公安系统警务室网络安全接入建设整体解决方案.doc
- 文档编号:2489535
- 上传时间:2022-10-30
- 格式:DOC
- 页数:19
- 大小:992KB
公安系统警务室网络安全接入建设整体解决方案.doc
《公安系统警务室网络安全接入建设整体解决方案.doc》由会员分享,可在线阅读,更多相关《公安系统警务室网络安全接入建设整体解决方案.doc(19页珍藏版)》请在冰豆网上搜索。
公安系统警务室网络
安全接入
整体解决方案
神州数码网络集团公司
2007年
前言
“上面千条线,下面一根针”,是人们对长期以来公安基层工作状态的生动写照,强基固本是广大基层民警多年来的心声。
公安部党委在科学判断、准确把握公安工作发展态势的基础上,作出了“抓基层、打基础、苦练基本功”的重大战略决策,并要求坚持不懈、一抓三年。
中共中央政治局委员、书记处书记、国务委员、公安部部长周永康亲自进行部署,多次深入基层调查研究、检查指导工作。
公安部党委对“三基”工程建设高度重视,多次召开专题会议研究有关重大问题。
并下发了《关于实施社区和农村警务战略的决定》。
各地公安机关和各部门、各警种普遍把加强“三基”工程建设列入重要日程,成立由主要领导负责的专门机构,加强组织领导,并通过召开会议、开展专题调研、下派工作组等形式,迅速把广大民警的思想统一到了部党委的决策部署上来。
目前,全警关心、全警参与“三基”工程建设的浓厚氛围已经初步形成。
警务工作信息化是“三基”建设一个重要的组成部分。
基层基础是整个公安工作的根基,是推动公安事业长远发展的基石。
除了警力下沉、配强警用装备、优化基层办公环境外,在当前信息社会,必须通过信息强基,实现基层警务信息化才能应对。
在信息化建设方面,城区警务室应该具备基础信息采集,通查询等功能,而农村警务室还应该增加村民户口及身份证网上办理、部分消防和交通管理查处功能,改变原来信息共享低的局面,使警务室民警任务更趋明晰、职能更趋丰富,与百姓联系更趋紧密。
警务室网络接入的建设任务受地理环境、通讯条件等因素的影响非常大,因而如何因地制宜地综合考虑成本、性能、安全等因素选择最适合的接入方案是警务室(五级网)网络建设的重点。
警务室网络做为公安网络的末端,鉴于庞大的规模,如何实现高效管理也是需要重点关注的一个方面。
第一章公安警务室网络特点分析
1、地理位置分散
在城区和县城镇,应当依托社区设立警务室,并尽可能与社区居委会相邻。
在农村,按地域大小、人口多少、治安状况和警力数量等实际情况,合理划分警务区,在农村实行一区一警或一区多警,建立农村警务室,原则上1个警务区设立1个警务室。
警务室一般应设在中心村或治安复杂的行政村,并尽可能与村委会相邻。
警务室地理位置上分散的状况就决定了警务室五级网的网络接入需要因地制宜,不能搞“一刀切”,应当依托电信运营商提供的具体网络接入方式进行合理选择。
2、网络连接实时性要求高
警务室是公安系统重要组成部分,是战斗在第一线的基层单位,工作中需要处理各种突发性事件,这就要求警务室必须与公安四级网的网络连接保持实时畅通,7×24小时在线。
3、数据传输安全性要求高
警务室的PC设备在工作中需要联入公安四级网,数据的传输、信息的查询都要高保密性,完整性。
4、数据传输量不大
警务室与公安四级网之间的业务主要是相关信息的录用和查询,基本都是字符流,所以要求的网络带宽不大,大于100Kbps即可满足基本业务的需求。
5、存在移动性要求
随着全国各地组建“移动警务室”,更加贴近人民群众,针对这种情况,必须要考虑无线接入方式。
6、通信费用不能过高
全国警务室数量庞大,所以各警务室的网络通信费用必须控制在合理的范围内,否则将给推广工作带来困难。
一般而言,建议控制在每月200元之内。
第二章公安警务室网络接入解决方案
2.1可用的网络接入方式
根据警务室五级网的网络特点,集中体现在多样性、安全性、可靠性、合理性四个方面。
为了控制建设和维护成本,我们不主张自铺线路,而是充分利用电信运营商现有的网络接入,通过VPN等技术手段来保障网络的安全、可靠。
现在电信运营商在接入网中,目前可供选择的接入方式主要有PSTN、ISDN、DDN、LAN、ADSL、VDSL、Cable-Modem、PON和无线接入等9种,它们各有各的优缺点。
结合公安系统警务室的实际需求,经过筛选,我们着重介绍几种适合的接入方式。
1、ADSL
ADSL(AsymmetricalDigitalSubscriberLine,非对称数字用户环路)是一种能够通过普通电话线提供宽带数据业务的技术,也是目前应用最广泛一种接入技术。
ADSL素有“网络快车”之美誉,因其下行速率高、频带宽、性能优、安装方便、不需交纳电话费等特点而深受广大用户喜爱,成为继Modem、ISDN之后的又一种全新的高效接入方式。
ADSL接入技术示意如下图所示。
ADSL方案的最大特点是不需要改造信号传输线路,完全可以利用普通铜质电话线作为传输介质,配上专用的Modem即可实现数据高速传输。
ADSL支持上行速率640kbps~1Mbps,下行速率1Mbps~8Mbps,其有效的传输距离在3~5公里范围以内。
在ADSL接入方案中,每个用户都有单独的一条线路与ADSL局端相连,它的结构可以看作是星形结构,数据传输带宽是由每一个用户独享的。
现在电信运营商提供的ADSL业务,1M带宽包月费用为120-150元。
一般而言只要通电话的区域,都可以向运营商申请ADSL业务,所以非常适合作为警务室网络接入方式。
2、CableModem
Cable-Modem(线缆调制解调器)是近两年开始试用的一种超高速Modem,它利用现成的有线电视(CATV)网进行数据传输,已是比较成熟的一种技术。
随着有线电视网的发展壮大和人们生活质量的不断提高,通过CableModem利用有线电视网访问Internet已成为越来越受业界关注的一种高速接入方式。
由于有线电视网采用的是模拟传输协议,因此网络需要用一个Modem来协助完成数字数据的转化。
Cable-Modem与以往的Modem在原理上都是将数据进行调制后在Cable(电缆)的一个频率范围内传输,接收时进行解调,传输机理与普通Modem相同,不同之处在于它是通过有线电视CATV的某个传输频带进行调制解调的。
CableModem连接方式可分为两种:
即对称速率型和非对称速率型。
前者的DataUpload(数据上传)速率和DataDownload(数据下载)速率相同,都在500kbps~2Mbps之间;后者的数据上传速率在500kbps~10Mbps之间,数据下载速率为2Mbps~40Mbps。
随着我国广电实施“村村通”工程,很多农村地区已经具有自己的有线电视网络,而且这两年通过CableModem上网费用也在逐步下降,一般1M带宽包月费用为100-120元。
3、CDMA1X无线上网方式
CDMA即code-divisionmultipleaccess的缩写,译为“码分多址分组数据传输技术”,被称为第2.5G移动通信技术。
我国联通已经在全国范围内架设了CDMA网,覆盖面完全可以满足公安警务室地理位置分散的特点。
CDMA与GSM一样,也是属于一种比较成熟的无线通信技术。
CDMA并不给每一个通话者分配一个确定的频率,而是让每一个频道使用所能提供的全部频谱。
因此,CDMA数字网具有以下几个优势:
高效的频带利用率和更大的网络容量、简化的网络规化、通话质量高、保密性及信号覆盖好,不易掉话等。
另外,CDMA系统采用编码技术,其编码有4.4亿种数字排列,每部手机的编码还随时变化,这使得盗码只能成为理论上的可能。
CDMA实际数据传输速率在80-155Kbps左右,现在中国联通提供包月的业务每月只需要100元左右,未考虑漫游。
2.2警务室网络接入解决方案
1、ADSL远程接入方式
如下图所示:
方案说明:
1)对于采用ADSL拨号接入公案四级网的警务室,要访问四级网资源,需要通过两次拨号,第一次通过ADSLModem向ISP发起拨号请求,并动态获得全球唯一的公有IP地址,进入Internet;第二次主机触发ADSLModem通过向公安四级网的防火墙发起拨号请求,建立主机和DCFW-1800E-UTM之间VPN隧道,并动态获得四级网内唯一私有IP地址,进入公安内网。
2)在主机和防火墙建立VPN通道之前,DCBI-3000-Ent2000高可靠安全接入综合系统,充当AAA认证服务器的角色,审核远程拨号VPN的用户名和密码的正确性。
只有通过AAA认证服务器审核以后,才会把相应的数据包转发给DHCP服务器,可以给远程主机分配静态或者动态私网IP地址。
方案特点:
1)第一级安全保证:
运营商网络侧的AAA认证
主机通过ADSLModem拨入运营商网络,首先要通过运营商AAA的认证过程,验证通过后,方可接入网络。
2)第二级安全保证:
公安四级网侧的AAA认证
主机进入公安四级网建立VPN通道之前,需要经过DCBI的认证,只有认证通过之后,方可进入内网。
3)第三级安全保证:
数据传输通过加密的VPN通道
警务室主机和公安四级网之间的数据传输都是通过加密之后的VPN通道,保证了数据的安全性。
2、CableModem接入方式
和ADSL接入方式相同,请参照上一部分。
3、CDMA1X无线接入方式
如下图所示:
方案说明:
1)警务室主机首先通过CDMA1X无线拨号进入CDMA网络,CDMA网络侧的AAA认证服务器对用户的域名进行鉴权认证,其中数据网的用户(VPDN成员)是以username@xxx.133vpdn.xx形式登录的。
CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行核对验证。
验证通过后,方可接入联通CDMA网络。
2)公安四级网通过CDMA1X分组域的接入认证,在PDSN和公安网之间建立起专用隧道,然后通过公安网AAA认证服务器的认证后,内网的DHCP服务为拨入用户分配指定的内网IP地址,终端经过分组网的PDSN与公安四级网的防火墙间建立起PPP连接,用户传输的数据流通过隧道到达公安网,就像警务室主机直接通过专线连接到公安四级网一样。
方案特点:
1)第一级安全保证:
CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:
GSM和CDMA。
与GSM相比,CDMA网络系统在安全保密方面具有很大优势。
CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。
进行移动手机信号的窃听一般使用以下三种方法。
首先,需要捕捉到通信信号。
在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。
要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。
由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。
因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。
其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。
而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。
第三,需要破解用户信息编码。
而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。
所以CDMA技术本身就很安全。
2)第二级安全保证:
CDMA网络侧的AAA认证
AAA是指认证(Authentication)授权(Authorization)计费(Accounting)三个过程。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。
这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,其中数据网的用户(VPDN成员)是以username@xxx.133vpdn.xx形式登录的。
CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公安系统 警务 网络安全 接入 建设 整体 解决方案