术，透明连接技术指在防火墙连接端口上不配IP地址，使防火墙在网络中不可探测及访问，提高防火墙本身的安全性，有效保护受控网络，降低系统登录的安全风险； NAT技术指防火墙能透明的对网络地址做转换，并可根据用户需要灵活配置。当内部网用户需要对外访问时，防火墙系统将会代替用户进行访问，并将结果透明地返回用户，使外部网络无法了解内部网络结构，同时解决IP地址不足的问题，这样隐藏了内部网的结构，强化了内部网的安全。如果希望内部网络中的服务器可以让外部用户访问的话，可以利用反向NAT系统，为内部网络服务器作静态地址映射，支持虚拟服务器，这样外部用户就可以通过防火墙系统直接访问该服务器了。（5）一次性口令（One Time Password简称OTP）认证技术目前，比较流行且安全强度比较高的一种认证技术是OTP技术，即一次性口令认证技术，当前功能较强的防火墙往往带有这种功能。具体而言，一次性口令用户认证的基本过程是：首先用户向防火墙发送身份认证请求，并指明自己的用户名；防火墙收到请求后，向用户提出询问；用户收到询问后，结合自己的口令，产生答复；防火墙判断用户答复是否正确，并给出相应信息。如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于在网上传输的用户口令每次都在变化，因此采用一次性的口令认证机制，即使窃听者在网络上截取到口令，也无法再利用这个口令与内部网建立连接。在实际应用中，用户采用一次性口令登录程序登录时，防火墙向用户提供一个种子及循环计算次数，登录程序根据用户输入的口令、种子及计算次数算出一次性口令传给防火墙。种子是公开的，用户可以在不同的服务器上使用不同的种子而口令相同，每次在网络上传输的口令也不相同，或用户可以定期改变种子来达到安全的目的。可以根据系统的安全策略，将一次性口令认证与防火墙其它安全机制结合使用，实现对用户访问权限的控制，即控制经过认证用户访问的网络、网段、主机、协议、端口、应用等。同时，一次性口令认证方式也可以用来控制内部网络用户的对外访问。7.2 入侵检测和漏洞扫描系统设计7.2.1 概述网络越来越复杂，实施网络安全策略也变得越来越困难。在一些网络系统中，安全漏洞的增长已大大超出了技术人员可以有效解决的能力范围。更糟糕的是，新的漏洞随时都会在网络环境中出现。由于在这样的企业中找不到能在这样复杂的动态的环境中评估保护的安全专家。导致在企业的安全策略和实际的安全实施之间的出现更大漏洞。为了降低安全策略和实施之间的差距，企业需要有效的手段、工具来随时评估和实施网络安全。网络系统的安全问题分为三个层次：基础安全部分，即安全硬件和操作系统平台的安全性；安全防护部分，即类似如防火墙和其他安全产品的使用；网络系统的动态安全部分，定期动态进行网络安全性分析。以上三个层次的安全问题，人们对前两个已有了足够的认识，并采取了相应的安全措施，第三层次的安全意识，随着安全问题越来越突出，人们的意识也随之增强。网络系统的安全是一个动态发展的过程。随着系统配置的不断更改，Hacker技术不断提高，网络系统的安全系数会不断的变化。- 如何及时发现网络系统中出现的薄弱环节？- 如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安全性。人工的分析和发现系统的漏洞是不实际的并且也是不全面的。彻底解决这一问题并不容易。因为绝对的安全并不存在。对大多数企业来说：第一步是采取一种安全策略，以确定哪些行为是可以被接受的；第二步是对该安全策略进行加强并评测其有效性。此外，在配置新的机器或新的应用系统时，往往会忽略与安全相关的各类问题。可见,在集中的策略和分散的行为间会存在着巨大的裂痕。在一个不断变化的网络环境中,发现问题并采取相应的补救措施,已成为一项重大的任务，这就是网络系统的安全性检测评估。动态安全的概念是：帮助管理员主动发现问题。通过对网络的实时监控，对网络上出现的安全问题及时响应并解决。主要针对的问题是网络系统平台本身的安全（安全评估）及监控网络内部数据流（入侵检测）。由于网络具有开放性，使主机、网络设备直接面对大量的攻击的可能。攻击可能来自于网络的各个方面。而日益增加的网络攻击手段，也不断地降低网络的安全性。操作系统的日益复杂，协议本身的安全漏洞，都是对网络的大量威胁。综上所述，全省公安网络系统需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具，以保证整体网络系统平台安全。我们建议采用启明星辰信息技术公司研制开发的网络入侵检测系统和漏洞扫描产品。7.2.2 要求网络安全评估和安全检测预警系统，目前在国外被广泛使用，它是提供有效安全的一个主要工具和手段。其主要目的