公安局网络安全方案

1、公安局网络安全方案TPMK StandardiZation OffiCe TPMK5AB- TPMKO8- TPMK2C- TPMKl 8某公安局网络安全方案(建议稿)一、某公安局网络现状某公安局网络作为信息基础设施，是机关信息化建设的基石。某公安局网络开通 到上级省厅及全国各地公安网站的数字专线出口，与局内各楼、其它一些分局及派出 所和INTERNET连接。某公安局网络提供公安局各单位的互联通道，实现机关局域网 络全部节点及终端设备的网络互联和系统集成，实现以信息交换信息发布为主的综 合计算机网络应用环境，为公安局管理、领导决策提供先进的技术支持手段。整个某公安局网络通过统一的出口 I 64

2、K的DDN专线接入上级省厅及全国各地公 安网站，网络主干网通过一个MOtOrIa (S520)路由器连接到上级网络。某公安局网 络在物理结构上主要分成两个子网，两个子网通过路由器连接。在逻辑上，某公安局 网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在 整个，规模较大。某公安局现有网络的拓扑结构见图一所示。某公安局网络已经有了比较成熟的应用，包括WWW服务，Mail服务，DS服务等 的一些其他应用，如内部信息等，也已经转移到网络应用之上的Web应用主要是用于 内部信息的管理，应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。某公安局网

3、络还没有采取安全措施以保证信息的安全不受到侵犯。以上是某公安局网络及其应用的现状。二、某公安局网络安全需求分析应用层K应用层表示层h表示层F会话层会话层V传输层h传输层<网络层k网络层F数据链路层h数据链路层K物理层物理层F互连的物題介质主机安全措矗 身份认证加密加密身份认证' 不可否认J数宇签名身价认证'口令' 访问控制'幅身份认证,访问控制J 加密,致性檢査某公安局网络系统现在的Web应用主要是用于公安局内部信息管理，因而存在着强烈的安全需求。网络安全的目标是保护和管理网络资源（包括网络信息和网络服务）。网络安全的需求是分层次的。ISO/OSI网络模型

4、将网络分为7个层次，在不同层 次上的安全需求如上图所示。某公安局网络的安全需求覆盖网络层以上的部分，并且有安全管理的需求。可以 把某公安局网络的安全需求分为三个大的方面：网络层安全需求、应用层安全需求和 安全管理需求。目前第一期解决网络层安全需求1. 网络层安全需求网络层安全需求是保护网络不受攻击，确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的，包括： 隔离内外部网络； 实现网络的边界安全，在网络的入出口设置安全控制； 实现安全漏洞检测，及时发现网络服务和操作系统存在的安全隐患，及时采取补救措施，将安全风险降到最低。具体而言，某公安局网络系统在网络层的安全需求可以描述为：D

5、解决网络的边界安全，防止外部攻击，保护内部网络；通过防火墙和应用代理隔离内外网络；2）内外网络采用两套不同的IP地址，实现地址翻译（NAT）功能；3）根据IP地址和TCP端口进行入出控制；4）基于IP地址和MAC地址的对应防止IP盗用；5）基于IP地址计费和流量控制；6）基于IP地址的黑白名单；7）防火墙对用户身份进行简单认证;8）根据用户身份进行入出控制；9）基于用户的计费和流量限制；10）URL检查和过滤C2. 应用层安全需求某公安局网络应用层安全需求是针对用户和系统应用资源的，必须确保合法用户 对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统而周密的 规划，根据规划采取

6、相应的安全管理手段来保证系统的实用、可靠和安全性。某公安局网络应用主要是应用于公安局内部的信息管理，因而：D 外部非授权用户不得拥有访问公安局内部信息的权限；2）内部、外部授权用户只能拥有系统赋予的访问授权；3）不同级别的内部用户拥有对信息的不同访问权限；4）不同部门的内部用户拥有对信息的不同访问权限；）某个部门的信息可以授予其他部门内部用户一定的访问权限；6）授权用户不论在什么地方，什么时间，对信息的访问权限应该是一致的；某公安局网络应用层的安全威胁主要是:身份窃取和假冒 数据窃取和篡改 非授权存取 否认与抵赖以上安全威胁产生的安全需求如下： 数据保密：由于无法确认是否有未经授权的用户戡取网

7、络上的数据，需要一种手段来对数据进行保 密。数据加密就是用来实现这一目标的。 数据完整性：需要一种方法来确认送到网络上的数据在传输过程中没有被篡 改。数据加密和校验被用来实现这一目标。 身份认证：需要对网络上的用户进行识别，以确认对方的真实身份，保证身 份不被窃取与假冒。 访问授权：需要控制谁能够访问网络上的信息，并且他们能够对信息进行何 种操作。访问授权能够防止对系统资源的非授权存取。 审计记录：所有网络活动应该有记录，这种记录要针对用户来进行，可以实 现统计、计费等功能；还可以防止否认，确保用户不能抵赖自己的行为，同 时提供公证的手段来解决可能出现的争议。通过应用层的安全管理，最终要使某公

8、安局网络系统达到下面的目标:1）面向所有服务的粗粒度的安全控制: 解决网络的整体安全，内外兼防，保护数据和信息安全； 用户和服务器之间实现严格的身份认证； 基于严格身份认证的统一授权管理； 访问控制粒度要求达到TCP端口一级； 数据传输时加密以实现数据保密和不可抵赖等； 实现审计记录功能。2）面向Web服务的细粒度的安全控制： 要求解决WEB应用的整体安全，内外兼防，保护数据和信息安全； 解决HTTP的安全问题； 解决CGl的安全问题； 用户和WEB应用服务器之间实现严格的身份认证； 根据用户身份实现WEB空间的统一授权管理； 访问控制粒度要求达到文件和页面一级； 实现WEB空间的安全单点登录

9、； 实现WEB空间的目录服务； 实现信息访问频率和用户访问频率统计。3）由于某公安局客户端的地理分布广泛，要求系统的安全控制支持公钥系统，支持SSL协议；3. 安全管理需求3. 1网络层安全管理网络层的安全管理主要结合网管系统进行，主要内容如下： 完成对路由器、交换机、访问服务器的安全配置，具体包括：设备配置授权、路由配蒼、VLAN配普（根据端口或MAC地址）、IP过滤配置、TCP端口访问控制、拨号认证（ RADlUSo TACACS +等）配 瞥、路由器加密配普等。 完成防火墙的配普，具体包括：防火增操作系统配普、基于规则的IP过滤配普、安全TCP端口及访问 授权配普、内容过滤配瞥、NAT地

10、址翻译配置等； 堡垒主机配普，包括各应用代理或应用网关的配置。 安全检测软件配普:包括网络服务漏洞检测和操作系统漏洞检测。3.2应用层安全管理 完成用户注册，建立用户档案，完成用户分组，形成全网统一一致的用户空间； 完成网络资源的统一配置，形成全网统一的资源空间； 根据用户身份完成访问授权配瞥，形成全网统一一致的授权管理； 支持单点登录，实现基于单一口令的访问控制； 形成访问记录，为统计和分析提供爭实依据，并且防止抵赖，为爭故责任分析奠定基础； 通过实用的安全管理软件实现安全管理，4. 信息资源的安全分类某公安局网络的信息资源的安全分类如下: 公众信息-不需要身份认证和访问控制； 内部信息-需

11、要身份验证并根据身份进行相应的访问控制； 敏感信息-需要验证身份、根据身份进行相应的访问控制而且在信息传输 过程中采取加密措施。某公安局网络的服务类型的安全分类如下： 内部服务-面向内部的授权注册用户，管理和控制内部用户对信息资源的 访问。根据用户的身份或角色，对用户可使用的服务进行授权，包括对外的 访问。 公众服务资源-面向互联网络，防止和抵御外来的攻击。某公安局网络安全解决方案某公安局网络安全系统的总体目标是根据前面提到的所有的安全需求，解决某公安局网络系统的安全问题。 采用昊普创业安全防范技术公司拥有的从网络层到应用层的一整套网络安全技术和产品，我们为某公安局网络系统设计了包括网络层、应

12、用层安全控制、网络安全管理和安全监测的一套立体的、全方位的安全解决方案。 考虑到的实际情况，我们设计了一个两期的方案，可以逐步实现某公安局的完全的安全防范扌苜施。1一期解决方案不论什么情况，考虑网络安全问题必须同时注意到网络层和应用层两方面的安全问题，在某公安局网络安全一期 解决方案中也是这样考虑的。1.1安全网络拓扑结构 某公安局网络安全系统一期解决方案需要实现网络层和应用层的基本安全配普：包括边界防火墙的配普，应用层 安全服务器的基本配普。一期解决方案的安全网络拓扑结构见图三所示。内部网络通过路由器连接到省厅网络和InternetO在路由器后面 设普了一个带三网卡的HoxTiger 件防火

13、培，实现网络层的安全控制。其他在3COM1500路由器后面设普了一个 带双网卡的HotDOg计费型防火墙，实现网络层的安全控制防火墙后面连接昊普公司的HOtCat安全认证计费系 统，实现应用层的安全访问控制和安全管理，1. 2边界防火墙HotDog的配置边界防火墙采用昊普创业HOtTiger皎件防火墙。其他采用HOtDog该产品运行在具有安全核心的操作系统的基础 上，保证防火培的平台安全。在某公安局网络安全系统一期建设中：将使用带双网卡的HotDog,并启动其IP包过滤、IP计费、地址翻译XAT、 IP和MAC地址对应功能以及应用代理服务SQUIDO边界防火 HotDog ±面有两块

14、网卡，可以配置两个不同的IP地址，其中一块使用合法的IP地址，另一块使用内 部保留地址，如，实现地址翻译NAT功能，达到隐藏网络内部地址的作用。通过HotDOg,可以隔离内外网络，解决网络的边界安全问题HOtDog具有基于规则的包过滤功能，可以根据IP 地址和TCP端口进行入出控制。同时HotDOg可以把IP地址和网卡的MAC地址对应起来，防止IP被盗用的危险。HOtDog同时是一个应用代理防火墙，可以通过应用代理隔离内外网络.：.HOtDog支持简单的用户身份认证，可以根 据用户身份进行入出控制。HotDOg具有比较全面的计费功能。HotDog的计费是可以根据IP和用户进行双向计费的，就是说

15、可以针对内部网络的IP进行流出和流入的计费，也可以针对外部网络IP到我们的防火墙的流量对其进行计费，而且对于要求用户验证方式的FireWalI/Proxy , HOtDOg还可以提供基于用户的流量计费。1. 3应用层安全拨号认证计费服务器HOtCat的配置在边界防火墙HotDOg之后，设普了一个应用层的安全服务器，采用昊普创业HotCat拨号认证计费系统。一期建 设使用一个带IOOt 000用户的HOtCat拨号认证计费安全服务器软件。某公安局网络运行的应用很多，解决应用层的安全问题是这次网络安全解决方案的重点。在传统的观念中，配普 防火墙就是解决安全的全部。爭实上，网络建设中网络部分仅仅是一

16、个基础，更重要的是建立公安局的网络应 用，就如我们不是为修路而修路，而是为了跑车才修路。前面我们分析了某公安局网络系统的应用层安全需求，通过HotCat拨号认证计费安全服务器软件，将解决这些问 题HotCax一网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的RadlUS（Remote AUthentiCatiOn DIal In USer SerViCe）认证和计费标准，具有良好的扩展性和兼容性。该系统运行于UniX和 LinUX系统环境下，与HOTCAT网猫2. 1计费系统结合可以完成对拨号上网用户的身份认证和计费全过程。此系统包括三个模块：用户身份认证模块,实时记

17、录模块和计费模块。HOtCat一网猫系统可运行在各种常见的UNlX平台上。目前经过实际测试的有以下操作系统：SUn公司的SOIariS 2. 5. 1 （以上）操作系统；LinUX Redhat 5. 0 （以上）操作系统。二、用户身份认证模块（RadlUS模块）用户身份认证模块提供对拨号用户的身份认证和属性设普，它能实现以下功能：用户身份认证用户权限设普1、限制用户的同时上线数目2、限制用户的上线时间3、禁止用户上线三、费用计录模块（BUIddbm模块）HOTCAT-网猫2. 1计费系统将从该文件中读取信息并进行费用计算，四、费用计算模块（HotCat一网猫2. 1模块）五、系统支挣环境及其

18、运行. 1系统运行环境HotCat一网猫拨号上网认证及计费系统运行在UNlX环境下，目前经过测试的系统平台有：SUn公司的SoIarIS 2. 5. 1 （以上）操作系统LinUX Redhat 5. 0 （以上）由于我们同时支持SoIarIS和LinUX操作系统，因此HOTCAT-网猫2. 1计费系统可以运行在SUn服务器和低档PC 服务器上。但对计费系统这样需要大计算趙和高可靠性的系统而言，我们并不推荐使用低档PC服务器，另一方 面，低档服务器所能容纳的用户数呈也较少。5. 2系统性能评价到目前为止，已经有两家中等规模（用户数在一到两万人之间）的ISP公司购买了 HOTCAT一网猫2.1系

19、统，并使 用了近两年。使用的便件设备罡SUn UItra 2服务器，运行环境为SUn SOlarIS 2. 5. 1操作系统。经统计分析， 每台SUn UItra 2服务器大约能支持& 000到10, 000左右的用户，能支持大约600-SOO个同时上线用户；在容纳 10,000用户的情况下，计费系统每天运算时间大槪为3至6分钟不等，运算期间占用处理器95弔以上的资源，计 算时间选择在凌晨两点进行5. 3系统的运行利用UniX CrOntab可以在每天定时运行HOTCAT网猫2. 1系统，对前一天的用户信息进行统计分析。由于运算要 占用大呈的系统资源，因此通常选在凌晨02:00:00到

20、05:00:00之间进行，这时的网络和服务器都接近空载运 行，因此对系统的影响最小。除了 report32在月底结算时运行外，其余SS32、day32. month32程序都是由UNlX Crontab激活，每天凌晨定时运行。在特殊情况下，系统管理员也可以手工运行HOTCAT一网猫2. 1系统进行计费 运算，除非系统突然崩溃，造成当天的计费系统没有正常运行，否则不需要手工运行系统。1. 4某公安局网络安全管理某公安局网络安全管理包括网络层和应用层两方面，网络层主要是通过网管软件的配普来完成的。下面我们重点 介绍应用层的安全管理。应用层的安全管理以用户身份认证和授权管理为重点，使用网络安全技术中的安全管理控制台软件。1.6小结通过一期建设，将使某公安局网络系统具有一个基本的安全保障系统，即在网络层和应用层都有相应的安全措 施，网络层防火墙的基本功能基本实现，应用层的基本需求也满足了。但是还存在不足的地方，需要在二期建设 中解决，包括：D网络层的安全管理并不是很完善，需要增加安全检测；2）需要解决应用层对除Web服务之外所有服务的安全控制；3）在应用层，需要解决可靠性和负载平衡问题。