公安网络工程建设设计Word下载.docx
《公安网络工程建设设计Word下载.docx》由会员分享,可在线阅读,更多相关《公安网络工程建设设计Word下载.docx(63页珍藏版)》请在冰点文库上搜索。
控中心是十分必要的。
网络监控中心负责处理整个信息系统网络范围内的安全问题及网络对外连接、通信等方面的安全问题,打击信息安全犯罪。
在自主和可控的原则指导下,开发公安信息安全监控和攻击报警系统,具有与国内外信息犯罪组织进行软件对抗的能力。
另外,对公安信息系统的安全性、可生存性、服务完整性实施全局管理。
信息系统安全监察工作主要处理、打击信息犯罪,如:
非法侵入通讯和计算机网络、传播计算机病毒、对计算机设施发起拒绝服务攻击、发布和传播非法的反动、色情信息等等。
信息系统安全监察工作的建设,在“金盾工程”实施期间,其内容应当包括:
建立全省连网的统一部署的各级信息安全监控中心、建设信息系统安全监控系统和攻击发现报警系统、培养一支政治合格、技术过硬的信息系统安全警察部队等等。
1.2设计目标
宏观上讲,“金盾工程”安全保障体系的设计目标体现在两个方面:
能够抵御业务信息化所带来的各种威胁,具备一定的容错、容灾能力,有效地防止内部人员的故意犯罪,抵御来自内部与外部、针对各种对象的各种方式的攻击,防止有害信息的传播。
能够提供严格的控制能力和高效的查证等手段,实现比现有工作模式更加安全的工作与管理机制。
具体地说,“金盾工程”安全保障体系的设计能够满足上述安全需求,抵御上述风险:
适应公安系统分级、多管理域的管理模式,针对种类繁多、多种密级的信息保密需求,提供全网统一的身份认证和访问控制手段,防止内部人员(合法用户)滥用权力,有意犯罪。
抵御来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击,保证网络和系统服务的可用性,保证信息的保密性、完整性。
提供一定的容错能力,在系统软硬件故障时提供数据恢复手段,保证系统的可用性。
防止有害信息(如病毒)的传播等。
提供一定的容灾能力,在自然灾害或人为的物理破坏(如战争)发生时,提供有效的灾难恢复机制,保证网络的可用性。
1.3设计原则
“金盾工程”安全保障体系涉及到整个工程的各个层次,网络和信息安全方案的设计因该遵循以下原则:
整体安全。
公安系统信息化是一个复杂的系统工程,对安全的需求是任何一种单元技术都
无法解决的,而是必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和公安业务系统提供全方位安全服务。
有效管理。
没有有效的安全管理(如密钥定期更新、防火墙监控、审计日志的分析等等),
就很难保证各种安全机制的有效性。
“金盾工程”网络信息系统所提供的各种安全服务涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用。
合理折衷。
在“金盾工程”中,单纯考虑安全而不惜一切代价是不合理的。
安全与花费、
系统性能、易用性、管理的复杂性是存在矛盾内容的,安全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理的复杂而影响整个“金盾工程”的快速反应和高效运行的总体目标。
适应一致。
安全管理模式应该尽量与公安业务需求相一致,以便于实施和管理。
既要保证
公安系统上下级之间的统一领导、统一管理,同时又给基层单位以足够的灵活性,以保障公安业务系统的高效运行。
责权分明。
采用分层、分级管理的模式:
一方面,公安的各级系统可以分为三层:
信息网
络、计算机系统和应用系统;
另一方面,网络和应用系统都有部、省、市等的分级结构。
各级网络管理中心负责网络的安全可靠运行,为应用信息系统提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管理,为公安系统具体的业务服务。
综合治理。
“金盾工程”是社会大环境下的一个系统工程,信息网络的安全同样也绝不仅仅
是一个技术问题,各种安全技术应该与运行管理机制、人员的思想教育与技术培训、
安全法律法规建设相结合,从社会系统工程的角度综合考虑。
2安全需求
识别出公安系统的安全需求是很重要的。
安全需求有三个主要来源。
第一个来源是对公安系统面临的风险的评估。
经过评估风险后,便可以找出对资产安全的威胁,对漏洞及其出现的可能性以及造成多大损失有个估计。
第二个来源是公安系统与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规定及合约条文的要求。
第三个来源是公安系统为业务正常运作所特别制定的原则、目标及信息处理的规定。
2.1风险评估
2.1.1漏洞分析
由于公安系统肩负省市安全和社会稳定的重要职责,另外由于存在政治体制、意识形态等方面的因素,很容易成为国内外敌对分子攻击的对象。
根据公用互联网络和某些行业专用网(如银行系统)风险现状的调查结果,结合公安系统业务的多种信息种类、不同开放程度和安全级别等情况,“金盾工程”的网络和信息系统面临的威胁有以下几个方面:
公安系统信息量大,种类繁多,应用复杂,不同种类(如治安、交管、刑侦等)、不同级别(如部、省、市)的信息对不同的用户有不同程度的保密需求(无密级、秘密、机密、绝密)。
数据分布于全国四百多个市级管理域内,使得保障信息保密性的设计与实现变得异常复杂。
要求系统具有统一的身份认证机制,适应公安系统分级、多管理域的管理模式。
内部人员(合法用户)滥用权力,有意犯罪,越权访问机密信息,或者恶意篡改数据。
来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击,造成网络或系统服务不可用、信息泄密、数据被篡改等破坏。
有害信息(如病毒)的传播等。
系统软硬件故障造成的服务不可用或者数据丢失。
自然灾害或战争的物理破坏。
漏洞分析可以采用静态扫描和动态渗透两种方法。
2.1.2法律和合同
国家对公安系统的法律要求,如涉密部门的网络必须实现物理隔离等,与信息产品厂商签订的保密合同等。
2.1.3系统规定
公安系统的内部规定,如密码系统只能使用具有自主知识产权的产品、不能使用自己的计算机处理秘密资料等。
2.2需求总结
通过以上分析可以总结出如下安全需求:
物理安全:
主要指无线、卫星、网络和计算机相关设备、线路等硬件所处的物理环境方面的安全水平需要进一步提高,如防高低温、防潮湿、防火、防水、防电磁干扰(电磁干扰、脉冲炸弹等)、防尘、防震、防电磁辐射、防窃听(搭线、接收电磁波)等;
通信和计算机网络安全:
网络系统的协议、应用和数据的机密性、完整性和可用性容易受到来源于网络的攻击,如DDOS攻击等需要进一步提高安全保护的水平;
系统安全:
操作系统的安全等级不够,配置不当,漏洞很多;
应用安全:
数据和应用系统没有或者很少考虑安全方面,安全问题很多;
信息安全:
网络上的非法信息很多,没有得到很好控制。
3安全体系
“金盾工程”对安全的需求是多方面的,任何一种单独的安全技术都无法解决。
安全方案的设计必须以科学的全方位的安全体系模型为依据,保障“金盾工程”整个安全体系的完备性和合理性。
信息网络安全体系结构的研究表明,要想从一个角度得出整个信息系统完整的安全模型是很困难的。
我们采用COE+PDR的安全框架是个比较合理的计算机网络安全模型,我们在此基础上提出更加适合“金盾工程”的信息安全体系结构模型。
该模型由安全服务、协议层次和系统、单元三个层面描述,在每个层面上,都包含有关保障方面的内容。
安全服务取自于国际标准化组织制订的安全体系结构模型[ISO7498-2],我们在
[ISO7498-2]基础上增加了审计性、可用性、生存性服务。
系统层次的划分给出了信息系统结构的层次模型,添加了用户层,即用户开发的应用。
系统、单元给出了信息网络的系统或者单元。
系统是指通信系统(如电话系统、会议电视系统、无线系统、卫星系统等)、计算机网络系统和人员系统。
单元是指通讯卫星、光纤、网卡、交换机、路由器等。
保障包括所有协议层次、所有系统、单元和安全服务的保障,涉及两方面的内容:
各种技术的保障(如密钥管理)和制度保障,制度保障主要是针对人员系统的。
3.1安全服务
国际标准化组织所定义的安全体系结构中包括五组重要的安全服务,这些安全服务反映了信息系统的安全需求。
这五种服务并不是相互独立的,而且不同的应用环境有不同的程度的要求,我们在图6.2中给出了主要安全服务之间的逻辑关系。
在“金盾工程”中,最为重要的安全服务是实体标识、认证、访问控制。
标识和认证
客
体
访问控制
授权数据库
审计/抗抵赖
完整和保密存储与传输
主 体
图6.2 各种安全服务之间的逻辑关系
在不同的协议层次,实体都有主体和客体之分:
在网络层,对主体和资源的识别以主机或协议端口为粒度,认证服务主要指主机地址的认证,网络层的访问控制主要指防火墙等过滤机制;
在应用系统中,主体的识别以用户为粒度,客体是业务信息资源,认证是指用户身份认证和应用服务的认证,访问控制的粒度可以具体到某种操作,如对数据项的追加、修改和删除。
在开放式应用环境中,主体与客体的双向认证非常重要。
从这一模型可以得出如下结论:
对客体的访问控制是安全保密的核心,而对实体的
(用户、主机、服务)认证是访问控制的前提。
“金盾工程”应用系统中对实体的认证和访问控制有更高的要求。
“金盾工程”中,不同的应用对上述安全服务需求不同。
可以分成以下几类:
向社会发布信息的应用系统。
首先要求保证数据的完整性,防止非授权用户篡改数据;
其次要保证系统的高度可用性,提供持续的、有效的服务;
全社会都可以访问,无需认证;
无密级信息,不需要保密服务;
一定的审计手段,以防止万一数据完整性被破坏后的数据恢复和责任追查。
对公安系统内部开放的信息和应用系统。
提供一定强度的认证手段和访问控制能力,保证系统和数据的完整性和一定的可用性;
提供完善的审计机制,以便检查系统的使用情况和责任追查。
对业务部门内部使用的涉密系统。
除上述安全服务以外还要提供信息保密服务,实现多级安全访问控制机制和数据保密机制。
对系统的使用有完善的审计机制,机密通信有第三方公证,以防抵赖。
3.2协议层次
系统都是有层次的,拿计算机网来说,从网络体系结构的协议层次角度考察安全体系结构,我们得到了网络安全的协议层次模型,如图6.3所示。
图中实现上述安全服务的各
种安全机制,并给出了它们在协议层次中的位置。
该模型与OSI安全体系结构[OSI-7498-2]模型一致。
应用层
�
身份认证
用户授权与访问控制
应用层安全通信协议,如SSL
数字签名第三方公证
�主机和服务的审计记录
分析
应用系统的容错容灾、服务管理
传输层
�应用层代理或网关
电路层防火墙
(如SOCKs)
传输层安全通信协议
网络层
数据链路层与物理层
�主机、路由器等源发认证
相邻节点间的认证
�包过滤防火墙
主机或路由器间
IPSec等协议
点到点 点到点
可用性
审 计
抗抵赖
数据保密性
数据完整性
认
加密机 加密机
�流量分析入侵监测
网络结构设计,路由系统安全,基础服务安全,
网络管理
证
图6.3 计算机网络协议层次模型
3.3系统、单元
在工程实施阶段,各种安全服务、各协议的安全机制最终要落实到系统或者单元上,所以要针对系统或单元按照结构层次逐个设计安全保护方案,如通讯网保护方案、计算机网保护方案、无线网保护方案、卫星网保护方案、移动网保护方案、电话网和会议电视网保护方案等,在以后的各个部分详细描述。
如图6.4所示,从单元角度来看,“金盾工程”计算机安全体系结构可以分成以下层次:
物理环境安全,主要是物理环境下端系统的自身的安全。
网络平台安全,即通信和计算机网络安全,一则保障网络自身的安全可靠运行,保证网络的可用性;
二则为业务数据提供完整性、保密性的安全服务。
系统平台和应用系统安全,为某种或多种应用提供用户认证、数据保密性、完整性以及授
权与访问控制服务等。
安全政策
单 元 安全保障
应用系统安全
技术保障
制度保障
系统平台安全
网络平台安全
物理环境安全
图6.4 系统、单元安全模型
其中,安全政策是针对安全风险而制定的安全原则、安全目标和需要遵循的各项安全管理制度等,是安全方案设计的指南和方向。
安全政策是有一定的生命周期的,一般要经历风险分析,根据风险分析的结果,制定安全政策,根据安全政策设计安全方案,安全方案包括安全技术实现和安全保障的实施,安全保障包括技术保障和制度保障。
安全保障是各项安全技术能够有效发挥作用的重要保证。
安全保障的内容可以分成技术方面和制度方面。
技术的保障包括安全服务的激活和关闭、安全相关参数设置、分发与更新(如密钥管理等)、安全事件信息的收集、分析与告警等。
制度的保障如人员履历和信誉审查、安全责任的分配和监督、安全事件的报告程序、安全培训、安全违规处理等。
本章以后的部分主要从“金盾工程”所涉及到的系统单元的角度出发,逐个描述各个子系统的安全方案,综合考虑每个系统单元在各个层次需要的各种安全服务(功能),然后考虑这些单元系统之间的逻辑关系,提供全面的、合理的的安全服务和保障措施。
3.4方案简介
省市公安系统安全建设的方案设计包括物理安全、通讯安全、电话和传真安全、会议电视安全、计算机网络安全等,具体的介绍见以下几节。
4物理安全
4.1概述
近年来,计算机信息网络及应用系统在全世界的迅速推广和普及使人们获取、交流和处理信息的手段发生了巨大的变化,深刻影响着人们的交流、工作、学习、生活和娱乐的方式,因此计算机网络安全问题也越来越突出。
火灾、地震、海啸、雷电、电磁窃听和干扰等都严重危害网络安全,因此,计算机网络的物理安全保护也就必须被提到议事日程上来。
我国公安部门的信息化需要为计算机网络安全物理保护。
4.2需求
物理安全是指设备所处的物理环境的安全,是整个网络系统安全运行的前提。
物理安全需要防范的风险主要有:
不合适的温度、湿度、尘土,地震、水灾、火灾等;
电源故障;
设备被盗、被毁;
信号窃听。
4.3方案
物理安全主要在环境安全、设备安全和介质安全三个方面采取保护措施,如门控系统、监控报警系统和区域保护措施等。
具体要求见省市保密指南BMZZ1-2000《涉及省市秘密的计算机信息系统保密技术要求》第3.1条的规定。
(1)环境安全
环境的安全主要是指机房环境的安全,包括:
机房选址。
要注意选择安全的地点,具有较强的防灾害(雷击、暴雨、电压、盗窃、水灾、
火灾、地震等)、防干扰(电磁干扰,静电等)能力。
机房环境。
建议按照省市和规划局有关标准建设机房,安装必要的设备以便达到合适的温度、湿度,能够防尘、防静电、防水、防雷击、防电磁辐射;
采用不间断电源,装备备用发电机。
出入控制。
机房要采取适当的出入控制措施,如机房加锁、出入登记、采用电子门禁系统等。
机房人员。
机房开辟专门的饮水间和娱乐间,工作人员不得在工作间吃喝、吸烟、打闹、打扑克、玩游戏等。
区域保护和灾难保护;
参见省市标准GB50173-93《电子计算机机房设计规范》、国标
GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。
(2)设备安全
主要指两类设备:
网络专用设备(路由器,交换机等)和主机设备(终端计算机,服务器,防火墙等)。
设备安全主要包括设备的防盗、防电磁辐射、防止搭线窃听、抗电磁干扰及电源保护等;
设备冗余备份;
严格管理、提高员工的整体安全意识。
设备的安全性体现在:
设备可靠性。
采用高质量、高可靠的设备。
如有必要,对关键的设备要在合适时候更换性
能更好、功能更全、运行更稳定的产品。
设备环境。
设备存放环境如温度、湿度等符合设备要求。
设备备份。
重要设备有备份系统,例如硬盘镜像、双机备份、双链路等。
设备安装。
设备的安装要坚固耐用,尽量隔离存放,做到最终用户难以私自安装、拆卸设备的配件,最好象自动柜员机一样,用户能够接触的只有键盘和屏幕。
(3)介质安全
包括数据安全及存储数据的介质本身的安全。
显然,为保证网络系统的物理安全,除在网络规划和场地、环境等方面满足要求之外,还要防止信息在处理、显示、传输时被窃听。
通过接收计算机系统的电磁辐射和发射的信号可以截获信息。
在物理上采取一定的防护措施,可以减少这方面的损失。
防范措施主要在三个方面:
为提高机房和设备的屏蔽效能,采取综合措施隔绝与外界的声、光、电磁信号联系,连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。
对本地网、局域网传输线路采取辐射抑制措施。
由于电缆传输信号时不可避免地产生信号辐射现象,因此建议采光缆传输的方式,在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
无线传输一定要采用加密技术。
对终端设备辐射的防范。
终端如CRT显示器,由于高电压的存在,有很强的信号辐射,但终端的使用特点又决定了不宜采用屏蔽室的办法来防止辐射,故除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,集中存放的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽然降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作。
(4)电磁防护
计算机系统通过电磁泄漏会造成信息在空间上的扩散,采用专用接收设备可以远距离接收还原信息,造成泄密。
电磁泄漏发射防范措施主要在四个方面:
用屏蔽房间把网络信息设备与周围环境隔离,防止电磁波向屏蔽室外泄漏。
屏蔽室适用于网络中心机房及设备集中使用、处理绝密级信息的系统。
采用低辐射网络信息设备将电磁辐射减小到规定的强度,使窃听信息成为不可能。
这种方法适用于设备分散使用、处理绝密级信息的系统。
以电磁波的形式对网络信息设备电磁泄漏发射进行干扰,使窃听方不能提取信息。
网络传输采用光缆或屏蔽的传输线缆。
计算机电磁辐射泄密问题已经引起了各个省市的高度重视,要防止这些信息在空中传播,必须采取防护和抑制电磁辐射泄密的专门技术措施,这方面的技术措施有:
干扰技术、屏蔽技术和Tempest技术。
(5)干扰技术
干扰技术又可分为白噪声干扰技术和相关干扰技术两种。
白噪声干扰技术的原理是使用白噪声干扰器发出强于计算机电磁辐射信号的白噪声,将电磁辐射信号掩盖,起到阻碍和干扰接收的作用。
这种方法有一定的作用,但由于要靠掩盖方式进行干扰,所以发射
的功率必须够强,而太强的白噪声功率会造成空间的电磁波污染;
因此白噪声干扰技术在使用上有一定的局限性和弱点。
相关干扰技术较之白噪声干扰技术是一种更为有效和可行的干扰技术。
相关干扰技术的原理是使用相关干扰器发出能自动跟踪计算机电磁辐射信号的相关干扰信号,使电磁辐射信号被扰乱,起到乱数加密的效果,使接收方接收到电磁辐射信号也无法解调出信号所携带的真实信息。
(6)屏蔽技术
屏蔽技术的原理是使用导电性能良好的金属网或金属板造成六个面的屏蔽室或屏蔽笼将产生电磁辐射的计算机设备包围起来并且良好接地,抑制和阻挡电磁波在空中传播。
设计和安装良好的屏蔽室对电磁辐射的屏蔽效果比较好,能达到60~90db以上。
如美国研制的高性能的屏蔽室,其屏蔽效果对电场可达140db,对微波场可达120db,对磁场可达
100db。
妨碍屏蔽技术普遍应用的问题是屏蔽室的设计安装施工要求相当高,造价非常昂贵,一般二、三十平方米场地的屏蔽室的造价即需几十至上百万元。
因此屏蔽技术较为适用于
一些保密等级要求较高、较重要的大型计算机设备或多台小型计算机集中放置的场合,如国防军事计算中心、大型的军事指挥所、情报机构的计算中心等。
(7)防信息泄露技术(Tempest)
Tempest技术即低辐射技术。
这种技术是在设计和生产计算机设备时,就已对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取了防辐射措施,把电磁辐射抑制到最低限度。
生产和使用低辐射计算机设备是防止计算机电磁辐射泄密的较为根本的防护措施。
“Tempest”是美国制定的一套保密标准,国外一些先进的工业省市对Tempest技术的应用非常重视,使用在重要场合的计算机设备对辐射的要求都极为严格。
具体泄漏发射防护的具体要求见省市保密局指南BMZ-2000《涉及省市秘密的计算机信息系统保密技术要求》第5.6条的规定。
(8)加密技术
对通过无线、卫星、移动系统传输的信息采用加密技术防止窃听。
4.4论述
通过采用以上防护措施,可以在提高计算机网络的安全系数方面有很大帮助,使来自互联网上攻击等人为因素的影响降至最低,同时也大大降低了诸如火灾、雷电、地震等非人为因素对计算机网络安全的影响,从而使计算机网络安全得到根本保障。
5通信安全
5.1概述
公安机要通信系统包括公安机要通信网络平台和公安机要通信业务两方面的内容。
公安机要通信业务种类包括:
机要电话、机要传真、机要数据、机要电视电话会议等。
机要视讯
机要应急系统
公安计算机网
公安机要通信系统
公安机要综合
升级会员 