公安系统警务室网络安全接入建设整体解决方案.docx
《公安系统警务室网络安全接入建设整体解决方案.docx》由会员分享,可在线阅读,更多相关《公安系统警务室网络安全接入建设整体解决方案.docx(19页珍藏版)》请在冰点文库上搜索。
公安系统警务室网络安全接入建设整体解决方案
公安系统警务室网络
安全接入
整体解决方案
神州数码网络集团公司
2007年
前言
“上面千条线,下面一根针”,是人们对长期以来公安基层工作状态的生动写照,强基固本是广大基层民警多年来的心声。
公安部党委在科学判断、准确把握公安工作发展态势的基础上,作出了“抓基层、打基础、苦练基本功”的重大战略决策,并要求坚持不懈、一抓三年。
中共中央政治局委员、书记处书记、国务委员、公安部部长亲自进行部署,多次深入基层调查研究、检查指导工作。
公安部党委对“三基”工程建设高度重视,多次召开专题会议研究有关重大问题。
并下发了《关于实施社区和农村警务战略的决定》。
各地公安机关和各部门、各警种普遍把加强“三基”工程建设列入重要日程,成立由主要领导负责的专门机构,加强组织领导,并通过召开会议、开展专题调研、下派工作组等形式,迅速把广大民警的思想统一到了部党委的决策部署上来。
目前,全警关心、全警参与“三基”工程建设的浓厚氛围已经初步形成。
警务工作信息化是“三基”建设一个重要的组成部分。
基层基础是整个公安工作的根基,是推动公安事业长远发展的基石。
除了警力下沉、配强警用装备、优化基层办公环境外,在当前信息社会,必须通过信息强基,实现基层警务信息化才能应对。
在信息化建设方面,城区警务室应该具备基础信息采集,通查询等功能,而农村警务室还应该增加村民户口及网上办理、部分消防和交通管理查处功能,改变原来信息共享低的局面,使警务室民警任务更趋明晰、职能更趋丰富,与百姓联系更趋紧密。
警务室网络接入的建设任务受地理环境、通讯条件等因素的影响非常大,因而如何因地制宜地综合考虑成本、性能、安全等因素选择最适合的接入方案是警务室(五级网)网络建设的重点。
警务室网络做为公安网络的末端,鉴于庞大的规模,如何实现高效管理也是需要重点关注的一个方面。
第一章公安警务室网络特点分析
1、地理位置分散
在城区和县城镇,应当依托社区设立警务室,并尽可能与社区居委会相邻。
在农村,按地域大小、人口多少、治安状况和警力数量等实际情况,合理划分警务区,在农村实行一区一警或一区多警,建立农村警务室,原则上1个警务区设立1个警务室。
警务室一般应设在中心村或治安复杂的行政村,并尽可能与村委会相邻。
警务室地理位置上分散的状况就决定了警务室五级网的网络接入需要因地制宜,不能搞“一刀切”,应当依托电信运营商提供的具体网络接入方式进行合理选择。
2、网络连接实时性要求高
警务室是公安系统重要组成部分,是战斗在第一线的基层单位,工作中需要处理各种突发性事件,这就要求警务室必须与公安四级网的网络连接保持实时畅通,7×24小时在线。
3、数据传输安全性要求高
警务室的PC设备在工作中需要联入公安四级网,数据的传输、信息的查询都要高性,完整性。
4、数据传输量不大
警务室与公安四级网之间的业务主要是相关信息的录用和查询,基本都是字符流,所以要求的网络带宽不大,大于100Kbps即可满足基本业务的需求。
5、存在移动性要求
随着全国各地组建“移动警务室”,更加贴近人民群众,针对这种情况,必须要考虑无线接入方式。
6、通信费用不能过高
全国警务室数量庞大,所以各警务室的网络通信费用必须控制在合理的围,否则将给推广工作带来困难。
一般而言,建议控制在每月200元之。
第二章公安警务室网络接入解决方案
2.1可用的网络接入方式
根据警务室五级网的网络特点,集中体现在多样性、安全性、可靠性、合理性四个方面。
为了控制建设和维护成本,我们不主自铺线路,而是充分利用电信运营商现有的网络接入,通过VPN等技术手段来保障网络的安全、可靠。
现在电信运营商在接入网中,目前可供选择的接入方式主要有PSTN、ISDN、DDN、LAN、ADSL、VDSL、Cable-Modem、PON和无线接入等9种,它们各有各的优缺点。
结合公安系统警务室的实际需求,经过筛选,我们着重介绍几种适合的接入方式。
1、ADSL
ADSL(AsymmetricalDigitalSubscriberLine,非对称数字用户环路)是一种能够通过普通线提供宽带数据业务的技术,也是目前应用最广泛一种接入技术。
ADSL素有“网络快车”之美誉,因其下行速率高、频带宽、性能优、安装方便、不需交纳费等特点而深受广大用户喜爱,成为继Modem、ISDN之后的又一种全新的高效接入方式。
ADSL接入技术示意如下图所示。
ADSL方案的最大特点是不需要改造信号传输线路,完全可以利用普通铜质线作为传输介质,配上专用的Modem即可实现数据高速传输。
ADSL支持上行速率640kbps~1Mbps,下行速率1Mbps~8Mbps,其有效的传输距离在3~5公里围以。
在ADSL接入方案中,每个用户都有单独的一条线路与ADSL局端相连,它的结构可以看作是星形结构,数据传输带宽是由每一个用户独享的。
现在电信运营商提供的ADSL业务,1M带宽包月费用为120-150元。
一般而言只要通的区域,都可以向运营商申请ADSL业务,所以非常适合作为警务室网络接入方式。
2、CableModem
Cable-Modem(线缆调制解调器)是近两年开始试用的一种超高速Modem,它利用现成的有线电视(CATV)网进行数据传输,已是比较成熟的一种技术。
随着有线电视网的发展壮大和人们生活质量的不断提高,通过CableModem利用有线电视网访问Internet已成为越来越受业界关注的一种高速接入方式。
由于有线电视网采用的是模拟传输协议,因此网络需要用一个Modem来协助完成数字数据的转化。
Cable-Modem与以往的Modem在原理上都是将数据进行调制后在Cable(电缆)的一个频率围传输,接收时进行解调,传输机理与普通Modem相同,不同之处在于它是通过有线电视CATV的某个传输频带进行调制解调的。
CableModem连接方式可分为两种:
即对称速率型和非对称速率型。
前者的DataUpload(数据上传)速率和DataDownload(数据下载)速率相同,都在500kbps~2Mbps之间;后者的数据上传速率在500kbps~10Mbps之间,数据下载速率为2Mbps~40Mbps。
随着我国广电实施“村村通”工程,很多农村地区已经具有自己的有线电视网络,而且这两年通过CableModem上网费用也在逐步下降,一般1M带宽包月费用为100-120元。
3、CDMA1X无线上网方式
CDMA即code-divisionmultipleaccess的缩写,译为“码分多址分组数据传输技术”,被称为第2.5G移动通信技术。
我国联通已经在全国围架设了CDMA网,覆盖面完全可以满足公安警务室地理位置分散的特点。
CDMA与GSM一样,也是属于一种比较成熟的无线通信技术。
CDMA并不给每一个通话者分配一个确定的频率,而是让每一个频道使用所能提供的全部频谱。
因此,CDMA数字网具有以下几个优势:
高效的频带利用率和更大的网络容量、简化的网络规化、通话质量高、性及信号覆盖好,不易掉话等。
另外,CDMA系统采用编码技术,其编码有4.4亿种数字排列,每部手机的编码还随时变化,这使得盗码只能成为理论上的可能。
CDMA实际数据传输速率在80-155Kbps左右,现在中国联通提供包月的业务每月只需要100元左右,未考虑漫游。
2.2警务室网络接入解决方案
1、ADSL远程接入方式
如下图所示:
方案说明:
1)对于采用ADSL拨号接入公案四级网的警务室,要访问四级网资源,需要通过两次拨号,第一次通过ADSLModem向ISP发起拨号请求,并动态获得全球唯一的公有IP地址,进入Internet;第二次主机触发ADSLModem通过向公安四级网的防火墙发起拨号请求,建立主机和DCFW-1800E-UTM之间VPN隧道,并动态获得四级网唯一私有IP地址,进入公安网。
2)在主机和防火墙建立VPN通道之前,DCBI-3000-Ent2000高可靠安全接入综合系统,充当AAA认证服务器的角色,审核远程拨号VPN的用户名和密码的正确性。
只有通过AAA认证服务器审核以后,才会把相应的数据包转发给DHCP服务器,可以给远程主机分配静态或者动态私网IP地址。
方案特点:
1)第一级安全保证:
运营商网络侧的AAA认证
主机通过ADSLModem拨入运营商网络,首先要通过运营商AAA的认证过程,验证通过后,方可接入网络。
2)第二级安全保证:
公安四级网侧的AAA认证
主机进入公安四级网建立VPN通道之前,需要经过DCBI的认证,只有认证通过之后,方可进入网。
3)第三级安全保证:
数据传输通过加密的VPN通道
警务室主机和公安四级网之间的数据传输都是通过加密之后的VPN通道,保证了数据的安全性。
2、CableModem接入方式
和ADSL接入方式相同,请参照上一部分。
3、CDMA1X无线接入方式
如下图所示:
方案说明:
1)警务室主机首先通过CDMA1X无线拨号进入CDMA网络,CDMA网络侧的AAA认证服务器对用户的域名进行鉴权认证,其中数据网的用户(VPDN成员)是以usernamexxx.133vpdn.xx形式登录的。
CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行核对验证。
验证通过后,方可接入联通CDMA网络。
2)公安四级网通过CDMA1X分组域的接入认证,在PDSN和公安网之间建立起专用隧道,然后通过公安网AAA认证服务器的认证后,网的DHCP服务为拨入用户分配指定的网IP地址,终端经过分组网的PDSN与公安四级网的防火墙间建立起PPP连接,用户传输的数据流通过隧道到达公安网,就像警务室主机直接通过专线连接到公安四级网一样。
方案特点:
1)第一级安全保证:
CDMA网络本身的安全性
目前世界上使用的移动通信网络主要有两种:
GSM和CDMA。
与GSM相比,CDMA网络系统在安全方面具有很大优势。
CDMA本来就是起源军事技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、性好的特性。
进行移动手机信号的窃听一般使用以下三种方法。
首先,需要捕捉到通信信号。
在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。
要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。
由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。
因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。
其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。
而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。
第三,需要破解用户信息编码。
而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。
所以CDMA技术本身就很安全。
2)第二级安全保证:
CDMA网络侧的AAA认证
AAA是指认证(Authentication)授权(Authorization)计费(Accounting)三个过程。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。
这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,其中数据网的用户(VPDN成员)是以usernamexxx.133vpdn.xx形式登录的。
CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行核对验证。
验证通过后,方可接入联通CDMA网络。
3)第三级安全保证:
CDMA网络和公安四级网之间的VPN
CDMA网络和公安四级网之间可以采用专线,也可以使用Internet。
使用Internet必须考虑安全性,因此,可以使用VPN将二者利用Internet起来。
VPN技术非常复杂涉及到通信技术、密码技术和现代认证技术。
主要包含两种技术:
隧道技术与安全技术。
隧道技术的基本过程是在源局域网域公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。
常用的隧道协议有1.点到点隧道协议—PPTP(现已基本淘汰); 2.第二层隧道协议—L2TP,该协议是国际标准隧道协议,PPTP协议以及第二层转发L2F协议的优点,以隧道方式使PPP包通过各种网络协议,包括ATM、SONET、帧中继。
但没有任何加密措施;3.IPSec协议,该协议是一个围广泛、开放的VPN安全协议,工作在网络层。
它提供所有在网络层上的数据保护和透明的安全通信。
可以在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中;传输模式是为了保护端到端的安全性。
4)第四级安全保证:
用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝XX用户的访问,阻止XX用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止信息从受保护网络上被非法输出。
5)第五级安全保证:
用户网络侧的AAA鉴权认证
用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。
与第二级的安全保证不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
usernamexxx.133vpdn.xx中的域名将是中国联通公司提供给专网接入用户的专有统一域名,用户名可以根据用户自身特点来命名。
VPDN中成员的用户名和密码等资料将保存在专网侧的AAA服务器,具有很好的安全性和灵活的管理性。
第三章相关产品介绍
3.1DCFW-1800E-UTM统一威胁管理系统
(神州数码DCFW-1800E-UTM前视图)
随着信息化建设的深入,传统网络大部分用户部署了防火墙、入侵检测、VPN等设备,主要侧重于网络层的攻击检测和防护。
而近年来随着网络规模的不断扩,应用的不断增多,连续爆发的CodeRed、Nimda等蠕虫病毒,频繁而出的垃圾,已成为网络当中最令管理员头疼的问题,用户也对网关安全防护过滤设备提出了更高的管理要求。
除了对传统安全网络层的攻击检测和防护之外,如何防御及解决这些应用层问题逐渐成为整个安全业界和用户的关注重心。
神州数码网络作为国知名的网络设备供应商,始终关注网络安全的发展并率先提出了为用户“构建智能、安全的企业网络”。
在努力提高网络设备安全性的同时,神州数码网络依托多年网络产品的研发经验,整合神州数码集团的资源优势,投入到网络安全领域并取得了重大技术突破,尤其是防火墙、入侵检测、身份认证、抗拒绝服务攻击、防垃圾、安全管理等技术领域。
2006年神州数码推出了全新的UTM统一威胁管理系统,UTM(UnifiedThreatManagement)是英文统一威胁管理的缩写,国际咨询机构IDC将其定义为硬件、软件和网络技术组成的解决全方位问题的安全设备。
从实现的功能来讲,它可以将多重安全功能集成为一个硬件设备,构成用户网络中统一的安全风险控制平台。
神州数码DCFW-1800E-UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾网关、VPN网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关九大功能为一体。
采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在千兆环境下的高性能。
DCFW-1800E-UTM置4个10/100M自适应以太网电口,适合多种复杂网络链路下的接入需求。
DCFW-1800E-UTM适合于各种用户的安全需求,在未部署安全边界产品的网络中提供全面的安全防护,而在已有FW/IDS/IPS的网络中提供更为强大的病毒防护、垃圾防护、流量整形、VPN等应用功能。
产品规格
技术参数
产品
DCFW-1800E-UTM
VPN
提供对IPSEC、PPTP和L2TP等多种VPN连接的完整支持
防火墙
支持
防拒绝服务网关
支持
流量整形管理
支持
防病毒
支持11万余种病毒的过滤检测,支持HTTP、SMTP、POP3防毒过滤
入侵防护
支持
防垃圾网关
支持,并支持SMTP、POP3病毒过滤
用户身份认证网关
提供强大的Radius本地认证功能
审计网关
提供丰富的日志和审计方式方便用户的审核
高可靠性(HA)
支持
最大并发连接数
400,000/800,000
网络吞吐量
300M/400M
VPN隧道数
512/2048
VPN拨号用户
64/256
物理规格
机型
1U可上架标准设备
网络接口类型
10/100MBase-TX(FastEthernet)
网络接口数量
4个/4个
Console口
RS232
存储容量
80G
MTBF
8万小时
辐射标准
符合FCCPart15,ClassA,EN55022(CISPR22,ClassA)
电源
120~240V,50/60Hz,自适应
尺寸/重量
高度:
4.45cm,深度:
30cm,宽度:
44.7cm;重量:
8.5kg
工作环境
0℃~50℃;高度3000米;相对湿度10%~90%非冷凝
3.2DCBI-3000(EN)认证计费管理系统
神州数码网络DCBI-3000(EN)是一套可跨平台管理的、基于专用硬件的、更加成熟稳定的第3代安全接入控制综合管理系统。
该系统采用标准Radius协议、扩展Radius协议,来实现对标准/增强型的802.1x、PPPoE、Web+DHCP的认证授权计费等功能,并与神州数码增强型802.1x、PPPoE、Web+DHCP的系列设备结合,实现灵活、安全的用户认证、管理。
功能特性:
神州数码企业级高可靠性AAA服务器,具有增强的AAA功能。
包含2000用户,最大支持10万用户。
支持增强无线数传、VPN、802.1X、增强Web、PPPoE等认证方式,并可实现在数据和运行时的双机热备功能,确保企业级关键应用的可靠运行。
产品特点:
1)快速高效的并发认证处理能力
每秒可处理认证报文的能力为1500-2000个用户/秒。
在开户2万人的情况下,实测处理认证的能力最小值为1538个用户/秒。
而市场上的一般同类产品的处理能力在20-50个用户/秒。
DCBI-3000之所以有如此之高的处理能力,是因为采用独特的全存方式的Hash算法,并且采用了多线程并发处理方式。
2)运营商级的可靠性
DCBI-3000是一款电信运营级的产品,采用操作系统级任务对认证计费服务进程的状态进行监控。
如果DCBI-3000的各个主要进程出现进程状态错误、或进程死掉等问题,会由系统监控模块进行修正,从而保证了系统电信级的高可靠性及稳定性。
3)海量用户处理能力
由于DCBI-3000在快速并发能力和稳定性上的优势,使得DCBI-3000对海量用户进行认证计费管理成为可能。
本系统可支持多达10万用户以上的开户量,而处理效率却丝毫不受影响,与其他同类产品的开户量和处理效率形成鲜明对比。
4)方便的基于组的用户管理和基于模板的多种开户方式
为实现对用户管理上的方便,DCBI-3000采用了用户组的管理方式,这些用户组可以按地址位置的不同进行划分。
5)灵活安全的用户认证授权机制
在采用神州数码802.1x增强型协议进行认证时,DCBI-3000不仅提供了用户名、密码、用户IP、用户MAC、交换机IP、交换机端口、所在VLAN等6元素绑定策略,还在这些绑定规则的基础上,提供了对单一用户的多条绑定策略的列表功能。
此外,DCBI-3000还可以实现对上网PC机本身IP地址的绑定功能,从而实现了公共用机的IP地址绑定。
在对合法接入用户的授权方式上,可实现是否允许使用代理、上下行带宽、VLAN、用户动态IP地址等多种授权管理方式。
物理特性:
2U高度上机架,带两个千兆网络网口,硬件加速处理。
147GSCSIRAID主备硬盘两块,四芯双至强2.8G超线程CPU,1G高速存。
附录:
神州数码DDP安全桌面保护系统
公安警务室是深入到基层的组织,相对而言人员进出比较多,也很复杂,如何保证警务室PC的信息安全,也是我们需要特别关注的问题。
DigitalChinaDesktopProtector(DDP)桌面保护系统是由USB智能卡钥匙以及与之配套的信息安全软件组成,DigitalChinaDesktopProtector结合硬件的用户身份识别系统等安全控制措施,为用户提供了安全的日常应用。
1、USB电子钥匙
现今,随着计算机网络通信技术和信息安全技术的快速发展,人们迫切需要一种具有高度安全性、小巧、灵活、易用及便携等特点的硬件设备来存储信息。
USB电子钥匙正是为了满足这种需求而设计的一种安全产品。
USB电子钥匙(USBKEY)目前可以简单的分为两大类:
一类是存贮型的,部不带RSA运算器件;一类是运算型支持在USBKEY完成RSA运算。
这两类产品有不同的用法,与PKI应用的结合和使用方式也不同,需要根据市场需求而定。
存储型USBKEY,作为一种载体可以取代目前广泛使用的软盘,具有携带更方便,更耐用和一定的防复制等的优点。
但USBKEY需要安装相应的驱动,增加了用户的使用复杂度。
因此,需要CA中心和USBKEY厂商之间具有很强的整合能力,既要充分发挥USBKEY的优势,又要克服USBKEY的缺点,这样才能推动存储型USBKEY与PKI应用的结合。
PKI技术和运算型USBKEY的结合,从某种角度来看是PKI和USBKEY长期结合的发展趋势,因此有很多问题值得探讨。
运算型USBKEY与PKI应用相结合的接口有两种方式:
一种方式是通过通用标准接口,另一种是厂商自身提供的特定接口。
通用标准接口又有两个,一个是基于微软标准的CSP;另一个基于RSA的PKCS#11。
目前这两种通用标准都有相应的应用产品。
从Windows平台来说,CSP的应用更方便、更广泛,因为微软在其相应的系统中已经嵌许多支持CSP的工具和产品。
PKCS#11的优点是跨平台,是开放的标准,但目前整体上应用比较窄。
对于这两种标准,不同的用户都有使用,也有不同的方案。
2、DDP是服务于USB电子钥匙的软件平台
DigitalChinaDesktopProtector专业版,构成了以USB电子钥匙为基础的软件平台,通过这个平台,除了现有的系统硬件控制、软件控制,还可以根据客户需求整合多种应用,如:
★电子政务:
涉及政府管理的公民基本信息,可以以数字签名方式安全存储于USB电子钥匙中,用户作为明,通过网络享受政府部门的在线服务。
同时可以对个人的文件加密。
★网上证券和银行:
对于在线股票和银行交易,可以解决身份认证和交易数据签名的问题。
★Intranet的访问控制:
USB电子钥匙可以安全存储用户的个人、口令、数字证书、私人密钥等加密信息,作为对因特网的控制访问。
★电子商务:
无论企业与企业还是企业和消费者之间的电子商务活动,都需要进行身份鉴别和交易数据签名,USB电子钥匙可轻松实现你的需求。
★VPN访问控制:
USB电子钥匙可安全存储
升级会员 