公安专网系统安全解决方案.docx
- 文档编号:5176169
- 上传时间:2022-12-13
- 格式:DOCX
- 页数:7
- 大小:42.89KB
公安专网系统安全解决方案.docx
《公安专网系统安全解决方案.docx》由会员分享,可在线阅读,更多相关《公安专网系统安全解决方案.docx(7页珍藏版)》请在冰豆网上搜索。
公安专网系统安全解决方案
公安专网系统安全解决方案
公安专网系统安全解决方案
由于应用环境的特殊性,公安专网建设强调与其他计算机网络的隔离,即需要建立独立的公安系统专用计算机网
络。
公安三级网建设(县和县级市公安局联网)过程中,大多数都采用光纤线路将各个县局联入公安专网,其特点是安
全性很高,但线路租用成本也比较高,在经济比较发达的地区,这种方式已经普遍采用,而在经济比较落后的地区,许
多县局还没有或正在考虑怎样联入公安专网,有没有比较经济实用而且又满足安全性需求的接入方式呢,在下面的描述中,我们将展示我们在黑龙江省某地区公安三级网的联网方图1三级网接入平台拓扑图
案。
公安四级网建设(即派出所级网点联网)过程中,常见
(2)四级网框架结构的接入技术包括:
光纤、DDN、FR帧中继、ATM、E1数字案例一在黑龙江上述地区,由于其经济发展相对比较专线等专线接入方式和PSTN、ADSL、ISDN等拨号接入方式。
落后,地域广阔,有些派出所采用DDN直接联到政务网中,目前,通过地方电信的专网服务,利用电信提供的专线链路而有些派出所到县局很遥远,翻山越岭,这些地方有国家重接入公安专网的方式是比较理想和安全的四级网接入方式,点保护的森林资源,又恰恰是犯罪分子首选的藏身之地,在也符合国家建设公安专网的基本要求,虽然线路租用成本较该项目实施之前,由于不能及时地了解全国公安相关的数据高,但在经济比较发达的地区是可以被广泛采用的。
而对于信息,许多案子都不能破获,成为打击各种犯罪行为的盲经济比较落后的地区,或受客观因素限制只能采用拨号接入区,因此非常急需联入公安网络。
电信的光纤、DDN或FR帧方式的用户,由于依靠公共数据交换网络提供接入链路和传中继由于线路遥远根本无法联入,只能通过电话线路采用输资源,因此无法满足公安专网关于隔离性和独立性的要PSTN、ADSL接入进行数据传输,如果能解决其安全性问题,求,需要引入网络安全技术手段来解决公网传输带来的安全将是非常经济实用的接入方案。
隐患。
案例二四川省某市是全国最早组建公安城域网的城市
之一,从1997年开始便构建了从派出所,分局,市局,公
安内网的完善的信息化网络。
该网络在后来的网上追逃工作
中起到了巨大的作用。
随着公安系统信息化建设的不断发
展,越来越多的业务需要通过网络来进行,导致数据流量剧一、公安专网介绍
增,同时,基层派出所的局域网规模也不断扩大,因此,以
前的线路已远远不能满足要求,需要对基层网络进行改造和1、用户网络架构
扩容。
(1)三级网框架结构
对于基层网络改造扩容方案,市局最初决定全部采用光黑龙江省某地区公安下属12个县局,由于该地区的政
纤宽带这一专线接入方式来建设本地的公安四级网。
然而,务网建设比较早,每个县的政府、人大、工商等部门都利用
由于该方案初期建设规模庞大,资金上难以保障,因此,市该网络进行联网,如果公安也通过该网络联网,线路租用费
将很低,是比较理想的接入平台,其网络拓扑图如图1所
示。
2004?
3计算机安全45
市场?
应用案例
Network&ComputerSecurity
公安局决定,在条件许可的地区采用光纤专线接入方式将基科所队各部门网络采用各种接入方式通过共用网络与公层派出所和分局接入公安专网,而在其他地区则通过公用的安内网进行数据通讯时,所有的数据包都是通过明文方式进ADSL网络,采用ADSL拨号方式将基层派出所接入公安专行传输,数据包很容易被非法侦听、窃取、篡改,所以有必网。
要采取安全措施,如引入加/解密技术和数据校验技术来保
证传输数据的保密性和完整性。
公安四级专网组网的基本架构如图2所示。
二、网络接入安全解决方案
1、安全技术路线在客观条件限制了专线方式建设公安网的前提下,采用IPSecVPN技术,通过公共网络资源建设虚拟专用网络的方
案就成为一个不错的系统安全解决方案。
该方案能够提供简单、廉价、安全、可靠的网络访问通道,可以满足公安网络
建设的独立性和安全性要求。
2、安全方案说明图2四川省某市公安四级网的拓扑结构
(1)黑龙江省某地区公安三、四级网安全方案说明
安全设备配置拓扑图如图3所示。
2、安全隐患
在三级网接入方案中,政务网只是一个提供接入的网络
基础平台,可供很多国家机关、部门共享,相当于一个局部的开放性网络,只有在路由上进行控制,没有其他认证和数据保护措施,而且,所有联网用户的IP地址容易暴露。
由于公安系统的特殊性,因此需要在政务网中与其他网络用户进行隔离。
拨号网络系统(ADSL、PSTN拨号)是一个简单易用但安全性相对脆弱的系统。
拨号用户的身份(常见的诸如:
用
户名+密码的方式)很容易被窃取并遭遇假冒接入。
而且,数据以明文形式在公共网络上传输,难以保证不被搭线窃听
和截取重放。
此外,公安网络内部IP地址很容易被外部用户图3黑龙江某市安全方案拓扑图查到,这样就为外部攻击提供了条件。
3、安全需求网络安全设备配置说明:
(1)接入网络和用户的身份认证对于公安专网而言,1)在地区公安局中心与政务网接口处配置一台SJW01-实现基层接入设备和用户的正确认VPN/AS10安全网关,内置SecMC安全管理中心服务器,局证是一个极其重要的内容。
对此,应该采用安全性较高的认域网内配置一台Win2000系统的PC机兼做控制台,管理下证技术替代常用的静态口令与密码认证方式,以提高接入认属的VPN网关和VPN客户端用户;证的可扩展性、灵活性和安全性。
2)在各县局中心的政务网入口处分别配置一台SJW01-
(2)内部IP地址保护公安内部科、所、队部门网络的VPN/AS02安全网关设备;接入是通过电信或其它3)在各派出所分别配置一套SJW01-VPNClient客户端公共网络连接到上级公安网络的。
为了保护公安内部IP地址软件,并配置一个管理中心分发的USB令牌。
不被泄露或遭受IP地址假冒,同时还要实现向上级公安网上述方案中,在各县局VPN网关私口都按照公安内部分络的正常连接,必须对公安内部的IP地址采取一定的保护配的IP地址进行配置,而外口则采用政务网上分配的IP进机制。
目的是在实现基层单位以公安内部IP地址连接到公行配置,互不影响。
对于各派出所,在管理中心分发USB安专网的同时,保障公安内部IP地址对外不可见。
令牌时,在每个USB令牌中都设置了公安内部分配的IP地(3)网络传输数据的保密性和完整性址,VPNClient安全套件都工作在内部IP模式,即派出所虽
然获取的是政务网上的IP或PSTN动态分配的IP地址,但
派出所的数
46计算机安全2004?
3
应用案例?
市场
Network&ComputerSecurity
据到达地区中心解密后,都恢复为USB令牌中设定的公安内派出所的SJW01-VPNClient客户端与市局的SJW01-
部IP。
具体的安全实现将在下面进行描述。
VPN/AS10网关建立连接时必须使用USB令牌。
SJW01-VPN
(2)四川某市四级网安全方案说明客户端从读取USB令牌中提取用户的各种信息,包括CA证
书、IPSec隧道策略等。
ADSL接入方式属于拨号方式的一种,所以四川省该市
四级网建设涉及两方面的问题:
可以保证只有持有由市局SecMC颁发的USB令牌的
用户才可以通过电信的ADSL网络接入到市局网络中心,1)网络地址规划。
在该市,中国电信的ADSL网络按照
从而实现对公安内网的访问。
公网分配各节点的IP地址;而按照公安部的统一规划,公安
内网的IP地址统一为10.X.X.X。
各派出所必须以公安部
(2)IP地址转换和隐藏公安专网系统安全解决方案允规定的合法IP地址接入到公安内网。
许在建立IPSec隧道时,
2)网络安全。
基于前面的安全性分析,由于采用公用可以同时实现对内部IP地址的转换和隐藏(下面以四川公安的IP网络,必然面临网络安全问题。
四级网案例进行描述)。
安全网络设备配置说明:
市局的SecMC在向每个派出所颁发USB令牌时,可以
设定一个“内部IP地址”。
该内部IP地址根据某市公安1)在市网络中心与电信IP网络的接口处配置SJW01-
VPN/AS10安全网关;内网的IP地址规划进行设置,属于10.X..X..X网段。
2)在市网络中心配置SecMCForSJW01安全管理中派出所的SJW01-VPNClient客户端与市局的心,负责系统内所有设备和用户的安全管理;SJW01-VPN/AS10建立IPSec隧道后,SJW01-VPN系统将
对所有的IP报进行如图5所示的封装。
3)对于基于代理服务器上网的派出所,在代理服务器
上安装SJW01-VPNClient客户端软件,并配置USB令牌,
对派出所内所有上网PC(包括代理服务器本身)进行地址转
换并实现安全保护;
4)对于仅有一台PC的派出所,直接安装SJW01-VPN
Client客户端软件并配置USB令牌,对PC地址进行转换并实现安全保护,公安专网安全系统构架如图4所示。
图5IP报的安全封装
从图5可以看出,内部IP地址被加密传送。
在公用IP网络中(市局SJW01-VPN/AS10安全网关与SJW01-VPNClient客户端之间),IP报的传递使用电信分配的IP地址,即172.X.X.X网段地址。
当IP报被解密后,
172.X.X.X地址将被丢弃,SJW01-VPN系统将解密出内网图4公安专网安全系统构架IP地址,从而使内网的信息访问基于内部IP地址进行。
在中心服务器上,可以根据IP报的源IP地址,非常准确3、安全性的技术实现地了解到目前正在访问的派出所和该所正在进行何种操作。
(1)接入用户的身份认证和访问控制公安专网系统安全公安专网系统安全解决方案同时提供事后审计分析功能,方解决方案支持移动用户的安全接入,便用户进行现场监测和事后分析。
对于移动用户的认证使用USB令牌来实现。
(3)数据的保密性和完整性系统中的SecMC安全管理中心生成一个令牌文件并写对于县局联网,VPN/AS02与中心VPN/AS10之间,建入USB令牌中。
该文件含有建立IPSec连接所需要的信息立IPSec加密隧道;对于派出所,派出所用户使用USB令和针对特定用户随机产生的密钥。
读取USB令牌信息时必牌完成身份认证后,市局的VPN/AS10安全网关将与派出须输入保护口令。
所的
2004?
3计算机安全47
市场?
应用案例
Network&ComputerSecurity
VPNClient建立IPSec加密隧道,该隧道对所有的原始IP这一问题的思路,并结合公安系统的实际情况总结了这一解报决方案的优势。
进行以下处理:
报头认证:
利用密码算法对IP报头进行完
(1)具体应用无关IPSecVPN技术可以为所有的基于
整性保护,保IP协议的上层应用提供安全隔离保护,实现四级网与公共网证IP报头在公网传输时不被非法修改,从而防止攻击者通络之间的安全隔离。
过修改IP地址、协议号等方式对网络发起攻击。
报头认证
(2)方便部署IPSecVPN技术实现对基层所、队的技同时可以实现抗重放攻击和无连接完整性鉴别等安全功术要求和设备要求很低。
能。
(3)高强度的身份认证机制基层所、队接入公安专网报文认证:
利用密码算法对IP数据报文进行完整性保时的身份认证方式不再基于用户名与密码方式,而是基于护,保证IP报文在公网传输时不被非法修改。
PKI体系,更加安全可靠。
报文加密:
利用密码算法对IP数据报文进行加密处(4)IP地址的转换和隐藏系统通过对原公安内部的理,保证IP报文的内容在公网传输时不被非法窃取。
报文IP地址采取二次封装、加密及校验等保护措施,实现了基层加密同时可实现抗流量分析。
单位以公安内部IP地址连接到公安专网的要求,同时,保障
公安内部IP地址对外部保密。
目前,公安专网的三、四级网建设过程中,各地建设现(5)传输数据的加密通过公用网络传输的数据现在全状与国家要求之间存在一定的差距。
在受客观因素限制,无部以加密后的密文形式传输,杜绝了被非法侦听、窃取、篡法建设专线实现网络接入时,可以变通采用现有的网络基础改的可能性,保证了传输数据的保密性和完整性。
(北京清平台或拨号接入方式。
但是,必须采取一定的技术手段满足华紫光顺风信息安全有限公司提供)公安专网关于隔离性和独立性的要求。
北京清华紫光顺风公司提出了利用IPSecVPN技术解
决
WatchGuard推出重新定义的安全设备FireboxX
2004年3月2日,安全方案供应商WatchGuard在京召开新闻发布会,面向发展中企业和中小型企业(SME),隆重推出新一代的FireboxX整合式安全设备系列。
WatchGuardFireboxX是为成长型企业量身定制的安全设备,它首开行业之先河,用户只需使用一个软件许可证密钥,就能将设备升级到产品系列中的任何一个更高级的型号。
FireboxX系列产品集防火墙、VPN、应用层检测、入侵防御功能、垃圾邮件阻挡、Web内容过滤以及身份验证功能于一体,以4年为期,其总体拥有成本(TCO)相较于市场上的同类产品下降了高达80%。
FireboxX设备的设计宗旨是伴随企业的成长,满足其不断扩展的性能及容量需求,避免了代价高昂的、需要耗费大量时间的硬件更换。
客户只需使用一个许可证密钥,就能在同一台设备上激活大量先进的安全特性,比如内容过滤和防病毒保护等等。
FireboxX整合的所有安全功能都能通过WatchGuardSystemManager来控制,这是一种标准的、操作简便的管理控制台。
FireboxX的特色之一,WatchGuard“智能分层安全引擎(”IntelligentLayeredSecurity,ILS)架构,它的设计宗旨是在不妨碍性能的同时,尽可能地提高安全保护力度。
ILS核心的引擎透过协作式的、多层防御体系,有效地利用硬件处理能力,从而有力地抵御安全威胁WatchGuard还计划进一步扩展ILS架构,以有效地集成其他安全服务,比如网关防病毒和基于签名的入侵防御等等。
除此之外,FireboxXILS构架还集成了入侵防御功能,它能在应用层检查和阻挡恶意数据。
WatchGuard于1997年率先在安全设备中集成应用层安全性,目前仍是唯一一家在面向SME市场这一级别的安全设备中,集成入侵防御功能的厂商。
WatchGuard亚太区常务董事长JeffHurmuses表示:
“客户最终获得了令他们高枕无忧的安全性。
我们的SME客户曾告诉我们,随着他们公司规模的扩大,面临的最大安全挑战就是如何在有限的预算、时间和资源下,有效地抵御数量及复杂性都在不断增大的安全威胁。
而这正是我们推出这款整合式设备的目的所在。
该设备的问世,将建立SME市场的安全设备新标准。
它提供了多层的、企业级安全性,同时不会增大管理上的复杂性。
相反,假如采用传统方案来达到相同的目的,则通常需要多个设备,管理上的难度将会大幅增加。
另外,FireboxX还支持加载服务管理,提供全面的报表功能,支持实时监视,甚至支持多设备管理,而所有这一切都无需额外的费用。
”
48计算机安全2004?
3
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公安 系统安全 解决方案