公安系统网络安全解决方案

ciscotome

贡献于2013-02-26

字数:8211 关键词: 网络技术 方案

 XXXX信息系统有限公司 密级:机密★ 第 1篇(共 1 篇) 公安系统安全解决方案 XXXX信息系统有限公司 文档编号: 文档版本: V1.0 编 写: 编写日期: 2012年12月07日 审 核: 审核日期: 批 准: 批准日期: 目 录 第1章 前言 第2章 公安网络现状简介……………………………………………………………………. 第3章 重新规划公安网络拓扑图 第4章 公安网络特点概述 3.1 公安局网络概述: 3. 2公安局网络安全风险分析………………………………………………………... 第5章 公安局网络安全需求分析…………………………………………………………….. 第6章 安全目标 . 第7章 安全设备介绍 5.1 天清汉马USG一体化安全网关……………………………………………….. 5.2 IDS天阗NS 200入侵检测系统……………………………………………… 5.3 神州数码DCRS 5650…………………………………………………………... 第8章 运用技术介绍 6.1 Keepalived架设高可用mysql集群……………………………………………. 6.2 廉价冗余磁盘阵列(RAID)技术…………………………………………….. 6.3 Apache Traffic Server………………………………………………………….... 6.4 IDS………………………………………………………………………………. 6.5 代理服务器技术………………………………………………………………… 6.6 防火墙技术……………………………………………………………………… 第一章 前言 随着信息化的不断发发展,公安业务信息化涵盖面的不断扩大,网络规划的逐步形成,信息综合利用的意识不断增强,安全和标准问题也日益突出。在公安内部网络安全上,防监听,防泄漏,防窃密,防攻击,防入侵等还缺乏有效的措施,网络基本没有迂回路由,容灾能力不强,特别是公安专网中还有不少的公安系统内、外的拨号上网用户,少数地方专网与公网物理上没有完全隔离的现象依然存在,在应用系统安全上,软件加密,防拷贝,防跟踪等问题大都还没有解决。不少单位的应用系统和硬件维护、升级不得不依靠地方公司的力量,数据库的管理、维护、备份、容灾等措施也不够有力,基于角色的信息访问也未实现,故公安信息化安全保障体系急需形成。公安机关作为维护国家安全、维护社会稳定、保障百姓生命财产安全的重要部门也面临着信息化带来的挑战,我国公安部门更清楚地看到信息化道路在公安工作中的重要性,不断强化自身建设是公安系统确保完成自身使命的必由之路。 早在八十年代,我国公安部门就开始了信息化建设工作,建成投入使用的公安系统有线通信、无线通信、卫星通信等内部通信以及犯罪信息中心等系统,已经在打击犯罪、维护社会政治稳定、保卫国家安全和抢险救灾等方面发挥了重要作用。 随着公安系统业务量的发展,目前的公安系统网络建设出现了新的变化,旧有网络的升级和新网络的建设同步进行。一方面,旧有网络与现行业务缺少配合,很难发挥出网络本身应有的优势,造成了资源的闲置和浪费,需要对其进行合理的升级,以便更好地与公安系统的各项工作内容相结合。另一方面,随着公安系统网络建设的力度加大,网络逐步覆盖从地市级公安局到县公安局再到各派出所的各级公安部门,同时,网络之间的互连互通也成为公安系统网络建设的要求之一。 第二章 公安网络现状简介 XXX公安系统计算机网络是一个经过多年逐步建立起来的信息系统。因此,整个XXX公安系统的网络一直没有一个很好的规划。而随着业务的不断增长和网络威胁的不断增多,XXX公安系统的网络已经不能满足在现代高威胁网络环境下的安全需求。我们必须全面的分析XXX公安系统的网络现况,在此基础上逐步将整个网络改造成适应XXX公安系统业务需求和国家相关规定的先进安全的信息平台。 XXX公安系统信息系统的目前的状况是:XXX公安系统网络是XXX地区的公安信息系统节点。整个系统向上连接公安部信息系统,向下连接各地市以及区县的公安信息网。不仅如此,由于业务需求,还需要和当地的检察、司法等部门进行网络互联。 XXX公安系统信息平台上目前主要的应用系统有系统内部的公安综合信息查询、接出警系统、人口信息系统、网上追逃系统、综合决策支持系统、办公自动化系统、公安3G/3S系统等。 整个网络的拓扑示意图如下: 第三章 重新规划公安网络拓扑图 第四章 公安网络特点概述 3.1、公安局网络概述 公安内部网络数据尤为重要,对于数据库服务器需要解决单点故障问题。在数据库服务器组可以通过共享存储、主从备份、主主备份等手段来实现数据的一致性。使用Mysql双master结合keepalived是一种非常好的解决方案;对于公安系统内部磁盘数据的读写性能和可靠性方面,可以采用廉价冗余磁盘阵列(RAID),建议采用RAID5级别以提供数据读取性能和可靠性;内部服务器和工作站通过代理服务器接入互联网,防止内部主机攻击;在代理服务器上配置Traffic Server,可以达到优化网络性能,节约网络带宽的效果;对于从外部网络进来的流量,经过DCRS 5650转发流量至IDS 天真NS200进行流量检测和分析,如若流量安全则返回给DCRS 5650,从而到达内网。同理,内网流量经过IDS检测通过则可以放行从而出外网;公安网络需要和政府网络连通,案件汇报、流动人口信息提交、交通管理、公众服务信息可以及时发送给公安系统。 3.2、公安局网络安全风险分析 对于公安系统专用网络而言,我们认为在指导思想上,首先应在对公安网安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。 为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 正由于公安局行业性质及应用的特殊性,容易被不怀好意的入侵者列为破坏对象。在没有采用任何安全防范措施的情况下,公安局网络系统存在安全问题主要表现在如下几个方面: 1)、物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。如: Ø 设备被盗、被毁坏 Ø 链路老化或被有意或者无意的破坏 Ø 因电子辐射造成信息泄露 Ø 设备意外故障、停电 Ø 地震、火灾、水灾等自然灾害 因此,公安专网在网络安全考虑时,首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。 2)、网络层安全风险分析 由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录通行字和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。 如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的,只要使用现在可以很容易得到的“包检测”软件即可。 由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。存储数据对于政府机关来说极为重要,如果由于通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。 公安系统的数据传输安全包括与省厅、各业务科室、公安分局传输的内部业务数据以及办公自动化数据的安全;与相关单位传输的业务数据的安全保护 。 各级公安局都会连接INTERNET国际互联网,并有公开服务器(WWW、DNS、FTP等服务器),对外提供公开信息服务。一些公开服务器和网上业务系统通过Internet公网为各企业及客户提供访问服务。由于国际互联网的开放性、自由性以及无国界性,使得公安网的安全性大大降低。 由于公安专用网络系统中使用大量的网络设备,如交换机、路由器等。使得这些设备的自身安全性也会直接关系到公安系统和各种网络应用的正常运转。例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。 3)、应用层安全分析 公安专用网络应用系统中主要存在以下安全风险:用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于公安网络对外提供网上WWW服务,因此存在外网非法用户对内部网和服务器的攻击。 4)管理层安全风险分析 再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。 公安系统应按照国家关于计算机和网络的一些安全管理条例,如《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等,制订安全管理制度。 责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。 第五章 公安局网络安全需求分析 网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次,在不同层次上的安全需求如上图所示。 某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安全需求和安全管理需求。 1. 网络层安全需求 网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的,包括: l         隔离内外部网络; l         实现网络的边界安全,在网络的入出口设置安全控制; l         实现安全漏洞检测,及时发现网络服务和操作系统存在的安全隐患,及时采取补救措施,将安全风险降到最低。 具体而言,某公安局网络系统在网络层的安全需求可以描述为: 1)   解决网络的边界安全,防止外部攻击,保护内部网络;通过防火墙和应用代理隔离内外网络; 2)   内外网络采用两套不同的IP地址,实现地址翻译(NAT)功能; 3)   根据IP地址和TCP端口进行入出控制; 4)   基于IP地址和MAC地址的对应防止IP盗用; 5)   基于IP地址计费和流量控制; 6)   基于IP地址的黑白名单; 7)   防火墙对用户身份进行简单认证; 8)   根据用户身份进行入出控制; 9)   基于用户的计费和流量限制; 10) URL检查和过滤。 2. 应用层安全需求 某公安局网络应用层安全需求是针对用户和系统应用资源的,必须确保合法用户对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统而周密的规划,根据规划采取相应的安全管理手段来保证系统的实用、可靠和安全性。 某公安局网络应用主要是应用于公安局内部的信息管理,因而: 1)   外部非授权用户不得拥有访问公安局内部信息的权限; 2)   内部、外部授权用户只能拥有系统赋予的访问授权; 3)   不同级别的内部用户拥有对信息的不同访问权限; 4)   不同部门的内部用户拥有对信息的不同访问权限; 5)   某个部门的信息可以授予其他部门内部用户一定的访问权限; 6)   授权用户不论在什么地方,什么时间,对信息的访问权限应该是一致的; 某公安局网络应用层的安全威胁主要是: l         身份窃取和假冒 l         数据窃取和篡改 l         非授权存取 l         否认与抵赖 以上安全威胁产生的安全需求如下: l        数据保密:由于无法确认是否有未经授权的用户截取网络上的数据,需要一种手段来对数据进行保密。数据加密就是用来实现这一目标的。 l         数据完整性:需要一种方法来确认送到网络上的数据在传输过程中没有被篡改。数据加密和校验被用来实现这一目标。 l         身份认证:需要对网络上的用户进行识别,以确认对方的真实身份,保证身份不被窃取与假冒。 l         访问授权:需要控制谁能够访问网络上的信息,并且他们能够对信息进行何种操作。访问授权能够防止对系统资源的非授权存取。 l         审计记录:所有网络活动应该有记录,这种记录要针对用户来进行,可以实现统计、计费等功能;还可以防止否认,确保用户不能抵赖自己的行为,同时提供公证的手段来解决可能出现的争议。 通过应用层的安全管理,最终要使某公安局网络系统达到下面的目标: 1)   面向所有服务的粗粒度的安全控制: l         解决网络的整体安全,内外兼防,保护数据和信息安全; l         用户和服务器之间实现严格的身份认证; l         基于严格身份认证的统一授权管理; l         访问控制粒度要求达到TCP端口一级; l         数据传输时加密以实现数据保密和不可抵赖等; l         实现审计记录功能。 2)   面向Web服务的细粒度的安全控制: l         要求解决WEB应用的整体安全,内外兼防,保护数据和信息安全; l         解决HTTP的安全问题; l         解决CGI的安全问题; l         用户和WEB应用服务器之间实现严格的身份认证; l         根据用户身份实现WEB空间的统一授权管理; l         访问控制粒度要求达到文件和页面一级; l         实现WEB空间的安全单点登录; l         实现WEB空间的目录服务; l         实现信息访问频率和用户访问频率统计。 3)   由于某公安局客户端的地理分布广泛,要求系统的安全控制支持公钥系统,支持SSL协议;   3. 安全管理需求 3.1 网络层安全管理 网络层的安全管理主要结合网管系统进行,主要内容如下: l        完成对路由器、交换机、访问服务器的安全配置,具体包括:设备配置授权、路由配置、VLAN配置(根据端口或MAC地址)、IP过滤配置、TCP端口访问控制、拨号认证(如RADIUS。TACACS+等)配置、路由器加密配置等。 l        完成防火墙的配置,具体包括:防火墙操作系统配置、基于规则的IP过滤配置、安全TCP端口及访问授权配置、内容过滤配置、NAT地址翻译配置等; l        堡垒主机配置,包括各应用代理或应用网关的配置。 l        安全检测软件配置:包括网络服务漏洞检测和操作系统漏洞检测。 3.2 应用层安全管理 l        完成用户注册,建立用户档案,完成用户分组,形成全网统一一致的用户空间; l        完成网络资源的统一配置,形成全网统一的资源空间; l        根据用户身份完成访问授权配置,形成全网统一一致的授权管理; l        支持单点登录,实现基于单一口令的访问控制; l        形成访问记录,为统计和分析提供事实依据,并且防止抵赖,为事故责任分析奠定基础; l        通过实用的安全管理软件实现安全管理。 4. 信息资源的安全分类 某公安局网络的信息资源的安全分类如下: l         公众信息 - 不需要身份认证和访问控制; l         内部信息 - 需要身份验证并根据身份进行相应的访问控制; l         敏感信息 - 需要验证身份、根据身份进行相应的访问控制而且在信息传输过程中采取加密措施。 某公安局网络的服务类型的安全分类如下: l         内部服务 - 面向内部的授权注册用户,管理和控制内部用户对信息资源的访问。根据用户的身份或角色,对用户可使用的服务进行授权,包括对外的访问。 l         公众服务资源 - 面向互联网络,防止和抵御外来的攻击。 第六章 安全目标 对于公安系统,我们制定如下的安全目标: 保护网络系统的可用性; 保护网络系统服务的连续性; 防范网络资源的非法访问及非授权访问; 防范入侵者的恶意攻击与破坏; 保护重要部门信息通过网上传输过程中的机密性、完整性; 防范病毒的侵害; 实现网络的安全管理。 第七章 安全设备介绍 5.1、天清汉马USG-800 天清汉马USG一体化安全网关是国内领先的UTM产品,市场份额在07、08年连续两年位居国内厂商之首。天清汉马USG除具备防火墙的状态检测和访问控制功能外,还具备VPN、网关防病毒、网络入侵防御(IPS)、抗拒绝服务(DoS)攻击等高级安全特性,能够为网络边界提供立体化的纵深防御,并大大简化网络边界的安全部署。天清汉马USG采用了高性能的硬件架构和一体化的软件设计,在开启多种安全防护特性之后,仍然能够确保高性能和低延迟,可谓是边界防御的理想之选。 5.2、IDS 天阗NS200入侵检测系统 天阗网络入侵检测系统采用了新一代的入侵检测技术,包括基于状态的协议分析技术、规范的入侵特征描述语言、准确的特征分析和提取、标准的安全信息知识库,以先进的体系结构配合高性能的专用硬件设备,能够准确地识别来自网络外部或内部的多种攻击行为,实时报警和记录入侵信息,具有多样化的响应方式,产生适合不同人员的综合入侵分析报告,可以最大程度地为网络系统提供安全保障。此外,它还可以与漏洞扫描、防火墙、交换机紧密联动,形成以主动检测为核心的动态防御体系。 5.3、神州数码DCRS 5650 传输速率:10/100/1000 应用层级:三层 交换方式:存储转发 背板带宽:64Gbps VLAN功能:支持 网管功能:管理界面: CLI(Console/Telnet)、WEB 、Telnet Console: DB9 SNMP: v1、v2c、v3 堆叠功能:可堆叠 网络协议:静态路由, RIPv1/2, OSPF, RIPng, OSPFv3, BGP4, BGP4+,(DCRS-5650-28-L只支持RIPv1/2, RIPng) 安全性:支持对特征复杂(最深达80字节)的应用流量的访问控制, 监控pingSweep等攻击行为, 并采取防攻击措施, 防非法组播源, 受控组播 第八章 运用技术介绍 6.1、Keepalived架设高可用Mysql。在Mysql HA环境中,两台服务器之间互为主从,这样保证了两台服务器Mysq数据的一致性,然后用keepalived实现虚拟IP,通过keepalived自带的服务监控功能来实现Mysql故障时自动切换. 6.2、廉价冗余磁盘阵列技术。RAID技术是一种把多个独立的硬盘按不同方式组合起来形成一磁盘组,从而提供比单个磁盘更高的存储性能和提供数据冗余技术.不同的组合方式成为RAID级别数据冗余的功能是在用户数据一旦发生损坏后,利用冗余信息可以使损坏数据得到恢复,从而保障了用户数据的安全性。 6.3、Apache Traffic Server。Apache Traffic Server(ATS或TS)是一个高性能的、模块化的 HTTP 代理和缓存服务器,它通过将频繁访问的信息缓存在网络的边缘来改善网络的效率和性能。这使访问内容在地理上更接近终端用户,在更快分发的同时也减少了带宽的占用。Traffic Server致力于通过充分利用现有可用的带宽,来改善企业、ISP、骨干网提供商和大型企业内部网的内容分发效率。 6.4、IDS。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。 6.5、代理服务器技术。代理服务器是目前网络中常见的服务器之一,它可以提供文件缓存、复制和地址过滤等服务,充分利用有限的出口带宽,加快内部主机的访问速度,也可以解决多用户需要同时访问外网但是公有地址不足的问题.同时可以作为一个防火墙,隔离内网与外网.它的主要作用有: 1、共享网络 2、加快访问速度,节约通信带宽 3、防止内部主机收到攻击 4、限制用户访问,完善网络管理 6.6、防火墙技术。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 第1章 设备/软件配置 第2章 施工步骤及相关安排 第3章 测试方案 3.1 测试安排 3.2 测试内容 3.2.1 线缆工艺测试验收 3.2.2 服务器设备验收 3.2.3 服务器测试验收 3.2.4 交换机测试验收 设备运行测试验收报告

下载文档,方便阅读与编辑

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 6 金币 [ 分享文档获得金币 ]
2 人已下载

下载文档

相关文档